해외콘텐츠 법령정보
독일의 게임 정책과 법제 VII - 개인정보의 수집과 동의 (2)
요약 정보
| 국가 | 독일 | 장르 | 게임 |
|---|---|---|---|
| 기관 | (-) | 구분 | 기타 |
| 제정일 | (-) | 개정일 | (-) |
상세 정보
독일의 게임 정책과 법제 VII
- 개인정보의 수집과 동의 (2)
1. 개인정보의 처리와 보호
1-1. 개인정보 이용내역 통지
Q. 개인정보 이용을 이용자에게 알려야하는 규정이 있는지. 있다면 어떠한 방법으로 이용자에게 통지해야 하는지? 만약 통지 수단
(이메일, 핸드폰 번호 등)이 없다면 이용 내역을 통지하지 않아도 되는지?
A. 영국/EU GDPR 제12조, 제13조 및 제14조는 개인정보가 사용될 때 정보주체에게 통지하도록 규정하고 있음. 정보 관리자는 간결하고
투명하며 이해하기 쉽고 접근하기 쉬운 형태로, 특히 아동을 대상으로 하는 모든 정보에 대해 명확하고 쉬운 언어를 사용하여 정보주체에게
개인 정보 처리에 대해 알려야 함.
부연 설명
제13조는 개인정보처리자가 개인으로부터 직접 개인 정보를 취득하는 경우에 적용됨. 이러한 경우 관리자는 개인 정보를 획득할 때 필요한
모든 정보를 제공해야 함.
제14조는 개인이 아닌 다른 출처로부터 개인 정보를 취득한 경우 해당되며, 개인 정보를 취득한 후 합리적인 기간 내에(단, 최소 1개월 이내)
개인에게 특정 정보를 제공해야 하거나 개인 정보가 개인과의 커뮤니케이션에 사용되는 경우 늦어도 첫 번째 커뮤니케이션 시점까지,
다른 수신자에게 공개가 예정된 경우 늦어도 개인 정보가 처음 공개될 때 제공해야 함.
제공해야 하는 정보(전체 목록이 아님)에는 관리자, 처리 목적, 개인 정보 수신자(있는 경우) 및 (해당되는 경우) 개인 정보가 '제3국'으로
전송되는지 여부에 대한 세부 정보가 포함됨. 제14조의 경우, 개인 정보의 출처와 개인 정보의 범주에 대한 정보도 제공해야 함.
이는 일반적으로 개인정보 처리방침을 통해 이루어짐. 이를 정보주체에게 제공하는 방법에 대한 구체적인 조치는 없음.
개인에게 통지할 수단이 없고(예: 개인에게 컴퓨터 또는 모바일 장치가 없는 경우) 개인으로부터 직접 개인 정보를 수집한 경우,
개인정보처리자는 이를 개인에게 알릴 수 있는 다른 방법을 찾아야 함(이상적으로는 개인으로부터 직접 정보를 수집한 것과 동일한 수단을
통해).
개인정보가 개인 이외의 출처를 통해 수집된 경우, 제14조 제5항은 해당 정보의 제공이 불가능하거나 불균형적인 노력을 수반하는 것으로
입증되는 경우 (제한적인) 면책을 제공함. 대부분의 조직과 관련이 적은 추가 면책 조항이 있음(관리자가 해당 개인 정보를 획득하거나
공개할 수 있는 특정 법률의 적용을 받거나 직업적 기밀 유지 의무가 있는 경우).
1-2. 광고성 정보(수신, 동의, 고지, 발송, 방법)
Q1. 한국의 정보통신망법과 같은 광고성 정보(이메일, 핸드폰 번호, 모바일 앱 푸쉬) 발송에 적용되는 규제가 있는지?
A. 독일 불공정경쟁법(Gesetz gegen den unlauteren Wettbewerb - UWG)과 텔레미디어법 (Telemediengesetz - TMG)이 이 주제에
적용됨. 이러한 규정은 홍보 목적으로 개인정보를 수집하고 처리하는 맥락에서 개인정보 처리를 규제하는 GDPR에 의해 보완됨.
부연 설명
EU의 전자 개인정보 보호 규정은 전자 개인정보 보호 지침을 대체하고 이메일 및 SMS 홍보를 포함한 전자 커뮤니케이션을 더욱 규제할
것으로 예상됨. 이 규정이 시행되면 홍보 관행에 영향을 미칠 수 있음.
