본문으로 바로가기

전체보고서

발간물

목록으로
연구자료 EU GDPR 위반사례의 분석과 시사점 EU GDPR, 개인정보보호

저자 이규엽, 엄준현 발간번호 20-05 자료언어 Korean 발간일 2020.11.20

원문보기(다운로드:2,022) 저자별 보고서 주제별 보고서

   이 보고서는 EU GDPR 위반사례에 관한 통계를 분석하고, EU 법원 판결문 및 개인정보 감독당국의 결정을 검토한 후, 판결 및 결정의 근거가 된 EU GDPR 조항과 국내법령을 비교분석하여 시사점을 도출했다.
   2018년 6월부터 2020년 10월까지 GDPR Enforcement Tracker가 제공한 위반사례 414건을 분석한 결과, EU GDPR 위반유형 중에서 데이터 처리에 대한 법적 근거 부족, 정보보안을 위한 기술적·조직적 조치 불충분, 일반데이터 처리원칙 불이행이 위반사례 건수의 약 75%를 차지하고 과징금액 비중의 98%를 차지한다. EU GDPR 관련 EU 법원의 선결적 판결을 기초로 수동적 동의의 유효성, EU와 미국 사이에서 개인정보 이전의 근거인 프라이버시 실드 제도의 유효성, 잊힐 권리의 인정 여부 및 지리적 적용 범위에 관해 검토하여 세 가지 주요 결과를 얻었다. 첫째, 미리 선택되어 있는 체크박스와 같은 수동적 동의는 유효한 동의가 아니다. 둘째, 정보기관에 대해 구속력 있는 결정을 내릴 수 없는 옴부즈맨 제도는 사법적 구제수단이 아니기 때문에 프라이버시 실드 제도는 무효다. 셋째, 잊힐 권리가 인정되며 이 권리의 행사에 따라 인터넷 검색 결과에서 삭제되어야 하는 지리적 범위는 전 세계가 아닌 EU 역내로 제한된다. EU 법원의 판결 및 EU GDPR 규정을 우리 법률 및 판례와 비교하면 유사점과 차이점이 나타난다. 우리 법률에 의하더라도 수동적 동의는 유효한 것으로 해석되지 않는다. 우리 법원도 정보주체의 동의 의사를 제3자가 객관적으로 확인할 수 있는지를 중요한 기준으로 언급했다.
   우리 개인정보보호법과 EU GDPR의 차이점은 개인정보 국외이전과 잊힐 권리에서 식별된다. 개인정보 국외이전은 우리 법률에서는 정보주체의 동의를 받는 경우에만 허용된다. 반면 EU GDPR에서는 정보주체의 동의가 없더라도 EU 집행위원회가 개인정보가 이전될 국가나 지역에서 적정한 보호 수준이 보장된다는 결정을 내린 경우 개인정보 역외이전이 허용된다. 그런데 정보주체의 동의라는 유일한 기준을 충족시킬 것을 요구하는 우리 법률이 개인정보보호라는 목적을 달성하는 데 충분하지 않은 반면, 개인정보의 활용에는 중대한 장애물이라는 시각도 있다. 개인정보가 아닌 우리 국민의 정보는 지금도 기업 사이의 약정을 통해 국외로 이전될 수 있다. 또한 개인정보와 개인정보가 아닌 정보 사이의 경계가 언제나 명확한 것은 아니다. 개인정보가 아닌 정보는 다른 정보와 용이하게 결합하여 개인을 특정할 수 없는 정보로 정의되지만, 결합에 소요되는 시간, 비용, 기술은 기술의 발달 등으로 인해 바뀔 수 있다. 그러므로 장기적으로는 우리나라도 EU와 같이 동의 이외에 개인정보 국외 이전의 근거가 될 적정성 평가제도의 도입에 대해 논의할 필요가 있다.
   우리 개인정보보호법과 EU GDPR의 또 다른 차이점은 잊힐 권리이다. 잊힐 권리는 EU 법원의 판례를 통해 먼저 인정된 후 EU GDPR에 명시되었다. 잊힐 권리에 대해 EU 법원은 “정보주체와 개인적으로 관련되는 정보가 일정 시간이 지난 현재 시점에서는 정보주체의 성명으로 검색하여 표시된 검색 결과에서 정보주체의 이름으로 더 이상 링크되지 않을 권리”라고 설명했다. 반면 우리 법률에는 잊힐 권리에 대한 명시적 근거가 없으며, 우리 법원도 잊힐 권리를 인정하지 않는다. 우리 법률이 EU GDPR과 차이가 있다는 사실이 우리 법률을 개정해야 한다는 것을 의미하지는 않는다. 특히 잊힐 권리의 경우 정보주체의 권리 측면뿐만 아니라 정보에 대한 접근의 자유, 학문, 예술, 언론의 자유와도 밀접한 관계가 있기 때문이다. 국가마다 사회마다 잊힐 권리를 인정할 것인지와 인정하더라도 어떤 내용과 범위로 인정할 것인지는 달라질 수밖에 없다. 그러므로 잊힐 권리와 관련해서는 개인정보보호 분야 외에 시민단체, 언론계 등의 전문가들도 포함한 광범위한 논의가 필요하며 동시에 EU 등 주요국의 동향에도 지속적으로 주목할 필요가 있다.
   EU GDPR의 위반사례가 지속적으로 늘어날 것으로 예상되므로 우리 기업과 정부의 적극적인 대비와 함께 개인정보의 국외이전에 따른 부과사례에 관한 연구가 필요하다. 또한 미국을 포함한 여러 국가가 EU GDPR을 개인정보보호 분야의 중요한 표준으로서 참고하는 추세이므로, 우리나라도 국내 데이터 관련 법률을 정비하고 개선하기 위한 노력이 요구된다. 이 보고서에서 식별한 우리 법률과 EU GDPR의 차이점을 기초로 개인정보의 국외이전을 위한 다양한 근거 허용 여부와 국외로 이전된 개인정보에 대한 효과적인 보호 방안에 관한 논의가 확산되길 기대한다.
  This report reviews the preliminary judgments of the CJEU on the interpretation of the EU GDPR and compares them with Korean laws and precedents in order to derive implications related to the validity of passive consent, the basis for the transfer of personal data abroad, and the content and scope of application of the right to be forgotten. The CJEU have ruled that passive consent, such as preselected check boxes, is not a valid agreement. In addition, the ombudsperson mechanism which cannot make any decisions binding on intelligence agencies is not effective judicial redress. That is why the Privacy Shield, which was the basis for the transfer of personal data between the EU and the United States, is invalid. Finally, the deletion from search engines based on the right to be forgotten is restricted to the EU region, not the entire world.
  By comparing those precedents of the CJEU with Korean laws and precedents, the report provides the following implications. First, the passive consent was interpreted as invalid even if it was in accordance with Korean laws. Besides, the precedent is also in the same position, which shows important criterion was whether the data subject could objectively confirm the intention of the data subject. However, since Korean laws are less specific than the EU GDPR, it seemed necessary to supplement them. Second, the transfer of personal data to third countries or international organizations was allowed only when the data subject agreed. Otherwise, the EU GDPR recognized various other reasons besides the consent of the data subject. It is time that the supervisory authorities of Korean law should consider whether to allow other basis for the transfer of personal data or not. Last, there was a ruling that the right to be forgotten has not yet been introduced into Korean law. The right to correct and delete in Korean law is recognized only if the information is incorrect after the exercise of the right to read, and there is a difference from the right to be forgotten. Discussions on whether to introduce the right to be forgotten are needed.
국문요약

