http://blog.naver.com/it-is-law/221090870777 EU GDPR(유럽 일반 개인정보 보호법) 안내서 ①편 포스팅을 통해, GDPR에서 쓰이는 주요용어에 대해 알려드렸었죠. GDPR에는 국내 개인정보보호법과 의미가 다소 다르거나 우리 법에는 없는 개념이 일부 정의되어 있으므로, 우선 각 용어의 정확한 의미를 이해하는 것이 중요한데요. 개인정보, 컨트롤러, 프로세서, 수령인과 제3자, 프로파일링, 정보사회서비스 등 각 항에 규정된 용어들의 개념이 우리나라 개인정보 보호법령에서 정하고 있는 용어의 개념과 일견 유사하면서도 차이가 있기 때문입니다. 한 예로 GDPR 상의 ‘컨트롤러’와 우리나라 법상의 ‘위탁자’는 일견 유사하지만, 위탁자는 자신의 사무 처리를 위해 통상 직접 수집한 개인정보를 수탁자에게 제공해야 하는데 반해, 컨트롤러는 개인정보 처리의 목적과 수단을 규정하기만 하면 족할 뿐 자신이 개인정보를 직접 수집하여 프로세서(≒수탁자)에게 제공할 필요는 없습니다.
한편 현재 우리나라 개인정보보호법과 정보통신망법은, ‘개인정보 처리위탁’ 관계에서 수탁자가 법을 위반할 시 위탁자의 사용자책임을 간주하는 것과 달리, ‘제3자 제공’의 경우 사용자 책임 간주 규정이 없습니다. 따라서 제3국 수탁자에 대한 감독권한을 보유한 국내의 개인정보처리 위탁자를 관리함으로써 간접적으로 제3국 수탁자의 법 준수를 유도하는 한편, 국가의 사전 개입을 통해 안전한 국가로 개인정보가 이전되도록 통제할 필요가 있는데요. 4차 산업혁명 시대에서는 인공지능, 사물인터넷, 클라우드컴퓨팅 등의 확산에 따라 데이터의 폭발적 증가와 광범위한 유통 현상이 나타날 것이며 이로 인해 국경을 초월해 정보가 보관·처리되는 ‘개인정보의 국외이전’ 문제가 자주 발생할 것으로 예측되는 바, 단순히 개인정보 보호뿐만 아니라 EU 역내 개인정보의 자유로운 이동을 주요 목적으로 하고 있는 GDPR은 앞으로 우리나라 개인정보 보호 법제도 개선에 한 가이드라인으로 작용할 것입니다. 이어지는 오늘 포스팅에서는 GDPR의 적용 대상과 범위에 대해 알아보도록 하겠습니다. GDPR은 ‘살아있는 자연인’의 개인정보에 적용되며, EU에 사업장을 운영하며 개인정보 처리를 수반하는 경우와 EU에 사업장을 가지고 있지 않더라도 EU 거주 정보주체에게 재화와 서비스를 제공하거나 EU 내 정보주체의 모니터링을 하는 경우에 적용됩니다. 1. 적용 대상 (1) 적용되는 정보 우선 GDPR은 개인정보의 처리에 대해 적용됩니다. 여기서 ‘개인정보’란 식별되었거나 또는 식별가능한 자연인(정보주체)과 관련된 모든 정보를 의미하며, ‘식별가능한 자연인’은 이름, 식별번호, 위치정보, 온라인 식별자(online identifier) 등의 식별자를 참조하거나 하나 또는 그 이상의 신체적·생리적·유전적·정신적·경제적·문화적 또는 사회적 정체성에 대한 사항들을 참조하여 직접적 또는 간접적으로 식별될 수 있는 사람을 뜻합니다. 가명화 정보는 추가 정보를 이용할 경우 개인을 식별할 수 있는 정보로서 식별할 수 있는 개인에 관한 정보로 간주되어야 합니다. 다만 익명화되어 더 이상 식별이 불가능한 정보에는 GDPR이 적용되지 않습니다. 또한 GDPR은 민감정보를 ‘특별한 유형의 개인정보’로 규정하고 있습니다. 민감한 개인정보는 인종·민족, 정치적 견해, 종교·철학적 신념, 노동조합 가입여부, 유전자 또는 생체정보, 건강, 성생활, 또는 성적 취향에 관한 정보를 의미합니다. 