EU 내 개인정보 보호 관련 입법 체계

 

EU 내 개인정보 보호 관련 초기 입법 체계

전화 감청, 도청, 은밀한 관찰, 개인정보를 얻기 위한 공식 통계 및 이와 유사한 조사의 불법 사용, 잠재의식 광고 및 선전과 같은 새로 개발된 기술은 개인의 권리와 자유, 특히 프라이버시 권리에 위협이다.

 

1968년 유럽 이사회 권고안에서 인용한 위의 구절은 당시 개인정보 보호에 대한 잠재적 위협에 대한 우려에 대한 흥미로운 시각을 제공한다. 데이터 처리 분야의 급속한 증가와 공공 및 민간 부문에서의 대형 메인 프레임 컴퓨터의 출현은 효율성과 상업성 측면에서 조직에 큰 이점을 제공함을 인정받았다. 그러나 이러한 발전은 개인의 인권과 사생활을 해칠 잠재력이 있었다.

유럽의 데이터 보호법은 독일의 헤세(Hesse)주에서 지역 법을 도입한 1970년 이래로 계속되었다. 물론 2011년에야 공공기관과 사업자 등을 모두 포괄하는 개인정보 보호법이 시행된 우리나라와 비교할 수준은 아니지만, EU 회원국 중 최초의 국내법은 1973년 스웨덴에 의해 도입되었고, 1980년대 초반까지 유럽은 데이터 보호 규정에 대한 진지하고 결연한 접근은 시작되지 않았었다.

 

유럽 평의회 협약 (Convention 108)

1981년 유럽 평의회는 개인정보 자동 처리에 관한 개인 보호 협약(‘Convention 108’)에 서명하기 위해 열렸다. Convention 108은 데이터 보호 분야에서 최초로 법적인 구속력을 가진 국제 법률문서이다. Convention 108에는 2가지 주된 이유가 있었다. 첫째, 회원국은 민간 및 공공 부문의 프라이버시 보호와 관련하여 이사회의 1973년 및 1974년 결의안에 대응하는 데 실패했다. 둘째, 구속력 있는 국제 법률문서에 의해 그 결의안에서 발견된 원칙의 강화에 대한 필요성이었다.

1976년 11월부터 1980년 4월까지 오스트리아, 벨기에, 프랑스, 독일연방공화국, 이탈리아, 네덜란드, 스페인, 스웨덴, 스위스 및 영국 정부의 데이터 보호 관련 정부 전문가 위원회들이 일반적인 철학과 협약 초안의 세부 사항을 결정하기 위해 모였다. 최종 텍스트에 서명하기 위해 1981년 1월 28일 회의가 열렸다. Convention 108이라는 유럽 데이터 보호법 개발의 결정적인 순간이었으며 3가지 주된 이유로 주목할 만하다.

• Convention 108은 이전의 결의안들과 마찬가지로 개인정보의 정확성과 보안성, 그리고 그러한 데이터에 대한 개인의 접근권을 포함한 데이터 보호와 관련된 주요 우려 사항들을 다루는 일련의 ‘원칙들’에 기초하고 있다. 이 원칙들은 EU 회원국의 국내법 및 EU GDPR에 따라 시행되는 EU 데이터 보호 지침(‘Directive’)에 명시되어 있다.

• 이전 결의안과 마찬가지로 Convention 108은 개인 프라이버시에 대한 적절한 보호를 보증할 뿐만 아니라 상거래 및 공개 기능의 수행을 위한 개인 데이터의 자유로운 흐름의 중요성(현재의 EU 데이터 보호법의 핵심 요소)을 인식한다. 따라서 서명국은 개인정보 보호의 유일한 목적으로 개인정보의 국경 통과에 대해 금지하거나 특별한 허가 대상으로 해서는 안 된다.

• 마지막으로, Convention 108은 법적 구속력이 있는 도구로서, 서명국이 국내법을 제정하여 원칙을 구현하도록 요구한다.

 

Convention 108의 목적은 서명국 간의 보다 많은 단결을 이루고 개인의 권리, 특히 개인정보의 증가하는 양을 고려하여 사생활을 존중하고, 자동 처리 및 국경을 넘나드는 권리와 근본적 자유에 대한 안전장치를 확대하는 것이다.

Convention 108은 27개의 조항으로 구성되며 3가지 주요 부분을 포함한다.

• ‘데이터 보호의 기본 원칙’(제2장, 조항 4-11)

• ‘국경 간 데이터 흐름’(제3장, 제12조)

• ‘상호 지원’ 조항(제4장, 13-17조)

 

이후에 제정된 GDPR과 맞추기 위해 2018년에 업데이트 된 이후에는 기존 협약과 구별하기 위해 Convention 108+로 부른다.

 

 

데이터 보호 지침 (Directive 95/46/EC)

유럽 연합 회원국들 사이의 새로운 데이터 보호 법안의 차이가 자유로운 데이터 흐름에 영향을 미치고 있음을 인식하고, 1990년 유럽 연합 집행위원회(Commission)는 데이터 보호 지침(Directive)의 제정을 제안했다.

 

배경

불행히도 1980년대 말까지 Convention 108의 실현이 어렵다는 것이 명백해졌다. 적은 수의 국가만이 그것을 비준했고 각 국가의 데이터 보호법은 각각 다른 접근법을 취했다. 이것은 개인의 사생활 보호 권리에 대한 일관된 보호와 로마 조약에 의해 보장된 자유 무역의 개념을 저해했다.

따라서 1990년에 집행위원회는 데이터 보호 지침을 공식적으로 제안했다. 이 제안은 유럽 데이터 보호에 있어 유럽 연합(EU)의 리더십의 출발점과 Convention 108의 상대적 격하의 전조이기 때문에 중요한 의미를 갖는다. 개인 데이터의 처리와 자유로운 이동에 대한 유럽 의회와 이사회의 Directive 95/46/EC(‘Data Protection Directive,’ 또는 ‘the Directive’)는 1995년 10월 24일 정식으로 채택되었다.

유럽 이사회와는 달리 EU는 독립된 인권법을 제정할 수 없다. 대신, EU의 법적 권한을 규정한 로마 조약에 따라 특정 조항에 관한 법률을 제정해야 한다. 이것이 로마 조약의 내부 시장 조항에 따라 조화된 수단을 만들기 위해 Directive가 만들어진 이유이다. 자유로운 개인 데이터의 이동없이 그러한 자산의 자유로운 이동이 가능하지 않기 때문에 ‘회원국 간 상품, 인력, 서비스 및 자본의 자유로운 이동에 대한 장애물의 폐지’를 요구한다.

따라서 Directive를 내부 단일 시장의 원칙을 보호하는 인권법으로 간주하는 것이 공정할 것이다. 단일 시장이 성공하기 위해서는 개인정보의 자유로운 이동과 보호 보장을 위한 일관된 규정이 있음을 인식하는 것이 필요하다. 이것은 Directive의 제1조에서 볼 수 있으며, 그 목적을 아래와 같이 설명한다.

