국내 기업이 EU 시장에 서비스를 내보낼 때 GDPR을 피해갈 방법은 거의 없다. 그런데 막상 찾아보면 조문 수만 99개에 이르고, 거기에 감독기구 가이드라인까지 줄줄이 따라붙는다. 처음 접하는 사람 입장에서 어디서부터 잡아야 할지 막막한 게 당연하다. 한국인터넷진흥원(KISA)과 개인정보보호위원회가 2022년에 발간한 우리 기업을 위한 2022 EU 일반 개인정보보호법(GDPR) 가이드북을 훑으면서 먼저 배경과 핵심 개념부터 정리해 봤다. 이번 상편은 GDPR이 왜 만들어졌고, 누구에게 적용되며, 어떤 개념 틀 위에서 작동하는지까지다. 실제 의무 사항이나 역외 이전 규정은 하편에서 다룬다.
1995년 지침에서 GDPR로
GDPR은 1995년에 도입된 EU 개인정보보호 지침(Data Protection Directive 95/46/EC)을 대체하며 2018년 5월부터 발효됐다. 지침(Directive)이 문제였던 건 각 회원국이 자국법으로 옮겨 적으면서 해석과 집행 수준이 제각각이었다는 점이다. 같은 EU 안에서도 어느 나라에 법인을 두느냐에 따라 규제 강도가 달랐다. GDPR은 지침이 아니라 규정(Regulation)이다. 회원국의 별도 입법 없이 전역에 직접 효력이 생긴다는 의미다.
강화된 제재도 눈에 띈다. GDPR 규정의 심각한 위반의 경우 직전 회계연도의 전 세계 매출액 4% 또는 2천만 유로 가운데 더 큰 금액을 부과하며, 일반적 위반의 경우 매출액 2% 또는 1천만 유로 가운데 더 큰 금액이 부과된다. 글로벌 매출 기준이라는 점이 핵심이다. 국내 매출만 따지는 게 아니다.
가이드북 자체의 발간 연혁도 짧지 않다. 2017년 KISA가 안내서와 1차 가이드라인을 먼저 냈고, 2018년에 이를 통합한 개정판이 나왔다. 이후 2020년판을 거쳐, 2022년판은 한국에 대한 EU의 적정성 결정(Adequacy Decision), 표준계약조항(SCC) 개정, 브렉시트 이후 영국 정책 변경 사항 등을 추가로 담은 증보판이다. 이 이야기들은 하편에서 더 자세히 다룬다.
개인정보, 컨트롤러, 프로세서
GDPR을 읽으려면 세 가지 개념부터 잡아야 한다. 개인정보, 컨트롤러, 프로세서다.
개인정보(personal data)는 식별되거나 식별 가능한 자연인(정보주체)과 관련된 모든 정보를 말한다. 식별 가능하다는 건 직접적으로든 간접적으로든 특정 개인을 가려낼 수 있다는 뜻이다. 기존 지침에서 명시적으로 다루지 않았던 온라인 식별자, 위치정보, 유전정보 등도 개인정보 범위에 포함됐다.
컨트롤러(Controller)는 개인정보 처리의 목적과 수단을 결정하는 주체다. 쉽게 말하면 "왜, 어떻게 쓸지"를 정하는 쪽이다. 프로세서(Processor)는 컨트롤러를 대신하여 개인정보를 처리하는 자연인이나 법인, 기관 등을 말한다. 예를 들어 고객 데이터를 모으는 서비스 회사가 컨트롤러라면, 그 데이터를 넘겨받아 분석이나 저장을 처리하는 클라우드 업체가 프로세서에 해당한다.
이 구분이 왜 중요하냐면, GDPR은 컨트롤러뿐 아니라 프로세서에게도 다수의 규정을 직접 적용하고, GDPR 요구사항을 충족하지 못할 경우 정보주체로부터 배상을 요구받을 수 있기 때문이다. 수탁자니까 괜찮다는 논리가 통하지 않는다.
누가 GDPR의 적용을 받나
적용 범위를 잘못 이해하는 경우가 많다. EU에 법인이 없으면 상관없다고 생각하기 쉬운데, 그렇지 않다. GDPR은 설립 기준과 타겟팅 기준, 두 가지 축으로 적용 범위를 정한다.
설립 기준은 EU 내에 사업장을 둔 컨트롤러나 프로세서의 처리 활동에 적용된다. 타겟팅 기준은 EU 밖에 있더라도 걸린다. 우리나라 기업이 EU 거주자에게 직접 상품이나 서비스를 제공하면서 EU 거주자의 개인정보를 취급하는 경우, EU 역외의 사업자라 하더라도 GDPR의 적용대상이 된다(GDPR 제3조 역외적용).
EU 역외에 설립되어 있더라도 EU 내 정보주체에게 상품이나 서비스를 제공하거나, EU 내에서 발생하는 정보주체의 행동을 감시하는 경우의 개인정보 처리로 GDPR 적용 범위가 확대된다. 국내 쇼핑몰이 유럽 결제를 받거나, 앱이 EU 이용자의 행동을 추적한다면 이미 여기에 해당할 수 있다.
6가지 처리 원칙
GDPR이 규정하는 기본 원칙도 짚어두자. 개인정보를 처리하는 경우 적법성·공정성·투명성 원칙, 수집 목적 제한의 원칙, 개인정보 최소화 원칙, 정확성 원칙, 저장제한 원칙, 무결성 및 기밀성 원칙 등 6가지 원칙을 모두 준수하여야 한다. 컨트롤러는 이와 같은 원칙을 준수함을 증명해야 한다. 증명 책임이 기업 쪽에 있다는 게 포인트다. "위반하지 않았음을 당신이 입증하라"는 구조다.
이 중 투명성 원칙은 처리의 적법성과 묶여서 돌아간다. 정보주체가 자신의 개인정보가 어떻게 처리되는지 알 수 있어야 하고, 그것이 처리 적법성을 구성하는 하나의 축이다.
WP29와 EDPB
GDPR을 공부하다 보면 WP29와 EDPB라는 기관이 계속 등장한다. 간단히 정리하면, 제29조 작업반(WP29)은 GDPR의 전신인 1995년 지침에 의거해 설립된 독립 자문 기구다. EDPB는 이 WP29를 대체하며, 2018년 5월 25일 GDPR 시행과 함께 역할을 이어받았다.
EDPB는 EU 전역에서 개인정보보호 규정이 일관되게 적용되도록 감독하는 독립 기구다. 각 EU 회원국의 감독기구 대표와 유럽 개인정보보호 감독관(EDPS)으로 구성된다. EDPB가 발행하는 가이드라인은 법령 자체는 아니지만, 각국 감독기구와 기업이 GDPR을 해석하는 데 실질적인 기준이 된다.
WP29 시절 발표된 가이드라인들, 즉 동의 가이드라인, 투명성 가이드라인, 개인정보 영향평가(DPIA) 가이드라인, DPO 가이드라인 등은 EDPB가 승인한 범위에서 지금도 유효하게 참고된다.
'privacy > 해외' 카테고리의 다른 글
| [privacy] Reddit, 아동 개인정보 방치로 1,447만 파운드 과징금 부과 (0) | 2026.03.06 |
|---|---|
| [privacy] 구글 프라이버시 샌드박스 이야기 (0) | 2026.02.25 |
| [privacy] CCPA, 적용 대상이라면 실제로 무엇을 해야 할까? (0) | 2025.08.01 |
| [privacy] CCPA, 우리 회사에 적용될까? (0) | 2025.07.28 |
| [privacy] GDPR, 기업이 실제로 해야 할 것들 (0) | 2025.07.03 |