클라우드에 위탁하여 개인정보를 보관, 처리할 때 필요한 점검사항
Article posted in 2024-10-24 16:47:52 | VEAT
과학정보통신부는 제17차 정보통신전략위원회를 통해 클라우드 보안 인증제를 개선하고, 금융 분야의 망 분리 규제를 완화하는 정책을 발표했습니다.
이를 통해 다양한 산업에서 클라우드 서비스의 활용을 확대할 수 있는 기회를 제공하며, 기업들이 더욱 효율적이고 유연하게 IT 인프라를 구축할 수 있도록 돕는 중요한 변화입니다.
이러한 클라우드 서비스를 통해 비용 절감과 확장성이라는 이점을 누리기 위해 많은 기업들이 국내, 해외 클라우드 전환을 검토하고 있습니다.
특별히, 클라우드 서버에서 개인정보를 저장하고 처리할 경우, 클라우드에 개인정보를 저장하는 것은 단순히 서버를 빌리는 것일지, 아니면 개인정보를 제3자에게 제공하는 것일지 여부와, 개인정보 국외이전과 관련된 법적 의무는 무엇인지, 또 이를 어떻게 준비해야 할지 궁금하시다면, 이 글을 통해 그 해답을 확인해 보시기 바랍니다.
◾클라우드 서버 사용 시 위탁여부
일반적으로 클라우드 서비스에 개인정보를 저장하고 처리하는 것은 위탁에 해당합니다. 클라우드 서비스 제공업체가 데이터를 직접 사용하거나 제3자에게 전달하지 않고, 단지 서버를 빌려주는 형태로 관리하기 때문입니다.
즉, 개인정보 처리의 책임은 여전히 클라우드 서비스를 사용하는 기업에 남아 있습니다.
◾개인정보 국외이전과 관련된 법적 정의
개인정보의 국외이전은 국내에서 수집된 개인정보를 해외에 있는 서버나 제3자에게 전송하거나 보관하는 행위를 의미합니다.
해외 클라우드 서비스의 경우, 일반적으로 해외에 위치한 데이터 센터를 이용해 데이터를 저장하고 처리하는 경우가 많습니다. 이러한 행위는 「개인정보 보호법」 상 국외이전에 해당하게 됩니다.
개인정보 보호법은 원칙적으로 국외로 제공(조회), 처리위탁, 보관하여서는 아니된다고 규정하면서도, 예외적으로 국외로 이전할 수 있도록 몇 가지 중요한 요건을 규정하고 있습니다.
1) 사전에 정보주체로부터 국외 이전에 대한 별도의 동의를 받은 경우, 2) 법률, 대한민국을 당사자로 하는 조약 또는 그 밖의 국제협정에 개인정보의 국외 이전에 관한 특별 규정이 있는 경우, 3) 정보주체와의 계약의 체결 및 이행에 필수적인 경우 국외로 이전할 수 있다고 규정하고 있습니다.
정보주체와의 계약의 체결 및 이행에 필수적인 경우, 즉 해외 클라우드 서비스를 이용하는 것이 계약상 필수적일 때는 별도의 동의 없이도 개인정보 국외이전이 가능하나, 이전되는 개인정보 항목 등 개인정보 보호법 제28조8 제2항에서 규정한 사항을 개인정보처리방침에 명시하는 등의 조치가 필요합니다(「개인정보 보호법」 제28조의8 제1항 제3호).
또한, 클라우드 서비스 제공자가 개인정보 보호 인증 등 보호위원회가 정하여 고시하는 인증을 획득했으며, 해당 인증을 이행할 수 있는 환경을 구축한 경우에도 정보주체의 동의가 면제될 수 있습니다(「개인정보 보호법」 제28조 8 제1항 제4호).
하지만 동의 면제와 별개로, 클라우드 서비스 이용업체는 클라우드 서비스 제공자가 인증을 획득했다 하더라도 개인정보 유출을 방지하기 위한 기술적∙관리적 조치가 효과적으로 이행되고 있는지를 확인해야 하는 등 철저히 감독해야할 필요가 있습니다. 만약 이 과정에서 문제가 발생하면, 개인정보 보호법에 따라 클라우드 서비스 이용업체에게 책임이 부과될 수 있습니다.
개인정보 국외이전 문제는 단순히 기술적인 이슈를 넘어서 법적, 관리적 책임이 수반되는 복잡한 문제입니다.
법무법인 비트는 IT 법률 전문가와 개인정보 변호사들이 다수의 클라우드 서비스 도입 관련 자문 및 분쟁 해결 경험을 보유하고 있어, 개인정보 국외이전과 관련하여 보다 안전하고 적절한 개인정보 수집, 보관 절차를 통해 클라우드 서비스를 이용할 수 있도록 법률 자문을 제공하고 있습니다.
클라우드 서비스를 도입하는 기업이라면 법무법인 비트와 함께 안전한 데이터 관리 방안을 마련하시기 바랍니다.
감사합니다.
법무법인 비트 드림