유럽연합 일반개인정보보호법
유럽연합 일반개인정보보호법(General Data Protection Regulation, GDPR)은 유럽연합(EU)이 시행하고 있는 일반 개인에 대한 개인정보 보호법이다. 약칭 GDPR(지디피알) 또는 EU GDPR이라고 부른다. 유럽연합 일반개인정보보호법은 2016년 5월, 유럽연합(EU)에서 디지털 단일 시장에서 유럽연합 회원국간 개인정보의 자유로운 이동을 보장하는 동시에 정보주체의 개인정보보호 권리를 강화하는 내용의 '일반 개인정보 보호법'(General Data Protection Regulation, GDPR)을 발효함에 따라, 2018년 5월 25일부터는 GDPR이 기존 유럽연합 개인정보 보호 기준을 제시하던 "1995년 개인정보보호 지침"(Data Protection Directive 95/46/EC, Directive)을 대체하여 적용되었다.
목차
개요
유럽연합 일반개인정보보호법은 자연인에 관한 개인정보 보호권을 보장하면서(제1조 제2항) 동시에 유럽연합 내에서의 개인정보의 자유로운 이동(제1조 제3항)을 보장하기 위해 제정되었다. 기존 Directive(지침)에서는 회원국들 간에 개인정보 보호 관련 법제가 서로 달라 기업들이 개인정보를 자유롭게 이동시키고, 관련 활동함에 있어서 여러 가지 문제가 발생하였다. 따라서 지침이 아닌, 법적 구속력을 가지는 GDPR의 제정을 통해 보다 강력하고 통일적인 개인정보 보호 규제가 가능하게 되었다. 다만, 일부 규정에 대해서는 회원국에 입법을 위임하여 스스로 결정할 수 있는 여지를 두고 있다.[1]
특징
구성 및 효력
구성
GDPR은 전문 총 173개 항, 본문 총 11장 99개 조항으로 이루어져 있으며, 기존 Directive가 총 7장 34개 조항으로 구성된 것에 비해 조문 수가 크게 증가하였다.
전문(Recital) 173개 항 본문 11장(Chapter) 99개 조항(Article) * 제1장 일반 규정(General Provisions)
* 제2장 원칙(Principles)
* 제3장 정보주체의 권리(Rights of the Data Subject)
* 제4장 컨트롤러와 프로세서(Controller and Processor)
* 제5장 제3국 및 국제기구로의 개인정보 이전(Transfer of Personal Data to Third Countries or International Organizations)
* 제6장 독립적인 감독기구(Independent Supervisory Authorities)
* 제7장 협력과 일관성(Cooperation and Consistency)
* 제8장 구제, 책임, 벌칙(Remedies, Liability and Penalties)
* 제9장 특정 정보 처리 상황에 관한 규정(Provisions Relating to Specific Processing Situations)
* 제10장 위임 입법 및 이행 입법(Delegated Acts and Implementing Acts)
* 제11장 최종 규정(Final Provisions)
법적 효력
GDPR은 지침과 달리 "Regulation"이라는 법 형식으로 제정되어 법적 구속력을 가지며, 모든 유럽연합 회원국 내에 직접적으로 적용된다(제99조). 기존 지침에서는 회원국 간 개인정보보호 법제가 서로 달라 규제에 어려움이 있었으나, GDPR 제정을 통하여 통일된 개인정보보호 규제가 가능하게 되었다. GDPR 일부 조항에 대해서는 회원국의 별도 입법이 요구되므로, 기업들은 GDPR 이외에 각 회원국의 개인정보보호 관련 입법 동향에 대하여 지속적으로 모니터링할 필요가 있다.[2]
유의 사항
- 유럽연합 역내 및 역외 적용 : 유럽연합 내 설립된 기관의 개인정보 처리 활동 외에 다음 경우를 적용 범위 포함한다.
