해외콘텐츠 법령정보

 

 

스페인의 게임 정책과 법제 IV

- 개인정보 관련

 

 

 

1. 개인정보의 수집과 동의

1-1. 개인정보보호법 적용 대상

Q. 자국 내 사업장이 없는 해외사업자에게 해당 국가의 개인정보보호법률이 적용되는지?

A. GDPR 및 스페인 정보 보호법은 유럽연합(EU) 또는 유럽경제지역(EEA) 내에 사업장이 없는 해외 사업 운영자에게도 적용될 수 있음.

    EU 또는 EEA 외부에 기반을 둔 조직이 다음 기준 중 하나 이상을 충족하는 경우 GDPR이 적용됨: (i) 스페인에 위치한 개인에게 상품

    또는 서비스를 제공하거나, (ii) 스페인에 위치한 개인의 행동을 모니터링하는 경우.

 

1-2. 해외 사업자의 국내 대리인 지정

Q. 해외사업자의 경우 국내 대리인을 지정해야 하는지, 지정해야 한다면 그 사실을 관계 당국에 보고해야 하는 의무가 있는지?

    개인정보처리방침에 공개만 해 두어도 되는지?

A. 해외사업자는 국내 대리인을 지정해야 하며 해외 조직이 GDPR의 적용을 받는 경우, EU 또는 EEA에 위치한 대리인을 서면으로

    지정해야 함. 대리인은 상품 또는 서비스 제공과 관련하여 개인 정보가 처리되거나 행동이 모니터링되는 정보주체가 있는 EU/EEA 국가 중

    하나에 설립되어야 함.

 

1-3. 개인정보 수집 방법(동의, 고지 등)

Q. 개인정보를 적법하게 수집(처리)하기 위한 방법(근거)은 어떠한 것들이 있는지?

    ※ 동의, 고지, 정보주체와의 계약 처리 및 이행을 위한 경우 등

A. 기타 EU 국가들과 유사

 

    부연 설명

    고용 맥락에서의 범죄 전과 및 범죄 정보

    • 스페인 정보 보호법 제10조에 따라 형사 범죄의 예방, 수사, 적발 또는 기소 또는 형사 처벌의 집행 이외의 목적으로 형사 유죄 판결 및

      범죄와 관련된 개인 정보를 처리하는 것은 유럽연합 법 또는 기타 법률 규칙(예: 아동, 금융 부문 및 행정부를 다루는 직업에 대한 심사)의

      적용을 받는 경우에만 수행될 수 있음.

 

1-4. 아동의 개인정보 수집

Q1. 한국의 경우처럼 아동(한국의 경우 만 14세 미만)의 개인정보를 수집ㆍ이용ㆍ제공하려면, 법정대리인의 동의를 받아야 하는 규제가

       존재하는지? 혹 동의가 불필요한 경우, 어떠한 방법을 적법 처리 근거로 활용할 수 있는지?

A. 스페인에서 아동이 만 14세 미만이고 동의를 기반으로 처리하는 경우, 해당 ISS 제공자는 부모의 책임이 있는 사람으로부터 동의를

     받아야 함.  아동이 만 14세 이상인 경우 아동 본인이 직접 동의할 수 있음

Q2. 법정대리인의 동의를 받아야 한다면, 그 방법이 구체적으로 규정되어 있는지(이메일 인증, 전사서명, 서면 동의, 전화 동의 등)?

A. 동의에 의존하는 경우, 유럽연합(EU) 법률 7조에 따른 GDPR 수준의 동의가 필요함. 13세(벨기에), 14세(스페인), 15세(프랑스)

     또는 16세(독일 및 네덜란드) 미만의 아동에 대한 부모의 동의를 얻고 확인하기 위해 '합리적인 노력'을 기울여야 함. 부모 동의 확인

     (해당되는 경우 연령 확 인 추가)은 '개인정보 보호 친화적'인 방식으로 수행되어야 함. 즉, 최소한의 '고유 식별자'(예: 여권 스캔 또는

     신용카드 정보)만 수집해야 함. 조직이 처리가 특히 영향이 적고 아동에게 중대한 위험을 초래하지 않는다는 것을 입증할 수 있는 경우,

     자진 신고를 옵션으로 고려할 수도 있음.

 

Q3. 개인정보보호법 상 아동의 연령은 어떻게 되는지?

A. 아동의 법적 연령은 18세 미만인 사람이며 아동법은 18세 미만의 모든 개인에게 적용됨.

 

Q4. 사업자는 아동의 개인정보 관련 권리를 어떻게 보장해야 하는지(법정 대리인이 권리행사를 대신할 수 있는지 여부 등)?

