EU GDPR의 국내적 영향

법무법인 민후 김경환 변호사

- 2 -

개 요

직접적 영향 역외 적용 받는 우리 기업1. ( )

규율의 체계 단일화 및 적용범위 확대1-1. EU

개인정보 활용 기반의 확대1-2.

개인정보 보호체계의 강화1-3.

정보주체 권리 보호의 강화1-4.

법집행 실효성 및 책임성 강화1-5.

간접적 영향 국내 개인정보보호 기관 국내 정보주체 등2. ( , )

법체계에 대한 검토2-1.

개인정보 규율구조에 대한 검토2-2.

개인정보 환경변화에 대한 적응2-3.

개인정보 보호와 활용의 조화 노력2-4.

결어3.

- 3 -

직접적 영향1.역외 적용 받는 우리 기업( )

- 4 -

- 5 -

규율의 체계 단일화 및 적용범위 확대1-1. EU

o 규율 체계의 단일화EU

회원국마다 상이한 개인정보보호 법령을 통일하고 일원화함-

다만 에서 허용되는 범위 안에서 회원국의 강화 입법 보장함- GDPR

o 규율 체계의 단일화에 따른 후속 제도 도입EU

제도- one-stop-shop 제 장( 6 )

일관성 메카니즘- 제 장 제 절( 7 2 )

유럽개인정보보호이사회 의 신설- (European Data Protection Board) 제 장 제 절( 7 3 )

- 6 -

o 규율의 적용범위 확대EU

역외적용 조문- 제 조( 3 )

내 정보주체에게 상품이나 서비스를 제공하는 경우 내 발생하는 정보- EU + EU

주체 행동을 감시하는 경우

o 역외적용 실질화 제도

역내 대리인 지정 의무- (제 조 제 호 제 조4 17 , 27 예외 있음, )

대상 역외의 컨트롤러 또는 프로세서에 대한 역내 대리인- : EU

형식 서면으로 지정 의무- :

권한 개인정보 처리에 관련된 모든 사항- : GDPR

한계 역내 대리인이 지정되었다고 하여 컨트롤러 등에 대한 법적 조치가 침해- :

되지 않아야 함

- 7 -

개인정보 활용 기반의 확대1-2.

o 가명처리의 도입 및 활용

가명처리의 도입- 제 조 제 호( 4 5 )

활용 수집 목적 외 처리의 전제- : 제 조( 6 ) 또는, data protection by design data

의무의 충족protection by default 제 조( 25 ) 적절한 보안수준 조치, 제 조( 32 ) 공익을,

위한 목적 과학 역사 연구의 목적 또는 통계 목적 개인정보 처리의 전제, ㆍ 제( 89

조)

o 프로파일링과 자동화된 개인 결정

원칙적으로 허용됨 견해 대립- ( )

다만 정보주체는 처리반대권과 자동화된 개인 결정에 따르지 않을 권리를 행사-

할 수 있음

- 8 -

o 추가처리 허용과 목적 외 처리

추가처리 의 허용 제 조 제 항 가명처리 포함 의 공익 목- (further processing) : 89 1 ( )

적의 기록 보존 과학적 또는 역사적 연구 또는 통계 목적의 추가처리는 초기ㆍ

의 목적과 일치하는 것으로 봄 제 조( 5 )

목적 외 처리의 허용 사유- 제 조 제 항( 6 4 )

정보주체의 동의

법령에 근거한 경우

다음을 고려하여 초기 목적과 일치한다고 판단한 경우 일반규정( )

초기 목적과 추가 처리의 목적 사이의 관련성(a)

정보주체와 컨트롤러의 관계와 관련하여 개인정보가 수집된 맥락(b)

개인정보의 성격(c)

추가 처리가 정보주체에 대하여 야기할 수 있는 결과(d)

암호화 또는 가명처리를 포함한 적절한 안전장치의 존재(e)

- 9 -

o 개인정보의 국외 이전

- 적절성 평가에 대한 사후 감시 및 철회 근거 신설 제 조 적정성 결정에 근거한 이전( 45 , )

감독당국이 채택하는 표준조항 신설- 제 조 적절한 안전장치에 따른 이전( 46 , )

승인된 인증이나 행동강령 신설- 제 조 적절한 안전장치에 따른 이전( 46 , )

소관 감독당국은 조건을 만족하는 를 승인하는 과정에서 일관성 메커니즘- BCR

거쳐야 함 제 조 구속력 있는 기업규칙( 47 , )

제 국의 법원 또는 행정당국의 결정에 따른 국외이전- 3 제 조( 48 )

제 자의 중대한 이익을 보호하기 위한 국외이전- 3 제 조 특정상황을 위한 예외( 49 , )

컨트롤러의 정당한 이익을 위한 국외이전- 제 조 특정상황을 위한 예외( 49 , )

- 10 -

개인정보 보호체계의 강화1-3.

o 개인정보보호책임자 의 지정 의무(DPO) 제 조 제 조( 37 ~ 39 )

