순 서
1. EU 개인정보보호지침 (번역)
2. EU의 제3국 정보교류를 위한 개인정보보호기준 (발췌 번역)
3. EU의 개인정보보호계약서 표준조항 (일부 번역)
1. EU 개인정보보호지침 (번역)
개인정보보호에 관한 유럽의회와 각료회의 지침
95/46/EC
Directive on the Protection of Individuals
with regard to the Processing of Personal Data
and on the Free Movement of Such Data
1995. 10. 24 공포
유럽연합의 유럽의회와 각료회의는, 유럽공동체 설립조약과 특히 조약 제100a조에 근거하여, (1) 위원회의 제안, (2) 경제사회위원회의 의견에 기초하여 (3) 조약 제189b조에 규정된 절차에 따라,
(1) 조약에서 제정되고, 유럽연합에 관한 조약에서 개정된 공동체의 목적은 유럽인 사이의 보다 밀접한 연대를 창출하고, 공동체에 속한 국가간에 유대를 강화하고, 유럽을 분할하는 장벽을 제거하기 위한 공동의 행위에 의하여 경제적. 사회적 진보를 보장하고, 유럽인의 생활조건의 지속적인 향상을 도모하며, 평화와 자유를 보존․강화하고 그리고, 회원국의 헌법과 법 및 인권과 기본적 자유의 보호를 위한 유럽협약이 인정한 기본권에 기초한 민주주의의 발전을 포함한다.
(2) 정보처리 시스템은 인간에 봉사하기 위하여 설계되었다. 정보처리 시스템은 자연인의 국적 또는 거주지에 상관없이 인간의 기본권과 기본적 자유, 특히 프라이버시권을 존중하여야 하고, 그리고 경제적ㆍ사회적 진보, 무역의 확대 그리고 개인의 번영에 기여하여야 한다.
(3) 조약 제7a조에 의하여 설립되고, 운영되는 역내시장에서는 재화, 노동력, 용역 그리고 자본의 자유로운 이동을 보장하기 위하여 개인정보가 한 회원국으로부터 다른 회원국으로 자유로이 이동될 수 있어야 할 뿐만 아니라 개인의 기본권이 보장될 것을 요구한다.
(4) 공동체 내의 경제적ㆍ사회적 활동의 다양한 분야에서, 개인정보의 처리에 의존하는 경우가 점점 더 빈번해졌다. 정보기술 분야에서 이루어진 진보는 개인정보의 처리와 교환을 상당히 용이하게 하였다.
(5) 조약 제7a조가 의미하는 역내시장의 설립과 운영에 따른 경제적ㆍ사회적 통합의 결과 필연적으로 회원국에서 경제적ㆍ사회적 활동을 하는 사적ㆍ공적 능력을 가진 사람들 사이에서 개인정보의 이동이 실질적으로 증가될 것이다. 서로 다른 회원국에 있는 기업들 간의 개인정보의 교환은 증가하기 시작하였다. 여러 회원국에 있는 국내 감독기관은 역내시장에 의하여 구성된 국경 없는 영역 내에서 그들의 직무를 수행하기 위하여 또는 다른 회원국에 있는 감독기관의 위탁을 받아 직무를 수행하기 위하여 공동체법이 정한 바에 따라 개인정보를 교환하고 협력할 것이 요청되고 있다.
(6) 공동체 내에서의 과학적 및 기술적 협력의 증가와 새로운 통신망의 통합적 도입은 개인정보가 국경을 넘어 이동하는 것을 필요하게 하고, 용이하게 한다.
(7) 회원국에서 보장하는 개인정보의 처리와 관련하여 개인의 권리와 자유를 보호함에 있어 발생하는 수준의 격차는 한 회원국의 영토로부터 다른 회원국의 영토로 개인정보의 전송을 방해할 수 있다. 보호수준의 차이는 공동체 수준의 많은 경제활동이 수행되는데 장애가 될 수 있고, 경쟁을 왜곡할 수 있고, 그리고 공동체법에 따라 감독기관이 그들의 의무를 수행하는 것을 방해할 수 있다. 회원국간의 보호수준에 있어서의 차이는 넓고, 다양한 국내의 법, 명령 그리고 규칙들이 존재하는 데에서 기인한다.
(8) 개인정보의 이동을 방해하는 장애물을 제거하기 위하여, 개인정보의 처리와 관련한 개인의 권리와 자유의 보호의 수준을 모든 회원국간에 동등하게 하여야 한다. 회원국들의 관련법들 사이에 현재 존재하는 차이의 범위와 회원국의 법들을 통합할 필요성을 참작하여, 조약 제7a조에 규정된 역내시장의 목적과 조화되는 방법에 따라 국경을 초월한 개인정보의 이동을 규제하는 것은 역내시장을 위하여 매우 중요하지만 회원국 단독으로는 목적을 이룰 수 없다. 따라서 회원국들의 법을 접근시키는 공동체의 조치가 필요하다.
(9) 국내법들의 접근의 결과 동등한 보호가 주어지면, 회원국들은 개인의 권리와 자유, 그리고 프라이버시권의 보호를 위한 이유에 의해서는 회원국 상호간에 개인정보가 자유롭게 이동하는 것을 더 이상 금할 수 없게 될 것이다. 지침의 이행과 관련하여, 회원국에는 기업 및 사회적 협력자가 법 적용을 회피할 수 있는 공백이 남아 있을 것이다. 그러므로 회원국은 국내법에 정보처리의 합법성을 규율하는 일반적 요건을 정할 수 있을 것이다. 그렇게 함으로써 회원국은 입법에 의하여 제공되는 보호를 향상시키는데 노력하여야 한다. 지침을 이행함에 있어, 공동체법에 따르지만 법 적용을 회피할 수 있는 공백의 한계 범위 내에서는 회원국들의 법 간에 차이가 발생할 수 있고, 이러한 차이는 공동체뿐만 아니라 회원국내에서의 정보의 이동에 영향을 미칠 수 있다.
(10) 개인정보 처리에 관한 국내법의 목적은, 인권과 기본적 자유의 보호를 위한 유럽협약 제8조와 공동체법의 일반원칙에 의하여 인정된 기본권과 자유 특히, 프라이버시권을 보호하기 위함이다. 따라서 회원국들의 법을 접근시킴에 있어 보호를 축소하여서는 아니 되고, 공동체내에서의 높은 수준의 보호를 보장하도록 노력하여야 한다.
(11) 이 지침에 포함된 개인의 권리, 자유, 특히 프라이버시권의 보호에 관한 원칙들은 개인정보의 자동화 처리에 관한 개인의 보호를 위한 1981년 1월 28일 유럽협약의 각료회의(Council of Europe Convention of 28 January 1981 for the Protection of Individuals with regard to Automatic Processing of Personal Data)에 포함된 내용에 그 실체를 두었고, 이를 확장한 것이다.
(12) 보호원칙은 공동체법에 의하여 활동이 규율 받는 사람에 의한 모든 개인정보의 처리에 적용하여야 한다. 서신왕래와 주소의 기록을 보유하고 있는 것과 같이 개인적이고, 가사에 한정적인 활동을 수행하는 자연인에 의하여 처리되는 정보의 경우에는 보호원칙의 적용이 배제된다.
(13) 공공의 안전, 방위, 국가의 안보에 관한 유럽연합에 관한 조약 제5편과 제6편에서 정한 행위 또는 형사법 영역의 국가행위가 유럽공동체 설립조약 제56조 제2항, 제57조 또는 제100a조에 따른 회원국의 의무를 침해하지 않는다면 공동체법의 적용범위에 속하지 않는다. 국가안보 사항과 관련하여 이 지침의 범위에 속하지 않는 개인정보 처리는 국가의 경제적 안정을 보장할 필요가 있다.
(14) 정보화 사회의 틀 내에서 자연인과 관련한 음성 및 영상 정보를 갈무리, 전송, 조정, 기록, 저장, 통신하는 데 사용되는 기술이 중대한 발전을 함에 따라, 이 지침은 개인의 음성 및 영상 정보를 포함하는 처리에 적용되어야 한다.
(15) 문제의 개인정보에 쉽게 열람할 수 있게 하기 위하여, 개인과 관련한 특정의 기준에 따라 구조화된 파일링시스템에서 자동화된 정보 또는, 처리되어 당해 파일링시스템에 포함된 정보 또는 포함될 것으로 의도된 정보만이 이 지침의 범위에 포함된다.
(16) 비디오 감시의 경우와 마찬가지로, 음성 및 영상 정보의 처리가 공공의 안전, 방위, 국가안보의 목적 또는 형사법의 영역과 관련한 국가 활동의 과정 또는 기타 공동체법의 적용범위에 속하지 않는 행위의 과정에서 이루어지는 경우, 이 지침의 적용범위 내에 속하지 않는다.
(17) 보도의 목적 또는, 문학적 표현 또는 예술적 표현과 관련된 목적을 위하여 수행되는 음성 및 영상 정보의 처리(특히, 시청각 분야)의 경우, 지침의 원칙은 제9조의 규정에 의하여 정해진 한정된 방법에만 적용한다.
(18) 이 지침에 의하여 주어진 개인을 위한 보호가 박탈되지 않도록 보장하기 위하여, 공동체 내에서의 개인정보의 처리는 회원국들 중의 한 국가의 법에 따라 수행되어야 한다. 이와 관련하여 회원국 내에서 설립된 관리자(controller)의 책임 하에 수행되는 처리는 관리자가 설립된 회원국의 법에 의하여 규율된다.
(19) 회원국의 영토에서 관리자의 설립은 정관을 통한 활동의 유효하고, 실제적인 실행을 의미한다. 당해 설립의 법적 형태 즉, 단순한 지점인지, 자회사인지의 여부는 여기에서 결정적인 요소는 아니다. 수 개의 회원국의 영토에서 특히 자회사의 형식에 의하여 하나의 관리자가 설립한 경우 국내 규범을 회피하는 것을 방지하기 위하여, 관리자는 각각의 자회사가 설립된 국가법에 의하여 그 행위에 부여된 의무를 이행할 것을 보장하여야 한다.
(20) 제3국에서 설립된 자에 의하여 정보의 처리가 수행되었더라도, 이 지침에서 규정한 개인의 보호의 적용범위에 포함된다. 이러한 경우 처리는 처리를 위한 도구가 위치한 회원국의 법에 의하여 규율되어야 하고, 그리고 이 지침에서 규정한 권리와 의무가 실제로 존중될 것이라는 보장에 관한 보증이 있어야 한다.
(21) 이 지침은 형사사건에 있어서 속지주의 원칙을 침해하지 않는다.
(22) 회원국은 그들이 제정하는 법 또는 이 지침에 의하여 채택된 조치를 시행할 때, 처리가 적법화 되는 일반적 요건(general circumstances)에 대하여 더 명백하게 정의하여야 한다. 특히 제5조의 제7조와 제8조와의 관계에 있어, 회원국은 일반적 규범과 독립하여 특정의 부문을 위한 특별한 처리요건을 규정할 수 있고 그리고 제8조에 의하여 규정된 정보의 다양한 범주를 위한 특별한 처리요건을 규정할 수 있다.
(23) 회원국에게는, 개인정보의 처리와 관련한 개인의 보호에 관한 일반법에 의한 개인의 보호의 이행을 보장하기 위한 수권 그리고 예컨대, 통계기관과 같은 개별법에 의하여 개인의 보호의 이행을 보장하기 위한 수권이 되었다.
(24) 법인과 관련된 정보의 처리에 관한 법인의 보호에 관한 입법은 이 지침에 의하여 영향을 받지 않는다.
(25) 보호의 원칙은 한편으로 정보의 질, 기술적 보안, 감독기관에의 통지, 그리고 처리가 수행될 수 있는 상황과 관련하여 처리를 책임질 사람, 정부투자기관, 기업, 감독기관 또는 기타 자에 부과되는 의무에 반영되어야 하고, 다른 한편으로는 처리가 되는 것을 통지받을 권리, 정보를 확인할 권리, 정정을 요구할 권리 그리고 특정 상황에서 처리에 반대할 권리 등 정보 처리의 대상자인 개인에게 부여되는 권리에 반영되어야 한다.
(26) 보호의 원칙은 신원이 확인된 또는 신원을 확인할 수 있는 사람과 관련한 정보에 적용되어야 한다. 개인의 신원이 확인될 수 있는 여부를 결정하기 위해서는 관리자 또는 기타의 개인의 신원을 확인할 사람에 의하여 사용될 것으로 합리적으로 예견되는 모든 수단을 고려하여야 한다. 보호의 원칙은 정보주체(data subject)의 신원을 확인할 수 없는 방법에 의하여 익명으로 제공된 정보에는 적용하지 아니한다. 제27조가 의미하는 행동강령은 정보가 익명으로 제공될 수 있고 그리고 정보주체의 신원을 확인할 수 없는 형식에 의한 정보의 보유 방법에 관한 지침을 제공하기 위한 유용한 도구일수 있다.
(27) 개인의 보호는 정보의 자동화 처리에서와 같이 수동처리에도 적용하여야 한다. 보호의 적용범위는 사실상 사용된 기법에 한정한다면, 회피할 수 있는 가능성을 주게 된다. 그렇지만 수동처리와 관련하여 이 지침은 파일링시스템만을 포함하고 비 구조화한 파일은 포함하지 않는다. 파일링시스템의 내용은 개인정보에 쉽게 접속을 할 수 있도록 하기 위하여, 개인과 관련한 특정의 기준에 따라 구조화되어야 한다. 제2조 (c)호에서 정한 정의와 일치하는 범위에서, 개인정보의 구조화된 장치의 구성요소를 결정하는 기준과 당해 장치에 접속을 규율하는 기준은 각 회원국에 의하여 다르게 규정될 수 있다. 표지를 포함한 파일 또는 파일의 모음이 특정의 기준에 따라 구조화되지 않았다면 이 지침의 범위 내에 속하는 상황은 아니다.
(28) 개인정보의 처리는 관련된 개인에게 적법하고 공정하여야 한다. 정보는 그 처리되는 목적과 관련하여 적절하고, 관련이 있고 그리고 지나치지 않아야 한다. 당해 목적은 명백하고, 정당하여야 하고 그리고 정보의 수집시점에서 결정되어야 한다. 수집 이후의 재처리의 목적은 그것이 최초로 특정된 목적과 모순 되지 않아야 한다.
(29) 역사적ㆍ통계적ㆍ과학적 목적을 위한 개인 정보의 재처리는 회원국이 적절한 보호조건을 둔다면 이전에 정보를 수집한 목적에 일반적으로 모순 되지 않는 것으로 보아야 한다. 당해 보호조건에는 특히, 특정 개인과 관련한 조치 또는 결정을 위한 정보로 사용되는 경우는 포함할 수 없다.
(30) 적법성을 보장하기 위하여, 개인정보의 처리는 정보주체의 동의에 의하여 수행되거나, 정보주체에게 구속력을 갖는 계약의 체결 또는 이행에 필요하거나, 법적 요건으로써 필요하거나, 공익의 측면에서 또는 공적 권한의 행사의 측면에서, 자연인 또는 법인의 정당한 이익의 측면에서 수행될 직무의 이행을 위하여 필요하여야 한다. 다만, 정보주체의 이익 또는 권리와 자유가 무시되어서는 아니 된다. 특히 관련 이익 사이의 균형을 유지하기 위하여 한편으로는 효과적인 경쟁을 보장하기 위하여, 회원국은 기업과 기타의 자의 정당한 통상의 영업활동과 관련한 개인정보가 제3자에 의해 사용될 수 있거나, 공개될 수 있는 상황을 정할 수 있다.
회원국은 개인정보가 상업적으로 또는 자선단체 기타의 단체 또는 재단(예를 들면 정치적 성질을 띠는)에 의하여 유통의 목적으로 제3자에게 공개될 수 있는 요건을 명시할 수 있다. 다만, 당해 규정은 정보주체가 대가를 받지 못한 경우 그리고 정보주체의 의견을 진술의 기회가 없는 경우 그에 관한 정보의 처리에 반대하는 것을 허용하여야 한다.
(31) 정보주체의 생활을 위하여 필수적인 이익을 보호하기 위하여 개인정보의 처리가 되는 경우 적법한 것으로 간주되어야 한다.
(32) 공익의 측면에서 또는 공적 권한의 행사의 측면에서 수행되는 직무를 이행하는 관리자는, 행정기관, 직능단체와 같이 공법ㆍ사법에 의하여 규율되는 자연인 또는 법인 중에서 국내 입법에 의하여 결정한다.
(33) 정보의 성질상 기본적 자유 내지 프라이버시를 침해할 가능성이 있는 경우, 정보주체의 명시적 동의가 없다면 정보는 처리되어서는 아니 된다. 법적인 직업적 비밀유지의 의무가 있는 자에 의하여 일정한 보건관련 목적을 위하여 수행되는 정보 처리의 경우 또는 기본적 자유를 위한 목적에서 일정한 단체, 재단에 의한 정당한 활동의 과정에서 수행되는 정보 처리의 경우와 같이 금지의 예외가 필요한 범위는 명백하게 규정되어야 한다.