A. 스페인 정보보호법 제12조 제6항에 따르면, 부모 권한 보유자는 14세 미만 미성년자를 대리하여 본 법의 맥락에서 접근, 수정, 삭제,

    이의 제기 또는 기타 해당 권리에 해당하는 권리를 행사할 수 있음.

 

Q5. 해당 법률을 위반 했을 때 벌칙 조항은 어떻게 구성되어 있는지?

A. GDPR을 준수하지 않을 경우 연간 글로벌 매출액의 최대 2% 또는 1천만 유로의 벌금이 부과될 수 있으며, 스페인 정보 보호법을

    위반할 경우 연간 글로벌 매출액의 4% 또는 최대 200만 유로의 벌금이 부과될 수 있고 경고 또는 견책과 같은 기타 불이익이 부과될 수

     있음,  위 규정의 집행은 AEPD가 수행하며 또한 정보 보호와 관련된 형사 범죄는 벌금이나 징역형에 처해질 수 있음.

     예를 들어, 컴퓨터 시스템에 액세스하거나 제3자의 신뢰를 얻기 위해 다른 사람의 개인 정보를 불법적으로 사용하는 행위,

     개인의 프라이버시 권리를 침해하거나 괴롭히는 행위 등이 이에 해당함. 스페인에서는 개인이 정보 보호 권리를 침해당한 경우 민사 소송을

     제기하고 보상을 청구할 수 있는 권리도 있음.

 

1-5. 개인정보 제3자 제공 방법(동의, 고지 등)

Q. 개인정보를 제3자에게 적법하게 제공하기 위한 방법(근거)은 어떠한 것들이 있는지(동의, 고지, 정보주체와의 계약 처리 및 이행을 위한

     경우 등)?

 

    부연 설명

    여기서 '제3자'라는 용어는 다양한 의미를 가질 수 있음. 따라서 다양한 시나리오를 구분하는 것이 중요함

    • 처음에 개인 정보를 수집한 조직에서 근무하는 직원과 정보를 공유하는 경우. 이 경우 직원은 관리자 또는 처리자의 권한에 따라 행동하는

      사람임(영국/EU GDPR 제29조). 이 직원은 조직의 산하에 속하게 되며 해당 조직만이 정보를 처리하고 직원과 공유할 수 있는 합법적인

      근거를 가지고 있어야 함.

    • 영국 GDPR의 의미 내에서 '정보 처리자'와 정보 공유. 이 경우 관리자만이 처리에 대한 합법적인 근거를 식별해야 함(여기서는 처리자와

      정보를 공유하는 경우를 고려함). 처리자는 관리자로부터 받은 정보를 처리하기 위해 합법적인 근거가 필요하지 않음. 관리자가 식별한

      합법적 근거에 의존하고 이에 '편승'하기만 하면 됨.

    • '독립 관리자'와 정보 공유. 이 경우 각 독립 관리자는 처리에 대한 법적 근거가 필요함. 각 관리자는 자체적으로 결정함.

    • '공동 관리자'와 정보 공유. 이 경우 공동 관리자는 일반적으로 공통적으로 식별되는 처리에 대한 법적 근거가 필요함.

 

1-6. 개인정보 처리 위탁(동의, 고지, 수탁업체 계약방법)

Q1. 개인정보 처리를 외부 업체에게 위탁하려는 경우 정보주체의 동의를 얻어야 하는지?

A. 이런 경우 정보주체의 동의를 얻어야 하는 것은 아니고 다른 법적 근거를 고려할 수 있음. 그러나 특정 처리 활동을 제3자에게

    위탁한다고 해서 정보 처리자가 애초에 관련 처리 활동에 대한 유효한 법적 근거를 확보해야 할 의무가 면제되는 것은 아니라는 점에

    유의해야 함. 이는 정보 처리자의 의무가 아님.

 

Q2. 동의를 얻지 않아도 된다면, 그 적법성을 어떻게 확보할 수 있는지(정보주체에게 고지, 개인정보처리방침 공개 등)?

A. 이는 의존하는 법적 근거에 따라 다른데 예를 들어, 정당한 이익에 의존하는 경우 '정당한 이익 평가'를 수행해야 함. 어떤 법적 근거에

    의존하는지 설명하는 개인정보 처리방침을 항상 정보주체가 열람할 수 있도록 제공해야 한다는 점에 유의해야 함.

 

Q3. 개인정보 처리를 위탁받아 수행하는 자(수탁업체)와 체결해야 하는 문서가 있는지?