홍보 전자 메시지(예: 이메일, SMS 등): UWG는 일반적으로 기업이 이메일, SMS 또는 모바일 앱 푸시 알림을 통해 홍보 메시지를 보내기
전에 개인으로부터 명시적인 동의(옵트인)를 얻도록 요구함. 또한 기업은 수신자가 향후 홍보 커뮤니케이션 수신을 거부(수신 거부)할 수
있는 명확하고 사용하기 쉬운 메커니즘을 제공해야 함. 사전 옵트인 없이 단순한 옵트아웃 솔루션은 기존 고객 관계에서 매우 제한적인
조건 하에서만 허용됨. 독일의 TMG는 상업적 커뮤니케이션을 포함한 전자 커뮤니케이션의 다양한 측면을 규율함. TMG에 따라 기업은
상업적 커뮤니케이션에서 자신의 신원과 연락처에 대한 명확한 정보를 제공해야 함. 또한 TMG는 전자 홍보 연락에 대한 동의를 얻기 위한
요건을 규정하고 있음.
사전 동의 없이 소비자에게 실시간 홍보 전화를 해서는 안됨. B2B 맥락에서 독일 법률은 묵시적 동의에 기반한 전화 홍보를 허용하지만,
묵시적 동의가 존재했음을 입증하는 입증 책임은 광고 회사에 있음.
Q2. 한국의 정보통신망법과 같은 광고성 정보(이메일, 핸드폰 번호, 모바일 앱 푸쉬) 발송에 적용되는 규제가 있다면, 광고성 정보를 보낼 때
지켜야 하는 표기 의무가 있는지?
A. 현지 규정에는 홍보 커뮤니케이션과 관련된 몇 가지 의무사항이 포함되어 있음. 모든 전자 홍보 커뮤니케이션(예: 이메일, SMS)은 개인이
수신 거부할 수 있는 기능을 제공해야 함. 발신자의 신원이 명확해야 함. 이러한 전자 홍보 커뮤니케이션을 홍보로 표시해야 하는 특별한
요건은 없음.
Q3. 이용자에게 광고성 정보를 보내기 위한 조건은 어떻게 되는지(명시적인 사전 수신동의 등)?
A. 영국과 달리 ‘매매 교섭’관점이 포함되지 않은 조건 2를 제외하고는 영국 항목과 동일함.
부연 설명
(해당 질문에 대한 영국 파트의 내용)
전자 메시지(예: 이메일, SMS)를 통해 전송되는 광고/홍보에 초점을 맞추어 설명함.
전자적으로 전송되는 경우, 이러한 커뮤니케이션은 일반적으로 영국 GDPR의 요건에 따라 개인의 명시적인 동의를 받아야 함.
'소프트 옵트인'이라는 예외가 있는데, 이는 5가지 누적 요건을 충족하는 경우에 적용됨:
1. 조직이 연락처 정보를 입수한 경우: 조직이 전자 메시지를 홍보하려는 개인으로부터 직접 연락처 정보를 입수했어야 함.
2. 조직이 (i) 판매 과정 또는 (ii) 제품 또는 서비스의 판매 협상 중에 이러한 행위를 한 경우: 개인이 조직에서 물건을 구매했거나 제품 또는
서비스 구매에 적극적으로 관심을 표명했어야 함(예: 조직이 제공하는 제품에 대한 견적이나 자세한 정보를 요청하는 등).
3. 조직이 유사한 제품 및 서비스를 홍보하는 경우: 조직은 유사한 제품 및 서비스에 대한 전자 메시지를 보내야 함.
즉, 조직은 사람들이 해당 맥락에서 조직에 대해 합리적으로 기대하지 않는 것에 대한 메시지를 보낼 수 없으며 조직은 다른 조직의 홍보를
보낼 수 없음.
4. 조직이 세부 정보를 수집할 때 옵트아웃을 제공한 경우: 조직이 처음 세부 정보를 수집할 때 홍보 전자 메시지를 수신 거부할 수 있는
명확하고 간단한 기회를 제공해야 함(예: 눈에 잘 띄는 옵트아웃 상자가 있는 온라인 양식).