이 Directive에 따라, 회원국은 자연인의 기본적 권리와 자유, 특히 개인정보 처리와 관련한 개인정보 보호 권리를 보호해야 한다.

회원국은 제1항에 규정된 보호와 관련된 이유로 회원국 간의 개인정보의 자유로운 흐름을 제한하거나 금지해서는 안 된다.

 

내용

Directive는 72개의 Recital과 34개 조항으로 구성된다. Recital은 Directive와 그 해당 의무들의 뒤에 있는 이론과 해석을 제공하고, 조항은 Directive의 요구 사항 이행에 있어 회원국의 의무를 명시한다. 34개 조항은 7개 장으로 정리되어 있다.

1. 일반 규정

2. 개인정보 처리의 적법성에 관한 일반 규칙

3. 사법적 구제책, 책임 및 제재

4. 제3국으로의 개인정보의 이전

5. 행동 강령

6. 개인정보 처리와 관련된 개인의 보호에 관한 감독 당국 및 작업반

7. 지역 사회 이행 조치

 

운영상의 관점에서 Directive는 일반 원칙을 설정하고 회원국이 회원국의 국가 법규를 어떻게 바꿔야 하는지 자세히 설명하기보다는 회원국들에게 적합하다고 판단되는 원칙을 이행하도록 한다. 이는 회원국들이 자신의 업무를 시행할 때 각국의 데이터 보호법에 따라 해석하고 적용하도록 허용해주는 것이다. 이에 대한 예는 Directive 제18~20조에 명시된 통보 의무 및 회원국이 이행한 각 국가별 데이터 보호법의 각 조항에 대한 다양한 해석에서 볼 수 있다.

Directive는 일반 원칙을 설정하기 때문에 Directive 텍스트 전체에 특정 개념과 어구가 반복된다. ‘필요성’은 데이터 처리 활동이 합법적인 것이므로 처리가 ‘필수적’이어야 한다는 이유로 핵심 개념 중 하나이다. 또 다른 두드러진 개념은 ‘적정성’이다. Directive는 특정 예외는 있지만, 적절한 수준의 보호를 제공하지 않는 관할 구역에 대한 국제 데이터 이전을 금지한다.

Convention 108 대비 Directive의 주요 진전 사항은 수동 데이터에 대한 적용 가능성이다. Convention 108에 의거, 유럽 평의회 회원국들만 이 옵션을 가지고 있었고, 그것을 시행하기로 선택한 경우는 거의 없었다. 그러나 Directive에서는 이를 변경하여 ‘서류 정리 시스템’에 보관된 수작업 자료의 처리도, 자동 수단으로 처리하는 것과 동일한 의무를 가지게 된다.

 

주요 원리

이전의 Convention 108과 마찬가지로, 개인 데이터의 합법적인 처리에 대한 핵심 요구 사항인 주요 원칙을 Directive에서 식별하는 것이 가능하다. 특히 회원국은 다음과 같이 개인 데이터를 제공해야 한다.

• 공정하고 합법적으로 처리되어야 하고

• 명시되고 합법적인 목적으로 수집되고, 그러한 목적과 양립할 수 없는 방식으로 처리되지 않아야 하고

• 충분하고 적절하며 과도하지 않아야 하고

• 정확하고 필요한 경우 최신 정보를 유지해야 하고

• 필요 이상으로 보관하지 않아야 하고

• 개인의 권리에 따라 처리해야 하고

• 적절한 기술적 및 조직적 조치를 사용하여 우연한, 불법적인 또는 허가되지 않은 처리로부터 보호해야 하며

• 적절한 수준의 데이터 보호 또는 적절한 보호를 보장하는 조건하에서만 유럽 경제 지역 밖의 국가로 이전되어야 한다.

 

Directive는 EU 회원국에서 ‘설립된’ ‘데이터 컨트롤러’로 활동하는 조직 또는 조직이 EU에 없는 경우 조직이 회원국 영토 내에서 데이터 처리 장비를 사용하는 경우에 적용되며, 그러한 경우 해당 회원국 내에서 조직을 대리할 대표를 임명해야 한다.

Directive는 이전의 Convention 108에 의해 정해진 기초 위에 세워졌으며 인종 또는 민족적 출신, 정치적 견해, 종교적 또는 철학적 신념, 노동조합 가입 또는 건강 또는 성생활과 관련된 세부 정보를 보여주는 ‘특수 데이터의 카테고리’를 식별한다. 그러한 데이터를 처리하기 위한 추가 요구 사항은 물론이다. 중요한 것은 인권 관련 법률로서 Directive는 개인 자료와 관련하여 개인의 권리를 분명히 밝히는 특정 조항을 포함하고 있다.

Directive는 또한 각 회원국의 ‘위탁된 기능을 수행하는 데 있어 완전히 독립적’으로 행동할 국가 데이터 보호 당국(DPA)과 제29조 작업반(WP29)의 설립을 의무화하고 있다. WP29는 DPA, 유럽 데이터 보호 감독관 및 집행위원회의 대표들로 구성된다. WP29의 임무는 Directive 30조에 규정되어 있으며, Directive의 운영을 검토하고 의견 및 조언을 집행위원회에 제공할 것을 요구한다.

 

Directive 검토 및 EU 데이터 보호 프레임워크 개혁

Directive의 도입 이후 집행위원회의 주요 초점은 회원국의 이행 개선과 지침의 보다 일관된 적용 및 해석 달성에 있었다. 그러나 여러 가지 요인들로 인해 유럽 연합 집행위원회는 유럽 연합의 데이터 보호 규칙에 대한 포괄적인 검토를 시작했다. 요지는 Directive가 작성된 이후의 기술 개발과 함께 Directive를 구현하고 기업과 개인에 영향을 미치는 국가적 조치와 실천의 다양성을 포함한다.

2010년에 집행위원회는 개혁을 위한 제안된 전략을 제시했다. 주요 목표는 법 집행 기관의 데이터 접근과 관련하여 기업의 적법성 감소 및 EU 내에서 자유로운 데이터 순환을 보장하는 것을 포함하여 개인의 데이터를 보호하는 것이다. 집행위원회는 이 아이디어에 대한 반응을 요청하고 별도의 공개 상담을 실시했다.

2년 후, 2012년 1월 집행위원회는 Directive의 포괄적인 개혁을 위한 제안서를 발표했다. 여기에는 2가지 입법안이 포함되어 있다. 즉, 데이터 보호를 위한 일반적인 EU 프레임워크(GDPR) 및 형사 범죄의 예방, 탐지, 조사 또는 기소와 관련 사법 활동을 목적으로 처리되는 개인 데이터 보호 지침(the ‘Law Enforcement Data Protection Directive’, or LEDP Directive)이 그것이다.

