제정 목적과 법적 성격

• Directive에 비해 변화된 GDPR의 차이점을 설명할 수 있다.

• GDPR 시행이 우리 기업에 미치는 영향을 알 수 있다.

1.1 제정 목적과 의의

GDPR은 자연인에 관한 기본권과 자유(특히 개인정보보호에 대한 권리)를 보호하고 (제1조제2항), EU 역내에서 개인정보의 자유로운 이동(제1조제3항)을 보장하는 것을 목적으로 한다.

또한 GDPR은 개인정보 삭제권, 처리 제한권, 개인정보 이동권, 반대권 등의 신규 권리 추가 및 기존 권리 명확화를 통하여 기존 Directive보다 정보주체의 권리를 확대·강화하 였으며, DPO의 지정, Data protection by design and by default 등의 내용을 통하여 기업의 책임성을 강화하였다.

1.2 법적 효력

GDPR은 종래의 지침(Directive)이 아니라 Regulation이라는 법 형식으로 규율되어 법적 구속력을 가지며, 모든 EU 회원국에게 직접적으로 적용된다(제99조).

기존 Directive에서는 회원국 간 개인정보보호 법제가 서로 달라 규제에 어려움이

Ⅱ

GD

PR

인식 제고와 준비

있었으나, GDPR 제정을 통하여 보다 강력하고 통일된 개인정보보호 규제가 가능하게 되었다.

※ Directive는 각 회원국에 대한 입법 지침 가이드라인 역할을 할 뿐이므로, 지침을 반영한 각국의 개별 입법이 필요하다.

그러나 GDPR 일부 규정에 대해서는 회원국의 별도 입법이 요구되므로, 기업들은 GDPR 이외에 각 회원국의 개인정보보호 관련 입법 동향에 대하여 지속적으로 모니터링할 필요가 있다.

※ 그 동안 시행되어 온 Directive 95/46/EC는 GDPR(2018. 5. 25. 시행과 동시)로 대체 되었다.

[그림 1] EU의 법 체계

법원 (法源)

Directive (지침)

Decision (결정) Regulation

(규칙)

•유럽연합조약(The Treaty on European Union : TEU)

•유럽연합기능조약(The Treaty on the Functioning of the European Union : TFEU) - (제16조제1항) 개인정보보호권(right to the protection of personal data) 명시 - (제16조제2항) 유럽의회와 이사회는 개인정보보호 규정을 제정하여야 함을 명시

•유럽연합기본권장헌장(The Chart of Fundamental Rights of The EU) - (제8조제1항) 개인정보보호권(right to the protection of personal data) 명시 - (제8조제2항) 목적 명확, 동의 원칙, 열람·정정권 명시

- (제8조제3항) 독립적 기관에 이한 통제 필요 명시

•회원국에 직접 적용(EU 회원국의 정부나 민간 활동을 규제)

•회원국이 준수하여야 할 최소한의 요건

•회원국은 지침에 따라 국내법을 제정·개정(회원국 사정에 따라 더 엄격하게 규정 가능)

•적용 대상을 특정 국가, 기업, 개인에게 한정

1.3 GDPR 시행이 미치는 영향

기존 Directive는 처리되는 개인정보의 정보주체가 다수의 국가에 흩어져 있는 경우 단일의 감독기구를 통하는 것에 대한 규정이 별도로 명시되어 있지 않았다.

또한 컨트롤러는 법적 구속력이 없는 Directive와 함께 EU 회원국들 간 서로 다른 별도의 법제를 준수해야 했으므로 과도한 규제 체계로 인한 비용이 가중되어 왔다.

GDPR에서는 one-stop-shop 메커니즘의 도입과 법적 구속력 있는 단일한 규칙을 적용함으로써 기업이 사업 수행에 따르는 필요 비용을 절약할 수 있도록 하였다.

EU에서는 이로 인해 역내 시장의 진입 장벽이 낮아져 시장 기능이 크게 활성화될 것으로 예상하고 있으며, 디지털 단일 시장 조성 등 사업 규제 환경 개선으로 2020년 까지 7,390억 유로의 경제 효과를 기대하고 있다.

⁹⁾

w • 제94조(Directive 95/46/EC의 폐기)

• 제99조(시행과 적용) GDPR 관련 규정

셀프 체크리스트

□ □

□ □

• •  GDPR 시행에 따라 영향을 받는 자사의 비즈니스를 파악하고 있다.

• •  사업장이 위치하고 있는 회원국과, 해당 회원국에서 준수해야 하는 법률(근로법 등)의 내용을 식별하고 있다.

예 아니오

9) European Data Market Study SMART 2013/0063, http://datalandscape.eu/

Ⅱ

GD

PR

인식 제고와 준비

2