유럽데이터보호법

역자서문 / 5
서문 / 7
약어 및 두문자어 / 15
본서의 이용법 / 18

제1장 유럽데이터보호법의 문맥 및 배경 / 21
1.1. 개인데이터보호권 / 23
1.2. 개인데이터보호권에 대한 제한 / 45
1.3. 다른 권리와 정당한 이익과의 상호작용 / 66

제2장 데이터 보호 용어 / 101
2.1. 개인데이터 / 103
2.2. 데이터 처리 / 122
2.3. 개인데이터의 이용자 / 126
2.4. 동의 / 139

제3장 유럽데이터보호법의 주요 원칙 / 143
3.1. 처리의 적법성, 공정성 및 투명성 원칙 / 145
3.2. 목적 제한 원칙 / 151
3.3. 데이터 최소화 원칙 / 155
3.4. 데이터 정확성 원칙 / 157
3.5. 저장 제한 원칙 / 159
3.6. 데이터 보안 원칙 / 162
3.7. 책임 원칙 / 166

제4장 유럽데이터보호법의 제 규정 / 171
4.1. 적법한 처리에 관한 규정 / 173
4.2. 처리의 보안에 관한 규정 / 202
4.3. 책임 및 준수 촉진에 관한 규정 / 212
4.4. 디자인 및 디폴트에 의한 데이터 보호 / 224

제5장 독립적 감독 / 227
5.1. 독립성 / 232
5.2. 법적 권한 / 235
5.3. 협력 / 239
5.4. 유럽데이터보호회의 / 241
5.5. GDPR 일관성메카니즘 / 243

제6장 데이터주체의 권리와 그 행사 / 245
6.1. 데이터주체의 권리 / 249
6.2. 구제, 책임, 처벌 및 배상 / 285

제7장 국제적 데이터 이전과 개인데이터의 유통 / 301
7.1. 개인데이터 이전의 성질 / 302
7.2. 회원국 또는 체약 당사국 간의 개인데이터의 자유로운 이동/유통 / 303
7.3. 제3국/비당사국 또는 국제기구로의 개인데이터의 이전 / 305

제8장 경찰 및 형사사법 맥락에서의 데이터 보호 / 327
8.1. 데이터 보호 및 국가안보, 경찰 및 형사사법 문제에 관한 CoE법 / 329
8.2. 경찰 및 형사사법 문제에서의 데이터 보호에 관한 EU법 / 338
8.3. 법집행 문제에서의 데이터 보호에 관한 기타 특별법규 / 350

제9장 특정한 유형의 데이터와 관련 데이터보호법 / 393
9.1. 전자통신 / 394
9.2. 고용데이터 / 399
9.3. 건강데이터 / 404
9.4. 연구 및 통계 목적의 데이터 처리 / 410
9.5. 금융데이터 / 414

제10장 개인데이터 보호의 현대적 과제 / 419
10.1. 빅데이터, 알고리즘 및 인공지능 / 422
10.2. 웹 2.0 및 3.0 : 소셜 네트워크와 사물인터넷 / 436