당시 집행위원회의 보도 자료는 개혁 배경에 대해 다음과 같이 설명했다.

17년 전 유럽인의 1% 미만이 인터넷을 사용했다. 오늘날, 방대한 양의 개인 데이터가 대륙과 전 세계에 걸쳐 순식간에 이전되고 교환된다.

개인정보 보호는 모든 유럽인들에게 기본적 권리이지만 시민들은 항상 개인정보를 완벽하게 통제하지는 않는다. [우리의] 제안은 사람들이 자신의 권리에 대해 더 알게 되고, 자신의 정보를 보다 잘 제어할 수 있게 될 것이기 때문에 온라인 서비스에 대한 신뢰를 구축하는 데 도움이 될 것이다. 개혁은 삶을 더 쉽게 하고 사업의 비용은 절감할 것이다. EU 차원의 강력하고 명확하며 획일적인 법률 구조는 디지털 단일 시장의 잠재력을 발휘하고 경제 성장, 혁신 및 일자리 창출을 촉진하는 데 도움이 될 것이다.

 

개혁의 주요 변경 사항은 다음과 같다.

• EU 전역에서 유효한 단일 데이터 보호 규칙. 기업에 대한 통지 요구 사항과 같이 Directive에 포함된 특정 행정 요구 사항은 비즈니스에 과도한 비용이 들어가므로 삭제되었다.

• 개인 데이터 처리 담당자의 책임 및 책임성 향상

• 기관이 주요 시설이 있는 EU 국가의 단일 국가 데이터 보호 기관(DPA)과 일처리를 할 수 있다. 마찬가지로 개인이 자신의 국가에서 DPA에 문제를 회부할 수 있게 한다. EU 외부의 회사에서 데이터를 처리하는 경우에도 마찬가지이다.

• 데이터를 처리하는 데 동의가 필요한 경우, 추정하는 것이 아니라 ‘명시적’이어야 한다는 등의 방법으로 개인이 데이터를 보다 잘 제어할 수 있도록 해야 한다.

• 데이터 이동성에 대한 권리: 자신의 데이터를 보다 쉽게 다른 하나의 서비스 제공자로부터 개인정보를 이전하는 기능에 개인이 쉽게 액세스하는 이 제안의 목표는 서비스 간의 경쟁을 개선하는 것이었다.

• 사람들이 데이터 보호 위험을 보다 효과적으로 관리할 수 있도록 돕는 ‘잊혀질 권리’. 집행위원회는 기업이 사업을 유지하기 위한 합법적인 근거가 없다면 개인이 자신의 데이터를 삭제할 수 있어야 한다고 제안했다.

• EU 시장에서 활동하고 EU 시민들에게 서비스를 제공하는 회사가 개인 데이터를 해외에서 처리하는 경우 EU 규칙이 적용되고 있는지 확인한다.

• 독립적인 전국 DPA의 권한을 강화하여 자기 지역에서 EU 규칙을 강화. 최고 100만 유로의 벌금 또는 회사의 전 세계 연간 매출액의 2%까지 처벌한다.

• LEDP Directive에 포함되고 데이터의 국내 및 해외 이전에 모두 해당되는 형사 사건에 대한 경찰 및 사법 협력을 위한 일반 데이터 보호 원칙 및 규칙.

 

집행위원회의 제안은 검토와 토론을 위해 유럽 의회(‘Parliament’)와 EU 회원국(‘Council of Ministers’ 회의 또는 ‘Council’)에 제출되었다. 의회는 집행위원회의 2014년 초안에 대한 수많은 개정안을 제안했으며, 이사회는 자체 제안을 제출했다. 세 당사자는 ‘trilogue’로 알려진 협상 과정을 통해 법률이 되기 전에, 초안에 대한 합의에 도달해야 했다. trilogue 동안 제안서는 철저히 토론된 후 4년 이상의 집중적인 입법 과정과 모든 관련자들의 타협 정도에 따라 유럽 의회, 이사회 및 집행위원회는 2015년 12월 15일 새로운 데이터 보호 규칙에 합의했다.

2016년 5월 4일, 유럽 의회의 자유권위원회와, 유럽이사회와 유럽 의회의 상임대표위원회(COREPER: Council of the European Union Permanent Representatives Committee)의 정치적 합의에 따라 유럽 연합 공식 저널에 GDPR 및 Directive의 공식 문서가 모든 공식 언어로 공표되었다. GDPR은 2016년 5월 24일에 공식적으로 발효되었으며 2018년 5월 25일부터 적용되었다. LEDP Directive는 2016년 5월 5일 발효되었으며, 회원국은 2018년 5월 6일까지 이를 자국의 법률로 옮겼다.

 

일반 데이터 보호 규정 (GDPR)

배경

GDPR(General Data Protection Regulation)은 집행위원회에 의해 ‘디지털 시대의 시민들의 기본적 권리를 강화하고 디지털 단일 시장의 기업을 위한 규칙을 단순화함으로써 비즈니스를 촉진하는 필수적인 단계’로 간주된다. 개인정보가 수집되고 공유되며, 전 세계적으로 사용되는 방식을 바꾸기 위한 복잡하고 엄격한 법률이다. 새 제도는 Directive에도 친숙한 개념과 원칙을 포함하고 있다. 그러나 그 유사점에도 불구하고 GDPR의 영향은 훨씬 더 커질 것이다.

 

내용

구조 면에서 GDPR은 Directive보다 훨씬 길며 173개 Recital과 99개 조항으로 구성된다. Directive와 마찬가지로, Recital은 먼저 GDPR 및 해당 의무의 배경이 되는 이론 및 해석을 제공하고, 조항은 실질 의무를 규정한다. 조항에는 운영법이 포함되어 있지만 관련 Recital에는 조항을 해석하는 방법에 대한 중요한 세부 사항이 포함되어 있으므로 실제로는 이 2가지를 함께 고려해야 한다.

99개 조항은 다음과 같이 11장으로 구성된다.

1. 일반 규정

2. 원칙

3. 데이터 주체의 권리

4. 컨트롤러 및 프로세서

5. 제3국 또는 국제기구에 대한 개인정보의 이전

6. 독립적인 감독 당국

7. 협력과 일관성

8. 구제책, 책임 및 처벌

9. 특정 처리 상황과 관련된 조항

10. 위임된 행위 및 이행 행위

11. 최종 규정

 

EU에서 운영하는 회사나 EU 내 개인의 데이터 처리에 영향을 줄 수 있는 현재 Directive와 비교한 주요 변경 사항은 다음과 같다.