(34) 공중보건과 사회보호(특히 의료보험제도에 있어서 보험금과 서비스의 청구를 위하여 이용된 절차의 질 및 지출유효성을 보장하기 위하여)와 과학적 연구 그리고 정부통계와 같이 중요한 공익에 의해 정당화되는 영역의 경우의 정보의 처리를 위하여, 회원국은 침해되기 쉬운 정보의 범주에 대한 처리금지의 예외를 정하기 위한 수권을 받아야 한다. 예외를 정하는 경우, 회원국은 개인의 기본권과 프라이버시를 보호하기 위한 특별하고, 적절한 보호조건을 규정할 의무가 있다.
(35) 헌법ㆍ국제공법에서 정한 목적의 달성을 위하여 공적 기관에 의한 개인정보의 처리 및 중요한 공익적 근거에 기초하여 종교단체에 의하여 수행되는 공적으로 인정된 처리의 경우에도 예외를 인정할 수 있다.
(36) 일부 회원국에서는 민주주의 제도의 운영을 위하여 선거활동의 과정에서 정당이 국민의 정치적 의사에 관한 정보를 모으고, 중요한 공익적 이유를 위하여 당해 정보의 처리가 적절한 보호조건이 설정될 것을 조건으로 하여 허용될 수 있다.
(37) 특히 시청각 분야에서의, 보도의 목적 또는 문학적ㆍ예술적 표현의 목적을 갖는 개인정보의 처리는, 인권과 기본적 자유의 보호를 위한 유럽협약 제10조에서 보장한 정보의 자유와 특히, 정보를 수령하고, 전달할 권리를 가진 개인의 기본권과 조화하기 위하여 필요한 한도에서, 이 지침의 일정 규정의 요건을 면제받기 위한 자격을 얻어야 한다. 그러므로 회원국은 정보처리의 적법성에 관한 일반적 조치 및 제3국으로의 정보의 이전에 관한 조치와 관련한 기본권과 감독기관의 권한간의 균형을 유지하기 위한 목적을 위해 필요한 면제와 예외에 관한 규정을 두어야 한다. 그러나 이것은 회원국이 처리의 보안을 보장할 조치로부터의 면제를 규정할 수 있는 것을 의미하지는 않는다. 이 부문을 책임지는 감독기관에 적어도 정기적인 보고서를 발행하거나, 사법기관에 소추할 권한과 같은 일정한 사후권한이 주어져야 한다.
(38) 정보의 처리가 공정하게 되려면, 정보주체는 처리작업의 존재를 알 수 있는 지위에 있어야 한다. 정보주체로부터 정보를 수집한 경우 정보주체는 수집의 상황을 상기할 정확하고, 완전한 정보가 주어져야 한다.
(39) 일정한 처리작업은 관리자가 정보주체로부터 직접 수집하지 않은 정보를 포함한다. 정보가 정보주체로부터 수집될 당시 공개가 예정되지 않았다 하더라도 정보는 제3자에게 정당하게 공개될 수 있다. 이러한 경우 정보주체는 정보가 기록되었을 때, 늦어도 정보가 제3자에게 최초로 공개될 때에 통지받아야 한다.
(40) 그러나 정보주체가 이미 당해 사실에 대하여 알고 있는 경우 통지할 필요는 없다. 그리고 법에 의하여 명시적으로 기록되었거나 공개가 규정되었거나, 또는 정보주체에게 통지하는 것이 불가능하거나, 불합리한 노력이 필요로 하는 경우 그리고 역사적ㆍ통계적ㆍ과학적 목적을 위하여 처리되는 경우에는 통지의 의무가 없다. 이것과 관련하여 정보주체의 수, 정보의 연령, 그리고 채택될 보상조치가 고려될 수 있다.
(41) 특히 정보의 정확성과 처리의 적법성을 검증하기 위하여, 자신과 관련된 정보가 처리된 자는 당해 정보를 열람할 권리를 행사할 수 있어야 한다. 같은 이유로 모든 정보주체는 적어도 제15조 제1항에서 정한 자동처리 결정의 경우 자신과 관련한 정보의 자동처리에 있어서 포함된 로직을 알권리가 있어야 한다. 이 권리는 영업비밀, 지적 재산권 그리고 특히 소프트웨어를 보호하는 저작권에 부정적 영향을 미치지 아니하여야 한다. 그러나 이러한 고려로 인해 정보주체가 모든 통지를 거부당하여서는 아니 된다.
(42) 회원국은 정보주체의 이익을 위하여 또는 기타의 자의 권리와 자유를 보호하기 위하여 열람권과 통지받을 권리를 제한할 수 있다. 회원국은 의료정보에 대한 열람은 오직 보건 전문가를 통해서만 할 수 있도록 명시할 수 있다.
(43) 회원국은, 형사사건의 조사와 기소 그리고 일정 직업에 있어서 윤리의무의 위반에 관한 소송뿐만 아니라 국가안보, 방위, 공공의 안전 또는 회원국 및 유럽연합의 중요한 경제적ㆍ재정적 이익을 보장하기 위하여 필요한 경우에 한하여 열람권과 통지받을 권리 그리고 관리자의 일정한 의무를 제한할 수 있다. 예외와 제한의 범위(list of exceptions and limitations)에 공공의 안전, 경제적ㆍ재정적 이익과 범죄예방과 관련한 3가지의 영역에 있어서 필요한 감시, 조사․규제의 직무가 포함되어야 한다. 이 3영역에서의 직무범위에 의하여 국가안보, 방위를 위한 예외 또는 제한의 정당성은 영향을 받지 아니한다.
(44) 회원국은 공동체법의 규정에 따라 위에서 언급된 일정한 목적을 보장하기 위하여 열람권, 개인에 통지할 의무, 그리고 정보의 질과 관련한 이 지침의 규정에 대한 예외를 둘 수 있다.
(45) 공공의 이익에 근거하여 정보가 적법하게 처리되는 경우라도, 공공기관 또는 정당한 이익이 있는 자연인ㆍ법인, 정보주체에게 그의 특수한 상황과 관련하여 정당하고, 부득이한 이유가 있는 경우 그에 관한 정보의 처리에 반대할 자격이 주어져야 한다. 이에 불구하고 회원국은 반대되는 국내 규정을 둘 수 있다.
(46) 개인정보의 처리와 관련하여 정보주체의 권리와 자유의 보호를 위하여 특히 보안을 유지하고 불법적 처리를 방지하기 위하여, 처리시스템의 설계 당시와 당해 처리 당시에 적절한 기술적 및 조직적 조치가 취해져야 한다.
회원국은 관리자가 당해 조치를 준수하도록 보장하여야 한다. 당해 조치는, 처리에 따른 고유한 위험 및 보호될 정보의 성질 그리고 조치가 이행되기 위한 기술 및 비용 상태를 고려하여 적절한 수준의 보안을 보장하여야 한다.
(47) 개인정보를 포함한 메시지가 통신ㆍ전자우편 서비스 수단에 의해서 전송되고 당해 메시지의 전송이 유일한 목적인 경우, 여기서 개인정보에 대한 관리자는 통상적으로 전송서비스를 제공한 자가 아니고 메시지를 보내는 사람으로 간주된다. 이에 불구하고, 당해 서비스를 제공하는 자는 통상의 서비스 운영을 위하여 필요한 개인정보의 추가적 처리를 하는 경우 관리자로 간주된다.
(48) 감독기관에 대한 통지 절차는, 이 지침에 의하여 채택된 국내 조치에 따른 작업을 검증하기 위하여 처리작업의 목적 및 주요 특징의 공개를 보장하도록 정해졌다.
(49) 부당한 행정절차를 피하기 위하여 통지의무의 면제와 통지의 간소화가 요구되고, 정보주체의 권리와 자유에 부정적 영향을 미치지 않을 처리의 경우 회원국이 그 한계를 명시하여 채택한 조치에 따라야 한다는 것을 조건으로 하여, 회원국은 통지의무의 면제와 통지의 간소화를 규정할 수 있다. 관리자가 정보주체의 권리와 자유에 부정적 영향을 미치지 않고 처리가 수행되도록 보증하는 사람을 지명한 경우에도 회원국은 면제ㆍ간소화를 규정할 수 있다. 당해 정보보호직원은 관리자의 고용여부와 관계없이 완전히 독립적으로 그의 직분을 수행할 수 있는 지위가 주어져야 한다.
(50) 대중에 정보를 제공하고, 대중이나 정당한 이익을 입증하는 자의 의견을 수렴하기 위하여, 국내법에 따라 등록부의 유지가 처리작업의 유일한 목적인 경우 통지의무의 면제ㆍ간소화를 규정할 수 있다.
(51) 통지의무의 간소화ㆍ면제가 이 지침에 따른 관리자의 다른 의무를 면하게 하는 것은 아니다.
(52) 이와 관련하여 관할 감독기관에 의한 사후 검증은 일반적으로 적격인 조치로 간주되어야 한다.
(53) 처리의 성질, 처리의 범위, 처리의 목적 또는 특정한 신기술의 사용에 의하여 일정한 처리작업이 정보주체의 권리와 자유에 특정한 위험(권리, 수익 또는 계약으로부터 개인을 배제하는 것과 같은)을 줄 수 있다. 회원국은 입법에 의하여 당해 위험을 명시할 수 있다.
(54) 공동체 내에서 수행된 모든 처리와 관련하여 그 양에 의해서 당해 특정의 위험을 제공하는 것은 극히 제한되어야 한다. 회원국은 처리가 수행되기 전에 당해 처리에 대한 검사를 수행할 감독기관 또는 감독기관에 협조할 정보보호직원에 관한 규정을 두어야 한다. 감독기관은 사전검사의 결과에 대하여 국내법에서 정한대로 처리와 관련한 의견을 내거나, 인가를 할 수 있다. 처리의 성질과 적절한 보호조건을 정한 조치가, 국내 의회에서 정한조치에 의하든, 당해 입법조치에 기초한 조치에 의하든 상관없이 당해 검사는 동등하게 실시될 수 있다.
(55) 관리자가 정보주체의 권리를 존중하지 않는 경우에 대비하여, 국내 입법은 사법적 구제를 위한 규정을 두어야 한다. 불법적 처리에 의하여 손해를 입은 자는 관리자로부터 배상을 받아야 한다. 다만, 관리자가 손해의 책임이 없음을 입증하였다면 특히, 정보주체의 과실을 입증한 경우 또는 불가항력에 의한 경우 책임을 면제받을 수 있다. 사법․공법에 의하여 규율되는 자를 구별하지 않고 이 지침에 의하여 채택된 국내 조치를 따르지 않은 자는 제재를 받아야 한다.
(56) 개인정보의 국경을 초월한 이동은 국제거래의 확대를 필요로 한다. 이 지침에 의하여 공동체 내에서 보장된 개인의 보호는 보호의 적절한 수준을 보장하는 제3국으로 개인정보를 이전하는 것을 방해하지 않는다. 제3국이 제공하는 보호 수준의 적절성에 대한 평가에는 이전작업 또는 이전작업을 위한 장치를 둘러싼 모든 상황을 포함하여야 한다.
(57) 개인정보의 이전을 받는 제3국이 보호의 적절한 수준을 보장하지 않는다면 이전은 금지되어야 한다.
(58) 정보주체가 동의한 경우, 계약 또는 법적 소송과 관련하여 필요한 이전의 경우, 중요한 공익의 보호를 위하여 필요한 경우(예를 들어 조세 또는 관세청 사이의 정보의 국제 이전, 사회보장 사안을 위한 관할 기구 사이의 정보의 국제적 이전의 경우) 또는 법에 의하여 대중의 의견의 수렴 또는 정당한 이익을 가진 자의 의견을 수렴을 위하여 설치된 등록부로부터 이루어진 이전의 경우에는 일정한 상황에서 제3국으로의 이전의 금지를 면제하는 규정을 두어야 한다. 당해 이전의 경우 등록부에 있는 정보의 전체 또는 정보전체의 범주를 포함하지 않아야 한다. 등록부가 정당한 이익을 가진 자로부터 의견을 수렴할 의도로 사용되는 경우 이전은 정당한 이익을 보유한 자의 요구가 있는 경우 또는 정당한 이익의 보유자가 수령인이 되는 경우에 한하여 이루어져야 한다.
(59) 관리자가 적절한 보호조건을 제시한 경우 제3국에서의 적절히 보호받지 못한 것에 대한 배상을 위한 특별한 조치가 취해질 수 있다. 공동체와 당해 제3국 사이에 협상을 위한 절차에 관한 규정을 두어야 한다.
(60) 어떤 경우에도 제3국으로의 이전은 이 지침의 특히 제8조에 따라 회원국에 의하여 채택된 요건을 완전히 갖춘 경우에 한하여 가능하다.
(61) 회원국과 위원회는 그들이 각각 관할하는 범위에서, 일정한 부문에서 수행되는 처리의 특징을 고려하고, 지침의 이행을 위하여 채택된 국내 규정을 존중하여, 이 지침의 적용을 용이하게 할 행동강령(codes of conduct)을 사업자단체와 기타 관련 대표조직이 정하도록 지도하여야 한다.
(62) 회원국에서 설립되어, 그 기능을 수행함에 있어 완전히 독립적인 감독기관은 개인정보의 처리에 관한 개인의 보호를 위한 본질적 구성부분이다.
(63) 감독기관은 조사권과 간섭권, 특히 개인으로부터 심판의 청구가 있는 경우 법적 절차를 진행할 권한을 포함하여, 그들의 의무를 이행하기 위한 필요한 수단을 보유하여야 한다. 회원국 내에서 관할권이 있는 감독기관은 처리의 투명성을 보장하기 위하여 조력하여야 한다.
(64) 유럽연합 전체에 보호규범이 적절히 준수되는 것을 보장하기 위하여, 한 회원국에 있는 감독기관은 타국 기관의 의무의 이행에 조력할 필요가 있다.
(65) 공동체 수준에서 개인정보의 처리에 관한 개인의 보호에 관한 작업반(Working Party)이 설치되어야 하고, 완전히 독립하여 그 기능을 수행하여야 한다. 작업반은 위원회에 자문을 제공하고, 특히 이 지침에 따라 채택된 국내 규칙의 통일적 적용에 기여하여야 한다.
(66) 제3국으로의 정보의 이전과 관련하여 이 지침을 적용함에 있어 이행의 권한을 위원회에 수권하고, 87/373/EEC 각료회의 결정 (1)에서 정한 바에 따른 절차를 설정한다.
(67) EC 조약 제189b조에서 정한 절차에 따라 제정된 법들의 시행 조치에 관하여 유럽의회, 각료회의 그리고 집행위원회 사이의 타협에 의한 합의가 1994년 12월 20일 성립하였다.
(68) 개인정보의 처리와 관련한 개인의 권리와 자유, 프라이버시권의 보호에 대하여 이 지침이 설정한 원칙은, 일정한 관련 부문에 한하여 지침상의 원칙에 기초한 특별 규정에 의하여 보충되거나, 명확해질 수 있다.
(69) 이 지침에 따라 채택된 국내 조치가 효력을 발생한 때로부터 3년 이내의 기간에 회원국은 이미 진행 중인 모든 처리작업에 새로운 국내 규칙을 점진적으로 적용하여야 한다. 비용-효과면의 시행을 용이하게 하기 위하여 이 지침이 채택된 날로부터 12년 이내에 회원국은 지침에 포함된 현존하는 수동 파일링시스템의 적합성을 확보하여야 한다. 연장된 경과기간 중에 수동으로 처리되는 파일링시스템에 정보가 포함된 경우 당해 시스템은 처리를 할 때 지침의 규정에 적합하도록 하여야 한다.
(70) 이 지침에 따라서 채택된 국내 규정이 효력을 발생하기 전에 침해되기 쉬운 정보의 처리를 위하여 자유롭게 통지된 동의에 기초하여 체결된 계약이 있는 경우 국내 규정이 효력을 발생한 후에도 관리자가 처리를 계속할 것을 허락받기 위하여 정보주체가 다시 동의를 할 필요는 없다.
(71) 이 지침은, 영토 안에 거주하는 소비자를 위한 유통활동에 대한 회원국의 규제가 개인정보의 처리와 관련한 개인의 보호와 관련이 없는 경우 이를 방해하지 않는다.
(72) 이 지침은 이 지침에서 설정한 원칙이 이행될 때, 대중이 공문서를 열람할 수 있도록 공문서에 대한 대중의 열람의 원칙을 인정한다.
위의 사항을 고려하여 이 지침을 채택하였다.
제 1 장 총 칙
제1조 (지침의 목적)
1. 이 지침에 따라서 회원국은 자연인의 기본적 권리와 자유를 보호하고, 개인정보처리와 관련한 프라이버시권을 보호하여야 한다.
2. 회원국은 제1항이 정한 보호를 이유로 하여 회원국 상호간의 개인정보의 자유로운 흐름을 제한하거나 금할 수 없다.
제2조 (정의)
이 지침에서 사용하는 용어의 정의는 다음과 같다.
(a) ‘개인정보(personal data)’라 함은 자연인(이하 ‘정보주체’라 한다)의 신원이 확인되었거나, 확인할 수 있는 것과 관련한 정보를 말한다. 신원을 확인할 수 있는 자는 직접․간접으로 특히 신원증명번호 또는 신체적ㆍ생리적ㆍ
정신적ㆍ경제적ㆍ문화적 또는 사회적 동일성에 관한 하나 또는 그 이상의 요인을 참조하여 그 신원을 알 수 있는 사람이다.
(b) ‘개인정보의 처리(processing of personal data)’(이하 ‘처리’라 한다)라 함은 자동화 수단의 여부와 관계없이 전송, 보급, 기타의 사용, 정렬․조합, 방지, 삭제 또는 파괴와 같은 방법에 의하여 수집, 기록, 조직, 저장, 채용, 수정, 복구, 참조, 사용, 공개와 같은 개인정보를 실행하는 작업 또는 작업의 집합(set of operations)을 말한다.
(c) ‘개인정보 파일링시스템(personal data filing system)’이라 함은 기능적․지리적 근거에 따라 중앙통제 되거나, 분산되었거나 흩어져 있거나 상관없이, 특정한 기준에 의하여 접속할 수 있는 개인정보의 구조화된 장치를 말한다.
(d) ‘관리자(controller)’라 함은 개인정보 처리의 목적과 수단을 단독 또는 다른 기관과 합동으로 결정하는 자연인 또는 법인, 정부투자기관, 행정기관 기타의 자(者)를 말한다. 처리의 목적과 수단이 국내법 또는 국내규정 또는 공동체법, 공동체규정에 의하여 결정된 경우 관리자 또는 관리자를 지명하기 위한 특정한 기준은 국내법 또는 공동체법에 의하여 정하여질 수 있다.
(e) ‘처리자(processor)’라 함은 관리자를 대리하여 개인정보를 처리하는 자연인 또는 법인, 정부투자기관, 행정기관 기타의 자(者)를 말한다.
(f) ‘제3자(third party)’라 함은 정보주체, 관리자, 관리자ㆍ처리자의 직접 수권에 의하여 정보를 처리하도록 수권 받은 자 이외의 자연인, 법인, 정부투자기관, 행정기관 기타의 자(者)를 말한다.
(g) ‘수령인(recipient)’이라 함은 제3자의 여부에 관계없이 정보의 공개를 받는 자연인 또는 법인, 정부투자기관, 행정기관 또는 기타의 자(者)를 말한다.
(h) ‘정보주체의 동의(the data subject’s consent)’라 함은 정보주체가 그 자신과 관련된 개인정보가 처리되도록 하는 합의에 서명함으로써 자유롭게 표명된, 특정의 통지된 의사표시를 말한다.
제3조 (범위)
1. 이 지침은 개인정보의 처리가 전부 또는 일부 자동화 수단으로 하는 경우, 또는 개인정보를 자동화 수단 이외의 방법으로 처리하더라도 그것이 파일링시스템의 일부를 구성하거나 구성할 의도로 처리되는 경우에 적용된다.
2. 이 지침은 다음에 해당하는 개인정보의 처리에는 적용하지 아니한다.
– 유럽연합에 관한 조약의 제5편과 제6편에 의하여 규정된 사항, 그리고 공공의 안전, 방위, 국가의 안보(국가의 안전문제와 관련한 처리작업 시의 국가의 경제적 안정을 포함한다) 및 형사법분야에서 국가 활동에 관하여 처리작업을 하는 경우와 같이 공동체법의 적용범위 밖에서 처리작업이 이루어지는 경우
– 자연인에 의한 순수하게 개인적이거나 가정 내 활동 중에 처리되는 경우
제4조 (적용 가능한 국내법)
1. 각 회원국은 다음 각 호에 해당하는 개인정보의 처리에 대하여 회원국이 이 지침에 따라 채택한 자국의 규정을 적용한다.
(a) 회원국의 영토에서 관리자의 설립행위와 관련하여 수행된 처리의 경우. 수 개의 회원국 영토에서 설립된 동일한 관리자가 존재하는 때에는 관리자는, 회원국들에 설립된 각각의 것이 적용 가능한 국내법에 의하여 정해진 의무를 지키는 것을 보장하기 위한 필요한 조치를 취하여야 한다.
(b) 관리자가 회원국에서 설립되지 않고, 국제 공법에 의하여 회원국의 국내법이 적용되는 장소에서 설립된 경우
(c) 관리자가 공동체의 영토에서 설립되지 않고, 개인정보처리를 목적으로 당해 회원국에 위치한 자동화된 또는 기타의 장비를 이용하고, 당해 장비가 공동체의 영토를 통과할 목적에 한하여 사용되는 것이 아닌 경우
2. 제1항 (c)호에 규정된 상황과 관련하여, 관리자는 그를 상대로 제기될 수 있는 소송을 수행할 회원국의 영토 내에 주재하는 대리인을 지명하여야 한다.
제 2 장 개인정보처리의 적법성에 관한 일반원칙
제5조
회원국은 이 장의 규정에서 정한 제한범위 내에서, 개인정보의 처리의 상세한 적법한 조건을 결정하여야 한다.
제 1 절 정보의 질과 관련된 원칙
제6조
1. 회원국은 개인정보가 다음 각 호에 해당하는 것에 따를 것을 규정하여야 한다.
(a) 공정하고 적법하게 처리될 것
(b) 특정되고, 명백하고, 정당한 목적을 위해 수집되어야 하고, 당해 목적과 모순 되는 방법에 의하여 재처리를 하지 않을 것, 역사적, 통계적 또는 과학적 목적을 위한 정보의 재처리는 회원국이 적절한 보호조건을 규정하는 한 모순 되는 것으로 간주되지 아니한다.
(c) 개인정보가 수집 및 재처리가 목적에 비추어 적절하고, 관련 있고 그리고 지나치지 않을 것
(d) 정확할 것 및 필요하다면 최신 정보로 갱신할 것. 정보가 수집되었을 당시의 목적에 비추어, 부정확 또는 불완전한 정보가 재처리, 삭제, 교정되는 것을 보장하기 위한 모든 합리적인 조치가 취해져야 한다.
(e) 수집된 정보의 목적 또는 재처리를 위한 목적에 필요한 그 이상으로 정보주체의 신원확인을 허용하지 않는 형식을 유지한다. 회원국은 역사적, 통계적 또는 과학적 이용을 위하여 더 오랜 기간 저장될 개인정보에 대한 적절한 보호조건을 정하여야 한다.
2. 회원국은 제1항이 준수될 것을 보장하기 위하여 관리자를 위한 규정을 두어야 한다.
제 2 절 적법한 정보처리 기준
제7조
회원국은 다음 각 호에 해당하는 경우에 한하여 개인정보를 처리할 수 있다고 규정하여야 한다.
(a) 정보주체가 그의 동의를 명확하게 표시한 경우
(b) 정보주체가 당사자인 계약의 이행에 필요한 처리 또는 계약을 체결하기 전에 정보주체의 요구에 따른 조치를 취하기 위하여 필요한 처리
(c) 관리자가 적용대상인 법적 의무를 준수하기 위하여 필요한 처리
(d) 정보주체의 중대한 이익을 보호하기 위하여 필요한 처리
(e) 공공의 이익을 위하여 또는, 관리자 또는 정보의 공개를 받는 제3자가 그에게 유보된 공적권한을 행사함에 있어 수행할 직무의 이행을 위하여 필요한 처리
(f) 관리자 또는 정보의 공개를 받는 제3자에 의하여 추구되는 정당한 이익의 목적을 위하여 필요한 처리. 다만, 당해 이익이 제1조 제1항에 의하여 보호되는 정보주체의 기본권과 자유를 목적으로 한 이익이 우선되는 경우에는 제외한다.
제 3 절 특별한 범주의 정보 처리
제8조 (특별한 범주의 정보 처리)
1. 회원국은 민족 또는 인종적 기원, 정치적 성향, 종교 또는 철학적 신념, 노동조합 회원자격이 나타나는 개인정보의 처리를 금지하여야 하고, 그리고 건강 또는 성생활에 관련된 정보의 처리를 금하여야 한다.
2. 다음 각 호에 해당하는 경우에는 제1항의 규정을 적용하지 아니한다.
(a) 정보주체가 당해 정보의 처리에 명백하게 동의를 한 경우. 다만, 회원국의 법이 제1항에서 정한 금지가 정보주체의 동의에 의하여 해제되지 않는다고 규정하는 경우에는 제외한다.
(b) 고용법 분야와 관련하여, 관리자의 의무와 특정권리를 수행할 목적에 필요한 처리가 적절한 보호조건을 규정한 국내법에 의하여 수권된 경우
(c) 정보주체가 신체적 또는 법적으로 동의를 할 수 없는 경우 정보주체 또는 다른 사람의 중대한 이익을 보호하기 위하여 필요한 처리의 경우
(d) 정치적, 철학적, 종교적 또는 노동조합의 목적을 수행하는 재단, 사단 또는 기타 비영리단체에게 적절하게 보장된 정당한 활동의 과정에서 수행되는 처리. 다만, 단체의 회원 또는 당해 단체의 목적과 관련한 정규적인 접촉을 가지는 사람에 관련된 처리에 한하고, 정보가 정보주체의 동의가 없이는 제3자에게 공개되지 않을 것을 조건으로 한다.
(e) 정보주체에 의하여 공공연히 공개된 정보에 관한 처리 또는 소송의 제기, 소송의 수행 또는 소송의 방어에 필요한 처리
3. 정보의 처리가 예방의학, 의학적 진단, 의료보호 또는 치료의 제공 또는, 건강관리 서비스의 운영 등의 목적을 위하여 요구되는 정보의 처리의 경우, 그리고 국내법과, 직업적 비밀유지의 의무가 있는 국가의 관할 기관 또는 동등한 비밀유지 의무가 있는 기타의 자(者)에 의하여 제정된 규칙에 따라 보건을 위한 전문적 동기에 의하여 정보가 처리되는 경우에는 제1항은 적용하지 아니한다.
4. 회원국은 실질적 공익을 위하여 적절한 보호조건을 규정할 것을 조건으로 하여 국내법 또는 감독기관의 결정에 의하여 제2항에서 정한 것 이외의 적용면제 사항을 정할 수 있다.
5. 범죄, 범죄의 평결 또는 보안조치와 관련한 정보의 처리는 공공기관의 통제하에서만 가능하고, 적절한 특정의 보호조건이 국내법에 규정되어 있다면 적절한 특정의 보호조건을 규정한 국내규정에 따라 회원국은 예외를 인정할 수 있다. 그러나 범죄의 평결에 관한 등록부는 공공기관의 통제하 에서만 유지할 수 있다.
회원국은 행정적 제재 또는 민사사건의 판결과 관련한 정보를 공공기관의 통제하에서 처리하도록 규정할 수 있다.
6. 제4항과 제5항에 규정된 제1항의 예외 사항은 위원회에 통지되어야 한다.
7. 회원국은 국내 신원증명번호 또는 일반적으로 적용되는 기타 신분증이 처리될 수 있는 조건을 결정하여야 한다.
제9조 (개인정보의 처리와 표현의 자유)
회원국은 보도목적 또는, 예술적 표현 또는 문학적 표현의 목적을 위한 개인정보의 처리에 관한 이 장과 제4장 그리고 제6장의 규정의 면제 또는 예외는 표현의 자유의 원칙에 프라이버시권을 조화시킬 필요가 있는 경우에 한하여 규정하여야 한다.
제 4 절 정보주체에 대한 고지
제10조 (정보주체로부터 정보를 수집하는 경우의 고지)
회원국은 관리자 또는 그 대리인이 정보주체와 관련된 정보를 수집한 경우 정보주체에게 적어도 다음 각 호에 해당하는 사항을 고지하여야 한다. 다만, 정보주체가 고지사항에 대하여 알고 있는 경우에는 제외한다.
(a) 관리자와 그 대리인의 신원
(b) 정보의 처리목적
(c) 다음과 같은 기타의 고지 사항
– 정보의 수령인 또는 그 범주
– 질문에 대한 응답이 의무적인지 임의적인지, 응답을 거부한 경우에 가능한 결과
– 정보주체와 관련한 정보의 열람권과 정정요구권의 존재
정보가 수집되는 특정한 상황, 정보주체에 관한 공정한 처리의 보장과 관련하여 더 많은 정보가 필요로 하는 한도에서 기타의 고지 사항
제11조 (정보주체로부터 정보를 얻지 않은 경우의 고지)
1. 정보주체로부터 정보가 얻지 아니한 경우 회원국은 관리자 또는 그 대리인이 개인정보를 기록하는 시점에서 또는 제3자에게 공개될 것으로 계획되었다면 최초로 정보가 공개되는 시점 이전에 적어도 다음 각 호에 해당하는 사항을 고지하여야 한다. 다만, 정보주체가 이미 알고 있는 경우에는 제외한다.
(a) 관리자와 그 대리인의 신원
(b) 처리의 목적
(c) 다음과 같은 기타의 고지 사항
– 관련 정보의 범주
– 수령인 또는 수령인의 범주
– 정보주체와 관련한 정보에 대한 열람권과 정정요구권의 존재
정보가 수집되는 특정한 상황, 정보주체에 관한 공정한 처리의 보장과 관련하여 더 많은 정보가 필요한 한도에서 기타의 고지 사항
2. 당해 고지가 불가능하거나 또는 고지를 위하여 불합리한 노력이 필요하거나 또는 법에 의하여 명백하게 공개가 정하여진 경우 특히, 통계적 목적을 위한 또는 역사적 또는 과학적 연구를 목적으로 처리하는 경우에는 제1항을 적용하지 아니한다. 이러한 경우 회원국은 적절한 보호조건을 규정하여야 한다.
제 5 절 정보주체의 정보 열람권
제12조 (열람권)
회원국은 모든 정보주체에게 다음 각 호에 해당하는 것을 관리자로부터 얻을 권리를 보장하여야 한다.
(a) 합리적인 간격으로 거리낌 없이, 그리고 지나친 지연 또는 비용 없이
– 정보주체와 관련한 정보가 처리되고 있는 지 여부에 관한 확인 그리고 적어도 처리의 목적, 관련정보의 범주, 그리고 정보의 공개를 받을 수령인 또는 수령인의 범주에 관한 고지
– 처리되고 있는 정보와 정보의 자료에 관한 유용한 사항에 대한 알기 쉬운 형식에 의한 정보주체에의 통지
– 적어도 제15조 제1항에 정해진 자동처리 결정의 경우 정보주체와 관련한 정보의 자동적 처리에 포함된 로직에 관한 정보
(b) 특히 정보의 불완전, 부정확한 성질로 인하여 이 지침의 규정에 위반한 처리의 정보의 교정, 삭제 또는 방지
(c) 제3자에게 공개된 정보가 (b)호에 따라 수행된 교정, 삭제 또는 방지의 경우 그 내용을 제3자에게 통지. 다만 통지가 불가능하거나, 불합리한 노력이 요구되는 경우에는 제외한다.
제 6 절 면제와 제한
제13조 (면제와 제한)
1. 회원국은 다음 각 호에 해당하는 사항을 보장하기 위하여 제한을 가할 필요가 있는 때에는 제6조 제1항, 제10조, 제11조 제1항, 제12조 및 제21조에 규정된 의무와 권리의 범위를 제한하기 위한 정당한 조치를 채택할 수 있다.
(a) 국가안보
(b) 방위
(c) 공공의 안전
(d) 범죄 또는 규제된 전문직업에 종사하는 자의 윤리 위반을 예방, 조사, 수사 그리고 기소
(e) 통화, 재정과 조세문제를 포함한 회원국 또는 유럽연합의 중요한 경제적 또는 재정적 이익
(f) (c)호, (d)호 그리고 (e)호에 정해진 사항의 공적권한의 행사와 관련한 감시, 검사 또는 규제적 기능
(g) 정보주체 또는 기타의 자(者)의 권리와 자유의 보호
2. 정보주체의 프라이버시를 침해할 위험이 명백히 없는 경우(특히, 정보가 특정개인에 관한 조치 또는 결정을 위하여 사용되지 않는 경우), 정보가 과학적 연구를 유일한 목적으로 하여 처리되는 경우 또는 통계를 산출하기 위한 단일 목적을 위하여 필요로 하는 기간을 초과하지 않는 기간 내의 개인별 정보를 보관하는 경우 회원국은 적절한 법적 보호조건을 갖추어 입법에 의하여 제12조에 규정된 권리를 제한할 수 있다.
제 7 절 정보주체의 반대할 권리
제14조 (정보주체의 반대할 권리)
회원국은 다음 각 호에 해당하는 정보주체의 권리를 인정하여야 한다.
(a) 적어도 제7조 (e)호와 (f)호에 정해진 사항의 경우에, 정보주체가 처한 특별한 상황과 관련하여 부득이한 이유가 있는 경우 언제든지 정보주체와 관련한 정보의 처리를 반대할 권리, 그리고 국내법에 의하여 규정된 기타의 권리를 보호하기 위한 권리. 반대가 정당화되는 경우 관리자에 의하여 교사된 처리는 당해 정보를 포함할 수 없다.
(b) 요구와 무비용과 관련하여, 관리자가 정보주체와 관련한 개인정보의 처리를 영업의 직접적인 목적으로 처리하고자 하는 것에 반대할 권리 또는, 제3자에게 개인정보를 최초로 공개되기 전에 고지 받을 권리 또는 관리자를 위하여 영업의 직접적인 목적으로 사용되기 전의 고지 받을 권리, 그리고 비용을 지불하지 않고 당해 공개 또는 이용을 반대할 권리를 명백히 제공받을 권리. 회원국은 정보주체가 (b)호의 1문에 정한 권리의 존재를 알 수 있도록 보장할 필요한 조치를 취하여야 한다.
제15조 (자동화 처리될 대상의 결정)
1. 회원국은, 정보의 자동화 처리가 정보주체와 관련한 직무의 수행, 신용가치, 신뢰성, 품행 등과 같은 일정한 개인적 측면을 평가할 것을 의도하고 있으며, 정보주체에게 법적 효과를 발생하거나 중대한 영향을 미치는 경우 모든 사람이 당해 처리를 위한 결정의 대상이 되지 않을 권리를 인정하여야 한다.
2. 회원국은, 이 지침의 다른 조항에 의하여 다음 각 호에 해당하는 결정이 있는 경우 제1항에서 언급된 종류의 결정의 대상이 될 수 있는 자를 규정하여야 한다.
(a) 계약의 체결 또는 이행을 위한 청약이 있어서 정보주체가 이에 승낙하였거나, 편집에 정보주체의 견해가 반영시키는 것을 허용하는 것과 같이 정보주체의 정당한 이익을 보장할 적절한 조치를 있는 경우, 계약의 체결 또는 이행하는 과정에서 채택된 결정
(b) 정보주체의 정당한 이익을 보장할 조치를 정한 법에 의하여 수권된 결정
제 8 절 처리의 비밀유지와 보안
제16조 (처리의 비밀유지)
처리자 자신을 포함하여, 관리자와 처리자의 지휘에 따라 개인정보에 접속하는 자는 관리자의 지시가 있는 경우를 제외하고 개인정보를 처리하면 아니 된다. 다만, 법에 의하여 그렇게 할 의무가 있는 경우에는 예외로 한다.
제17조 (처리의 보안)
1. 회원국은, 관리자가 특히 통신망을 이용한 정보의 전송을 포함하는 처리의 경우에 있어 우연한 또는 불법적인 파괴, 우연한 손해, 변조, 승인 받지 않은 공개 또는 접속 그리고, 기타 모든 불법적 형식에 의한 처리를 방지하여 개인정보를 보호하기 위한 적절한 기술적ㆍ조직적 조치를 이행하여야 함을 규정하여야 한다. 당해 조치는 기술의 상태와 이행의 비용을 고려하여, 처리와 보호될 정보의 성질에 의하여 나타나는 위험에 대한 적합한 보안의 수준을 보장하여야 한다.
2. 회원국은 처리가 관리자의 대리인에 의하여 수행되는 경우 관리자는 수행될 처리를 통제할 기술적 보안조치와 조직적 조치의 관점에서 충분한 능력을 갖춘 처리자를 선택하여야 하고 그리고, 관리자는 당해 조치가 준수되는 것을 보장할 것을 규정하여야 한다.
3. 처리자를 통하여 수행되는 처리는 관리자에게 처리자가 구속되는 계약 또는 법률행위에 규정되는 다음의 사항에 의하여 통제되어야 한다.
– 처리자는 오직 관리자의 지시에 따라 행하여야 한다.
– 제1항에 정한 의무가 회원국의 법에 의하여 처리자의 의무로 정의되었다면, 또한 처리자의 의무가 된다
4. 정보보호와 관련한 계약 또는 법률행위 그리고 제1항이 정한 조치와 관련한 요건의 중요부분은 증거를 유지할 목적을 위하여, 문서로 하거나 기타 이와 동등한 형식으로 한다.
제 9 절 통지
제18조 (감독기관에 대한 통지의무)
1. 회원국은 관리자 또는 그 대리인이 단일 목적 또는 수 개의 관련 목적에 이용할 의도에 따라 전부 또는 일부분에 대한 자동화 처리작업 또는 일련의 자동화 처리작업을 수행하기 전에 제28조에 정한 감독기관에 통지하여야 한다고 규정하여야 한다.
2. 회원국은 아래의 사항과 조건에 한하여 통지의 간소화 또는 면제를 규정할 수 있다.
– 처리될 정보를 고려하여, 처리작업의 범주가 정보주체의 권리와 자유에 불리하게 작용하지 않고, 관리자가 처리의 목적, 처리중인 정보 또는 정보의 범주, 정보주체의 범주, 정보가 공개될 수령인 또는 수령인의 범위 그리고 정보가 저장될 기간을 명백하게 한 경우
– 관리자가 그를 규율하는 국내법에 따라 개인정보보호 직원 특히 권한을 위탁받은 자를 지명한 경우
– 이 지침에 따라 채택된 국내 규정이 독립적 방법에 의해 국내에 적용되는 것을 보장하기 위한 경우
– 제21조 제2항에서 정한 항목을 포함하여, 관리자에 의하여 수행된 처리작업에 관한 등록부를 유지하는 경우
위의 것에 의해서 정보주체의 권리와 자유가 처리작업에 의하여 부정적 영향을 받지 않는 것을 보장한다.
3. 회원국은 법 또는 명령에 따라 공중에 정보를 제공할 의도로 그리고 일반 공중에 의한 또는 정당한 이익을 입증하는 자에게 의견개진의 기회를 주기 위한 등록부를 유지할 목적으로 처리하는 경우 제1항을 적용하지 아니하는 것으로 규정할 수 있다.
4. 회원국은 제8조 제2항에서 정한 처리작업의 경우 통지의무의 면제 또는 통지의 간소화를 규정할 수 있다.
5. 회원국은 개인정보를 포함한, 일정한 또는 모든 비자동화 처리작업이 통지되어야 하거나 또는 간소화된 통지의 대상이 되는 처리작업으로 규정할 수 있다.
제19조 (통지의 내용)
1. 회원국은 통지에 포함될 내용을 명시하여야 한다. 통지에는 적어도 다음 각 호에 해당하는 것을 포함하여야 한다.
(a) 관리자와 그의 대리인의 이름과 주소
(b) 처리의 목적
(c) 정보주체의 범주 그리고 정보의 범주 또는 정보주체와 관련한 정보의 범주에 대한 기술
(d) 정보의 공개를 받는 수령인 또는 수령인의 범주
(e) 제3국으로 정보의 이전이 제안된 것
(f) 처리의 보안을 보장하는 제17조에 의하여 채택된 조치의 적합성에 관한 예비평가가 이루어질 것을 인정하는 일반적 기술
2. 회원국은 제1항에서 정한 내용에 영향을 줄 변화는 감독기관에 통지되어야 하는 것과 그 절차에 대하여 명시하여야 한다.
제20조 (사전검사)
1. 회원국은 처리작업이 정보주체의 권리와 자유에 특정한 위험을 제공할 것인지 결정하여야 하고 그리고, 이러한 처리작업이 시작되기 전에 심사 받는 것을 검사하여야 한다.
2. 사전검사는 관리자 또는 정보보호직원에 의한 통지를 수령하는 감독기관에 의하여 수행되어야 한다. 관리자 또는 정보보호직원은 의심이 있는 경우 감독기관과 협의하여야 한다.
3. 회원국은, 처리의 성질을 정의하고, 적절한 보호조건을 정한 조치가 국내의회에 의한 조치이든 당해 입법조치에 기초한 조치이든 상관없이 당해 검사를 수행할 수 있다.
제21조 (처리작업의 공표)
1. 회원국은 처리작업이 공표되는 것을 보장하기 위한 조치를 취하여야 한다.
2. 회원국은 제18조에 따라 통지받은 처리작업의 등록부가 감독청에 의하여 유지되어야 함을 규정하여야 한다. 등록부는 적어도 제19조 제1항 (a)호 내지 (e)호에 정한 내용을 포함하여야 한다. 등록부는 모든 사람이 열람할 수 있다.
3. 회원국은 통지의 대상이 되지 않는 처리작업과 관련하여, 관리자 또는 그밖에 회원국이 지명한 자가 적절한 형식에 의하여 요구하는 자에게 적어도 제19조 제1항 (a)호 내지 (e)호에 정한 내용을 이용할 수 있도록 하는 규정을 두어야 한다.
회원국은 법 또는 명령에 의하여 공중에 정보를 제공할 의도로 그리고 일반공중에 의한 또는 정당한 이익이 입증할 수 있는 자에 의한 의견개진의 기회를 주기 위한 등록부를 유지할 목적으로 처리하는 경우 본 항을 적용하지 아니하는 것으로 규정할 수 있다.
제 3 장 사법구제, 책임 및 제재
제22조 (구제)
사법기관에 심사를 청구하기 이전에, 규정에 의하여 존재할 수 있는 행정적 구제를 침해하지 않고(무엇보다도, 제28조에 정한 감독기관에서의 행정적 구제를 침해하지 않고) 회원국은 문제의 처리에 적용될 수 있는 국내법에 의하여 보장된 권리의 침해에 대한 사법적 구제를 받을 권리를 규정을 두어야한다.
제23조 (책임)
1. 회원국은 불법적인 처리작업의 결과에 의하여 또는 이 지침에 의하여 채택된 국내 규정에 위반한 행위의 결과로부터 손해를 본 사람은 손해에 대한 배상을 관리자로부터 받을 권리가 있다는 것을 규정하여야 한다.
2. 관리자는 손해가 발생하게 된 사건이 그의 책임이 아니라는 것을 입증하는 경우 손해의 전부 또는 일부를 면제받을 수 있다.
제24조 (제재)
회원국은 이 지침의 규정의 완전한 이행을 보장할 적절한 조치를 채택하여야 하고, 특히 이 지침에 따라서 채택된 규정을 위반한 경우 부과될 수 있는 제재를 정하여야 한다.
제 4 장 개인정보의 제3국 이전
제25조 (원칙)
1. 회원국은 개인정보의 제3국으로의 이전은, 당해 개인정보가 처리 중이거나 또는 이전된 후 처리될 예정인 경우 이 지침의 기타 규정에 따라서 채택된 국내 규정을 침해하지 않으며, 문제의 제3국이 적절한 수준의 보호를 보장하는 경우에 한하여 가능하다고 규정하여야 한다.
2. 제3국에 의한 보호의 적정수준은 하나의 정보이전작업 또는 일련의 정보이전작업을 둘러싼 모든 상황을 고려하여 평가하여야 한다.
특히 정보의 성질, 예정되어 있는 처리작업의 목적과 기간, 정보 발신국과 최종 수신국, 당해 제3국에서 유효하게 시행되는 일반적ㆍ분야별 법규범, 제3국에서 시행되는 전문적 법규범과 보안조치를 고려하도록 한다.
3. 회원국과 위원회는, 제3국이 제2항이 의미하는 적절한 보호 수준을 보장하지 않는다고 판단한 경우 다른 회원국에 알려야 한다.
4. 위원회가 제3국이 제31조 제2항에 규정된 절차에 의하여 본조 제2항이 의미하는 적절한 수준의 보호를 보장하지 않고 있다고 판단한 경우 회원국은 문제의 제3국으로 동일한 형태의 정보의 이전을 방지할 필요한 조치를 취하여야 한다.
5. 위원회는 제4항의 판단으로 야기된 상황을 해결하기 위하여 적절할 시기에 협상에 착수하여야 한다.
6. 위원회는 제31조 제2항에 규정된 절차에 따라서, 사생활과 개인의 기본적 자유와 권리의 보호를 위한 제3국의 국내법 또는 제3국이 체결한 국제조약을 기준으로, 특히 제5항에서 정한 협상의 결과에 따라 제2항이 의미하는 적절한 수준의 보호를 보장하고 있다고 인정할 수 있다. 회원국은 위원회의결정에 따라 필요한 조치를 취하여야 한다.
제26조 (예외)
1. 제25조의 원칙의 예외를 인정하는 것에 의하여 그리고 특정 사례를 규율하는 국내법의 다른 규정을 보호하기 위하여, 회원국은 제25조 제2항이 의미하는 적절한 수준의 보호를 보장하지 않는 제3국으로의 일회 또는 일련의 개인정보 이전은 다음 각 호에 해당하는 조건에서 이루어질 수 있다고 규정하여야 한다.
(a) 정보주체가 제안된 이전에 명백히 동의한 경우
(b) 정보주체와 관리자 사이에 체결된 계약의 이행에 필요한 이전 또는 정보주체의 요청에 따라 채택된 계약 전 조치를 이행하기 위하여 필요한 이전
(c) 관리자와 제3자의 사이에 정보주체의 이익을 위한 계약의 체결 또는 이행을 위하여 필요한 이전
(d) 중요한 공익적 근거에 기초하여 필요하거나 또는 법적으로 의무 지워진 이전 또는 소송의 제기, 수행, 방어를 위하여 필요하거나 법적으로 의무 지워진 이전
(e) 정보주체의 중대한 이익의 보호를 위하여 필요한 이전
(f) 법 또는 명령에 의하여 공중에 정보를 제공할 의도에 의한 등록부로부터 이루어진 이전 그리고 특정 사안에서 법에 의하여 의견개진이 이행되도록 정해진 조건의 한도에서, 일반 공중에 의한 또는 정당한 이익이 입증할 수 있는 자에 의한 의견개진의 기회를 주기 위하여 공개를 목적으로 등록부로부터 이루어진 이전
2. 제1항을 침해하지 않고, 관리자가 개인의 프라이버시와 기본권 그리고 자유의 보호와 이에 준하는 권리의 행사와 관련한 적절한 보호조건을 제시한 경우 회원국은 제25조 제2항이 의미하는 보호의 적절한 수준을 보장하지 않는 제3국으로의 일회 또는 일련의 개인정보의 이전을 승인할 수 있다. 당해 보호조건은 특히 적절한 계약조항에 의거할 수 있다.
3. 회원국은 제2항에 의하여 이전을 승인한 경우 위원회와 다른 회원국에 알려야 한다.
회원국 또는 위원회가 개인의 프라이버시와 기본권 그리고 자유의 보호를 포함한 정당화된 근거에 이견이 있는 때에는 위원회는 제31조 제2항에서 정한 절차에 따라 적절한 조치를 춰하여야 한다. 회원국은 위원회의 결정에 따라 필요한 조치를 취하여야 한다.
4. 위원회가 제31조 제2항에서 정한 절차에 따라 제2항이 요구하는 충분한 보호조건을 제공하는 계약조항의 일정한 기준을 정한 경우 회원국은 위원회의 결정에 따라 필요한 조치를 취하여야 한다.
제 5 장 행동강령
제27조
1. 회원국과 위원회는 각 산업부문의 특징을 고려하여, 이 지침에 따라 회원국에 의하여 채택된 국내 법규의 적절한 이행에 기여할 수 있은 행동강령을 정하는 것을 촉진하여야 한다.
2. 회원국은 국내 규칙안을 작성한 관리자 또는 현행의 국내규칙을 개정 또는 확장의 의사를 국가기관의 의견의 결정을 위하여 제출할 수 있는 관리자이외의 사업자 단체와 기타의 자(者)를 위한 규정을 두어야 한다.
회원국은 규칙안을 접수하고, 제출된 안이 이 지침에 따라서 채택된 국내규정에 적합한 것인지 확인할 감독기관에 관한 규정을 두어야 한다. 안이 적합한 것으로 인정되면 당해 기관은 정보주체 또는 그 대표자의 의견을 수렴하여야 한다.
3. 공동체 규칙안 그리고 현행의 공동체 규칙안의 개정 또는 확장안은 제29조에서 정하는 작업반에 제출될 수 있다.
작업반은 제출안이 이 지침에 따라서 채택된 국내 규정에 적합한지 결정하여야 한다. 안이 적합한 것으로 인정되면 당해 기관은 정보주체 또는 그 대표자의 의견을 수렴하여야 한다. 위원회는 작업반이 승인한 규칙의 적절한 공개를 보장할 수 있다.
제 6 장 감독기관과 개인정보보호작업반
제28조 (감독기관)
1. 각 회원국은 이 지침에 의하여 회원국이 채택한 규정의 영토내의 적용에 대한 감시를 책임지는 하나 이상의 공공기관을 설치하여야 한다.
당해 기관은 위임받은 임무를 완전히 독립적으로 수행한다.
2. 각 회원국은 개인정보의 처리와 관련한 개인의 권리와 자유의 보호에 관한 행정적 조치 또는 행정규칙을 정할 때에는 감독기관과 협의하여야 한다.
