GDPR에 따른 데이터 처리자란 무엇인가요?

일반 데이터 보호 규정(GDPR)은 데이터 처리자를 "데이터 컨트롤러를 대신하여 개인 데이터를 처리하는 개인, 기관, 공공 기관 또는 기타 단체"로 명시적으로 정의합니다(규정 (EU) 2016/679, 제4조 제8항). 이 정의는 처리자가 데이터를 소유하거나 통제하지 않고 데이터 컨트롤러의 지시에 따라 엄격하게 행동하는 주체로서의 역할을 강조합니다.

GDPR 프레임워크의 핵심은 데이터 컨트롤러와 데이터 처리자의 구분입니다. 컨트롤러는 개인 데이터 처리의 목적과 수단을 결정하지만, 처리자는 단순히 처리 작업을 실행합니다. 이 구분은 법적 책임과 규제 의무의 범위를 결정하기 때문에 매우 중요합니다. 데이터 처리자는 컨트롤러와 같은 방식으로 전반적인 규정 준수에 대한 책임은 없지만, 제28조에 따라 다음 사항을 이행해야 합니다:

• 데이터 보안을 보장하기 위해 적절한 조직적 및 기술적 조치를 이행합니다.
• 컨트롤러의 문서화된 지시에 따라서만 데이터를 처리합니다.
• 처리 활동 기록을 유지합니다.
• 필요 시 감독 당국과 협력합니다.

데이터 처리자로 흔히 인용되는 예시에는 다음과 같은 제3자 서비스가 포함됩니다:

• 분석 도구(예: Google Analytics)
• 회계 소프트웨어 제공업체
• 인사 관리 소프트웨어
• 시장 조사 도구

이러한 처리자는 계약에 따라 개인 데이터를 처리하지만 처리의 목적이나 수단을 결정하지 않으므로 컨트롤러와 구별됩니다(Voigt & Von dem Bussche, 2017).

법적 프레임워크는 처리자에게 높은 수준의 데이터 보호를 유지할 책임을 부과하지만, 데이터 사용에 관한 결정을 내릴 자율성은 부여하지 않습니다. 이는 처리자의 책임을 주로 컨트롤러의 지시 준수 및 처리 활동에서의 GDPR 준수로 제한합니다. 이를 준수하지 않을 경우 벌금이 부과될 수 있으며, 이는 데이터 보호 생태계에서 처리자의 중요한 역할을 강조합니다(Kuner, 2018).

요약하자면, GDPR은 데이터 처리자를 컨트롤러의 지시에 따라 처리 작업을 수행하는 주체로 규정하며, 이들이 취급하는 개인 데이터에 대한 소유권이나 의사 결정 권한 없이 보안 조치와 합법적인 지시를 엄격히 준수하도록 의무화합니다.