모바일 게임 서비스를 위한 GDPR 개요

지난 2018년 5월 25일부로 유럽 개인정보보호법 GDPR(General Data Protection Regulation)이 시행 되었습니다. GDPR은 총 11장 99조로 구성되어있는데, 사업자가 준수해야할 사항들은 주로 1장부터 5장까지에 명시되어 있습니다. 본 글에서는 모바일 게임 서비스를 위해 필요한 사항을 중심으로 그 내용을 살펴볼 것입니다.

제1장. 일반규정(General provisions)

GDPR은 가장 먼저 대상 및 목적, 물적 범위, 영토적 범위를 정의하는 것으로 시작됩니다. GDPR에 대한 논의에서는 주로 규제에 대해 초점이 맞춰지지만, 법의 목적은 자연인의 개인정보의 보호에 대한 권리를 보호하는 것뿐만 아니라 개인정보의 자유로운 이동을 가능하게 하는 것입니다.

EU 내에서 개인정보의 자유로운 이동은 자연인의 권리 보호에 관계된 이유로 제한되거나 금지되지 말아야 한다고 명시하고 있습니다. ‘개인정보’란 식별가능한 자연인과 관련된 모든 정보를 의미합니다. GDPR은 자동화된 수단에 의한 개인정보의 처리와 자동화된 수단은 아니더라도 파일링시스템을 구성하기 위한 개인정보의 처리에 적용됩니다.

‘파일링시스템’이란 특정한 기준에 따라 접근가능한 구조화된 개인정보 집합을 의미합니다. 해당 개인정보가 분산되어 저장되었는지 여부는 무관합니다. 다시 말하면 그 적용 범위가 매우 광범위하지만 모든 개인정보의 처리에 적용되는 것은 아닙니다. 그외에 순수한 개인적 활동, 공공안전 관련 활동 등에 대해서는 적용되지 않는다고 명시되어 있습니다.

하지만 해당 항목들은 모두 모바일 게임 서비스와 관련은 없는 사항입니다. GDPR은 EU 내에 사업장이 있는 컨트롤러 또는 프로세서의 개인정보의 처리 뿐만 아니라 EU 내에 있는 정보주체의 개인정보의 처리에 적용됩니다. 실제 처리가 EU 외에서 발생하는지 여부, 정보주체에 지불이 요구되는지 여부는 무관합니다.

현재 대부분의 모바일 게임은 애플, 구글의 마켓을 통해 EU 내 유저에게도 서비스를 하고 있으므로 GDPR을 준수해야 합니다.

제2장. 원칙(Principles)

개인정보는 다음과 같이 처리되어야 하며, 컨트롤러는 이에 대한 준수를 입증할 책임이 있습니다.

1. 적법하고 공정하고 투명하게
2. 명시적으로 특정된 목적으로
3. 그에 따라 최소한으로 필요한 정보만 한정하여
4. 정확성을 보장하기 위한 합리적인 조치 하에
5. 정보주체를 식별할 수 있는 상태의 보관은 필요한 기간에 한정하여
6. 기술적 및 관리적 조치를 통해 적절한 보안을 보장하는 방식으로

개인정보 처리는 다음 중 하나 이상이 적용되는 경우에만 적법합니다.

1. 정보주체가 특정한 목적을 위해 동의
2. 계약 또는 정보주체의 요청을 이행
3. 컨트롤러의 법적 의무를 준수
4. 정보주체 또는 다른 자연인의 중대한 이익을 보호
5. 컨트롤러 또는 제3자의 정당한 이익. 그러나 정보주체가 아동인 경우와 같이 정보주체의 이익이나 기본권과 자유가 우선하는 경우는 제외

일반적으로 모바일 게임 서비스와 관련하여 개인정보 처리는 1. 정보주체의 동의, 2. 계약의 이행을 근거로 할 수 있을 것입니다. 여기서 정보주체의 ‘동의’란 자유롭고, 특정된, 고지된, 모호하지 않는 동의를 말합니다.

또한, 개인정보를 수집할 때와 다른 목적으로 처리하려면 정보주체에게 동의를 받아야 합니다. 컨트롤러는 정보주체가 본인의 개인정보 처리에 동의했음을 입증할 수 있어야 합니다. 이를 위해서 동의에 대한 구체적인 이력을 보관할 필요가 있습니다.

개인정보 처리에 대한 동의는 다른 사안과 명확히 구분되어야 하고, 이해하기 쉽고, 쉽게 접근할 수 있고, 명확하고 평이한 문구를 사용하여 제시되어야 합니다. 본 규칙을 위반한 동의는 무효합니다. 일반적으로 모바일 게임에서 적용되고 있는 이용약관과 개인정보처리방침을 분리하여 동의를 받는 방식은 위 조항을 만족하는 것으로 보입니다.

