EU GDPR의 개념 및 주요 내용
개인정보에 관심있는 분들이라면 누구나 한번쯤은 “GDPR”이라는 단어를 들어보셨을 텐데요.
개인정보 관련 뉴스나 자료에서도 자주 볼 수 있고, 실제로 GDPR이 시행된 2018년에는
구글에서 GDPR 단어가 가수 비욘세보다 더 많이 검색되었을 정도로 많은 관심을 받기도 했습니다.
오늘 브런치글에서는 현재 개인정보 분야에서 많은 영향력을 행사하고 있는
강력한 글로벌 프레임워크인 EU GDPR이란 무엇이고,
그 적용 범위와 주요 내용에는 어떤 것이 있는지 살펴보도록 하겠습니다.
EU GDPR이란?
EU GDPR(General Data Protection Regulation)은 모든 EU 회원국에 적용되는 일반 개인정보보호 법률입니다.
2016년 5월에 제정되어 2018년 5월 25일부터 본격 시행된 GDPR은 (1)자연인에 관한 기본권과 자유(특히 개인정보보호에 대한 권리)를 보호하고, (2)EU 역내에서 자유로운 개인정보의 이동을 보장하는 것을 목적으로 제정되었습니다.
GDPR은 기존의 EU 개인정보보호 지침(Data Protection Directive)을 대체하며 보다 강력한 제재를 규정하고 있습니다. 지침(Directive)과 달리 법 형식인 “Regulation”이기 때문에 그 자체로 법적 구속력을 가지며, GDPR을 위반 시 위법에 따른 제재를 받습니다.
GDPR 위반 시 기업의 전세계 매출액의 4%까지 과징금이 부과될 수 있기 때문에 시행 당시 높은 과징금 규정 또한 많은 화제가 되었는데요. 실제로 GDPR 시행 이후 글로벌 테크 기업들을 포함하여 많은 기업에서 GDPR 위반을 사유로 높은 과징금을 부과받고 있습니다.
한국 기업인데 EU 법률인 GDPR이 중요한가요?
GDPR은 EU 내 설립된 기관이 아니더라도 EU 내에 있는 정보주체에게 재화나 용역을 제공하거나
정보주체가 수행하는 활동을 모니터링하는 경우 적용되기 때문에 해외 기업도 GDPR의 적용을 받을 수 있습니다.
즉, 한국에 설립되어 있는 기업이라도 EU 내 정보주체의 개인정보를 활용하여 서비스를 제공(offering)한다면 GDPR을 준수해야 합니다.
EDPB(European Data Protection Board)의 GDPR 가이드라인에 따르면 서비스 “제공” 여부는 서비스 제공자의 EU 정보주체에게 서비스를 제공하려는 '의도'를 고려하여 판단됩니다.
예를 들어, 미국 이용자를 대상으로 영어로 서비스를 제공하는 인터넷 서비스에 EU 정보주체가 들어와서 사용하는 경우가 발생하더라도 이것만으로는 서비스 제공자가 EU 정보주체에게 서비스를 제공하려는 의도를 입증하기에 불충분한 것으로 보기 때문에 GDPR이 적용되지 않을 수 있습니다.
반면 해당 서비스 내에서 EU 국가의 통화로 결제가 가능할 경우, EU 역내 정보주체에게 서비스를 제공하려는 의도가 명백한 것으로 판단합니다.
따라서 EU 시장을 타겟 국가로 서비스를 제공하는 한국 기업이라면 GDPR을 준수해야 합니다.
EU GDPR의 주요 내용
GDPR에서는 DPO(Data Protection Officer) 및 대리인 지정, 정보주체의 여러가지 권리 보장, 처리활동의 기록, 개인정보 영향평가(DPIA, Data privacy Impact Assessment) 등 많은 개인정보처리자(컨트롤러)의 의무를 명시하고 있습니다.
그 중에서 몇 가지 주요내용에 대해 간략하게 살펴보도록 하겠습니다.
개인정보 처리 시 적법 처리 근거
개인정보를 처리하는 컨트롤러는 GDPR에 명시된 적법 처리 근거(lawful basis for processing)에 근거하여 개인정보를 처리해야 합니다. GDPR은 아래와 같은 총 6가지 처리 근거를 명시하고 있습니다.
