GDPR이 해외 적용될 경우는? 대응 방법을 해설
GDPR이란, EU가 정하는 개인정보 보호 및 그 처리에 관한 규칙입니다. EU 내에서 상품이나 서비스를 전개하는 경우, GDPR이 적용될 가능성이 있습니다. 그러나 귀사가 GDPR의 적용 범위에 해당하는지, 해당된다면 어떻게 해야 하는지 모르시는 분도 계실 것입니다.
본 기사에서는 GDPR의 적용 범위와 적용될 경우에 해야 할 일, 요구되는 대응을 설명합니다. GDPR 적용에 관한 Q&A도 있으니, 꼭 참고해 보시기 바랍니다.
GDPR 적용 범위
GDPR이 적용되는 조건은 GDPR 제3조 ‘지리적 적용 범위’에 규정되어 있습니다. GDPR의 적용 범위는 EU 영역 내에 기반을 둔 경우와 그렇지 않은 경우의 두 가지로 나뉩니다.
EU 영역 내에 기반을 둔 경우에 규정된 내용은 다음과 같습니다.
「해당 처리가 EU 영역 내에서 이루어지는지 여부에 관계없이, EU 영역 내의 관리자 또는 처리자의 기반 활동 과정에서의 개인 데이터 처리에 적용된다」
참고: 개인정보보호위원회|「일반 데이터 보호 규정(GDPR) 가 일본어 번역[ja]」
즉, EU 영역 내에 관리자 또는 처리자의 기반이 있는 경우, GDPR이 적용된다는 것을 나타냅니다.
| 관리자 | 개인 데이터 처리의 목적·수단을 결정하는 자 |
| 처리자 | 관리자를 대신하여 개인 데이터 처리를 수행하는 자 |
EU 영역 내에 기반이 없는 경우의 적용 범위에는 다음의 두 가지가 있습니다.
- EU 영역 내의 개인에게 상품 또는 서비스를 제공하는 경우
- EU 영역 내의 개인의 행동을 감시하는 경우
GDPR은 영역 내의 타국에 대해 엄격한 제한을 가하고 있으며, 데이터 이전을 자유롭게 하기 위해서는 ‘충분성 인정’이 필요합니다. 충분성 인정이란, 유럽위원회의 협의를 거쳐 결정되는 인정으로, 개인 데이터에 대한 충분한 보호 수준을 확보하고 있는 국가나 지역에 부여되는 것입니다.
충분성 인정이 없는 국가나 지역은, EU 영역 외로의 데이터 이전을 위해 SCC나 BCR 등의 절차를 밟아야 합니다.
| SCC(표준 계약 조항) | 정보 이전 계약에 포함해야 하는 필수 사항 |
| BCR(구속적 기업 준칙) | 유럽경제지역(EEA)으로부터 취득한 개인 데이터를 보호하는 정책·EEA 외부의 관련 회사에 공유할 경우의 규칙을 정한 것 |
충분성 인정으로 달라지는 점은, SCC나 BCR 등의 절차를 밟을 필요가 없다는 점입니다.
일본에 대한 충분성 인정은, 2018년 7월(헤이세이 30년)의 일-EU 정례 정상 회담에서 개인 데이터 이전의 틀을 운용 가능하게 하는 데 대한 노력을 진행하기로 발표되었습니다. 그 후, 2019년 1월 23일에 충분성 인정을 받고, ‘EU와 일본이 개인 데이터에 대한 보호 수준에 대해 상호 동등하다고 인정하는 결정을 채택한 것을 환영한다’는 발표가 있었습니다.
GDPR 적용 기업은 무엇을 해야 하는가
GDPR이 적용되는 경우 기업이 해야 할 일은 크게 두 가지가 있습니다.
- EU/UK에 위치한 대리인 선임
- 개인정보 처리방침에 명시
여기서는 각각의 세부 사항을 설명하겠습니다.
EU/UK에 위치한 대리인 선임
GDPR 제27조에 따르면, GDPR의 영역 외 적용이 있는 경우 EU 또는 UK에 사업소를 둔 대리인을 지정할 의무가 있습니다.
여기서 말하는 대리인이란, 관리자 또는 처리자에 의해 서면으로 지명되며, GDPR에 기반한 관리자·처리자의 의무에 관하여 관리자·처리자를 대리하는 자를 말합니다.