- 1. 유럽연합 밖에서 유럽연합 내에 있는 정보주체에게 재화나 용역을 제공하는 경우, 또는
- 2. 유럽연합 내에 있는 정보주체가 수행하는 활동을 모니터링하는 경우
- 개인정보 정의와 적용대상 범위 : 개인정보를 "식별되었거나 또는 식별 가능한 자연인(정보주체)과 관련된 모든 정보"로 정의하면서(제4조제1항), 기족 지침에 명시되지 않았으나 판례, 유권해석, 개별법차원에서 인정된 개념을 포함한다.
- 1. 자연인이 사용하는 장치, 애플리케이션, 도구와 프로토콜을 통해 제공되는 개인 식별이 가능한 경우의 IP 주소, 쿠키(cookie) 아이디, RFID(무선 인식) 태그 등을 개인정보(온라인 식별자)에 포함한다(전문 제30항).
- 2. 위치정보를 개인정보의 정의에 명시적으로 규정하였다(제4조제1항).
- 3. 민감한 성격의 개인정보를 '특수한 범주의 개인정보'(이하 '민감정보')라고 정의하면서, 유전정보와 생체 인식정보를 명시적으로 규정하였다(제9조제1항).
- 4. 개인정보의 가명처리(pseudonymisation) 개념을 명문화함으로써(제4조제5항), 분리 보관 및 특별조치 등을 통하여 개인정보를 활용할 수 있도록 하였다.
- 개인정보 기본 처리 원칙 : 개인정보를 처리하는 경우 다음 7가지 원칙을 모두 준수하여야 한다(제5조).
- 1. 합법성ㆍ공정성ㆍ투명성 원칙
- 2. 목적 제한의 원칙
- 3. 개인정보 최소처리 원칙
- 4. 정확성의 원칙
- 5. 보유기간 제한의 원칙
- 6. 무결성과 기밀성의 원칙
- 7. 책임성의 원칙
- 동의 요건의 강화 및 아동 개인정보 처리에 대한 동의 원칙 : GDPR에 따른 유효한 동의는 수집되는 개인정보가 이용되는 목적에 대한 명시적 동의여야 한다(GDPR 제7조 및 제4조). 컨트롤러는 동의를 받았다는 사실을 증명할 수 있어야 하고, 해당 동의는 철회될 수 있다. 만 16세 미만의 ㅣ아동에게 직접 정보사회서비스를 제공할 때에는 부모나 보호자의 동의를 받아야 한다(제8조제1항). 다만, 각 회원국은 개별 법률을 통하여 부모나 보호자의 동의를 요하는 아동의 연령 기준을 만 13세까지 낮추어 규정할 수 있다.(제8조제2항).
- 개인정보의 합법 처리 기준 : 개인정보 처리의 합법성ㆍ공정성ㆍ투명성 원칙에 따라 개인정보 처리는 GDPR에서 허용한 다음 중 어느 하나 이상의 요건에 해당해야 합법 처리로 인정된다(제6조).
- 1. 정보주체가 하나 이상의 특정한 목적을 위하여 본인의 개인정보 처리에 동의한 경우
- 2. 정보주체가 계약 당사자로 있는 계약의 이행을 위하여 또는 계약 체결 전 정보주체의 요청에 따라 조치를 취하기 위하여 처리가 필요한 경우
- 3. 컨트롤러에 적용되는 법적 의무를 준수하는 데 처리가 필요한 경우
- 4. 정보주체 또는 자연인인 제3자의 생명상의 이익을 보호하기 위하여 처리가 필요한 경우
- 5. 공익상의 이유 도는 컨트롤러에게 부여된 직무권한을 행사할 때 처리가 필요한 경우
- 6. 컨트롤러 또는 제3자의 적법한 이익을 달성하기 위하여 처리가 필요한 경우
- 원스톱숍 메커니즘의 도입 : 원스톱숍 메커니즘(One stop shop mechanism)이란 처리되는 개인정보의 정보주체가 유럽연합 내 여러 국가에 흩어져 있는 경우에 주 사업장이나 단일 사업장이 소속된 국가의 감독기구가 주 감독기구의 역할을 수행하면서 다른 회원국의 감독기구와 수시로 협력함으로써 컨트롤러ㆍ프로세서가 하나의 감독기구만을 대상으로 대응 가능한 집행 체계를 말한다. 원스톱숍 메커니즘을 통해 컨트롤러와 프로세서는 여러 국가와 흩어져 있는 정보주체의 개인정보 처리에 대하여 하나의 감독기구(주 감독기구)를 대상으로 대응이 가능하다(제56조, 전문 제127항). 각 감독기구는 GDPR 위반이 한 회원국의 사업장에만 관련이 있거나 해당 회원국의 정보주체에 중대한 영향을 미치는 경우 주 감독기구에 관련 사항을 통지해야 하며, 내용을 통지 받은 주 감독기구는 해당 감독기구가 자체적으로 사안을 처리할 것인지 주 감독기구에서 해당 사안을 처리할 것인지 결정해야 한다. 이 때 주 감독기구가 해당 사안을 처리하는 경우 이 역시 원스톱숍 메커니즘이 작동한 것으로 본다.