(1) (동의) 정보주체가 특정 목적을 위해 개인정보 처리에 명확히 동의한 경우
(2) (계약) 정보주체가 당사자인 계약의 이행 또는 계약 체결 전 정보주체의 요청에 응하기 위하여 필요한 경우
(3) (법적 의무) 컨트롤러에게 적용되는 법령상 의무(계약상 의무 제외) 준수를 위하여 필요한 경우
(4) (중대한 이익) 정보주체 또는 제3자의 중대한 이익(생명)을 보호하기 위하여 처리가 필요한 경우
(5) (공적 업무 수행) 공무 수행 또는 공적 권한 행사를 위하여 필요하고 그 업무와 권한이 법령상 명확한 근거를 가지고 있는 경우
(6) (적법한 이익) 컨트롤러 또는 제3자의 적법한 이익 추구 목적을 위하여 필요한 경우
(1)정보주체의 사전 동의를 근거로 개인정보 처리 시에는 GDPR에 명시된 유효한 동의 요건을 충족하여 동의를 받아야 합니다. 정보주체의 개인정보를 처리할 때에는 위 여섯 가지 적법 처리 기준에 부합하여 처리되고 있는지 면밀하게 검토하고, 정보주체에게 적법 처리 근거를 고지해야 합니다.
EU 역외이전 매커니즘
GDPR의 제정 목적 중 하나는 “EU 역내” 자유로운 데이터의 이동입니다. 따라서 EU 역내에서 역외로 이전되는 데이터에 대해서는 엄격하게 규제하고 있습니다. GDPR상 역외 이전이 가능한 경우는 크게 아래와 같은 세 가지 경우가 있으며, 이러한 적법한 역외이전 근거를 충족하는 경우에만 이전이 가능합니다.
1. 적정성 결정(adequacy decision) 에 따른 이전(제45조)
2. 적절한 보호조치에 의한 이전(제46조)
- 구속력 있는 기업 규칙(binding corporate rules), 표준 개인정보보호 조항(standard data protection clauses), 인증제도(certification mechanism), 행동규약(code of conduct) 등
3. 위험을 고지 받은 후 정보주체가 명시적으로 동의한 경우 등 특정 상황에 대한 예외(derogations for specific situations)(제49조)
우리나라의 경우, 2021년 12월부터 EU-한국 적정성 결정이 채택되어 국외이전에 있어 EU회원국에 준하는 지위를 부여받았습니다. 이에 따라 EU 역내에서 한국으로의 개인정보 이전 시 국외이전 매커니즘 관련 추가 보호조치를 적용하지 않아도 됩니다.
정보주체의 권리
GDPR이 강력한 법률로 평가되는 이유 중 하나는 여러가지 강력한 정보주체의 권리를 보장하고 있기 때문입니다. GDPR에 명시된 정보주체 권리의 종류로는 아래와 같은 권리들이 있습니다.
(1) 정보를 제공받을 권리
(2) 개인정보 접근권(열람권)
(3) 개인정보 정정권
(4) 개인정보 처리 제한권
(5) 개인정보 삭제권(잊힐 권리)
(6) 개인정보 반대권
(7) 개인정보 이동권
(8) 프로파일링을 포함한 자동화된 의사결정 권리
(1) 정보를 제공받을 권리 보장을 위해 컨트롤러는 정보주체로부터 수집할 때 개인정보처리방침(privacy policy) 등을 통해 개인정보 처리 관련 정보를 제공해야 합니다. 투명성 원칙에 따라 모든 정보는 평이한 언어를 사용하여 간결하고, 투명하고, 쉽게 이해할 수 있고, 접근이 용이한 방식으로 제공해야 합니다.
(2)개인정보 접근권, (3)개인정보 정정권, (4)개인정보 처리 제한권은 정보주체의 개인정보 자기결정권 보장을 위해 정보주체가 본인의 개인정보 관련 내용을 열람하고, 정확하지 않은 부분에 대해서는 수정을 요청하고, 특정 정보에 대해서는 처리 제한을 요청할 수 있는 권리를 의미합니다.
(5)개인정보 삭제권은 정보주체가 본인에 관한 개인정보의 삭제를 요구할 수 있는 권리입니다.
