∙ 2023년 5월 22일, 아일랜드 개인정보감독기구(rish Data Protection Commissioner, DPC)는 페이스북 모회사 메타(Meta)에 대하여 유럽 개인정보 보호규정(GDPR) 위반을 이유로 과징금을 부과했다고 유럽 통신매체 폴리티고(politico)가 보도함
- (개요) DPC는 2020년 8월부터 실시한 페이스북 모회사 메타(Meta)의 유럽 개인정보 보호규정 위반 조사를 종결하며, GDPR 관련 사상 최대 금액인 12억 유로(한화 약1조 6,990억 원)의 과징금을 부과함
- (주요내용) 동 보도의 주요내용은 다음과 같음
∙ DPC는 메타가 유럽연합(EU) 시민의 개인정보를 ‘표준계약조항(Standard Contractual Clauses)’1)에 근거하여 미국 본사에 전송한 점에도 불구하고 개인정보 주체의 기본적인 권리를 보호하지 못하였음을 근거로 GDPR 위반에 해당한다고 판단함
∙ 이에 따라 DPC는 메타에게 과징금 부과와 더불어 향후 5개월 이내에 어떠한 개인정보도 미국에 이전되지 못하도록 조치할 것, 6개월 이내에 미국에서 GDPR에 위반하는 EU 시민의 개인정보 저장·처리를 중단할 것을 명령함
∙ 이번 결정에 대하여 메타는 “EU와 미국 간에 데이터를 전송하는 수많은 다른 기업들에게 위험한 선례를 남길 것이다.”라고 밝히며, 메타는 본 결정에 대하여 항소하고 법원에 이행 기한을 일시 중지해달라는 가처분을 신청할 것임을 밝힘
- (관련내용) 2022년 12월, EU는 미국의 개인정보 보호법제가 EU와 동등함을 인정하는 ‘적정성 결정 (Adequacy Decision)’ 초안을 발표했으며 동 초안은 양자 간 개인정보 이전 법적 근거로 확정될 전망임
∙ 이에 따라, 적정성 결정에 근거한 새로운 양자 간 개인정보 이전 법률 프레임이 구축될 때까지 메타가 이번 결정에 따른 의무를 연기할 수 있을지가 여부가 주목됨
1) 표준계약조항(SCC)은 컨트롤러와 프로세서가 EU 개인정보 보호규정에 따른 의무를 준수할 수 있도록 표준화되어 사전 승인된 개인정보 보호 조항 모델을 의미함. 이 조항은 개인정보 사용자가 자발적으로 개인정보 보호 요건을 준수했음을 입증할 수 있으며, 이 경우에는 조항을 준수하겠다는 구속력 있는 계약상의 약정이 필요함. EU 집행위원회는 ① 컨트롤러와 프로세서 간의 관계, ② 개인정보를 EEA 밖으로 역외이전하는 행위에 대해 SCC를 채택할 수 있는 권한이 존재함(출처: KISA).