참고문헌 / 449
판례 / 457
유럽인권재판소 판례선 / 457
EU사법재판소 판례선 / 464
색인 / 471

제1장
유럽데이터보호법의 문맥 및 배경

1.1. 개인데이터보호권(The right to personal data protection)
요점
ㆍECHR 제8조에 따라서, 개인데이터의 처리와 관련한 사람의 보호권은 사생활 및 가족생활, 가정과 교신에 대한 존중권의 일부를 형성한다.
ㆍCoE조약 제108호는 데이터 보호를 다루는 최초의 그리고 현재까지는 유일한 법적 구속력 있는 국제규범이다. 동 조약은 개정 의정서 CETS No. 223의 채택과 함께 완료되는 현대화 과정을 거쳤다.
ㆍEU법에서는 데이터 보호가 별개의 기본권으로 인식되어 왔다. 그것은 EU기본권헌장 제8조뿐만 아니라 EU기능조약 제16조에서도 확인된다.
ㆍEU법에서는 데이터 보호가 1995년에 데이터보호지침에 의하여 최초로 규율되었다.
ㆍ급속한 기술발전을 감안하여, EU는 데이터보호법규들을 디지털 시대에 적합하게하기 위해 새로운 입법을 채택했다. GDPR은 2018년 5월에 적용가능하게 되었으며, 데이터보호지침은 폐지되었다.
ㆍGDPR과 함께, EU는 법집행 목적을 위해 국가기관들의 개인데이터 처리에 관한 입법을 채택하였다. 지침(EU) 2017/680은 범죄의 예방, 수사, 적발 및 기소 또는 형벌의 집행을 목적으로 개인데이터 처리에 적용되는 데이터 보호 규정 및 원칙을 설정한다.
1.1.1. 사생활 존중권과 개인데이터보호권 : 개설
사생활 존중권과 개인데이터보호권은 밀접한 관련이 있지만 별개의 권리들이다. 유럽법에서 사생활 존중권이라고 하는 프라이버시권은 근본적으로 보호되는 인권 중 하나로 1948년에 채택된 세계인권선언(UDHR)의 국제인권법에서 등장했다. UDHR을 채택한 직후 유럽은 또한 체약 당사국에 법적 구속력이 있고 1950년에 작성된 조약인 유럽인권조약(ECHR)에서 이 권리를 확인했다. ECHR은 모든 사람이 사생활 및 가족생활, 가정과 교신에 대한 존중권을 갖는다고 규정한다. 그 간섭이 법에 따르며, 중요하고 정당한 공익을 추구하고, 민주사회에서 필요한 경우를 제외하고는 공적 기관에 의한 이 권리의 간섭은 금지된다.
UDHR과 ECHR은 컴퓨터와 인터넷이 발전하고 정보사회가 부상하기 훨씬 전에 채택되었다. 이러한 발전은 개인 및 사회에 상당한 이점을 가져 왔으며, 삶의 질, 효율성 및 생산성을 향상시킨다. 동시에, 사생활 존중권에 대한 새로운 리스크를 제기한다. 개인정보의 수집 및 이용에 관한 구체적인 규범의 필요성에 대응하여, 일부 관할지역에서는 ‘정보 프라이버시’로, 다른 지역에서는 ‘정보자기결정권’으로 알려진 새로운 프라이버시 개념이 등장했다. 이 개념은 개인데이터 보호를 규정하는 특별법의 발전으로 이어졌다.
유럽의 데이터 보호는 몇몇 국가들에서 공적 기관 및 대기업에 의한 개인정보의 처리를 통제하는 입법을 채택함으로써 1970년대에 시작되었다. 그 후, 데이터보호규범은 유럽 차원에서 제정되었고, 수년에 걸쳐 데이터 보호는 사생활 존중권에 포함되지 않는 별개의 가치로 발전되었다. EU 법질서에서는 데이터 보호가 사생활 존중에 대한 기본권과 별개로 하나의 기본권으로 인식된다. 이러한 분리는 이들 두 권리의 관계와 차이에 대한 문제를 제기한다.
사생활 존중권과 개인데이터보호권은 밀접한 관련이 있다. 양자 모두 비슷한 가치, 즉 개인들의 자율성과 인간존엄성을 보호하려고 노력하며, 개인들이 자유롭게 개성을 계발하며, 생각하고, 그들의 의견을 형성할 수 있는 개인적 영역을 부여한다. 그러므로 그것들은 표현의 자유, 평화적인 집회 및 결사의 자유, 종교의 자유 등과 같은 다른 근본적인 자유를 행사하기 위한 필수적인 전제조건이다.
