이번 글에서는 GDPR의 지리적 범위와 물리적 범위를 다루고자 한다.
지리적으로 GDPR은 EU에 설립된 조직 또는 EU 내 개인에게 제품이나 서비스를 판매하거나, 또는 개인을 모니터하는 역외 조직에 적용된다. 여기에 해당되는 경우를 GDPR은 아래와 같이 분류 및 정의하였다.
제3조 (1)항: EU에 ‘설립된’ 컨트롤러 및 프로세서
설립(Establishment)의 개념
GDPR 제3조 (1)항은 다음과 같이 규정하고 있다.
처리가 EU 내에서 이루어지는지 여부와 상관없이, EU 내 컨트롤러 또는 프로세서 사업장의 활동과 관련하여 개인 데이터 처리에 적용된다. |
그러므로, 첫 번째 질문은 조직이 제3조 (1)항의 의미 내에서 EU에 ‘사업장’을 가지고 있는지 여부이다.
GDPR에는 ‘사업장’에 대한 정의가 별도로 없지만, Recital 22에서는 이 용어에 넓은 의미를 부여한다.
사업장은 안정된 방식을 통해 효과적이고 실제적인 활동을 하는 것을 의미한다. 그러한 방식의 법적 형식은, 지점 또는 법인 성격을 가진 자회사를 통한 것이든 관계없이, 결정적인 요소는 아니다. |
제29조 작업반(WP29)은 Opinion WP 179(2010년 채택되고 2015년 Costeja 이후에 업데이트 됨)에서 지리적 범위(Data Protection Directive 제4조 (1)항 (a)의 맥락 속이지만)를 고려했다. Opinion은 ‘사업장’의 개념이 유럽 연합(CJEU) 판례법의 초기 재판을 반영한다고 언급했다. 이것은 ‘사업장’에 대한 광범위한 해석을 보여준다. 기준은 단지 기업이 조직되어 있는 곳이 아니라, 필요한 사람 및 기술적 리소스가 있는지 여부이지만, 단일 서버만 있다고 해서 이 조건이 온전히 충족된다고 보기는 어려울 것이다.
Directive에서 사용되었듯이 설립(Establishment)은 CJEU에 의해 웰티모(Weltimmo) 대 NAIH(Nemzeti Adatvédelmi és Információszabadság Hatóság, 헝가리의 데이터 보호 및 정보 자유 사무국) 사건에서 고려되었다. 웰티모는 슬로바키아에 설립되었고, 부동산 광고 웹 사이트를 운영했지만, 그 웹 사이트는 헝가리 시장이 목표였다(실제 헝가리 자산을 대상으로 헝가리어로 작성되었다). 광고 첫 달은 무료였지만 그 이후에는 유료였다. 헝가리의 개인들은 헝가리의 데이터 보호 당국(DPA)에 웰티모가 사이트에서 물건을 제거하라는 요청에 대응하지 않았기 때문에 개인들에게 요금이 부과되었다고 민원을 제기하였다. 헝가리 당국은 웰티모를 상대로 조치를 취했지만, 웰티모는 헝가리 법이 적용되지 않았으며 대신 슬로바키아 DPA의 일이 되어야한다고 주장했다.
CJEU는 ‘사업장’이 법적인 형식에 의존해서는 안 되는 ‘광범위하고 유연한’ 문구임을 확인했다. ‘회원국의 영토 내에서 안정된 방식을 통해 최소한의 것이라고 하더라도 실제의 유효한 활동’을 수행하는 경우 사업장이 된다. 한 명의 대리인으로도 사업장이 되기에 충분할 수 있다. 이 경우 웰티모는 슬로바키아에 등록된 법인임에도 불구하고 헝가리에 설립된 것으로 간주되었다. CJEU가 결정을 내리는 데 고려한 관련 요소들은 다음과 같다.
•웰티모의 웹 사이트는 헝가리에서 주로 또는 전체적으로 운영되었다(이는 헝가리에 소재하고 헝가리어로 작성된 부동산과 관련된 사실에서 알 수 있다)
•웰티모는 헝가리에 행정 및 사법 절차에서 웰티모를 대리하는 대표자를 두었다 •웰티모는 채무 회복을 위해 헝가리에 은행계좌를 개설했다 •웰티모는 일상 업무를 관리하기 위해 헝가리에서 편지함을 사용했다 •그러나 데이터 주체의 국적은 관련이 없다 |
활동의 맥락
두 번째 질문은 문제가 되는 개인 데이터의 처리가 사업장의 ‘활동의 맥락에서’ 수행되는지 여부이다. 이 경우 GDPR은 ‘처리가 EU에서 이루어지는지 여부와 관계없이’ 적용된다.
