지난 13일, 'EU 개인정보보호법 - GDPR을 중심으로'의 저자인 김경환 변호사가 출판 기념 세미나에서 강연한 자료입니다. 김 변호사는 강연을 통해 EU GDPR이 국내에 미치는 직간접적 영향에 대해 상세히 설명하였습니다.

1. EU GDPR의 국내적 영향
법무법인 민후 김경환 변호사

2. - 2 -
개 요
직접적 영향 역외 적용 받는 우리 기업1. ( )
규율의 체계 단일화 및 적용범위 확대1-1. EU
개인정보 활용 기반의 확대1-2.
개인정보 보호체계의 강화1-3.
정보주체 권리 보호의 강화1-4.
법집행 실효성 및 책임성 강화1-5.
간접적 영향 국내 개인정보보호 기관 국내 정보주체 등2. ( , )
법체계에 대한 검토2-1.
개인정보 규율구조에 대한 검토2-2.
개인정보 환경변화에 대한 적응2-3.
개인정보 보호와 활용의 조화 노력2-4.
결어3.

3. - 3 -
직접적 영향1.
역외 적용 받는 우리 기업( )

4. - 4 -

5. - 5 -
규율의 체계 단일화 및 적용범위 확대1-1. EU
o 규율 체계의 단일화EU
회원국마다 상이한 개인정보보호 법령을 통일하고 일원화함-
다만 에서 허용되는 범위 안에서 회원국의 강화 입법 보장함- GDPR
o 규율 체계의 단일화에 따른 후속 제도 도입EU
제도- one-stop-shop 제 장( 6 )
일관성 메카니즘- 제 장 제 절( 7 2 )
유럽개인정보보호이사회 의 신설- (European Data Protection Board) 제 장 제 절( 7 3 )

6. - 6 -
o 규율의 적용범위 확대EU
역외적용 조문- 제 조( 3 )
내 정보주체에게 상품이나 서비스를 제공하는 경우 내 발생하는 정보- EU + EU
주체 행동을 감시하는 경우
o 역외적용 실질화 제도
역내 대리인 지정 의무- (제 조 제 호 제 조4 17 , 27 예외 있음, )
대상 역외의 컨트롤러 또는 프로세서에 대한 역내 대리인- : EU
형식 서면으로 지정 의무- :
권한 개인정보 처리에 관련된 모든 사항- : GDPR
한계 역내 대리인이 지정되었다고 하여 컨트롤러 등에 대한 법적 조치가 침해- :
되지 않아야 함

7. - 7 -
개인정보 활용 기반의 확대1-2.
o 가명처리의 도입 및 활용
가명처리의 도입- 제 조 제 호( 4 5 )
활용 수집 목적 외 처리의 전제- : 제 조( 6 ) 또는, data protection by design data
의무의 충족protection by default 제 조( 25 ) 적절한 보안수준 조치, 제 조( 32 ) 공익을,
위한 목적 과학 역사 연구의 목적 또는 통계 목적 개인정보 처리의 전제, ㆍ 제( 89
조)
o 프로파일링과 자동화된 개인 결정
원칙적으로 허용됨 견해 대립- ( )
다만 정보주체는 처리반대권과 자동화된 개인 결정에 따르지 않을 권리를 행사-
할 수 있음

8. - 8 -
o 추가처리 허용과 목적 외 처리
추가처리 의 허용 제 조 제 항 가명처리 포함 의 공익 목- (further processing) : 89 1 ( )
적의 기록 보존 과학적 또는 역사적 연구 또는 통계 목적의 추가처리는 초기ㆍ
의 목적과 일치하는 것으로 봄 제 조( 5 )
목적 외 처리의 허용 사유- 제 조 제 항( 6 4 )
정보주체의 동의
법령에 근거한 경우
다음을 고려하여 초기 목적과 일치한다고 판단한 경우 일반규정( )
초기 목적과 추가 처리의 목적 사이의 관련성(a)
정보주체와 컨트롤러의 관계와 관련하여 개인정보가 수집된 맥락(b)
개인정보의 성격(c)
추가 처리가 정보주체에 대하여 야기할 수 있는 결과(d)
암호화 또는 가명처리를 포함한 적절한 안전장치의 존재(e)

