해외콘텐츠 법령정보
영국의 게임 정책과 법제 VI - 개인정보의 수집과 동의 (1)
요약 정보
| 국가 | 영국 | 장르 | 게임 |
|---|---|---|---|
| 기관 | (-) | 구분 | 기타 |
| 제정일 | (-) | 개정일 | (-) |
상세 정보
영국의 게임 정책과 법제 VI
- 개인정보의 수집과 동의 (1)
1. 개인정보의 수집과 동의
1-1. 개인정보보호법 적용 대상
Q. 자국 내 사업장이 없는 해외사업자에게 해당 국가의 개인정보보호법률이 적용되는지?
A. 영국에는 정보 보호와 관련된 세 가지 주요 법률, 즉 영국 GDPR, 2018년 정보 보호법, 2003년 개인정보 및 전자 통신 규정이 있음.
이 세 가지 법률은 다양한 조항을 통해 서로 연결되어 있음. 영국 GDPR은 영국에 사업장을 두고 있지 않은 해외 사업자의 처리 활동이
다음과 관련된 경우 해당 사업자에게 적용됨: (i) 영국에 위치한 개인에게 상품 또는 서비스를 제공하거나, (ii) 영국에 위치한 개인의 행동을
모니터링하는 경우.
1-2. 해외 사업자의 국내 대리인 지정
Q. 해외사업자의 경우 국내 대리인을 지정해야 하는지, 지정해야 한다면 그 사실을 관계 당국에 보고해야 하는 의무가 있는지?
개인정보처리방침에 공개만 해 두어도 되는지?
A. 현재 영국에 사업장을 두고 있지 않지만 영국에 기반을 둔 정보주체에게 상품이나 서비스를 제공하거나 이들의 행동을 모니터링하는
조직의 경우 영국 GDPR 제27조에 따라 '정보 보호 담당자'를 지정해야 함. 그러나 이 요건은 새로운 영국 정보 보호법(정보 보호 및 디지털
정보 법안)이 시행되면 삭제될 가능성이 높다는 점에 유의해야 함.
1-3. 개인정보 수집 방법 (동의, 고지 등)
Q. 개인정보를 적법하게 수집(처리)하기 위한 방법(근거)은 어떠한 것들이 있는지?
※ 동의, 고지, 정보주체와의 계약 처리 및 이행을 위한 경우 등
A. 부연 설명 참고.
부연 설명
개인 정보
EU에서 적용되는 것과 동일한 법적 근거가 영국에서도 적용됨. 영국 GDPR 제6조에 따라 여기에는 동의에 근거한 처리, 계약 이행에 필요한
처리, 관리자 또는 제3자가 추구하는 정당한 이익을 위해 필요한 처리, 법적 의무를 준수하기 위해 필요한 처리, 누군가의 중대한 이익을
보호하기 위해 필요한 처리, 공익을 위한 공식적인 기능 또는 업무 수행에 필요한 처리 등이 포함됨.
특수 범주 정보
특수 범주 정보(건강, 인종 또는 민족, 정치적 견해, 종교 또는 철학적 신념, 노동조합 가입 여부, 유전자 정보, 생체 정보(개인 식별에
사용되는 경우), 성생활 또는 성적 취향에 관한 정보 포함)의 경우, 영국 GDPR 제6조에 따른 법적 근거 외에도 관리자는 영국 GDPR
제9조에 따라 해당 정보를 처리하기 위한 '조건'이 필요함.
a. 명시적 동의
b. 고용, 사회 보장 및 사회 보호(법률에 의해 승인된 경우)
c. 중대한 이해관계
d. 비영리 단체
e. 정보주체에 의해 공개
f. 법적 청구 또는 사법적 행위
g. 중대한 공익상의 이유(법률에 근거가 있는 경우)
h. 건강 또는 사회 복지(법률에 근거가 있는 경우)
i 공중 보건(법률에 근거가 있는 경우)
j. 보관, 연구 및 통계(법률에 근거가 있는 경우).
관리자가 조건 (b), (h), (i) 또는 (j)에 의존하는 경우, DPA 2018 부속서 1의 제1장에 명시된 관련 조건도 충족해야 함.