A. 처리자 역할을 하는 제3자(즉, 관리자를 대신하여 개인 정보를 처리하도록 지시를 받은 법인)를 고용하는 경우 '정보 처리 계약'을

     체결해야 함.  이 계약에는 영국/EU GDPR 제28조에서 요구하는 모든 조항이 포함되어야 하고, 이 맥락에서 '수탁자'는 영국/EU GDPR

     용어에 따라 처리자로 간주됨.

 

Q4. 위탁업체가 수탁업체를 관리감독할 의무가 있는지? 있다면, 그 관리감독 방법은 무엇인지?

A. 위탁업체가 수탁업체를 관리감독할 의무가 있음. 관리자-처리자 관계의 경우 관리자는 처리자를 감독해야 함. 이는 주로 계약 조항과

    관리자의 처리자 감사 및 검사 권한을 통해 수행됨. 관리자-관리자 관계(독립 또는 공동)의 경우 이러한 의무가 없으나 관리자는 계약상

    이러한 의무에 동의할 수 있음.

 

Q5. 개인정보 수탁업체가 개인정보 관련 사고를 발생시킬 경우 그 책임은 누가 지는지? (수탁업체가 온전히 그 책임을 지는지 또는

      위탁업체가 그 책임을 지는지)?

A. 위 질문의 '사고'라는 용어가 영국/EU GDPR에 따른 '개인 정보 유출'을 의미한다고 가정하였을 때, 이 용어는 '전송, 저장 또는

    기타 방식으로 처리되는 개인 정보의 우발적 또는 불법적인 파괴, 손실, 변경, 무단 공개 또는 접근으로 이어지는 보안 위반'으로 정의됨.

    개인정보 유출 사고의 1차적 책임은 항상 개인정보처리자에게 있음. 그러나 이것이 반드시 그러한 경우 관리자가 현지 정보 보호 당국이나

    법원에 의해 항상 책임이 있는 것으로 간주된다는 것을 의미하지는 않음. 예를 들어, 개인 정보 침해가 처리자의 영국/EU GDPR 의무

    위반과 관련이 있거나 처리자가 관리자의 지시에 반하는 행동을 한 경우, 영국/EU GDPR 제82조는 처리자가 해당 침해에 대해 책임을 질 수

    있는 가능성을 제시함.

1-7. 쿠키 수집

Q1. 쿠키를 수집(동의 등) 및 이용과 관련하여 규제가 있는지?

A. 정보 사회 서비스 및 전자 상거래에 관한 2002년 7월 11일 법률 34/2002는 쿠키 또는 유사한 추적 기술의 사용에 적용됨.

Q2. 쿠키를 수집(동의 등) 및 이용과 관련하여 규제가 있다면, 해당 법을 만족시키기 위한 적법한 쿠키 수집(동의 등) 방법은 무엇인지?

A. 쿠키(또는 유사한 추적 기술)는 다음 두 가지 예외 사항 중 하나에 해당하지 않는 한 동의를 받아야 함. 동의를 수집하는 시장 표준 방법은

    개인에게 쿠키(또는 유사한 추적 기술) 사용에 대한 정보와 동의를 제공하거나 거부할 수 있는 기능을 제공하는 동의 배너를 사용하는 것임.

 

1-8. 국외 이전 방법(동의, 방법, 동의 시 고지사항)

Q. 해외 이용자의 개인정보를 국외로 이전하기 위한 방법은 무엇이 있는지 (동의, 개인정보처리방침 공개, 특별한 규제 없이 자유롭게

     이전 가능 등)?

 

    부연 설명

    개인 정보의 국제 전송은 다음 조치 중 하나에 따라 이루어질 수 있음.

    • 적정성 결정. 대한민국과 같은 국가가 이 목록에 포함되어 있음.

    • 적절한 안전장치 :

      → 공공 기관 또는 단체 간의 법적 구속력이 있고 집행 가능한 문서

      → 영국/유럽 연합 구속력 있는 기업 규칙(BCR)

      → 유럽연합 집행위원회(또는 영국 정부)에서 채택한 표준 정보 보호 조항

      → 감독 기관이 채택하고 유럽연합 집행위원회(영국 제외)가 승인한 표준 정보 보호 조항

      → 영국/EU GDPR 제40조에 따라 승인된 행동 강령과 제3국의 관리자 또는 처리자가 정보주 체의 권리를 포함하여 적절한 보호 조치를

          적용하겠다는 구속력 있고 집행 가능한 약속을 함께 제공함.

      → 정보주체의 권리를 포함하여 적절한 보호 조치를 적용하겠다는 제3국 관리자 또는 처리자의 구속력 있고 집행 가능한 약속과 함께

           영국/EU GDPR 제42조에 따른 승인된 인증 메커니즘.