3. 각 감독기관은 특히 다음과 같은 권한을 행사하여야 한다.
– 처리작업의 대상을 형성하는 정보를 열람하는 권한과 같은 수사권 그리고 감독의무를 이행하는 데 필요한 정보를 수집할 권한
– 제20조에 따라 처리작업이 수행되기 전에 의견을 말하는 것과 같은 유효한 간섭권 그리고, 당해 의견의 공표, 정보의 유통금지, 삭제 또는 폐기 명령의 공표, 처리의 잠정적․한정적 금지의 공표, 관리자에 대한 경고 또는 권고의 공표, 의회와 정치적 기관에 청원한 사항의 적절한 공표를 보장하는 유효한 간섭권
– 이 지침에 따라서 채택된 국내 규정에 위반된 경우 법적 절차를 개시할 권한 또는 당해 위반을 사법기관에 소추할 권한
감독기관의 결정에 불복이 있는 경우 법원에 제소할 수 있다.
4. 각 감독기관은 개인정보의 처리와 관련한 권리와 자유의 보호에 관하여 모든 사람과 그 사람들을 대표하는 협회에 의하여 제기된 청원을 들어야 한다. 관계인은 청원의 결과를 통지받아야 한다. 각 감독기관은 특히 이 지침의 제13조에 따라서 채택된 국내 규정이 적용된 때 정보처리의 적법성에 관하여 검사하도록 제기된 청원을 수리하여야 한다. 행해진 검사는 청원 제기 자에게 통지되어야 한다.
5. 각 감독기관은 일정한 간격을 두어 그 활동에 관한 보고서를 작성하여야 한다. 보고서는 공개되어야 한다.
6. 무엇이든지 국내법이 적용되는 문제의 처리에 대하여 관할권을 가진 각 감독기관은 회원국의 영토 내에서 제3항에 의하여 당해 기관에 주어진 권한을 행사한다.
각 기관은 다른 회원국의 기관에 의하여 그 권한의 행사를 요청받을 수 있다.
7. 회원국은 감독기관의 회원과 스탭이 그 직무를 면한 후에도 그들이 접한 비밀 정보와 관련하여 직무상 비밀유지 의무를 부과하는 규정을 두어야 한다.
제29조 (개인정보보호작업반)
1. 개인정보보호작업반은 자문을 위하여 그리고 독립적으로 행위 하도록 설립되었다. 이하 ‘작업반’이라 한다.
2. 작업반은 감독기관 또는 각 회원국에 의하여 지명된 기관의 대표 그리고 공동체의 기관 및 단체를 위하여 설립된 기관의 대표, 그리고 위원회의 대표로 구성된다.
작업반의 각 위원은 그를 대표로 하는 기관 또는 기관(들)에 의하여 임명되어야 한다. 한 회원국이 2인 이상의 감독기관을 지명한 경우 2이상의 감독기관은 한 명의 공동의 대표를 지명하여야 한다. 공동체의 기관과 단체를 위해 설립된 기관의 경우에도 같다.
3. 작업반은 감독기관의 대표의 과반수에 의하여 결정한다.
4. 작업반은 의장을 선출하여야 한다. 의장의 임기는 2년으로 한다. 의장은 연임할 수 있다.
5. 작업반의 사무국은 위원회에서 제공한다.
6. 작업반은 자체의 절차규범을 채택한다.
7. 작업반은 자체의 발의에 의한 것 또는 감독기관의 대표의 요구에 의한 것 또는 위원회의 요구에 의한 것이든 의장이 부의한 사항을 심의한다.
제30조
1. 작업반은 다음 각 호에 해당하는 직무를 행한다.
(a) 국내 조치의 통일적 적용에 기여하기 위하여 이 지침에 의하여 채택된 국내 조치의 적용을 포함한 문제의 심사
(b) 공동체 내에서 그리고 제3국에서의 보호의 수준에 관한 의견을 위원회에 제출하는 것
(c) 개인정보의 처리와 관련한 자연인의 권리와 자유를 보호하기 위한 추가적 또는 특정의 조치에 관한 것 및 당해 권리와 자유에 영향을 주는 기타공동체의 조치안에 관한 것으로, 이 지침의 개정안에 관한 위원회에 대한자문
(d) 공동체 수준에서 정해진 행동강령에 관한 의견제출
2. 작업반이 공동체 내에서 개인정보의 처리와 관련하여 회원국들의 법 또는 관행 사이에 개인을 위한 보호의 등가성을 침해할 수 있는 차이가 발생하는 것을 발견하였다면, 작업반은 위원회에 그것을 통지하여야 한다.
3. 작업반은 공동체 내에서의 개인정보의 처리와 관련한 개인의 보호에 관한 모든 문제에 대하여 자체의 발의에 의한 권고를 할 수 있다.
4. 작업반의 의견과 권고는 위원회와 제31조에서 정하는 정보보호위원회에 제출되어야 한다.
5. 위원회는 작업반의 의견과 권고에 응하여 위원회가 취한 조치를 작업반에 통지하여야 한다.
6. 작업반은 공동체 내에서 그리고 제3국에서 개인정보의 처리와 관련한 자연인의 보호에 관한 상황에 대한 연례보고서를 작성하여야 하고, 작업반은 보고서를 위원회, 유럽의회, 각료회의에 제출하여야 한다. 보고서는 공개되어야 한다.
제 7 장 공동체가 실시하는 조치
제31조 (정보보호위원회)
1. 위원회는 위원회의 대표가 의장이 되고 회원국의 대표로 구성되는 정보보호위원회의 조력을 받아야 한다.
2. 위원회의 대표는 채택될 조치의 안을 정보보호위원회에 보내야 한다. 정보보호위원회는 사안의 긴급에 따라 의장이 정하는 제한기간 내에 안에 관한 의견을 제출하여야 한다. 의견은 조약 제148조 제2항에서 정한 의결방식에 의하여 결정되어야 한다. 정보보호위원회 내에서 회원국의 대표의 투표권은 조약 제148조 제2항에서 정한 가중치를 갖는다. 의장은 투표하지 아니한다.
위원회는 채택한 조치를 즉시 시행하여야 한다. 다만 당해 조치가 정보보호위원회의 의견과 일치하지 않는 경우 즉시 위원회는 각료회의에 통지하여야한다.
통지가 된 경우 다음과 같이 진행된다.
– 위원회는 통지한 때로부터 3개월 동안 결정된 조치의 시행을 연기하여야 한다.
– 각료회의는 제148조 제2항에서 정한 의결방식에 의하여 결정하고, 3개월의 제한기간 내에 다른 결정을 채택할 수 있다.
최종규정
제32조
1. 회원국은 이 지침에 의하여 필요한 법, 명령과 규칙을 지침이 채택된 날로부터 3년의 기간 내에 시행하여야 한다. 회원국은 당해 조치를 채용함에 있어, 당해 조치는 이 지침의 참조를 포함하거나 또는 공포의 경우에 당해 참조를 명기하여야 한다. 당해 참조의 방법은 회원국에 의하여 정하여 진다.
2. 회원국은 이 지침에 따라서 채택된 국내 규정이 효력을 발생하는 날 이미 진행 중인 처리가 동 규정이 효력을 발생한 날로부터 3년 내에 동 규정에 적합하도록 보장하여야 한다.
前文에 대한 예외로, 회원국은 이 지침에 따라서 채택된 국내 규정이 효력을 발생하는 날 이미 정보의 처리가 수동 파일링시스템에서 수행된 경우 정보처리가 국내 규정이 채택된 날로부터 12년 내에 이 지침의 제6조, 제7조 그리고 제8조에 적합하여야 한다고 규정할 수 있다. 회원국은 정보주체가 그의 요청이 있고 그리고 특히 열람권을 행사하는 때에 불완전, 부정확 또는 관리자에 의하여 추구된 정당한 목적에 적합하지 않은 방법에 따라 저장된 정보의 정정, 삭제 또는 유통금지를 청구할 권리를 인정하여야 한다.
3. 제2항의 예외의 인정을 통하여, 회원국은 적절한 보호조건을 조건으로 하여 역사적 연구만을 목적으로 유지하는 정보는 이 지침의 제6조, 제7조 그리고 제8조를 적용하지 아니할 수 있다.
4. 회원국은 이 지침이 규율하는 영역에서 회원국이 채택한 국내법의 규정의 원문을 위원회에 제출하여야 한다.
제33조
위원회는 이 지침이 이행에 관하여 각료회의 그리고 유럽의회에 일정한 간격으로 보고하여야 한다. 다만 제32조 제1항에서 정한 날로부터 3년 이내에 첫 보고를 하여야 한다. 필요한 경우 보고서에 부과하여 적절한 개정을 위한 제안을 할 수 있다. 보고서는 공개되어야 한다.
위원회는 특히 자연인과 관련한 음성과 영상 정보처리에 대한 이 지침의 적용을 심사하여야 하고 그리고 정보화 기술 분야의 발전과 정보화 사회의 진보의 상태의 측면에서의 발전을 고려하여, 필요하다고 입증할 수 있는 적절한 제안을 제출하여야 한다.
제34조
이 지침은 1995년 10월 24일 룩셈부르그에서 유럽의회를 대표하여 K. 헨쉬의장이, 각료회의를 대표하여 L. 아띠엔짜 세르나 의장이 회원국에 발송하였다.
2. EU의 제3국 정보교류를 위한 개인정보보호기준
(발췌 번역)
EU 개인정보보호지침 제25, 26조 적용에 따른
역외 제3국에 대한 개인정보 이전의 기준
Transfers of personal data to third countries :
Applying Articles 25 and 26 of
the EU Data Protection Directive
1998. 7. 24 개인정보보호작업반 채택
I. 개인정보보호의 기준
○ EU는 개인정보보호 지침(95/46/EC, 이하 “EU지침”)에 의하여 제3국의 개인정보보호가 적절한 수준으로 이루어지는 경우에 한하여 회원국으로부터 제3국으로의 정보이전을 허용하고 있음. 보호수준이 적절한지의 여부는 구체적인 경우에 제반 사정을 감안하여 판단하게 됨.
○ 개인정보의 목적은 그에 관한 정보가 처리되는 개인을 보호하기 위한 것임. 개인정보보호를 위한 법규는 그 내용도 중요하지만 그 실효성을 확보할 수 있는 제도상의 문제이기도 함.
– 유럽에서 시행되는 법규는 위반시의 제재 및 개인의 권리구제에 만전을 기하는 한편 EU지침에 따라 감독기관의 감시와 피해조사에 관한 절차규정도 두고 있음. OECD 가이드라인은 개인정보보호를 위한 절차규정은 국내 입법시에 참고하는 권장사항으로 되어 있음.
– 따라서 개인정보가 적절하게 보호되고 있는지 여부는 법규정의 내용과 그의 효과적인 적용을 확보하기 위한 수단에 초점을 맞춰 심사ㆍ분석하게 됨.
○ 개인정보보호가 적절한 수준으로 이루어지는지의 심사는 EU지침을 토대로 기타 국제규범을 참고하여 개인정보보호의 핵심 내용과 절차 및 집행의 요건이 일정한 기준을 충족하는지 알아보는 것임. 그 기준은 확정적인 것은 아니며 적의 가감될 수 있음. 구체적인 경우에 개인정보의 이전이 정보의 주체에 안겨주는 위험의 정도가 요구기준을 가늠하는 중요한 요소가 될 것임.
(1) 내용상의 원칙
① 목적 제한(purpose limitation)의 원칙 : 개인정보는 특정 목적을 위하여 처리되고 이용되며, 이전의 목적에 반하지 않는 한 유통될 수 있음. 유일한 예외는 EU지침 제13조에 규정된 국가안보, 공공의 안녕과 질서 등 이유가 있는 경우임.
② 정보의 질, 비례(data quality and proportionality)의 원칙 : 정보는 정확하여야 하며 필요하면 갱신되어야 함. 정보는 이전․처리의 목적과 관련하여 적절하고 과도하지 않아야 함.
③ 투명성(transparency)의 원칙 : 개인은 정보가 처리되는 목적과 제3국에서 당해 정보를 관리하는 주체, 기타 공정성을 확보할 수 있는 정보를 알 수 있어야 함. 유일한 예외는 EU지침 제11조 2항과 제13조에 규정되어 있음.
④ 안전성(security)의 원칙 : 정보를 관리하는 자는 정보처리상의 위험에 비추어 적당한 기술적 및 관리적 보안조치를 취하여야 함. 그의 감독 하에 정보를 취급하는 자도 정보관리자의 지시를 따라야 함.
⑤ 열람ㆍ정정ㆍ거부(rights of access, rectification and opposition)의 권리 : 정보의 주체는 그에 관한 모든 정보를 열람할 수 있어야 하며, 부정확한 정보는 이를 정정하고, 일정한 경우에는 그에 관한 정보의 처리를 거절할 수 있어야 함.
⑥ 정보이전의 제한(restrictions on onward transfers) : 개인정보를 수령한 자가 이를 다시 전송하고자 할 매에는 제2의 정보수령자가 적절한 수준으로 이루어지는 개인정보보호의 규정의 적용을 받고 있어야 함. 유일한 예외는 지침 제26조 1항에 규정되어 있음.
○ 경우에 따라서는 다음의 원칙이 추가적으로 고려됨.
① 민감한 정보(sensitive data) : 지침 제8조에 열거되어 있는 민감한 정보에 대하여는 정보주체의 명시적인 동의를 요하는 등 추가적인 보호 장치가 있어야 함.
② 다이렉트 마케팅(DM) : DM 목적으로 정보를 처리하는 경우에는 정보주체가 언제든지 자신의 정보를 제외시킬 수 있어야 함.
③ 자동적인 결정(automated individual decision) : 정보이전의 목적이 지침 제15조의 취지에 따른 자동적인 결정으로 이루어지는 경우 개인은 이러한 결정의 로직을 알아야 하며 개인의 이익을 보호하기 위한 다른 조치가 취해져야 함.
(2) 절차 및 집행 요건
○ 유럽에서는 개인정보보호원칙이 법률로써 규정되고 독립된 기관이 이를 외부에서 감시 ㆍ감독할 필요가 있다고 보고 있음. 제3국에서는 개인정보보호의 절차가 어떠한 목적을 위한 것이며, 이를 기초로 同法的ㆍ非同法的 구제절차가 행하여지는지 알아볼 필요가 있음. 개인정보보호제도는 다음 세 가지의 목적을 가짐.
① 개인정보보호규정을 충분히 준수할 수 있어야 함. 즉 정보처리자가 보호의무를 충분히 인식하고, 정보주체도 자신의 권리와 행사방법을 잘 알고 있으며, 위반시의 제재수단이 갖추어져 있어야 좋은 시스템이라 할 수 있음.
② 정보주체가 자신의 권리를 행사함에 있어 지원 및 조력을 받을 수 있어야 함. 개인은 자신의 권리를 신속하고 효과적으로 과다한 비용부담 없이 행사할 수 있어야 하며, 이를 위하여 피해조사를 수행하는 기관의 조력이 있어야 할 것임.
③ 보호규정이 지켜지지 아니한 경우의 피해자에게 적절한 구제수단이 제공되어야 함. 이를 위하여 적절한 보상과 제재를 부과하는 독립적인 분쟁해결 또는 중재 시스템이 갖춰져 있어야 함.
II. 유럽회의협약 비준국의 경우
○ 『유럽회의협약 108』(Council of Europe Convention l08)은 개인정보보호에 관한 EU지침 외의 유일한 국제조약으로서 그 비준국은 15개 EU 회원국, 노르웨이ㆍ아이스랜드와 같은 유럽경제지역협정(EEA) 체약국 및 슬로베니아, 헝가리, 스위스 기타 제3국임. 이들 제3국이 유럽회의협약을 비준한 경우에 EU지침 제25조의 적절한 수준을 갖추었다고 볼 수 있는지 논란이 되고 있음.
– 유럽회의협약은 EU지침의 적절한 보호기준에 관한 내용상의 원칙 6개중에서 처음 5개와 민감한 정보에 관한 보호기준을 충족하고 있는 것으로 보임. 그러나 개인정보보호가 일정 수준에 못 미치는 제3국과의 정보교류를 제한하는 내용이 없으므로 유럽회의협약 체결국을 ‘중개지'(staging post)로 하여 정보교류가 행하여질 위험이 있음.
– 또한 절차상으로 정보보호의 기본원칙이 제대로 지켜지는지에 대한 보장이 불충분함. 유럽회의협약은 협약상의 원칙을 국내법에 규정하고 그 위반에 대한 제재와 구제방법을 제도화할 것을 요구하고 있으나, 체약국에 대하여 정보이용자의 불만에 대한 독립된 조사절차를 의무화하고 있지 않음. 사실 이러한 절차 없이는 정보이용자 개인이 자신의 권리를 행사하는 것을 적절히 지원할 수 없다는 문제가 있음.
