1. 개인정보 보호법 기준
1.1. 국외 이전 시 필수 요건
- 정보주체의 별도 동의 필요
- 이전되는 개인정보 관련 사항 사전 고지
1.2. 정보주체에게 고지해야 할 필수 사항
- 이전되는 개인정보 항목
- 개인정보 보유기간
- 국외 이전 사유
- 국외 이전 국가 및 업체 정보
- 정보주체의 거부권 및 행사 방법
2. GDRP 기준
2.1. 개인정보 국외 이전 방법
2.1.1. 적정성 결정(Adequacy Decision) 국가로 이전
- EU 집행위원회가 해당 국가의 개인정보 보호 수준을 승인한 경우 별도 조치 없이 이전 가능
- 대한민국, 영국, 일본 등
2.1.2. 적정성 결정이 없는 국가로 이전
- 표준계약조항(Standard Contractual Clauses, SCCs)
- EU 집행위원회가 승인한 게약을 체결하여 보호 조치 확보
- 구속력 있는 기업 규칙(Binding Corporate Rules, BCRs)
- 같은 기업 그룹 내에서 내부 규칙을 수립하고 EU 당국 승인을 받는 방식
- 예외적인 경우(Article 49)
- 정보주체가 명시적으로 동의한 경우
- 계약 이행을 위해 필요한 경우
- 중대한 공익 목적이 있는 경우
2.2. 정보주체에게 고지해야 할 사항
- 이전되는 개인정보 항목
- 개인정보 보유기간
- 국외 이전 사유
- 국외 이전 국가 및 대상 업체
- 보호 조치 유형(SCCs, BCRs 적용 여부 등)
- 정보주체 권리 및 구제 절차