GDPR 제4조 10항을 분석하면 제3자는 “정보 주체, 컨트롤러, 처리자 및 컨트롤러 또는 처리자의 직접적인 권한 하에 개인 데이터를 처리하도록 승인된 사람을 제외한 자연인 또는 법인, 공공 기관, 대행사 또는 기타 단체” 로 정의됩니다(GDPR, 2016). 이 정의는 제3자를 컨트롤러 및 처리자와 명확하게 구분합니다.
확인된 주요 차이점:
-
제3자 대 처리자:
- 처리자: 컨트롤러를 대신하여 엄격하게 행동하며 서면 계약(처리 계약)에 구속됩니다. 자신의 목적을 위해 데이터를 처리할 수 없습니다 [Voigt & Von dem Bussche, 2017].
- 제3자: 컨트롤러 또는 처리자로부터 개인 데이터를 수신하고 자신의 이익을 위해 이를 처리할 수 있으며, 데이터 처리 계약(DPA)과 같은 계약에 반드시 구속되지는 않습니다.
-
법적 승인:
- 제3자는 “컨트롤러 또는 처리자에 의해 개인 데이터를 처리하도록 승인”되었지만 원래의 처리 체인에 속하지는 않습니다.
- 처리자는 컨트롤러의 직접적인 지시 하에 있습니다 [European Data Protection Board, 2019].
실용적인 예시:
- 웹사이트에 내장된 소셜 미디어 플러그인(예: Facebook 좋아요 버튼)은 종종 제3자 역할을 하여 자체 비즈니스 목적으로 사용자 데이터를 수집합니다.
- 게시자로부터 사용자 정보를 수신하여 프로파일링 및 타겟 광고에 사용하는 광고 네트워크는 제3자 처리를 보여줍니다.
규정 준수에 대한 시사점:
- 의무의 차이:
제3자는 처리자와 동일한 계약상 의무를 지지 않으며, GDPR 제6조 및 제7조에 따라 처리를 위한 자체적인 법적 근거를 마련해야 합니다.
- 불법 처리의 위험:
명확한 법적 근거나 적절한 투명성 없이 제3자와 데이터를 공유하면 컨트롤러는 상당한 규제 위험에 노출됩니다 [Kuner et al., 2020].
- 투명성 요구 사항:
컨트롤러는 개인정보 처리방침을 통해 정보 주체에게 제3자로의 데이터 이전 및 그 의도된 목적에 대해 명확하게 알려야 합니다 (GDPR 전문 58항).
