주요 질의 및 답변(Q&A)

EU 집행위원회 질의응답 사례

아래 질문과 답변은 EU 집행위원회에서 공개 게시한 FAQs와 한국인터넷진흥원 국제협력센터를 통하여 접수된 질의를 바탕으로 구성되었습니다. 아래의 질의응답 사례는 GDPR 전체의 내용을 포괄하지 않을 수 있으며, GDPR 본격 시행 이후 EC의 입장과 실제 판결 사례와 상황에 따라 그 내용이 변경될 수 있으므로 해당 자료에만 의존한 의사결정에 대하여 권장하지 않습니다.

또한 본 질의응답을 바탕으로 한 의사결정의 책임은 한국인터넷진흥원에 있지 않음을 알려 드립니다.

하거나 EU 역내의 정보주체를 모니터링하는 경우

예) ① GDPR 적용 경우 : 교육 업체가 EU 내의 스페인권과 포르투갈어권 대학에 강좌를 개설하고, 서비스 제공을 위하여 고객의 ID와 비밀번호를 요구하는 경우 ② GDPR 적용 예외 경우 : EU 역외에 설립된 기업이 EU 역내의 정보주체를 구체적으로 겨냥하지 않은 상황에서, EU 내 정보주체가 서비스를 활용하는 경우

4. 컨트롤러(Controller)와 프로세서(Processor)란 무엇인가요?

컨트롤러와 프로세서는 ‘개인정보 처리’의 주체입니다.

컨트롤러는 개인정보 처리의 목적과 방법을 결정하는 주체를 의미하며, 이와 같은 결정권을 제3자와 공동으로 행사할 경우 공동 컨트롤러(Joint controller)의 지위를 획득합니다.

프로세서는 컨트롤러를 대신하여 개인정보를 처리하는 주체로, 프로세서의 책임과 의무는 양자 간의 서면 계약서에 명시되어야 합니다.

예) 한 기업이 급여 관리 대행사와 직원의 임금 관리 업무 계약을 맺고, 대행사가 IT 시스템을 구축하여 직원들의 정보를 처리하는 경우, 업무를 요청한 기업은 컨트롤러가 되고 급여 대행사는 프로세서가 됨

5. 개인정보 삭제권(잊힐 권리)이란 무엇인가요?

정보주체는 다음의 경우 본인의 개인정보에 대한 삭제를 요청할 수 있습니다.

1) 당초 수집 목적을 달성한 경우, 2) 동의를 철회한 경우, 3) 처리에 반대하는 경우, 4) 불법적인 처리의 경우, 5) 국가의 법적 의무 준수를 위한 경우, 6) 아동에게 제공할 정보사회서비스와 관련하여 개인 정보를 처리한 경우

예) ① 개인정보를 삭제하여야 하는 경우

- 정보주체가 SNS 서비스를 활용하다 탈퇴한 후 정보 삭제를 요청한 경우

- 정보 삭제에 의한 개인의 이익이 정보 공개에 의한 공익을 능가하는 경우(검색 엔진에서 개인 정보가 담긴 링크나 웹 페이지 삭제)

② 즉시 삭제를 할 수 없는 경우

- 다른 개별법에서 개인정보의 보관을 명문화한 경우(이 경우, 정보주체는 자신의 정보에 대한 처리의 제한을 요구할 수 있음)

ⅹ 참고자료

6. 개인정보 이동권이란 무엇인가요?

정보주체는 다음에 해당하는 자신의 정보를 다른 기업에 전송할 것을 요청할 수 있습니다.

1) 정보주체가 컨트롤러에게 제공하였으며, 2) 정보주체의 동의에 근거하거나 계약의 이행을 위해, 3) 처리가 자동화된 수단에 의해 이루어지는 경우

예) SNS 서비스 고객이 타 SNS 서비스로 사진 등의 개인정보 이동을 요청한 경우

7. DPO(Data Protection Officer)란 무엇이며 어떤 경우 필수로 지정해야 하나요?

DPO는,

컨트롤러・프로세서의 개인정보 처리 활동 전반에 관해 자문 역할을 하는 전문가로, 조직의 관리 체계 구축・임직원 교육・감독기구와의 의사소통 등의 역할을 수행합니다.

기업은 DPO로 조직 내부의 직원을 임명할 수 있으며, 외부 서비스 계약에 의한 DPO 임명도 고려할 수 있습니다. 또한 DPO는 기업으로부터 업무상 지시를 받지 않으며, 최고 경영진에게 직접 보고할 수 있는 권한이 보장되어야 합니다.

다음의 경우에 컨트롤러・프로세서는 DPO를 필수로 지정하여야 합니다.