5. 또한 조직은 이후의 모든 커뮤니케이션에서 수신 거부 기회를 제공해야 함. 조직은 조직에서 발송하는 모든 후속 커뮤니케이션을 수신
거부할 수 있는 기회를 제공해야 함. 수신 거부 절차는 간단하고 무료여야 함(메시지 전송에 드는 비용 제외).
1-3. 개인정보 파기
Q1. 개인정보를 파기해야 하는 의무가 있는지?
A. 영국/EU GDPR에는 정보 최소화 및 저장 제한이라는 '정보 보호 원칙'이 있음. 즉, 개인 정보는 처리 목적에 더 이상 필요하지 않은 경우
삭제하거나 익명화해야 함. 조건에 따라 개인은 영국/EU GDPR에서 제공하는 정보주체 권리(예: 삭제/정정 요청, 동의 철회(정보 처리의
법적 근거가 동의인 경우))를 사용하여 조직이 자신의 개인 정보를 삭제, 익명화 또는 수정하는 것을 확인할 수 있음.
Q2. 개인정보를 어떠한 경우에 파기해야 하는지?
A. 개인정보는 처리되는 특정 목적이 달성되어 더 이상 보관할 이유가 없어지면 삭제(또는 익명화)해야 함. 또한 정보를 최신 상태로 유지하는
것과 관련된 의무도 있음. 또한 조건에 따라 개인이 삭제/수정 요청 또는 동의 철회에 대한 유효한 권리를 행사하는 경우 (정보 처리의 법적
근거가 개인의 동의인 경우) 개인정보를 삭제/수정해야 함.
Q3. 개인정보를 파기해야 한다면, 한국의 전자상거래법, 통신비밀보호법과 같이 별도의 정보를 보관하도록 하는 특별 규정이 있는지?
※ 접속기록 3개월, 표시/광고에 관한 기록 6개월, 계약 또는 청약철회 등에 관한 기록 5년, 대금 결제 및 재화공급등에 관한 기록 5년,
소비자의 불만 또는 분쟁처리에 관한 기록 3년
A. 독일 불공정 상거래 관행에 관한 법률 제7조에 따라 조직은 전화홍보에 대한 동의서를 5년간 보관해야 함. 또한 조직은 일부 정보를 해당
소멸시효 기간 동안 보관할 수 있음. 일반적인 법정 보존 기간도 있음:
부연 설명
상법(Handelsgesetzbuch 또는 HGB)
HGB에는 사업 거래를 위한 상업장부, 기록 및 문서의 보관에 관한 조항이 포함되어 있음. 여기에는 상업 활동을 하는 사업의 전자상거래
기록이 포함됨. 기록은 일반적으로 6년에서 10년 사이의 기간동안 보관해야 함.
세금 규정(Abgabenordnung 또는 AO)
AO에는 과세와 관련된 기록 보관 요건이 포함되어 있음. 이커머스 사업은 금융 거래, 송장 및 관련 문서에 대한 기록을 특정 기간(일반적으로
10년) 동안 보관해야 함.
참고: 이는 복잡한 법적 영역에 대한 개괄적인 답변임. 의무 보존기간은 보존 대상 문서와 보존 목적에 따라 다름. 따라서 철저한 보존 정책과
관련 법률 준수가 필요함.
1-4. 장기 미 접속 계정 휴면 처리 방법
Q. 한국의 개인정보보호법과 같이 1년간 서비스를 이용하지 않는 이용자의 개인정보를 파기 또는 분리보관 해야 하는 규제가 있는지?
A. 조사에 참여한 모든 국가에서는 위에서 설명한 정보 보호 원칙 외에 이러한 의무 요건이 존재하지 않음.
1-5. 개인정보 처리 방침
Q1. 국내의 경우 법령에 의해서 개인정보처리방침에 필수적으로 기재해야 하는 내용이 정해져 있음. 이와 유사하게 법적으로 필수적으로
기재해야 하는 내용이 있는지? 그리고 필수는 아니지만 가이드라인 등을 통해 기재가 권장되는 내용이 있는지?