  • 법의 적용: Directive와 달리, GDPR은 국가의 의회의 개입 없이 EU의 모든 회원국에 직접 적용될 것이다. Directive와 마찬가지로, GDPR은 새로운 제도가 데이터 컨트롤러에만 국한되지 않는다는 중요한 차이가 있지만 EU에서 설립된 비즈니스에 적용된다. 새로운 요구 사항 중 상당수는 프로세서에 동등하게 적용되며, 정보 수명 주기의 모든 역할에 걸쳐 준수할 것을 강조한다(컨트롤러 및 프로세서의 개념에 대한 자세한 설명은 7장 참조)
  • EU에서 설립되지 않은 사업에 대한 규제의 적용 가능성 측면에서, 입법자들은 Directive의 EU 기반 처리 ‘장비’에 대한 참고 사항을 삭제하였다. 대신 EU에서 설립되지 않은 조직에 대한 GDPR의 적용 가능성은 데이터 주체의 위치에 따라 결정된다. GDPR은 비즈니스에 의한 개인정보의 사용이 지불의 필요성이나 EU에서의 개인 행동 모니터링에 관계없이 EU 내 개인에게 제공되는 상품 또는 서비스와 관련이 있는 모든 곳에 적용된다. 중요한 것은, GDPR의 Recital 24는 인터넷상의 데이터 주체를 추적하여 자신의 개인적 취향을 분석하거나 예측하는 것이 GDPR 적용을 촉발시킨다는 것을 분명히 한다. 이것은 추적용 쿠키를 저장하는 모든 웹사이트와 사용자 정보를 검색하는 모든 앱이 GDPR의 영향을 받는 다는 것으로 그 적용이 광범위하게 확대됨을 의미한다.
  • 개인의 데이터 통제: GDPR의 텍스트 전체에 나타나는 주제이며 Directive와 비교하여 데이터 사용과 관련하여 ‘동의’를 강화함으로써 강조되는 주제이다. 개인의 동의가 데이터 사용에 대한 타당성으로 사용되려면 매우 높은 기준을 충족시키고 특정 조건을 극복해야 한다. 특히 아래 경우와 관련하여 주의해야 할 필요가 있다.
‣ 개인 데이터의 사용과 이용 약관이 적용되는 기타 사항을 명확하게 구별하지 않고 이용 약관과 동의를 묶을 수 없다.

‣ 동의가 획득되기 전에 개인에게 동의는 언제든지 쉽게 철회할 수 있음을 설명해야 한다.

‣ ‘take-it-or-leave-it’ 방식(해당 정보를 주지 않으면 서비스를 제공할 수 없다는 식)으로 상품이나 서비스에 대한 대가로 요청한 동의는 자유롭게 주어지지 않는 것으로 간주될 수 있다.

‣ 16세 미만(우리나라는 만 14세 미만을 아동으로 보고 있다.)의 개인정보 사용에 대한 학부모 동의 요건은 개별 회원국의 재량에 달려 있으며 청소년의 데이터가 관련되어 있는 경우 컴플라이언스에 대한 국가별 접근 방식이 필요하다.

  • 개인에 대한 새롭고 강해진 권리: GDPR에 따르면, 개인은 다음을 포함하는 상당히 강화된 권리를 통해 데이터에 대한 더 많은 통제력을 가질 수 있다.
‣ 훨씬 더 상세한 투명성 의무: GDPR은 데이터 수집 시점이나 적절한 기간 내에 개인에게 제공되어야 하는 정보 범주에 추가된다. 명확하고 평이한 언어가 사용되어야 하며 개별 데이터 주체에 맞게 작성되어야 하므로, 정보가 아동으로부터 수집되는 경우 통지하는 언어는 아동이 이해할 수 있도록 해야 한다.

‣ 데이터 이식성, 처리 제한, 잊혀질 권리 및 프로파일링과 관련한 새로운 권리. 이동권은 정보가 원래 개인의 동의 또는 계약의 일부로 얻은 경우 ‘구조화되고 일반적으로 사용되는 기계로 읽을 수 있는 형식’으로 기업에 제공한 정보를 받을 권리를 사람들에게 제공한다. 특정 상황에서 기술적으로 가능할 경우 해당 데이터를 한 비즈니스에서 다른 비즈니스로 이전할 수 있는 일반적인 권리도 있다.

‣ 현재의 Directive에서 데이터 주체의 접근, 수정, 삭제(즉, 잊혀질 권리) 및 거부할 권리와 같은 기존 권한 보존. 데이터 주체 접근 요청과 관련하여, 요청이 ‘명백하게 과도한’ 경우가 아니면 수수료를 청구할 권리가 삭제되었다.

  • 새로운 책임성 제도: GDPR의 가장 주목할 만한 진기한 점은 비즈니스가 데이터 관행에 대해 보다 책임감을 갖도록 하는 다양한 요구 사항들이다. 책임은 컴플라이언스를 입증하고 그러한 컴플라이언스에 대해 투명하다는 것이다. 새로운 책임 사항은 다음과 같다.
‣ 조직의 데이터 처리 활동이 GDPR을 준수하는지 확인하기 위한 데이터 보호 정책 및 조치 구현

‣ 기본적으로 설계 및 데이터 보호에 의한 데이터 보호

‣ 컨트롤러 및 프로세서의 기록 유지 의무

‣ 컨트롤러와 프로세서에 의해 감독 당국과의 협력

‣ 작업의 특성 또는 범위로 인해 개인에게 특정 위험을 제시하는 작업에 대해 데이터 보호 영향 평가(Data Protection Impact Assessments, DPIA)를 수행

