검색

국제비즈니스행사(마켓)

수출지원서비스

해외시장동향

해외시장 심층정보

고객지원

마켓플레이스

  1. Home
  2. 해외시장 심층정보
  3. 해외콘텐츠 법령정보 진출단계별 법규제정보 비즈니스/문화 코드 기관/지원정책 기업정보 콘텐츠 이용행태 보고서

해외콘텐츠 법령정보

독일의 게임 정책과 법제 VI - 개인정보의 수집과 동의 (1)
favorite
PDF 다운로드

요약 정보

독일의 게임 정책과 법제 VI - 개인정보의 수집과 동의 (1) 요약 정보
국가 독일 장르 게임
기관 (-) 구분 기타
제정일 (-) 개정일 (-)

상세 정보

 

 

독일의 게임 정책과 법제 VI
- 개인정보의 수집과 동의 (1)

 

 

 

 

1. 개인정보의 수집과 동의 

1-1. 개인정보보호법 적용 대상

Q. 자국 내 사업장이 없는 해외사업자에게 해당 국가의 개인정보보호법률이 적용되는지?

A. 유럽연합(EU) 또는 유럽경제지역(EEA) 내에 사업장이 없는 해외 사업 운영자에게도 GDPR 및 독일 연방 정보 보호법이 적용될 수 있음.

    EU 또는 EEA 외부에 기반을 둔 조직이 다음 기준 중 하나 이상을 충족하는 경우 GDPR이 적용됨: (i) 독일에 위치한 개인에게 상품 또는

    서비스를 제공하거나, (ii) 독일에 위치한 개인의 행동을 모니터링하는 경우.

 

1-2. 해외 사업자의 국내 대리인 지정

Q. 해외사업자의 경우 국내 대리인을 지정해야 하는지, 지정해야 한다면 그 사실을 관계 당국에 보고해야 하는 의무가 있는지?

     개인정보처리방침에 공개만 해 두어도 되는지?

A.  해외사업자는 국내 대리인을 지정해야 하며 해외 조직이 GDPR의 적용을 받는 경우, EU 또는 EEA에 위치한 대리인을 서면으로

    지정해야 함. 대리인은 상품 또는 서비스 제공과 관련하여 개인 정보가 처리되거나 행동이 모니터링되는 정보주체가 있는 EU/EEA 국가 중

    하나에 설립되어야 함.

 

1-3. 개인정보 수집 방법 (동의, 고지 등)

Q. 개인정보를 적법하게 수집(처리)하기 위한 방법(근거)은 어떠한 것들이 있는지?

※ 동의, 고지, 정보주체와의 계약 처리 및 이행을 위한 경우 등

A. 부연 설명 참고.

 

    부연 설명

    개인 정보

    독일 연방 정보 보호법에서는 고용 상황에 대한 추가적인 법적 근거를 명시하고 있음. 추가적인 법적 근거는 다음과 같음:

    • 고용 계약을 시작, 이행 또는 종료해야 할 필요성(본질적으로 계약 이행의 필요성과 동일, GDPR 제6조 제1항 제b호); 또는

    • 단체협약 또는 노사협의회 계약(노사협의회가 설치된 경우)과 같은 단체협약에서 발생하는 권리와 의무를 이행해야 할 필요성.

 

    특수 범주 정보

    2018년 DPA를 설명하는 마지막 단락을 제외하고 영국의 답변 참고.

 

    고용 맥락에서의 범죄 전과 및 범죄 정보

    직원의 개인 정보는 문서화해야 할 사실적 징후가 정보 주체가 고용 관계에서 범죄를 저질렀다는 의심을 불러일으키고, 범죄를 규명하기

    위해 처리가 필요하며, 처리 제외로 보호할 가치가 있는 직원의 이익이 우세하지 않고, 특히 그 유형과 범위가 사유와 관련하여 불균형하지

    않은 경우에만 범죄를 밝히기 위한 목적으로 처리할 수 있음(독일 연방 정보 보호법 제26조 제1항).

 

1-4. 아동의 개인정보 수집

Q1. 한국의 경우처럼 아동(한국의 경우 만 14세 미만)의 개인정보를 수집ㆍ이용ㆍ제공하려면, 법정대리인의 동의를 받아야 하는 규제가

      존재하는지? 혹 동의가 불필요한 경우, 어떠한 방법을 적법 처리 근거로 활용할 수 있는지?

A. 영국과 기본적으로 유사함. 독일에서는 아동이 만 16세 미만이고 동의를 기반으로 처리하는 경우 해당 ISS 제공자는 부모의 책임이 있는

    사람으로부터 동의를 얻어야 함. 아동이 16세 이상인 경우 아동 본인이 직접 동의할 수 있음.