Google Spain SL 대 AEPD(Agencia Española de Protección de Datos, 스페인의 데이터 보호 기관) 소송에서 CJEU는 데이터 보호 지침(Directive)의 목적이 자연인의 기본적인 권리와 자유, 특히 사생활에 대한 권리를 효과적으로 보호를 보장하는 것임을 고려하면, Directive에서 ‘활동의 맥락에서’라는 문구를 제한적으로 해석해서는 안 된다고 판결하였다.
이 소송에서, 자신의 이름에 대한 검색에 대한 응답으로 그에 관련된 정보를 구글이 표시하지 않기를 요구했던 스페인 시민의 요청과 관련하여, 스페인에서 Google Inc.를 대신하여 광고 공간을 홍보하고 판매를 했던 Google Spain SL의 활동은 Directive 제4조 (1)항 (a)를 충족시키기에 충분했다. Google Spain SL 자체가 검색 엔진의 기능과 관련이 없으며 데이터의 실제 처리에도 관련이 없음에도 불구하고 마찬가지이다. CJEU는 Google Spain SL의 활동과 검색 엔진의 데이터 처리 활동 사이에 충분한 연결이 있다고 다음과 같이 판결했다.
… 스페인에서의 … 활동은 광고 공간과 관련된 활동이 검색 엔진을 구현하는 수단을 구성하기 때문에 불가분하게 연결되어 있다… 경제적으로 이득이 있으며 엔진은 동시에 이러한 활동을 수행할 수 있는 수단이다. |
WP29의 업데이트된 Opinion WP 179는 이 ‘불가분의 연결’ 개념을 고려한다. WP29는 너무 확장해서는 안 된다는 점을 지적한다. 같은 회사 그룹에 속해 있다는 것은 독립체 간에 ‘불가분의 연결 고리’가 있음을 입증하는 데 충분하지 않다.
반대로, WP29는 그 결정이 검색 컨텍스트에만 국한되지는 않는다고 말한다. 홍보 또는 광고/마케팅 판매, 또는 EU의 개인을 대상으로 하는 EU 영업 사무소가 있는 조직은, 제3조 (1)항의 적용을 받는다. 그들은 EU 사무소를 두고 멤버십 요금 또는 가입으로 돈을 내는 EU 서비스를 내놓은 해외 회사들에도 확장될 수 있음을 시사한다.
프로세서
Directive의 제4조 (1)항 (a)는 각 회원국이 컨트롤러 활동의 맥락에서 수행된 개인정보 처리에 회원국의 법을 적용하도록 요구했다. GDPR 제3조 (1)항은 EU 내 컨트롤러 또는 프로세서의 사업장의 활동의 맥락에서 개인정보 처리에 적용된다. 앞서 언급했듯이, GDPR은 EU에서 처리가 이루어지는지에 따라서도 적용된다.
앞서 언급하였듯이, GDPR의 모든 조항이 프로세서에 적용되는 것은 아니다. 그러나 이 조항의 효과는 여전히 매우 광범위하며 데이터 컨트롤러, 데이터 주체 및 데이터 처리가 모두 EU 외부에 위치/발생하고 있음에도 불구하고, 데이터 프로세서가 EU 사업장을 가지고 있는 데이터 처리에 적용되는 것으로 보인다. 예를 들어, 독일에 본사를 두고 있는 IT 서비스 회사는 전 세계 고객과 글로벌 서비스 계약을 체결하여 직원 데이터 처리 서비스를 제공할 수 있다. 독일 측이 글로벌 계약을 체결한 경우, 계약에 따라 수행된 모든 절차는 ‘독일 측 기업 활동’의 맥락에서 수행되는 것으로 보인다. 독일 기업이 미국 고객과 미국 직원 데이터 처리를 위한 계약을 체결했다고 가정해 보면, 이 데이터가 EU 데이터 보안 및 데이터 전송 규칙의 적용을 받는 것으로 볼 수 있다.
‘활동의 맥락에서’는 여러 회원 국가 법 중 어느 것이 적용되어야 하는지를 결정하기 위해 더 이상 명시적으로 사용되지 않음
Directive 제4조 (1)항 (a)는 ‘동일한 컨트롤러가 여러 국가의 영역에서 설립된 경우, 사업장들은 각각 자국의 법적 의무에 부합하도록 필요한 조치를 취해야 한다’고 서술한다. Opinion WP 179는 이 조항이, 처리가 사업장의 ‘활동의 맥락에서’ 수행되어야 한다는 요구와 함께, 현지 사업장에 의한 처리가 현지 법률 또는 다른 사업장의 법률에도 구속될 수 있다는 것을 의미한다.
조직은 때로는 EU 사업장들 중 하나를 관련 컨트롤러로 임명하고, 그 회원국 법률이 적용되도록 EU 관련 처리는 이 사업장의 활동의 맥락에서 수행되고 있다고 주장해왔다.
이 규정은 GDPR에는 나타나지 않는다. GDPR은 보다 많은 조화를 달성할 것이므로, 이것과 일관성 메커니즘(2권 참조)은 회원국 간 접근 방식의 다양성을 줄여야 하며, 따라서 어느 회원국의 법이 우선해야 하는지를 결정하는 메커니즘의 필요성을 줄여야 한다. 그러나 GDPR은 여전히 회원국의 주요 차이를 허용하고 있다. 특히 GDPR의 9장에 설명된 특수 처리 상황과 관련하여 뿐만 아니라. 표현의 자유와 관련하여 Recital 153은 ‘그러한 면제 또는 감면이 회원국마다 다르면 해당 컨트롤러가 적용되는 회원국의 법이 적용되어야 한다’고 지적한다.
컨트롤러가 하나 이상의 회원국에서 설립된 경우, 법원과 DPA는 여전히 회원국의 법률이 적용되는지를 결정하기 위해 ‘컨트롤러의 사업장의 활동의 맥락’이라는 개념에 의존할 것이다. CJEU는 VKI 대 Amazon 소송에서 전자 상거래의 맥락에 이것을 고려했다. Amazon의 룩셈부르크 법인 회사는 그룹의 .de 웹 사이트를 관리하고 이러한 웹 사이트를 사용하여 소비자와 계약을 체결한다. 이 사이트는 오스트리아 소비자뿐만 아니라 독일 소비자도 사용한다. Amazon은 오스트리아에 없고 독일에 법인이 있다.
Amazon은 사이트와 관련된 개인 데이터 처리가 룩셈부르크 데이터 보호법(독일 또는 오스트리아 법이 아닌)의 적용을 받았다고 주장했다. CJEU은 회사가 회원 국가(여기서, 오스트리아)에서 액세스 할 수 있는 웹 사이트를 가지고 있다는 사실은, 거기 ‘설립’되었다고 보기에 충분하지 않다고 확인했다. CJEU는 또한 처리가 특정 시설의 ‘활동의 맥락으로’ 수행되는지 여부는 국가별 위탁 법정에 의해 결정되어야 하는 문제라고 언급했다. 이 경우 오스트리아 법원이 이 문제를 결정할 것이다. 처리가 Amazon의 룩셈부르크 또는 독일 법인의 활동의 맥락에서 수행되었다는 것을 주목해야 한다.
비 EU 회원국(제3조 (2)항)
제3조 (2)항은 아래와 같이 서술하고 있다.
EU에 속하지 않은 컨트롤러 또는 프로세서에 의해 연방에 있는 데이터 주체의 개인 데이터 처리에 적용되며, 처리 활동은 다음과 관련된다:
a. EU의 데이터 주체에 데이터 주체의 지불이 요구되는지 여부와 관계없이 재화 또는 용역의 제공; 또는 b. 그들의 행동이 EU 내에서 일어나는 한 그들의 행동에 대한 모니터링. |
‘EU에 속한 데이터 주체’가 어떻게 해석될지는 분명하지 않으며, EU 거주가 전제 조건이라고 가정하면 안 된다.