의무인 경우 개인정보 처리가 공공당국 또는 기관에 의해 수행되는 경우 정- : ,

보주체에 대한 대규모의 정기적이고 체계적인 감시의 경우 민감정보나 범죄경,

력 및 범죄 행위에 대한 대규모의 처리

공동 제도 사업체 집단은 공동으로 명 지정 가능- DPO : 1

는 직원이거나 아웃소싱 가능- DPO

o 인증 제도 제 조 제 조( 42 ~ 43 )

인증제도의 목적 컨트롤러와 프로세서의 처리작업이 본 규칙을 준수함을 입증- :

할 목적으로 의무 사항은 아님

인증의 유효기간 년- : 3

인증마크 부여-

- 11 -

o 행동강령과 자율규제 제 조 제 조( 40 ~ 41 )

- 특정한 산업 분야 또는 각 산업 분야의 개인정보 처리를 대표하는 그룹이 해당 산업

분야의 개인정보 처리와 관련하여 을 준수하기 위하여 마련하는 자율적 규범GDPR

의무 사항은 아니나 준수 입증 요소로 중요한 역할을 함- , GDPR

행동강령은 정보주체 등 이해관계인과의 협의를 통해 작성하고 감독당국의 승- ,

인을 얻어야 함

o 개인정보영향평가 제 조( 35 )

개인정보 처리 전에 예상되는 위험 등을 평가하는 절차 특히 새로운 기술을 사- .

용하는 처리의 유형이 자연인의 권리와 자유에 대한 높은 위험을 초래할 것 같

은 경우에 필요

프로파일링을 포함한 자동화된 처리 민감정보 처리 등의 경우에 의무- ,

- 12 -

o 또는Privacy by Design Privacy by Default 제 조( 25 )

컨트롤러의 의무-

개인정보보호 중심 디자인 개인정보보호의 원칙을 효과적 방식으로 이행하고- :

본 규칙의 요건을 충족하고 정보주체의 권리를 보호하기 위해 필요한 적절한

기술적 및 관리적 조치

- 개인정보보호 중심 기본설정 기본설정을 통하여 처리의 개별 특정 목적을 위해:

필요한 개인정보만이 처리되는 것을 보장하기 위한 적절한 기술적 및 관리적 조치

o 개인정보 유출 신고 및 통지 제도 제 조 제 조( 33 ~ 34 )

컨트롤러의 침해 신고 의무 부당한 지체 없이 시간 내 다만 개인정보 침해- : 72 (

가 자연인의 권리와 자유에 대한 위험을 초래하지 않는 경우는 예외)

프로세서의 침해 신고 의무 부당한 지체 없이- :

통지 침해로 자연인의 권리와 자유에 대한 높은 위험을 초래할 것이 예상되는- :

경우 부당한 지체 없이,

- 13 -

o 민감정보 및 아동정보의 처리 제한 제 조 제 조( 9 , 22 )

민감정보 인종이나 민족 기원 정치적 견해 종교나 철학적 믿음 노조 가입을- : , , ,

드러내는 개인정보 유전정보+ 제 조 제 호( 4 13 ) 바이오정보+ 제 조 제 호( 4 14 ) 건강+

관련 정보 제 조 제 호( 4 15 ) 자연인의 성생활 또는 성적취향에 관한 데이터+

민감정보는 명시적 동의 또는 법이 허용하는 경우에 프로파일링 또는 자동화된- ‘ ’

개인 결정 가능

아동정보는 프로파일링 또는 자동화된 개인 결정 불가-

- 14 -

정보주체 권리 보호의 강화1-4.

o 동의의 조건 제 조 제 조( 7 ~ 8 )

동의의- 유효성 및 증거에 의한 입증

컨트롤러는 동의에 대한 입증책임을 부담함-

을 위반하는 의사표시는 효력이 없음- GDPR

동의의 자유로운 철회-

계약 이행에 불필요한 동의를 조건으로 내세운 경우 자유로운 동의가 아닐 수-

있음

아동은 만 세 미만 회원국은 더 낮게 낮출수 있으나 세 미만은 안 됨- 16 . 13

- 15 -

o 정보주체의 권리 제 조 제 조( 12 ~ 22 )

배경 개인정보 환경의 변화 및 새로운 정보처리 기술의 발달- :

정보주체의 권리-

정보 를 제공받을 권리(information) 조(13~14 )

정보 열람권 접근권( ) 조(15 )

정정권 조(16 )

삭제권 조(17 )

처리 제한권 조(18 )

정보 이동권 조(20 )

처리 반대권 조(21 )

프로파일링 등 자동화된 개인 결정에 따르지 않을 권리 조(22 )

- 빅데이터 또는 알고리즘에 대한 권리 제 조( 22 )

인적 개입을 요구할 권리

정보주체가 자신의 견해를 표명할 권리

결정에 대한 설명을 요구하고 이의할 수 있는 권리

- 16 -

법집행 실효성 및 책임성 강화1-5.

o 과징금 제 조( 83 )