EU 내에서 사업을 전개하는 모든 기업이 대리인을 지정해야 하는 것은 아닙니다. 대리인 선임 의무가 없는 기업은 다음과 같은 경우입니다(GDPR 제27조).
- GDPR이 적용되는 업무가 일시적이지 않고, ‘특별한 종류의 데이터’ 또는 ‘유죄 판결 및 범죄 행위와 관련된 개인 데이터의 처리를 대량으로 포함하지 않으며, 그 처리의 성격, 과정, 범위 및 목적을 고려할 때, 자연인의 권리 또는 자유에 대한 위험이 낮은 경우
- 공공기관 또는 공공조직이 아닌 경우
참고: 개인정보보호위원회|「일반 데이터 보호 규정(GDPR) 가제 일본어 번역[ja]」
개인정보 처리방침에 명시
GDPR이 적용되는 기업은 개인정보 처리방침에 대리인을 지정하고 있다는 사실을 명시해야 합니다.
대리인을 선임하지 않았을 때의 벌칙 규정
GDPR의 적용 범위에 속함에도 불구하고 대리인을 선임하지 않은 경우, 벌칙의 대상이 되므로 주의가 필요합니다. 벌칙은 최대 1,000유로 또는 전 세계 매출의 2% 이하 중 더 큰 금액으로 정해져 있습니다(GDPR 제84조 제4항).
대리인에게 요구되는 업무
GDPR의 적용 범위에 해당하는 경우, 원칙적으로 대리인을 선임해야 합니다. 그렇다면 대리인에게 요구되는 업무에는 어떤 것들이 있을까요? 여기에서는 대리인의 업무를 자세히 설명하겠습니다.
제30조의 기록 처리
EU 각국에 대리인을 둔 관리자 또는 처리자는 자신의 처리 기록을 대리인과 공유해야 합니다. 또한, 대리인은 관리자나 처리자와 마찬가지로 해당 기록을 보관해야 합니다(GDPR 제30조).
기록해야 할 내용에는 다음과 같은 것들이 있습니다.
- 관리자, DPO(데이터 보호 책임자) 등의 이름 및 연락처
- 처리 목적
- 데이터 주체의 특성 및 처리하는 데이터의 종류
- 보관 기간
- 삭제 시기
데이터 주체란 식별된 또는 식별 가능한 자연인으로, 개인 데이터와 관련 있는 개인을 말합니다.
감독 기관으로부터 요청이 있을 경우, 이러한 처리 기록을 사용할 수 있도록 해야 합니다.
데이터 주체 또는 감독 기관으로부터의 문의 대응
데이터 주체 또는 감독 기관으로부터 문의가 있을 경우, 대리인이 관리자 또는 처리자를 대신하여 데이터 주체·감독 기관과의 대응을 해야 합니다(GDPR 제27조 제3항). 예를 들어, 데이터 주체로부터 요구를 받았을 경우, 관리자는 한 달 이내에 정보를 제공해야 합니다(GDPR 제12조 제3항). 또한, 대리인은 감독 기관으로부터의 요구에 응하고, 감독 기관과 협력해야 합니다(GDPR 제31조).
GDPR 적용과 관련한 Q&A
GDPR 적용과 관련하여 자주 묻는 질문에 대해 아래에서 답변드리겠습니다.
해외 진출 계획이 없더라도 GDPR 대응이 필요한가요?
기본적으로 해외 진출 계획이 없다면 GDPR에 대응할 필요는 없습니다. 그러나 해외 진출을 하지 않았더라도 EU 지역 내 개인으로부터 데이터를 수집할 가능성이 있다면 주의가 필요합니다.
예를 들어, 다음과 같은 경우를 생각해 볼 수 있습니다.
- EC 사이트를 운영하고 있으며, EU 지역 내 개인으로부터 문의나 주문을 받은 경우
- 사이트 방문을 통해 EU 지역 내 개인의 온라인 식별자(아이피 주소나 쿠키 등)를 수집한 경우
- EU 지역 내 개인으로부터의 문의에 대한 답변으로 이메일 주소를 수집한 경우
의도치 않게 EU 지역 내 개인 데이터를 수집했다 하더라도, 지리적 적용 범위에 해당하지 않기 때문에 GDPR에 대응하지 않아도 문제는 없습니다.