- 프로세서에 대한 적용 : GDPR은 프로세서를 직접 규제하는 다음 내용을 다수 포함하고 있어서, 프로세서도 개인정보보호를 위한 다양한 의무를 부담한다.
- 1. DPO 지정(제37조)
- 2. 처리활동의 기록(제30조)
- 3. 개인정보 처리 보안 기준 적용(제32조)
- 4. 정기적인 개인정보 영향평가 수행(제35조)
- 5. 제3국 및 국제기구로의 개인정보 역외 이전
- 6. 국가 감독기구 협조 의무(제31조) 등
프로세서는 제재의 직접적 적용 대상이 되며(제83조), GDPR 요구 사항을 충족하지 못할 경우 정보주체로부터 배상을 요구받을 수 있다(제79조).
- 정보주체의 권리
- 1. 정급권(제15조)
- 2. 정정권(제16조)
- 3. 삭제권(제17조)
- 4. 처리; 제한권(제18조)
- 5. 개인정보 이동권(제20조)
- 6. 반대권(제21조)
- 7. 프로파일링을 포함한 자동화된 의사결정의 대상이 되지 않을 권리(제22조) 등
- 책임성과 거버넌스 : 공공기관이나 정기적ㆍ체계적ㆍ대규모 등 일정 기준에 해당하는 컨트롤러나 프로세서는 DPO(Data Protection Officer)를 지정해야 하고(제37조~제39조), 컨트롤러에게도 GDPR 각 규정의 준수를 위하여 일정한 의무가 부과된다. 예를 들면, 문서보관의무나 개인정보 영향평가(제35조)를 받을 의무가 있으며, 기획 단계에서부터 기본적으로 정보보호가 높은 수준으로 설정될 수 있도록 관련활동을 수행하여야 한다(Data protection by design and by default, 제25조). 구체적으로 개인정보보호를 위하여 아래와 같은 책임성 및 거버넌스가 요구된다.
- 1. 처리 활동의 기록(제30조)
- 2. 높은 위험(high risk)을 내재한 개인정보 처리에 대하여 개인정보 영향평가 수행(제35조)
- 3. DPO 지정(제 37조)
- 4. 개인정보 침해 통지 및 종합적 기록 유지(제33조~제34조)
- 5. Data protection by design and by default 이행(제25조) 등
- DPO 지정 의무 : 다음에 해당하는 경우 DPO를 의무적으로 지정해야 하며, DPO는 조직이 개인정보보호 의무를 준수하도록 도움을 줄 수 있다.
- 1. 정부부처 또는 관련기관이 개인정보를 처리하는 경우(법원은 예외)
- 2. 컨트롤러나 프로세서의 핵심 활동이 다음에 해당하는 경우, 정보주체에 대한 대규모의 정기적이고 체계적인 모니터링에 해당하는 활동 또는 민감정보나 범죄경력 및 범죄행위에 대한 대규모 처리인 활동
- 개인정보 역외 이전 메커니즘 : GDPR이 인정하는 개인정보의 역외 이전 메커니즘에 따르는 경우에만 유럽연합 역외로의 개인정보 이전이 허용된다.