A. 영국/EU GDPR은 개인에게 어떤 정보를 제공해야 하는지 명시하고 있음.
부연 설명
제13조(개인으로부터 직접 개인 정보를 수집하는 경우)에서는 다음 정보를 제공하도록 규정하고 있음:
• 관리자의 신원 및 연락처 정보, 해당되는 경우 관리자의 대리인의 연락처 정보
• 해당되는 경우 정보 보호 책임자의 연락처 정보
• 개인 정보의 처리 목적 및 처리의 법적 근거
• 처리가 정당한 이익에 근거하는 경우, 관리자 또는 제3자가 추구하는 정당한 이익
• 개인 정보의 수신자 또는 수신자 범주(있는 경우)
• 해당되는 경우, 관리자가 개인 정보를 제3국으로 전송하려는 사실(세부 정보 포함)
• 개인 정보가 저장될 기간 또는 이것이 불가능할 경우 해당 기간을 결정하는 데 사용된 기준
• 관리자에게 개인 정보에 대한 접근 및 수정 또는 삭제 또는 개인에 관한 처리 제한을 요청하거나 처리에 이의를 제기할 수 있는 권리와
정보 이동성에 대한 권리의 존재 여부
• 처리가 동의(또는 특수 범주 정보의 경우 명시적 동의)에 기반하는 경우, 철회 전 동의에 기반한 처리의 적법성에 영향을 미치지 않고
언제든지 동의를 철회할 수 있는 권리가 존재한다는 사실
• 감독 기관에 불만을 제기할 수 있는 권리
• 개인 정보 제공이 법적 또는 계약상 요구 사항인지 또는 계약 체결에 필요한 요구 사항인지 여부, 개인이 개인 정보를 제공할 의무가
있는지 여부 및 해당 정보를 제공하지 않을 경우 발생할 수 있는 결과
• 제22조 제1항 및 제4항에 언급된 프로파일링을 포함한 자동화된 의사 결정의 존재, 그리고 적어도 그러한 경우 관련된 논리에 대한
의미 있는 정보, 그리고 그러한 처리가 개인에게 미치는 중요성 및 예상되는 결과
제14조(즉, 개인이 아닌 다른 출처에서 개인 정보를 수집하는 경우)에는 위의 모든 사항이 필요함. 또한 개인 정보의 출처와 해당
개인 정보의 범주에 대한 정보도 필요함.
Q2. 개인정보 처리방침을 어떻게 공개해야 한다는 사실을 정한 규제가 있는지?
A. 개인정보 처리방침 공개 방법에 관한 규제는 없으나 이에 대한 자세한 내용을 명시한 제29조 작업자(즉, EDPB의 전신)이 발행한 투명성
가이드라인이 있음.
부연 설명
일반적으로 개인정보 처리방침은 관련 대상(특히 아동을 대상으로 하는 정보의 경우)이 쉽게 이해할 수 있는 명확하고 쉽게 접근할 수 있는
방식으로 제시되어야 하며 개인이 쉽게 접근할 수 있어야 함. 일부 국가에서는 현지 언어로 번역해야 함.
가이드라인은 개인정보 처리방침을 공개해야 하는 시기, 포함해야 하는 내용, 개인정보 처리방침을 공개하는 방법 등 개인정보 처리방침의
내용에 대한 다양한 세부 사항을 제공함. 후자의 경우 가이드라인 39항에서는 고지를 공개하는 '푸시' 또는 '풀' 방법을 명시하고 있음.
푸시 방식은 개인에게 개인정보 처리방침을 제시하는 방식(예: 위에서 언급한 바와 같이 게임에 접속하기 전)이며, 풀 방식은 개인이
개인정보 처리방침에 직접 접근할 수 있는 수단(예: 게임 인터페이스 메뉴의 일부 또는 개인정보 대시보드의 일부)을 제공하는 방식임.
또한 제15항에 언급된 다른 방법에는 인쇄물, 전화, 화면이 없는 스마트 기술(예: QR코드) 사용, 직접 방문을 통한 개인정보 처리방침
제공 등이 있음.
1-6. 이용자 개인정보 권익보호방법
Q1. 이용자에게 보장해 주어야 하는 개인정보 관련 권리가 있는지(열람권, 정정권, 이동권, 처리정지권, 삭제권)?
A. 부연 설명 참고.
부연 설명
영국/EU GDPR은 정보주체에게 다음과 같은 권리를 부여함.