9. - 9 -
o 개인정보의 국외 이전
- 적절성 평가에 대한 사후 감시 및 철회 근거 신설 제 조 적정성 결정에 근거한 이전( 45 , )
감독당국이 채택하는 표준조항 신설- 제 조 적절한 안전장치에 따른 이전( 46 , )
승인된 인증이나 행동강령 신설- 제 조 적절한 안전장치에 따른 이전( 46 , )
소관 감독당국은 조건을 만족하는 를 승인하는 과정에서 일관성 메커니즘- BCR
거쳐야 함 제 조 구속력 있는 기업규칙( 47 , )
제 국의 법원 또는 행정당국의 결정에 따른 국외이전- 3 제 조( 48 )
제 자의 중대한 이익을 보호하기 위한 국외이전- 3 제 조 특정상황을 위한 예외( 49 , )
컨트롤러의 정당한 이익을 위한 국외이전- 제 조 특정상황을 위한 예외( 49 , )

10. - 10 -
개인정보 보호체계의 강화1-3.
o 개인정보보호책임자 의 지정 의무(DPO) 제 조 제 조( 37 ~ 39 )
의무인 경우 개인정보 처리가 공공당국 또는 기관에 의해 수행되는 경우 정- : ,
보주체에 대한 대규모의 정기적이고 체계적인 감시의 경우 민감정보나 범죄경,
력 및 범죄 행위에 대한 대규모의 처리
공동 제도 사업체 집단은 공동으로 명 지정 가능- DPO : 1
는 직원이거나 아웃소싱 가능- DPO
o 인증 제도 제 조 제 조( 42 ~ 43 )
인증제도의 목적 컨트롤러와 프로세서의 처리작업이 본 규칙을 준수함을 입증- :
할 목적으로 의무 사항은 아님
인증의 유효기간 년- : 3
인증마크 부여-

11. - 11 -
o 행동강령과 자율규제 제 조 제 조( 40 ~ 41 )
- 특정한 산업 분야 또는 각 산업 분야의 개인정보 처리를 대표하는 그룹이 해당 산업
분야의 개인정보 처리와 관련하여 을 준수하기 위하여 마련하는 자율적 규범GDPR
의무 사항은 아니나 준수 입증 요소로 중요한 역할을 함- , GDPR
행동강령은 정보주체 등 이해관계인과의 협의를 통해 작성하고 감독당국의 승- ,
인을 얻어야 함
o 개인정보영향평가 제 조( 35 )
개인정보 처리 전에 예상되는 위험 등을 평가하는 절차 특히 새로운 기술을 사- .
용하는 처리의 유형이 자연인의 권리와 자유에 대한 높은 위험을 초래할 것 같
은 경우에 필요
프로파일링을 포함한 자동화된 처리 민감정보 처리 등의 경우에 의무- ,

12. - 12 -
o 또는Privacy by Design Privacy by Default 제 조( 25 )
컨트롤러의 의무-
개인정보보호 중심 디자인 개인정보보호의 원칙을 효과적 방식으로 이행하고- :
본 규칙의 요건을 충족하고 정보주체의 권리를 보호하기 위해 필요한 적절한
기술적 및 관리적 조치
- 개인정보보호 중심 기본설정 기본설정을 통하여 처리의 개별 특정 목적을 위해:
필요한 개인정보만이 처리되는 것을 보장하기 위한 적절한 기술적 및 관리적 조치
o 개인정보 유출 신고 및 통지 제도 제 조 제 조( 33 ~ 34 )
컨트롤러의 침해 신고 의무 부당한 지체 없이 시간 내 다만 개인정보 침해- : 72 (
가 자연인의 권리와 자유에 대한 위험을 초래하지 않는 경우는 예외)
프로세서의 침해 신고 의무 부당한 지체 없이- :
통지 침해로 자연인의 권리와 자유에 대한 높은 위험을 초래할 것이 예상되는- :
경우 부당한 지체 없이,

