프라이버시

[해외정보인권] Statement on the processing of personal data in the context of the COVID-19 outbreak{/}유럽연합 개인정보보호 이사회(EDPB), COVID-19 발생 상황에서 개인정보 처리에 대한 성명서

By 2020/05/22 No Comments
번역오류는 policy 골뱅이 jinbo.net 으로 알려주세요.
제목 : COVID-19 발생 상황에서 개인정보 처리에 대한 성명서
원문제목 : Statement on the processing of personal data in the context of the COVID-19 outbreak
원문링크 : https://edpb.europa.eu/sites/edpb/files/files/news/edpb_statement_2020_processingpersonaldataandcovid-19_en.pdf
일시 : 2020년 3월 19일
작성 : 유럽연합 개인정보보호 이사회(EDPB)

 

유럽연합 개인정보보호 이사회(EDPB)는 다음과 같은 성명을 채택했다.

유럽 전역 정부, 공공 및 민간 단체들은 COVID-19를 억제하고 완화하기 위한 조치를 취하고 있다. 이런 활동들은 다양한 유형의 개인정보에 대한 처리를 포함할 수 있다.

개인정보 보호 규정들(예를 들어 GDPR)은 코로나바이러스 대유행과의 싸움에서 취해지는 조치들을 방해하지 않는다. 전염병과의 싸움은 모든 국가가 공유하는 소중한 목표인 바 최선의 방법으로 지원되어야 한다. 질병의 확산을 억제하고 세계의 많은 지역에 영향을 미치는 재앙에 대항하기 위해 현대적인 기술을 사용하는 것은 인류에게 이익이 된다. 그럼에도 불구하고 EDPB는 이러한 예외적인 시기에도 개인정보 처리자 및 취급자들은 정보주체의 개인정보를 보호해야 한다는 점을 강조하고자 한다. 따라서 개인정보의 적법한 처리를 보장하기 위해 몇 가지 고려사항을 염두에 두어야 하며, 어떠한 경우에도 이러한 상황에 취해진 모든 조치가 법의 일반 원칙을 존중해야 하고 돌이킬 수 없어서는 안된다는 점을 생각해야 한다. 비상사태란 이러한 제약이 비상시기에 비례적이고 제한적이라는 조건으로 자유의 제약을 정당화할 수 있는 법적 조건인 것이다.

 

1.처리의 적법성

 

GDPR은 광범위한 법률이며 COVID-19와 같은 상황에서도 개인정보 처리에 적용되는 규칙들을 규정하고 있다. GDPR은 전염병 상황에서 관할 공중보건 당국과 고용주들이 국내법 및 그에 따른 조건 하에서 개인정보를 처리할 수 있도록 허용한다. 예를 들어, 공중보건 분야에서 상당한 공익을 이유로 처리가 필요한 경우를 들 수 있다. 이런 상황에서는 개인의 동의에 의존할 필요가 없다.

1.1 관할 공공당국(예를 들어 공중보건 당국)이 특별한 범주를 포함한 개인정보를 처리하는 문제에 대하여, EDPB는 이것이 특히 국내법 및 GDPR에 포함된 조건에 따라 공공기관의 법적 의무에 해당하는 경우, GDPR 제6조 및 제9조가 이 개인정보의 처리를 가능하게 한다고 생각한다.

1.2 고용 상황에서는, 사업장의 보건 및 안전 관련 의무를 적용받는 고용주가 법적 의무의 준수를 위해 개인정보의 처리가 필요하거나 질병 및 기타 건강적인 위협에 대한 통제와 같은 공익을 위해 개인정보의 처리가 필요할 수 있다. 또한 GDPR은 유럽법 또는 국내법에 근거하여 공중 보건 분야에서 상당한 공익적 이유로 필요한 경우(제9조제2항제i호), 또는 전문46에서 명시적으로 전염병 통제를 언급하고 있듯이 정보주체의 중대한 이익을 보호할 필요가 있는 경우(제9조제2항제c호), 건강 정보 등 특정 범주 개인정보의 처리 금지에 대한 완화를 예견하고 있다.

1.3 위치정보와 같은 통신 데이터의 처리 문제에 있어서, 전자프라이버시 지침(ePrivacy Directive)을 구현하는 국내법들 또한 존중되어야 한다. 사업자는 원칙적으로 익명화되었거나 개인의 동의 하에서만 위치정보를 사용할 수 있다. 그러나, 전자프라이버시 지침 제15조는 회원국들이 공공안전을 보호하기 위한 입법조치를 도입할 수 있도록 했다. 이러한 예외적인 입법은 민주사회 내에서 필요하고 적절하며 비례적인 조치를 취할 때만 가능하다. 이러한 조치들은 유럽연합 기본권헌장과 유럽인권협약에 따라야 한다. 나아가 이는 유럽사법재판소와 유럽인권재판소의 사법적 통제를 받는다. 비상사태의 경우에도, 당면한 비상사태의 지속기간으로 엄격히 제한되어야 한다.