‣ 위험도가 높은 경우 DPA와 사전 협의

‣ 공공 부문의 컨트롤러 및 프로세서에 대한 필수 데이터 보호 책임자(DPO) 및 대용량 데이터 처리 활동

  • 데이터 프로세서의 새로운 의무: 위에서 언급한 바와 같이 GDPR은 데이터 컨트롤러에만 적용되는 Directive하의 현행 규칙에 중요한 변경을 암시하는 서비스 제공 업체(즉, 데이터 프로세서)에 직접 여러 가지 준수 의무와 가능한 제재를 부과한다. 가장 근본적인 변화는 프로세서가 컨트롤러의 동의 없이 서비스를 외주 처리할 수 없다는 요구 사항이다. Directive는 컨트롤러와의 계약에 규범적인 조건을 요구하며, 대부분의 프로세서는 요청을 받는 경우, 프로세싱 활동에 대한 기록을 유지하고, 적절한 보안 조치를 취하고, 특정 상황에서 DPO를 지정하고, 국제 데이터 이전 요구 사항을 준수하고, 감독 당국과 협력해야 한다.
  • 국제 데이터 이전: 국제 데이터 이전에 영향을 미치는 Directive에 포함된 기존의 제한은 GDPR하에서 계속 존재할 것이다. 위원회가 적절하게 공식적으로 인정하는 관할 구역 외에도, 적절한 보호 장치를 마련하고 개인에 대한 집행 가능한 권리 및 효과적인 법적 구제가 가능하다는 조건하에 컨트롤러 및 프로세서는 EU 밖으로 개인 데이터를 이전할 수 있다. GDPR은 소위 ‘일관성 메커니즘’에 부합하는 BCR(Binding Corporate Rules), 위원회에서 채택한 표준 계약 조항, DPA에서 채택하고 집행위원회에서 승인한 표준 계약 조항, 승인된 행동 강령, 승인된 인증 메커니즘과 DPA에 의해 승인된 다른 계약 조항들을 명시적으로 포함하는, 합법화되는 데 사용된 수단의 범위를 유용하게 확대했다.
  • 보안: GDPR에 따라 데이터 컨트롤러와 데이터 프로세서는 처리하는 개인 데이터를 보호하기 위해 적절한 기술적 및 조직적 조치를 취해야 할 의무가 있다(현재 법률상의 의무는 컨트롤러에만 적용된다). 또한 GDPR은 위반이 ‘자연인의 권리와 자유에 대한 위험을 초래하지 않을 것’이 확실하지 않은 한, 데이터 위반을 알게 된 후 72시간 이내에 관련 DPA에 데이터 위반을 보고해야 한다는 요구 사항을 도입했다. 개인에게 해를 끼칠 위험이 높으면 개인에게도 통보해야 한다.
  • 시행 및 불이행 위험: GDPR은 개인에게 유형 또는 무형의 손실에 대해, 위반에 대한 보상 권리를 부여한다. 그들은 또한, DPA가 고소에 영향을 주도록 강요하기 위하여 관련 DPA의 결정에 대해, 그리고 GDPR을 준수하지 않음으로써 자신의 권리를 침해하는 데이터 컨트롤러 및 프로세서에 대해 사법 구제를 받을 수 있다. 이러한 권리는 개인을 대신하여 소비자 단체가 행사할 수 있다. 최대 2,000만 유로 또는 전 세계 연간 매출액의 4% 중 높은 금액의 벌금이 부과될 수 있다. 따라서 제재의 잠재적 심각성이 크게 증가한다. 여기에는 다음 조항의 침해가 포함된다.
‣ 동의 조건을 포함하여 처리를 위한 기본 원칙

‣ 데이터 주체의 권리

‣ 합법적인 국제 데이터 이전 조건

‣ GDPR에 의해 허용되는 경우, 국내법상의 특정 의무

‣ 데이터 흐름 정지를 포함하는 DPA의 명령들

 

 

법 집행 데이터 보호 지침(LEDP Directive)

Directive는 형사 문제에 대한 경찰 및 사법 협력에 관한 개인정보 보호를 위한 특정 규칙(‘2008 Framework Decision’)을 포함한 기타 법적 도구로 보완된다. 2008 Framework Decision은 Directive와 동시에 검토되었다.

GDPR에 대한 합의와 함께 집행위원회, 이사회 및 의회는 형법 집행 기관이 개인정보를 사용할 때마다 시민들의 기본적인 데이터 보호 권리를 보호할 수 있는 경찰 및 형사 사법 부문에 대한 새로운 EU Directive에 합의했다.

LEDP Directive에 포함된 새로운 규칙에는 다음과 같은 3가지 주요 목표가 있다.

• 법 집행 당국간 협력 강화: EU 회원국의 법 집행 당국은 LEDP Directive에 따라 조사에 필요한 정보를 보다 효율적이고 효과적으로 교환할 수 있어 유럽의 테러 및 기타 중범죄와 관련하여 협력을 개선할 수 있다. 집행위원회에 따르면, LEDP Directive는 법 집행의 특정 요구 사항을 고려하고, 회원국의 다양한 법적 전통을 존중하며, 기본 권리 헌장과 완전히 일치해야 한다.

• 시민 데이터 보호 개선: LEDP Directive는 피해자, 범죄자 또는 증인이든 관계없이 범죄 예방을 포함하여 법 집행 목적으로 처리될 때 개인의 개인정보가 보호되도록 하는 것을 목표로 한다. 따라서 GDPR 하에서의 입장과 유사하게 EU 내 모든 법 집행 절차는 개인에 대한 적절한 보호 장치와 함께 필요성, 비례성 및 합법성의 원칙을 준수해야 한다. 독립적인 국가 DPA에 의한 감독이 보장되며 효과적인 사법 구제가 제공되어야 한다.

• 국제 데이터 흐름에 대한 명확한 규칙: LEDP Directive에는 EU 내에서 보장된 개인의 보호 수준이 훼손되지 않도록 보장하기 위해 EU 외부의 법 집행 당국에 의한 개인 데이터 이전에 대한 특정 규칙이 포함되어 있다.

 

 

개인정보 보호 및 전자 통신 지침 (ePrivacy Directive)

Directive를 보완하는 또 다른 수단은 통신 부문에 대한 특정 규칙이 포함된 Privacy and Electronic Communications Directive(ePrivacy Directive)이다. ePrivacy Directive에 대한 배경으로 EU 의회와 이사회는 인터넷이 전통적인 시장 구조를 뒤엎고 새로운 첨단 디지털 기술로 정보 사회를 발전시킴에 따라, 10여 년 전에는 예상하지 못했던 개인 프라이버시 문제를 해결할 필요가 있음을 인식했다.

 

배경

전자 통신 부문의 개인정보 처리 및 개인정보 보호와 관련하여 1997년 지침을 대체하기 위해 2002년 7월 12일 유럽 의회 및 이사회는 2002/58/EC Directive(이하 ‘ePrivacy Directive’)에 대한 ‘수렴’의 절차를 반영하기 시작했다. 거기에서 EU는 기존의 통신법을 확대하여 통신, 팩스, 인터넷, 전자 메일 및 이와 유사한 통신 방법을 포함한 모든 전자 통신이 포함되어 있었다.

새로운 ePrivacy Directive에는 개인정보 보호 및 사용자의 개인정보 보호 및 시장 및 기술 발전과 관련된 특정 요구 사항을 야기하는 공공 통신 네트워크에 도입된 디지털 기술의 발전과 전자 통신 서비스용 시장과 기술 발전을 인정했다. ePrivacy Directive에는 사용된 기술에 관계없이 일관되고 평등한 보호의 필요성이 담겨 있다. ePrivacy Directive의 목표는 제1조에 명시되어 있다.