○ 따라서 유럽회의협약 비준국에 대한 정보이전이 EU지침 제25조 1항에 부합된다고 보기 위해서는 단순하고 피상적이기는 하지만 일단 다음 요건을 구비하여야 함.
– 비준국이 EU지침의 준수를 보장하고 개인의 권리구제를 확보(예: 독립된 감독기구의 존재)할 수 있는 적절한 제도장치를 갖추었을 것
– 비준국이 정보이전의 최종목적지이고 중간경유지가 아닐 것. EU 회원국이나 다른 적절한 보호가 행해지는 국가로 정보를 이전하는 경유는 제외함.
III. 업계의 자율규제
○ EU지침 제25조 2항은 제3국의 정보보호수준을 평가함에 있어서 정보이전 작업을 둘러싼 제반 사정을 고려할 것을 요구하고 있음. 이때 특별히 참고할 것으로는 실정법규(rules of law) 뿐만 아니라 그 나라에서 준수되는 전문적인 규정(professional rules), 보안조치(security measures)도 있음. 즉 법규가 아니면서 준수되고 있는 규칙까지 검토해야 하는 바 업계의 자율규제(industry self-regulation)가 주된 대상임.
○ 자율규제란 각양각색이지만, 여기서는 동일 업무 또는 사업 분야에서 정보의 내용물(contents)이 사업 또는 업무종사자에 의해 결정되는, 다수의 정보관리자(plurality of data controllers)에게 적용되는 정보보호 규칙을 의미하는 것임. 이러한 정의는 광범위한 것으로서 넓게는 협회의 자발적인 정보보호 규약(voluntary data protection code)을 말하고, 좁게는 준사법적 내용을 포함한, 의사, 은행원 등의 전문직에 적용되는 직업윤리(professional ethics)와 같이 상세한 규약(detailed codes)을 말함.
○ 이러한 규약의 가치를 판단하는 중요한 기준은 그것이 어느 정도 강제성을 가지고 시행되느냐 하는 것임. 규약을 제정한 기구, 협회가 전체 사업자를 대표하느냐 아니면 일부의 사업자만 대표하느냐 하는 것은 당해 기구가 규약을 지키지 않은 회원에게 어떠한 제재를 가할 수 있느냐 하는 것보다 중요하지 않음.
– 업계 전반적으로 또는 어느 전문직종에 통용되는 규약이 특정 분야의 소수 기업집단에 적용되는 규약보다 적용범위가 널리 받아들여지는 이유는 첫째, 소비자의 관점에서 여러 경쟁적인 단체간에 나뉘어진 정보보호규약은 혼란스럽고 투명성을 보장하지 못한다는 점, 둘째, 개인정보가 여러 기업간에 유통되는 DM 등의 경우에 개인정보를 주고받는 기업간에 적용되는 규약이 다를 수 있고 적용규칙의 불확실성을 초래하므로 정보주체의 이의에 대한 조사 및 해결이 곤란해진다는 점 때문임.
○ 자율규제에 대한 평가는 규제의 도구(instrument)가 다양한 만큼 개인정보가 제3국에 이전될 때 적용되는 개인정보보호의 수준에 자율규제가 실제로 영향을 미치는 측면에서 여러 형식(forms)을 구별할 필요가 있음. 이러한 평가의 출발점은 제1장에서 언급한 일반원칙이지만, 자율규제의 내용뿐만 아니라 그것이 일반적으로 준수되는지 여부, 개인정보 주체에 대한 지원, 특히 개인정보 침해의 시정(redress) 및 배상을 심사하게 됨.
○ 자율규제 도구의 내용을 평가하는 것은 쉬운 일임. 제1장에서 말한 내용의 원칙이 존재하는지 확인하는 것이며, 객관적으로 평가를 함에 있어 규약이 어떻게 제정되었느냐보다 무엇을 정하고 있느냐가 문제임.
어떠한 업종 또는 전문직종이 규약의 내용을 정하는 데 정보의 주체나 소비자단체의 의견을 고려하는 등 중요한 역할을 하였는지는 중요하지 않음. 그것보다는 규약이 필요로 하는 정보보호원칙의 핵심을 보다 철저히 반영하였는지 평가하게 될 것임.
– 규약의 투명성은 매우 중요한 요소이며 아주 평이한 말로 쓰여 지고 구체적인 사례를 들어 설명하여야 함.
– 더욱이 규약은 적절한 보호대책(safeguard)이 강구되지 않는 한 그의 적용을 받지 않는 비회원 기업에 대한 정보의 공개를 금지하여야 함.
○ 자율규제 규약 내지 도구가 얼마나 효과가 있는지 평가하기란 쉬운 일이 아니지만, 규약의 준수를 어떻게 확보하고 그 위반행위를 어떻게 처리하는지 그 대처방법을 보면 알 수 있음. 자율규제 규약이 적절한 수준의 보호를 하고 있다고 인정받으려면 다음 세 가지 기준을 충족시켜야 함.
(1) 제대로 지켜지고 있는가(Good level of compliance)
– 자율규제 규약은 업계 또는 전문직종의 대표기구가 제정하여 회원들을 상대로 적용하는 것임. 이 규약이 제대로 지켜지려면 회원들이 규약이 존재하는 것과 그 내용이 무엇이라는 것을 알아야 하고, 그것이 시장에서 힘을 발휘할 수 있도록 소비자들에 대한 투명성을 확보하여야 하며, 정기적으로 감사를 받는 등 외부의 검증이 필요하고 가장 중요한 것은 위반시에 무슨 제재가 어떻게 과해지느냐 하는 것임.
ㆍ대표기구는 회원들에게 규약을 알리기 위해 무슨 노력을 하였는가?
ㆍ대표기구는 회원들에게서 규약 내용을 실천하고 있다는 증거를 얼마나 자주 요구하고 있는가?
ㆍ그러한 증거는 회원 본인이 보내오는 것인가 아니면 의부의 감사인이 보내오는 것인가?
ㆍ대표기구는 규약을 위반하였거나 위반한 것으로 의심이 되는 사례를 조사하고 있는가?
ㆍ규약의 준수는 회원의 의무사항인가, 아니면 자발적인 협조사항인가? 회원이 규약을 위반한 경우에는 탈퇴 등의 제재를 과하고 있는가?
ㆍ회원이 대표기구에서 축출된 다음에도 특정 직종 또는 업종에서 계속 활동할 수 있는가?
ㆍ규약의 준수 여부가 일반 법정이나 특수법정에서 심리되고 집행될 수 있는가? 일부 국가에서는 직업윤리규정이 법적인 효력을 갖고, 경우에 따라서는 공정거래 또는 경쟁관련 일반법 조항이 적용되고 있음.
– 제재의 종류를 알아볼 때에는 규약을 위반한 정보관리자에 대하여 단지 是正만 요구(remedial sanction)하는지 아니면 벌칙까지 부과하는지 구별하여야 함. 규약의 준수에 실효가 있는 것은 벌칙을 부과하는 제재(punitive sanction)임. 그러므로 벌칙성 제재가 없다는 것은 규약의 약점이며 의부에서 규약의 준수 여부를 검증하고 위반시에 이에 개입하거나 정기적으로 외부감사를 하지 않는 한 제대로 지켜진다고 볼 수 없음.
(2) 개인 정보주체에 대한 지원이 있는가
(Support and help to individual data subjects)
– 개인정보보호가 적절하고 효과적으로 이루어지려면 개인정보의 문제에 봉착한 개인에 대하여 제도적인 지원(institutional support)이 있어야함. 제도적인 지원은 공정하고 독립적이어야 하며, 불만을 조사하고 처리하는 데 필요한 권한이 있어야 함.
ㆍ불만을 조사하고 처리하는 시스템이 있는가?
ㆍ정보주체가 이러한 시스템이 있다는 것과 그 결정사례를 알고 있는가?
ㆍ개인 정보주체에 대하여 비용부담이 따르는가?
ㆍ누가 조사를 수행하며 필요한 권한을 갖고 있는가?
ㆍ누가 규약의 위반에 대하여 판단하는가? 독립적이고 불편부당한 지위에 있는가?
– 규약 위반행위를 심판하는 자는 불편부당(impartiality)해야 하는 바, 정보관리자로부터 독립된 것만으로는 불충분하고 당해 산업 또는 전문직종의 외부에서 초빙되는 것이 바람직함. 아무래도 같은 업종ㆍ직종에 있으면 규약 위반 혐의를 받고 있는 정보관리자와 공통의 이해관계를 갖기 때문임. 이 점이 미흡하다면 심판기구에 소비자단체의 대표를 동수로 영입함으로써 중립성을 확보할 수 있을 것임.
(3) 시정조치는 적절한가(Appropriate Redress)
– 자율규제 규약을 위반한 것으로 드러났을 때에는 정보주체에 구제수단이 주어져야 함. 구제수단은 부정확하거나 오류가 있는 정보를 수정ㆍ삭제하는 등 문제를 바로 잡고, 피해를 입은 경우에는 적절한 보상을 하는 것도 포함함.
EU지침상의 손해(damage)란 물리적인 손해, 금전적인 손실은 물론 심리적ㆍ정신적 피해(영미법상의 distress)를 망라하는 것임.
– 위반시의 제재수단은 (1)에서 설명한 것과 같음. 즉 제재를 가함으로써 위반자를 벌(punish)하고 규약의 준수를 촉구하는 한편 규약의 위반을 시정(remedy)하는 것임. 후자는 다음과 같은 사항을 포함함.
ㆍ규약을 위반한 회원이 업무처리 방식을 바꾸고 문제를 시정하였음을 입증할 수 있는가?
ㆍ규약상으로 어떻게 피해보상을 받을 수 있는가?
ㆍ규약의 위반을 계약위반으로 취급하거나 소비자보호ㆍ공정거래에 관한 실정법 위반으로 처리할 수 있으며, 이를 근거로 관할법원이 손해배상을 명할 수 있는가?
(4) 결 론
– 자율규제는 I.에서 설명한 목적에 의하여 평가할 수 있음. 업계의 자율규제 도구가 “적절한 보호” 해당하는 것으로 인정받기 위해서는 동규약이 개인정보가 이전되는 모든 회원에 대하여 구속력을 갖고 비회원에게 정보가 이전되는 경우에 대비하여 적절한 대책이 마련되어야 함.
– 자율규제 규약은 투명하고 개인정보보호의 핵심원칙을 모두 포함하고 있어야 함. 이 규약은 제대로 지켜질 수 있는 메커니즘을 갖추고, 위반시의 제재수단이 있어야 하며 외부검사를 받아야 함. 개인정보를 처리하는 과정에서 문제에 봉착한 정보주체가 제도적인 지원을 받을 수 있어야 하며, 쉽게 접근할 수 있고 공정하며 독립된 기구가 개인의 불만과 이의를 청취하고 규약 위반행위를 조사 심판할 수 있어야 함. 또한 자율규제 규약은 위반시의 적절한 시정조치와 구제수단, 피해보상을 보장하여야 함.
IV. 계약방식의 해결
○ EU지침은 원칙적으로 개인정보보호가 미흡한 제3국에의 정보이전을 금지하고 있으나, 제26조 2항에서 정보관리자가 프라이버시와 기본권의 보호, 그리고 개인의 자유와 그에 상응하는 권리의 행사에 관하여 적절한 대책을 마련한 경우에는 각 회원국이 정보의 이전을 허용할 수 있도록 하고 있음. 이러한 보호대책은 흔히 계약서 조항에 나타나 있는데, EU지침 제26조 4항에서는 집행위원회로 하여금 제31조의 절차에 따라 어떠한 계약서 조항이 제26조 2항에서 정하는 충분한 보장을 제공하는지 결정하도록 하고 있음.
○ 개인정보의 이전에 있어서 계약을 가지고 규제하는 방안은 일찍이 1992년 유럽회의, 국제상업회의소, 집행위에서 검토한 바 있으며, EU지침에 규정된 것을 계기로 많은 전문가들이 논의를 거듭하고 있음. 실제로도 프랑스에서는 1980년대 말부터 널리 적용되고 있으며, 독일에서는 시티뱅크의 ‘철도카드’ 케이스를 계기로 주목을 받았음.
1. 역대 정보이전에 있어서 계약의 활용
○ EU 역내에서 계약서 조항이 문제가 되는 것은 정보의 처리에 하나 이상의 당사자가 관여하는 경우 정보관리자(data controller)가 개인정보보호 원칙을 준수할 책임을 지고 정보처리자(processor)는 단지 정보의 보안(security)에 대해서만 책임을 지기 때문임. 이 경우 정보처리의 목적과 수단에 관한 의사결정권을 가진 자가 정보관리자이고, 정보처리자는 단순히 정보처리 서비스만 제공하는 것으로 보고 있음.
– EU지침 제17조 (3) 정보처리자의 정보처리 수행은 정보처리자로 하여금 정보관리자에 대하여 의무를 부담하게 하고 다음과 같은 규정을 둔 계약 또는 법규로써 규율하여야 함.
ㆍ정보처리자는 정보관리자의 지시에 따라서만 행동할 것
ㆍEU지침의 보안에 관한 책임이 정보처리자가 설립되어 있는 회원국의 국내법상으로도 유효할 것
– 위의 규정은 지침 제16조에 정한 원칙을 부연한 것으로 이에 따르면, 정보관리자로서 행동하는 자는 법이 정하는 경우를 제외하고는 관리자의 지시가 아니면 개인정보를 처리하여서는 아니 됨.
○ 개인정보를 제3국으로 이전하는 경우에는 역내에서 정보를 전송하는 자와 제3국에서 이를 수신하는 자, 즉 하나 이상의 당사자가 참여하게 됨. 이 때 개인정보보호의 책임을 두 당사자에게 어떻게 분담시키느냐 하는 것은 계약으로 정하게 되는데, 제3국의 정보수신자가 적절한 수준의 정보보호관련 규정을 지키지 않을 수 있다는 점에서 적어도 정보주체에 대하여 추가적인 안전대책(additional safeguards)을 강구하도록 해야 함.
– 개인정보보호에 관한 EU지침과 EU 회원국의 실정법규 적용을 받지 않는 개인정보의 역외 이전에 있어서 계약은 정보관리자가 적절한 안전대책을 취하도록 하는 수단이 됨. 계약서 조항이 이러한 목적을 달성하기 위해서는 바로 개인정보보호에 관한 핵심적인 사항을 만족스러울 정도로 규정하여야 할 것임.
2. 특별 요건
○ EU지침 제26조 2항의 적절한 안전대책은 제1장에서 언급한 적절한 보호의 내용과 일치함. 이는 다음과 같은 일련의 개인정보보호에 관한 기본원칙과 그 실효성을 확보하기 위한 조건으로 구성되어 있음.
– 목적 제한의 원칙
– 정보의 질, 비례의 원칙
– 투명성의 원칙
– 안전성의 원칙
– 열람ㆍ
정정ㆍ거부의 권리
– 비계약 당사자에 대한 정보이전의 제한
– 상황에 따라서는 그밖에 민감한 정보, DM, 자동적인 결정에 관한 원칙이 추가적으로 적용될 수 있음.
○ 계약서는 개인정보의 수신자가 이러한 원칙을 적용하도록 (예: 목적의 특정, 개인정보의 범위, 정보보유의 기간, 보안대책 등) 상세한 규정을 두고, 제3국에서 EU지침과 비슷한 개인정보보호 법규를 시행하고 있는 경우에는 개인정보보호 규칙이 실제로 적용되는 방법(예: 실천강령, 고지, 감독기관의 자문기능)을 상세히 기술하도록 함.
○ 개인정보보호 제도가 제대로 가동되는지 판단하는 기준은 다음 세 가지이며, 이는 계약의 경우에도 마찬가지임.
– 규칙이 제대로 지켜지는가
– 개인 정보주체가 제도적인 지원을 받을 수 있는가
– 위반시에 피해당사자가 적절한 시정조치를 받을 수 있는가
– 그러나 적절한 감독 내지 시행방법이 없는 경우에도 효과적으로 지켜질 수 있으며, 계약 당사자가 아님에도 개인정보주체를 지원하고 구제할 수 있는지 판단하기란 불가능하지는 않더라도 어려운 문제라 할 수 있음. 편의상 역순으로 분석해보기로 함.
(1) 정보주체에 대한 시정조치
– 독립된 기구가 정보주체의 불만을 처리하고 보상을 받게 해주는 시정조치는 정보의 송신자와 수신자간에 계약상으로 취급하기에는 간단한 문제가 아님. 그 준거법이 이러한 계약을 어떻게 취급하느냐에 달려있다고 하겠음. 정보의 이전이 일어나는 EU 회원국의 법률이 준거법이 되겠지만, 계약상으로 제3자에게 권리를 부여할 수 있는지는 나라에 따라 다름. 일반적으로 정보수신자가 이전 받은 정보를 처리하는 목적ㆍ수단ㆍ조건을 선택할 자유의 제한을 받게 될수록 정보주체의 법적 안정성은 커진다고 볼 수 있음.