- 1. 적정성 결정(adequacy decision)을 통하여 개인정보보호 관련 법제가 적절한 수준의 보호를 보장하고 있다고 인정된 국가로 이전하는 경우(제45조)
- 2. '적절한 보호조치(appropriate safeguards)의 제공', '정보주체의 권리 행사 보장', '효과적인 법적 구제 수단의 존재'에 모두 해당하는 경우(제46조), 적절한 보호조치에는 구속력 있는 기업 규칙(Binding Corporate Rules), 표준 개인정보보호조항(Standard data protection clauses), 승인된 행동규약(code of conduct), 승인된 인증 메커니즘(certification) 등이 포함된다.
- 3. 적정성 결정이나 적절한 보호조치가 없는 경우에도 명시적 동의(explicit consent), 계약의 이행 또는 정보주체의 요청으로 필요한 경우, 공익의 중요한 이유 등과 같은 특정 상황에서 예외 요건에 해당하는 경우에 역외 이전이 가능하다(제49조).
- 개인정보 침해 시 통지의무 : 컨트롤러는 개인의 권리와 자유에 위험을 일으킬 가능성이 있는 침해가 발생한 경우, 개인정보 침해 사실을 인지한 시점으로부터 72시간 내에 감독기구에 신고하여야 하며, 개인의 자유와 권리에 높은 위험이 예상될 때에는 부당한 지체 없이(without undue delay) 침해 사실을 정보주체에게 통지하여야 한다. 다만 개인정보 침해가 개인의 자유와 권리에 위험을 일으킬 가능성이 낮은 경우 통지 하지 않을 수 있다. 만약, 감독기구에 대한 신고가 72 시간 이내에 이루어지지 않는 경우에는 지체된 이유를 함께 신고해야 한다.
- 제재 : 각각의 개인정보 처리에 따라 제재 규정을 적용하며, '사업체 집단' 매출을 바탕으로 과징금(fines imposed by reference to the revenues of an undertaking)을 부과한다.
- 1. GDPR 규정의 일반적 위반의 경우 직전 회계연도의 전 세계 매출액 2% 또는 1천만 유로 중 더 큰 금액을 상한으로 하여 부관
- 2. GDPR 규정의 심각한 위반의 경우 직전 회계연도의 전 세계 매출액 4% 또는 2천만 유로 중 더 큰 금액을 상한으로 하여 부과
- 인증제도 및 인증기관에 대한 인정 : GDPR은 기업의 GDPR 준수 입증을 위해 인증 메커니즘(certification mechanism)의 이용을 권장하고 있다. 인증 제도를 활용할 경우 기업은 기술적ㆍ관리적 조치 및 개인정보 이전과 관련한 적절한 보호조치를 실시하고 있음을 입증할 수도 있다. 인증서는 감독기구나 지정된 인증기관이 발행하며 인증의 유효기간은 최대 3년이다. GDPR은 인증을 발급하는 인증기관(certification bodies)이 소관 감독기구(competent supervisory authority)나 국가의 인정 기관(national accreditation body), 또는 두 기관 모두의 인정을 받도록 요구하고 있다. 이는 인증 메커니즘 수립과 개인정보보호를 보장하기 위한 것으로, 효과적인 인증 메커니즘을 도입할 경우 GDPR 준수와 정보주체에 대한 투명성 향상 효과를 제공할 것으로 기대된다.[2]
주요 용어
- 개인정보(Personal data)(제4조제1항) : '개인정보'란 식별되었거나 또는 식별 가능한 자연인(정보주체)과 관련된 모든 정보를 의미한다. 개인과 관련되어 있는지의 여부를 판단할 때에는 정보의 내용(직ㆍ간접적으로 개인 또는 그들의 활동에 대한 것인지의 여부), 그 정보의 처리 목적, 그 정보를 처리함으로써 개인에게 미치는 영향이나 결과를 고려할 필요가 있다. 부정확한 정보라고 하더라도 식별가능한 개인과 관련되어 있다면 개인정보일 수 있다. GDPR은 기존 지침에 명시적으로 기재하지 않았던 온라인 식별자, 위치정보, 유전정보 등을 개인정보에 포함함으로써 개인정보의 개념을 확립하고 있다. 이 때 개인정보의 형태는 문자에 한정하지 않고 특정 개인을 나타내는 음성, 숫자, 그림, 사진 등의 형태를 포함한다. 개인을 직접 또는 간접적으로 식별 가능한 경우라면, 이름ㆍ전화번호 등과 같은 일반적인 개인정보 외에 온라인 식별자나 위치정보도 GDPR이 정의하는 개인정보에 해당한다. 개인정보의 구체적인 예로는 자연인의 성명, 식별번호, 소재지 정보, 메일주소, 온라인 식별자(IP주소, 쿠키 식별자), 신체적ㆍ생리학적ㆍ유전자적ㆍ정신적ㆍ경제적ㆍ문화적ㆍ사회적 고유성에 관한 요인 등이 있다.