관리자가 조건 (g)에 의존하는 경우, DPA 2018 부속서 1의 제2장에 명시된 23개의 구체적인 실질적 공익 조건 중 하나도 충족해야 함.
범죄 전과 및 범죄 정보
범죄 유죄 판결 및 범죄 정보와 관련된 개인 정보의 처리와 관련된 별도의 조항이 있음. 비디오 게임 발행자와 같은 조직에 공식적인 권한이
없는 경우, 영국 GDPR 제10조에 따라 이러한 유형의 정보는 영국 GDPR 제6조에 따른 합법적인 처리 근거가 확인되고 2018년 DPA의
부속서 1에 명시된 조건 중 하나(예: 고용, 사회보장 및 사회 보호, 불법 행위 예방 또는 적발 등)를 충족하는 경우에만 처리할 수 있음.
1-4. 아동의 개인정보 수집
Q1. 한국의 경우처럼 아동 (한국의 경우 만 14세 미만)의 개인정보를 수집 · 이용 · 제공하려면, 법정대리인의 동의를 받아야 하는 규제가
존재하는지? 혹 동의가 불필요할 경우, 어떠한 방법을 적법 처리 근거로 활용할 수 있는지?
A. 영국 GDPR에 따라 '정보 사회 서비스'(ISS)가 아동을 대상으로 하는 경우와 관련된 특정 의무가 있음. 정보 사회 서비스는 일반적으로
서비스 수신자의 개별 요청에 따라 전자적 수단을 통해 원거리에서 보수를 받고 제공되는 모든 서비스를 말함.
영국에서 아동이 13세 미만이고 동의를 기반으로 정보를 처리하는 경우 해당 ISS 제공자는 부모의 책임이 있는 사람으로부터 동의를
얻어야 함. 아동이 13세 이상인 경우 아동 본인이 직접 동의할 수 있음.
※ 참고: 위의 내용은 아동에게 직접 제공되는 예방 또는 상담 서비스의 맥락에서 아동의 정보가 처리되는 경우에는 적용되지 않음(영국/EU
GDPR 리사이틀 38에 따름).
Q2. 법정대리인의 동의를 받아야 한다면, 그 방법이 구체적으로 규정되어 있는지(이메일 인증, 전사서명, 서면 동의, 전화 동의 등)?
A. 부연 설명 참고.
부연 설명
사전 설명으로, 아동 강령은 핵심적인 처리 활동과 그렇지 않은 처리 활동을 구분함. '핵심 처리'란 회사의 핵심 서비스 제공에 필수적인
처리, 즉 개인이 가입한 서비스의 요소를 실제로 제공하기 위해 회사가 해당 방식으로 정보를 처리해야 하는 경우를 의미함.
여기에는 광범위한 사업 목적(예: 홍보, 서비스 개선 또는 간접 자금 조달 모델의 일부)을 위한 처리는 포함되지 않음.
ICO에 따르면 '핵심 처리'의 경우 영국 GDPR 제6조에 따른 3가지 합법적 근거, 즉 계약, 합법적 이익, 공공 업무에 의존할 수 있음.
' 비핵심' 처리의 경우, 회사의 핵심 서비스 제공에 필수적이지 않은 활동을 의미함. 여기에는 서비스의 선택적 요소를 위한 처리 또는 홍보,
서비스 개선 또는 간접적인 자금 지원 모델과 같은 광범위한 사업 목적을 위한 처리가 포함됨. 이러한 경우, 어린이 강령은 동의를 포함하여
영국 GDPR 제6조에 따른 다양한 법적 근거를 제시함.
동의에 의존하는 경우, 영국 GDPR 제7조에 따른 GDPR 수준의 동의가 필요함. 13세 미만 아동의 경우 부모의 동의를 얻고 확인하기 위해
'합리적인 노력'을 기울여야 함. 부모 동의 확인(해당되는 경우 연령 확인 추가)은 '개인정보 보호 친화적'인 방식으로 수행되어야 함.
즉, 최소한의 '고유 식별자'(예: 여권 스캔 또는 신용카드 정보)만 수집해야 함. 처리가 특히 영향이 적고 아동에게 중대한 위험을 초래하지
않는다는 것을 입증할 수 있는 경우, 자진 신고를 선택적으로 고려할 수도 있음.
