GDPR controller·processor 매핑: 한국 AI 의료기기가 EU 병원 환자 데이터를 처리할 때 누가 무엇을 책임지는가
한국 AI 의료기기 제조사가 EU 병원에 솔루션을 공급하면 GDPR Article 28 처리자가 되는가, Article 26 공동 통제자가 되는가. 이 질문의 답이 계약 구조, 데이터 이전, 보상 부담을 결정한다.
"우리는 processor입니다" — 정말 그런가
한국 AI 의료기기 제조사가 독일 병원에 영상 진단 AI 솔루션을 공급했다. 계약서에는 "공급사는 GDPR 제28조에 따른 데이터 처리자(processor) 역할을 수행한다"고 적어놓았다. 그런데 실제 데이터 흐름을 보면:
- 한국 제조사의 서버(클라우드)에 환자 영상 데이터가 전송된다
- AI 모델이 영상을 분석하고 결과를 반환한다
- 분석 결과 중 일부는 모델 성능 개선을 위해 한국 제조사가 보관한다
- 모델 업데이트가 자동으로 병원에 배포된다
이 시나리오에서 한국 제조사는 processor가 아니다. 최소한 **공동 통제자(joint controller)**이며, 모델 학습에 환자 데이터를 활용한다면 **독립 통제자(controller)**일 수 있다. GDPR Article 4(7)과 Article 4(8)의 정의, 그리고 EDPB Guidelines 07/2020에 따르면 통제자와 처리자의 구분은 계약서의 문구가 아니라 실질적 데이터 처리 활동에 의해 결정된다.
이 글에서는 한국 AI 의료기기 제조사가 EU 병원에 솔루션을 공급할 때, GDPR controller/processor 매핑을 어떻게 해야 하는지, 그리고 이 매핑이 계약, 데이터 이전, 보상 부담에 미치는 영향을 정리한다.
GDPR controller·processor 판단 기준
EDPB Guidelines 07/2020의 핵심 원칙
유럽데이터보호이사회(EDPB)의 Guidelines 07/2020은 controller와 processor 판단을 위한 핵심 기준을 제시한다:
| 요소 | Controller(통제자) | Processor(처리자) |
|---|---|---|
| 목적 결정 | 처리 목적을 결정하거나 공동 결정 | 통제자가 정한 목적 내에서만 처리 |
| 수단 결정 | 처리의 핵심적 수단(essential means)을 결정 | 통제자가 결정한 수단 내에서 기술적 실행 |
| 자율성 | 독자적 판단이 있음 | 통제자의 지시에 따름 |
핵심은 **"처리 목적(purposes)과 수단(means)을 누가 결정하는가"**이다. 계약서에 "processor"라고 적는 것만으로는 변경되지 않는다.
의료기기 시나리오별 매핑
한국 AI 의료기기가 EU 병원에 배포되는 대표적 시나리오를 매핑한다:
시나리오 A: 병원 내부 서버에 탑재, 데이터 외부 미유출
- AI 모델이 병원 내부 서버(on-premise)에서 실행
- 환자 데이터가 병원 외부로 전송되지 않음
- 한국 제조사는 소프트웨어 업데이트만 제공
매핑: 이 경우 한국 제조사는 개인데이터를 처리하지 않으므로 GDPR controller/processor가 아닐 수 있다. 단, 원격 진단(remote diagnostics)에서 접근 권한이 있거나, 로그 데이터가 한국 서버로 전송되면 매핑이 달라진다.
시나리오 B: 클라우드 기반 AI 분석, 병원이 데이터 전송 지시
- 병원이 환자 데이터를 한국 제조사의 클라우드로 전송
- AI 분석 후 결과만 반환
- 모델 학습에 데이터 미활용
- 데이터 보관 기간은 병원이 결정
매핑: 한국 제조사는 processor에 가깝다. 처리 목적(진단 보조)과 수단(어떤 데이터를, 얼마나 오래)을 병원이 결정한다. 다만, 한국 제조사가 클라우드 인프라를 선택하고 보안 조치를 결정하므로, "비핵심적 수단(non-essential means)"에 대한 결정권은 있다.
시나리오 C: 클라우드 분석 + 모델 학습에 데이터 활용
- 시나리오 B와 동일하되, 모델 성능 개선을 위해 데이터 활용
- 활용 여부는 계약에 명시되어 있으나, 구체적 활용 방식은 제조사가 결정
- 환자 동의(consent)는 "AI 진단 및 모델 개선 목적"으로 획득
매핑: 한국 제조사는 최소한 **공동 통제자(joint controller)**이다. "모델 개선"이라는 추가적 처리 목적을 제조사가 결정했기 때문이다. 병원은 "진단" 목적의 통제자, 제조사는 "모델 개선" 목적의 공동 통제자가 된다.