- 처리(제4조제2항) : 개인정보의 '처리'란 자동적인 수단인지의 여부와 관계없이 개인정보 또는 개인정보의 집합에 대하여 행하는 단일의 작업 또는 일련의 작업을 말한다. 신용카드 정보의 보존, 메일 주소의 수집, 고객 연락정보의 변경, 고객 성명의 공개, 상급자의 종업원 업무 평가 열람, 정보주체의 온라인 식별자 삭제, 전 직원의 성명이나 사내의 직무, 사업소의 주소, 사진을 포함한 명주의 작성 등이 모두 개인정보의 '처리'에 해당한다.
- 컨트롤러(Controller)(제4조제7항) : 컨트롤러는 개인정보 처리의 목적과 수단을 결정하는 주체를 의미하며, 이와 같은 결정은 컨트롤러 단독으로 하거나 또는 제3자와 공동으로 할 수 있다. 자연인을 비롯하여 법인, 정부부처 및 관련기관, 기타 단체 등이 컨트롤러가 될 수 있다. 이 때 개인정보 처리의 목적과 수단이 유럽연합 또는 회원국(member state)의 법률에 의해 결정되는 경우, 컨트롤러 또는 컨트롤러 지정을 위한 기준은 유럽연합 또는 회원국의 법률에 의해 정의될 수 있다.
- 프로세서(Processor)(제4조제8항) : 프로세서는 컨트롤러를 대신하여 개인정보를 처리하는 자연인, 법인, 정부부처 및 관련기관은, 기타 단체 등을 의미한다. 프로세서는 컨트롤러의 지시에 따라 개인정보를 처리하며, 이 때 컨트롤러는 반드시 구속력 있는 서면 계약에 의해 프로세서를 지정하여야 한다.
- 수령인(Recipient)과 제3자(Third party)(제4조제9항~제10항) : 수령인은 제3자인지 여부와 관계없이 개인정보를 공개ㆍ제공받는 자연인이나 법인, 정부부처 및 관련기관, 기타 단체 등을 의미한다. 컨트롤러는 정보주체에게 그들의 개인정보가 어떤 수령인에게 공개ㆍ제공되었는지 알려주어야 하는 의무를 부담하므로, 수령인 또는 수령인의 유형을 사전에 식별할 필요가 있다. 제 3자는 1) 정보주체, 2) 컨트롤러, 3) 프로세서, 4) 컨트롤러ㆍ프로세서의 직접적 권한에 따라 개인정보를 처리할 수 있는 사람을 제외한 모든 자연인이나 법인, 정부부처 및 관련기관, 기타 단체 등을 의미한다.
- 프로파일링(Profiling)(제4조제4항) : 프로파일링은 개인의 특성을 평가하기 위하여 행해지는 모든 형태의 '자동화된(automatic)' 개인정보 처리를 의미한다. 예를 들면 개인의 업무 수행, 경제적 상황, 관심사, 지역적 이동 등을 분석하거나 예측하기 위하여 개인정보를 자동화된 방식으로 처리하는 경우 프로파일링에 해당한다. 컨트롤러는 프로파일링의 경우에도 GDPR의 개인정보보호 원칙에 따른 보호조치를 취해야 하며, 프로파일링에 사용된 개인정보(input personal data)와 프로파일링 결과 생성된 정보(output data) 모두에 정보주체의 권리를 보장해야한다. 프로파일링을 통한 민감정보의 처리는 제9조제2항 민감정보 처리 규정이 준수된 경우에만 가능하며 프로파일링을 포함한 자동화된 의사 결정에는 제22조를 통해 추가적인 보호조치를 적용해야 한다.