      → 관리자 또는 처리자와 제3국 또는 국제기구의 관리자, 처리자 또는 개인 정보 수신자 간의 계약 조항

      → 집행 가능하고 효과적인 정보주체 권리를 포함하는 공공 기관 또는 단체 간의 관리 계약에 삽입할 조항

 

    위의 적절한 안전조치 단락에 열거된 수단에 의존하는 경우 이전 위험 평가(TRA)를 완료해야 함.

    •  예외 : 영국/EU GDPR 제49조는 특정 상황에 대한 예외를 규정하고 있음. 여기에는 명시적 동의(실용적인 목적으로는 일반적으로

       사용되지  않는 경우, 즉 개인의 동의 철회 가능성), 개인과 관리자 간의 계약 이행을 위해 이전이 필요한 경우(또는 개인의 요청에 따라

       취해진 계약 전 조치의 이행을 위해 필요한 경우), 법적 청구권의 설정, 행사 또는 방어에 이전이 필요한지 또는 개인의 중대한 이익에 해당

       하는지 등의 기타 사유가 포함됨.

1-9. 데이터 현지화

Q1. 특정 국가의 경우 자국민의 개인정보를 반드시 특정국가 현지에 저장해야 함을 법률로 규정하고 있음에 따라 유사한 규제가 있는지?

A. 비디오 게임 부문에서 스페인에는 자국민의 개인 정보를 스페인에 저장해야 한다고 규정하는 법률이 없음.

Q2. 현지화 규제가 있다면, 그 대상이 되는 개인정보의 범위가 있는지(모든 개인정보, 특정 정보만 현지에 저장 등)?

A. 해당하지 않음

 

2. 개인정보의 처리와 보호

2-1. 개인정보 이용내역 통지

Q. 개인정보 이용을 이용자에게 알려야하는 규정이 있는지. 있다면 어떠한 방법으로 이용자에게 통지해야 하는지? 만약 통지 수단

     (이메일, 핸드폰 번호 등)이 없다면 이용 내역을 통지하지 않아도 되는지?

A. 영국/EU GDPR 제12조, 제13조 및 제14조는 개인정보가 사용될 때 정보주체에게 통지하도록 규정하고 있음. 정보 관리자는 간결하고

    투명하며 이해하기 쉽고 접근하기 쉬운 형태로, 특히 아동을 대상으로 하는 모든 정보에 대해 명확하고 쉬운 언어를 사용하여 정보주체에게

    개인 정보 처리에 대해 알려야 함.

 

    부연 설명

    제13조는 개인정보처리자가 개인으로부터 직접 개인 정보를 취득하는 경우에 적용됨. 이러한 경우 관리자는 개인 정보를 획득할 때 필요한

    모든 정보를 제공해야 함.

    제14조는 개인이 아닌 다른 출처로부터 개인 정보를 취득한 경우 해당되며, 개인 정보를 취득한 후 합리적인 기간 내에(단, 최소 1개월 이내)

    개인에게 특정 정보를 제공해야 하거나 개인 정보가 개인과의 커뮤니케이션에 사용되는 경우 늦어도 첫 번째 커뮤니케이션 시점까지,

    다른 수신자에게 공개가 예정된 경우 늦어도 개인 정보가 처음 공개될 때 제공해야 함.

    제공해야 하는 정보(전체 목록이 아님)에는 관리자, 처리 목적, 개인 정보 수신자(있는 경우) 및 (해당되는 경우) 개인 정보가 '제3국'으로

    전송되는지 여부에 대한 세부 정보가 포함됨. 제14조의 경우, 개인 정보의 출처와 개인 정보의 범주에 대한 정보도 제공해야 함.

    이는 일반적으로 개인정보 처리방침을 통해 이루어짐. 이를 정보주체에게 제공하는 방법에 대한 구체적인 조치는 없음.

    개인에게 통지할 수단이 없고(예: 개인에게 컴퓨터 또는 모바일 장치가 없는 경우) 개인으로부터 직접 개인 정보를 수집한 경우,

    개인정보처리자는 이를 개인에게 알릴 수 있는 다른 방법을 찾아야 함 (이상적으로는 개인으로부터 직접 정보를 수집한 것과 동일한 수단을

    통해). 

    개인정보가 개인 이외의 출처를 통해 수집된 경우, 제14조 제5항은 해당 정보의 제공이 불가 능하거나 불균형적인 노력을 수반하는 것으로

    입증되는 경우 (제한적인) 면책을 제공함. 대부 분의 조직과 관련이 적은 추가 면책 조항이 있음(관리자가 해당 개인 정보를 획득하거나

    공개할 수 있는 특정 법률의 적용을 받거나 직업적 기밀 유지 의무가 있는 경우).

 

2-2. 광고성 정보(수신, 동의, 고지, 발송, 방법)

Q1. 한국의 정보통신망법과 같은 광고성 정보(이메일, 핸드폰 번호, 모바일 앱 푸쉬) 발송에 적용되는 규제가 있는지?

A. GDPR과 LSSI가 적용됨

    부연 설명

    홍보 전자 메시지(예: 이메일, SMS 등)는 (i) 사업자가 개인의 동의를 받지 않은 경우 또는 (ii) '소프트 옵트인' 예외가 적용되는 경우에만

    전송해서는 안됨.

    전화를 원치 않는다는 의사를 조직에 전달한 개인에게 실시간 홍보 전화를 해서는 안됨. 또한 '로빈슨 목록'(원하지 않는 광고 전화, 이메일,

    우편, SMS 등에 대한 수신을 거부할 수 있는 서 비스)에 등록된 개인에게는 '전화 금지' 신호를 극복하기 위해 전화를 거는 회사의 이익을

    위해 해당 개인이 특별히 동의하지 않는 한 실시간 전화를 해서는 안됨.

 

Q2. 한국의 정보통신망법과 같은 광고성 정보(이메일, 핸드폰 번호, 모바일 앱 푸쉬) 발송에 적용되는 규제가 있다면, 광고성 정보를 보낼 때

      지켜야 하는 표기 의무가 있는지?

A. 현지 규정에는 홍보 커뮤니케이션과 관련된 몇 가지 의무사항이 포함되어 있음. 모든 전자 홍보 커뮤니케이션(예: 이메일, SMS)은 개인이

    수신 거부할 수 있는 기능을 제공해야 함. 발신자의 신원이 명확해야 함. 이러한 전자 홍보 커뮤니케이션을 홍보로 표시해야 하는 특별한

    요건은 없음.

 

Q3. 이용자에게 광고성 정보를 보내기 위한 조건은 어떻게 되는지(명시적인 사전 수신동의 등)?

A. ‘매매 교섭’관점이 포함되지 않은 조건 2를 제외하고는 영국 항목과 동일함.

 

2-3. 개인정보 파기

Q1. 개인정보를 파기해야 하는 의무가 있는지?

A. 영국/EU GDPR에는 정보 최소화 및 저장 제한이라는 '정보 보호 원칙'이 있음. 즉, 개인 정보는 처리 목적에 더 이상 필요하지 않은 경우

    삭제하거나 익명화해야함. 조건에 따라 개인은 영국/EU GDPR에서 제공하는 정보주체 권리(예: 삭제/정정 요청, 동의 철회(정보 처리의

    법적 근거가 동의인 경우))를 사용하여 조직이 자신의 개인 정보를 삭제, 익명화 또는 수정하는 것을 확인할 수 있음.

 

Q2. 개인정보를 어떠한 경우에 파기해야 하는지?

A. 개인 정보는 처리되는 특정 목적이 달성되어 더 이상 보관할 이유가 없어지면 삭제(또는 익명화)해야 함. 또한 정보를 최신 상태로

    유지하는 것과 관련된 의무도 있음. 또한 조건에 따라 개인이 삭제/수정 요청 또는 동의 철회에 대한 유효한 권리를 행사하는 경우

    (정보 처리의 법적 근거가 개인의 동의인 경우) 개인 정보를 삭제/수정해야 함.

 

Q3. 개인정보를 파기해야 한다면, 한국의 전자상거래법, 통신비밀보호법과 같이 별도의 정보를 보관하도록 하는 특별 규정이 있는지?

※ 접속기록 3개월, 표시/광고에 관한 기록 6개월, 계약 또는 청약철회 등에 관한 기록 5년, 대금 결제 및 재화공급등에 관한 기록 5년,

     소비자의 불만 또는 분쟁처리에 관한 기록 3년

A. 영국 항목과 유사함. 예를 들어, 회계 및 세무 문서는 회계 기간 이후 6년 동안 적법하게 차단된 상태로 보관해야 하며, 노동 관련 문서 또는

    사회보장 의무 준수와 관련된 문서는 고용 관계가 종료된 날로부터 4년 동안 보관해야 함.

 

2-4. 장기 미 접속 계정 휴면 처리 방법

Q. 한국의 개인정보보호법과 같이 1년간 서비스를 이용하지 않는 이용자의 개인정보를 파기 또는 분리보관 해야 하는 규제가 있는지?

A. 조사에 참여한 모든 국가에서는 위에서 설명한 정보 보호 원칙 외에 이러한 의무 요건이 존재하지 않음.

2-5. 개인정보 처리 방침

Q1. 국내의 경우 법령에 의해서 개인정보처리방침에 필수적으로 기재해야 하는 내용이 정해져 있음. 이와 유사하게 법적으로 필수적으로

      기재해야 하는 내용이 있는지? 그리고 필수는 아니지만 가이드라인 등을 통해 기재가 권장되는 내용이 있는지?

A. 영국/EU GDPR은 개인에게 어떤 정보를 제공해야 하는지 명시하고 있음.

 

    부연 설명

    제13조(즉, 개인으로부터 직접 개인 정보를 수집하는 경우)에서는 다음 정보를 제공해야 함

    • 관리자의 신원 및 연락처 정보, 해당되는 경우 관리자의 대리인의 연락처 정보

    • 해당되는 경우 정보 보호 책임자의 연락처 정보

    • 개인 정보의 처리 목적 및 처리의 법적 근거

    • 처리가 정당한 이익에 근거하는 경우, 관리자 또는 제3자가 추구하는 정당한 이익

    • 개인 정보의 수신자 또는 수신자 범주(있는 경우)

    • 해당되는 경우, 관리자가 개인 정보를 제3국으로 전송하려는 사실(세부 정보 포함)

    • 개인 정보가 저장될 기간 또는 이것이 불가능할 경우 해당 기간을 결정하는 데 사용된 기준

    • 관리자에게 개인 정보에 대한 접근 및 수정 또는 삭제 또는 개인에 관한 처리 제한을 요청하거나 처리에 이의를 제기할 수 있는 권리와

      정보 이동성에 대한 권리의 존재 여부

    • 처리가 동의(또는 특수 범주 정보의 경우 명시적 동의)에 기반하는 경우, 철회 전 동의에 기반한 처리의 적법성에 영향을 미치지 않고

      언제든지 동의를 철회할 수 있는 권리가 존재한다는 사실

    • 감독 기관에 불만을 제기할 수 있는 권리

    • 개인 정보 제공이 법적 또는 계약상 요구 사항인지 또는 계약 체결에 필요한 요구 사항인 지 여부, 개인이 개인 정보를 제공할 의무가

      있는지 여부 및 해당 정보를 제공하지 않을 경우 발생할 수 있는 결과

    • 제22조 제1항 및 제4항에 언급된 프로파일링을 포함한 자동화된 의사 결정의 존재, 그리고 적어도 그러한 경우 관련된 논리에 대한

      의미 있는 정보, 그리고 그러한 처리가 개인에게 미치는 중요성 및 예상되는 결과

    제14조(즉, 개인이 아닌 다른 출처에서 개인 정보를 수집하는 경우)에는 위의 모든 사항이 필요함. 또한 개인 정보의 출처와 해당 개인

    정보의 범주에 대한 정보도 필요함.

 

Q2. 개인정보 처리방침을 어떻게 공개해야 한다는 사실을 정한 규제가 있는지?

A. 개인정보 처리방침 공개 방법에 대한 규제는 없으나 이에 대한 자세한 내용을 명시한 제29조 작업자(즉, EDPB의 전신)가 발행한 투명성

    가이드라인이 있음.

 

    부연 설명

    일반적으로 개인정보 처리방침은 관련 대상(특히 아동을 대상으로 하는 정보의 경우)이 쉽게 이해할 수 있는 명확하고 쉽게 접근할 수 있는

    방식으로 제시되어야 하며 개인이 쉽게 접근할 수 있어야 함. 일부 국가에서는 현지 언어로 번역해야 함.

    가이드라인은 개인정보 처리방침을 공개해야 하는 시기, 포함해야 하는 내용, 개인정보 처리방침을 공개하는 방법 등 개인정보 처리방침의

    내용에 대한 다양한 세부 사항을 제공함. 후자의 경우 가이드라인 39항에서는 고지를 공개하는 '푸시' 또는 '풀' 방법을 명시하고 있음.

    푸시 방식은 개인에게 개인정보 처리방침을 제시하는 방식(예: 위에서 언급한 바와 같이 게임에 접속 하기 전)이며, 풀 방식은 개인이

    개인정보 처리방침에 직접 접근할 수 있는 수단(예: 게임 인터페이스 메뉴의 일부 또는 개인정보 대시보드의 일부)을 제공하는 방식임.