 

Q2. 법정대리인의 동의를 받아야 한다면, 그 방법이 구체적으로 규정되어 있는지(이메일 인증, 전사서명, 서면 동의, 전화 동의 등)?

A. 유럽연합(EU) GDPR 제7조에서 요구하는 수준의 동의가 필요함. 13세(벨기에), 14세(스페인), 15세(프랑스) 또는 16세(독일 및 네덜란드)

    미만의 아동에 대한 부모의 동의를 얻고 확인하기 위해 '합리적인 노력'을 기울여야 함.

 

    부연 설명

    부모 동의 확인(해당되는 경우 연령 확인 추가)은 '개인정보 보호 친화적'인 방식으로 수행되어야 함. 즉, 최소한의 '고유 식별자'

    (예: 여권 스캔 또는 신용카드 정보)만 수집해야 함.

    개인정보처리가 특히 영향이 적고 아동에게 중대한 위험을 초래하지 않는다는 것을 입증할 수 있는 경우, 자진 신고를 옵션으로 고려할 수도

    있음.

 

Q3. 개인정보보호법 상 아동의 연령은 어떻게 되는지?

A. 아동의 법적 연령은 18세 미만인 사람이며 아동법은 18세 미만의 모든 개인에게 적용됨.

 

Q4. 사업자는 아동의 개인정보 관련 권리를 어떻게 보장해야 하는지(법정 대리인이 권리행사를 대신할 수 있는지 여부 등)?

A. 어린이는 개인 정보와 관련하여 성인과 동일한 권리를 가지며 부모 또는 보호자가 자녀를 대신하여 이러한 권리를 행사할 수 있음.

 

Q5. 해당 법률을 위반 했을 때 벌칙 조항은 어떻게 구성되어 있는지?

A. GDPR을 준수하지 않을 경우 전 세계 연간 매출액의 최대 2% 또는 1천만 유로의 벌금이 부과될 수 있으며, 독일 정보 보호법 위반의 경우

    전 세계 연간 매출액의 4% 또는 최대 200만 유로의 벌금이 부과될 수 있으며 경고 또는 견책과 같은 기타 불이익이 부과될 수 있음.

 

    부연 설명

    위 규정의 집행은 관할 독일 감독 당국(즉, 각 독일 연방주의 16개 정보 보호 당국 중 하나 또는 해당되는 경우 연방 정보 보호 당국(BfDI))이

    수행함.

    또한, 정보 보호와 관련된 형사 범죄는 벌금형 또는 징역형에 처해질 수 있음. 예를 들어, 일반적으로 많은 사람이 접근할 수 없는

    개인 정보를 권한 없이 상업적 이해관계에 따라 고의로 공개하는 행위는 형사 범죄에 해당함. 또한 독일 정보 보호법 위반 시 최대 5만

    유로의 행정 벌금이 부과될 수 있음.

    독일에서는 개인이 정보 보호 권리를 침해당한 경우 민사 소송을 제기하고 보상을 청구할 수 있는 권리도 있음.

 

1-5. 개인정보 제3자 제공 방법 (동의, 고지 등)

Q. 개인정보를 제3자에게 적법하게 제공하기 위한 방법(근거)은 어떠한 것들이 있는지(동의, 고지, 정보주체와의 계약 처리 및 이행을 위한

     경우 등)?

A. 부연 설명 참고.

 

    부연 설명

    여기서 '제3자'라는 용어는 다양한 의미를 가질 수 있음. 따라서 다양한 시나리오를 구분하는 것이 중요함:

    • 처음에 개인 정보를 수집한 조직에서 근무하는 직원과 정보를 공유하는 경우. 이 경우 직원은 관리자 또는 처리자의 권한에 따라 행동하는

    사람임(영국/EU GDPR 제29조). 이 직원은 조직의 산하에 속하게 되며 해당 조직만이 정보를 처리하고 직원과 공유할 수 있는 합법적인

    근거를 가지고 있어야 함.

    • 영국 GDPR의 의미 내에서 '정보 처리자'와 정보 공유. 이 경우 관리자만이 처리에 대한 합법적인 근거를 식별해야 함(여기서는 처리자와

    정보를 공유하는 경우를 고려함). 처리자는 관리자로부터 받은 정보를 처리하기 위해 합법적인 근거가 필요하지 않음.

    관리자가 식별한 합법적 근거에 의존하고 이에 '편승'하기만 하면 됨.