정보주체는 언제든지 본인의 동의를 철회할 권리를 가지며, 정보주체가 동의를 철회하더라도 그전에 동의를 기반으로 한 처리의 적법성에는 영향을 미치지 않습니다. 이를 위해 동의 시점에 철회 방법에 대해 고지되어야 하고, 동의를 철회하는 방법은 동의하는 방법 만큼 쉬워야 합니다. 일반적으로 모바일 게임은 앱 내에서 개인정보 처리에 대한 동의를 받으므로 앱 내에 철회하는 기능도 제공되어야 합니다.

계약 이행에 불필요한 개인정보 처리에 대한 동의를 요구하면 해당 동의는 무효할 가능성이 있으므로, 게임 이용을 위해 반드시 필요한 정보가 아니라면 필수가 아닌 선택 항목으로 수집해야 합니다.

정보 사회 서비스를 16세 미만 아동에게 직접 제공하기 위해서는 부모에게 동의를 받아야 합니다. 컨트롤러는 가용한 기술을 고려하여 부모의 동의를 받은 것을 증명하기 위해 합당한 노력을 해야 합니다. 대부분의 사례를 보면 아동에 대한 동의는 부모의 이메일 주소를 수집하고 해당 이메일을 통해 인증을 요구하는 방식으로 처리됩니다.

컨트롤러가 정보주체의 신원 확인을 요구하지 않으면, 컨트롤러는 GDPR을 준수하기 위한 목적으로 정보주체를 식별하기 위한 추가 정보를 취득할 필요는 없습니다. 컨트롤러가 정보주체를 식별할 수 없다는 것을 증명할 수 있는 경우 제15조(정보주체의 접근권)에서 제20조(개인정보이동권)까지의 조문은 적용되지 않는데, 가능하면 이 사실을 정보주체에 통지해야 합니다.

제3장. 정보주체의 권리(Rights of the data subject)

정보주체는 개인정보 수집에 대해 통지받아야 하고, 그 정보에 대해 조회, 정정, 삭제, 처리 제한 등을 요구할 권리를 가집니다.

제1절. 투명성 및 양식(Transparency and modalities)

컨트롤러가 정보주체에게 통지하는 모든 사항은 평이한 언어를 사용하고 쉽게 접근할 수 있는 형식으로 제공되어야 합니다. 특별한 사유가 없으면 정보는 서면으로 제공되어야 하는데, 가능하면 전자적 수단을 포함하여 제공되어야 합니다.

컨트롤러는 정보주체의 권리 행사를 위한 요청에 대해 거절해서는 안됩니다. 그러나 컨트롤러가 정보주체를 식별할 수 없다는 것을 입증하면 거절할 수 있습니다. 컨트롤러는 요청에 대해 한 달 내에 답변해야 합니다. 요청의 복잡성과 건수를 고려하여 2개월까지 연장될 수 있으나, 한 달 내에 이러한 연장을 고지해야 합니다. 컨트롤러가 요청에 대해 조치를 취하지 않으면, 컨트롤러는 그 사유와 감독당국에 민원을 제기하여 사법적 구제받을 수 있다는 것을 정보주체에게 고지해야 합니다.

정보주체의 권리 행사를 위한 요청에 대한 모든 통지와 조치는 무료로 제공되어야 합니다. 그러나 정보주체가 반복해서 요청하는 등 과도한 요청인 경우 다음의 하나를 할 수 있습니다.

1. 합리적인 수수료를 부과
2. 요청이 명백하게 과도하거나 근거가 없다는 것을 입증할 수 있을 경우 제공을 거부

요청하는 자연인의 신원에 관하여 합리적인 의심을 가지는 경우, 추가 정보를 요청할 수도 있습니다.

제2절. 정보 및 개인정보에 대한 접근(Information and access to personal data)

정보주체에게 제공해야할 정보는 그 개인정보가 수집된 경로에 따라 일부 상이합니다.

개인정보가 정보주체로부터 수집되는 경우

개인정보가 정보주체로부터 수집되는 경우, 개인정보의 획득 시 컨트롤러는 다음의 모든 정보를 제공해야 합니다. ‘수령자’는 제3자인지 여부와 무관하게 개인정보가 공개되는 대상이며, ‘제3자’는 정보주체, 컨트롤러, 프로세서를 제외한 자입니다.

1. 컨트롤러의 신원, 연락정보, 그리고 해당되는 경우, 컨트롤러 대리인의 신원과 연락정보
2. 해당하는 경우, 개인정보보호책임자의 연락정보
3. 개인정보의 예정된 처리 목적과 처리의 법적 근거
4. 처리가 제6조(처리의 적법성)의 ‘컨트롤러 또는 제3자의 정당한 이익’에 근거한 경우, 그 내용
5. 있으면, 개인정보의 수령자 또는 수령자의 범주
6. 해당하는 경우, 컨트롤러가 개인정보를 제3국 등에 이전할 의도라는 사실 등

개인정보가 획득되는 때에, 공정하고 투명한 처리를 보장하기 위해 필요한 다음의 추가 정보를 정보주체에게 제공해야 합니다.