이 지침은 전자 통신 부문에서의 개인정보 처리와 관련하여 기본적인 권리와 자유, 특히 사생활 침해에 대한 보호 수준을 보장하고 데이터와 커뮤니티 내의 전자 통신 장비 및 서비스의 자유로운 이동을 보장하기 위해 필요한 회원국의 조항을 조화시킨다.

ePrivacy Directive는 2000년 7월 12일에 집행위원회에서 제안한 것이지만 채택 과정은 거의 2년이 걸렸다. 2002년 6월 25일 이사회가 유럽 의회 총회에 의한 투표로 개정안을 승인하였다. ePrivacy Directive는 2002년 7월 31일 EU 관보에 게재되었으며 2003년 10월 31일까지 회원국에 의해 국내법으로 이행되어야 했다.

ePrivacy Directive는 2009년 11월 24일 EU 통신 부문에 대한 5가지 EU 지침에 대한 광범위한 개혁의 일환으로 다시 개정되었다. 개혁의 패키지는 개인정보 보호에 대한 소비자의 권리 강화를 포함하여 더 큰 산업 경쟁, 소비자의 선택과 보호를 장려하기 위해 설계되었다.

 

내용

일반적으로 ePrivacy Directive는 EU의 공공 통신 네트워크에서 공개적으로 사용 가능한 전자 통신 서비스의 제공과 관련된 개인 데이터 처리에 적용된다. 전자 통신 서비스가 공개되어 있지 않은 경우, ePrivacy Directive는 적용되지 않는다. 개인 데이터가 처리되는 경우에 ePrivacy Directive의 원칙이 적용되지만, 회사 인트라넷과 같은 사설 네트워크를 통한 통신은 일반적으로 적용되지 않는다.

ePrivacy 지침에는 다음과 같은 주요 조항이 포함되어 있다.

•공개적으로 사용 가능한 전자 통신 서비스 제공 업체는 서비스의 보안을 유지하기 위해 적절한 기술적, 조직적 조치를 취해야 하며, 필요한 경우 해당 서비스를 기반으로 하는 네트워크 제공 업체와 협력하여 이러한 보안을 보장해야 한다. 또한 서비스 제공 업체는 가입자에게 네트워크 보안 위반의 특정 위험을 알리는 일반적인 의무가 있다.

• 회원국은 특정 서비스의 사용자가 차단 및 감시에 동의하는 경우 또는 차단 및 감시가 법에 의해 허가된 경우를 포함하여 특정 통신 및 통신에 의해 생성된 트래픽 데이터의 기밀성을 보장해야 한다.

• 전자 메일, SMS 및 MMS 메시징 및 팩스를 포함하지만 개인 대면 전화 마케팅을 제외한 대부분의 디지털 마케팅은 사전 동의(opt-in)를 요구한다. 그러나 업체가 옵트 아웃 방식으로 유사한 제품 및 서비스를 기존 고객에게 마케팅 하는 것은 제한적으로 면제된다.

• 트래픽 및 요금 데이터 처리에는 일정한 제한이 있다. 예를 들어, 공개적으로 이용 가능한 전자 통신 서비스의 사용자는 항목별 과금, 전화 회선 식별, 디렉토리, 착신 전환 및 원치 않는 전화와 관련하여 특정 권리를 보유한다.

•위치 데이터는 해당 데이터가 익명으로 처리되거나 사용자의 동의와 부가 서비스 제공에 필요한 기간 동안 처리되는 경우에만 처리될 수 있다.

•가입자는 모든 디렉토리에 포함되기 전에 통보를 받아야 한다.

 

터미널 장비가 사용자의 개인정보 사용을 보호하고 통제할 수 있는 권리와 양립할 수 있는 방식으로 구성되도록 하기 위해 적절한 조치가 채택될 수 있다. 그러나 회원국은 시장에 장비를 배치하고 회원국 간에 그러한 장비를 자유롭게 유통시키는 것을 방해할 수 있는 필수 기술적 요구 사항을 부과해서는 안 된다.

 

개정안

이미 언급한 바와 같이, ePrivacy Directive의 특정 조항이 개정되어 2011년 5월 말까지 회원국에 의해 시행될 예정이었다. 가장 관련 있는 변경 사항은 전자 통신 서비스 제공자에 의한 개인 데이터 유출에 대한 필수 통지의 도입과 관련된다. 위반이 ‘가입자 또는 개인의 개인정보 또는 프라이버시에 부정적인 영향을 미칠 수 있는 경우 관련 국가 기관 및 관련 개인에게’ 통지해야 한다.

기타 변경 사항에는 수정된 ePrivacy Directive의 범위에 대한 명확한 설명 및 원치 않는 통신에 대한 조치 권한의 강화가 포함된다. 특히 제13조(‘요청하지 않은 통신’)는 불법적인 통신을 상대로 소송을 제기할 수 있는 개인 및 조직(인터넷 서비스 제공 업체 포함)에게 권리를 제공한다. 이 텍스트는 스팸 발송자가 원치 않는 통신을 배포하기 위해 서비스를 사용하는 경우를 포함하여 ‘합법적인 비즈니스 이익’을 보호하는 ‘전자 통신 서비스 제공 업체’를 의미한다.

그러나 ePrivacy Directive에 대한 가장 적절하고 논쟁의 여지가 없는 개정안은 ‘쿠키’(많은 웹 사이트에서 해당 웹 사이트 사용자의 단말기 장비에 자동으로 보내는 작은 텍스트 파일)에 영향을 주는 조항에 관한 것이다. 단순함에도 불구하고 쿠키는 조직 및 개인에게 매우 중요하므로 조직은 사용자의 브라우징 습관을 기반으로 웹 사이트를 개인화하고, 자신의 선호도에 따라 개인에게 온라인 광고를 제공함으로써 온라인 광고업계에서 발생하는 수익을 지원하고 사용자가 더 쉽게 사이트의 페이지를 탐색하고 과거에 발견된 정보를 빠르게 검색하여 온라인 쇼핑을 용이하게 한다.

개정된 ePrivacy Directive에 따라 Article 5(3)은 가입자 또는 사용자의 단말기 장비에 정보를 저장하는 것은, ePrivacy Directive에 따라 명확하고 포괄적인 정보를 제공받고 해당 사용자가 동의를 한 경우에만 허용된다. 이에 대한 예외는 기술적인 저장 또는 접근이 아래와 같은 경우이다.

•전자 통신 네트워크를 통한 통신 전송을 수행하기 위한 유일한 목적인 경우

•가입자 또는 사용자가 명시적으로 요청한 정보 사회 서비스(information society service) 제공에 명백히 필요한 경우

각 EU 회원국은 위에서 언급한 쿠키 동의 요구 사항을 국가 입법안으로 대체하는 데 2년의 기간이 소요되었으며, 이는 국가별 기준에 따라 다소 차이가 있지만 수행되었다.