    • '독립 관리자'와 정보 공유. 이 경우 각 독립 관리자는 처리에 대한 법적 근거가 필요함. 각 관리자는 자체적으로 결정함.

    • '공동 관리자'와 정보 공유. 이 경우 공동 관리자는 일반적으로 공통적으로 식별되는 처리에 대한 법적 근거가 필요함.

 

1-6. 개인정보 처리 위탁 (동의, 고지, 수탁업체 계약방법)

Q1. 개인정보 처리를 외부 업체에게 위탁하려는 경우 정보주체의 동의를 얻어야 하는지?

A. 이런 경우 정보주체의 동의를 얻어야 하는 것은 아니고 다른 법적 근거를 고려할 수 있음. 그러나 특정 처리 활동을 제3자에게 위탁한다고

    해서 정보 처리자가 애초에 관련 처리 활동에 대한 유효한 법적 근거를 확보해야 할 의무가 면제되는 것은 아니라는 점에 유의해야 함.

    이는 정보 처리자의 의무가 아님.

 

Q2. 동의를 얻지 않아도 된다면, 그 적법성을 어떻게 확보할 수 있는지(정보주체에게 고지, 개인정보처리방침 공개 등)?

A. 이는 의존하는 법적 근거에 따라 다른데 예를 들어, 정당한 이익에 의존하는 경우 '정당한 이익 평가'를 수행해야 함. 어떤 법적 근거에 의존

    하는지 설명하는 개인정보 처리방침을 항상 정보 주체가 열람할 수 있도록 제공해야 한다는 점에 유의해야 함.

 

Q3. 개인정보 처리를 위탁받아 수행하는 자(수탁업체)와 체결해야 하는 문서가 있는지?

A. 처리자 역할을 하는 제3자(즉, 관리자를 대신하여 개인 정보를 처리하도록 지시를 받은 법인)를 고용하는 경우 '정보 처리 계약'을

    체결해야 함. 이 계약에는 영국/EU GDPR 제28조에서 요구하는 모든 조항이 포함되어야 하고 이 맥락에서 '수탁자'는 영국/EU GDPR

    용어에 따라 처리자로 간주됨.

 

Q4. 위탁업체가 수탁업체를 관리감독할 의무가 있는지? 있다면, 그 관리감독 방법은 무엇인지?

A. 위탁업체가 수탁업체를 관리감독할 의무가 있음. 관리자-처리자 관계의 경우 관리자는 처리자를 감독해야 함. 이는 주로 계약 조항과

    관리자의 처리자 감사 및 검사 권한을 통해 수행됨. 관리자-관리자 관계(독립 또는 공동)의 경우 이러한 의무가 없으나 관리자는 계약상

    이러한 의무에 동의할 수 있음.

 

Q5. 개인정보 수탁업체가 개인정보 관련 사고를 발생시킬 경우 그 책임은 누가 지는지? (수탁업체가 온전히 그 책임을 지는지 또는 위탁업체가

      그 책임을 지는지)?

A. 위 질문의 '사고'라는 용어가 영국/EU GDPR에 따른 '개인 정보 유출'을 의미한다고 가정하였을 때, 이 용어는 '전송, 저장 또는

    기타 방식으로 처리되는 개인 정보의 우발적 또는 불법적인 파괴, 손실, 변경, 무단 공개 또는 접근으로 이어지는 보안 위반'으로 정의됨.

    개인정보 유출 사고의 1차적 책임은 항상 개인정보처리자에게 있음. 그러나 이것이 반드시 그러한 경우 관리자가 현지 정보 보호 당국이나

    법원에 의해 항상 책임이 있는 것으로 간주된다는 것을 의미하지는 않음. 예를 들어, 개인 정보 침해가 처리자의 영국/EU GDPR 의무

    위반과 관련이 있거나 처리자가 관리자의 지시에 반하는 행동을 한 경우, 영국/EU GDPR 제82조는 처리자가 해당 침해에 대해 책임을 질 수

    있는 가능성을 제시함.

 

1-7. 쿠키 수집

Q1. 쿠키를 수집(동의 등) 및 이용과 관련하여 규제가 있는지?

A. 쿠키 또는 이와 유사한 추적 기술의 사용에는 독일 텔레미디어 및 통신에 관한 정보 보호법 (TTDSG)이 적용됨.

 

Q2. 쿠키를 수집(동의 등) 및 이용과 관련하여 규제가 있다면, 해당 법을 만족시키기 위한 적법한 쿠키 수집(동의 등) 방법은 무엇인지?