결국, EU 지역 내에 거점이 있는 경우, 또는 EU 지역 내에 거점이 없더라도 아래 두 가지에 해당하는 경우에는 GDPR에 대응할 필요가 있다는 것을 기억해 두세요.
- EU 지역 내 개인에게 상품이나 서비스를 제공하고 있는 경우
- EU 지역 내 개인의 행동을 모니터링하고 있는 경우
EU 지역을 대상으로 하는 국경을 넘는 전자상거래 사이트를 론칭할 때 필요한 대응은?
EU 지역을 대상으로 하는 국경을 넘는 전자상거래 사이트를 론칭할 경우, EU 지역 내의 개인정보를 취득할 가능성이 있습니다. 취득할 수 있는 정보에는 다음과 같은 것들이 있습니다.
- 이름
- 이메일 주소
- 주소
- 신용카드 정보
- 구매 정보
- 위치 정보
- IP 주소・쿠키 ID
이러한 정보를 취득하는 경우, GDPR에 정해진 개인 데이터에 해당하므로, GDPR 규칙에 따라 처리해야 합니다.
먼저, GDPR에 대응한 개인정보처리방침의 검토 및 개인정보처리방침의 개정·공표를 하는 것이 좋습니다.
관련 기사:GDPR에 대응한 개인정보처리방침을 작성할 때의 포인트를 설명합니다![ja]
그 위에, 다음의 절차를 밟읍시다.
- 쿠키 정책의 신설・전자상거래 사이트 첫 방문자에게 쿠키 사용 동의를 얻기
- 개인정보를 취득하는 경우, ‘개인 데이터의 처리’에 대한 동의를 얻기
- 개인 데이터의 보호 및 유출 방지를 위한 보안 조치를 취하기
- 대리인을 선임하기
또한, 필요에 따라 사내 규칙을 검토하고, GDPR에 대응하기 위한 매뉴얼 작성이나 외주 업체와의 계약 내용을 검토하는 등을 진행합시다.
GDPR과 UK GDPR은 무엇이 다른가요?
UK GDPR은 영국의 일반 데이터 보호 규정을 말합니다. UK GDPR은 영국의 EU 탈퇴에 따라 2021년 1월 1일(2021년)에 시행되었습니다. GDPR은 EU 규정이며, 영국에서는 적용되지 않습니다.
UK GDPR이 적용되는 경우는 다음과 같습니다.
- 영국 내 개인에게 상품 또는 서비스를 제공하는 경우
- 영국 내 개인의 행동을 감시하는 경우
영국이나 EU 지역 내에서 사업을 전개하는 경우, GDPR과 UK GDPR 모두를 준수해야 할 필요가 있습니다.
요약: GDPR 적용 범위에 어려움을 겪고 계시다면 전문가에게 상담하세요
EU 지역 내에 사업장이 있는 경우, 또는 EU 지역 내에 사업장이 없더라도 “EU 지역 내 개인에게 상품이나 서비스를 제공하는 경우” 또는 “개인의 행동을 감시하는 경우”에는 GDPR의 적용 범위에 해당합니다. GDPR에 적용되는 기업은 EU 내에 사업소를 둔 대리인을 인증해야 하며, 개인정보 처리방침에 그 사실을 명시해야 합니다.
대리인을 인증하지 않을 경우, 막대한 제재금을 지불해야 합니다. EU 지역 내에서 사업을 전개하고 있거나, 앞으로 진출을 고려하고 있는 기업은 GDPR에 대응하기 위해 대리인을 인증하십시오.
귀사가 GDPR의 적용 범위에 해당하는지 확실하지 않다면, 국제법무에 정통한 전문가에게 상담하는 것을 추천합니다.
당사의 대책 안내
모노리스 법률사무소는 IT, 특히 인터넷과 법률 분야에서 풍부한 경험을 가진 법률사무소입니다. 최근 글로벌 비즈니스는 점점 확대되고 있으며, 전문가에 의한 리걸 체크의 필요성은 더욱 증가하고 있습니다. 당사는 국제법무에 관한 솔루션을 제공하고 있습니다.
모노리스 법률사무소의 분야: 국제법무・해외사업[ja]