1) 기업의 핵심 활동이 대규모 민감정보 처리를 포함하는 경우

2) 기업의 핵심 활동이 개인에 대한 대규모의 정기적이고 체계적인 모니터링을 포함하는 경우 3) 정부부처 및 관련기관의 경우(법원 제외)

예) ① DPO를 필수로 지정하여야 하는 경우 - 민감정보를 대규모로 처리하는 병원

- 쇼핑몰이나 공공장소를 모니터링 하는 보안 회사 - 개인의 프로필을 축적하는 헤드헌팅 업체

② DPO를 임명하지 않아도 되는 경우 - 환자의 정보를 처리하는 의사 개인 - 고객의 정보를 처리하는 소규모 법무 법인

8. 개인정보 영향평가는 어떤 경우 요구되나요?

개인정보 영향평가는,

개인정보 처리가 정보주체의 자유와 권리에 높은 위험을 초래할 가능성이 있는 경우 수행되어야 하며,

영향평가가 특히 요구되는 경우는 다음과 같습니다.

1) 처리가 정보주체의 개인적 측면에 대한 체계적이고 광범위한 평가인 경우 2) 대규모 민감 정보를 처리하는 경우

3) 공공장소에 대한 체계적인 대규모의 모니터링에 해당하는 경우

개인정보 영향평가는 처리 이전 단계에서 수행되어야 하며, 해당 조치를 통해서도 완화될 수 없는 위험이 있는 경우에는 감독기구와 협의가 필요합니다.

예) ① 영향평가가 필요한 경우

- 은행이 신용 정보를 활용하여 고객을 검열하는 경우

- 병원에서 환자의 건강 정보를 포함하여 새로운 건강 정보 데이터 베이스를 구축하려는 경우 - 버스 회사가 기사와 승객의 행동을 감시하기 위하여 차내 카메라를 설치하는 경우 등 ② 영향평가가 불필요한 경우

- 의사가 한정된 숫자의 환자의 개인정보를 처리하는 경우에는 해당 처리가 대규모로 이루어지지 않기 때문에 영향평가가 불필요

9. 개인정보를 역외 이전할 수 있는 조건은 무엇인가요?

EU 역내에서 수집한 개인정보는 다음의 경우 EU 역외로 이전 가능합니다.

1) EU 집행위원회로부터 적정성 승인(Adequacy Decision)을 받은 경우 2) 적정성 승인을 받지 않았지만, 다음의 보호조치를 마련한 경우 ① 구속력 있는 기업 규칙 (Binding Corporate Rules, BCRs)

② 표준 개인정보보호 조항(Standard data protection clauses)에 의거한 개인정보 이전 계약 ③ 승인된 행동규약(code of conduct) 및 인증제도 (certification)

3) 정보주체가 명시적으로 동의한 경우

예) EU 역외(우루과이, 아르헨티나, 브라질)로 개인정보를 이전하는 경우 중

- 우루과이와 아르헨티나는 적정성 승인을 받았기 때문에, 별도의 보호 조치 없이 개인정보의 이전이 가능 - 브라질은 적정성 승인을 받지 않았기 때문에 위의 3가지 보호조치 중 하나를 채택한 경우 또는 정보주체의

명시적 동의가 있는 경우에만 역외 이전이 가능

10. GDPR 위반에 따른 과징금의 부과 및 가액 원칙은 무엇인가요?

GDPR 위반의 경우 전세계 매출액 2% 또는 1천만 유로 중 더 큰 금액이, 심각한 위반의 경우 전세계 매출액 4% 또는 2천만 유로 중 더 큰 금액의 과징금이 부과 됩니다.

과징금 산정에는 다음의 11가지 기준이 있으며, 침해 수준에 비례하여 과징금이 부과됩니다.

1) 위반의 성격, 중대성 및 지속 기간

ⅹ 참고자료 2) 위반의 의도성 또는 태만 여부

3) 정보주체의 피해를 경감하기 위한 컨트롤러・프로세서의 조치 4) 기술적・조직적 보호조치를 고려한 컨트롤러・프로세서의 책임 수준 5) 컨트롤러・프로세서가 이전에 범했던 관련 법규의 위반 여부 6) 위반을 해결하기 위한 감독기구와의 협조 수준

7) 위반으로 인해 영향을 받게 되는 개인정보의 종류 8) 컨트롤러・프로세서의 위반 통지 여부

9) 동일한 사안에 대한 감독기구의 명령이 부과된 바가 있는지 여부 10) 승인된 행동 규약 또는 인증 메커니즘의 준수 여부

11) 위반으로 인해 직간접적으로 얻은 금전적 이익 또는 회피한 손실

1. GDPR의 적용 범위

저희 쇼핑몰의 경우 전 세계적으로 재화를 판매하나 시스템과 운영은 한국에서 하고 있으며 다른 나라 사람에게 판매할 수 있는 영문 사이트도 운영을 하고 있습니다. 이에 유럽에 사는 사람들도 회원으로 가입을 하고 구매를 하는 경우가 있는데 이러한 경우에도 GDPR의 적용을 받아야 하나요?