동의를 얻어야만 하는 방법은 ePrivacy Directive와 각 회원국의 법 모두에 정의되어 있지 않다. 따라서, 적합한 상황에서(해당 데이터 처리의 특성, 특별히 거슬리지 않거나 데이터의 특정 카테고리를 포함하지 않는 경우), 개인의 희망에 대한 ‘자유롭고 구체적이고 정보가 있는’ 표시가 되는 기준을 충족시킨다면, ‘동의가 주어졌다는 명백한 결론을 이끌어내는 특정 행동으로부터 유추될 수 있는 모호한 동의’에 의존하는 것이 전적으로 가능하고 적절하다. 이 접근 방식은 유럽 전역의 쿠키 동의 요구 사항을 준수하고자 하는 국제 비즈니스를 위한 가장 일반적인 전략인데, 이는 ‘묵시적 동의’로 알려져 있다. 쿠키 동의 요구 사항은 2권에 자세히 설명되어 있다.

 

ePrivacy 지침의 개정

2015년 7월에 집행위원회는 ePrivacy Directive의 효과성에 대한 연구를 발표했으며, 이 영역에서 개혁 권고안을 제안했다(‘ePrivacy Study’). 이것은 2016년 4월 공개 협의로 이어졌다. 2017년 1월 10일, 집행위원회는 기존의 ePrivacy Directive를 대체할 새로운 ePrivacy Regulation(‘ePrivacy Regulation’)에 대한 입법 제안을 발표했다.

ePrivacy Regulation 초안의 고차원 목표는 EU 내의 전자 통신과 관련된 개인정보 보호 체계를 조화시키고 GDPR과의 일관성을 유지하는 것이다. ePrivacy 규정의 공표와 함께 유럽 연합 집행위원회에서 발행한 보도 자료 및 사실 자료에 따르면 ePrivacy Regulation의 주요 특징은 다음과 같다.

• 광범위한 적용: 집행위원회는 현재의 ePrivacy Directive를 모든 전자 통신 서비스 제공 업체(예: 일반 통신 사업자뿐만 아니라 휴대폰, 전자 메일 및 음성 서비스의 메시징 서비스)에까지 확대 적용할 것을 제안한다.

• 규칙의 단일 세트: 직접 적용할 수 있는 ePrivacy Regulation으로 ePrivacy Directive를 교체하는 것은 전자 통신에 대한 동일한 수준의 보호(규칙의 단일 세트)와 유럽 연합(EU)의 모든 사람과 기업을 제공하는 목적으로 한다.

• 전자 통신의 기밀성: 집행위원회의 제안에 따라 사용자의 동의 없이는 문자 메시지, 전자 메일 또는 음성 통화를 듣거나, 도청하고, 차단하고, 검색하고 저장하는 것이 허용되지 않는다. 간섭이 허용되는 여러 가지 예외적인 상황이 있다(예: 공공의 이익을 보호하기 위한 경우).

• 통신 내용 및 메타 데이터를 처리하는 데 동의가 필요하다: 제안된 규칙에 따라 전자 통신에서 파생된 콘텐츠 및 메타 데이터(예: 전화, 위치, 기간, 웹 사이트 방문 시간)는, 해당 데이터가 요금 청구 목적으로 필요한 경우가 아니라면, 사용자가 동의하지 않은 경우 익명으로 처리하거나 삭제해야 한다.

• 새로운 비즈니스 기회: 통신 데이터(콘텐츠 및/또는 메타 데이터)에 대한 동의가 부여된 경우, ePrivacy Regulation의 목적은 기존의 통신 사업자가 데이터를 사용하고 추가 서비스를 제공할 수 있는 기회를 더 많이 제공하는 것이다. 예를 들어, 새로운 인프라 프로젝트를 개발할 때 공공 기관 및 운송 회사를 도울 수 있는 개인의 존재를 나타내는 heat map을 생성할 수 있다.

• 쿠키에 대한 개정된 규칙: 집행위원회는 ePrivacy Directive에 포함된 쿠키 규칙이 인터넷 사용자에 대한 동의 요청의 과부하를 초래해왔고 ePrivacy Regulation에서 간소화되어야 한다는 견해를 가지고 있다. ePrivacy Regulation에서 제안된 새로운 규칙은 사용자가 자신의 설정을 보다 잘 제어할 수 있도록 하여 개인정보 위험이 있는 경우 쿠키 및 기타 식별자 추적을 허용하거나 거부하는 쉬운 방법을 제공한다. 제안은 비 개인정보 침입 쿠키가 인터넷 경험을 향상시키는 데(예: 장바구니 기록을 기억하거나, 여러 페이지에 걸쳐 온라인 양식을 작성하거나, 동일한 세션의 로그인 정보에 대해) 동의가 필요 없다는 것을 명확히 한다. 해당 웹 사이트 방문자 수를 세는 방문 웹 사이트에서 설정한 쿠키는 더 이상 동의가 필요하지 않다. 동의의 개념은 GDPR과 일치한다.

• 스팸에 대한 보호: 집행위원회의 제안은 어떤 수단이든지 원치 않는 전자 통신을 금지하는 것이다.(개인이 거부할 권리가 있는 유사 제품 및 서비스의 마케팅을 위한 ‘소프트 옵트 인(soft opt-in)’이 유지되더라도, 사용자가 동의하지 않은 경우 이메일, SMS 및 원칙적으로 전화 통화도 금지됨). 회원국은 소비자가 전화를 걸지 않는 목록에 번호를 등록하는 등의 방법으로 voice-to-voice 마케팅 통화 수신을 반대할 수 있는 국내법을 선택할 수 있다. 마케팅 담당자는 전화번호를 표시하거나 마케팅 전화를 나타내는 특수 접두사를 사용해야 한다.

•집행: GDPR의 기밀 유지 규칙의 집행은 국가 DPA의 책임이다.

 

위반에 대한 결과는 다음과 같이 2단계 접근법을 따른다.

•ePrivacy Regulation에 포함된 통지 및 동의, 기본 개인정보 보호 설정, 공개적으로 사용 가능한 디렉터리 및 원치 않는 통신에 관한 규칙 위반은 최대 1,000만 유로까지의 벌금 또는 전 세계 총 연간 매출액의 2% 중 높은 금액으로 처벌될 수 있다.

•통신의 기밀성, 전자 통신 데이터의 허용된 처리 및 데이터 삭제에 대한 시간제한에 관한 규칙 위반은 2,000만 유로까지의 벌금 또는 전 세계 연간 매출액의 4% 중 높은 금액으로 처벌될 수 있다.

집행위원회의 ePrivacy Regulation 초안의 공표는 정식 입법 과정의 시작이었으며, 현재 이 초안은 유럽 의회와 EU 이사회의 손에 맡겨져 있다. 특히, 유럽 의회의 시민 자유위원회 위원들은 데이터의 추가 처리에 대한 정당화로서 ‘정당한 이익’을 도입하기 위한 제안을 포함하여 제안된 ePrivacy Regulation에 800건 이상의 수정안을 제출했다.

ePrivacy Regulation은 2018년 5월(GDPR과 함께) 발효될 예정이었지만, 2021년 2월 10일에 COREPER에 의해 draft에 대한 협의를 시작한다고 발표된 상태이다.

