EU 개인데이터보호법

제1장 EU개인데이터보호법 개설 / 15
제1절 EU개인데이터보호법의 법원(法源)과 입법 목적 / 15
제2절 EU개인데이터보호법의 적용범위 / 19

제2장 EU개인데이터보호법 성립까지의 국제적 동향 / 32
제1절 개관 / 32
제2절 1980년 OECD가이드라인 / 32
제1. 성립 과정과 그 배경 / 32
제2. 주요 내용 / 35
제3절 유럽평의회의 1981년 개인데이터보호조약 38
제1. 처음에 38
제2. 주요 내용 39
제3. 2018년 개인데이터보호조약 개정 / 41
제4절 1990년 UN가이드라인 / 43
제1. 처음에 / 43
제2. 주요 내용 / 44

제3장 EU개인데이터보호법의 성립 과정 / 46
제1절 개관 / 46
제2절 1995년 데이터보호지침 성립까지의 과정 / 47
제1. 1990년 데이터보호지침안 / 47
제2. 1992년 데이터보호지침개정안 / 51
제3절 1995년 데이터보호지침의 성립 / 54
제1. 개관 / 54
제2. 주요 내용 / 54
제3. 1995년 지침이 미친 영향 / 108

제4장 2016년 GDPR의 성립 / 109
제1절 성립 배경 및 경과 / 109
제1. 성립 배경 / 109
제2. 성립 경과 / 110
제2절 2016년 GDPR의 주요 내용 / 112
제1. 개설 / 112
제2. 총칙 / 113
제3. 개인데이터 보호 원칙 / 136
제4. 데이터주체의 권리 / 151
제5. 컨트롤러와 프로세서(Controller and processor) / 191
제6. 개인데이터의 제3국 또는 국제기구로의 이전 / 214
제7. 독립적 감독기관 / 243
제8. 협력과 일관성 / 256
제9. 권리구제, 책임 및 벌칙 / 269
제10. 특정한 처리상황과의 관련 / 276
제11. 위임법령과 집행법령 / 281
제12. 최종조항 / 283

제3절 우리나라 「개인정보 보호법」과의 비교 / 287
제1. 개괄적 비교 / 287
제2. 개별적 비교 / 290

제5장 EU 개인데이터 보호 특별법제－통신분야 / 298
제1절 처음에－입법과정 개관 / 298
제2절 현행법 입법과정에서의 법안 / 300
제1. 1990년 통신망지침안 / 300
제2. 1994년 통신망지침개정안 / 302
제3절 1997년 전기통신분야지침 / 304
제1. 처음에 / 304
제2. 주요 내용 / 304
제4절 현행 2002년 전자통신분야지침 / 306
제1. 현행 2002년 전자통신분야지침의 성립과 그 개정 / 306
제2. 주요 내용 / 308

제6장 EU개인데이터보호법의 시사점과 전망 / 360
제1절 EU개인데이터보호법의 시사점 / 360
제1. 개인데이터 보호 기본원칙의 보편적 적용가능성 / 360
제2. 개인데이터 보호와 자유로운 유통의 조화 / 362
제3. 개인데이터 보호와 관련한 일반법과 특별법의 관계 / 363
제4. EU레벨에서의 공(公)･사(私) 영역 구별의 포기 / 364
제2절 EU개인데이터보호법의 전망 / 367
제1. EU 개인데이터 보호제도의 강화 / 367
제2. 새로운 데이터기본권의 등장 / 369
제3. 유럽위원회의 집행권한의 강화 시도 / 369
제4. 새로운 스마트시대에 대처하기 위한 입법의 요청 / 371
제5. 개인데이터의 데이터재로서의 인식 강화 / 372