 

2. 개인정보 처리와 관련된 핵심 원칙

 

추구하는 목적을 달성하기 위해 필요한 개인정보는 구체적이고 명시적인 목적으로 처리되어야 한다.

또한 정보주체는 수집된 정보의 보존 기간 및 처리의 목적 등 수행 중인 처리 활동과 그 주요 기능에 대해 투명한 정보를 받아야 한다. 제공되는 정보는 쉽게 접근할 수 있어야 하며 명확하고 쉬운 언어로 제공되어야 한다.

개인정보가 비인가자에게 공개되지 않도록 적절한 보안 조치와 기밀 유지 정책을 채택하는 것이 중요하다. 현재의 비상사태와 그 이하 의사결정 과정을 관리하기 위해 시행되는 조치들은 적절히 문서화되어야 한다.

 

3. 휴대전화 위치정보의 사용

 

  • 회원국 정부가 COVID-19 확산을 감시, 억제 또는 완화하기 위한 노력 차원에서 개인의 휴대 전화와 관련된 개인정보를 사용할 수 있는가? 

일부 회원국의 경우, COVID-19의 확산을 감시, 억제 또는 완화할 수 있는 수단으로 정부가 휴대전화 위치정보를 사용할 것으로 예상된다. 이러한 조치는 예를 들어 개인의 위치를 파악하거나 특정 지역 개인에게 전화나 문자 메시지로 공중보건 메시지를 내보낼 수 있다는 것을 의미한다. 공공 당국은 우선 위치정보에 대한 익명화 방안(개인을 재식별할 수 없는 방식으로 집계하는 개인정보 처리)를 모색해야 하며, 이는 특정 위치에서 휴대기기의 집중도(카토그래피)에 대한 보고서를 생성할 수 있도록 한다.

개인정보 보호 규칙은 적절하게 익명화된 정보에는 적용되지 않는다.

익명화된 정보만 처리할 수 없는 경우, 전자프라이버시 지침은 회원국들이 공공안전을 보호하기 위한 입법조치를 도입할 수 있도록 하였다(제15조).

비익명 위치정보의 처리를 허용하는 조치가 도입될 경우, 회원국은 전자통신서비스 이용자들에게 사법구제권에 대한 정보 제공 등 적절한 안전조치를 마련할 의무가 있다.

비례성 원칙도 적용된다. 달성해야 할 특정한 목적을 고려하여 항상 최소 침해적인 해결책을 우선시해야 한다. 개인에 대한 ‘추적’과 같은 침해적 조치(즉, 익명화되지 않은 과거 위치정보의 처리)는 예외적인 상황에서는 그리고 처리의 구체적인 양상에 따라서는 비례하는 것으로 간주될 수 있다. 그러나 개인정보 보호 원칙(기간 및 범위, 정보 보유 기간 한정 및 목적 제한 측면에서 조치의 비례성)의 준수를 보장하기 위해 강화된 정밀조사와 안전조치가 적용되어야 한다.

 

4. 고용

 

  • 고용주가 방문자나 직원에게 COVID-19 상황에서 특정 건강정보를 제공할 것을 요구할 수 있는가? 

비례성과 데이터 최소화 원칙의 적용이 특히 이 문제와 관련이 있다. 고용주는 국내법이 허용하는 범위 내에서만 건강정보를 요구해야 한다.

  • 고용주가 직원을 대상으로 건강검진을 실시할 수 있는가? 

그에 대한 해답은 고용이나 건강·안전 관련 국내법에 달렸다. 고용주는 자신의 법적 의무가 요구하는 경우에만 건강정보에 접근하고 이를 처리할 수 있다.

  • 고용주는 어떤 직원이 COVID-19에 감염되었음을 동료직원 또는 외부인에게 공개할 수 있는가?

고용주는 COVID-19 사건에 대해 직원들에게 알리고 보호조치를 취해야 하지만 필요 이상으로 많은 정보를 전달해서는 안 된다. 바이러스에 감염된 직원(예를 들어 예방적 차원에서)의 이름을 밝힐 필요가 있고, 국내법이 이를 허용하는 경우에는 사전에 해당 직원에게 알리고 이들의 존엄과 고결함을 보호하여야 한다.

  • 고용주는 COVID-19 상황에서 처리된 어떤 정보를 수입할 수 있는가? 

고용주는 의무를 이행하고 국내법에 따른 직무를 수행하기 위해 개인정보를 수집할 수 있다.