GDPR(General Data Protection Regulation, 유럽 일반 개인정보보호규정)의 시행된지 2개월이 넘어가고 있으나, 우리나라 기업들의 준비는 많이 미약하다.
특히 EU 내 처리되는 개인정보 양이 적거나 또는 매출이 적은 경우, GDPR 대응 개인정보컨설팅을 받는 것이 타당한지에 대한 딜레마적 상황에 빠지기도 한다.
이 글에서는 GDPR이 적용되는 기업은 어떤 기업인지 정리해보고자 한다.
즉 GDPR의 물적범위(제2조)와 영토적범위(제3조)를 정리함으로써 GDPR이 적용되는 기업과 그렇지 않은 기업을 분류한다.
1. 자동화된 수단에 의한 개인정보 처리에는 GDPR이 적용된다.
자동화된 수단이란 수동적 처리가 아닌 수단을 의미한다. DB를 이용하여 처리하는 등은 자동화된 수단에 의한 개인정보 처리에 해당한다. 전체가 자동화된 수단에 의하여 처리될 필요가 없고, 일부라도 자동화된 수단에 의하여 처리되면 GDPR이 적용된다.
2. 수동적 처리는 원칙적으로 GDPR이 적용되지 않는다.
수동적 처리는 GDPR이 적용되지 않는 것이 원칙이다. 다만 예외가 있다.
개인정보의 체계적 관리를 위한 파일링시스템을 구성하거나 구성할 의도로 취합한 경우는 수동적 처리에도 GDPR이 적용된다. 예를 들어 이름이나 생년월일 순서로 정리되어 있는 서류는 파일링시스템이므로 이 경우는 수동적처리에도 GDPR이 적용된다.
3. 개인적 또는 가사 활동을 위한 개인정보 처리는 GDPR이 적용되지 않는다.
우리나라 개인정보보호법 역시 '업무처리 목적'으로 개인정보를 처리하는 경우에만 개인정보보호법이 적용되는 것처럼, GDPR 역시 업무처리 목적으로 개인정보를 처리하는 경우에만 적용된다.
예컨대 개인이 SNS 활동을 하는 경우, 개인적인 메일 등에서 개인정보가 처리되는 경우는 GDPR은 적용되지 않는다. 다만 어떠한 활동이 사업 목적과 개인적 목적 양자를 포함한다면 GDPR은 적용된다.
4. EU 기업이 아닌 경우에는 원칙적으로 GDPR이 적용되지 않는다.
GDPR은 EU 기업에게 적용되는 것이 원칙이다.
다만 예외적으로 EU 시민의 입장에서도 봐야 하기 때문에 EU 기업이 아니라도 EU 시민과 관련이 있다면 GDPR이 적용된다.
예를 들어, 1) EU 시민에게 상품이나 서비스를 제공하는 경우, 2) EU 내 시민 행동의 모니터링과 관련된 경우에는 EU 기업이 아니라도 GDPR이 적용된다.
EU 시민에서 상품이나 서비스를 제공하고 있다면, 그 대가가 있던지 아니면 무료이든지 상관없이 GDPR은 EU 기업이 아닌 경우에도 적용된다.
그렇다면 EU 시민에서 상품이나 서비스를 제공하는 것을 어떻게 확인할 수 있는가? 통상 웹사이트에서 프랑스 언어를 제공하고 있다면 프랑스 시민에게 상품이나 서비스를 제공하고 있다고 보며, 독일 마르크로 결제가 가능하다면 독일 시민에서 상품이나 서비스를 제공하고 있다고 볼 수 있다.
또한 미국 기업이 EU 내 시민의 행동에 대하여 트랙킹을 하거나 프로파일링을 한다면 미국 기업이라도 GDPR이 적용된다.
통상 GDPR의 적용범위는 매우 광범위하기 때문에 EU 시민과 관련이 있다면 GDPR의 대응을 하는 게 맞다고 본다.
* 법무법인 민후 김경환 대표변호사 작성, 블로그(2018. 8. 12.) 기고.