13. - 13 -
o 민감정보 및 아동정보의 처리 제한 제 조 제 조( 9 , 22 )
민감정보 인종이나 민족 기원 정치적 견해 종교나 철학적 믿음 노조 가입을- : , , ,
드러내는 개인정보 유전정보+ 제 조 제 호( 4 13 ) 바이오정보+ 제 조 제 호( 4 14 ) 건강+
관련 정보 제 조 제 호( 4 15 ) 자연인의 성생활 또는 성적취향에 관한 데이터+
민감정보는 명시적 동의 또는 법이 허용하는 경우에 프로파일링 또는 자동화된- ‘ ’
개인 결정 가능
아동정보는 프로파일링 또는 자동화된 개인 결정 불가-

14. - 14 -
정보주체 권리 보호의 강화1-4.
o 동의의 조건 제 조 제 조( 7 ~ 8 )
동의의- 유효성 및 증거에 의한 입증
컨트롤러는 동의에 대한 입증책임을 부담함-
을 위반하는 의사표시는 효력이 없음- GDPR
동의의 자유로운 철회-
계약 이행에 불필요한 동의를 조건으로 내세운 경우 자유로운 동의가 아닐 수-
있음
아동은 만 세 미만 회원국은 더 낮게 낮출수 있으나 세 미만은 안 됨- 16 . 13

15. - 15 -
o 정보주체의 권리 제 조 제 조( 12 ~ 22 )
배경 개인정보 환경의 변화 및 새로운 정보처리 기술의 발달- :
정보주체의 권리-
정보 를 제공받을 권리(information) 조(13~14 )
정보 열람권 접근권( ) 조(15 )
정정권 조(16 )
 삭제권 조(17 )
처리 제한권 조(18 )
 정보 이동권 조(20 )
 처리 반대권 조(21 )
 프로파일링 등 자동화된 개인 결정에 따르지 않을 권리 조(22 )
- 빅데이터 또는 알고리즘에 대한 권리 제 조( 22 )
인적 개입을 요구할 권리
정보주체가 자신의 견해를 표명할 권리
결정에 대한 설명을 요구하고 이의할 수 있는 권리

16. - 16 -
법집행 실효성 및 책임성 강화1-5.
o 과징금 제 조( 83 )
전세계 연간 매출액 또는 천만 유로 중 큰 금액- 4% 2
동의 를 비롯한 정보처리의 기본 원칙을 위반한 경우‘ ’ 제 조 제 조 제 조 및 제( 5 , 6 , 7 9
조 위반)
정보주체의 권리를 보장하지 않는 경우 제 조 부터 제 조 위반( 12 22 )
제 국이나 국제기구의 수령인에게로 개인정보를 이전할 때 준수해야 할 규정3
을 위반한 경우 제 조 부터 제 조 위반( 44 49 )
전세계 연간 매출액 또는 천만 유로 중 큰 금액- 2% 1
컨트롤러 프로세서의 의무를 위반한 경우, 제 조 제 조 제 조 내지 제 조 제( 8 , 11 , 25 39 , 42
조 제 조 위반, 43 )
인증기관의 의무를 위반한 경우 제 조 제 조 위반( 42 , 43 )
감시기관의 의무를 위반한 경우 제 조제 항 위반( 41 4 )