Q3. 개인정보보호법 상 아동의 연령은 어떻게 되는지?
A. 아동의 법적 연령은 18세 미만인 사람임. 아동법은 18세 미만의 모든 개인에게 적용됨.
Q4. 사업자는 아동의 개인정보 관련 권리를 어떻게 보장해야 하는지(법정 대리인이 권리행사를 대신할 수 있는지 여부 등)?
A. 어린이는 개인 정보와 관련하여 성인과 동일한 권리를 가지며 부모 또는 보호자가 자녀를 대신하여 이러한 권리를 행사할 수 있음.
Q5. 해당 법률을 위반 했을 때 벌칙 조항은 어떻게 구성되어 있는지?
A. 영국 일반 정보 보호 규정(영국 GDPR)을 준수하지 않을 경우 연간 글로벌 매출액의 최대 2% 또는 870만 파운드의 벌금이 부과될 수
있으며, 영국 정보 보호법 위반의 경우 연간 글로벌 매출액의 4% 또는 최대 1750만 파운드의 벌금이 부과될 수 있음.
부연 설명
개인정보보호 및 전자 통신 규정(PECR)을 준수하지 않을 경우 최대 50만 파운드의 벌금이 부과될 수 있음(영국 개정안이 시행되면 영국
GDPR 벌금과 동일하게 부과됨을 유의해야 함).
경고 또는 견책과 같은 기타 처벌이 부과될 수 있으며 위 조항의 집행은 ICO가 수행함.
또한 정보 보호와 관련된 형사 범죄는 벌금이나 징역형에 처해질 수 있음. 예를 들어, 접근권 요청을 하는 사람에게 정보가 공개되지 않도록
할 목적으로 정보를 은폐하려고 시도하는 것은 형사 범죄에 해당함.
영국에서는 개인도 정보 보호 권리가 침해된 경우 민사 소송을 제기하고 보상을 청구할 수 있음. 조직이 정보 보호법을 위반하고 그 위반이
여러 개인에게 영향을 미치는 경우 개인 그룹이 청구(또는 '집단 소송')를 제기하는 경우가 많음. 그러나 최근 영국의 판례에 따르면 이러한
청구가 성공하기 위해서는 어느 정도의 고통이나 피해를 입증해야 함. 지불해야 할 손해배상액은 부분적으로 그 고통 또는 피해 수준에 따라
달라짐.
1-5. 개인정보 제3자 제공 방법 (동의, 고지 등)
Q. 개인정보를 제3자에게 적법하게 제공하기 위한 방법(근거)은 어떠한 것들이 있는지(동의, 고지, 정보주체와의 계약 처리 및 이행을 위한
경우 등)?
A. 부연 설명 참고.
부연 설명
여기서 '제3자'라는 용어는 다양한 의미를 가질 수 있음. 따라서 다양한 시나리오를 구분하는 것이 중요함:
• 처음에 개인 정보를 수집한 조직에서 근무하는 직원과 정보를 공유하는 경우. 이 경우 직원은 관리자 또는 처리자의 권한에 따라 행동하는
사람임(영국/EU GDPR 제29조). 이 직원은 조직의 산하에 속하게 되며 해당 조직만이 정보를 처리하고 직원과 공유할 수 있는 합법적인
근거를 가지고 있어야 함.
• 영국 GDPR의 의미 내에서 '정보 처리자'와 정보 공유. 이 경우 관리자만이 처리에 대한 합법적인 근거를 식별해야 함(여기서는 처리자와
정보를 공유하는 경우를 고려함). 처리자는 관리자로부터 받은 정보를 처리하기 위해 합법적인 근거가 필요하지 않음. 관리자가 식별한
합법적 근거에 의존하고 이에 '편승'하기만 하면 됨.
• '독립 관리자'와 정보 공유. 이 경우 각 독립 관리자는 처리에 대한 법적 근거가 필요함. 각 관리자는 자체적으로 결정함.
• '공동 관리자'와 정보 공유. 이 경우 공동 관리자는 일반적으로 공통적으로 식별되는 처리에 대한 법적 근거가 필요함.
