GDPR의 적용 범위는 무엇인가요?

일반 개인정보 보호법(GDPR)은 기본적인 식별자를 훨씬 뛰어넘는 광범위하고 정확한 개인 데이터의 정의를 포함합니다. GDPR 제4조 1항에 따르면, 개인 데이터는 "식별되었거나 식별 가능한 자연인('정보 주체')에 관한 모든 정보"를 의미합니다 [1]. 여기에는 다음이 포함되지만 이에 국한되지는 않습니다:

• 이름
• 식별 번호
• 위치 데이터
• 온라인 식별자 (IP 주소 등)
• 이메일 주소, 전화번호 및 실제 주소

GDPR은 특정 데이터를 특별 범주의 개인 데이터로 분류하여 그 범위를 더욱 확장합니다. 이러한 데이터는 민감한 특성으로 인해 강화된 보호를 받습니다. 제9조 1항에는 다음을 포함한 범주가 나열되어 있습니다:

• 인종 또는 민족적 출신
• 정치적 견해
• 종교적 또는 철학적 신념
• 노동조합 가입 여부
• 유전 데이터
• 생체 데이터 (식별 목적으로 사용되는 경우)
• 건강 데이터
• 개인의 성생활 또는 성적 지향에 관한 데이터

이 규정은 명시적인 동의나 상당한 공익과 같은 특정 조건이 충족되지 않는 한 이러한 특별 범주의 처리를 명시적으로 금지합니다 [2].

적용 가능성
GDPR은 역외 적용됩니다. 제3조는 물리적 위치에 관계없이 모든 조직이 다음 경우에 규정을 준수해야 한다고 명시합니다:

• EU/EEA 내 개인에게 상품이나 서비스를 제공하는 경우
• EU/EEA 내 개인의 행동을 모니터링하는 경우

경험적 분석에 따르면 비 EU 조직은 특히 디지털 상거래 및 웹 분석 시나리오에서 EU 거주자의 데이터를 수집하거나 처리할 때 GDPR 의무의 적용을 받는 경우가 많습니다 [3].

주요 결과

• GDPR에 따른 개인 데이터의 정의는 의도적으로 광범위하여 전통적인 식별 형식과 새로운 식별 형식(예: 쿠키, 장치 ID)을 모두 포함합니다.
• GDPR에서 정의한 민감한 개인 데이터는 더 엄격한 처리 기준과 명시적인 법적 근거를 필요로 합니다.
• GDPR의 적용 범위는 전 세계적입니다. EU/EEA 외부의 법인은 잠재적 적용 범위에 대해 데이터 처리 활동을 평가해야 합니다.
• 감독 당국과 법원의 규정 해석은 정보 주체의 권리 보호라는 규정의 목표를 강조하며 지속적으로 포괄적인 보호를 지지해 왔습니다 [4].

참고 문헌:
[1] Regulation (EU) 2016/679 (General Data Protection Regulation), Article 4(1). 유럽 연합 공식 저널
[2] Regulation (EU) 2016/679, Article 9(1).
[3] Kuner, C., Bygrave, L. A., & Docksey, C. (2020). The EU General Data Protection Regulation (GDPR): A Commentary. Oxford University Press. OUP 참고 자료
[4] Voigt, P., & Von dem Bussche, A. (2017). The EU General Data Protection Regulation (GDPR): Practical Guide. Springer. Springer 참고 자료