17. - 17 -
o 프로세서의 책임 제 조( 28 )
은 년 지침과 달리 프로세서의 의무를 규정하고 있음 따라서 프로세서- GDPR 95 .
도 행정 제재나 손해배상 청구의 상대방이 될 수 있음
통상 컨트롤러와 프로세서가 같이 책임을 지게 됨-
프로세서가 처리의 목적 및 수단을 결정하여 본 규칙을 위반한다면 프로세서는- ,
그 처리와 관련하여 컨트롤러로 간주됨
o 정보주체의 구제수단
감독당국에 민원을 제기할 권리- 제 조( 77 )
감독당국에 대하여 효과적인 사법구제를 받을 권리- 제 조( 78 )
컨트롤러 또는 프로세서에 대하여 효과적인 사법구제를 받을 권리- 조(79 )
손해배상을 받을 권리- 조(82 )

18. - 18 -
간접적 영향2.
국내 개인정보보호 기관 정보주체 등( )ㆍ

19. - 19 -
법체계에 대한 검토2-1.
는 개인정보에 관한 법을 통일하고 일원화함o EU (Digital Single Market Strategy)
법적 국경이나 장막의 제거⇒
o 우리나라의 현황
현재 국가에 분화된 법적 영역 개인정보보호법 정보통신망법 신용정보법- 1 3 ( , , )
한 정보처리자는 각 부서별로 분화된 법의 적용 또는 배의 법령 적용을 받는- 3 3
상황
각 법의 법적 모순 사회적 모순이나 형평성 문제 발생- ⇒
법실효성 저하 및 법자원 중복 문제 심각-
o 법체계에 대한 검토
주무기관 법 체제 주무기관 법 체제 제안- 3 3 3 1⇒

20. - 20 -
개인정보 규율구조에 대한 검토2-2.
o 우리나라의 현황 생명주기별 규율( )
수집 이용의 적법 사유- ㆍ 개인정보보호법 제 조 가지( 15 , 6 ) 제공의 적법 사유+ 제 조 제( 17
항 가지1 , 4 ) 목적 외 이용 제공의 적법 사유+ ㆍ 제 조 제 항 가지( 18 2 , 9 ) 위탁의 적법+
사유 정보통신망법 제 조 가지( 25 , 2 )
민감정보의 적법 사유- 개인정보보호법 제 조 가지( 23 , 2 )
o 의 현황GDPR 간이한 구조( )
- 처리의 적법 사유 제 조 제 항 가지( 6 1 , 6 ) 목적 외 처리의 적법 사유+ 제 조 제 항 가지( 6 4 , 3 )
민감정보 처리의 적법 사유- 제 조 가지( 9 , 10 )
o 개인정보 규율구조에 대한 검토
세세한 규율구조는 법실효성을 떨어뜨릴 수 있음-
우리법의 적법사유는 대부분 공공기관을 위한 적법사유가 다수임-
규율구조를 간이화하고 민간기업을 위한 적법사유에 관심을 가져야 할 것임- ,

21. - 21 -
개인정보 환경변화에 대한 적응2-3.
o 우리나라의 현황
변화하는 개인정보 환경에 적응하지 못함-
그간 개인정보보호체계 나 법집행실효성 책임성 중심의 개정에 치중했음- ‘ ’ ‘ ’ㆍ
특히 빅데이터 인공지능 등의 기술 변화에 대응한 개정 노력이 없었음- , , IoT
o 개인정보 환경변화에 대한 입법적 적응
입법적으로 정보처리기술의 발달 등 변화하는 개인정보 환경에 적응할 필요가-
있음
개인정보활용기반 이나 정보주체권리보호 에 대한 관심 필요- ‘ ’ ‘ ’
예컨대 가명처리- 개인정보활용기반( ) 또는 빅데이터 알고리즘에 대한 정보주체의ㆍ
권리 정보주체권리보호( ) 등

22. - 22 -
개인정보 보호와 활용의 조화2-4. 영원한 숙제( ) 노력

23. - 23 -
결 어3.

24. - 24 -
이 무조건 옳은 게 아니라GDPR
그 장점을 흡수하여 우리 실정에 맞게 발전시켜야 함