 

 

데이터 보존 지침 (Data Retention Directive)

최근까지 유럽 연합의 데이터 보존은, 공개적으로 이용 가능한 전자 통신 서비스 또는 공중 통신망의 제공과 관련하여 생성되거나 처리된 데이터의 보존에 관하여, 2006년 3월 15일 유럽 의회 및 이사회의 Directive 2006/24/EC(이하 ‘Data Retention Directive’)에 의해 수립된 법적 프레임워크에 의해 뒷받침되었다.

Data Retention Directive는 심각한 범죄 및 테러 방지 목적을 위한 트래픽 및 위치 데이터의 가용성을 보장하기 위해 EU 회원국 간의 데이터 보존에 관한 규칙을 맞추기 위해 마련되었다. 이는 국제 테러로 국가 안보에 대한 우려가 높아지면서 도입되었으며, 그 범위와 인지된 위협에 대한 신중한 대응 여부는 상당한 비판을 받고 있다. 수년 동안 EU 회원국의 여러 헌법재판소는 현지 시행법을 위헌으로 판정했다. 그런 다음 2014년 CJEU는 유럽 연합 기본법(EU Charter of Fundamental Rights)에 따라 개인정보 보호 및 데이터 보호 권리와 양립할 수 없다는 이유로 데이터 보존 지침(Data Retention Directive)이 무효라는 판결을 내렸다. 비록 회원국들이 ePrivacy Directive(2002/58/EC) 제15조 (1)에 따라 자신의 국가 데이터 보존법을 채택할 능력을 보유하고 있지만(물론 그 법이 EU 법과 CJEU 판결의 일부를 구성하는 권리 원칙을 준수하는 법이라는 전제하에), 데이터 보존 지침은 더 이상 EU 법의 일부가 아니다. 이에 따라 많은 EU 회원국들이 벨기에, 영국 및 핀란드와 같은 개별 국가 수준에서 입법 개정 초안을 도입하거나 국가 데이터 보존법을 시행했다.

 

회원국에 미치는 영향

각 지침에 따라 일관되고 시기 적절한 이행은 EU 개인정보 보호에서 가장 큰 과제 중 하나였다. 헌법 구조의 차이, 해석의 차이 및 기타 차이점으로 인해 구현에 있어 회원국에 많은 자유가 부여되었다. 조화에 대한 필요성은 기존 EU 데이터 개인정보 보호 규칙에 따라 분열을 줄이기 위한 단일 법안인 GDPR 통과에서 인식되었다.

 

EU 지침의 구현 과제

기본적으로 EU 지침은 EU 회원국에 본질적으로 ‘직접적으로 적용 가능’하지 않으며, 이는 일반적으로 법이 되기 위해서는 국가 법규에 의해 이행되어야 함을 의미한다. 그러므로 비록 EU 지침이 달성될 최종 결과의 관점에서 구속력을 갖지만, 그 이행의 형식과 방법은 회원국들에게 맡겨져 있다. 이는 ‘이 장의 규정이 허용하는 범위 내에서 개인정보의 처리가 보다 합법적이라고 판단할 수 있는 조건을 보다 정확하게 각 회원국들이 결정해야한다’는 것을 명시한 Directive 제5조에서 볼 수 있다. 따라서 회원국의 법은 접근 방식, 구조 및 내용면에서 다양하다. 그 결과 일부 회원국은 하나의 일반적인 입법 시행 법안을 통과시키고, 다른 회원국들은 여러 가지 다른 메커니즘을 제정하게 되었고, 그의 일부는 특정 영역에만 적용 가능하다. ePrivacy Directive는 일부 EU 회원국에서 단일 법안이 아닌 다른 법령들을 사용하여 시행된 EU 지침의 한 예이다.

이러한 접근 방식의 유연성은, 특히 다국적 조직의 경우, 여러 회원국에서 데이터 처리 활동을 수행하는 실질적인 문제를 야기하므로 통보, 국제 데이터 이전 및 직접 마케팅 요구 사항과 같은 영역에서 상충되는 준수 의무를 이행해야 한다.

 

집행

회원국의 EU 입법의 재량권은 무제한이 아니며 집행 조치의 대상이 될 수 있다. 회원국은 일반적으로 지침을 이행하기 위한 기한을 갖고 있으며, 지침이 제대로 이행되도록 하는 책임이 있는 집행위원회는 지침이 제 시간에 이행되지 않거나 시행이 유럽 법에 위반되는 경우 회원국에 대항하여 조치를 취할 수 있다. 예를 들어, 2010년에 집행위원회는 Data Protection Directive 및 ePrivacy Directive의 일부 조항을 제대로 이행하지 못함에 따라 영국을 유럽 법원(CJEU)에 회부할 것이라고 발표했다.

또한 2010년에 집행위원회는 제정된 Data Protection Directive를 이행하지 못했다는 이유로 6개 회원국(덴마크, 프랑스, 독일, 아일랜드, 룩셈부르크 및 네덜란드)을 고소했다. 집행위원회는 이후 Directive를 시행한 회원국들에 대한 조치를 철회했다. 그러나 CJEU는 나중에 룩셈부르크가 Directive 이행에 대한 모든 의무를 이행하지 못했으며 절차 비용을 지불하라고 명령했다.

모든 EU 회원국은 이제 Data Protection Directive와 ePrivacy Directive를 구현했다. 그러나 이전 절에서 지적했듯이, 현재의 문제는 여전히 국가 차원에서 존재한다. 더욱이, 회원국이 지침을 이행하지 않았더라도 그 지침의 규정 중 일부는 여전히 ‘직접 효과’를 가질 수 있다. 즉, 개인이 해당 조항에 의거하여 국가 법원의 정부에 대해 조치를 취할 수 있음을 의미한다. CJEU는 Data Protection Directive의 특정 조항에 ‘직접적인 영향’이 있다고 판결했다. 또한 회원국과 그 법원은 아직 이행되지 않았더라도 지침의 내용과 목적에 비추어 그들의 법률을 해석해야 한다.

 

GDPR의 직접적인 영향

EU 지침(Directive)과 달리 EU의 규정(Regulation)은 본질적으로 EU 회원국에 직접 적용될 수 있으므로 국가 법률을 추가로 재정하거나 시행할 필요가 없다. 새로운 일반 데이터 보호법은 GDPR에 명시되어 있고 2018년 5월 25일 시행되었기 때문에 직접 효과로 인해 EU 전역에 즉시 적용되었다. 결과적으로 국가 데이터 보호법은 GDPR의 범위에 해당하는 모든 문제와 관련성이 없어진다. 적어도 서류상 단일 법률을 보유하는 것이 여전히 국가적 접근법과 특이성에 따라 해석될 것으로 예상됨에도 불구하고 일관성을 제공할 것이다.

 

%d bloggers like this: