[EU의 데이터보호] GDPR의 합법적인 데이터 처리 기준

GDPR은 개인정보를 합법적이고 공정하며 투명하게 처리해야 할 것을 요구한다. GDPR의 제6조와 제9조는 합법적인 처리를 위해 충족되어야 하는 기준(동의 포함)을 규정한다. 제7조는 동의에 의존할 때 입증되어야 하는 조건을 규정한다. 제8조는 아동에게 정보 사회 서비스를 제공할 때 동의를 신뢰하기 위해서 추가 요구 사항을 규정한다.

대부분의 경우 개인의 동의는 데이터 보호 및 개인정보 보호법의 핵심이 된다. 데이터 주체에게 개인정보가 사용되는 방법과 시기를 선택할 수 있게 하는 것이 모범적인 사례가 될 수 있다. 그럼에도 불구하고 GDPR은 계약 의무 이행, 법적 의무 준수, 데이터 주체의 중대한 이익 보호 및 공익과 컨트롤러 또는 제3자의(데이터 주체의 권리 및 이익과 균형을 이룰 때) 합법적인 이익기반으로 작업을 수행하는 것과 같은, 동의 이외의 많은 합법적인 기반을 인정한다.

◆ 개인 데이터 처리

제6조는 개인 데이터 처리를 위한 합법적인 기반을 설명한다. 데이터 컨트롤러가 이러한 기반 중 하나에 근거할 수 없는 경우, 컨트롤러가 언론의 자유로운 발언 및 기타 공공 이익이 우선하는 저널리즘 또는 연구를 위한 개인 데이터 처리와 같은 일부 예외를 설정할 수 없다면, 이를 진행하는 것은 위법이다. GDPR의 토론과 초안에서, 합법적인 처리의 주된 기준으로 동의가 자주 언급되었다. 그러나 GDPR의 최종 버전은 합법적인 처리를 위한 몇 가지 대안 중 하나로서 동의를 취급한다. 이번 글에서는 각각의 개별적인 합법적인 기반이 논의된다.

데이터 주체가 하나 이상의 특정 목적을 위해 자신의 개인 데이터를 처리하는 것에 동의하는 경우

개인정보 처리를 위한 최초의 합법적인 근거는 데이터 주체가 동의를 하는 것이다. 이것이 액면 그대로는 비교적 간단하지만, 동의는 GDPR에서 특별한 의미가 있다. 데이터 주체의 동의는 ‘진술 또는 명확한 긍정의 행위로 자신과 관련된 개인 데이터의 처리에 동의한다는 것을 의미하는 데이터 주체의 희망에 대한 자유롭고 구체적이며, 정보가 풍부하고 모호하지 않은 표시’로 정의된다. 데이터 주체의 동의는 다음 조건을 충족해야 한다.

데이터 주체가 처리에 동의했음을 입증하는 책임은 컨트롤러에게 있다. 대부분의 경우 컨트롤러에 의해 동의 선언이 사전에 공식화되는 경우, 명확하고 평이한 언어를 사용하며 소비자 보호 요구 사항에 맞추어, 이해할 수 있고 쉽게 접근할 수 있는 형태로 동의가 제공되어야 한다. ‘자유롭게’ 동의한다는 것은 데이터 주체가 진정한 선택을 해야 하며 동의를 거절하거나 철회할 수 있어야 한다는 것을 의미한다. 가능한 선택지보다 더 적은 것을 제시하는 것은 유효한 동의가 되지 않을 수 있다. 데이터 보호 지침(‘Directive’)에 따라 여러 국가에서는 컨트롤러가 동의서만 처리하는 완전히 별개의 문서를 제공해야 했다. 이러한 이견의 배경은 데이터 주체가 동의가 다른 문제(예: 서비스 구매)와 함께 제공되는 경우 자유로운 동의를 제공하지 않는다는 것이다. 이 입장은 이제 GDPR에도 포함되었다. 제7조에 따라, 데이터 주체의 동의가 다른 문제에도 관련된 서면 선언의 맥락에서 주어지는 경우, 동의 요청은 다른 문제와 명확하게 구별되는 방식으로 제시되어야 한다. 이 분리의 중요성은 동일한 조항에 강조되어 있으며, 이 조항은 GDPR을 침해하는 선언의 어떤 부분도 구속력이 없다고 명시한다. 또한 컨트롤러는 계약을 수행하는 과정에서 데이터 처리에 대한 동의가 필요하다는 것에 대해 신중해야 한다. 동의가 자유롭게 주어지는지 여부를 고려할 때, 계약의 이행이 개인 데이터 처리에 필요하지 않음에도 계약의 이행을 동의에 대한 조건으로 하였는지에 대한 최대한의 고려가 이루어질 것이다.

GDPR의 Recital 43은 데이터 주체와 컨트롤러, 특히 컨트롤러가 공공 기관인 경우에는 명확한 불균형이 있는 곳에 동의를 해서는 안 된다는 것을 나타낸다. GDPR에서 명시적으로 언급하지는 않았지만, EU 규제 기관은 고용주와 고용인 간의 관계가 자유롭게 주어진 동의를 입증하는 데 문제가 될 수 있다고 판단했다. 규제 기관의 견해로는 직원이 종속 관계에 있기 때문에, 직원이 편견을 겪지 않고 동의를 보류할 실제 기회가 있는 경우에만 유효한 동의가 가능하다는 것이다.

마찬가지로 직원은 자신의 마음이 바뀌면 나중에 동의를 철회할 수 있는 선택권이 있어야 한다. 규제 당국은, 고용주가 동의에 의존하는 것을 주장하여 자유롭지 않게 되는 것은 근로자의 업무 상황에 실질적으로 해를 끼칠 수 있다고 예상하기 때문에, 고용주가 처리의 합법적인 근거로 동의에 의존해야 하는 상황은 거의 없을 것이다. 특정 관할 구역에서는 고용주와 직원 관계에 대한 이러한 묘사가 다소 극단적이라고 인정할 수 있지만, 사용자는 동의에 초점을 맞추기 전에, 직원 데이터를 처리하는 기타 합법적인 기준을 고려하는 것이 좋다.

사실, 동의를 철회할 자유가 자유로이 부여된다는 사실 때문에 컨트롤러는 동의가 장기 처리 약정에 가장 적합한 조건인지 여부를 고려해야 한다. 예를 들어, 직원 개인 데이터를 인적 자원 데이터베이스에 업로드하는 것에 대해 직원의 동의를 구하는 것은 적절하지 않을 수 있다. 직원이 처음에는 동의하지만 미래에 동의를 철회하도록 합법적으로 결정할 수 있기 때문이다. 따라서 고용주는 직원이 시스템 디자인에 참여하도록 유도하는 한편, 동의에 관한 문제의 측면에서 추가적인 합법적인 처리 조건을 찾을 수 있다. 물론 이 접근 방식은 자체적으로 문제가 있을 수 있다. 직원이 자신의 동의를 제공하거나 보류하는 것이 고용주의 데이터 사용에 영향을 미치지 않는다는 사실을 발견할 경우 직원이 불만을 가질 수 있기 때문이다. 언뜻 보기에는 너무 많은 것을 약속했지만 동의는 실제로 관리하기가 매우 까다로울 수 있다.

동의가 유효하기 위해서는 ‘구체적’이어야 한다. 즉, 문제의 특정 처리 작업에 대해 구체적으로 동의해야 한다. 따라서 컨트롤러는 데이터 주체의 동의가 해당 특정 처리에 동의하도록 데이터의 제안된 사용을 명확하게 설명할 수 있어야 한다. 처리 목적이 여러 개인 경우(적절한 통지와 함께) 그 전부에 대해 동의가 주어져야 한다. 여러 가지 목적으로 처리하는 것은 어려움을 야기할 수 있다. 어떤 처리가 관련될지 정확하게 미리 알 수 있는 것은 아니기 때문에, 특정 시간에 주어진 동의는 그 때 설정된 특정 한도로 제한된다. 처리 활동이 변경되는 경우, 영향을 받은 모든 개인으로부터 새로운 동의를 구해야 할 수 있다. 이전에 제공된 동의서가 새로운 처리를 다루지 않기 때문이다. 이 요구 사항은 과학 연구 목적으로 개인 데이터를 처리할 때 어느 정도 융통성이 있다. 특히, 과학 연구 목적으로 데이터 처리의 목적을 완전히 식별할 수 없는 경우 데이터 주체가 과학적 연구에 대한 인정된 윤리 기준과 일치하는 과학 연구의 특정 영역에 합법적으로 동의할 수 있다고 GDPR은 허용한다.

또한 동의는, 데이터 주체가 처리 활동에 필요한 모든 세부 사항을 이해할 수 있는 언어 및 양식으로 제공하여 프로세스가 어떻게 처리에 영향을 미칠지 이해할 수 있도록 ‘정보를 제공’해야 한다. 동의를 적절히 얻기 위해서 필요한 모든 정보를 포함하여 충분히 정확한 정보에 근거하여 데이터 주체의 동의를 받았음을 입증해야 하는 책임은 항상 컨트롤러에 있다. 예를 들어, 데이터 주체가 이 동의의 중요성을 알 수 있는 합리적인 기회가 있었음을 컨트롤러가 증명할 수 없다면, 데이터 주체가 수락을 인지하도록 온라인 양식에 ‘수락’ 버튼을 놓는 것이 데이터 보호법에 따른 동의에 해당되지 않을 수 있다. GDPR은 동의가 정보를 제공하기 위해서는, 데이터 주체가 최소한 컨트롤러의 신원과 처리의 목적을 알아야 한다고 명시하고 있다.

‘모호하지 않게’ 하기 위해 데이터 주체의 진술이나 명확한 긍정의 행위는 동의 의사에 대해 의심의 여지가 없어야 한다. 동의가 주어졌는지 여부에 관한 불확실성이 있는 경우, 상황은 컨트롤러에 대해 불리하게 해석된다. 명확한 진술이나 적극 조치가 있는 적극적인 동의 표시가 필요하다. 데이터 주체가 적극적으로 선택 상자를 체크하는 경우 해당 동작은 모호하지 않은 동의로 간주되는 반면, 미리 체크 표시된 선택 상자는 그렇지 않을 수 있다. 모호하지 않은 동의는 GDPR에 의거한 모든 동의에 대해 최소한의 요구 사항을 제공한다는 점에 유의해야 한다.

미리 체크된 박스는 모호한 동의해 해당할 수 있다.

침묵하거나 또는 사전 체크된 박스는 동의를 의미하지 않는다. 그러나 유효한 동의가 획득되면 데이터 주체와의 지속적인 상호 작용에 의존하는 것으로 충분할 수 있다. 예를 들어, GDPR은 정보 사회 서비스에 대한 데이터 주체의 기술 설정 선택이, 데이터 주체가 제안한 처리에 대한 승인을 문맥상 명확하게 나타낼 수 있는 한 충분한 동의를 제공함을 인지한다. 또한 컨트롤러가 개인 데이터 처리를 시작하기 전에 데이터 주체에서 동의를 얻어야 함은 물론이다.

GDPR은 데이터 주체로부터 동의를 얻었음을 입증하는 서면 증거를 컨트롤러가 보유해야 한다고 명시적으로 규정하지 않는다. 그러나 컨트롤러는 ‘데이터 주체가 처리 작업에 동의했다는 것을 입증’할 의무가 있으며, 이는 특정 개인 데이터 주체가 부여한 동의 기록을 유지하는 컨트롤러의 의무에 해당된다. 이러한 관리 요구 사항은 특히 컨트롤러가 여러 데이터 주체와 추후 변화하는 처리 작업을 다루는 경우 동의에 의존하는 것이 부담이 될 수 있는 또 다른 이유이다.

동의는 데이터 주체에 옵트 아웃 기회를 부여하는 것과 동일하지 않다. 동의는 바람에 대한 명시적인 표시를 요구하는 반면, 옵트 아웃은 데이터 주체의 조치 부족으로 이의가 없음을 나타낸다. 예를 들어, 컨트롤러가 데이터 주체의 개인 데이터를 어떤 식으로든 사용한다는 것을 나타내는 미리 체크된 상자는, 데이터 주체가 개인 데이터가 그러한 방식으로 사용되는 것을 거부하는 옵션을 제공한다. 그러나 데이터 주체가 상자를 선택 취소하지 않으면 데이터 주체가 자신의 바람 표시를 적극적으로 나타내지 않았으므로 동의에 해당되지 않는다. 데이터 주체는 옵트 아웃 권리를 행사하지 않기로 결정했으나 개인 데이터의 특정 사용에 대해 알게 된 후 구체적이고 모호하지 않으며 자유롭게 동의하지는 않았다고 볼 수 있다. 비록 제6조가(제9조의 특수 범주와 제49조의 국제 데이터 이전에서 요구되는) ‘명시적’인 동의를 요구하지는 않지만, 동의가 일련의 행동을 필요로 한다는 것은 분명하다.

강압 또는 강제로 얻은 동의 또한 유효한 동의가 아니다. 특정 유형의 취약한 사람들이 동의할 수 있는 능력을 가지고 있는지에 대한 정당한 우려가 있을 수 있다. GDPR은 제8조에서 아동 및 아동에게 제공되는 정보 사회 서비스와 관련하여 구체적으로 다루고 있다. 제8조에 따라, 컨트롤러가 합법적인 처리 기준으로서 동의에 의존하여 정보 사회 서비스가 아동에게 직접 제공될 때, 아동이 적어도 16세 이상인 경우에만 개인정보 처리가 합법적이다. 아동의 나이가 16세 미만인 경우, 그러한 처리는 ‘아동에 대한 개인적인 책임자가 동의를 하거나 승인한 경우만 합법적’이다. 회원국은 이 요구 사항을 더욱 복잡하게(아동의 연령이 13세 이하가 아닌 한) 16세 미만으로 동의 연령을 설정할 수 있다. EU 전역에 최소 연령 동의 범위가 있을 가능성이 있다. 예를 들어, 영국은 13세로서 정보 사회 서비스 제공 컨트롤러가 부모의 동의를 얻지 않고도, 자신의 개인 데이터를 처리하는 13세의 동의를 합법적으로 얻을 수 있도록, 연령을 13세로 정할 것이라고 이미 발표했다. 불가피하게 모든 회원국이 동일한 연령 요건을 준수하지는 않으므로 EU 전체에서 연령대가 달라질 것이다. 부모의 동의가 필요한 경우, 컨트롤러는 부모 또는 보호자의 동의를 받았는지 확인하기 위해 합당한 노력을 기울여야 한다. 동의 규칙의 최소 연령은 아동에게 직접 제공되는 정보 사회 서비스의 맥락에서, 컨트롤러가 전적으로 동의에 의존하거나 다른 기준에 의존할 수 없는 경우라는 것을 기억하는 것이 중요하다.

컨트롤러는 아동의 개인 데이터를 처리하기 위한 또 다른 합법적인 기준을 고려하는 것이 좋다. 특히, 데이터 보호 당국(DPA)은 아동의 개인 데이터 처리가 필요한 경우 아동에게 필요한 추가적인 보호의 적절한 인식을 원할 것이다.

필요성을 충족시키는 처리인 경우

제6조에 따른 나머지 모든 기준은 개인 데이터의 처리가 특정 이유로 필요하다고 규정하고 있다. 이미 제29조 작업반(WP)은 필요성에 대한 요구가 이러한 기준에 의존할 수 있는 상황을 제한하는 제한 요소임을 지적한 바 있다. 본질적으로, 필요성 테스트는 처리와 목적 사이의 밀접하고 실질적인 연결을 필요로 한다. 따라서 단순히 편리하거나, 필요 없는 기준 중의 하나를 위하여 처리하는 것은 이러한 표준을 충족시키지 못한다. 컨트롤러가 그 목적에 필요한 프로세싱을 간단하게 고려하는 것만으로는 충분하지 않다. ‘필수’는 객관적인 의미를 지닌다. 데이터 컨트롤러는 명시된 목적을 위해 특정 처리 작업이 반드시 필요한지 신중하게 고려해야 한다.

데이터 주체가 당사자인 계약을 수행하거나 계약 체결 전에 데이터 주체의 요청에 따라 조치를 취하기 위해 처리가 필요한 경우

컨트롤러는 데이터 주체가 속한 계약 또는 당사자가 될 계약을 수행하기 위해 데이터 주체의 개인 데이터를 처리해야 할 때 이 기준에 의존할 수 있다. 명백히, 컨트롤러가 개인 데이터를 처리할 필요가 있는 제품 또는 서비스의 제공을 통하여, 데이터 주체가 컨트롤러로부터 제품과 서비스를 구매할 때 가장 관련이 있다. 이 조건은 계약을 완료하기 위해서 개인 데이터 처리가 불가피하도록, 규제 당국에 의해 좁게 해석된다.

컨트롤러가 법적 의무를 이행하기 위해 처리가 필요한 경우

이 기준에 의거할 때, 법이 준수해야 하는 법적 의무(예: 세금 또는 사회 보장 의무)와 관련이 있음을 기억하는 것이 중요하다. 컨트롤러가 체결한 계약에 따른 의무는 될 수 없다.

과거에 제3국(즉, 유럽 연합국 외)이 컨트롤러에게 부과한 법적 의무가 이 기준의 요구 사항을 충족시킬 수 있는지에 대한 논란이 과거에 있었다. GDPR의 Recital 45는 제3국에서 컨트롤러에 부과된 의무가 이 기준에 포함되지 않는다는 것을 분명히 한다. 모든 경우에 이 기준은 좁게 해석된다. GDPR은 이 기준에 의지할 때 추가 조항을 제시한다.

데이터 주체 또는 다른 자연인의 중요한 이익을 보호하기 위해 처리가 필요한 경우

‘중요한 이익’을 지키는 것은 삶이나 죽음의 상황을 의미한다. 즉, 고려된 처리가 개인의 생존에 필수적인 경우이다. 결과적으로, 이 기준은 드문 응급 상황에서만 관련이 있다. 예를 들어, 데이터 주체가 의식이 없으면 긴급한 의료 서비스를 제공하기 위해 개인 데이터 처리가 필요할 수 있다. Recital 46은 자연인의 중대한 이익에 근거한 이 원칙은 ‘원칙적으로 처리가 다른 법적 근거에 근거할 수 없는 경우에만 일어나야 한다’고 지적한다.

공공의 이익이나 컨트롤러에게 부여된 공식 권한 행사에서 수행된 업무 수행을 위해 처리가 필요한 경우

GDPR은 Directive의 일부인 이 기준에서 세 번째 범주였던, 데이터가 공개된 제3자에게 공식 권한의 행사가 부여되는 경우를 삭제했다. 따라서 컨트롤러가 이 기준에 의존할 수 있는 상황은 이전보다 좁아졌다. 이 조건이 관련된 상황을 나열하는 것은 쉽지 않을 수 있지만, GDPR은 컨트롤러가 이에 의존할 수 있는 경우를 상세하게 규정한다. 물론 컨트롤러가 공공의 이익을 위해 개인정보를 처리해야 할 가능성이 있다. EU 또는 회원국의 법률은 이 기준에 따라 공공의 이익을 위해 수행되는 업무를 결정한다.

중요한 것은 이 기준에 따라 개인 데이터를 처리할 때 컨트롤러는 데이터 주체가 데이터 사용에 이의를 제기할 권리가 있음을 인지해야 한다. GDPR에 따라 컨트롤러가 데이터 주체로부터 이의 제기를 받으면 컨트롤러가 개인 데이터를 처리할 수 있는 합법적인 근거가 있음을 입증할 책임이 컨트롤러에 있다. 이러한 근거는 ‘데이터 주체의 이익, 권리 및 자유보다 우선하거나 법적 청구의 설정, 행사 또는 방어’에 충분해야 한다.

처리가 컨트롤러 또는 제3자에 의해 추구된 합법적 이익의 목적을 위해 필요한 경우(단, 개인 데이터의 보호를 요구하는 데이터 주체의 이익 또는 기본적 권리 및 자유가 우선하는 경우와 특히 데이터 주체가 아동인 경우는 제외)

이 이익의 균형성 테스트는 대다수의 개인 데이터 처리가 일반적으로 이루어지는 기준이다. 단, GDPR에 따라 공공 당국은 더 이상 정당한 이득 기반에 의존할 수 없다. Recital 47은 법에 의해 공공 당국이 개인 데이터를 처리할 법적 기반을 제공하는 것이 입법부의 입장임을 설명한다. 따라서 공공 당국은 합법적인 이익에 의존할 수 없다.

공공 기관이 아닌 경우, 정당한 이익 조건을 만족할 많은 요소들이 있다.

컨트롤러 또는 제3자의 정당한 이익이 데이터 주체의 이익, 권리 및/또는 자유에 우선하는지 고려할 때, 컨트롤러는 컨트롤러와의 관계를 기반으로 데이터 주체의 합리적인 기대를 고려해야 한다. Recital 47이 설명하듯이, 그러한 정당한 이익은 ‘데이터 주체가 고객이거나 컨트롤러의 서비스를 받는 상황에서 데이터 주체와 컨트롤러 간에 관련된 적절한 관계가 있을 때’ 존재할 수 있다. Recital에서 중점을 두는 것은 데이터 수집의 시간 및 맥락을 고려하여 데이터 처리에 관한 데이터 주체의 합리적인 기대를 고려하는 것이다. 그러나 Recital 47은 사기 예방 목적으로 엄격하게 필요한 개인정보 처리는 합법적인 이익을 구성한다고 말한다. 특히, Recital에는 직접 마케팅의 예가 가능한 목적으로 포함되어 있다(직접 마케팅 목적의 개인 데이터 처리는 합법적인 이익을 위해 수행된 것으로 간주될 수 있다). Recital 48은 또 다른 가능한 목적을 설명한다. 고객 또는 직원의 개인 데이터 처리와 같은 내부 관리 목적을 위해 중앙 기관에 소속된 사업체 그룹 또는 기관 내에서 개인 데이터를 공유하는 것은 정당한 이익이 될 수 있다. 마지막으로, Recital 49는 정당한 관심사를 구성하는 것으로 네트워크 및 정보 보안을 보장하기 위해 엄격하게 필요하고 비례하는 개인 데이터 처리를 구체적으로 나타낸다.

합법적 이익 기준에 의존할 때, 컨트롤러는 역사적으로 EU 전역에서 다르게 이해되었기 때문에 지역 데이터 보호 규제 기관 및 법원의 해석을 신중하게 고려해야 한다.

예를 들어, 영국에서 DPA는 기준이 비교적 광범위하게 해석될 수 있음을 시사했다. 영국의 DPA의 현재 가이드는 컨트롤러가 따라야 하는 2가지 시험을 제시한다. 첫째, 추구된 이익의 합법성을 확립하고, 둘째, 관련된 개인에 편견을 주는 특정 사례에 대한 처리가 부당한 것이 아닌지 확인하는 것이다. 이 두 번째 테스트에서 영국 DPA는 개인 데이터 처리가 특정 데이터 주체를 침해할 수 있다고 해서 반드시 모든 데이터 처리 대상에 대해 모든 처리 작업이 불리하다고 간주하지는 않는다. 예를 들어, 고용주는 고용주의 정당한 이익을 추구하는 데 필요한 직무 수행과 관련하여 직원에 대한 데이터를 처리할 수 ​​있다. 고용주는 여전히 그러한 절차가 개인의 기본적인 권리와 자유에 영향을 미치지 않도록 해야 한다. 그러나 특별한 상황으로 인해 특정 직원과 관련된 편견이 있더라도, 이것이 모든 직원과 관련된 모든 처리 작업을 반드시 침해하지는 않는다.

영국, 프랑스 및 다른 회원국들이 이 조건을 광범위하게 해석한 반면, 일부 회원국에서는 합법적 이익 기준에 관한 입장이 훨씬 좁아졌다.

이탈리아에서는 별도로 합법적인 이익 조건은 역사적으로 이탈리아 DPA에 의해 구체적으로 설정되었다. 따라서 합법적인 이익 기준에 의존하려는 컨트롤러는 DPA가 정한 결정 범위 내에서 데이터 사용을 해야 한다.

중요한 것은 이 기준에 따라 개인 데이터를 처리할 때 컨트롤러는 데이터 주체가 데이터 사용에 이의를 제기할 권리가 있음을 인지해야 한다는 것이다. GDPR에 따라, 데이터 주체의 이익, 권리 및 자유에 우선하거나, 법적 요구에 대한 설립, 행사 또는 방어를 위해 개인 데이터를 처리하는 것에 대한 설득력 있고 합법적인 근거가 있음을 입증하는 것은 컨트롤러의 책임이다. 데이터 주체로부터 정당한 반대가 있는 경우, 컨트롤러는 데이터 처리를 중단해야 한다.

법적 의무 및 공익

GDPR은 법적 의무 준수에 필수적이며 공공의 이익을 위한 업무 수행에 필요한 2가지 기준에 대한 의존성에 대해, Directive보다 더 자세한 내용을 제공한다. 두 경우 모두에서, Recital 45는 처리가 EU 또는 회원국 법률에 기초해야 함을 나타낸다. 이것은 비 EU 법률에 의거한 의존성이 이 기준 하에서 유효하다는 주장을 막기 위한 것이다. GDPR은 회원국이 다음과 같은 법의 상세한 요구 사항을 설정할 수 있도록 허용한다. 예를 들어, 컨트롤러 결정, 처리 대상 개인 데이터 유형, 관련 데이터 주체, 개인정보가 공개될 수 있는 개체, 목적 제한, 저장 기간 및 기타 조치 등을 결정하기 위한 기준 등이 그것이다. EU 또는 회원국의 법에 따라 컨트롤러가 추가로 공공 기관이 되어야 하는지 여부도 결정될 수 있다. 이 2가지 기준은 또한 GDPR 제9장의 특정 처리 상황과 특히 관련이 있는 것으로 고려될 수 있다. 여기에는 표현 및 정보의 자유를 위한 처리, 고용 관계에서의 처리, 그리고 기록, 과학, 역사 또는 통계 목적의 처리가 포함된다. 이것이 실제로 의미하는 바는 이러한 2가지 기준에 의존하는 범위는 EU와 회원국 법률에 대한 신중한 고려가 필요하다는 것이다. 이것은 또한 국가별로 차이가 있을 수 있다는 것을 의미한다. 공공의 이익을 위한 업무 수행에 필요한 것으로 간주되는 처리가 한 회원국 법에는 허용되더라도 다른 회원국의 법에는 동일한 조항이 없을 수도 있기 때문이다.

GDPR에 따른 합법적인 처리 기준의 ‘처리’에는 Directive 대비 변화가 있다. Directive에 따르면 컨트롤러는 개인 데이터를 처리할 때 어떤 정당한 기준을 사용하고 있는지, 또는 데이터 주체에 기준을 전달해야 하는지에 대해 문서화할 필요가 없다. 이것은 GDPR에서 달라진다. 개인정보 보호 통지를 제공할 의무의 일부로 컨트롤러는 처리에 대한 법적 근거를 개인정보 보호 고지에 명시해야 하며, 합법적인 이익 기준에 의존할 때 추구하는 정당한 이익을 설명해야 하기 때문이다. 또한 합법적인 이익 기반에 의존할 때 컨트롤러는 추구하는 특정 합법적인 이익을 설명해야 한다. 다시 말하자면, 컨트롤러는 영향을 받는 데이터 주체에 통지해야 하기 때문에 데이터 처리 작업을 시작하기 전에 어떤 기준에 의존할지 적절히 고려해야 한다. 데이터 주체에 대한 적절한 고려 사항, 또는 혼란스럽거나 투명하지 않은 통지의 증거도 없으며 합법적인 기준에 연결되지 않은 것으로 밝혀진 컨트롤러의 처리활동은 컨트롤러를 조사하는 DPA에 좋은 인상을 주지는 못할 것이다. 따라서 신중한 컨트롤러는 규제기관이 증거를 요구할 경우, 컨트롤러가 개인 데이터를 처리할 때 의존하는 기준뿐만 아니라 데이터 주체에 대한 적절한 통지도 제시할 수 있도록 조치를 취해야 한다.

◆ 민감한 데이터 처리

제9조는 ‘민감한 데이터’라고도 알려진 특수한 데이터 범주를 보호하는 것에 관한 것이다. 구체적으로 제9조는 ‘인종 또는 민족적 출신, 정치적 견해, 종교적 또는 철학적 신념 또는 노동조합 가입’을 밝히는 개인 데이터 처리를 금지하고, 또한 ‘자연인을 고유하게 식별하기 위한 목적의 유전 데이터, 생체 데이터, 건강 관련 데이터 또는 자연인의 성생활이나 성적 취향에 관한 데이터’의 처리를 금지한다. 이러한 범주 중 GDPR은 자연인을 독점적으로 식별하기 위해 유전자 데이터 및 생체 인식 데이터를 Directive의 기존 특수 범주에 추가한다.

흥미롭게도 GDPR의 Recital은 고유한 식별 또는 인증을 허용하는 특정 기술적 수단을 통해 처리될 때만 사진(아마도 개인의 사진)이 생체 인식 데이터의 정의에 의해 다루어지므로, 사진을 민감한 데이터를 처리하는 것으로 시스템적으로 간주해서는 안 된다는 것을 명확히 한다. GDPR은 회원국이 유전자 데이터, 생체 데이터 또는 건강과 관련된 데이터의 처리 제한을 포함하여 추가 조건을 유지하거나 도입할 수 있게 허용한다. 범죄 유죄 판결 및 위반에 관한 자료는 제10조에 따라 처리된다.

이러한 데이터 범주를 사용하면 본질적으로 개인정보를 위협할 수 있다. 중요한 것은 이 범주의 일부는 Convention 108에서 유래되고, 그것들은 특수 범주로 식별된다. GDPR의 Recital에서, 기본적인 권리와 자유와 관련하여 특히 민감한 개인 데이터는 그 맥락이 심각한 위험을 야기할 수 있기 때문에 특정 보호를 받을 수 있음이 인정된다.

카테고리의 선택은 차별금지법에 의해 크게 영향을 받았는데, 이는 사회 보장 번호 및 신용카드 세부 정보와 같은 특정 카테고리가 그 데이터의 오용이 개인에게 심각한 피해(예: 사기 및 신원 도용)를 줄 수 있음에도 불구하고 포함되지 않았던 이유를 설명할 수 있다. 그러나 이러한 추가 범주의 데이터와 관련하여 데이터 주체에 대한 잠재적인 피해는 GDPR에 따른 통지 의무 위반에서 인정된다. 따라서 컨트롤러는, 단지 GDPR에 따라 민감한 데이터의 정의에 기술적으로 부합하지 않는 데이터 카테고리이기 때문에 더 낮은 수준의 데이터 보호 준수만을 적용해서는 안 된다. GDPR의 초안 작업을 했던 사람들은 특정 범주의 개인 데이터가 더욱 높은 수준의 개인정보 보호를 요구한다고 명백히 결정하였고, 그러한 데이터를 컨트롤러가 처리하는 데 엄중한 규칙을 부과하였다.

역사적으로 민감한 데이터의 사용을 둘러싼 민감성은 일부 EU 국가에서 민감한 데이터를 처리하기 전에 규제 기관으로부터 승인을 받아야 하는 경우 같은 것이다. 예를 들어, 덴마크, 포르투갈(특정 예외가 있음) 및 오스트리아의 경우가 이에 해당된다. 또한 벨기에 및 룩셈부르크와 같은 일부 관할권에서는 민간 부문 조직이 범죄자 신상에 관한 데이터를 처리하는 것이 금지되어 있어, 고용주가 백그라운드 검사를 수행할 수 있는 능력에 영향을 미칠 수 있다. 보다 제한된 맥락에서 이와 유사하게, 제10조는 범죄 유죄 판결 및 위반에 대한 개인 데이터 처리는 ‘공식 당국 기관의 통제 하에서, 또는 처리가 데이터 주체의 권리와 자유를 위한 적절한 보호조치를 제공하는 EU 또는 회원국의 법에 의해 승인된 경우’에만 수행할 것을 요구한다.

컨트롤러가 제9조에 따른 예외 중 하나에 의존하여 민감한 데이터 처리를 합법화할 수 있다고 해서, GDPR의 나머지가 처리에 적용되지 않는다는 것을 의미하지는 않는다. 컨트롤러는 민감한 데이터를 처리할 때 제6조와 제9조의 조건을 모두 충족해야 한다.

민감한 데이터에 대한 더 높은 보호 수준으로 인해, 컨트롤러는 다른 모든 준수 측면을 충족시키는 데 특별한 주의를 기울여야 한다. 예를 들어, 컨트롤러는 개인에게 민감한 데이터가 제12-14조에 따라 어떻게 사용될 것인지에 대한 적절하고 완전한 통보를 보장해야 한다.

제9조에 따른 일반적인 출발점은 민감한 데이터를 처리하는 것이 금지되어 있다는 것이다. 그 금지에는 많은 예외가 있다. GDPR의 입안자들은 민감한 데이터가 높은 수준의 보호를 필요로 함을 강조하기 위해 Directive에 따른 접근법을 선호했다. 선호하는 입장은 민감한 데이터의 사용에 대한 광범위한 금지부터 시작하여 좁은 예외로 허용하는 것이다.

<이미지 출처: www.dataprivacymanager.net>

데이터 주체는 하나 이상의 특정 목적을 위해 그러한 개인 데이터를 처리하는 것에 명시 적으로 동의한 경우(단, EU 또는 회원국의 법에 따른 처리 금지가 데이터 주체에 의해 해제되지 않을 수 있는 경우는 제외)

제9조의 첫번째 예외에서 요구되는 동의는 제6조의 동의와는 명시적이어야 한다는 점에서만 다르다. 즉, 제9조의 동의는 여전히 명확하고, 자유롭고, 구체적이고 정보가 있어야 하며, 명시적이어야 한다. 동의의 정의에는 절차에 대한 동의를 표명하는 서면 또는 명확한 긍정의 행동이 필요하다. 그러나 제9조에 의한 동의는 분명히 그 이상의 것이어야 한다. 동의의 수준이 진술이나 명확한 긍정의 행동 이상의 것이라고 명시할 것을 요구한다. 이것은 동의서가 필기 서명의 서면으로 주어져야 함을 암시한다. 그러나 WP29는 Directive하에 동의에 대한 의견으로, 종이 또는 전자 또는 디지털 서명 또는 아이콘을 클릭하거나 확인 이메일을 보내는 전자 양식으로 명시적인 동의가 주어질 수 있음을 허용한다. 민감한 데이터에 대한 더 강력한 보호로 인해, 규제 당국과 법원은 그들의 민감한 데이터를 사용하는 데이터 주체의 명확한 동의에 의존하기를 원하는 컨트롤러로부터 엄격한 준수 기준을 요구할 가능성이 있다.

따라서 컨트롤러는 동의 요구 사항을 충족시키는지 주의 깊게 확인해야 하며, 명확하고 구체적이며 정보가 풍부하고 자유롭게 제공되는지 확인해야 한다. 또한, 주어진 동의는 명시적이어야 하며 처리의 목적을 명시해야 한다.

예를 들어, 동의서 양식은 처리될 실제 자료 또는 자료의 범주를 구체적으로 언급하는 것이 신중한 처리가 될 것이다(제14조에 포함되어 있지만, 제13조의 통지 의무에서 엄격히 요구되지는 않는다). 명시적 요구 사항을 충족시키기 위해서는 동의서가 서면으로 작성되거나 다른 영구 기록물로 문서화되어야 한다.

또한 민감한 데이터 처리에 대한 금지를 피하기 위해 동의를 해주는 것만으로는 충분하지 않다고 회원국의 법에 명시되어 있는 상황이 있을 수 있다. 이 경우 컨트롤러는 또 다른 지원 기준을 찾아야 한다.

DPA의 가이드는 명백한 동의 기준을 충족시키는 데 필요한 것을 명시할 것이다. 서면이 요구되는 경우, 현지 법이 서면 동의의 증거로 전자 형식으로 표시된 동의를 수락하는지 여부에 따라 인터넷을 통해 민감한 데이터를 수집하는 데 어려움을 겪을 수 있다. DPA 가이드 및 판례법에 따라 다른 관할 구역이 다른 입장을 취할 수 있다. 예를 들어, 상자에 체크하고 “수락” 버튼을 누르는 결합된 행동은 영국의 인터넷에서는 명시적인 동의에 해당한다. 그러나 독일 법에 따르면, 더 광범위한 개인정보 취급 방침 외에도, 민감한 데이터의 처리에 대한 동의는, 그 동의가 처리될 민감한 데이터에 한정적인 것이며, 잠재적으로 ‘적시’(just-in-time)에 동의 통지를 요구할 때만 유효하다.

데이터 주체의 근본적인 권리와 이익을 위한 적절한 보호조치를 제공하는 EU 또는 회원국 법률 또는 회원국의 단체 협약에 따라 허가를 받는 한, 고용법 및 사회보장 및 사회보호법 분야에서 컨트롤러 또는 데이터 주체의 의무 및 특정 권한을 행사하는 목적으로 처리가 필요한 경우

금지의 두 번째 예외는 주로 컨트롤러가 고용법, 사회 보장법 또는 사회 보호법에 따른 법적 의무를 준수하기 위해 민감한 데이터 처리가 필요한 경우에 적용된다. 따라서 이 기준은 데이터 주체가 현지 고용법에 따라 허용되는 후보자, 직원 및 계약자인 경우에 적합하다. 컨트롤러는 또한 필요성 테스트를 준수해야 한다. 이 기준의 범위는 현지 고용법 및 현지 규칙의 해석에 따라 달라진다. 또한 회원국은 고용 맥락에서 개인정보 처리와 관련된 보다 구체적인 규칙을 제공할 수 있다.(2권 참조).

데이터 주체 또는 데이터 주체가 물리적 또는 법적으로 동의를 할 수 없는 다른 자연인의 중요한 이익을 보호하기 위해 처리가 필요한 경우

제6조의 중요한 이익의 기준과 마찬가지로, 이 기준은 삶이나 죽음의 상황을 가리킨다. 이 기준은 제9조에 따라 ‘데이터 주체가 물리적으로 또는 법적으로 동의를 할 수 없기 때문에’ 동의를 얻을 수 없다는 것을 입증할 수 있어야 한다는 사실을 제외하고는 제6조의 규정과 본질적으로 동일하다. 민감한 데이터 처리에 동의를 얻을 수 없는 명백한 비상 상황에 대한 구체적 예시가 있다(예: 데이터 주체가 의식이 없는 경우). 그러나 이것은 컨트롤러가 나중에 동의를 구할 것으로 예상된다는 것을 암시한다.

처리가 재단, 협회 또는 기타 비영리기구가 정치적, 철학적, 종교적 또는 노동조합 목적을 가지고 적절한 보호 조치를 취한 상태에서 합법적인 활동 중에 수행되고, 그 처리가 전적으로 회원 또는 전 회원에 대하여, 또는 그 목적과 관련하여 정기적인 연락을 취한 사람에 대하여, 그리고 데이터 주체의 동의 없이 해당 기관 외부에 개인 데이터가 공개되지 않는다는 조건하에 수행되는 경우

이 기준은 교회, 기타 종교 단체 또는 정당과 같은 특정 비영리 기관을 대상으로 한다. 조직의 구성원 또는 이전 구성원 또는 조직과 정기적으로 연락하는 사람에 대한 중요한 데이터 처리와 관련된다. 이 기준은 회원들에게 민감한 데이터를 보유하고 있는 교회와 같이 활동적인 시민 사회 기관이 있는 회원국들에게 시사하는 바가 특별하다. 이러한 기관들은 GDPR의 다른 요구 사항을 준수하여 민감한 데이터를 처리해야 하며, 이 기준에 따라 처리가 합법적인 활동 중에만 발생해야 하고, 적절한 보호 장치와 함께 그 특정 목적과 관련하여서만 처리가 되어야 한다는 것을 언급하는 것이 중요하다. 또한 해당 데이터 주체의 명시적인 동의하에서만 조직 외부로 중요한 데이터를 공개할 수 있다. 이 기준과 관련된 구체적인 요구 사항은 현지 법에 따라 정해져 있다. 제91조는 교회와 종교 단체 또는 공동체가 개인의 보호와 관련하여 포괄적인 데이터 처리 규칙을 적용하는 경우, 그 규칙들이 GDPR에 부합된다면 계속 적용될 수 있음을 분명히 한다.

데이터 주체에 의해 명시적으로 공개된 개인 데이터와 관련된 처리가 필요한 경우

이 기준은 데이터 주체가 자신에 대한 민감한 데이터를 의도적으로 공개할 때 충족된다. 예를 들어, 개인이 미디어 인터뷰를 제공할 때 정치적 견해나 건강에 대한 세부 정보를 제공할 때와 같은 상황이 그것이다. 민감한 정보를 소셜 네트워킹 플랫폼에 공개적으로 공유하는 것도 잠재적으로 이 기준에 해당할 수 있다.

법적 청구의 설정, 행사 또는 방어에 대해서 또는 법원이 사법 능력으로 행동할 때마다 처리가 필요한 경우

민감한 데이터를 사용하는 것은 컨트롤러가 법적 요구를 설정, 실행 또는 방어하는 데 필요할 수도 있다. 이 기준에 의지하려면 컨트롤러가 필요성을 입증해야 한다. 즉, 처리와 목적 사이에 밀접하고 실질적인 연관성이 있어야 한다. 이 기준에 해당하는 활동의 한 예로는 의료 보험 청구가 유효한지 여부를 결정하기 위한 보험 회사의 의료 데이터 처리가 있다. 이러한 데이터를 처리하는 것은 보험 회사가 청구자의 보험 증권 청구를 고려하는 데 필요하다.

GDPR에는 또한 법원이 사법 능력으로 행동할 때마다 필요한 처리와 관련된 문헌이 포함된다. 그러한 모든 처리는 제5조에 규정된 데이터 보호 원칙의 적용을 받는다.

추구하는 목표에 비례하여, 데이터 보호 권리를 존중하고, 적절하고 구체적인 수단으로 데이터 주체의 기본 권리와 이익을 보호하기 위한 수단을 제공하는 EU 또는 회원국의 법률에 입각한 실질적인 공익을 이유로 처리가 필요한 경우

비록 Directive가 회원국에게 상당한 공공의 이익을 위한 민감한 데이터의 처리에 대한 추가 면제를 설정할 수 있는 보다 큰 자유 등급을 부여하며, 이러한 추가 면제는 적절한 안전장치의 대상이 되지만, 이 규정은 Directive의 유사한 규정을 반영한다. GDPR은 회원국들이 법률에 2가지 추가 요구 사항을 추가하여 실질적인 공익에 있다고 생각하는 것을 법에 제정할 수 있는 능력을 강화한다. 즉, ‘추구하는 목표에 비례함’ 및 ‘데이터 보호 권리의 본질에 대한 존중’을 보여준다. Directive 나 GDPR 어느 것도 실질적인 공공 이익이 의미하는 바를 정의하지 않는다. 따라서 회원국들이 이를 해석할 수 있도록 개방되어 있다.

상당한 공공의 이익을 위한 민감한 데이터를 처리하기 위한 특정 면제 조항은 일부 회원국에 의해 이미 지정되어 있다. 예를 들어, 이탈리아의 데이터 보호법에 따르면 국가 보건 서비스 및 기타 공공보건 기관에서 수행하는 특정 활동은 상당한 공공의 이익으로 간주된다.

영국에서는 법적인 도구가 상당한 공공의 이익을 위해 민감한 개인 데이터를 처리하기 위한 기준을 마련했다. 법적 도구는 불법 행위를 예방하거나 탐지하기 위한 목적에서 또는 어떤 조직이나 단체의 운영에 있어 불성실, 심각하게 부적절한 수행 또는 그릇된 처리로부터 대중을 보호하기 위해 고안된 기능을 이행하기 위해 필요할 때, 그러한 민감한 데이터의 처리를 허용한다.

회원국의 법에 따른 이러한 기존의 근거는, 그 법이 목적에 비례하고 데이터 보호 권리의 본질을 존중하고 데이터 주체의 기본적 권리와 이익을 보호하기 위한 적절하고 구체적인 수단을 제공하는 한, GDPR하에서 계속 적용될 수 있다. 중요한 것은, GDPR하에, 근본적인 공공의 이익을 이유로 민감한 개인 데이터를 처리하는 것에 대한 금지를 감면하는 회원국은, Directive와 달리 이러한 감면을 유럽 연합 집행위원회(‘Commission’)에 통지할 필요가 없다는 것이다.

예방적 또는 산업 의학적 목적, 직원의 근무 능력 평가, 의료 진단, 보건 또는 사회복지 또는 치료의 제공 또는 건강 또는 EU 또는 회원국의 법에 기초한 사회 복지 시스템 및 서비스의 관리 또는 건강 전문가와 계약에 따라 그리고 조건과 추가 안전 조치에 따라서 처리가 필요한 경우

민감한 데이터의 처리가 광범위하게 말해서 의료 또는 사회복지 목적과 관련이 있는 경우에는 민감한 데이터 처리에 대한 금지가 적용되지 않는다. 이 예외는 예방 또는 직업 의학, 의료 진단, 치료 또는 보건 의료 시스템 및 서비스 관리와 같은 의료 서비스를 제공하는 맥락에서의 데이터 처리를 포함한다. 또한 사회 복지 제도 및 서비스의 처리 및 관리는 물론 사회 복지 제공 맥락에서의 데이터 처리를 포함한다. 이 절차는 EU 또는 회원국 법에 기초하거나 의료 종사자와의 계약에 따라 수행될 수 있지만 반드시 제9조 제3항에 규정된 ‘조건 및 추가 안전 조치’의 적용을 받는 의료 종사자일 필요는 없다. 제3항에 따르면, 민감한 개인 데이터는, 전문가 비밀 유지 의무 또는 EU 및 회원국의 다른 비밀 유지 의무 또는 관할 국가 기관에 의한 규칙하에 있는 사람에 의해, 또는 그 사람의 책임하에 민감한 개인 데이터가 처리될 수 있다.

이해하는 것이 가장 쉬운 규정은 아니지만, 이 예외는 의사, 간호사 및 의료 전문직 종사자에게 주로 적용될 것이다. 이러한 직업은 일반적으로 건강 데이터의 수집 및 사용 방법 및 그러한 데이터의 사용 방법에 관한 자체 법률, 규칙 및 전문 지침의 적용을 받는다. 물론 이 예외가 나머지 데이터 보호법의 운영에서 제외된다는 의미는 아니다. 예를 들어, 컨트롤러는 여전히 이 민감한 데이터가 부적절하게 액세스되지 않도록 안전하게 보관해야 한다.

특히 이 조항에는 직원의 근무 능력을 평가하는 데 필요한 처리가 포함된다. 이것은 직원의 마약 검사 및 직원이 일하기에 적합한지를 확인하기 위해 필요한 다른 평가를 포함할 수 있다. 데이터 주체가 직원이 아니며 처리의 목적이 이 예외에 해당하지 않는 건강 데이터 처리와 관련된 회사는 종종 해당 개인의 명시적인 동의를 받아야 한다.

공중 보건 영역에서 공공의 이익을 이유로 처리가 필요한 경우(예를 들어 보건에 대한 심각한 국경 간 위협에 대한 보호 또는 전문적 비밀에 있어서 데이터 주체의 권리와 자유를 보호하는, 적절하고 구체적인 수단을 제공하는 EU 또는 회원국의 법률에 근거하여 보건 의료 및 의약품 또는 의료 기기의 품질 및 안전에 대한 높은 기준을 보장하는 경우)

Recital 54는 민감한 데이터의 처리가 데이터 주체의 동의 없이 공중 보건 영역에 대한 공공의 이익을 이유로 필요할 수 있음을 인지한다. 공중 보건은 EU GDPR No. 1338/2008에 정의된 대로 ‘건강과 관련된 모든 요소, 즉 질병 및 장애, 해당 건강 상태에 영향을 미치는 결정 요인, 건강관리 요구 사항, 건강관리에 할당된 자원, 건강관리, 보건 서비스에 대한 보편적 접근, 건강관리 지출 및 재원 조달, 사망 원인 등을 포함한 건강 상태’로 해석된다. 개인이 자신의 건강 데이터 사용에 대해 가질 수 있는 우려를 염두에 두어, Recital은 그러한 데이터 처리가 고용주, ​​보험 또는 은행 회사와 같은 제3자에 의해 다른 목적으로 처리되도록 해서는 안 된다고 규정한다. 분명히, 이것은 개인이 차별받을 걱정을 하지 않도록 개인을 보호하는 보호조치로서 포함되어 있다.

이 기준은 공공보건과 품질과 안전을 보장하기 위해 약물 및 의료 기기의 감독에 종사하는 사람들에 의한 건강 데이터 처리를 다루도록 고안되었다. Recital 53은 이 배경이 자연인과 사회 전체를 위한 건강 관련 목적을 달성하는 데 필요한 데이터 처리와 관련이 있음을 나타낸다.

처리가 목적 달성에 비례하는 EU 또는 회원국 법에 기초한 제89조 (1)항에 따라 공공의 이익, 과학적 또는 역사적 연구 목적 또는 통계적 목적으로 보관할 목적으로 필요하며, 데이터 보호 권리의 본질을 존중하고, 데이터 주체의 기본 권리 및 이익을 보호하는 적절하고 구체적인 수단을 제공하는 경우

Directive 제8조에는 이 GDPR 예외와 거의 동등한 것이 없다. Directive에서 통계 목적을 위한 데이터 처리 또는 역사적 또는 과학적 연구는 특정 상황에서 특별한 지위를 갖는다. 예를 들어, Directive는 개인 데이터가 직접 수집되지 않은 데이터 주체에 대한 통지를 제공할 의무가 없으며, 데이터 주체의 액세스 권한에 대한 면제를 제공한다. GDPR의 9조는 보관, 과학적 또는 역사적 연구 또는 통계 목적을 위한 처리와 관련된 컨트롤러에 대한 구체적인 기준을 제공한다. 이 기준에 의거하기 위해서는, 처리는 제89조 (1)항에 따라 적절한 안전장치를 가져야 하며, EU 또는 회원 국가 법률에 근거하여 이러한 목적 중 하나에 필요한 것이어야 하며, 비례적이고 데이터 보호 권한의 본질을 존중하며 적절한 안전장치를 제공해야 한다.

제89조 (1)항은 이 기준에 해당하는 모든 처리를 위한 안전 조치를 요구한다. ‘이러한 안전장치는 특히 데이터 최소화 원칙의 존중을 보장하기 위해 기술적 및 조직적 수단이 마련되어 있음을 보장해야 한다.’ 수단에는 가명화(pseudonymisation)도 포함될 수 있다. GDPR에서 명시적으로 요구하지는 않지만, 익명성은 데이터 주체의 식별 가능성을 제거하므로 가능한 경우 모범 사례를 반영한다. 또한 제89조는 EU 또는 회원국 법률이 이러한 권리가 이러한 특정 목적의 달성을 불가능하게 하거나 심각하게 저해할 가능성이 있는 데이터 주체에 부여된 권리에 대한 추가적인 감면을 제공할 수 있으며, 이러한 목적의 달성을 위해 감면이 필요한 경우도 해당된다.

기록관과 역사가는 제89조에 따른 제도에 감사하겠지만, 아마도 가장 큰 영향을 받을 조직은 과학 연구 및 통계 작업에 참여하는 조직이 될 것이다. 특히, 과학 연구를 수행하는 제약 회사와 학술 기관은 이 제도의 매개 변수를 탐구하는 데 열중할 것이다. Recital 159는 과학 연구 목적의 개인 데이터 처리가 기술개발 및 시연, 기초연구, 응용연구 및 사설 연구를 포함한 광범위한 방식으로 해석되어야 함을 나타낸다. 과학적 연구는 공중 보건 분야에 대한 공공의 이익을 위해 수행된 연구를 포함하지만, 사설 연구 목적으로 수행된 연구를 배제하지는 않는다.

위반, 유죄 판결 및 처벌 그리고 보안 조치에 관한 데이터

범죄 유죄 판결 및 범죄 또는 관련 보안 조치에 관한 데이터는 당연히 더 높은 수준의 보호를 필요로 한다. GDPR 제10조는 그러한 데이터가 ‘공식 기관의 통제하에 있거나 처리가 데이터 주체의 권리와 자유에 대한 적절한 보호 장치를 제공하는 EU 또는 회원국 법에 의해 승인된 경우에만 처리되도록 요구한다.’ 이런 맥락에서 공식 당국은 데이터 보호 규제 기관이 될 것으로 보이지는 않다. 포괄적인 범죄 유죄 판결은 공식 기관의 통제하에만 보관할 수 있다. 따라서 민간 부문 컨트롤러는 합법적인 처리의 범위를 이해하기 위해 그러한 데이터를 처리하는 EU 또는 지역 법률에 따라 규칙을 검토해야 한다. 중요한 것은, 이런 형태의 데이터는 제9조에 따른 민감한 개인 데이터의 범주로 추가적으로 고려되지 않는다. 그러나 이런 형태의 데이터를 처리할 때, 컨트롤러는 여전히 GDPR의 모든 다른 요구사항을 준수해야 한다.

식별이 필요 없는 처리

제11조는 ‘컨트롤러가 개인정보를 처리하는 목적이 더 이상 컨트롤러에 의한 데이터 주체의 식별을 필요로 하지 않거나 더 이상 필요로 하지 않는 경우’ 컨트롤러는 GDPR을 준수한다는 유일한 목적으로 데이터 주체를 식별하기 위해 추가 정보를 유지, 획득 또는 처리할 의무가 없다고 명시한다. 따라서 컨트롤러는 데이터 주체가 컨트롤러에 추가 정보를 제공하여 식별할 수 있는 경우 이 가정이 취소된다는 점을 제외하고는 데이터 주체의 권한과 관련된 특정 의무를 준수할 필요가 없다. 이 조항은 온라인 조직이 개인이 조직에서 보유하고 있는 개인 데이터에 대한 액세스 요청을 받지만 개인 데이터의 데이터 주체를 확인하려고 하지 않는 상황을 겨냥한 것이다. 이러한 경우 조직이 어떤 개인 데이터가 개인과 관련되어 있는지를 결정하는 것이 기술적으로 어려울 수 있다.

◆ 맺음말

민감한 데이터의 처리를 정당화하는 기준은, GDPR의 목적이 개인의 기본 권리에 영향을 미치는 데이터의 잠재적인 오용으로부터 개인을 보호하는 것이기 때문에 상대적으로 좁게 해석된다. GDPR이 두 개의 데이터 유형(유전자 및 생체 데이터)을 Directive하의 원래 리스트에 추가한 반면, 오늘날의 세계에서는 사람들에게 더 큰 위험이 금융 정보의 오용으로 빈번하게 나타나기 때문에 이러한 제한된 분류는 놀라운 것일 수 있다. 논란의 여지가 있지만, 개인에게, 개인의 생계 수단, 안전 또는 자금에 대해 심각한 영향을 미칠 수 있는 정보는 엄격한 보호 수준으로 처리되어야 한다. 그러나 EU 법은 이 구체적이고 제한된 데이터 리스트만이 특별한 보호를 필요로 하는 것으로 식별하고, 제9조에서 정의된 합법적인 기준하에서만 처리되도록 요구하고 있다.