1. 개인정보가 저장될 기간, 또는 그것이 불가능한 경우 그 기간을 결정하는 기준
2. 개인정보에 대한 접근, 정정, 삭제 또는 처리 제한을 요청하거나 처리를 반대할 권리 및 개인정보이동권의 존재
3. 처리가 제6조(처리의 적법성)의 ‘정보주체가 특정한 목적을 위해 동의’에 근거한 경우, 철회 전의 동의에 근거한 처리의 적법성에 영향을 미치지 않고 언제든지 동의를 철회할 권리의 존재
4. 감독당국에 민원을 제기할 권리
5. 개인정보의 제공이 법적 또는 계약상 요건인지 또는 계약 체결에 필요한 요건인지 여부 및 정보주체가 개인정보를 제공할 의무가 있는지 여부와 그 정보를 제공하지 않을 때 발생할 수 있는 결과
6. 프로파일링을 포함하여 자동화된 의사결정의 존재 여부, 이 경우 그 로직에 관한 중요한 정보와 정보주체에게 미칠 유의성 및 예상된 결과

컨트롤러가 수집된 목적과 다른 목적으로 개인정보를 추가로 처리하고자 하는 경우, 컨트롤러는 추가 처리 전에 다른 목적에 관한 정보와 위에 언급된 모든 추가 정보를 정보주체에게 제공해야 합니다. 이상의 모든 내용은 정보주체가 이미 그 정보를 가지고 있는 경우에는 적용하지 않습니다.

개인정보가 정보주체로부터 획득되지 않은 경우

개인정보가 정보주체로부터 획득되지 않은 경우, 컨트롤러는 다음의 정보를 정보주체에게 제공해야 합니다.

1. 컨트롤러의 신원, 연락정보, 그리고 해당되는 경우, 컨트롤러 대리인의 신원과 연락정보
2. 해당하는 경우, 개인정보보호책임자의 연락정보
3. 개인정보의 예정된 처리 목적과 처리의 법적 근거
4. 관련 개인정보의 범주
5. 있으면, 개인정보의 수령자 또는 수령자의 범주
6. 해당하는 경우, 컨트롤러가 개인정보를 제3국 등에 이전할 의도라는 사실 등

공정하고 투명한 처리를 보장하기 위해 필요한 컨트롤러는 다음의 추가적 정보를 정보주체에게 제공해야 합니다.

1. 개인정보가 저장될 기간, 또는 그것이 불가능한 경우 그 기간을 결정하는 기준
2. 처리가 제6조(처리의 적법성)의 ‘컨트롤러 또는 제3자의 정당한 이익’에 근거한 경우, 그 내용
3. 개인정보에 대한 접근, 정정, 삭제 또는 처리 제한을 요청하거나 처리를 반대할 권리 및 개인정보이동권의 존재
4. 처리가 제6조(처리의 적법성)의 ‘정보주체가 특정한 목적을 위해 동의’에 근거한 경우, 철회 전의 동의에 근거한 처리의 적법성에 영향을 미치지 않고 언제든지 동의를 철회할 권리의 존재
5. 감독당국에 민원을 제기할 권리
6. 개인정보의 기원 출처, 가능한 경우 그것이 공개적으로 접근이 가능한 출처로부터 온 것인지 여부
7. 프로파일링을 포함하여 자동화된 의사결정의 존재 여부, 이 경우 그 로직에 관한 중요한 정보와 정보주체에게 미칠 유의성 및 예상된 결과

컨트롤러는 위에 언급된 정보를 다음과 같이 제공해야 합니다.

1. 개인정보를 획득한 후 합리적인 기간 내, 늦어도 한 달 내
2. 정보주체에게 연락하기 위해 개인정보가 이용되는 경우, 늦어도 최초로 연락할 때
3. 다른 수령자에게 정보가 공개되는 경우, 늦어도 최초로 공개될 때

컨트롤러가 수집된 목적과 다른 목적으로 개인정보를 추가로 처리하고자 하는 경우, 컨트롤러는 추가 처리 전에 다른 목적에 관한 정보와 위에 언급된 모든 추가 정보를 정보주체에게 제공해야 합니다.

이상의 모든 내용은 다음의 경우에는 적용하지 않습니다.

1. 정보주체가 이미 그 정보를 가지고 있는 경우
2. 그러한 정보의 제공이 불가능한 것으로 입증되는 등의 경우
3. 정보주체의 정당한 이익을 보호하는 컨트롤러에게 적용되는 적절한 조치가 EU 또는 회원국 법에 명시적으로 규정된 경우
4. 법정 비밀유지의무가 있는 등의 경우

정보주체의 접근권

정보주체는 자신의 개인정보 및 다음의 정보에 대한 접근의 권리를 가집니다.