– 개인정보보호가 적절히 이루어지지 않는 경우에 선호되는 해결방법은 정보수신자가 이전 받은 정보 또는 정보의 처리방법과 관련하여 자동적인 의사결정권을 갖지 않는다고 하는 것임. 이 경우 수신자는 송신자의 지시에 따라서만 행동하여야 하며, 정보가 EU 밖으로 나가는 경우 당해 정보에 관한 의사결정권은 역내에서 정보를 이전한 송신자에게 있다고 보아야 함. 즉 정보를 전송하는 자가 정보관리자가 되고 수신자는 계약에 의하여 단순히 처리만 할뿐임. 정보에 대한 관리ㆍ통제는 EU회원국의 당사자가 하는 것이므로 당해 회원국의 국내법이 제3국에서의 정보처리에도 계속 적용되며, 정보관리자가 회원국법에 따라 불법적인 정보처리로 인한 손해배상 책임을 지게 됨.
– 이러한 방안은 시티뱅크의 ‘반카드’ 케이스에 적용되었던 ‘관할지간 협정’ (Inter- territorial Agreement)에 규정된 것과 다르지 않음. 계약서에 정보의 보안에 대하여 규정하고 다른 용도의 사용을 배제하는 것임. 반카드 케이스에서는 독일법이 적용된 결과 제3국에서의 정보처리에 따른 피해자에 대한 법적 구제가 가능하였음.
– 이러한 방법이 통하지 않는 경우 수신자는 EU 역내의 정보관리자에 대하여 정보처리 서비스를 제공할 수 없게 됨. 만일 수신자가 자신의 용도에 맞게 정보를 임차 하든가 구매하는 경우에는 그 범위 내에서 정보관리자로서 자유자재로 정보를 처리할 수 있을 것임.
– 이와 같이 회원국의 법이 계속 자동적으로 적용되거나 정보송신자의 손해배상책임을 인정할 수 없는 경우에는 정보주체에 대하여 적절한 법적 구제수단을 제공하기 위한 다소 복잡한 메커니즘을 고안할 필요가 있음. 만일 계약상으로 제3자에 대하여 청구권을 부여하는 법제 하에서는 정보주체가 정보송신자와 수신자간의 계약만으로도 권리를 취득하게 됨. 계약상으로 정보주체의 이의신청에 대한 중재절차를 두고, 사업자의 자율규제 규약에서도 중재절차를 인정한다면 정보주체의 권리는 보다 확실해질 것임.
– 만일 정보송신자가 정보주체로부터 정보를 수집하면서 수신자가 정보보호 규정을 위반했을 때에도 손해배상책임을 지기로 하였다면 정보주체는 수신자의 그릇된 행위에 대해서도 송신자로부터 손해배상을 받을 수 있음. 이 경우 정보송신자는 계약위반을 이유로 수신자에게 구상을 요구할 수 있음. 은행ㆍ여행사 등은 고객과의 거래약관에 이러한 계약조항을 편입시켜 투명성을 확보하도록 함.
– 만일 정보주체와의 계약체결이 없다면 회원국 법률상으로 역외 정보 전송 시에는 수신자의 행위로 인한 손해배상책임을 규정할 필요가 있을 것임.
(2) 정보주체에 대한 지원
– 개인정보가 외국으로 전송되는 경우에 있어서 정보주체가 당면하는 어려운 문제는 특정 경우에 그 원인을 파악하고 정보보호가 제대로 이루어지고 있는지, 법적인 구제수단을 취할 수 있는지 알기 어렵다는 것임. 따라서 적절한 수준의 정보보호가 이루어지고 있다고 할 수 있으려면 불만을 처리할 수 있는 독립된 기관의 존재를 필요로 하게 됨.
– 회원국의 개인정보보호 감독기관이 외국에서 행하여지는 정보처리에 대하여 감시하고 조사하는 것은 한계가 있음. 역내 다른 회원국하고는 상호공조체제(mutual assistance system)가 갖춰져 있기 때문에 큰 문제는 없으나, 역외의 제3국으로 전송되는 경우에는 이러한 보장이 없는 만큼 계약 베이스의 정보전송에 있어서는 이를 보완할 수 있는 제도장치가 마련되어야 할 것임.
ㆍ한 가지 방법은 정보송신자 소속국가의 감독기관이 제3국에서의 정보처리에 대해 조사할 수 있도록 계약에 그 권한을 부여하는 것임. 실제로는 감독기관이 지명하는 전문기관에 위탁하게 되지만, 감독기관이 계약의 당사자는 아니므로 직접 청구할 수 없는 문제가 있음.
ㆍ또 하나의 방법은 정보수신자가 정보보호기준을 지키지 않았다고 의심스러울 때에는 EU 회원국의 감독기관이 직접 조사할 수 있도록 권한을 부여함을 법적으로 보장(legal undertaking)하는 것임. 여기에는 정보주체로부터 불만을 접수한 때에는 이를 감독기관에 통보하기로 하는 것도 포함되는데, 이러한 보장은 제3국으로 정보이전이 이루어지기 위한 전제조건이 됨.
– 어떠한 해결방법을 취하든 간에 EU 회원국의 감독기관이 제3국에서의 정보처리를 조사할 수 있으려면 그것이 과연 적합하고 현실적이며 타당한지(proper, practical or indeed feasible) 하는 의문이 남게 됨.
(3) 정보보호 원칙의 준수
– 설령 정보주체의 불만이 없더라도 계약당사자가 실제로 계약을 준수한다고 신뢰할 수 있어야 함. 계약상으로 문제를 해결함에 있어서 어려운 점은 이를 제대로 지키지 않았을 때 충분한 제재를 가할 수 있느냐 하는 것임. 회원국이 계속하여 정보처리를 감시하는 경우에도 정보수신자가 계약을 위반하였다 하여 직접 제재를 가할 수는 없음. 역내의 정보송신자가 대신 책임을 지고 수신자로부터 구상할 수 있게 하는 방법도 있지만 이러한 간접적인 책임은 수신자로 하여금 계약을 준수하게 하는데 충분치 못한 실정임.
– 그러므로 이 문제를 계약상으로 해결하려면 외부의 전문 감사기관에 의하여 검증 받게 할 필요가 있음.
(4) 상충되는 법규의 문제
– 계약상으로 문제를 해결함에 있어서 부딪히는 어려움은 수신자가 속한 나라(경찰, 법원, 조세당국)에서 법적으로 개인정보를 공개하도록 요구하는 경우임.
이러한 법규정은 어떠한 계약서 조항보다 우선하는 것임. 이러한 사항이 EU지침 제16조에도 규정되어 있지만, 정보의 공개는 동 지침 제13조 1항에 규정된 민주사회의 공공질서(ordre public)에 필요한 경우로 제한되어야 함. 암스텔담 조약 제6조에서도 유럽의 인권 및 기본적 자유 보장협약(European Convention for the Protection of Human Rights and Fundamental Freedoms)을 존중한다고 하고 있음. 제3국에서도 EU에서처럼 국가가 기업이나 단체로부터 개인정보를 제공받는 것을 제한하는 제도가 있는지는 확실치 않음.
– 이러한 난점을 극복하기란 용이하지 않은 만큼 계약상으로 개인정보보호가 제대로 이루어지고 있다고 보기 힘들 경우 그러한 국가로의 정보이전은 허용되지 아니함.
3. 계약서 활용시의 유의할 점
○ 위에서 분석한 결과에 따르면 계약을 체결하는 경우 계약서는 보다 상세하고 구체적인 정보이전에 적합하게 규정될 필요가 있음.
– 계약서에 정보이전의 목적과 조건을 상세히 규정한다고 하여 계약서의 표준화가 불가능한 것은 아님. 다만, 표준계약서 양식을 원용하더라도 구체적인 경우에 맞게 작성하여야 할 것임.
○ 정보처리가 EU 역외에서 이루어질 경우에는 계약위반 사항을 조사하는데 현실적으로 어려움이 있고 제3국에 감독기관이 없는 경우도 많음. 이러한 사정으로 인하여 계약서가 적합한 해결방안일 수도 있지만, 계약만으로는 적절한 안전대책이 될 수 없는 경우도 있음.
○ 계약서를 구체적인 정보이전에 맞게 상세하게 규정해야 한다는 것은 정보이전이 비슷비슷하고 반복적인 경우에는 특별히 그에 적합해야 한다는 것을 의미함. 감독상의 어려움이 따르는 만큼 계약당사자가 대기업으로서 이미 공공규제와 감시를 받고 있는 경우에는 계약만으로도 실효를 거둘 수 있을 것임. 국제적인 신용카드거래, 항공기 예약 등의 네트워크가 이에 해당하며, 계약만으로도 소기의 목적을 달성할 수 있음. 다자간 협약이 체결되어 있다면 법적 안전성(legal security)은 보다 확실해질 것임.
○ 마찬가지로 정보이전의 당사자가 관련기업이거나 계열관계에 있는 경우 계약의 준수 여부를 조사하기 쉽기 때문에 계열기업간의 정보이전은 계약서만으로도 문제를 해결할 수 있다고 하겠음.
4. 결론 및 권장사항
○ EU 역내에서는 계약이 정보관리자와 그의 위탁처리자 사이에 정보보호 책임을 나누는 수단으로 사용됨. 정보가 제3국으로 이전될 때에는 정보수신자가 정보보호 규칙의 적용을 받지 않는다는 점에서 계약은 정보주체에 대한 추가적인 안전대책을 제공하는 수단이 되고 있음.
– 계약상의 안전대책이 충분한지 여부는 제3국에서 개인정보보호의 적절성에 대한 평가기준과 일치함. 계약서에는 개인정보보호의 기본원칙과 이를 시행하기 위한 수단이 규정되어야 함.
○ 계약서에는 목적과 수단, 정보처리의 조건, 정보보호원칙이 시행되는 방법 등이 명시되어야 함. 계약상으로 정보수신자가 그의 재량에 따라 자동적으로 정보를 처리하는 권한을 제한하면 할수록 법적 안전성은 확보되는 것임. 따라서 계약서는 되도록 이면 정보송신자가 제3국에서 정보를 처리하는 데 대한 의사결정권한을 갖도록 규정하는 것이 바람직함.
– 만일 수신자가 정보처리에 관하여 자율성을 갖는다면 계약서 하나만으로는 정보주체가 권리를 행사할 수 있는 충분한 근거가 되지 못함. 역내의 정보송신자가 제3국에서의 정보처리 결과에 대하여 손해배상책임을 지도록 할 필요가 있음.
– 특히 제3자가 동일한 정보보호원칙을 적용 받도록 하는 것이 곤란하다면 이러한 계약의 구속을 받지 않는 자에게 정보가 전송되는 것은 피해야 함.
○ 개인정보원칙이 정보전송 후에도 지켜진다는 신뢰는 정보수신자가 정보보호의 준수에 관하여 정보보호 감사/인증기관 등 외부의 검증을 받는 경우에 제고될 수 있음.
○ 계약상의 정보보호 규정 위반에 대하여 정보주체가 이의를 하거나 불만을 제기하는 경우 이를 제대로 조사할 수 없다는 문제가 있음. EU 회원국의 감독기관들도 현실적으로 조사를 수행하는 데 어려움이 많음.
○ 계약상의 해결방안은 신용카드, 항공권 예약 등과 같이 비슷한 성격의 정보이전이 대량 반복적으로 일어나고 소수의 사업자가. 이미 공공감시와 규제를 받고 있는 국제적인 네트워크에 가장 적합하다고 할 수 있음. 본지사간 또는 계열기업간의 정보이전에 있어서도 계약상으로 해결할 수 있음.
– 그러나 정부기관이 국제적으로 인정되는 기본권보장의 범위를 넘어 정보에 접근할 수 있는 나라는 계약서만으로 정보보호가 이루어질 수 있는 안전지대는 못된다 하겠음.
V. 적절한 보호 원칙의 예외
○ EU지침 제26조 1항은 제3국으로 정보를 이전할 때 적절한 수준의 정보보호가 이루어지지 않아도 되는 아래와 같은 예외 사유를 규정하고 있음. 정보주체에 대한 위험이 상대적으로 적거나 공익 또는 정보주체의 이익이 프라이버시권보다 큰 경우에 제한적으로 인정되는 것임. 이러한 예외적인 경우는 엄격하게 해석해야 하고, 일부 회원국에서는 국내법상으로 예외사유를 좁게 인정하고 있음.
① 정보주체가 정보이전에 명백히 동의한 경우
② 정보주체와 관리자간에 체결된 계약의 이행에 필요한 정보이전 또는 정보주체의 요청에 따른 계약 전 조치의 이행에 필요한 정보이전
③ 정보관리자와 제3자간에 정보주체의 이익을 위한 계약의 체결 또는 그 이행을 위하여 필요한 정보이전
④ 중요한 공익상의 이유에 의한 또는 조세ㆍ사회보장 등 법적으로 의무화된 정보이전 또는 소송의 제기ㆍ수행ㆍ방어를 위하여 필요한 정보이전
⑤ 정보주체의 중대한 이익의 보호를 위하여 필요한 정보이전
⑥ 법령상으로 일반 공중이 열람할 수 있는 공부(公簿)로부터 일정 요건을 갖춘 경우에 일어나는 정보이전. 이 경우 공부의 열람을 청구한 자가 제3국에 소재하는지, 열람행위가 정보이전에 해당하는지 여부는 문제가 되지 않음.
VI. 절차상의 문제
○ EU지침 제25조는 적절한 수준의 평가가 개별적인 케이스별로 이루어져야 함을 규정하고 있음. 매일 엄청난 규모의 개인정보가 역외로 이전되고 많은 당사자가 참여하고 있음에 비추어 어떤 시스템을 적용하거나 어느 회원국도 모든 거래를 상세히 심사할 수 있는 것은 아님. 그렇다고 심사 사례가 전무하다는 것은 아니며, 시간이나 자원을 많이 소비하지 않고 의사결정을 합리화할 수 있는 장치가 개발되어야 할 것임.
– 합리화 장치(rationalisation mechanisms)는 의사결정자가 정보관리자이든, 정보보호 감독기관이든 아니면 회원국에 설립된 다른 기관이든 상관없이 필요시 됨.
(1) 지침 제25조 6항의 적용
– 지침에 예정되어 있는 합리화 장치는 특정 제3국에서 적절한 수준의 정보보호를 하고 있는지 여부를 판정하는 것임. 그 결론은 권고적인 것이고(for guidance only) 특정 사안에만 해당되는 것이지만, 이 문제에 대한 가장 실용적인 방안이라 하겠음.
– 그러한 판정은 일반적으로 적절한 수준의 정보보호를 하고 있는 것으로 보이는 국가의 정보통신업체에는 확실성을 안겨주고, 정보보호 제도를 개선하고 있는 제3국에 대하여는 명백한 인센티브를 제공하게 됨. 더욱이 일련의 결정은 정보보호 이슈에 대한 일관된 접근방법을 시사하고, 각 회원국 또는 정보보호 감독기관들이 상이한 결론을 내리는 것을 방지하는 효과가 있음.
– 이러한 접근방법은 어려움이 없지 않은데, 제일 큰 어려움은 많은 제3국이 각 분야에 걸쳐 통일된 정보보호 기준을 갖고 있지 않다는 것임. 예컨대 공적 부문에는 개인정보보호법이 있지만 민간 부문에서는 이를 방치하고 있다거나, 미국 같은 나라에서는 신용기록, 비디오 임대기록 등의 특정 분야에만 법이 시행되는 사례가 있음. 또 미국, 캐나다, 오스트레일리아 같은 연방제 국가에서는 주마다 서로 다른 법제를 시행하고 있는 것도 문제임. 그 결과 많은 나라들이 전반적으로 적절한 수준의 개인정보보호를 시행하고 있다고 할 수 없는 실정임. 개인정보보호에 관하여 긍정적인 결정을 할 수 있는 나라가 적을수록 정보관리자에 대하여 보다 확실한 결정을 한다는 것은 덜 유용해짐. 더 큰 위험은 일부 국가에서 적절한 수준의 개인정보보호에 관한 판정보류를 정치적인 도발 내지 심사를 거부하는 차별로 보기도 한다는 것임.
– 이러한 논의를 감안하여 개인정보보호 작업반(Working Party)에서는 지침 제25조 6항의 판정절차를 개시하는 것이 유용하다는 입장임. 이러한 절차는 계속적인 작업으로서 판정이 내려진 리스트는 확정적인 것이 아니고 제도개선이 이루어짐에 따라 지속적으로 수정될 것임. 긍정적인 판정은 모든 분야에서 개인정보보호 법제를 둔 나라에 국한되지 않고, 일부 분야는 미흡하더라도 정보보호가 잘 되어 있는 특정 분야까지도 커버하게 됨.