EU의 데이터 주체를 대상으로 하는 경우
제3조 (2)항 (a)에 따라, 비 EU 회원국은 EU 데이터 주체에 대한 상품 또는 서비스 제공과 관련하여 EU 데이터 주체에 관한 개인 데이터를 처리하는 GDPR의 적용을 받는다. 데이터 주체에 의한 지불은 요구되지 않는다.
Recital 23은 조직이, EU에 있는 데이터 주체에 대해 재화나 용역을 제공하는지 여부를 결정할 때 컨트롤러 또는 프로세서가 하나 이상의 연합 회원국의 데이터 주체에 서비스를 제공하는 것을 예상하는지 여부를 확인해야 한다. 개인의 경우와 달리, EU의 기업에 제품과 서비스를 제공하는 비 EU 기업이 제3조 (2)항 (a)의 범위에 속하는 것인지 명확하지 않다.
EU 내의 개인에게 우연히 판매하는 조직이 반드시 GDPR의 적용을 받지는 않을 것이다. ‘예상’은 어느 정도의 의도 또는 인식을 시사하며, ‘명백’은 이 의도에 대한 외부 증거가 있어야 한다는 것을 시사한다.
Recital 23은 이것을 시사하거나, 시사하지 않을 행동의 예를 제시한다. 유럽 연합 내에서 웹 사이트에 대한 접근성만으로는 제3조 (2)항 (a)를 충족시키기에 충분하지 않으며, EU에서 접근할 수 있는 단순한 연락처 또는 컨트롤러의 본국과 동일한 언어를 사용하는 것이 아니다. 관련 요소는 다음과 같다.
•EU 언어의 사용
•EU 통화로 가격을 표시 •EU 언어로 주문을 할 수 있는 능력 •EU 사용자 또는 고객에 대한 언급 |
CJEU는 ‘민사 및 상사의 관할권’에 대한 Brussels I Regulation하에서 다른 맥락으로 언제 EU 회원국으로 ‘보내진’ 것으로 간주되는지를 조사했다. 그 의견은 GDPR 제3조 (2)항 (a)의 해석을 도울 것으로 보인다.
Brussels I Regulation은 기업이 활동을 소비자 회원 국가로 보냈다면 기업이 소재한 회원국보다 소비자의 거주지 회원국의 판매자에 대한 소송을 할 수 있게 한다. CJEU에 따르면, 재화나 용역이 EU 회원국을 대상으로 하는지 여부를 고려할 때, 아래 사항을 고려해야 한다.
소비자와의 계약이 체결되기 전에, 해당 웹 사이트와 거래자(회사)의 전반적인 활동에서, 거래자(회사)가 해당 소비자의 소재지인 회원국을 포함하여 하나 이상의 회원국에 소재한 소비자와 거래하는 것을 고려하고 있는 것이 분명한지 여부 |
위에서 언급된 고려 사항 이외에도, CJEU는 EU 고객을 대상으로 하는 의도는 (1) 회원국 또는 회원국에 의해 이름으로 지정된 곳에서의 접근을 용이하게 하는 검색 엔진에 돈을 지불하는 것과 같은 ‘명백한’ 증거. (2) 기타 요소로 보여 질 수 있다. 가능하면 서로 결합하고 또한 다음을 포함하여 증명될 수 있다.
•해당 활동(예: 관광 활동)의 ‘국제성’
•국가 번호를 포함한 전화번호의 언급 •거래자(회사)가 설립된 국가의 최상위 도메인 이름이 아닌 다른 최상위 도메인 이름 사용(예: .de 또는 .eu를 취득한 미국 단체) •회원국에서 서비스가 제공되는 장소까지의 ‘일정표’에 대한 설명 •‘다양한 회원국에 거주하는 고객으로 구성된 국제 고객’에 대한 언급 |
이 목록은 완전한 것이 아니며 문제는 사례별로 결정되어야 한다.
행동 모니터링
EU 회원을 감시(즉, 프로파일링)하는 비 EU 조직은 모니터링되는 행동이 EU 내에서 발생하는 경우 GDPR의 적용을 받는다.
Recital 24에 따르면 ‘모니터링’에는 구체적으로 프로필을 작성하는 온라인 개인 추적이 포함된다. 특히 개인과 관련된 결정을 내리는 데 사용되거나, 개인적 취향, 행동 및 태도를 분석하거나 예측하는 데 사용된다. 다른 것들 중에, 전자 상거래 회사와 광고 기술 네트워크는 제3조 (2)항 (b)에 구속될 것이다.