A. 쿠키(또는 유사한 추적 기술)는 다음 두 가지 예외 사항 중 하나에 해당하지 않는 한 동의를 받아야 함(다음 질문에서 이에 대한 자세한

    내용을 참조하길 바람). 동의를 수집하는 시장 표준 방법은 개인에게 쿠키(또는 유사한 추적 기술) 사용에 대한 정보와 동의를 제공하거나

    거부할 수 있는 기능을 제공하는 동의 배너를 사용하는 것임.

 

Q3. 만약 동의를 받아야 한다면, 쿠키 동의가 면제될 수 있는 조건은 무엇이 있는지?

A. 부연 설명 참고.

 

    부연 설명

    아래와 같이 쿠키를 사용하는 경우 동의가 필요하지 않음:

    • 최종 사용자의 단말 장비에 정보를 저장하는 유일한 목적 또는 최종 사용자의 단말 장비에 이미 저장된 정보에 액세스하는 유일한 목적이

    공중 통신 네트워크를 통해 통신을 전송하는 것인 경우 또는

    • 텔레미디어 서비스 제공자가 이용자가 명시적으로 요청한 텔레미디어 서비스를 제공하기 위해서는 최종 사용자의 단말 장비에 정보를

    저장하거나 최종 사용자의 단말 장비에 이미 저장된 정보에 접근하는 것이 반드시 필요함.

    이러한 예외를 사용할 수 없는 경우 쿠키 배치 및 추가 사용에는 동의가 필요함.

 

1-8. 국외 이전 방법 (동의, 방법, 동의 시 고지사항)

Q. 해외 이용자의 개인정보를 국외로 이전하기 위한 방법은 무엇이 있는지(동의, 개인정보처리방침 공개, 특별한 규제 없이 자유롭게 이전

     가능 등)?

A. 부연 설명 참고.

 

    부연 설명

    개인 정보의 국제 전송은 다음 조치 중 하나에 따라 이루어질 수 있음:

    • 적정성 결정. 대한민국과 같은 국가가 이 목록에 포함되어 있음.

    • 적절한 안전장치:

    • 공공기관 또는 단체 간의 법적 구속력이 있고 집행 가능한 문서

    • 영국/유럽 연합 구속력 있는 기업 규칙(BCR)

    • 유럽연합 집행위원회(또는 영국 정부)에서 채택한 표준 정보 보호 조항

    • 감독 기관이 채택하고 유럽연합 집행위원회(영국 제외)가 승인한 표준 정보 보호 조항

    • 영국/EU GDPR 제40조에 따라 승인된 행동 강령과 제3국의 관리자 또는 처리자가 정보주체의 권리를 포함하여 적절한 보호 조치를

    적용하겠다는 구속력 있고 집행 가능한 약속을 함께 제공함.

    • 정보주체의 권리를 포함하여 적절한 보호 조치를 적용하겠다는 제3국 관리자 또는 처리자의 구속력 있고 집행 가능한 약속과 함께

    영국/EU GDPR 제42조에 따른 승인된 인증 메커니즘.

    • 관리자 또는 처리자와 제3국 또는 국제기구의 관리자, 처리자 또는 개인 정보 수신자 간의 계약 조항

    • 집행 가능하고 효과적인 정보주체 권리를 포함하는 공공기관 또는 단체 간의 관리 계약에 삽입할 조항

    위의 적절한 안전조치 단락에 열거된 수단에 의존하는 경우에는 이전 위험 평가(TRA)를 완료해야 함.

    • 예외: 영국/EU GDPR 제49조는 특정 상황에 대한 예외를 규정하고 있음. 여기에는 명시적 동의(실용적인 목적으로는 일반적으로

    사용되지 않는 경우, 즉 개인의 동의 철회 가능성), 개인과 관리자 간의 계약 이행을 위해 이전이 필요한 경우(또는 개인의 요청에 따라

    취해진 계약 전 조치의 이행을 위해 필요한 경우), 법적 청구권의 설정, 행사 또는 방어에 이전이 필요한지 또는 개인의 중대한 이익에

    해당하는지 등의 기타 사유가 포함됨.

 

1-9. 데이터 현지화

Q1. 특정 국가의 경우 자국민의 개인정보를 반드시 특정국가 현지에 저장해야 함을 법률로 규정하고 있음에 따라 유사한 규제가 있는지?

A. 비디오 게임 부문에서 독일에는 자국민의 개인 정보를 독일에 저장해야 한다고 규정하는 법률이 없음.

 

Q2. 현지화 규제가 있다면, 그 대상이 되는 개인정보의 범위가 있는지(모든 개인정보, 특정 정보만 현지에 저장 등)?

A. 해당 없음.

 

링크 (-)