- 가명처리(Pseudonymisation)(제4조제5항) : 추가적 정보의 사용 없이는 더 이상 특정 정보주체를 식별할 수 없도록 개인정보를 처리하는 것을 가명처리라고 한다. 이 때 추가적 정보는 분리 보관하여야 하고, 해당 정보를 이용하여 개인을 식별할 수 없도록 기술적ㆍ관리적 조치를 취하여야 한다. GDPR에서 가명처리를 거친 정보는 추가적 정보의 사용을 통하여 개인 식별 가능성이 있으므로 개인정보로 본다(전문 제26항). 개인정보를 가명처리 하는 경우, 해당 기업은 1) Data protection by design and by default 의무를 충족하는데 도움이 되고, 2) 개인정보를 보호할 수 있는 보안 수단으로서 장점 등을 가질 수 있다.
- 정보사회서비스(Information society service)(제4조제25항) : 정보사회서비스란 서비스를 제공받는 자의 개별적 요청에 따라 원격으로 전자적 수단을 통하여 통상 영리 목적으로 제공되는 서비스를 의미한다. 정보사회서비스는 전자상거래서비스와 같이 온라인에서 재화와 용역을 사고파는 서비스에 한정되지 않으며, 상업적 목적으로 운영되는 모든 웹사이트가 정보사회서비스에 해당할 수 있다.
- 감독기구(supervisory authority)(제4조제21항~제22항)와 주 감독기구(lead supervisory authority) : GDPR은 유럽연합 회원국마다 하나 이상의 감독기구(supervisory authority 또는 data protection authority)의 설립을 의무함으로써 컨트롤러와 프로세서의 개인정보 처리 활동에 대한 공조와 통제가 가능하도록 하고 있다. 감독기구는 다음 사유에 해당하는 경우 컨트롤러 또는 프로세서의 개인정보 처리에 관여할 수 있다.
- 1. 컨트롤러나 프로세서가 자국 영토에 설립한 사업장에서 행하는 정보 처리
- 2. 공익을 위하여 정부부처 및 관련기관이나 민간기구가 행하는 정보 처리
- 3. 자국 영토의 정보주체에 영향을 미치는 정보 처리
- 4. 유럽연합 역내에 설립되지 않은 컨트롤러나 프로세서가 해당 감독기구가 설립된 국가에 거주하는 정보주체를 대상으로 행하는 정보 처리 등(전문 제122항)
- GDPR은 본문 전반에 걸쳐 다음과 같이 감독기구의 업무와 권한을 명시하고 있다(제57조).
- 1. 컨트롤러와 프로세서와 협력
- 2. 영향평가의 수행 등에 대한 자문
- 3. 개인정보 침해 통지에 대한 신고 접수 및 민원 처리
- 4. 개인정보 침해 대책에 대한 지침 마련
- 5. 제28조제8항 및 제46조제2항(d)의 표준 개인정보보호 조항의 채택
- 6. 개인정보 역외 이전에 대한 고지 접수
- 7. GDPR 시행과 관련한 조사 실시
- 8. 개인정보처리 관련 위험, 규칙, 안전 조치 및 권리에 대한 공공 의식의 향상
- 9. 감독기구 간 상호협력 등
- 10. BCR 승인 및 인증업무 등
- 감독기구는 업무 수행과 권한 행사에서 완전한 독립성을 가져야 하며, 별도의 연간 공공 예산을 받아야 한다. 또한 다른 감독기구와의 상호 협력 및 지원과 관련된 업무 등 효과적인 업무 수행에 필요한 재정ㆍ인적 자원, 부지, 기반 시설을 제공받을 수 있다(전문 제120항).