민감한 개인정보는 정보 주체의 명시적 동의 획득 등의 경우를 제외하고는 원칙적으로 처리가 금지됩니다. (2) 적용되는 사람 GDPR은 정보주체인 ‘살아있는 자연인’의 개인정보에 적용되며, 사망한 사람의 개인정보에는 적용되지 않습니다. 단 GDPR은 개별 회원국이 사망한 사람의 개인정보 처리와 관련한 규정을 별도로 두는 것을 제한하지는 않습니다. GDPR은 국적이나 거주지에 관계없이 본인의 개인정보 처리에 관련된 개인에 적용됩니다. 따라서 법인과 법인으로 설립된 사업체의 이름, 법인의 형태, 법인 연락처 등에 대한 처리에는 적용되지 않습니다. GDPR은 컨트롤러(≒위탁자)와 프로세서(≒수탁자)에게 적용됩니다. 특히 GDPR에서는 컨트롤러와 프로세서 모두에 대해 ‘개인정보 처리활동 기록’ 등 구체적인 법적 의무를 부과하고 있다는 점이 기존에 비해 새롭게 강화된 부분입니다. 컨트롤러는 개인정보 처리 시 정보의 성격, 범위, 목적, 위험성 등을 고려하여 GDPR 준수 아래 수행되는 것을 보장하고, 이를 입증할 수 있는 적절한 기술적·조직적 조치를 이행해야 합니다. 프로세서는 원칙적으로 컨트롤러의 특정 또는 일반 서면 승인 없이는 다른 프로세서가 업무에 관여하게 할 수 없습니다. 2. 적용 범위 (1) 물적 범위 GDPR은 전체적 또는 부분적인 ‘자동화된 수단’에 의한 개인정보 처리에 적용됩니다. 여기서 자동화된 수단이란 전자적 데이터베이스나 컴퓨터로 운영되는 파일링 시스템 등을 뜻합니다. 다만 수기 처리와 같이 비자동화 수단에 의한 개인정보 처리라 하더라도, 관련성이 있는 파일링 시스템의 일부를 구성하는 경우에는 GDPR이 적용됩니다. (2) 지리적 범위 1) EU 내 EU 내에 사업장을 가지고 있고, 해당 사업장의 활동이 개인정보의 처리를 포함한다면 GDPR이 적용됩니다. 다만 ‘사업장’이 무엇을 의미하는지는 현재 GDPR에 구체적으로 정의되어 있지 않습니다. 이러한 사업장의 설립형태는 법인격을 지닌 분점이든 자회사든 상관없습니다. 2) EU 외 EU 내에 사업장을 가지고 있지 않더라도 일정 조건에 부합하는 경우 GDPR이 적용됩니다. ① EU 내의 정보주체인 거주자에게 재화나 서비스를 제공하는 경우라면, 정보주체가 실제로 재화 또는 서비스에 대한 비용을 지불했는지 여부와 무관하게 GDPR이 적용됩니다. 이때 어떤 행위가 ‘제공’에 해당하는지는 개별 사안에 따라 판단하여야 합니다. 제공과 관련하여 고려할 수 있는 요소로는 서비스 제공 시 언어·통화 지원 여부 등이 있으므로, 예를 들어 해외에서 운영하는 웹사이트가 EU 회원국인 독일의 통화와 언어를 지원하고 독일에 상품을 배송하는 국제 배송 서비스를 제공한다면 GDPR이 적용됩니다. 이에 반해 단순히 웹사이트를 제작하여 인터넷에 공개한 것에 그쳤다면 서비스를 제공했다고 보기는 어렵습니다. ② EU 내 정보주체인 거주자에 대해 EU 내에서의 행동을 모니터링하는 경우에도 GDPR이 적용됩니다. 3. 적용의 예외 GDPR은 다음의 경우에 해당하는 개인정보 처리에는 적용이 배제됨을 명시적으로 규정하고 있습니다. 1) EU 법률의 범위를 벗어나는 활동 ※ 예: EU 개별 회원국의 형사법과 관련하여 수행하는 활동 2) EU의 일반적 해외·안보 정책과 관련하여 개별 회원국에서 수행하는 활동 3) 자연인이 순수하게 수행하는 개인 또는 가사 활동 4) 공공안전의 위협에 대한 보호 및 예방을 포함하여, 관할 감독기구의 범죄 예방, 수사, 탐지, 기소 및 형사처벌 집행 관련 활동
이어지는 GDPR 관련 포스팅에서는, 우리나라 개인정보 보호 법령상 개인정보 위탁자와 유사한 ‘컨트롤러와’ 개인정보 수탁자와 유사한 ‘프로세서’의 의무 및 책임에 대해 알아보도록 하겠습니다. |