• 알 권리(즉, 영국/EU GDPR 제13조 및 제14조에 따라 요구되는 정보 제공)
• 접근권(즉, 개인이 자신의 개인 정보 사본을 요청할 수 있는 권리)
• 정정권(즉, 개인이 관리자에 잘못된 개인 정보를 수정하도록 요청할 수 있는 권리)
• 삭제할 권리(즉, 개인이 자신의 개인 정보를 삭제하도록 요청할 수 있는 권리)
• 처리 제한 권리(즉, 개인이 자신의 개인 정보 처리를 제한하도록 요청할 수 있는 권리)
• 정보 이동성 권리(즉, 개인이 자신의 개인 정보를 제3자에게 전송하도록 요청할 수 있는 권리)
• 반대할 권리(즉, 개인이 자신의 개인 정보 처리에 반대할 수 있는 권리)
• 자동화된 의사 결정의 대상이 되지 않을 권리
• 관련 정보 보호 기관에 불만을 제기할 수 있는 권리
유효한 요청을 받으면 관리자는 부당한 지체 없이(늦어도 1개월 이내에) 관련 정보를 제공하거나 필요한 조치를 취해야 함.
이 기간은 복잡한 요청의 경우 2개월 더 연장될 수 있음(제한된 경우에만 가능). 영국에서는 정보 검색에 기술적 어려움이 있는지 또는 전문
법률 자문을 구해야 하는지 등의 요소를 포함하여 복잡한 요청으로 간주될 수 있는 사항에 대한 지침이 있음. 예외가 적용되지 않는 한,
개인은 이러한 권리를 무료로 행사할 수 있음. 이러한 권리는 절대적인 것이 아니며 위에 적용되는 제한 및 면제 사항이 있음.
Q2. 개인정보 관련 권리가 있다면, 각 권리를 행사하기 위한 조건이 있는지(무제한으로 행사가능, 사업자가 합리적인 이유가 있다면 제한
가능 등)?
A. 각 권리를 행사하기 위한 조건은 GDPR 제12조 및 제15조 내지 제22조에 명시되어 있음. 독일 정보 보호법은 정보주체가 자신의
개인 정보에 대한 접근을 요청하는 경우 특정 독일 법률 면책 등 이러한 규칙에 대한 국가별 추가 감면을 예정하고 있음.
1-7. 개인정보 침해에 대한 보상보험 요건
Q1. 정보주체의 개인정보 관련 사고(유출, 노출, 훼손, 분실 등)가 발생될 경우 정보주체에게 고지해야 하는 의무가 있는지?
A. 영국/EU GDPR에 따른 ‘개인정보 유출’은 “전송, 저장 또는 기타 방식으로 처리되는 개인정보의 우발적 또는 불법적인 파괴, 분실, 변경,
무단 공개 또는 접근으로 이어지는 보안 위반”을 의미함.
부연 설명
관리자에 대한 통지
침해가 처리자와 관련된 경우, 영국/EU GDPR 제33조 제2항에 따라 처리자는 침해 사실을 인지한 경우 과도한 지체없이 관리자에게
통지해야 함.
현지 정보 보호 기관에 대한 통지
관리자가 침해 사실을 알게 되면(처리자로부터 통지를 받든 다른 방식으로 통지를 받든), 영국/EU GDPR 제33조 제1항에 따라 관리자는
부당한 지체 없이, 가능한 경우 침해 사실을 알게 된 후 72시간 이내에 ICO에 통지해야 함. 개인정보처리자는 침해로 인해 영향을 받는
개인의 권리와 자유에 위험이 발생할 가능성이 낮은 경우 현지 정보 보호 기관에 침해 사실을 알릴 필요가 없음.
영향을 받는 개인에 대한 통지
예외가 적용되지 않는 한(예: 개인에게 연락하는 데 과도한 노력이 필요하거나, 위반으로 인해 연락처 정보가 손실되었거나 애초에 알려지지
않은 경우), 영국/EU GDPR 제34조는 위반이 개인의 권리와 자유에 높은 위험을 초래할 가능성이 있는 경우 관리자가 과도한 지체 없이
개인에게 통지하도록 규정하고 있음.
Q2. 정보주체에게 고지 의무가 있다면, 몇 명 이상의 개인정보 사고 시 그러한 의무가 부과되는지, 고지 방법이 규정되어 있는지
[홈페이지에 사고 사실 공개, 개별 연락 (이메일, 전화 등)]?