부록: 2016년 GDPR의 원문(영어)과 국역 / 375
사항색인 / 487
판례색인 / 490

제1장 EU개인데이터보호법 개설
제1절 EU개인데이터보호법의 법원(法源)과 입법 목적
1. EU개인데이터보호법의 법원(法源)
EU개인데이터보호법을 기술함에 있어서는 우선 그 대상범위를 구체적으로 어떻게 파악할 것인지가 문제된다. EU법의 성문법원으로는 크게 제1차 EU법(primary EU law)과 제2차 EU법(secondary EU law)으로 나눌 수 있다. 주요한 제1차 EU법으로는 EU설립의 기본이 되는 조약들, 즉 유럽연합조약(The Treaty on European Union ; TEU)과 유럽연합운영조약(The Treaty on the Functioning of the European Union ; TFEU)이 있으며, 또한 유럽연합기본권헌장(The Charter of Fundamental Rights of the EU)도 제1차법으로 간주된다. 그리고, 이들 조약에 의해 입법권을 부여받은 EU기관들에 의해 채택된 것이 제2차 EU법이라고 할 수 있다. 제2차 EU법의 주요한 법형식으로는 규칙(Regulation), 지침(Directive)과 결정(Decision) 등이 있다.
EU개인데이터보호법의 법원으로서는 제1차법으로서 유럽연합운영조약(TFEU) 제16조와 유럽연합기본권헌장 제8조를 들 수 있다. 전자는 제1항에서 “모든 사람은 자신에 관한 개인데이터보호권을 가진다.”고 규정하고 있다. 또한 제2항에서는 “유럽의회와 이사회는 일반입법절차에 따라서, 연합 기관, 기구, 사무소와 에이전시에 의한, 그리고 EU법에 속하는 활동을 수행할 때의 회원국들에 의한 개인데이터 처리에 관하여 개인의 보호와 관련되는 규정과 이러한 데이터의 자유로운 이동과 관련되는 규정들을 제정해야 한다. 이들 규정의 준수는 독립적 기관들의 통제를 받아야 한다.”고 규정하고 있다. 그리고 후자도 제1항에서 “모든 사람은 자신에 관한 개인데이터보호권을 가진다.”고 하여 유럽연합운영조약(TFEU) 제16조 제1항과 동일한 규정을 두고 있고, 제2항에서는 “이러한 데이터는 특정한 목적을 위해 그리고 관계인의 동의에 근거하여 또는 법률에 규정된 적법한 근거에 따라서 공정하게 처리되어야 한다. 모든 사람은 자신에 관해 수집된 데이터에의 접근권과 이를 정정할 권리를 가진다.”고 하고, 제3항에서는 “이들 규정의 준수는 독립적 기관에 의한 통제를 받아야 한다.”고 규정하여, 유럽연합운영조약(TFEU) 제16조 제2항과 유사한 규정을 두고 있다. 이러한 조약이나 헌장의 관련 조항이 EU개인데이터보호법의 제1차법의 법원으로서 기능한다고 할 것이다.
한편, 제2차법으로서는 우선, 1995년 10월에 제정된 「개인데이터 처리와 관련된 개인의 보호와 이러한 데이터의 이동에 관한 유럽의회 및 이사회 지침 95/46/EC」(이하 ‘1995년 데이터보호지침’ 또는 ‘1995년 지침’이라 한다.)를 들 수 있다. 1995년 데이터보호지침은 EU에서의 개인데이터 보호에 관한 일반법으로서 기능한 것으로서, EU개인데이터보호법의 가장 중요한 지위를 차지하여 왔다고 할 수 있다. 그러나, 동 지침은 제정된 지 20여년이 지난 것으로서 그 동안 급격히 변화된 개인데이터 보호를 둘러싼 환경에 제대로 대응하지 못한다는 점 등을 들어 이에 대한 개정작업이 추진된 결과, 2016년 4월 27일 「개인데이터 처리와 관련 자연인의 보호와 이러한 데이터의 자유로운 이동에 관한, 그리고 지침 95/46/EC를 폐지하는 2016년 4월 27일의 유럽의회 및 이사회 규칙(EU)2016/679」(일반데이터보호규칙(General Data Protection Regulation: GDPR). 이하 ‘2016년 GDPR’ 또는 ‘GDPR’이라 한다.)가 성립되었다. 따라서 현행 EU개인데이터보호법에서 2016년 GDPR이 가장 중요한 지위를 차지하고 있다고 할 수 있을 것이다.