- 다음에 해당하는 주 사업장 또는 단일 사업장을 관할하는 감독기구의 경우 주 감독기구(lead supervisory authority)가 된다.
- 1. 유럽연합 내 하나 이상의 회원국에 배치된 컨트롤러나 프로세서의 주 사업장이 해당 감독기구가 소재한 국가에서 개인정보처리를 하는 경우
- 2. 유럽연합 내 설립된 컨트롤러나 프로세서의 단일 사업장에서 시행되는 개인정보 처리가 하나 이상의 회원국의 정보주체에 실질적으로 영향을 미치거나(substantially affect) 미칠 가능성이 있는 경우(전문 제124항). 주 감독기구는 정보주체가 자신의 개인정보 처리에 대하여 민원을 제기할 때, 국경을 초월하는 개인정보 처리 활동을 다룰 1차적 책임이 있다. 이 때 주 감독기구는 관련 있는 다른 감독기구의 모든 조사에 협력하게 된다.[2]
적용 대상
- 적용되는 정보 : GDPR은 개인정보 처리에 대하여 적용된다. GDPR은 판례 및 개별법 등을 통해 표명되어 온 개인정보의 개념을 조문에 포함함으로써 적용 대상을 보다 구체적으로 명시하고 있다. 특히 추가 정보를 이용하여 개인을 식별할 수 있는 가명 정보는 개인정보로 본다는 점을 명확히 했다(전문 제26항). 또한 GDPR은 '민감정보(special categories of personal data)'를 규정하고 있는데, 이는 인종ㆍ민족, 정치적 견해, 종교적ㆍ철학적 신념, 노동조합의 가입 여부, 유전자 또는 생체정보, 건강, 성생활 또는 성적 취향에 관한 정보를 포함한다. 민감정보는 정보주체의 명시적 동의 획득 등의 경우를 제외하고는 원칙적으로 처리가 금지된다.
- 개인정보 보호 대상 : GDPR은 정보주체인 '살아 있는 자연인'의 개인정보에 국한되며, 국적이나 거주지에 관계없이 본인의 개인정보 처리에 관련한 '개인'에 적용된다. 다만 사망한 사람의 개인 정보 처리와 관련하여 개별 회원국이 별도 조항을 두는 것을 제한하지 않는다. GDPR은 법인과 법인으로 설립된 사업체 이름, 법인 형태, 법인 연락처 등에 대한 처리에는 적용되지 않는다(전문 제14항).
- GDPR 준수 대상 : GDPR은 컨트롤러와 프로세서가 개인정보를 처리할 때 적용되며, 컨트롤러뿐만 아니라 프로세서도 GDPR에 규정된 다양한 의무를 준수하여야 한다.[2]
적용 범위
- 물적 범위(Material scope)(제2조제1항) : GDPR은 전체 또는 부분적으로 자동화된 수단에 의한 개인정보의 처리에 적용된다(전자적 데이터베이스나 컴퓨터로 운영되는 파일링 시스템 등). 다만, 수기 처리(manual processing)와 같이 비자동화 수단에 의한 개인정보 처리라고 하더라도(관련성 있는) 파일링시스템의 일부를 구성하는 경우 등에는 적용 대상이 된다.
- 장소적 범위(Territorial scope) : 〈유럽연합 역내: 유럽연합에 사업장을 운영하며, 해당 사업장이 개인정보 처리를 수반하는 경우(제3조제1항)〉, 컨트롤러 또는 프로세서가 유럽연합에 사업장(establishment)을 가지고 있고, 해당 사업장에서의 활동이 개인정보의 처리를 포함한다면 GDPR이 적용된다. 전문 제22항에 따를 때, 사업장이란 지속적인 배치(stable arrangements)를 통하여 효과적이고 실제적인 활동(effective and real exercise of activity)을 수행하는 것을 의미한다. 이러한 의미에서 사업장의 설립 형태는 지사(branch)든 법인격을 지닌 자회사(subsidiary)든 상관없다.