    또한 가이드라인 제15항에 언급된 다른 방법에는 인쇄물, 전화, 화면이 없는 스마트 기술(예: QR코드) 사용, 직접 방문을 통한 개인정보

    처리방침 제공 등이 있음.

2-6. 이용자 개인정보 권익보호방법

Q1. 이용자에게 보장해 주어야 하는 개인정보 관련 권리가 있는지(열람권, 정정권, 이동권, 처리정지권, 삭제권)?

A. 영국/EU GDPR은 정보주체에게 다음과 같은 권리를 부여함.

 

    부연 설명

    영국/EU GDPR이 정보주체에게 부여하는 권리

    • 알 권리(영국/EU GDPR 제13조 및 제14조에 따라 요구되는 정보 제공)

    • 접근권(개인이 자신의 개인 정보 사본을 요청할 수 있는 권리)

    • 정정권(개인이 관리자에 잘못된 개인 정보를 수정하도록 요청할 수 있는 권리)

    • 삭제할 권리(개인이 자신의 개인 정보를 삭제하도록 요청할 수 있는 권리)

    • 처리 제한 권리(개인이 자신의 개인 정보 처리를 제한하도록 요청할 수 있는 권리)

    • 정보 이동성 권리(개인이 자신의 개인 정보를 제3자에게 전송하도록 요청할 수 있는 권리)

    • 반대할 권리(개인이 자신의 개인 정보 처리에 반대할 수 있는 권리)

    • 자동화된 의사 결정의 대상이 되지 않을 권리

    • 관련 정보 보호 기관에 불만을 제기할 수 있는 권리

 

    유효한 요청을 받으면 관리자는 부당한 지체 없이(늦어도 1개월 이내에) 관련 정보를 제공하거나 필요한 조치를 취해야 함.

    이 기간은 복잡한 요청의 경우 2개월 더 연장될 수 있음(제한된 경우에만 가능). 영국에서는 정보 검색에 기술적 어려움이 있는지 또는

    전문 법률 자문을 구해야 하는지 등의 요소를 포함하여 복잡한 요청으로 간주될 수 있는 사항에 대한 지침이 있음. 예외가 적용되지 않는 한,

    개인은 이러한 권리를 무료로 행사할 수 있음. 이러한 권리는 절대적인 것이 아니며 위에 적용되는 제한 및 면제 사항이 있음.

 

Q2. 개인정보 관련 권리가 있다면, 각 권리를 행사하기 위한 조건이 있는지(무제한으로 행사가능, 사업자가 합리적인 이유가 있다면

       제한 가능 등)?

A. 각 권리를 행사하기 위한 조건은 GDPR 제12조 및 제15조 내지 제22조에 명시되어 있음. 스페인 보호법은 정보주체가 자신의 개인 정보에

    대한 접근을 요청하는 경우 특정 스페인 법률 면책 등 이러한 규칙에 대한 국가별 추가 감면을 예정하고 있음.
 

2-7. 개인정보 침해에 대한 보상보험 요건

Q1. 정보주체의 개인정보 관련 사고(유출, 노출, 훼손, 분실 등)가 발생될 경우 정보주체에게 고지해야 하는 의무가 있는지?

A. 영국/EU GDPR에 따른 ‘개인정보 유출’은 “전송, 저장 또는 기타 방식으로 처리되는 개인정보의 우발적 또는 불법적인 파괴, 분실, 변경,

    무단 공개 또는 접근으로 이어지는 보안 위반”을 의미함.

 

    부연 설명

    가) 관리자에 대한 통지

         → 침해가 처리자와 관련된 경우, 영국/EU GDPR 제33조 제2항에 따라 처리자는 침해 사실을 인지한 경우 과도한 지체 없이 관리자에게

               통지해야 함.

    나) 현지 정보 보호 기관에 대한 통지

         → 관리자가 침해 사실을 알게 되면(처리자로부터 통지를 받든 다른 방식으로 통지를 받든), 영국/EU GDPR 제33조 제1항에 따라

              관리자는 부당한 지체 없이, 가능한 경우 침해 사실을 알게 된 후 72시간 이내에 ICO에 통지해야 함. 개인정보처리자는 침해로 인해

              영향을 받는 개인의 권리와 자유에 위험이 발생할 가능성이 낮은 경우 현지 정보 보호 기관에 침해 사실을 알릴 필요가 없음.

    다) 영향을 받는 개인에 대한 통지

          → 예외가 적용되지 않는 한(예: 개인에게 연락하는데 과도한 노력이 필요하거나, 위반으로 인해 연락처 정보가 손실되었거나 애초에

              알려지지 않은 경우), 영국/EU GDPR 제34조는 위반이 개인의 권리와 자유에 높은 위험을 초래할 가능성이 있는 경우 관리자가

              과도한 지체 없이 개인에게 통지하도록 규정하고 있음.