전세계 연간 매출액 또는 천만 유로 중 큰 금액- 4% 2

동의를 비롯한 정보처리의 기본 원칙을 위반한 경우‘ ’ 제 조 제 조 제 조 및 제( 5 , 6 , 7 9

조 위반)

정보주체의 권리를 보장하지 않는 경우 제 조 부터 제 조 위반( 12 22 )

제 국이나 국제기구의 수령인에게로 개인정보를 이전할 때 준수해야 할 규정3

을 위반한 경우 제 조 부터 제 조 위반( 44 49 )

전세계 연간 매출액 또는 천만 유로 중 큰 금액- 2% 1

컨트롤러 프로세서의 의무를 위반한 경우, 제 조 제 조 제 조 내지 제 조 제( 8 , 11 , 25 39 , 42

조 제 조 위반, 43 )

인증기관의 의무를 위반한 경우 제 조 제 조 위반( 42 , 43 )

감시기관의 의무를 위반한 경우 제 조제 항 위반( 41 4 )

- 17 -

o 프로세서의 책임 제 조( 28 )

은 년 지침과 달리 프로세서의 의무를 규정하고 있음 따라서 프로세서- GDPR 95 .

도 행정 제재나 손해배상 청구의 상대방이 될 수 있음

통상 컨트롤러와 프로세서가 같이 책임을 지게 됨-

프로세서가 처리의 목적 및 수단을 결정하여 본 규칙을 위반한다면 프로세서는- ,

그 처리와 관련하여 컨트롤러로 간주됨

o 정보주체의 구제수단

감독당국에 민원을 제기할 권리- 제 조( 77 )

감독당국에 대하여 효과적인 사법구제를 받을 권리- 제 조( 78 )

컨트롤러 또는 프로세서에 대하여 효과적인 사법구제를 받을 권리- 조(79 )

손해배상을 받을 권리- 조(82 )

- 18 -

간접적 영향2.국내 개인정보보호 기관 정보주체 등( )ㆍ

- 19 -

법체계에 대한 검토2-1.

는 개인정보에 관한 법을 통일하고 일원화함o EU (Digital Single Market Strategy)

법적 국경이나 장막의 제거⇒

o 우리나라의 현황

현재 국가에 분화된 법적 영역 개인정보보호법 정보통신망법 신용정보법- 1 3 ( , , )

한 정보처리자는 각 부서별로 분화된 법의 적용 또는 배의 법령 적용을 받는- 3 3

상황

각 법의 법적 모순 사회적 모순이나 형평성 문제 발생- ⇒

법실효성 저하 및 법자원 중복 문제 심각-

o 법체계에 대한 검토

주무기관 법 체제 주무기관 법 체제 제안- 3 3 3 1⇒

- 20 -

개인정보 규율구조에 대한 검토2-2.

o 우리나라의 현황 생명주기별 규율( )

수집 이용의 적법 사유- ㆍ 개인정보보호법 제 조 가지( 15 , 6 ) 제공의 적법 사유+ 제 조 제( 17

항 가지1 , 4 ) 목적 외 이용 제공의 적법 사유+ ㆍ 제 조 제 항 가지( 18 2 , 9 ) 위탁의 적법+

사유 정보통신망법 제 조 가지( 25 , 2 )

민감정보의 적법 사유- 개인정보보호법 제 조 가지( 23 , 2 )

o 의 현황GDPR 간이한 구조( )

- 처리의 적법 사유제 조 제 항 가지( 6 1 , 6 ) 목적 외 처리의 적법 사유+ 제 조 제 항 가지( 6 4 , 3 )

민감정보 처리의 적법 사유- 제 조 가지( 9 , 10 )

o 개인정보 규율구조에 대한 검토

세세한 규율구조는 법실효성을 떨어뜨릴 수 있음-

우리법의 적법사유는 대부분 공공기관을 위한 적법사유가 다수임-

규율구조를 간이화하고 민간기업을 위한 적법사유에 관심을 가져야 할 것임- ,

- 21 -

개인정보 환경변화에 대한 적응2-3.

o 우리나라의 현황

변화하는 개인정보 환경에 적응하지 못함-

그간 개인정보보호체계나 법집행실효성 책임성 중심의 개정에 치중했음- ‘ ’ ‘ ’ㆍ

특히 빅데이터 인공지능 등의 기술 변화에 대응한 개정 노력이 없었음- , , IoT

o 개인정보 환경변화에 대한 입법적 적응

입법적으로 정보처리기술의 발달 등 변화하는 개인정보 환경에 적응할 필요가-

있음

개인정보활용기반이나 정보주체권리보호에 대한 관심 필요- ‘ ’ ‘ ’

예컨대 가명처리- 개인정보활용기반( ) 또는 빅데이터 알고리즘에 대한 정보주체의ㆍ

권리 정보주체권리보호( ) 등

- 22 -

개인정보 보호와 활용의 조화2-4. 영원한 숙제( ) 노력

- 23 -

결 어3.

- 24 -

이 무조건 옳은 게 아니라GDPR

그 장점을 흡수하여 우리 실정에 맞게 발전시켜야 함