- 사례 1) : 전자상거래 웹사이트를 운영하는 한국회사는 유럽연합 시장에 대한 영업 전망 및 마케팅 캠페인을 주도하고 실행할 목적으로 베를린에 유럽 사무소를 개설했다. 정보처리 활동은 한국에서 독점적으로 하는 웹사이트이다. 이 경우 유럽연합 시장에 대한 영업 전망 및 마케팅 캠페인 덕분에 전자상거래 웹사이트 서비스가 명백히 수익 창출 역할을 할 경우, 베를린 내 유럽 사무소 활동은 한국 전자상거래 웹사이트가 수행하는 개인정보 처리와 불가분하게 연계된 것으로 간주한다. 한국 회사의 개인정보 처리는 유럽연합 역내 사업장인 유럽 사무소 활동에서 수행되는 것으로 간주되므로 제3조제1항에 따라 GDPR 조항의 적용을 받는다.
- 유럽연합 역내에 사무소, 대리인 또는 지속적인 배치(stable arrangements)를 두지 않은 때에는 GDPR 제3조제1항의 적용을 받지 않는다,
- 사례 2) : 한국의 호텔ㆍ리조트 체인은 영국, 독일, 프랑스 및 스페인에서 사용할 수 있는 패키지를 웹사이트를 통해 제공하지만, 유럽연합 역내에 사무소, 대리인 또는 지속적인 배치를 두고 있지 않다. 호텔ㆍ리조트의 대리인 및 지속적인 배치가 유럽연합 역내에 없을 경우에 GDPR 제3조제1항 적용 측면에서는 유럽연합 사업장으로서 자격 요건이 성립될 수 없고, 따라서 관련된 처리는 GDPR 제3조제1항에 따른 적용을 받지 않는다. 그러나 한국의 호텔ㆍ리조트 체인의 구체적인 활동을 분석함으로써 GDPR 제3조제2항에 따른 적용을 받을 여지는 남아 있다.
- 〈EU 역외: EU에 있는 정보주체에게 재화나 서비스를 제공하는 경우 또는 EU 내 정보 주체의 행동에 대한 모니터링(제3조제2항)〉, 유럽연합에 사업장을 가지고 있지 않더라도 다음에 해당하는 경우에는 GDPR이 적용된다.
- 1. 유럽연합 내에 있는 정보주체에게 재화나 서비스를 제공(offering)하는 경우(정보주체가 실제로 재화 또는 서비스의 비용을 지불하였는지 여부와는 무관하다)
- 2. 유럽연합 내에 있는 정보주체에 대하여 유럽연합 내에서의 행동을 모니터링하는 경우[2]
적용 예외
- 적용 예외(National derogations)(제2조제2항) : GDPR은 다음 경우에 해당하는 개인정보 처리에는 적용되지 않는다.
- 1. 유럽연합 법률의 범위를 벗어나는 활동
- 2. 개별 회원국에서 수행하는 유럽연합의 공동 외교 안보 정책과 관련된 활동
- 3. 자연인이 순수하게 수행하는 개인 또는 가사 활동(purely personal or household activities)
- 4. 공공 안전의 위협에 대한 보호 및 예방을 포함하여, 관할 감독기구(competent authorities)의 범죄 예방, 수사, 탐지, 기소 및 형사처벌 집행 관련 활동[2]
각주
- ↑ 네이버 프라이버시센터 - https://privacy.naver.com/gdpr/understand?menu=gdpr_understand
- ↑ 2.0 2.1 2.2 2.3 2.4 2.5 유럽연합 일반개인정보보호법 가이드북 - https://gdpr.kisa.or.kr/gdpr/bbs/selectArticleDetail.do?bbsId=BBSMSTR_000000000101&nttId=758
참고자료
- 키사 GDPR 대응지원센터 홈페이지 - https://gdpr.kisa.or.kr/
- 네이버 프라이버시센터 - https://privacy.naver.com/gdpr/understand?menu=gdpr_understand
- 유럽연합 일반개인정보보호법 가이드북 - https://gdpr.kisa.or.kr/gdpr/bbs/selectArticleDetail.do?bbsId=BBSMSTR_000000000101&nttId=758
같이 보기