GDPR EU개인정보보호 가이드: 적용대상

장건 변호사(한국/미국)

BNL Law

상담신청: https://www.bnl.legal/contacts

기타문의: official@bnl.legal

 

GDPR 개인정보 보호 규정은 회사 자체에 대한 데이터에도 적용되나요?

아닙니다.

 

GDPR 개인정보 보호 규정은 개인에 대한 개인정보에만 적용되며, 회사나 기타 법인에 대한 데이터에는 적용되지 않습니다.

 

다만, 예를 들어, **1인 회사(one-person company)**와 관련된 정보가 개인을 식별할 수 있게 하는 경우, 이는 개인정보로 간주되어 규정의 적용을 받을 수 있습니다.

 

또한, 이 규정은 직업적 활동 중 생성되는 개인의 모든 개인정보에도 적용됩니다. 예를 들어, 회사 또는 조직의 직원, '이름@회사.eu' 형식의 업무용 이메일 주소, 또는 직원의 업무용 전화번호 등에도 적용됩니다. 

 

GDPR은 누구에게 적용되나요?

GDPR은 다음과 같은 경우에 적용됩니다:

1. EU에 설립된 지점(branch)을 통해 개인정보를 처리하는 회사 또는 단체.
   • 데이터가 실제로 어디에서 처리되었는지와 관계없이 적용됩니다.
2. EU 외부에 설립된 회사라도 다음에 해당하면 적용됩니다:
   • EU 내 개인에게 상품이나 서비스를 제공하는 경우 (무료 여부와 무관).
   • EU 내 개인의 행동을 모니터링하는 경우.

 

GDPR 적용 사례 예시

1. GDPR이 적용되는 경우

 

A회사는 교육 관련 온라인 서비스를 제공하는 소규모 기업이며, EU 외부에 본사를 두고 있습니다. 그러나 스페인 및 포르투갈어권 대학을 주요 대상으로 삼고 있고, 온라인 자료에 접근하기 위해 학생들이 가입 양식을 작성하고 사용자 이름 및 비밀번호를 부여받습니다. 이 경우, GDPR이 적용됩니다.

 

2. GDPR이 적용되지 않는 경우

 

B회사는 EU 외부에 소재한 서비스 제공업체이며, 주로 EU 외의 고객을 대상으로 서비스를 제공합니다. 고객이 EU에 여행하는 동안 서비스를 사용할 수는 있지만, EU 내 개인을 대상으로 서비스를 특정하여 마케팅하거나 제공하지 않는 경우, GDPR의 적용 대상이 아닙니다.

 

GDPR은 스타트업과 중소기업(SME)에도 적용되나요?

네, 개인정보 보호 규정의 적용 여부는 기업이나 조직의 규모가 아니라 활동의 성격에 따라 결정됩니다.

 

따라서 회사가 중소기업(SME)이라 하더라도, 위와 같은 방식으로 개인정보를 처리하는 경우라면 GDPR을 준수해야 합니다.

다만, 개인정보 처리가 기업의 "핵심 부분"이 아니고, 그 활동이 개인에게 위험을 초래하지 않는 경우에는 GDPR의 일부 의무가 적용되지 않을 수 있습니다.

 

여기서 ‘핵심 부분’이란, 개인정보 처리가 사업 수행에 필수적이거나 본질적인 부분을 차지하는 경우를 의미합니다.

 

예를 들어, 직원 수가 250명 미만인 기업은 다음의 경우를 제외하고는 개인정보 처리 활동에 대한 기록을 유지할 의무가 없습니다:

• 개인정보 처리가 정기적으로 이루어지는 경우.
• 개인정보 처리가 개인의 권리와 자유에 위협이 되는 경우.
• 민감정보 또는 범죄 기록을 처리하는 경우.

또한, 중소기업이 개인정보 보호 책임자(DPO)를 반드시 지정해야 하는 경우는 다음과 같습니다:

• 개인정보 처리가 해당 기업의 주요 사업 활동인 경우.
• 해당 처리가 개인의 권리와 자유에 특정한 위험을 초래하는 경우 (예: 개인에 대한 모니터링, 민감정보 또는 범죄 기록의 대규모 처리 등). 

 

상담신청: https://www.bnl.legal/contacts

기타문의: official@bnl.legal

 

관련글: https://kunchang.tistory.com/59

미국 Privacy Policy 체크리스트 (캘리포니아주)

관련글: https://kunchang.tistory.com/121

한국 개인정보처리방침 체크리스트