두 권리는 형식 및 범위가 다르다. 사생활 존중권은 간섭에 대한 일반적인 금지를 구성하며, 특정한 경우에 간섭을 정당화할 수 있는 일부 공익기준의 적용을 받는다. 개인데이터의 보호는 현대적이고 적극적인 권리로 간주되어, 개인데이터가 처리될 때마다 개인들을 보호하기 위한 견제 및 균형의 시스템을 마련한다. 처리는 개인데이터 보호의 필수적 구성요소, 즉 독립적인 감독과 데이터주체의 권리에 대한 존중을 준수해야 한다.
EU기본권헌장(‘헌장’) 제8조는 개인데이터보호권을 확인할 뿐만 아니라 이 권리와 관련된 핵심 가치를 명시하고 있다. 개인데이터의 처리는 구체적인 목적을 위해 공정해야 하며, 관계인의 동의나 법률에 의해 규정된 합법적 근거에 기초해야 한다고 규정하고 있다. 개인은 자신의 개인데이터에 액세스하고 이를 정정할 권리를 가져야 하며, 이러한 권리의 준수는 독립적 기관의 통제를 받아야 한다.
개인데이터보호권은 개인데이터가 처리될 때마다 적용되기 때문에 사생활 존중권보다 범위가 넓다. 개인데이터의 모든 처리작업은 적절한 보호의 대상이 된다. 데이터 보호는 프라이버시에 대한 관계 및 영향에 관계없이 모든 종류의 개인데이터와 데이터 처리에 관련된다. 개인데이터의 처리도 아래 예시와 같이 또한 사생활에 대한 권리를 침해할 수 있다. 그러나, 데이터보호규범이 발동되기 위해서는 사생활 침해를 입증할 필요는 없다.
프라이버시권은 개인의 사익, 또는 ‘사생활’이 침해된 상황과 관련된 것이다. 본서에서 기술하였듯이, ‘사생활’ 개념은 친밀한 상황, 민감하거나 기밀적인 정보, 개인에 대한 대중의 인식에 편견을 줄 수 있는 정보, 그리고 심지어 개인의 직업적 삶과 공적 행동의 측면까지 포괄하는 것으로 판례에서는 광범위하게 해석되어 왔다. 그러나 ‘사생활’에 대한 간섭이 있는지 또는 있었는지 여부에 대한 평가는 각 사안의 맥락 및 사실관계에 달려 있다.
이와는 대조적으로, 개인데이터의 처리를 포함하는 어떠한 활동도 데이터보호규범의 범위에 속할 수 있고 개인데이터보호권을 발동시킬 수 있다. 예를 들어, 고용인이 피고용인의 이름 및 보수에 관한 정보를 기록하는 경우, 이 정보를 기록하는 것만으로는 사생활에 대한 간섭으로 간주될 수 없다. 그러나 예를 들어, 고용인이 피고용인의 개인정보를 제3자에게 이전하는 경우, 이러한 간섭은 논쟁의 대상이 될 수 있다. 피고용인의 정보를 기록하는 것은 데이터의 처리에 해당하므로 고용인은 어떠한 경우에도 데이터보호규범을 준수해야 한다.
1.1.2. 국제법체계 : 유엔
프라이버시권이 국제법질서에서 오랫동안 확립된 기본권임에도 불구하고, 유엔 체계는 개인데이터 보호를 기본권으로 인정하지 않는다. 사생활 및 가족생활 존중에 관한 UDHR 제12조는 타인들, 특히 국가로부터의 침해에 대해 사적 영역의 보호에 대한 개인의 권리를 규정한 최초의 국제규범으로 기록되었다. UDHR은 비록 구속력 없는 선언이지만 국제인권법의 기초 규범으로서 상당한 지위를 가지고 있으며, 유럽의 다른 인권규범의 발전에 영향을 미쳤다. 시민적?정치적 권리에 관한 국제규약(ICCPR)은 1976년에 발효되었다. 이는 누구라도 프라이버시, 가정이나 교신, 또한 명예와 명성에 대한 자의적이거나 불법적인 공격의 대상이 될 수 없음을 선언한다. ICCPR은 169개 당사국이 프라이버시를 포함한 개인의 시민권의 행사를 존중하고 보장하는 국제조약이다.