– 지침 제29조의 개인정보보호 자문위원회는 특정 정보이전에 관한 결정이나 지침 제25조 6항의 적절성에 관한 판정에 있어서 명시적인 역할이 없다는 점에 주목할 필요 있음. 이 두 가지는 지침 제31조에 규정된 의결절차를 따라야 함. 제29조 위원회의 임무는 EU 집행위원회에 제3국의 개인정보보호 수준에 관한 의견을 제출하는 것이므로 제3국의 사정을 조사하여 잠정적으로 그에 관한 견해를 밝히는 것도 가능함. 제25조 6항에 의한 확인절차를 거친 긍정적인 판정은 널리 공표되어야 함. 반면 적절한 수준에 못 미치는 것으로 판정된 나라는 명시적으로나 묵시적으로나 블랙리스트에 올려졌다는 의미는 아님. 그보다는 공식적으로 당해 국가에 대한 어떠한 일반적인 지침(general guidance)이 아직 나오지 않았다는 것을 뜻함.
(2) 특정정보이전에 대한 리스크 분석
– 지침 제25조 6항을 적용하는 것이 대량의 정보이전에 관한 의사결정에 도움이 되는 것은 사실이지만 제3국에 대하여 전부 또는 일부 긍정적인 판정을 할 수 없는 경우도 많음. 회원국들이 이러한 경우를 어떻게 처리하는지는 제25조의 규정을 국내법에 반영한 방식에 따라 조금씩 다름. 감독기관에 정보이전의 사전 승인권을 부여하거나 사후적인 검사만 하게 한다면 정보이전의 볼륨에 따라 감독기관 역할의 우선순위를 재고할 필요가 있음. 이러한 시스템은 개인의 프라이버시에 대한 위협에 따라 특정 정보이전 또는 일정 범주의 정보이전에 우선순위를 두기로 합의된 기준의 형식을 취하고 있음.
– 이러한 시스템은 각 회원국이 제3국이 적절한 수준의 정보보호를 하고 있는 경우에 한하여 정보이전을 허용하도록 한 의무를 변경하는 효과가 있는 것은 물론 아님. 그보다는 어떠한 케이스가 우선적으로 조사하여야 하는 경우에 해당하는지 지침을 가르쳐주고, 정보주체의 보호에 가장 큰 우려를 야기하는 정보이전에 자원을 투입하도록 하게 함.
– 이에 따라 개인정보보호 작업반에서는 프라이버시에 대한 위험이 크고 특별한 주의를 요하는 정보이전을 다음과 같이 파악하고 있음.
ㆍ지침 제8조에 규정된 민감한 정보를 포함한 정보의 이전
ㆍ인터넷상의 신용카드 결제와 같이 재정상의 손실을 가져오는 정보의 이전
ㆍ채용, 승진, 대출의 결정 등 개인에게 심각한 영향을 미칠 의사결정을 목적으로 한 정보이전을 포함한 개인의 안전에 위험을 초래할 수 있는 정보의 이전
ㆍ개인의 명예에 손상을 가져올 위험이 있는 정보의 이전
ㆍ개인의 사생활을 방해할 수 있는 전화걸기 등의 행동을 초래할 수 있는 정보의 이전
ㆍ통신, 인터넷상의 거래정보 등 대량 정보의 반복적인 이전. 인터넷 쿠키 등을 이용하여 은밀하게 이루어진 신기술을 채용한 정보수집을 포함함.
(3) 계약서의 표준조항
– 제4장에서 설명한 바와 같이 EU지침은 개인정보보호 수준이 적절하지 못한 경우에도 정보관리자가 계약의 방식으로 정보이전에 관한 안전대책을 세울 수 있음을 규정하고 있음. 지침 제26조 2항에서는 각 회원국이 계약서 조항에 입각하여 정보이전을 승인하고 집행위원회에 결정사항을 통보할 수 있게 하고 있음. 승인에 대한 반대가 있으면 지침 제31조에 의한 자문절차를 거쳐 결정을 번복하거나 유효성을 확인하여야함. 회원국의 승인에 추가하여 지침 제26조 4항에 의하면 집행위원회는 역시 제31조의 자문절차를 거쳐 계약서의 일정한 표준조항(certain standard contractual clauses)이 안전대책으로서 충분한지 결정할 수 있음. 이 결정은 회원국에 대하여 구속력이 있음.
– 계약에 의한 해결방안이 복잡하고 어려운 만큼 정보관리자가 어떻게 계약을 체결하는 것이 좋은지 합의된 지침(agreed guidance)을 정할 필요가 있음. 각 회원국의 감독기관이 지침 제26조 2항에 의한 승인을 준비함에 있어 이러한 지침을 마련할 책임이 있음.
따라서 회원국 감독기관과 집행위원회는 계약서 조항에 관하여 상호 협력하고 의견을 교환할 필요가 있음. 어느 계약서 표준조항이 회원국 감독기관이나 집행위원회에 제출되었을 때 국가별로 차이가 생기는 것을 방지하고 위원회가 지침 제25조 4항에 의한 의사결정을 하기 전에 전문적인 자문을 받을 수 있도록 개인정보보호 작업반에서도 이를 심사하는 절차가 마련되어야할 것임.
<부 록>
제3국에 대한 개인정보 이전에 있어서
EU지침 제25조, 제26조의 실제적 의미
○ EU지침이 회원국의 실정법을 통하여 어떻게 적용되고 있는지 가상적인 세 가지 사례를 통하여 알아보기로 함. 3단계로 분석을 하게 되는 바, 제1단계에서는 제3국에서 관련법규나 업계의 자율규제 방식으로 적절한 수준의 보호가 이루어지는지 살펴보고, 그것이 부정적이라면 제2단계에서는 제26조 1항의 예외사유에 해당하는지, 아니면 제2항의 계약에 의한 해결방안이 있는지 알아보기로 함. 만일 적절한 해결방안이 없다면 제3단계에서는 당해 정보의 이전을 금하게 될 것임.
사례 1. 제3국에서의 주택구입을 위한 역내 신용조사기관 신용정보를 제3국 금융기관 앞 이전하는 경우
사례 2. 제3국 항공사에의 좌석을 예약하기 위해 역내 의료정보를 제3국 항공사 앞 이전하는 경우
사례 3. 다양한 경로로 수집한 역내 소비자정보를 제3국에 판매한 결과 각 개인들이 원치 않는 DM을 받게 된 경우
3. EU의 개인정보보호계약서 표준조항 (일부 번역)
EU 지침에 의거한 제3국 개인정보이전을 위한
표준계약서 조항에 관한 집행위원회 결정
Commission Decision on Standard Contractual
Clauses for the Transfer of Personal Data to Third
Countries under Directive 95/46/EC
2001. 9. 3 집행위원회 결정 발효
1. 결정의 근거
○ EU 집행위원회는 개인정보보호지침(95/46/EC, 이하 “EU지침”이라 함) 제26조 제4항의 규정에 의하여 개인정보가 적절한 수준으로 보호되지 아니하는 제3국으로 개인정보를 전송할 수 있는 안전대책(safeguards)으로서 2001년 7월 『제3국 개인정보 이전을 위한 표준계약서안』(이하 “표준계약서”라 함)을 채택하였음.
○ 개인정보가 적절히 보호되지 못하는 제3국에서 정보처리(data processing services)를 해야 하는 경우 송신자(data exporter)와 수신자(data importer) 간에 동 표준계약서를 가지고 계약을 체결하고 소정 절차에 따라 송신자가 속한 회원국의 감독기관으로부터 인가를 받으면 개인정보를 포함한 정보를 전송할 수 있게 됨.
2. 구성
○ 집행위원회의 결정은 23개에 이르는 전문(recital)과 7개의 조항, 부속서(annex), 첨부문서(appendix)로 구성되어 있으나 원문은 인터넷77)
에서 쉽게 찾아볼 수 있으므로 여기서는 표준계약서의 내용만 소개하기로 함.
○ 표준계약서는 첨부문서에 기재된 개인정보를 전송하는 경우에 한하여 적용되며, 회원국 내의 개인정보처리에 관한 EU지침을 시행하는 다른 회원국의 국내법 적용에 영향을 미치지 아니함. 또한 역외 제3국의 수신자가 송신자의 위탁을 받아 단지 데이터 처리 노릇(processor)만 하는 경우에는 여전히 송신자가 정보주체에 대하여 책임을 지므로 적용되지 아니함(결정서 2조).
3. 표준계약서의 주요 내용
제1조 정의(Definitions)
– 표준계약서에서 사용되는 개인정보, 민감한 정보(special categories of data), 정보처리, 정보관리자, 정보처리자, 정보주체, 감독기관, 기술적ㆍ관리적 보안조치(technical and organisational security measures) 등의 용어는 EU 개인정보보호지침과 같은 의미로 사용됨.
– 개인정보보호의 준거법(applicable data protection law)도 송신자가 소재하는 EU 회원국에서 정보관리자에게 적용되는 개인정보보호와 관련된 기본권, 프라이버시권에 관한 법제를 말함.
제2조 정보이전의 상세(Details of the Transfer)
– 정보의 상세한 이전, 민감한 정보, 정보이전의 목적은 본 계약서와 일체를 이루는 첨부문서에 기재된 바에 의함.
제3조 제3자를 위한 조항(Third Party Beneficiary Clause)
– 개인정보의 주체는 계약당사자가 아님에도 제3 수익자(third party beneficiary)로서 송신자 및 수신자의 의무(obligations)와 책임(liability)에 대응하는 계약상의 권리, 분쟁해결방법, 감독기관과의 협조, 준거법 등을 주장하고 계약 종료후 당사자의 의무를 요구할 수 있음.
– 표준계약서에서 이에 해당하는 조항은 제4조, 제5조(a),(b),(c),(d),(e),(f) 및(h)호, 제6조 제1항 및 제2항, 제7조, 제8조 제2항, 제9조, 제10조 그리고 제11조임.
제4조 정보송신자의 의무(Obligations of the Data Exporter)
– 송신자는 다음 사항을 약속하고 보장함.
(a) 정보의 이전이 송신자가 설립되어 있는 회원국의 개인정보보호 관련법규를 준수하였으며 (필요한 경우에는 관계당국에 신고를 필하였고) 관련법규를 위배하지 아니하였음.
(b) 수신자에게 오직 송신자를 위하여 개인정보보호법 및 본 계약에 따라 전송받은 개인정보를 처리할 것을 지시하였고 계약기간 내내 지시할 것임.
(c) 기술적ㆍ관리적 보안조치를 충분히 보장하는 수신자를 선정하였고, 해당 개인정보보호법에 규정된 요건에 따라 개인정보에 대한 우연한 또는 불법적인 훼손, 멸실, 변경, 무단공개ㆍ열람을 방지하기에 적합한 조치를 취하였으며, 특히 망을 통하여 정보가 전송되는 경우에는 불법적인 처리를 방지함에 있어 정보처리 및 정보의 성격에 비추어 첨단기술과 그에 소요되는 비용을 감안할 때 적절한 보안수준이고, 송신자를 이러한 조치를 준수할 것임.
(d) 민감한 정보에 대하여는 정보를 전송하기 전에 정보주체에게 개인정보보호가 미흡한 나라에 전송될 수 있음을 고지하였거나 고지할 것임.
(e) 수신자의 개인정보 처리에 관한 정보주체 또는 감독기관의 문의조회가 있었음을 필요한 경우 합리적인 기간내에 알리기로 함.
(f) 정보주체가 요구하는 대로 계약서 사본을 교부하기로 함.
제5조 제3국 정보수신자의 의무(Obligations of the Data Importer)
– 수신자는 다음 사항을 약속하고 보장함.
(a) 오직 송신자를 위하여 개인정보를 처리함에 있어 송신자의 지시와 본 계약서를 따르고 어떠한 이유로 이를 지킬 수 없게 되었을 때에는 송신자에게 이 사실을 통보할 것이며, 이 경우 송신자는 정보의 전송을 중단하거나 계약을 해지할 수 있음.
(b) 송신자의 지시 및 계약상의 수신자 의무를 이행할 수 없는 법령의 적용을 받는다고 생각지 아니하며, 법령의 변경으로 수신자의 보장을 지킬 수 없는 경우에는 송신자에게 통지할 것이고, 이 경우 송신자는 정보의 전송을 중단하거나 계약을 해지할 수 있으며, 송신자가 전송을 계속하거나 중단을 철회하였는지 여부를 감독기관에게 전달하기로 동의함.
(c) 송신자에 대하여 사법당국으로부터 법적으로 구속력이 있는 개인정보의 공개요구를 받았거나, 종업원 기타의 자에 의하여 정보의 공개 또는 우연히 또는 권한 없는 정보의 열람이 있었음을 즉시 통지하기로 함.
(d) 정보주체로부터 직접 받은 요구사항을 자신이 회신할 권한이 없음을 설명하고 즉시 송신자에게 통지하기로 함.
(e) 첨부문서에 해당되는 기술적ㆍ관리적 보안조치를 취하였음.
(f) 개인정보처리에 관한 송신자의 요구사항을 즉각 적절히 이행하고 관계감독기관에 협력하기로 하며, 정보처리와 관련하여 당국의 권고를 따르기로 함.
(g) 송신자의 요구에 따라 송신자 또는 그가 (필요시 감독기관과 협의하여)선임하는 독립되고 전문자격을 갖춘 검사기관에 의하여 정보처리시설에 대한 검사를 받기로 함.
(h) 정보주체가 송신자로부터 계약서 사본을 구할 수 없는 경우에 사본을 제공하기로 함.
제6조 송신자와 수신자의 책임(Liability)
① 정보주체가 본 계약 제3조의 위반으로 인하여 손해를 입은 경우에는 송신자로부터 손해배상을 받을 수 있음.
② 만일 송신자가 잠적하였거나 지급불능이기 때문에 제3조에 규정된 수신자의 의무위반으로 정보주체가 손해배상청구 소를 제기할 수 없는 경우에는 정보주체가 송신자에 대하여 하듯이 수신자에 대하여 손해배상을 청구할 수 있다는 데 동의함.
③ 어느 당사자가 다른 당사자의 계약위반에 책임이 있다면 다른 당사자는 처음 당사자가 어떠한 비용이나 손해, 손실을 부담하지 않도록 할 것임. 이러한 면책은 송신자가 수신자에게 그러한 청구를 즉시 알리고, 수신자는 그러한 청구에 대하여 항변하거나 화해를 하는데 송신자의 도움을 받기로 하는 것을 조건으로 함.
제7조 분쟁해결방법(Mediation and Jurisdiction)
① 수신자가 정보주체와의 분쟁을 원만히 해결하지 못하고 정보주체가 제3자 수익권을 행사하기로 결정하였다면 수신자는 정보주체의 결정에 따라(a) 독립기관 또는 감독기관의 조정(mediation)에 의하여 이를 해결하거나(b) 송신자가 설립된 회원국에서 재판을 받기로 함
② 수신자가 설립된 국가가 중재판정의 집행에 관한 뉴욕협약의 체약국인 경우 수신자는 정보주체와의 합의에 따라 분쟁의 해결을 중재(arbitration)에 의할 수도 있음. 양 당사자는 이상의 선택에도 불구하고 정보주체가 다른 국내법이나 국제법에 의하여 구제를 받을 수 있는 실체법․절차법상의 권리에 영향을 받지 아니한다는 데 동의함.
제8조 감독기관에 대한 협조의무
(Co-operation With Supervisory Authorities)
① 송신자는 감독기관의 요구 또는 관계법령의 규정에 의하여 이 계약서의 사본을 감독기관에 기탁(deposit)하기로 함
② 양 당사자는 감독기관이 송신자에 대하여 검사할 수 있는 것과 같은 범위와 조건으로 수신자에 대하여도 검사(audit)할 수 있다는 데 합의함.
제9조 준거법(Governing Law)
– 이 계약서는 송신자가 설립되어 있는 회원국의 법률에 의하여 규율됨.
제10조 변경 금지(Variation of the Contract)
– 이 계약서의 조항은 양 당사자가 임의로 수정ㆍ변경할 수 없음
제11조 정보처리 종료 후의 의무(Obligation after the Termination of Personal Data Processing Services)
① 정보처리작업이 종료된 후에는 수신자가 송신자의 선택에 따라 전송받은 개인정보 일체 또는 그 사본을 반환하거나 이를 폐기하기로 하며, 송신자에 대하여 이러한 사실을 확인하여야 함. 만일 법령에 의하여 파기할 수 없는 경우에는 수신자는 개인정보의 비밀을 유지하고 더 이상 개인정보를 처리하지 아니하기로 보장함
② 수신자는 송신자 및/또는 감독기관의 요구에 따라 정보처리시설에 대한 검사를 받기로 보장함
(10) 표준계약서 첨부문서(Appendix)
– 첨부문서는 표준계약서의 일부를 구성하며, 양 당사자가 해당 사항을 기재하고 서명하여야 함.
– <첨부문서 1>에서는 송신자와 수신자의 업무활동을 기술하고 정보주체가 속한 범주를 약술하는 한편 개인정보의 개요와 민감한 정보의 내역, 정보처리내용(processing operations) 등을 기재하게 되어 있음.
– <첨부문서 2>에서는 수신자가 취하는 기술적ㆍ관리적 보안조치의 상세를 기재 함.
2000-12-07