Directive에 따르면, EU 데이터 주체를 타겟팅하지만 EU 사업장이 없는 조직이 개인 데이터를 처리하기 위해 EU에서 ‘장비’를 사용하는 경우 EU 규칙을 준수해야 한다. 이것은 관할권을 주장하는 국가 감독 당국이, 쿠키를 두거나 사용자에게 양식을 채우도록 요청하는 것이, Directive 제4조 (1)항 (c)의 해석 내에서 EU의 ‘장비’를 사용하는 것에 해당한다는 주장을 하게 되었다. 제3조 (2)항은 이제 ‘장비’ 제한에 관계없이 비 EU 조직에 EU 법이 적용됨을 입증하는 것을 용이하게 한다.
국제 공법(제3조 (3)항)
제3조 (3)항은 ‘EU에 설립되어 있지 않지만 회원국 법이 국제 공법(public international law)에 의해 적용되는 곳에서 개인정보 처리’에 GDPR이 적용될 것이라고 규정하고 있다.
제3조 (3)항은 국제 조약에 따라 GDPR이 적용되는 EU 회원국의 대사관/영사관 또는 항공기 및 선박을 다룬다. 일반적으로 대사관 및 영사관은 그들이 위치한 국가의 법률이 아니라 해당 국가의 법률에 따라야 한다. 상업 및 비즈니스 환경에서 데이터 컨트롤러에 대한 실질적인 중요성은 거의 없으므로 이 장에서 더 이상 검토하지 않는다.
GDPR의 물적 범위
EU 법의 범위를 벗어나는 사항(제2조 (2)항 (a) 및 제2조 (2)항 (b))
제2조 (2)항 (a)는 GDPR이 ‘연합법의 범위를 벗어나 활동하는 과정의’ 개인정보 처리에 적용되지 않는다고 명시하고 있다. 여기에는 공공 보안, 국방 및 국가 보안과 관련된 처리 작업이 포함된다.
제2조 (2)항 (b)는 GDPR이 유럽 연합 조약의 제목 5 제2장의 범위에 속하는 활동을 수행할 때 회원국에 의한 개인 데이터 처리에 적용되지 않는다고 명시하고 있다.
여기에는 EU의 일반적인 외무 및 안보 정책과 관련된 활동이 포함된다.
상업적 목적으로 처음 수집된 개인 데이터가 나중에 보안 목적으로 사용된 경우, 이러한 면제 조항에 해당될 수 있다.
가구 면제(제2조 (2)항 (c); Household Exemption)
‘순수한 개인 또는 가구 활동 과정에서 자연인’에 의한 데이터 처리도 면제된다. 예를 들어, 타인의 사생활에 우연히 관련되거나, 관련되더라도 개인적인 목적으로 사용되며 전문적 또는 사업적 활동과 관련이 없다는 조건하에 서신과 주소록을 소지하고 보유하는 활동이 포함된다. GDPR은 그러한 개인 또는 가구 활동에 대한 개인 데이터 처리 수단을 제공하는 컨트롤러 또는 프로세서에 적용된다.
Directive의 상응하는 면책 조항의 연장선상에서, GDPR의 Recital 18은 사회적 및 가구 내 목적의 소셜 네트워킹 및 온라인 활동은 제2조 (2)항 (c)에서 다룬다고 언급한다.
이는 Directive 제3조 (2)항에서 동등한 면제에 대한 CJEU 판례법의 확대 가능성을 의미한다. 린드크비스트(Lindqvist) 사건에서, CJEU는 그녀의 교구 교회에서 자발적으로 일한 개인에 관한 정보를 그녀의 개인 웹 사이트에 게시한 린드크비스트 여사가 가구(household) 면제를 받았는지 여부를 고려했다. CJEU는, 면제가 개인의 개인 또는 가족생활 과정에서 수행된 활동에 국한되어 있기 때문에, 린드크비스트 여사는 제3조 (2)의 적용을 받을 수 없다고 판결했다. 그러한 데이터는 무한한 수의 “사람”에게 접근 가능하도록 만들어 인터넷에 공개 처리가 되는 경우는 적용되지 않는다.
