August 9, 2025
2 min read
일반 개인정보 보호법(GDPR)의 역외 적용 범위 분석에 따르면, 그 적용 가능성은 주로 제3조(규정 (EU) 2016/679)에 의해 정의됩니다. 이 규정은 유럽연합(EU) 내에 설립된 기관뿐만 아니라 특정 상황에서는 EU 외부에 있는 기관에도 적용됩니다. 연구 결과는 다음과 같이 요약할 수 있습니다.
EU 내에 설립된 조직:
EU 내에 물리적 거점을 둔 모든 기관은 데이터 처리가 이루어지는 장소와 관계없이 EU에 거주하는 개인의 개인정보를 처리하는 경우 GDPR의 적용을 받습니다. '설립'의 기준은 광범위하게 해석되며, 안정적인 협의가 있는 경우 자회사, 지사, 심지어 대리인까지 포함합니다.
EU 내에 설립되지 않았지만 EU 시장을 대상으로 하는 조직:
GDPR은 비EU 조직이 EU 내 개인에게 상품이나 서비스를 제공할 때 적용됩니다. 단순히 웹사이트나 온라인 서비스에 접근할 수 있다는 것보다는 EU 거주자를 대상으로 하려는 의도가 핵심입니다. 징후로는 현지 언어/통화 옵션을 제공하거나 EU 거주자에게 적극적으로 광고하는 것 등이 있습니다.
행동 모니터링:
GDPR은 EU 외부 기관이 EU 내 개인의 행동을 모니터링하는 경우에도 적용됩니다. 예를 들어 추적 쿠키, 온라인 프로파일링, 위치 정보 서비스, EU 거주자를 특정 대상으로 하는 행동 광고 등이 포함됩니다.
역외 적용:
GDPR의 역외 적용성은 이전의 개인정보 보호 체제와 구별되는 특징입니다. 그 광범위한 적용 범위는 처리 장소에 관계없이 EU 거주자의 데이터가 보호되도록 보장합니다.
주요 관찰 사항:
요약하자면, GDPR은 유럽 내외의 광범위한 조직에 적용되며, 이는 EU 내 개인의 개인정보와의 상호작용을 기반으로 합니다. 이 규정의 설계는 글로벌 데이터 흐름의 복잡성을 해결하기 위해 포괄적인 적용 범위를 강조합니다.
