GDPR은 개인에게 적용되나요?

개인에 대한 일반 데이터 보호 규정(GDPR)의 적용 가능성은 해당 개인의 데이터 처리 활동의 성격에 따라 달라집니다. GDPR 제2조는 자연인이 수행하는 개인 데이터 처리에 대해 “순전히 개인적이거나 가사적인 활동”에 한해 명시적으로 면제합니다. 이 면제 조항은 개인적 사용과 규제 감독 대상 활동 간의 경계를 명확히 구분합니다.

“개인적 또는 가사적” 활동의 해석은 여전히 논란의 여지가 있습니다. 유럽사법재판소(ECJ)는 C-101/01 사건의 47항에서 다음과 같이 명확히 하고 있습니다.

“따라서 해당 예외는 개인의 사적 또는 가정생활 과정에서 수행되는 활동에만 관련된 것으로 해석되어야 하며, 불특정 다수의 사람이 해당 데이터에 접근할 수 있도록 인터넷에 게시하는 형태의 개인 데이터 처리에는 명백히 해당되지 않습니다.”

이 판결은 중요한 기준을 제시합니다. 즉, 개인의 데이터 처리 활동이 사적 또는 가족적 맥락을 벗어나 불특정 다수에게 공개적으로 배포되는 경우 GDPR이 적용된다는 것입니다.

이 법적 해석의 주요 요점은 다음과 같습니다.

• 개인적 또는 가사적 면제는 사적이고 비상업적인 활동에 엄격하게 적용됩니다.
• 공개적 배포(예: 인터넷에 개인 데이터를 광범위하게 게시하는 행위)는 이 면제 조항에 해당하지 않습니다.
• 따라서 GDPR의 범위는 개인의 처리 활동이 사적 또는 가정생활에 국한되지 않는 경우 개인을 포함합니다.

이러한 구별은 블로그 활동, 소셜 미디어 공유 또는 기타 형태의 공개 데이터 처리에 참여하는 개인이 GDPR 의무의 대상이 될 수 있으므로 매우 중요합니다. 이 규정의 목표는 활동이 사적 사용을 넘어서는 경우, 데이터 컨트롤러가 자연인이든 법인이든 관계없이 정보 주체를 오용으로부터 보호하는 것입니다.

더 자세한 내용은 Kloza 외(2016)의 분석을 참조하십시오. 이 분석은 개인 데이터 컨트롤러에 대한 GDPR의 영향과 개인 데이터 처리와 공공 데이터 처리의 정의에 대한 과제를 논합니다.

Kloza, D., et al. (2016). GDPR의 이해: 개인 데이터 컨트롤러에 대한 시사점. International Data Privacy Law, 6(3), 169–182. https://doi.org/10.1093/idpl/ipw017

이 논의는 GDPR의 적용 범위가 조직에만 국한되지 않고 특정 조건 하에서 개인에게까지 확장될 수 있음을 강조하며, 사적 및 공적 영역 모두에서 개인 데이터를 보호하려는 규제 의도를 보여줍니다.