이는 사적 개인이 수행하는 데이터 처리의 유형이 Directive가 채택될 당시의 데이터 처리 유형과 거의 관계가 없어진 기술의 변화를 감안할 때, 이러한 면제 조항에 대한 제한적 해석은 WP29가 ‘범위가 비현실적으로 좁다’는 비판을 받았다.
Recital 18의 소셜 네트워킹 및 온라인 활동에 대한 언급이 GDPR의 면제를 확대할 것인지는 명확하지 않다. 특히 제2조 (3)항의 표현 자체가 Directive에서 변경되지 않았고, 좁은 그룹의 친구들과 비교하여 전 세계에 정보를 공개하는 것이 면제의 적용 가능성에 영향을 미칠 수 있다고 WP29가 지적하고 있기 때문이다.
Ryneš 사건에서, 다른 맥락으로 CJEU는 Directive의 제3조 (2)항의 가구 면제가 좁게 해석되어야 한다고 판결했다. 이 사건은 집 밖 인도의 이미지를 캡처한 개인 주택에 대한 보안 카메라의 사용이 관련된 경우이다. 이 경우, CJEU의 견해로는 가정용 폐쇄 회로 텔레비전(CCTV)의 목적을 위한 개인 데이터의 처리는 서신과 주소록의 유지와는 달리 ‘순전히’ 개인적 또는 가구적 활동이 아니라는 것이다.
형사처벌의 방지, 탐지 및 기소(제2조 (2)항 (d))
GDPR의 제2조 (2)항 (d)는 형사 범죄의 예방, 조사, 탐지 또는 기소 또는 형사처벌의 집행 목적을 위한 관할 당국에 의한 개인정보 처리를 면제한다. 이는 공공 보안에 대한 위협에 대한 예방 및 보호조치를 포함한다.
이 면제로 인해 발생하는 입법상의 차이는 법 집행 데이터 보호 지침(LEDP Directive)에 의해 채워지며, 이는 GDPR과 동시에 발효되었다.
LEDP Directive은 GDPR에 포함되지 않은 형사 범죄 및 관련 사법 활동의 예방, 탐지, 조사 또는 기소를 목적으로 처리된 개인 데이터와 관련된다. LEDP Directive은 관할 당국에 적용된다. ‘권한 있는 당국’은 다음과 같이 정의된다.
a.공공 보안에 대한 위협에 대한 예방 및 보호조치를 포함하여, 형사 범죄의 예방, 조사, 탐지, 기소 또는 형사처벌 집행을 관할하는 공공 기관. 또는
b. 공공 보안에 대한 위협에 대한 예방 및 보호조치를 포함하여, 형사 범죄의 예방, 조사, 탐지, 기소 또는 형사처벌 집행을 목적으로 회원국 법률에 의해 공공의 권위와 공권력을 행사하도록 위임된 기타 단체 또는 독립체. |
이 정의에는 예를 들어 경찰, 기소 당국, 법원 및 가해자 지원 서비스가 포함된다.
주무관청이 LEDP Directive의 목적 이외의 목적으로 개인 데이터를 처리하는 경우, 유럽 연합법의 범위를 벗어나는 활동(예: 국가 안보)에 따라 처리가 수행되지 않는 한, GDPR이 적용된다. 감독관청은, 서로 다른 목적을 위해 처리되는 동일한 데이터에 대한 경우를 포함하여, GDPR과 LEDP Directive 둘 다의 대상이 될 수 있다.
반면, 관할 당국이 LEDP Directive의 적용을 받지 않는 단체에 데이터를 이전하거나 감독관청이 LEDP Directive을 벗어나는 목적으로 다른 감독관청에 데이터를 이전하는 경우는 GDPR이 적용된다.
마찬가지로 LEDP Directive의 범위 내에서 권한 있는 기관을 대신하여 개인 데이터를 처리하는 프로세서는 LEDP Directive에 따라 프로세서에 적용되는 조항에 구속되지만, LEDP의 범위를 벗어나는 활동에 대한 처리는 GDPR이 적용된다. 프로세서가 고객을 위해 처리할 때, 그들이 적용 입법하는 프레임워크를 확인하기 위해 LEDP Directive의 의미 내에서 누가 감독관청인지 식별하는 것이 중요하다.