유엔은 2013년부터 새로운 기술의 발전과 일부 국가에서 이루어진 대규모 감시에 대한 폭로(Snowden 폭로)에 대응하여 “디지털 시대의 프라이버시권”이라는 제목의 프라이버시 문제에 관한 두 개의 결의안을 채택했다. 이들 결의안은 대중감시를 강력히 비난하고, 그러한 감시가 프라이버시와 표현의 자유에 대한 기본권과 활기차고 민주적인 사회의 기능에 미칠 수 있는 영향을 강조한다. 법적 구속력은 없지만, 프라이버시, 신기술 및 감시에 관한 국제적이며 고도의 정치적 논쟁을 촉발시켰다. 또한 프라이버시권을 홍보하고 보호하는 권한을 가진 특별보고관(Special Rapporteur)을 설립하도록 이끌었다. 특별보고관의 구체적인 임무는 프라이버시와 신기술에서 발생하는 과제와 관련한 국가의 관행 및 경험에 대한 정보의 수집, 모범사례(best practice)의 교환 및 홍보, 그리고 잠재적 장애물의 파악 등을 포함한다.
초기 결의안은 대규모 감시의 부정적인 영향과 정보기관들의 권한을 제한하는 국가의 책임에 중점을 두었지만, 최근의 결의안은 유엔의 프라이버시에 관한 논쟁에서의 주요 발전을 반영한다. 2016년과 2017년에 채택된 결의안은 정보기관들의 권한을 제한하고 대규모 감시를 비난할 필요성을 재확인한다. 그러나 이들 결의안은 또한 “기업들이 개인데이터를 수집, 처리 및 이용하는 능력이 증가함에 따라, 디지털 시대에서의 프라이버시권의 향유에 대한 위험을 제기할 수 있다”고 명시적으로 기술한다. 따라서 결의안들은 국가기관의 책임 외에 민간부문의 인권존중 책임을 지적하고, 기업이 개인데이터의 수집?이용?공유?보존에 대해 이용자에게 알리고 투명한 처리정책을 수립할 것을 촉구하고 있다.
1.1.3. 유럽인권조약(The European Convention on Human Rights)
유럽평의회는 제2차 세계대전의 영향으로 유럽국가들이 법의 지배, 민주주의, 인권과 사회발전을 향상시키기 위하여 결성되었다. 이러한 목적을 위하여, 유럽평의회는 1950년에 유럽인권조약(ECHR)을 채택하여, 1953년에 시행되었다.
체약 당사국들은 ECHR을 준수할 국제적 의무를 지고 있다. CoE 모든 회원국들은 현재 국가법에 ECHR을 도입하였거나 실효성을 부여하였으며, 따라서 조약규정에 따라서 행위할 것이 요구된다. 체약 당사국들은 어떠한 활동이나 권한을 행사할 때 조약에 규정된 권리들을 존중해야한다. 여기에는 국가안보를 위해 수행된 활동이 포함된다. 유럽인권재판소(ECtHR)의 획기적인 판결들은 국가안보 법 및 실무의 민감한 영역에서의 국가활동들과 관련되었다. 재판소는 감시활동들이 사생활 존중에 대한 간섭을 구성한다고 확인하는 것을 주저하지 않았다.
체약 당사국들이 ECHR에 따른 의무를 준수할 것을 보장하기 위하여, 유럽인권재판소(ECtHR)가 1959년 프랑스 스트라스부르에 설립되었다. ECtHR는 조약 위반을 주장하는 개인, 개인의 그룹, NGO 또는 법인들이 제기한 소송을 심리함으로써 조약에 따른 의무의 준수를 보장한다. ECtHR는 또한 둘 이상의 CoE 회원국들이 다른 회원국을 상대로 하여 제기한 국가간 소송을 심리할 수 있다.
2018년 현재 유럽평의회는 47개 회원국으로 구성되었으며, 그 중 28개국은 또한 EU 회원국들이기도 한다. ECtHR에 제소하는 청구인은 주장하는 위반사실이 체약 당사자국 중 하나의 관할권 내에서 발생하여야 하지만 체약 당사국들의 하나의 국민일 필요는 없다.
개인데이터보호권은 ECHR 제8조에 따라 보호된 권리들의 일부를 형성하는데, 동 조는 사생활 및 가족생활, 가정과 교신의 존중권을 보장하고 있으며, 이 권리의 제약이 허용되는 조건을 규정하고 있다.
