일반 데이터 보호 규정(GDPR)은 개인 데이터의 정의에 대해 포괄적인 접근 방식을 채택합니다. 제4조 1항에 따르면, “개인 데이터란 식별되었거나 식별 가능한 자연인('데이터 주체')에 관한 모든 정보를 의미하며, 식별 가능한 자연인이란 직접 또는 간접적으로 식별될 수 있는 사람을 말한다” (GDPR, 2016). 이 정의는 아래에 상술된 바와 같이 몇 가지 주요한 의미를 가집니다.
- 직접 식별자: 이 규정은 이름, 주소, 전화번호, 식별 번호와 같이 개인을 명백하게 식별할 수 있는 데이터를 명시적으로 포함합니다.
- 간접 식별자: 그 범위는 다른 데이터와 결합될 때 개인을 식별할 수 있는 정보로 확장됩니다. 예시로는 생년월일, 위치 데이터, 직업 및 심지어 고유한 신체적, 생리적, 유전적, 정신적, 경제적, 문화적 또는 사회적 정체성 표지가 포함됩니다.
- 온라인 식별자: GDPR은 IP 주소, 쿠키, 기기 식별자 및 위치 메타데이터와 같은 디지털 정보가 개인과 연결될 수 있는 경우 개인 데이터에 해당한다고 구체적으로 인정합니다.
- 특별 범주: 특히 민감한 것으로 간주되는 데이터, 즉 인종 또는 민족적 출신, 정치적 견해, 종교적 또는 철학적 신념, 노동조합 가입 여부, 유전 데이터, 식별 목적의 생체 데이터, 건강 데이터 등은 '특별 범주'로 분류되며 더 엄격한 보호 조치의 적용을 받습니다.
최근의 규제 지침 및 법원 판결 결과는 이러한 광범위한 해석을 뒷받침합니다. 예를 들어 다음과 같습니다.
- 유럽 사법 재판소(CJEU)는 동적 IP 주소조차도 컨트롤러가 추가 정보를 통해 데이터 주체를 식별할 법적 수단을 가지고 있다면 개인 데이터에 해당할 수 있다고 판결했습니다.
- 가명 처리된 데이터는 합리적인 수단에 의해 재식별될 가능성이 존재하는 한 개인 데이터의 정의에 포함됩니다.
요약하자면, GDPR에 따라 살아있는 개인에게 직접 또는 간접적으로 연결될 수 있는 모든 정보는 그 범위에 포함됩니다. 이 규정은 식별 가능성을 강조하므로, 사람의 이름을 명시하지 않는 정보라도 사용 가능하거나 접근 가능한 데이터로 재식별이 가능하다면 여전히 보호받을 수 있습니다. 이러한 확장적인 접근 방식은 높은 수준의 개인정보 보호를 보장하지만, 개인과 관련된 모든 데이터를 처리하는 조직의 신중한 평가를 요구합니다.