1-6. 개인정보 처리 위탁 (동의, 고지, 수탁업체 계약방법)
Q1. 개인정보 처리를 외부 업체에게 위탁하려는 경우 정보주체의 동의를 얻어야 하는지?
A. 이런 경우 정보주체의 동의를 얻어야 하는 것은 아니고 다른 법적 근거를 고려할 수 있음. 그러나 특정 처리 활동을 제3자에게 위탁한다고
해서 정보 처리자가 애초에 관련 처리 활동에 대한 유효한 법적 근거를 확보해야 할 의무가 면제되는 것은 아니라는 점에 유의해야 함.
이는 정보 처리자의 의무가 아님.
Q2. 동의를 얻지 않아도 된다면, 그 적법성을 어떻게 확보할 수 있는지(정보주체에게 고지, 개인정보처리방침 공개 등)?
A. 이는 의존하는 법적 근거에 따라 다른데 예를 들어, 정당한 이익에 의존하는 경우 '정당한 이익 평가'를 수행해야 함. 어떤 법적 근거에 의존
하는지 설명하는 개인정보 처리방침을 항상 정보 주체가 열람할 수 있도록 제공해야 한다는 점에 유의해야 함.
Q3. 개인정보 처리를 위탁받아 수행하는 자(수탁업체)와 체결해야 하는 문서가 있는지?
A. 처리자 역할을 하는 제3자(즉, 관리자를 대신하여 개인 정보를 처리하도록 지시를 받은 법인)를 고용하는 경우 '정보 처리 계약'을
체결해야 함. 이 계약에는 영국/EU GDPR 제28조에서 요구하는 모든 조항이 포함되어야 하고 이 맥락에서 '수탁자'는 영국/EU GDPR
용어에 따라 처리자로 간주됨.
Q4. 위탁업체가 수탁업체를 관리감독할 의무가 있는지? 있다면, 그 관리감독 방법은 무엇인지?
A. 위탁업체가 수탁업체를 관리감독할 의무가 있음. 관리자-처리자 관계의 경우 관리자는 처리자를 감독해야 함. 이는 주로 계약 조항과
관리자의 처리자 감사 및 검사 권한을 통해 수행됨. 관리자-관리자 관계(독립 또는 공동)의 경우 이러한 의무가 없으나 관리자는 계약상
이러한 의무에 동의할 수 있음.
Q5. 개인정보 수탁업체가 개인정보 관련 사고를 발생시킬 경우 그 책임은 누가 지는지? (수탁업체가 온전히 그 책임을 지는지 또는
위탁업체가 그 책임을 지는지)?
A. 위 질문의 '사고'라는 용어가 영국/EU GDPR에 따른 '개인 정보 유출'을 의미한다고 가정하였을 때, 이 용어는 '전송, 저장 또는
기타 방식으로 처리되는 개인 정보의 우발적 또는 불법적인 파괴, 손실, 변경, 무단 공개 또는 접근으로 이어지는 보안 위반'으로 정의됨.
개인정보 유출 사고의 1차적 책임은 항상 개인정보처리자에게 있음. 그러나 이것이 반드시 그러한 경우 관리자가 현지 정보 보호 당국이나
법원에 의해 항상 책임이 있는 것으로 간주된다는 것을 의미하지는 않음. 예를 들어, 개인 정보 침해가 처리자의 영국/EU GDPR 의무
위반과 관련이 있거나 처리자가 관리자의 지시에 반하는 행동을 한 경우, 영국/EU GDPR 제82조는 처리자가 해당 침해에 대해 책임을 질 수
있는 가능성을 제시함.
1-7. 쿠키 수집
Q1. 쿠키를 수집(동의 등) 및 이용과 관련하여 규제가 있는지?
A. 현재 쿠키 또는 이와 유사한 추적 기술의 사용에는 PECR이 적용됨.
Q2. 쿠키를 수집(동의 등) 및 이용과 관련하여 규제가 있다면, 해당 법을 만족시키기 위한 적법한 쿠키 수집(동의 등) 방법은 무엇인지?
A. 쿠키(또는 유사한 추적 기술)는 다음 두 가지 예외 사항 중 하나에 해당하지 않는 한 동의를 받아야 함. 동의를 수집하는 시장 표준 방법은
개인에게 쿠키(또는 유사한 추적 기술) 사용에 대한 정보와 동의를 제공하거나 거부할 수 있는 기능을 제공하는 동의 배너를 사용하는 것임.