특히 GDPR에서는 우리나라와 달리 삭제권을 행사한 개인정보가 제3자에게 공개된 경우. 해당 제3자들에 대해서도 일정한 사항을 알리고 합리적인 조치를 취하는 것을 법적 의무로 부과하고 있습니다.
(6)개인정보 반대권은 프로파일링을 포함한 직접 마케팅 등 특정 상황에서 자신의 개인정보 처리에 반대할 권리를 의미합니다.
(7)개인정보이동권은 정보주체가 직접 개인정보를 다운로드 받거나, 다른 컨트롤러에게 개인정보 전송을 요청할 수 있는 권리입니다. 이동권은 정보주체의 이익 보호를 목적으로 하는 다른 권리들과 달리 개인정보의 활용과 재사용 촉진을 목적으로 합니다.
(8)프로파일링을 포함한 자동화된 의사결정 권리란 ‘정보주체가 법적 효력을 초래하거나 이와 유사한 중대한 효과를 미치는 프로파일링을 포함하는 자동화된 처리에 의존한 의사결정 대상이 되지 않은 권리’를 의미합니다. 예외 조항에 따라 이러한 처리에 의존한 의사결정의 대상이 되는 경우에도 정보주체에게 인적 개입 및 이의를 요청하고, 프로파일링 처리 방식 로직에 대한 유의미한 정보 등을 제공받을 권리를 보장해야 합니다.
(7), (8) 권리 관련하여 올해 통과할 것으로 예상되는 우리나라 개인정보보호법 2차 개정안에도 이와 유사한 ‘개인정보 전송요구권'과 ‘자동화된 결정에 대한 정보주체의 권리’ 내용이 포함되어 있습니다.
카카오는 개인정보 관련 이용자의 권리 보장하기 위해 다양한 노력을 기울이고 있습니다.
이용자에게 어렵고 복잡하게 느껴질 수 있는 개인정보처리방침 내용을 보다 쉽게 전달하기 위해
‘알기 쉬운 개인정보 처리방침' 버전을 제공하고 있습니다.
또한 기본 카카오 개인정보처리방침에도 개인정보 처리 관련 라벨링 이미지를 적용하여 이용자에게 시각적인 도움을 제공하고 있습니다.
이용자는 언제든 서비스 화면에서 자신의 개인정보를 조회하거나 수정할 수 있으며, 서비스 해지 및 탈퇴를 통해 개인정보 처리에 대한 동의를 철회하실 수 있습니다.
카카오 서비스 이용 시 발생하는 이용자의 개인정보 수집 및 이용, 제3자 제공, 처리위탁 현황은 ‘카카오 개인정보 이용현황' 페이지에서 언제든지 확인하실 수 있습니다.
카카오 개인정보 이용내역 확인하기(로그인 필요)
이와 관련하여 직접 진행이 어려운 부분에 대해서는 고객센터로 요청 시 지체없이 조치하고 있습니다. 또한 개인정보의 오류에 대한 정정을 요청하는 경우, 정정을 완료하기 전까지 해당 개인정보를 이용 또는 제공하지 않습니다.
카카오톡 이용자 대상으로 카카오톡 서비스 이용 시 등록한 정보를 다운로드 받을 수 있는 기능을 제공하고 있습니다. 카카오톡 설정 > 개인/보안 > 개인정보 관리 > ‘내 정보 다운로드' 기능을 통해 서비스 이용 시 등록한 정보를 다운로드 받으실 수 있습니다.
GDPR은 개인정보 보호 분야에서 많은 영향력을 행사하고 있습니다. GDPR 시행 이후 많은 국가들이 앞다투어 개인정보보호 관련 법률을 제정하고 있고, 정보주체의 권리를 포함하여 많은 내용을 GDPR에서 차용해오고 있는 것이 사실입니다.
GDPR에는 다루는 내용이 많아 오늘 브런치글에 모든 내용을 자세하게 담지는 못했는데요.
GDPR 관련 더 많은 자료는 KISA GDPR 대응 지원센터 사이트에서 EDPB 가이드라인이나 준수 체크리스트 등 더 많은 자료를 찾아보실 수 있습니다.
감사합니다.
*본 브런치글은 개인정보보호위원회와 KISA의 ‘우리기업을 위한 2022 EU 일반개인정보보호법(GDPR) 가이드북'과 EDPB의 가이드라인을 참고하여 작성되었습니다.