ECtHR는 데이터 보호 쟁점을 포함하는 다수의 상황들을 심리하여 왔다. 여기에는 통신의 도청, 공적 및 사적 영역 모두에 의한 여러 가지 유형의 감시와 공적 기관들에 의한 개인데이터의 저장에 대한 보호문제들이 포함된다. 사생활 존중은 절대적 권리는 아니다. 프라이버시권의 행사가 표현의 자유와 정보에 대한 액세스와 같은 다른 권리를 손상시킬 수 있기 때문이다(그 역의 경우도 같다.). 따라서 재판소는 쟁점이 되는 권리들 사이의 균형을 찾으려고 노력한다. ECtHR는 ECHR 제8조에 따라서 국가들은 동 조약상의 권리를 침해하는 어떠한 행위도 금지하도록 의무를 부담하고 있을 뿐만 아니라, 국가들은 일정한 상황에서 효과적으로 사생활 및 가족생활의 존중을 적극적으로 보장할 의무도 부담하고 있다는 점을 명확히 하였다. 이들 판례 중 다수가 관련 장에서 자세히 설명될 것이다.
1.1.4. 유럽평의회조약 제108호(Council of Europe Convention 108)
1960년대에 정보기술의 등장과 함께, 개인데이터를 보호함으로써 개인들을 보호할 보다 상세한 규정의 필요성이 커지고 있었다. 1970년대 중반까지, 유럽평의회 각료위원회는 ECHR 제8조를 참고하여, 개인데이터의 보호에 관한 여러 결의안을 채택하였다. 1981년에, 개인데이터의 자동 처리와 관련한 개인의 보호를 위한 조약(조약 제108호)이 서명을 위해 개방되었다. 조약 제108호는 데이터 보호분야에서 법적 구속력을 가진 유일한 국제규범이었으며, 현재도 그러하다.
조약 제108호는 사법기관 및 법집행기관에 의한 데이터 처리를 포함하여 사적 및 공적 영역에 의해 수행된 모든 데이터 처리에 적용된다. 동 조약은 개인데이터의 처리에 수반될 수 있는 남용에 대해 개인을 보호하며, 그와 동시에 국경을 넘는 개인데이터의 유통을 규제하고자 하는 것이다. 개인데이터의 처리에 관하여, 동 조약에 규정된 원칙들은 구체화된 정당한 목적을 위해 특히 데이터의 공정하고 적법한 수집 및 자동 처리와 관련된 것이다. 이는 데이터가 이들 목적과 양립될 수 없는 목적으로 사용되어서는 안 되며, 필요 이상의 기간 동안 보전되어서는 안 된다는 것을 의미한다. 또한 이들 원칙은 데이터의 품질, 특히 적절하며 관련성이 있고 과도해서는 안 되며(비례성) 정확해야 한다는 것과 관련된다.
동 조약은 개인데이터의 처리에 관한 보장을 규정하는 이외에도, 적절한 법적 안전장치가 없는 경우에, 어떤 사람의 인종, 정치, 건강, 종교, 성생활 또는 범죄기록에 관한 것과 같은 ‘민감한’ 데이터의 처리를 불법으로 하고, 필요한 경우에, 그 정보를 정정하게 할 권리를 보장하고 있다. 조약에서 규정된 권리에 대한 제약은 국가안보 또는 국방과 같은 우월적 이익이 문제되는 경우에만 가능하다. 또한 조약은 체약 당사국들 간의 개인데이터의 자유로운 유통을 규정하고 있으며, 법적 규제가 동등한 보호를 제공하고 있지 않는 국가에의 유통에 대해서는 다소의 제약을 부과하고 있다.
조약 제108호는 비준한 국가들에 대해 구속력이 있다는 점을 유의해야 한다. 조약은 ECtHR의 사법적 감독의 대상은 아니지만, ECHR 제8조의 맥락 안에서 ECtHR의 판례에서 고려되어 왔다. 수년간 재판소는 개인데이터 보호가 사생활 존중권(제8조)의 중요한 일부라고 판결했으며, 이 기본권에 대한 간섭이 있었는지 여부를 판단함에 있어 조약 제108호의 원칙에 의해 지도되어 왔다.
조약 제108호에서 규정된 일반원칙과 규정들을 보다 발전시키기 위하여, 법적 구속력이 없는 몇 가지 권고가 CoE 각료위원회에 의해 채택되었다. 이들 권고는 유럽데이터보호법의 발전에 영향을 미쳤다. 예를 들어, 수년 동안 경찰분야의 개인데이터의 이용에 관한 지침을 제공하는 유럽의 유일한 규범은 경찰권고(Police Recommendation)였다. 권고에 포함된 원칙들, 예를 들어 데이터 파일을 보관하는 수단과 그러한 파일에 대한 액세스가 허용된 사람들에 대한 명확한 규정을 실시할 필요성은 더욱 발전되어 후속 EU 입법에 반영되었다. 보다 최근의 권고는 디지털 시대의 과제, 예를 들어 고용에서의 데이터 처리와 관련된 과제를 해결하고자 한다(제9장 참조).