시나리오 D: SaaS 기반 AI 플랫폼, 제조사가 서비스 목적·기간 결정
- 한국 제조사가 SaaS 형태로 AI 진단 서비스를 제공
- 서비스 약관, 데이터 보관 기간, 분석 범위를 제조사가 결정
- 병원은 서비스를 구독하는 형태
매핑: 한국 제조사는 **독립 통제자(controller)**이다. 처리 목적과 수단을 실질적으로 결정한다.
판단 체크리스트
한국 제조사가 자사의 GDPR 역할을 판단할 때:
| 질문 | "예"이면 |
|---|---|
| 우리가 데이터를 왜 처리하는지(목적)를 결정하는가? | controller 가능성 증가 |
| 어떤 데이터를 수집할지 결정하는가? | controller 가능성 증가 |
| 데이터를 얼마나 오래 보관할지 결정하는가? | controller 가능성 증가 |
| 데이터를 다른 목적(예: 모델 학습)으로 재사용하는가? | joint controller 또는 independent controller |
| 모든 처리가 고객(병원)의 지시에 따르는가? | processor 가능성 증가 |
역할별 계약 요건
Processor인 경우: Article 28 데이터처리계약(DPA)
한국 제조사가 processor로 확인되면, 병원(controller)과 GDPR Article 28에 따른 데이터처리계약(Data Processing Agreement, DPA)을 체결해야 한다:
| Article 28 요건 | 한국 제조사의 의무 |
|---|---|
| 서면 계약 | 처리 목적, 기간, 데이터 유형, 데이터주체 범주 명시 |
| 지시에 의한 처리(Article 28(3)(a)) | 병원의 문서화된 지시에만 따름. 제3국 이전은 지시 없이 불가 |
| 비밀유지(Article 28(3)(b)) | 데이터 접근 인력의 비밀유지 의무 |
| 보안 조치(Article 28(3)(c), Article 32) | 암호화, 접근 통제, 가용성 확보 |
| 하도급 제한(Article 28(2)) | 하도급 업체(예: 클라우드 제공자) 사용 시 병원의 사전 승인 |
| 감사 협력(Article 28(3)(h)) | 병원 또는 병원이 지정한 감사인의 감사에 협조 |
| 데이터 삭제·반환(Article 28(3)(f)) | 계약 종료 시 데이터 삭제 또는 반환 |
Joint Controller인 경우: Article 26 공동 통제자 합의
공동 통제자로 확인되면, EDPB는 **구속력 있는 합의(binding arrangement)**를 권장한다:
- 각 통제자의 책임 범위를 명확히 설정
- 데이터주체 권리 행사(접근, 삭제, 이동성 등)에 대한 응답 책임 배분
- 정보 제공 의무(투명성)의 분담
- 개인데이터 침해 발생 시 통지 의무 분담
공동 통제자 합의의 핵심은 데이터주체가 어느 통제자에게 권리를 행사할 수 있는지를 명확히 하는 것이다. 환자가 데이터 삭제를 요청할 때 병원에 요청해야 하는지, 한국 제조사에게도 요청할 수 있는지를 합의에 포함해야 한다.
한국 → EU 데이터 이전
제3국 이전 문제
한국 제조사의 클라우드 서버가 EU 외부(한국, 미국 등)에 있는 경우, GDPR Chapter V에 따른 **적절한 보증(adequate safeguards)**이 필요하다.
EU 집행위원회는 2021년 한국에 대한 적합성 결정(adequacy decision)을 채택했으며, 2025년 9월에는 한국 개인정보보호위원회(PIPC)와 **상호 적합성 결정(mutual adequacy decision)**을 최종 합의했다. 이에 따라 EU→한국 방향의 개인데이터 이전은 추가적인 보증 없이 자유롭게 이루어질 수 있다.
다만, 실무적으로 주의해야 할 점이 있다:
| 이전 시나리오 | 적용 규칙 |
|---|---|
| EU → 한국 서버 | 적합성 결정으로 추가 조치 불필요. 단, 건강 데이터는 특별 범주 처리 요건(Article 9) 별도 충족 필요 |
| EU → 미국 서버 | EU-US Data Privacy Framework 인증 기업에 한해 적합성 인정. 비인증 기업은 SCCs 필요 |
| EU → 기타 제3국 | SCCs(2021년 6월 개정), BCRs, 또는 동의(consent) 등 필요 |
한국에 적합성 결정이 있음에도 불구하고, 한국 제조사가 미국 기반 클라우드(AWS, Azure, GCP 등)를 사용하는 경우, 실제 데이터가 미국에 저장되면 EU-US Data Privacy Framework 또는 SCCs가 필요할 수 있다. 또한 Atlantic Council의 2026년 분석에 따르면, EU와 비EU 건강데이터 혼합은 GDPR, AI Act, EHDS 세 법령 중 하나 이상을 위반할 가능성이 높아, 건강 데이터의 경우 적합성 결정이 있더라도 추가적 보호조치가 권장된다.