1. 처리 목적
2. 관련 개인정보의 범주
3. 개인정보의 수령자 또는 수령자의 범주, 특히 제3국 등의 수령자
4. 개인정보가 저장될 기간, 또는 그것이 불가능한 경우 그 기간을 결정하는 기준
5. 개인정보에 대한 정정, 삭제 또는 처리 제한을 요청하거나 처리를 반대할 권리의 존재
6. 감독당국에 민원을 제기할 권리
7. 개인정보가 정보주체로부터 수집되지 않은 경우, 그 출처에 관한 가능한 모든 정보
8. 프로파일링을 포함하여 자동화된 의사결정의 존재 여부, 이 경우 그 로직에 관한 중요한 정보와 정보주체에게 미칠 유의성 및 예상된 결과

개인정보가 제3국 등에 이전되는 경우, 정보주체는 제46조(적절한 안전장치에 따른 이전)에 대해서 고지받을 권리를 가져야 합니다. 컨트롤러는 처리 중인 개인정보의 사본을 제공해야 합니다. 정보주체가 전자적 수단으로 요청하는 경우, 정보주체가 달리 요청하지 아니하면, 정보는 일반적으로 이용되는 전자적 형식으로 제공되어야 합니다. 위 항에 언급된 사본을 획득할 권리는 다른 자의 권리와 자유에 불리하게 영향을 미쳐서는 안 됩니다.

제 3절. 정정 및 삭제(Rectification and erasure)

정보주체는 본인의 개인정보에 대한 정정, 삭제, 처리 제한을 요구할 수 있습니다.

정정권

정보주체는 컨트롤러로부터 자신에 관한 부정확한 개인정보를 과도한 지체 없이 정정할 수 있는 권리를 가져야 합니다. 정보주체는 보충적인 진술의 제공을 포함하여 불완전한 개인정보를 완전하게 할 권리를 가져야 합니다.

삭제권(‘잊힐 권리’)

정보주체는 컨트롤러로부터 자신에 관한 개인정보를 과도한 지체 없이 삭제할 수 있는 권리를 가지고, 컨트롤러는 다음의 근거가 적용되는 경우 부당한 지체 없이 개인정보를 삭제할 의무를 가져야 합니다.

1. 개인정보가 수집되거나 처리되는 목적과 관련하여 더 이상 필요하지 않은 경우
2. 정보주체가 처리의 근거가 되는 동의를 철회하고 그외 법적 근거가 없는 경우
3. 정보주체가 처리를 반대하고 그 처리의 우선적인 정당한 근거가 없는 등의 경우
4. 개인정보가 불법적으로 처리된 경우
5. 컨트롤러에게 적용되는 EU 또는 회원국 법의 법적 의무를 준수하기 위해 개인정보가 삭제되어야 하는 경우
6. 개인정보가 아동에 대한 정보사회서비스의 직접 제공과 관련하여 수집된 경우

컨트롤러가 개인정보를 공개하였고 위 항에 따라 그 개인정보를 삭제할 의무가 있는 경우, 컨트롤러는 가능한 기술과 비용을 고려하여, 그 개인정보를 처리하고 있는 다른 컨트롤러들에게 정보주체의 삭제 요청을 알리기 위하여 기술적 조치를 포함한 합리적 조치를 취해야 합니다.

위 항은 다음을 위하여 처리가 필요한 경우에는 적용되지 않습니다.

1. 표현 및 정보의 자유권 행사
2. 컨트롤러에게 적용되는 EU 또는 회원국 법에 의해 처리가 요구되는 법적 의무의 준수 등
3. 제9조(특수한 개인정보의 처리)에 따른 공중보건 분야의 공익적 이유
4. 제89조(공익을 위한 문서보존 목적, 과학적 또는 역사적 연구 목적 또는 통계적 목적)에 따른 경우로, 정보주체의 권리가 그러한 처리의 목적 달성을 불가능하게 하거나 심각하게 저해할 것 같은 경우
5. 법적 청구권의 설정, 행사, 방어

처리제한권

정보주체는 다음의 하나에 해당하는 경우 컨트롤러로부터 처리 제한에 대한 권리를 가져야 합니다. ‘처리 제한’이란 향후 그 처리를 한정할 목적으로 저장된 개인정보에 표시하는 것을 의미합니다.

1. 정보주체가 개인정보의 정확성에 대한 문제를 제기하고 컨트롤러가 그 정확성에 대해 입증하기 위해 필요한 기간 동안
2. 불법적인 처리에 따라 정보주체가 개인정보의 삭제를 반대하지만 그 이용의 제한을 요청하는 경우
3. 컨트롤러에게 개인정보가 더 이상 필요하지 않으나, 정보주체가 법적 청구권의 설정, 행사, 방어를 위하여 처리 제한을 요구하는 경우
4. 정보주체가 처리에 반대하였으나 컨트롤러의 정당한 근거가 정보주체의 정단한 근거에 우선적인지 여부가 확인될 때까지

처리가 제한된 경우, 저장을 제외하고 정보주체의 동의가 있는 등의 이유로만 처리되어야 합니다. 컨트롤러는 처리 제한이 해제되기 전에 정보주체에게 고지해야 합니다.

정정, 삭제, 처리 제한에 대한 통지 의무

컨트롤러는 개인정보가 공개된 각 수령자에게 개인정보의 정정, 삭제, 처리 제한을 통지해야 하는데, 이러한 통지가 불가능하거나 과도한 노력이 필요한 경우는 예외로 합니다. 컨트롤러는 정보주체가 요청한 경우 수령자들에 대한 정보를 제공해야 합니다.

개인정보이동권

정보주체는 컨트롤러에게 제공한 개인정보를 체계하되고 일반적으로 사용되며 컴퓨터 판독이 가능한 형식으로 수령할 권리를 가져야 합니다. 처리가 제6조(처리의 적법성) 등의 ‘동의’ 또는 ‘계약’을 근거한 경우이고 자동화된 수단에 의해 수행되는 경우, 다른 컨트롤러에게 해당 개인정보를 전송할 권리를 가져야 합니다. 그러나, 앞에 언급된 권리는 다른 자의 권리와 자유에 불리하게 영향을 미쳐서는 안 됩니다.

제4절. 반대권과 자동화된 개별 의사결정(Right to object and automated individual decision-making)

정보주체는 본인의 개인정보의 처리에 대해 반대하거나, 그 결과에 따르지 않을 권리가 있습니다.

반대권

정보주체는 자신의 특별한 상황에 관한 사유로 프로파일링을 포함하여 자신에 관한 개인정보의 처리에 대해 언제든지 반대할 권리를 가져야 합니다. 이 경우, 컨트롤러는 정당한 근거를 입증하지 않는 한 더 이상 개인정보를 처리해서는 안됩니다.

직접 마케팅을 목적으로 개인정보가 처리되는 경우, 정보주체는 언제든지 관련된 프로파일링을 포함하여 개인정보 처리에 반대할 권리를 가져야 합니다. 정보주체가 직접 마케팅 목적의 처리에 반대하는 경우, 개인정보는 더 이상 그러한 목적으로 처리되어서는 안 됩니다.

위 항에서 언급된 권리는 늦어도 정보주체에게 처음 통지하는 시점에, 다른 모든 정보와 명확하게 분리해서 제시되고 정보주체가 명시적으로 인지할 수 있어야 합니다.

프로파일링을 포함한 자동화된 개별 의사결정

정보주체는 프로파일링을 포함한 자동화된 처리에만 근거한 결정에 따르지 않을 권리를 가져야 합니다. ‘프로파일링’이란 자연인에 대한 평가를 목적으로 그에 대해 분석하거나 예측하기 위한 모든 형태의 자동화된 개인정보 처리를 의미합니다. 하지만, 다음의 결정에 대하여 예외로 합니다.

1. 계약을 체결하거나 이행하기 위하여 필요한 경우
2. EU 또는 회원국 법이 허용하는 경우
3. 정보주체의 명시적 동의에 근거하는 경우

위에서 언급된 계약 또는 동의에 의한 경우에도 정보주체의 권리를 보호하는 적합한 조치를 이행해야 합니다. 제9조(특수한 범주의 개인정보 처리)의 ‘동의’ 또는 ‘EU 또는 회원국의 법’에 근거하지 않고, 정보주체의 권리를 보호하는 적합한 조치가 마련되어 있지 않다면, 위에서 언급된 결정은 ‘특수한 범주의 개인정보’를 기초로 한 것이어서는 안됩니다.

제4장. 컨트롤러와 프로세서(Controller and Processor)

대체로 사업자는 컨트롤러 또는 프로세서로 구분되는데, 컨트롤러 뿐만 아니라 프로세서에게도 개인정보 처리와 관련한 의무가 있습니다. ‘컨트롤러’란 단독 또는 공동으로 개인정보 처리의 목적 및 수단을 결정하는 주체이고, 프로세서’란 컨트롤러를 대신하여 개인정보를 처리하는 주체입니다.

제1절. 일반의무(General obligations)

컨트롤러는 처리가 본 규칙에 따라 수행되는 것을 보장하고 이를 입증할 수 있는 기술적 및 관리적 조치를 이행해야 합니다. 이러한 조치는 필요시 검토되고 갱신되어야 합니다.

컨트롤러는 처리수단의 결정 시점과 처리 당시 시점에서, 정보 최소화 등 개인정보보호의 원칙을 이행하고 가명처리 등 필요한 안전장치를 처리에 통합해야 합니다. 컨트롤러는 기본설정을 통하여 필요한 개인정보만이 처리되는 것을 보장해야 합니다. 제42조(인증)에 따라 승인된 인증 메커니즘은 위에 규정된 요건의 준수를 입증하는 요소로 이용될 수 있습니다.

‘가명처리’란 추가정보 없이는 식별할 수 없는 상태로 개인정보를 처리하는 것을 의미합니다. 추가정보는 별도로 보관되어야 하고, 분리된 상태를 보장하기 위한 기술적 및 관리적 조치가 적용되어야 합니다. 모바일 게임 플랫폼에서 유저 DB 내 정보에 대해 ‘가상 ID’를 부여하고, 유저가 로그인을 하면 게임 시스템에는 ‘가상 ID’만을 제공하는 것은 일종의 가명처리로 보입니다. 유저 DB는 게임 DB와 명확히 분리되어 있고, 그 상태를 유지하기 위한 기술적 및 관리적 조치가 적용되어있기 때문입니다.

공동 컨트롤러는 그들 사이의 약정으로 각자의 책임을 투명한 방식으로 결정해야 합니다. 약정은 공동 컨트롤러 각자의 역할과 관계를 적절히 반영해야 하며, 정보주체는 그 약정의 요지를 이용할 수 있어야 합니다. 그러나, 약정의 조건과 관계없이 정보주체는 컨트롤러 각각에 관하여 본 규칙에 따라 자신의 권리를 행사할 수 있습니다.

EU 내에 설립되지 않은 컨트롤러 또는 프로세서는 EU 내 대리인을 서면으로 지정해야 합니다. 그러나, 간헐적이고, 민감한 정보를 포함하지 않으며, 자연인의 권리 등에 대한 위험을 초래하지 않는 처리인 경우는 예외로 합니다. 대리인에게는 감독당국과 정보주체가 GDPR의 권한을 용이하게 행사할 수 있도록 개인정보 처리와 관련한 모든 권한이 부여되어야 합니다. 그러나 대리인의 지정으로 인해 컨트롤러 또는 프로세서에 대하여 제기될 수 있는 법적 조치가 제한되지 않습니다.

컨트롤러는 본 규칙의 요건을 충족하는 등을 보증하는 프로세서만을 이용해야 합니다. 프로세서는 서면 허가 없이 다른 프로세서를 참여시킬 수 없습니다. 이와 관련하여 처리의 주제, 기간, 성격, 목적 및 개인정보의 유형, 정보주체의 범주, 컨트롤러의 의무와 권리, 특히 다음 사항을 규정하는 계약 등이 있어야 합니다.

1. 제3국 등에 대한 개인정보 이전을 포함하여 컨트롤러의 서면 지시에 한해 개인정보를 처리
2. 허가받은 자가 비밀유지를 약속하거나 법정 비밀유지의무를 적용받는 것을 보장
3. 제32조(처리 보안)에 따른 모든 조치
4. 다른 프로세서의 참여를 제한
5. 정보주체의 권리 행사 요청 관련 컨트롤러의 의무 이행을 지원
6. 제32조에서 제36조까지에 따른 컨트롤러의 의무의 준수를 지원
7. 컨트롤러에 의해 서비스의 제공이 종료된 후 모든 개인정보를 삭제하거나 반환
8. 본조에 규정된 의무의 준수를 입증하는데 필요한 모든 정보를 컨트롤러가 이용할 수 있게 해야하며 감사를 허용

개인정보에 접근하는 자는 오직 컨트롤러의 지시에 따라서만 개인정보를 처리해야 합니다.

각 컨트롤러 등은 자신의 책임 하에 다음 사항을 포함하여 처리 활동의 기록을 유지해야 합니다.

1. 컨트롤러 등의 개인정보보호 책임자의 이름 및 연락정보
2. 처리의 목적
3. 정보주체 범주 및 개인정보 범주에 대한 설명
4. 제3국 등에 공개되는 개인정보의 수령자와 범주
5. 해당되는 경우, 제3국 등에 대한 개인정보 이전과 그에 따른 적절한 안정장치에 대한 문서
6. 가능한 경우, 개인정보의 다른 범주의 삭제를 위한 예상 시간
7. 가능한 경우, 기술적 및 관리적 보안조치에 대한 일반적인 설명

각 프로세서 등은 컨트롤러를 대신하여 수행되는 다음을 포함한 모든 범주의 처리활동의 기록을 유지해야 합니다.

1. 프로세서와 각 컨트롤러 등의 개인정보보호책임자의 이름 및 연락정보
2. 각 컨트롤러를 대신하여 수행되는 처리의 범주
3. 해당되는 경우, 제3국 등에 대한 개인정보 이전과 그에 따른 적절한 안정장치에 대한 문서
4. 가능한 경우, 기술적 및 관리적 보안조치에 대한 일반적인 설명

위 항에서 언급된 기록은 전자적 형식을 포함하여 서면으로 작성되어야 합니다. 또한 250인 미만을 고용하는 기업에는 적용되지 않으나, 정보주체의 권리와 자유에 위험을 초래할 것 같고, 처리가 간헐적이지 않은 등의 경우는 예외로 합니다.

제2절. 개인정보 보안(Security of personal data)

컨트롤러와 프로세서는 다음을 포함하여 적절한 보안 수준을 보장하기 위한 기술적 및 관리적 조치를 이행해야 합니다.

1. 개인정보의 가명처리 및 암호화
2. 처리 시스템 및 서비스의 지속적인 기밀성, 무결성, 가용성 및 복원력을 보장할 능력
3. 물리적 또는 기술적 사고가 발생하는 경우 개인정보의 가용성 및 접근을 적시에 복원할 능력
4. 처리의 보안을 보장하는 기술적 및 관리적 조치의 효율성을 정기적으로 시험하고 평가하는 과정

적절한 보안 수준을 평가할 때 개인정보의 파기, 손실, 변경, 허가받지 않은 공개 또는 접근에 대한 위험이 특히 고려되어야 합니다. 컨트롤러와 프로세서는 허가를 받은 자연인이 컨트롤러의 지시를 따르는 경우만 개인정보를 처리할 수 있도록 보장하는 조치를 취해야 합니다.

컨트롤러는 개인정보 침해의 경우, 가능한 72시간 내에 소관 감독당국에 신고해야 합니다. 다만 개인정보 침해가 자연인의 권리와 자유에 대한 위험을 초래하지 할 것 같지 않으면 예외로 합니다. 프로세서는 개인정보 침해를 알게 된 이후 과도하게 지체하지 않고 컨트롤러에게 통지하여야 합니다. 신고의 내용은 다음을 포함해야 합니다.

1. 가능하면, 관련 정보주체의 범주와 대략적인 수, 관련 개인정보 기록의 범주와 대략적인 수를 포함한 개인정보 침해의 성격을 기술
2. 개인정보책임자 등의 이름과 연락정보
3. 개인정보 침해의 가능한 결과
4. 적절한 경우 가능한 부정적 효과를 저감하는 조치를 포함하여, 개인정보 침해를 다루기 위해 컨트롤러가 취하도록 제안된 조치

정보를 동시에 제공할 수 없는 경우, 단계별로 정보가 제공될 수 있습니다. 컨트롤러는 개인정보 침해 관련 사실, 그 영향 및 취해진 구제조치로 구성되는 모든 개인정보 침해 관련 내용을 문서로 만들어야 합니다.

개인정보 침해로 자연인의 권리와 자유에 대한 높은 위험을 초래할 것 같은 경우, 컨트롤러는 과도하게 지체하지 않고 정보주체에게 개인정보 침해를 통지해야 합니다. 통지는 명확하고 쉬운 언어로 개인정보 침해의 성격을 기술하고 적어도 위의 2, 3, 4항에 언급된 정보를 포함해야 합니다.

그러나, 다음의 조건이 충족되면 정보주체에게 통지하지 않아도 됩니다.

1. 컨트롤러가 적절한 기술적 및 관리적 보호조치를 이행하였고, 특히 암호화가 적용된 경우
2. 컨트롤러가 정보주체의 권리와 자유에 대한 높은 위험이 실현되지 않도록 보장하는 후속조치를 취한 경우
3. 과도한 노력이 수반되는 경우, 대신에 공지 등의 조치가 있어야 합니다.

제3절. 개인정보보호 영향평가 및 사전협의(Data protection impact assessment and prior consultation)

특히 새로운 기술을 사용하는 처리의 유형이 자연인의 권리와 자유에 대한 높은 위험을 초래할 것 같은 경우, 개인정보보호 영향평가를 수행해야 합니다. 특히 프로파일링을 포함한 자동화된 처리에 기초한 경우 등에 요구됩니다. 감독당국은 개인정보보호 영향평가의 요건의 적용을 받는 처리작업의 종류와 목록을 확정하여 공개해야 합니다.

개인정보보호 영향평가는 적어도 다음을 포함해야 합니다.

1. 적용 가능한 경우 컨트롤러가 추구하는 정당한 이익을 포함한 예상되는 처리 작업과 처리 목적의 체계적인 기술
2. 목적과 관련한 처리작업의 필요성 및 비례성 평가
3. 정보주체의 권리와 자유에 대한 위험 평가
4. 본 규칙의 준수를 입증하기 위한 안전장치, 보안조치 및 메커니즘을 포함한 위험을 다루도록 예상된 조치

개인정보보호 영향평가에서 컨트롤러가 위험을 저감하기 위한 조치가 없을 경우 처리가 높은 위험을 초래할 것이라고 나타나면 컨트롤러는 처리 전에 감독당국과 협의해야 합니다.

제4절. 개인정보보호책임자(Data protection officer)

컨트롤러와 프로세서는 처리가 기관 등에 의해 수행되는데 대규모로 정보주체를 정기적이고 조직적으로 감사를 요구하는 처리작업으로 구성되는 경우에 개인정보보호책임자를 지정해야 합니다. 사업체집단은 하나의 개인정보보호책임자를 임명할 수 있는데, 각 사업장은 개인정보보호책임자에게 쉽게 접근할 수 있어야 합니다. 개인정보보호책임자는 개인정보보호법과 실무에 대한 전문적 지식 및 담당 직무를 완수할 능력에 근거하여 지정되어야 합니다. 개인정보보호책임자는 컨트롤러 또는 프로세서의 직원일 수도 있고, 서비스 계약에 근거하여 직무를 수행할 수 있습니다. 컨트롤러 또는 프로세서는 개인정보보호책임자의 연락정보를 공표하고, 감독당국에 이를 통지해야 합니다.