또한, 전자통신 분야에 있어서의 개인데이터 보호와 관련하여서는 2002년 7월 성립된 「전자통신 분야에서의 개인데이터 처리와 프라이버시의 보호에 관한 유럽의회 및 이사회 지침 2002/58/EC」(이하 ‘2002년 전자통신분야지침’ 또는 ‘2002년 지침’이라 한다.)이 있다. 이 지침은 현재 개정작업이 진행되고 있으며, 2016년 GDPR의 특별법적 지위에 있는 것으로 볼 수 있다. 그밖에도, 형사사법 분야에 관한 특별법적인 것으로서 2016년 4월 27일 성립된 「범죄의 예방, 수사, 적발이나 기소 또는 형벌 집행을 위해 관할 기관에 의한 개인데이터 처리와 관련된 자연인의 보호와 이러한 데이터의 자유로운 이동에 관한, 그리고 이사회 구조결정 2008/977/JHA를 폐지하는 2016년 4월 27일의 유럽의회 및 이사회 지침(EU) 2016/680」(이하 ‘2016년 형사데이터보호지침’이라 한다.)이 있다. 또한, EU기관 등에 의한 개인데이터 처리에 대한 규율을 위해 2018년 10월 성립된 것으로서 「공동체 기관, 기구 및 사무소에 의한 개인데이터 처리와 관련된 자연인의 보호와 이러한 데이터의 자유로운 이동에 관한, 그리고 규칙 (EC) No 45/2001 및 결정 No 1247/2002/EC를 폐지하는 2018년 10월 23일의 유럽의회 및 이사회 규칙 (EU) 2018/1725」(이하 ‘2018년 EU기관등데이터보호규칙’이라 한다.)이 있다.
이상에서 살펴본 제1차법 및 제2차법이 성문법원이라고 한다면, 다른 법영역에서와 마찬가지로 EU개인데이터보호법에서도 법의 일반원칙이나 관습법과 같은 불문법원이 성립할 여지가 있다. 특히 이들 불문법의 성립에는 EU의 최고사법기관인 EU사법재판소(Court of Justice of the European Union; CJEU)에 의한 해석･적용이 중요한 역할을 차지하고 있다고 할 수 있는바, 이러한 예로서 비례성 원칙과 적정절차 원칙 등 법의 일반원칙을 들 수 있을 것이다.
본서에서 고찰하는 EU개인데이터보호법의 대상 입법으로서는 2016년 GDPR을 중심으로 하여, 2002년 전자통신분야지침과 그밖에 위에서 언급한 EU법을 중심으로 다루되, 필요에 따라서는 다른 관련 법령들도 다루도록 한다.
한편, EU개인데이터보호법과는 별개의 법제이지만, EU개인데이터보호법의 성립에 중요한 영향을 미친 것으로서 유럽평의회(Counci of Europe ; CoE)의 관련 규범을 들 수 있다. CoE는 제2차 세계대전의 영향으로 유럽 국가들이 법의 지배, 민주주의, 인권과 사회발전을 향상시키기 위해 결성된 국제기구로서, 개인데이터 보호와 관련하여 EU개인데이터보호법제에 중요한 영향을 미쳤다. 그 가운데에서도 1950년 성립된 「유럽인권조약」(European Convention on Human Rights ; ECHR)과 1981년 성립된 「개인데이터 자동처리와 관련된 개인의 보호를 위한 조약」(이하 ‘1981년 개인데이터보호조약’이라 한다.)을 들 수 있다. 전자는, 개인데이터 보호와 관련하여 ‘사생활 및 가족생활의 존중권’(제8조)을 두고 있다. 즉, 동 조 제1항에서 “모든 사람은 사생활 및 가족생활과 가정 및 교신의 존중권을 가진다.”, 제2항에서 “이 권리 행사는 법률 규정에 의하고 민주사회에서 국가안전보장, 공공 안전 또는 국가의 경제적 복지를 위하거나 무질서나 범죄의 예방 또는 건강이나 도덕의 보호 또는 다른 사람의 권리와 자유의 보호를 위해 필요한 경우를 제외하고는 공권력에 의해 간섭을 받지 않는다.”고 규정하고 있다. 그리고 후자는 개인데이터 보호와 관련하여 최초의 법적 구속력을 가지는 국제규범으로서 나중에 EU의 1995년 데이터보호지침의 성립에 중대한 영향을 미쳤다. 1981년 개인데이터보호조약에 대해서는 나중에(38쪽 이하) 보다 자세하게 살펴보도록 한다.
2. EU개인데이터보호법의 입법 목적
