[CPPG/GDPR] GDPR 사례집(1)

Q1. 전화번호, 휴대폰 시리얼번호, 게임 ID, 광고 ID, IP주소, MAC주소, 성별, 국가, 결제이력 유무, GPS 시스템에 기록된 GPS 정보 및 가동시간 정보 등이 개인정보에 해당하는가?

• GDPR의 개인정보 : 식별된 또는 식별 가능한 자연인과 관련된 모든 정보
• 즉, 처리 대상 정보만으로는 정보주체를 식별할 수 없더라도 그 정보에 추가정보를 참조하여 정보주체를 식별할 수 있다면 그 처리 대상 정보는 개인정보에 해당
• 전화번호, 휴대폰 시리얼번호, 게임 ID 등의 경우에는 특정 정보주체에게 귀속되어 있는 정보로서 해당 정보에 추가정보를 참조하면 정보주체를 식별할 수 있음 ▶ 개인정보
• IP주소, MAC주소, 성별, 국가, 결제이력 유무, GPS 정보 및 가동시간 정보 등은 특정 정보주체에게 곧바로 귀속되어 있다고 볼 수 없으나 해당 정보에 추가정보를 참조하여 정보주체를 식별할 수 있다면 개인정보에 해당
• 실제로 GDPR은 IP주소, MAC주소, 온라인 쿠키 등을 통해 정보주체의 식별이 가능한 경우, 해당 정보들을 개인정보로 보고 있음

Q2. 암호화된 정보도 개인정보에 해당하는가?

• 가명처리 : 추가정보의 이용 없이는 개인정보가 더 이상 특정 정보주체에게 귀속될 수 없는 방식으로 개인정보를 처리하는 것
• 뒤집어 말하면, 가명처리된 정보는 추가정보를 이용하면 특정 정보주체에게 귀속될 수 있다는 것을 의미함 ▶ 가명 처리된 정보 = 개인정보
• 즉, 가명처리된 정보는 GDPR 적용 대상
• 암호화된 정보라 하여도 암호키(추가정보)를 이용하면 특정 정보주체에게 귀속될 수 있게 됨 
• 암호화된 정보 ⊂ 가명 처리된 정보
• 가명 처리된 정보 = 개인정보
• 참고) 익명처리된 정보는 개인정보에 해당하지 않으므로 GDPR 적용 대상이 아님

Q3. 모바일 앱을 공격하는 행위를 판별하고 해당 보안 위반행위가 어떤 시점 또는 어떤 대상에서 발생하였는지 확인하기 위하여 보안 위반행위 발견시마다 장치 식별자를 암호화한 변환값을 서버로 전송하는데, 위 변환값도 개인정보에 해당하는가?

• 암호화된 정보라 하더라도 암호키(추가정보)를 이용하면 특정 정보주체에게 귀속될 수 있음
• 암호화된 정보는 가명처리에 해당하고, 이는 개인정보에 해당하므로 변환값도 개인정보에 해당함

Q4. EU 역내의 병원들과 계약을 체결하여 환자들을 대상으로 임상시험을 진행하고 그 데이터를 제공받고 있다.
환자들의 이름을 수집하지 않고 임의의 환자번호와 성별, 생년월일, 과거 병력 등을 제공받으며, 병원에서도 환자와 매칭될 수 없는 상태로 보관하는데 이러한 정보도 개인정보에 해당하는가?

• 비록 병원에서 형식적으로 환자와 매칭될 수 없는 상태로 보관한다 하더라도,
• 생년월일 및 과거 병력은 환자의 이름 없이도 특정 정보주체를 직/간접적으로 식별할 수 있는 정보로 볼 수 있으므로 개인정보에 해당
• 특히, 과거 병력은 GDPR 제9조의 특수한 범주의 개인정보(개보법 기준 민감정보) 중 건강 관련 정보에 해당하여 원칙적으로 처리가 금지되지만, 예방 의학이나 직업병 의학의 목적으로 처리가 필요한 경우, 의학적 진단, 건강˙사회복지˙치료의 제공, 또는 EU나 회원국 법에 근거하거나 제3항의 조건 및 안전장치가 적용된 건강 전문가와의 계약에 따른 건강˙사회복지 시스템 및 서비스의 관리를 위하여 처리가 필요한 경우 등에는 예외 처리가 적용됨

Q5. EU 역내의 기업과 거래를 하기 위해 해당 기업 내 담당자의 연락처를 제공받아 이용하고 있다.
이 경우 기업 담당자의 연락처도 개인정보에 해당하여 GDPR이 적용되는가?

 

• GDPR의 개인정보 : 식별된 또는 식별 가능한 자연인과 관련된 모든 정보
• 따라서, 법인 또는 단체의 정보는 개인정보에 해당하지 않음
• 해당 담당자의 연락처가 기업 구성원들이 공용으로 사용하는 연락처라면 개인정보에 해당하지 않으므로 GDPR 적용되지 않음
• 하지만, 담당자의 연락처가 개인 연락처라면 이는 개인정보에 해당하며, GDPR 적용됨

Q6. EU 역내에 우리 개발사가 개발한 제품 또는 소프트웨어를 판매했는데 해당 제품 또는 소프트웨어에는 그 사용자의 개인정보나 사용 데이터가 저장되어 사용자가 확인할 수 있게 되어 있지만 개발사에는 전송되지 않는다.
이 경우, GDPR이 적용되는가?

• GDPR은 개인정보를 처리하는 경우에만 적용됨
• GDPR 처리 : 자동화된 수단에 의한 것인지 여부와 관계없이 개인정보 또는 개인정보의 집합들에 대하여 수행되는 모든 작업 또는 일련의 작업 (수집, 기록, 편집, 구성, 저장, 가공, 또는 변경, 검색, 참조, 사용, 전송, 유포 또는 기타 가능케하는 방법에 의한 공개, 정렬 또는 조합, 제한, 삭제 또는 파기 등)
• 그런데, 위와 같은 경우 개발사가 개인정보를 처리하지 않으므로 GDPR이 적용되지 않음

Q7. 개인정보의 물리적인 저장만 EU 역내에서 이루어지고 다른 개인정보 처리는 모두 EU 역외에서 이루어지는데, 
이 경우에도 GDPR이 적용되는가?

• 개인정보의 물리적인 저장만 EU 역내에서 이루어지더라도 이는 개인정보 처리가 이루어지는 경우에 해당하므로 GDPR이 적용됨
• 이 경우, 개인정보를 처리하는 당해 기업은 개인정보 처리의 목적 및 방법을 결정하므로 컨트롤러에 해당
• 클라우드 서비스를 제공하는 사업자는 컨트롤러를 대신하여 개인정보를 처리하는 자이므로 프로세서에 해당

Q8. 당사가 생산한 영상촬영장비를 독일 전시회에서 공개하기로 하였는데 장비 시연 과정에서 사람들을 촬영하게 된다.
다만 해당 영상은 곧바로 파기된다. 이 경우에도 GDPR이 적용되는가?

• 개인정보의 물리적 저장만 EU 역내에서 이루어지더라도 이는 개인정보 처리가 이루어지는 경우에 해당하므로 GDPR이 적용됨
• 따라서, 영상촬영장비의 시연 과정에서 사람들을 촬영하여 그 영상을 저장한다면 곧바로 파기한다고 하더라도 일단 GDPR이 적용됨
• 위와 같은 경우 적법한 처리를 하기 위해서 GDPR 제6조의 처리의 적법성 요건을 충족해야 함
• 본 사안의 경우, 해당 영상이 곧바로 파기된다는 전제 하에, 제6조 제1항 (f)호의 '컨트롤러 또는 제3자의 정당한 이익을 위하여 필요한 경우'에 해당한다고 볼 수 있으므로 별도 동의 절차 등을 거치지 않더라도 적법한 처리에 해당한다고 볼 수 있음

---

#Reference

- 2020 GDPRR 상담사례집, 한국인터넷진흥원(2020.12)