GDPR의 '법적 근거'에는 어떤 것들이 있나요?

Q: GDPR에서 요구하는 개인정보 처리의 법적 근거에는 어떤 것들이 있나요?
A: GDPR 제6조에 명시된 개인정보 처리의 법적 근거는 총 6가지입니다.

1. 본인 동의 (Consent)
- 개인정보 주체가 개인정보 처리에 대해 명확하고 자유로운 동의를 제공했을 때.
- 동의는 구체적이고 정보에 입각해야 하며 언제든 철회할 수 있습니다.

2. 계약의 이행 (Performance of a contract)
- 개인정보 처리 목적이 당사자 간 계약 체결 또는 이행을 위해 필요할 때.
- 예: 고객과의 계약 이행, 주문 처리 등.

3. 법적 의무 준수 (Legal obligation)
- 기업이 법률에 따라 특정 개인정보를 처리해야 하는 경우.
- 예: 세금 신고, 고용 관련 법적 보고 의무 등.

4. 중요한 이익 보호 (Vital interests)
- 개인정보 주체 또는 다른 사람의 생명이나 안전과 관련해 긴급히 개인정보 처리가 필요할 경우.
- 보통 응급 상황에 한정됩니다.

5. 공적 임무 수행 (Public task)
- 공공기관이 법률에 따라 공적 임무를 수행하기 위해 개인정보를 처리하는 경우.
- 공공 서비스 제공 등.

6. 정당한 이익 추구 (Legitimate interests)
- 개인정보 처리자가 자신의 정당한 이익을 위해 개인정보를 처리하되 주체의 권리와 자유가 부당하게 침해되지 않는 경우. - 사내 보안, 부정행위 방지 등에서 주로 적용되며 균형 테스트가 필요합니다.

---

Q: 법적 근거 중 ‘동의’는 어떤 요건을 갖춰야 하나요?
A: GDPR에서의 동의는 다음을 충족해야 합니다.
- 자유롭고 명확하며 구체적이고 정보에 기반해야 한다.
- 구두 혹은 서면, 전자적 방식 모두 가능하다.
- 사전에 가려진 불리한 조건 없이 제공되어야 한다.
- 언제든지 철회할 권리가 보장되어야 한다.

---

Q: ‘정당한 이익’ 근거는 언제 사용할 수 있나요?
A: ‘정당한 이익’은 기업이나 제3자가 추구하는 합법적인 목적을 위해 개인정보를 처리할 때 적용합니다. 단, 주체의 기본권이나 자유를 침해해서는 안 되고, 이를 판단하는 ‘이익 균형 테스트’를 반드시 수행해야 합니다. 이 근거는 마케팅, 내부 관리, 부정 사용 방지 등에 종종 활용됩니다.

---

Q: 법적 근거 하나로 모두 처리할 수 있나요?
A: 아닙니다. 각 개인정보 처리 목적과 상황에 따라 적합한 법적 근거를 명확히 파악하고 사용해야 합니다. 필요에 따라 여러 근거가 함께 적용되기도 합니다.

---

Q: GDPR 법적 근거를 충족하지 못하면 어떤 위험이 있나요?
A: 법적 근거 없이 개인정보를 처리하면 GDPR 위반으로 간주되어 최대 연간 매출의 4% 또는 2천만 유로(더 큰 금액 기준)의 과태료가 부과될 수 있습니다. 또한 개인정보 주체의 손해배상 청구, 평판 훼손 등 부정적 영향을 초래할 수 있습니다.

GDPR(General Data Protection Regulation, 일반 데이터 보호 규정)에서는 개인 데이터의 처리에 대해 다음과 같은 법적 근거를 규정하고 있습니다.

이러한 법적 근거 중 하나 또는 여러 개를 사용하여 개인 데이터를 합법적으로 처리할 수 있습니다.

1. 동의(Consent) : 데이터 주체가 자신의 개인 데이터 처리에 대해 명시적으로 동의한 경우. 이는 자발적이고 구체적이며 정보에 근거한 동의여야 합니다.



2. 계약 수행(Contractual necessity) : 데이터 처리 가 필요할 경우, 데이터 주체와의 계약을 이행하기 위한 경우입니다.

예를 들어, 상품 구매 시 필요한 개인정보 처리 등이 이에 해당합니다.



3. 법적 의무 준수(Legal obligation) : 데이터 관리자가 법적으로 준수해야 하는 의무를 이행하기 위해 필요한 경우. 공공기관이나 기업법 등이 이에 해당할 수 있습니다.



4. 사전 이익(Legitimate interests) : 데이터 관리자가 가지고 있는 합법적 이익을 위해 처리할 필요가 있는 경우. 단, 데이터 주체의 권리와 이익이 우선시되어야 합니다.



5. 생명 보호(Vital interests) : 데이터 주체나 다른 사람의 생명이나 안전을 보호하기 위해 개인 데이터를 처리해야 하는 경우입니다.



6. 공공의 이익(Public task) : 공공기관이나 공식 권한이 부여된 자가 공공의 업무를 수행하기 위해 개인 데이터를 처리하는 경우입니다.

이와 같은 법적 근거에 따라 기업이나 기관은 개인 데이터를 처리할 수 있으며, 각 법적 근거는 특정 상황과 목적에 따라 적절하게 선택되어야 합니다.

데이터 주체에게는 각 법적 근거에 대한 이해와 정보 제공이 필수적이며, 이를 통해 개인 데이터의 권리가 보호됩니다.