EU개인데이터보호법의 입법 목적과 관련하여서는 그 일반법이라고 할 수 있는 2016년 GDPR 제1조로부터 도출할 수 있다. 동 조 제2항은 “본 규칙은 자연인의 기본적 권리 및 자유와 특히 개인데이터보호권을 보호한다.”고 규정하고 있으며, 또한 제3항에서는 “연합 역내에서 개인데이터의 자유로운 이동은 개인데이터 처리와 관련하여 자연인의 보호와 연결되었다는 이유로 제한되거나 금지되어서는 안된다.”고 규정하고 있다. 이러한 규정으로부터 2016년 GDPR은 ‘자연인의 권리 및 자유(특히 개인데이터보호권)의 보호’와 ‘개인데이터의 자유로운 이동’을 그 목적으로 하고 있음을 알 수 있다. 따라서 EU개인데이터보호법의 입법 목적은 일반적으로 위 두 가지 가치, 즉 ‘자연인의 권리 및 자유(특히 개인데이터보호권)의 보호’와 ‘개인데이터의 자유로운 이동’이라고 할 수 있을 것이다. 그런데, 이들 양자는 자칫 상호 충돌하기 쉬운 가치이지만, 2016년 GDPR은 양 가치의 중요성이 동등함을 명시적으로 규정하고 있다. 이러한 점에서, EU개인데이터보호법이 자칫 개인데이터 ‘보호’만을 목적으로 한다고 간주하는 것은 입법 목적을 제대로 파악하지 못한 것이 될 것이다. 따라서 EU개인데이터보호법은 EU에서의 개인데이터의 ‘보호’와 함께 그 ‘이동’, 즉 ‘유통=이용’도 또 다른 중요한 목적으로 삼고 있다고 할 수 있다. 다만, EU개인데이터보호법에서의 개인데이터의 자유로운 이동은 ‘EU 역내’(within the Union)의 범위로 제한되어 있음을 유의할 필요가 있다(GDPR 제1조 제3항 참조).
그런데, 개인데이터보호권은 절대적 권리가 아니며, 사회에서의 그 기능과 관련하여 비례성 원칙에 따라 다른 기본권과 형량되어야 한다. 2016년 GDPR은 모든 기본적 권리와 자유를 존중하며, EU기본권헌장에서 인정된 원칙들, 특히 사생활 및 가족생활, 가정과 소통 존중권, 개인데이터보호권, 사상, 양심 및 종교의 자유, 표현 및 정보의 자유, 사업을 영위할 자유, 실효적인 권리구제 및 공정한 재판, 그리고 문화적, 종교적 및 언어적 다양성에 대한 권리 등을 존중한다.
한편, EU개인데이터보호법을 구성하는 것은 일반법으로서의 2016년 GDPR 이외에도 여러 개별 영역에서의 특별법적 성격을 가진 법령들이 존재하고, 이들 법령은 각각의 특별한 입법 목적을 가진다고 할 수 있다. 예컨대, 2002년 전자통신분야지침은 “본 지침은 전자통신 분야에서의 개인데이터 처리와 관련하여 기본적 권리 및 자유, 그리고 특히 프라이버시권의 동등한 수준의 보호를 보장하고, 공동체에서의 이러한 데이터와 전자통신 장비 및 서비스의 자유로운 이동을 보장하기 위해 요구되는 회원국들의 법조항을 조화시킨다.”(제1조 제1항)고 규정하고 있다. 따라서 동 지침의 입법 목적은 ‘전자통신 분야’에서의 개인데이터 처리에 있어서의 ‘프라이버시권의 보호’와 ‘개인데이터와 전자통신 장비 및 서비스의 자유로운 이동’을 그 기본 목적으로 하고 있다고 할 수 있다. 다시 말하자면, ‘전자통신’이라는 특수한 분야이지만, 거기에서의 ‘프라이버시권의 보호’와 ‘개인데이터의 자유로운 이동’이라는 점에서 위의 2016년 GDPR의 입법 목적과 궤를 같이 한다고 할 수 있을 것이다.
제2절 EU개인데이터보호법의 적용범위
EU개인데이터보호법이 적용되는 범위와 관련하여서는 인적, 물적, 영토적(지역적) 범위로 나누어 살펴보기로 한다.
1. 인적 적용범위
(1) 2016년 GDPR은 “개인데이터 처리에 대하여 자연인의 보호와 관련되는 규정”(제1조 제1항)을 정하고, “자연인의 기본적 권리와 자유, 특히 개인데이터보호권을 보호”(동 조 제2항)함을 명문으로 규정하고 있다. GDPR은 자연인에 대해서만 그 보호의 대상으로 상정하고 있다고 할 수 있다. 이러한 자연인은 국적 및 거주지에 관계없이 그 개인데이터는 보호된다. 따라서 사자(死者)나 법인 등 자연인이 아닌 자의 개인데이터는 그 보호대상에서 제외된다. 또한, 자연인이면 적용대상이 되고, EU시민인지 여부는 묻지 않는다.
(2) 그러나, 특별법에서는 자연인이 아닌 법인에 대해서도 보호의 대상임을 명문의 규정을 두고 있는 경우가 있다. 예컨대, 2002년 전자통신분야지침은 “법인인 가입자들의 정당한 이익 보호”(제1조 제2항)를 명시하고 있는 것을 들 수 있다.