EU 기구 (제2조 (3)항)
EU 기관, 단체, 기관 및 에이전시는 GDPR의 적용을 받지 않는다. 그러나 공동체 기관 및 단체의 개인 데이터 처리와 관련하여 개인 보호에 관한 GDPR 45/2001/EC는 계속 적용될 것이다.
GDPR No 45/2001은 GDPR에 비추어 일관성을 유지하기 위해 업데이트되어야 한다.
ePrivacy Directive와의 관계
GDPR 제95조에는 다음과 같이 명시되어 있다.
‘GDPR은 Directive 2002/58/EC에 명시된 동일한 목적을 가진 특정 의무에 관련된 문제에 대해서, EU의 공공 통신 네트워크에서 공개적으로 이용 가능한 전자 통신 서비스의 제공과 관련하여 자연인 또는 법인에게 처리와 관련하여 추가 의무를 부과해서는 안 된다.’ |
GDPR은 ePrivacy Directive의 해석에 여전히 영향을 미칠 수 있다. 예를 들어, ePrivacy Directive는 Data Protection Directive를 참조하여 ‘동의’를 정의하였고, 나중에 2018년 5월 25일부터 GDPR을 참조하여 대체되었다. 따라서 ePrivacy Directive에 따른 직접 마케팅 활동에 대한 동의는 GDPR에 따른 보다 엄격한 동의 요구 사항을 준수해야 할 수 있다. GDPR의 제95조는 ePrivacy Directive가 동의의 증거에 대한 유효성 요구사항을 언급하지 않는다는 것에 기반한 그러한 결과를 예방하지 않는 것으로 보인다.
Recital 173은 ‘GDPR이 채택되면, GDPR과의 일관성을 유지하기 위해 Directive 2002/58/EC를 특히 검토해야 한다’고 명시하고 있다. 유럽 연합 집행위원회(‘Commission’)는 영토 범위, 데이터 위반 통지 및 책임 및 제재와 관련하여, 두 법률 문서 간에 중대한 차이점과 중복되는 부분이 있으므로 ePrivacy Directive와 GDPR 간에 완전한 일관성을 유지하는 것을 목표로 한다. 집행위원회는 2016년 4월에 ePrivacy Directive에 대한 평가 및 검토에 대한 공개 협의를 시작했으며, 2017년 1월 10일에 ePrivacy Directive를 대체하기 위한 GDPR에 대한 제안서를 발표했다.
전자 상거래 지침과의 관계
GDPR은 E-Commerce Directive 2000/31/EC의 규칙을 침해하지 않아야 한다고 서술하고 있다. 이 Directive는 특히 ‘중개 서비스 제공자’의 책임에 관한 것으로, 그들이 단순히 호스팅하고 캐싱을 하거나, 단지 “단순한 도관”의 역할을 했다는 측면에서 금전적 형사적 책임을 제한해야 한다고 주장한다. E-Commerce Directive는 개인 데이터 처리와 관련된 문제가 관련 데이터 보호법에 의해 그 범위에서 배제되고 ‘유일하게 통제’됨을 명시하고 있으므로, E-Commerce Directive와의 관계는 간단하지 않다.
GDPR 및 E-Commerce Directive는 사용자의 행동에 대한 인터넷 서비스 공급자(ISP)의 책임이 E-Commerce Directive에 의해 결정되고 개인 데이터의 사용에 관련하여 ISP가 지우거나 수정해야 할 의무와 같은 다른 문제들은 GDPR에 의해 통제될 것이라고 가정하면 일관되게 해석할 수 있다. 그러나 그럼에도 불구하고 여전히 불분명한 점은 남아 있다.
맺음말
GDPR은 광범위한 지리적 및 물적 범위를 가지고 있다. Directive의 관할권에 속하지 않은 많은 조직은 그들의 처리 활동이 EU 시민들에게 국한되지 않는 상품이나 서비스를, EU 데이터 주체에 대해 제공하는 경우, 그 처리 활동이 GDPR의 적용을 받게 될 것이다. GDPR이 Directive보다 더 명확하게 물적 범위를 제한하려고 시도하지만, 많은 경우의 처리 활동이 GDPR에 해당된다. 다음 기고문에서는 GDPR에 해당되는 처리 활동을 수행시에 GDPR이 규정하는 데이터 처리 원칙을 다룰 예정이다.
You must be logged in to post a comment.