A. 통지 요건을 발동시키기 위한 최소 침해 건수 또는 영향을 받는 정보주체의 수는 따로 정해져 있지 않음.
부연 설명
현지 정보 보호 당국에 통지할 때는 개인 정보 및 개인 범주, 관련 개인 수, 관련 기록 수, 침해로 인해 발생할 수 있는 결과 및 침해 해결을
위해 취한 조치에 대한 정보를 포함하여 침해 사실을 자세히 설명해야 함. 각 정보 보호 기관은 자체적인 개인정보 침해 통지 양식을 사용함
(예: ICO에서 사용하는 양식은 링크에서 확인할 수 있음).
영향을 받은 개인에게 통지할 때는 명확하고 쉬운 언어로 (i) 침해의 성격에 대한 설명, (ii) 정보 보호 책임자 또는 기타 연락 담당자의
이름과 연락처, (iii) 침해로 인해 발생할 수 있는 결과에 대한 설명, (iv) 침해 문제를 해결하기 위해 관리자가 취했거나 취할 예정인 조치에
대한 설명(적절한 경우 가능한 부정적 영향을 완화하는 조치 포함)을 최소한 명시해야 함. 또한 (오직) 네덜란드의 경우 현지 정보 보호
당국은 관리자에게 영향을 받는 정보주체에게 스스로 취할 수 있는 조치에 대해 알리도록 권고함.
제29조 작업자에 따르면 투명한 커뮤니케이션 방법의 예로는 직접 메시지(예: 이메일, SMS, 쪽지), 눈에 잘 띄는 웹사이트 배너 또는 알림,
우편 커뮤니케이션 및 인쇄 매체의 눈에 잘 띄는 광고 등이 있음. 보도 자료나 기업 블로그에만 국한된 알림은 개인에게 위반 사실을 알리는
효과적인 수단이 될 수 없음. 상황에 따라, 이는 관리자가 단일 연락 채널을 사용하는 대신 여러 가지 커뮤니케이션 방법을 사용한다는 것을
의미할 수 있음.
Q3. 정보주체에게 고지해야 할 경우 고지 시간이 규정되어 있는지(사고 사실을 인지한 순간부터 1주일 이내 등)?
A. 영국/EU GDPR에 따르면 통지는 ‘부당한 지체없이’ 이루어져야 함.
Q4. 정보주체의 개인정보 관련 사고(유출, 노출, 훼손, 분실 등)가 발생될 경우 관계당국에 신고해야 하는 의무가 있는지?
A. 신고 의무가 있음.
Q5. 신고 의무가 있다면 몇 명 이상의 개인정보 사고 시 그러한 의무가 부과되는지? 신고 시간이 정해져 있는지(사고 사실을 인지한 순간부터
1주일 이내 등)?
A. 이러한 최소 건수는 없음. 한 명의 개인이 영향을 받은 경우에도 통지 의무가 발동될 수 있음. 개인 정보 침해와 관련하여 유일하게 정해진
통지 기간은 부당한 지체없이, 가능한 경우 침해 사실을 인지한 후 72시간 이내에 현지 정보 보호기관에 통지해야 한다는 의무임.
1-8. 데이터 침해에 대한 보상
Q. 한국은 개인정보보호법 제39조의9(손해배상의 보장)에 따라 손해배상책임의 이행을 위해 보험 또는 공제에 가입하거나 준비금을
적립하는 등 필요한 조치를 하여야 함. 이와 유사한 규제가 있는지?
A. 조사 대상 국가 중 이와 유사한 조항이 있는 국가는 없음.
1-9. 개인정보 유출 손해 배상 보험
Q. 개인정보 규제(법령)를 위반하거나 개인정보 사고가 발생된 경우 과태료, 과징금 등은 최대 얼마까지 부과되는지?
A. 부연 설명 참고. 6.라.5) 항목 참조.
링크
(-)
- Helpdesk1566-9984 welcon@kocca.kr
- 본 페이지에 게시된 이메일 주소가 자동 수집되는 것을 거부하며, 이를 위반시 정보통신법에 의해 처벌됨을 유념하시기 바랍니다.
58326 전라남도 나주시 교육길 35 (빛가람동 351) 한국콘텐츠진흥원 사업자등록번호 105-82-17272 - Copyright 2020. Korea Creative Content Agency All rights reserved.