건강데이터는 특별 범주 데이터
GDPR Article 9는 건강 데이터를 특별 범주 데이터로 분류하여, 원칙적으로 처리를 금지한다. 처리가 가능한 예외는:
- 명시적 동의(Article 9(2)(a))
- 의료 목적(Article 9(2)(h)) — 의료 전문가의 비밀유지 의무 하에
- 공중보건 목적(Article 9(2)(i))
- 과학 연구 목적(Article 9(2)(j)) — 적절한 보증 조치 하에
Tandem Health의 분석에 따르면, AI 시스템이 처리하는 건강 데이터는 시스템의 역할(controller, processor)과 관계없이 항상 특별 범주 데이터로 분류된다. 데이터의 성격이 분류를 결정하며, 처리자의 역할이 아니다.
EU AI Act과의 교차
EU AI Act은 고위험 AI 시스템(의료기기에 탑재된 AI 포함)에 대해 데이터 거버넌스 요건을 부과한다. Intuition Labs의 분석에 따르면:
- AI Act의 데이터 거버넌스 요건과 GDPR의 목적 제한 원칙(purpose limitation) 간 긴장이 존재
- AI 모델 훈련을 위한 데이터 활용은 GDPR 목적 제한과 충돌할 수 있음
- 표준계약조항, 상호운용성 프레임워크, 명확한 역할 정의(controller vs processor vs AI provider)가 필요
EU 위원회의 보건 AI 가이던스는 유럽보건데이터공간(EHDS) 규정을 책임 있는 임상 AI 개발의 핵심 수단으로 식별했다. EHDS는 2025년 3월 26일 발효되었으며, AI 개발 및 연구를 위한 건강 데이터의 2차 활용(secondary use) 프레임워크를 제공한다.
실무 체크리스트: 한국 AI 의료기기 제조사
계약 단계
| 항목 | 확인 사항 |
|---|---|
| GDPR 역할 매핑 | 실제 데이터 흐름 기준으로 controller/processor/joint controller 판단 |
| DPA 또는 Joint Controller Agreement | 판단 결과에 따라 Article 28 또는 Article 26 계약 체결 |
| 데이터 이전 수단 | 한국 서버는 EU 적합성 결정으로 추가 조치 불필요. 미국 등 기타 제3국 서버 사용 시 SCCs 또는 DPF 확인 |
| 처리 범위 | 처리 목적, 데이터 유형, 보관 기간, 삭제 방식 명시 |
| 침해 통지 | 72시간 이내 통지 의무와 책임 주체 명확화 |
| 감사 권한 | 병원의 감사권 행사 방식과 한국 제조사의 협조 범위 |
기술문서 단계
| 항목 | 확인 사항 |
|---|---|
| 데이터 흐름도 | 수집→전송→처리→저장→삭제 전 과정 문서화 |
| 익명화·가명화 | 모델 학습 데이터의 가명화 수준 및 재식별 가능성 평가 |
| 암호화 | 전송 중(TLS) 및 보관 중(at-rest) 암호화 |
| 접근 통제 | 한국 제조사 인력의 EU 환자 데이터 접근 권한 최소화 |
| 로그 관리 | 데이터 접근·처리 로그 보관(감사 추적) |
| DPIA | 고위험 처리 활동에 대한 데이터보호영향평가 실시 여부 |
준비 마일스톤
- Day 1-14: 모든 EU 고객 병원과의 데이터 처리 흐름 매핑. controller/processor 역할 판단
- Day 15-30: 판단 결과에 따라 DPA 또는 Joint Controller Agreement 템플릿 작성
- Day 31-45: 클라우드 서버 위치별 데이터 이전 근거 확인. 한국 서버는 EU 적합성 결정 적용, 미국 서버는 DPF 인증 또는 SCCs 체결. 하도급 processor의 GDPR 준수 확인
- Day 46-60: DPIA 실시. AI 모델 학습에 환자 데이터가 사용되는 경우 특별 범주 데이터 처리의 적법성 근거 확인
- Day 61-75: 병원과 기존 계약 개정. GDPR 역할 매핑 결과 반영
- Day 76-90: 내부 교육. RA팀, 개발팀, 클라우드운영팀의 GDPR 의무 이해
참고 문서
- EDPB, Guidelines 07/2020 on the concepts of controller and processor
- GDPR Article 4(7), 4(8), 26, 28, 32, Chapter V
- Tandem Health, "EU healthcare AI regulations: MDR, GDPR and AI Act"(2025)
- Intuition Labs, "EU AI Act High-Risk Compliance: Pharma & Medical Devices"(2025)
- Atlantic Council, "Navigating the European Union's AI and health data framework"(2026)
- CMS, "EU & German Data Protection: GDPR, AI Act, Data Act Updates"(2025)