컨트롤러와 프로세서는 개인정보보호책임자가 개인정보 보호에 관한 모든 사항에 적절하고 적시에 관여하도록 보장해야 합니다. 또한 직무 수행에 관하여 어떠한 지시도 받지 않도록 보장해야 합니다. 직무 수행으로 인해 해고되거나 징계되지 않아야 하고, 최고위 관리자에게 직접 보고하여야 합니다.

정보주체는 개인정보책임자를 접촉할 수 있습니다. 정보보호책임자는 직무수행과 관련한 비밀유지의무를 갖습니다. 개인정보보호책임자는 겸임을 할 수 있지만, 컨트롤러 또는 프로세서는 이로 인한 이해충돌을 발생시키지 않도록 보장해야 합니다.

개인정보보호책임자는 적어도 다음의 직무를 가져야 합니다.

1. 본 규칙 등에 따른 의무를 수행하는 컨트롤러 또는 프로세서 및 종업원에게 고지 및 조언
2. 직원의 인식제고 및 훈련, 감사를 포함하여 개인정보 보호와 관련하여 컨트롤러 또는 프로세서의 정책에 대한 준수의 감시
3. 개인정보보호 영향평가에 대한 조언 제공 및 성과 감시
4. 감독당국과 협력
5. 감독당국의 연락처로서 행동 및 사안에 대한 협의

개인정보보호책임자는 자신의 직무수행에서, 처리의 성격, 범위, 문맥 및 목적을 고려하여, 처리작업에 연관된 위험에 상당한 주의를 기울여야 합니다.

제5장. 제3국 또는 국제기구로 개인정보 이전

개인정보의 제3국 등에 대한 이전은 재이전을 포함하여 GDPR의 다른 규정을 포함하여 본 장의 모든 규정을 준수하는 경우에만 실시되어야 합니다.

유럽위원회는 제3국 등이 개인정보를 적정한 수준으로 보호하고 있다는 결정을 내릴 수 있습니다. 이 경우, 컨트롤러가 개별적으로 정보주체의 명시적 동의를 받거나 적절한 안전장치를 제공하지 않더라도 개인정보를 이전할 수 있습니다.

컨트롤러 또는 프로세서가 적절한 안전장치를 제공한 경우에 제3국 등에 개인정보를 이전할 수 있습니다. 적절한 안전장치는 감독당국의 특정한 허가 없이 다음에 의해 제공될 수 있습니다.

1. 공공당국 또는 기관 사이의 법적 구속력 있고 집행가능한 문서
2. 구속력 있는 기업규칙
3. 유럽위원회가 채택한 표준개인정보보호조항
4. 감독당국이 채택하고 유럽위원회가 승인한 표준개인정보보호조항
5. 컨트롤러 또는 프로세서의 구속력 있고 집행가능한 승인된 행동규약
6. 컨트롤러 또는 프로세서의 구속력 있고 집행가능한 승인된 인증 메커니즘

또한, 소관 감독당국의 허가를 조건으로 다음에 의해서도 적절한 안정장치가 제공될 수 있습니다.

1. 컨트롤러, 프로세서, 또는 개인정보의 수령자 사이의 계약 조항
2. 공공당국 또는 기관 사이의 행정약정에 삽입되는 규정

글로벌 기업집단은 내부적이지만 국제적으로 개인정보를 이전할 필요가 있는데, 감독당국의 승인을 받은 구속력 있는 기업규칙에 따른 EU 역외 이전은 추가의 허가를 요구하지 않습니다.

다음 조건 등의 하나에 해당되는 특정 상황에서는 개인정보의 EU 역외 이전이 허용됩니다.

1. 정보주체가 명시적으로 동의한 경우
2. 계약 또는 정보주체의 요청을 이행하기 위해 필요한 경우
3. 정보주체의 이익을 위해 컨트롤러와 제3자 사이에 체결된 계약의 체결 또는 이행을 위해 이전이 필요한 경우
4. EU 또는 회원국 법으로 인정된 공익의 중요한 이유로 이전이 필요한 경우
5. 법적 청구권의 설정, 행사, 방어를 위해 이전이 필요한 경우
6. 물리적인 사유 등으로 정보주체가 동의할 수 없는 상황에서 정보주체 또는 다른 자연인의 중대한 이익을 보호하기 위해 이전이 필요한 경우

참고문헌

• European Commission, Data protection https://ec.europa.eu/commission/priorities/justice-and-fundamental-rights/data-protection/2018-reform-eu-data-protection-rules_en
• 행정안전부 개인정보보호 종합포털, GDPR 안내 https://www.privacy.go.kr/gdpr
• 한국인터넷진흥원, GDPR 안내 https://www.kisa.or.kr/business/gdpr/gdpr_tab1.jsp
• 박노형 외 8인 공저, 2017, EU 개인정보보호법 – GDPR을 중심으로, 박영사