 

Q2. 정보주체에게 고지 의무가 있다면, 몇 명 이상의 개인정보 사고 시 그러한 의무가 부과되는지, 고지 방법이 규정되어 있는지[홈페이지에

      사고 사실 공개, 개별 연락 (이메일, 전화 등)]?

A. 통지 요건을 발동시키기 위한 최소 침해 건수 또는 영향을 받는 정보주체의 수는 따로 정해져 있지 않음.

 

    부연 설명

    현지 정보 보호 당국에 통지할 때는 개인 정보 및 개인 범주, 관련 개인 수, 관련 기록 수, 침해로 인해 발생할 수 있는 결과 및 침해 해결을

    위해 취한 조치에 대한 정보를 포함하여 침해 사실을 자세히 설명해야 함. 각 정보 보호 기관은 자체적인 개인정보 침해 통지 양식을 사용함.

    영향을 받은 개인에게 통지할 때는 명확하고 쉬운 언어로 (i) 침해의 성격에 대한 설명, (ii) 정보 보호 책임자 또는 기타 연락 담당자의

    이름과  연락처, (iii) 침해로 인해 발생할 수 있는 결과에 대한 설명, (iv) 침해 문제를 해결하기 위해 관리자가 취했거나 취할 예정인 조치에

    대한  설명(적절한 경우 가능한 부정적 영향을 완화하는 조치 포함)을 최소한 명시해야 함. 또한 (오직) 네덜란드의 경우 현지 정보

    보호 당국은 관리자에게 영향을 받는 정보주체에게 스스로 취할 수 있는 조치에 대해 알리도록 권고함.

    제29조 작업자에 따르면 투명한 커뮤니케이션 방법의 예로는 직접 메시지(예: 이메일, SMS, 쪽 지), 눈에 잘 띄는 웹사이트 배너 또는 알림,

    우편 커뮤니케이션 및 인쇄 매체의 눈에 잘 띄는 광고 등이 있음. 보도 자료나 기업 블로그에만 국한된 알림은 개인에게 위반 사실을 알리는

    효과적인 수단이 될 수 없음. 상황에 따라, 이는 관리자가 단일 연락 채널을 사용하는 대신 여러 가지 커뮤니케이션 방법을 사용한다는 것을

    의미할 수 있음.

 

Q3. 정보주체에게 고지해야 할 경우 고지 시간이 규정되어 있는지(사고 사실을 인지한 순간부터 1주일 이내 등)?

A. 영국/EU GDPR에 따르면 통지는 ‘부당한 지체없이’ 이루어져야 함.

Q4. 정보주체의 개인정보 관련 사고(유출, 노출, 훼손, 분실 등)가 발생될 경우 관계당국에 신고해야 하는 의무가 있는지?

A. 신고 의무가 있음.

 

Q5. 신고 의무가 있다면 몇 명 이상의 개인정보 사고 시 그러한 의무가 부과되는지? 신고 시간이 정해져 있는지(사고 사실을 인지한 순간부터

       1주일 이내 등)?

A. 이러한 최소 건수는 없음. 한 명의 개인이 영향을 받은 경우에도 통지 의무가 발동될 수 있음. 개인 정보 침해와 관련하여 유일하게 정해진

    통지 기간은 부당한 지체없이, 가능한 경우 침해 사실을 인지한 후 72시간 이내에 현지 정보 보호기관에 통지해야 한다는 의무임.

2-8. 데이터 침해에 대한 보상

Q. 한국은 개인정보보호법 제39조의9(손해배상의 보장)에 따라 손해배상책임의 이행을 위해 보험 또는 공제에 가입하거나 준비금을

     적립하는 등 필요한 조치를 하여야 함. 이와 유사한 규제가 있는지?

A. 이와 유사한 조항 없음.

 

2-9. 개인정보 유출 손해 배상 보험

Q. 개인정보 규제(법령)를 위반하거나 개인정보 사고가 발생된 경우 과태료, 과징금 등은 최대 얼마까지 부과되는지?

A. GDPR을 준수하지 않을 경우 연간 글로벌 매출액의 최대 2% 또는 1천만 유로의 벌금이 부과될 수 있으며, 스페인 정보 보호법을 위반할

    경우 연간 글로벌 매출액의 4% 또는 최대 200만 유로의 벌금이 부과될 수 있고 경고 또는 견책과 같은 기타 불이익이 부과될 수 있음.