Q3. 만약 동의를 받아야 한다면, 쿠키 동의가 면제될 수 있는 조건은 무엇이 있는지?
A. 위에서 언급한 바와 같이 전자 통신 네트워크를 통한 통신 전송만을 목적으로 하거나 서비스 제공을 위해 반드시 필요한 쿠키는 동의가 필요
하지 않고, 다른 쿠키의 경우 예외가 없음.
1-8. 국외 이전 방법 (동의, 방법, 동의 시 고지사항)
Q. 해외 이용자의 개인정보를 국외로 이전하기 위한 방법은 무엇이 있는지(동의, 개인정보처리방침 공개, 특별한 규제 없이 자유롭게 이전
가능 등)?
A. 부연 설명 참고.
부연 설명
개인 정보의 국제 전송은 다음 조치 중 하나에 따라 이루어질 수 있음:
• 적정성 결정. 대한민국과 같은 국가가 이 목록에 포함되어 있음.
• 적절한 안전장치:
• 공공기관 또는 단체 간의 법적 구속력이 있고 집행 가능한 문서
• 영국/유럽 연합 구속력 있는 기업 규칙(BCR)
• 유럽연합 집행위원회(또는 영국 정부)에서 채택한 표준 정보 보호 조항
• 감독 기관이 채택하고 유럽연합 집행위원회(영국 제외)가 승인한 표준 정보 보호 조항
• 영국/EU GDPR 제40조에 따라 승인된 행동 강령과 제3국의 관리자 또는 처리자가 정보주체의 권리를 포함하여 적절한 보호 조치를
적용하겠다는 구속력 있고 집행 가능한 약속을 함께 제공함.
• 정보주체의 권리를 포함하여 적절한 보호 조치를 적용하겠다는 제3국 관리자 또는 처리자의 구속력 있고 집행 가능한 약속과 함께
영국/EU GDPR 제42조에 따른 승인된 인증 메커니즘.
• 관리자 또는 처리자와 제3국 또는 국제기구의 관리자, 처리자 또는 개인 정보 수신자 간의 계약 조항
• 집행 가능하고 효과적인 정보주체 권리를 포함하는 공공기관 또는 단체 간의 관리 계약에 삽입할 조항
위의 적절한 안전조치 단락에 열거된 수단에 의존하는 경우 이전 위험 평가(TRA)를 완료해야 함.
예외
영국/EU GDPR 제49조는 특정 상황에 대한 예외를 규정하고 있음. 여기에는 명시적 동의(실용적인 목적으로는 일반적으로 사용되지 않는
경우, 즉 개인의 동의 철회 가능성), 개인과 관리자 간의 계약 이행을 위해 이전이 필요한 경우(또는 개인의 요청에 따라 취해진 계약 전
조치의 이행을 위해 필요한 경우), 법적 청구권의 설정, 행사 또는 방어에 이전이 필요한지 또는 개인의 중대한 이익에 해당하는지 등의
기타 사유가 포함됨.
1-9. 데이터 현지화
Q1. 특정 국가의 경우 자국민의 개인정보를 반드시 특정국가 현지에 저장해야 함을 법률로 규정하고 있음에 따라 유사한 규제가 있는지?
A. 비디오 게임 부문에서 영국에는 자국민의 개인정보를 영국에 저장해야 한다고 규정하는 법률이 없음.
Q2. 현지화 규제가 있다면, 그 대상이 되는 개인정보의 범위가 있는지(모든 개인정보, 특정 정보만 현지에 저장 등)?
A. 해당 없음.
링크
(-)
- Helpdesk1566-9984 welcon@kocca.kr
- 본 페이지에 게시된 이메일 주소가 자동 수집되는 것을 거부하며, 이를 위반시 정보통신법에 의해 처벌됨을 유념하시기 바랍니다.
58326 전라남도 나주시 교육길 35 (빛가람동 351) 한국콘텐츠진흥원 사업자등록번호 105-82-17272 - Copyright 2020. Korea Creative Content Agency All rights reserved.