제1장 서론
1. 연구의 필요성과 목적
2. 연구의 내용과 구성
3. 연구의 차별성

제2장 EU GDPR 과징금 부과 현황
1. 시기별
2. 국가별
3. 위반유형별
4. 조항별

제3장 EU GDPR 관련 EU 법원의 판례
1. 독일소비자단체연합 대 플래닛49 사건: 수동적 동의  
  가. 사건의 배경  
  나. 독일 프랑크푸르트 암 마인 지방법원의 판단: 수동적 동의는 무효
  다. 독일 프랑크푸르트 암 마인 고등법원의 판단: 수동적 동의는 유효
  라. 독일연방법원: EU 법원에 선결적 판결 요청
  마. EU 법원의 판결: 수동적 동의는 무효
2. 아일랜드 당국 대 페이스북 아일랜드 사건: 개인정보 역외 이전
  가. 사건의 배경
  나. 아일랜드 개인정보 감독당국의 결정: 페이스북에 대한 조사 신청 기각
  다. 아일랜드 고등법원의 선결적 판결 요청과 EU 법원의 기각결정 무효판결
  라. 아일랜드 고등법원의 기각결정 취소판결 및 개인정보 감독당국의 조사
  마. 아일랜드 개인정보 감독당국의 요청에 따른 조사 신청서 변경
  바. 변경된 신청에 따른 당국의 소제기 및 법원의 선결적 판결 요청
  사. EU 법원의 판단: 프라이버시 실드 결정은 무효
3. 구글 스페인 및 구글 대 스페인 당국 사건: 잊힐 권리
  가. 사건의 배경
  나. 스페인 개인정보 감독당국의 결정: 일부 기각
  다. 스페인 고등법원의 선결적 판결 요청
  라. EU 법원의 판결: 잊힐 권리 인정
4. 구글 대 프랑스 당국 사건: 장소적 적용 범위
  가. 프랑스 개인정보 감독당국의 결정: 모든 국가의 구글 검색엔진에서 삭제
  나. 프랑스 최고행정법원의 선결적 판결 요청
  다. EU 법원의 판결: EU 역내에서의 구글 검색엔진에서 비참조(링크 삭제)
5. 소결

제4장 국내법령과의 비교
1. 수동적 동의
  가. 우리나라 법률에서 수동적 동의의 유효성 여부
  나. 우리 법원의 판례
2. 개인정보 국외 이전
  가. 우리나라 법률에서 개인정보 국외 이전 규정
  나. EU GDPR과 비교
3. 잊힐 권리
  가. 잊힐 권리의 정의
  나. 우리나라 법률에서의 잊힐 권리 인정 여부
  다. 우리나라 법률과 EU GDPR의 차이
4. 소결

제5장 결론

참고문헌

Executive Summary



판매정보

분량/크기, 판매가격
분량/크기 110
판매가격 7000 원

구매하기 목록

같은 주제의 보고서

공공누리 OPEN / 공공저작물 자유이용허락 - 출처표시, 상업용금지, 변경금지 공공저작물 자유이용허락 표시기준 (공공누리, KOGL) 제4유형

대외경제정책연구원의 본 공공저작물은 "공공누리 제4유형 : 출처표시 + 상업적 금지 + 변경금지” 조건에 따라 이용할 수 있습니다. 저작권정책 참조

콘텐츠 만족도 조사

이 페이지에서 제공하는 정보에 대하여 만족하십니까?

콘텐츠 만족도 조사

0/100