GDPR은 기업이 '명백히' EU 시장을 염두에 두고 있을 때 적용됩니다. 여기서 '명백히'라고 함은, EU 시장에서 통용되는 언어나 통화를 직접적으로 제공하거나 그에 바탕을 두고 서비스를 제공 함을 의미합니다.

한국에 있는 전자상거래 업체가 독일 도메인을 생성해 독일어로 홈페이지를 구성하고 있다면, 이는 독일 시장을 '명백히' 타겟팅하는 것으로 볼 수 있습니다.

반면 홈페이지를 영어로만 구성하고 통화도 달러만을 활용할 경우, GDPR의 직접적인 규제 대상에서 제외됩니다. EU 시민들의 단순 접근 가능성이 존재하지만, 전세계적으로 통용되는 영어와 달러화를 사용한 것이 EU 시장을 명백히 겨냥했다고 볼 수 없기 때문입니다.

다만 전자상거래 업체의 경우, 배송 서비스를 제공한다면 배송업체와 컨트롤러-프로세서 관계가 형성 되면서 GDPR의 적용을 받을 여지가 있습니다.

2. 동의

GDPR은 ‘명시적 동의’에 근거해 민감정보의 처리 및 프로파일링, 개인정보의 역외 이전이 가능하다고 규정하고 있는데 ‘명시적’ 동의의 정의는 무엇이며, 별도의 절차가 필요하지는 않나요?

‘명시적’이란 정보주체에 의해 동의가 표현되는 방식을 의미합니다. 이는 일반적인 동의에 비해 정보주체의 동의가 명확하게 확인될 수 있는 방식을 의미합니다. 구체적으로, 이메일에 동의 의사를 표시하여 제출하거나, 전자서명을 하는 방식, 동의에 대한 2단계 검증 등이 명시적으로 동의를 표시하는 것으로 인정됩니다. 상황에 따라서는 예-아니오의 선택지와 함께 “나의 개인정보 처리에

한국인터넷진흥원 질의응답 사례

동의합니다.(또는 동의하지 않습니다.)”와 같은 명확한 문구를 제시하는 것도 명시적 동의로 인정될 수 있습니다.

3. 컨트롤러와 프로세서

본사와 해외 법인과의 관계에서 누가 컨트롤러이고, 프로세서인가요?

GDPR에 의하면 컨트롤러는 '개인정보의 처리 목적 및 수단을 결정하는 자연인 또는 법인 등'을 의미합니다. 즉 본사와 해외 법인 중, 현지에서 개인정보를 수집하는 목적과 수단을 규정하는 측이 컨트롤러라고 할 수 있습니다.

따라서 본사가 무조건 컨트롤러고 현지 법인이 프로세서라고 볼 수만은 없습니다.

개인정보 수집과 관련하여 본사가 해외 법인의 활동 범위를 규정한다면 본사가 컨트롤러가 될 것입니다.

반면, 본사의 특별한 지침이 없이 해외 법인이 자체적으로 개인정보의 수집 방식을 정한다면 해외 법인이 컨트롤러가 됩니다.

4. 자유와 권리에 높은 위험을 미치는 경우

GDPR은 개인의 자유와 권리에 ‘높은 위험’을 초래할 가능성이 있는 경우 다양한 보호조치 및 책임성 입증을 요구하고 있는데, GDPR에서 말하는 ‘높은 위험’이란 무엇이며 어떤 경우에 적용되나요?

제29조 작업반에서 발간한 가이드라인에서 높은 위험을 초래할 가능성이 있는 개인정보 처리의 기준 9가지를 제시하고 있습니다.

해당 9가지 기준은 다음과 같습니다.

・ 평가 또는 평점

・ 법적 효과 또는 비슷한 다른 중요한 효과를 지닌 자동화된 의사 결정

・ 시스템을 이용한 감시

・ 민감정보

・ 대규모 정보 처리

・ 연계되거나 결합된 일련의 정보

・ 취약한 정보주체(아동, 난민, 노인, 환자 등)에 관한 정보

・ 신기술의 사용 (예 : 사물인터넷 관련 기술 적용)

・ 처리 자체가 정보주체의 권리 행사나 서비스 이용 및 계약을 방해하는 경우

영향평가의 실시여부를 판단할 때, 원칙적으로 위의 9가지 유형 중 하나의 기준만을 충족하는 경우 위험수준이 낮기 때문에 영향평가를 필요로 하지 않을 수 있으나, 위의 기준 중 적어도 2개를 충족하는 처리작업은 DPIA가 필요하다고 할 수 있습니다.