해외콘텐츠 법령정보

네덜란드의 게임 정책과 법제 Ⅵ - 개인정보의 수집과 동의

1. 개인정보의 수집과 동의

1-1. 개인정보보호법 적용 대상

Q. 자국 내 사업장이 없는 해외사업자에게 해당 국가의 개인정보보호법률이 적용되는지?

A. 유럽연합(EU) 또는 유럽경제지역(EEA) 내에 사업장이 없는 해외 사업 운영자에게는 GDPR, 네덜란드 GDPR 시행법 및 네덜란드 통신법 제11장이 적용될 수 있음. EU 또는 EEA 외부에 기반을 둔 조직이 다음 기준 중 하나 이상을 충족하는 경우 GDPR이 적용됨: (i) 네덜란드에 위치한 개인에게 상품 또는 서비스를 제공하거나, (ii) 네덜란드에 위치한 개인의 행동을 모니터링하는 경우.

1-2. 해외 사업자의 국내 대리인 지정

Q. 해외사업자의 경우 국내 대리인을 지정해야 하는지, 지정해야 한다면 그 사실을 관계 당국에 보고해야 하는 의무가 있는지? 개인정보처리방침에 공개만 해 두어도 되는지? 

한국의 경우 개인정보보호법 제39조의11(국내대리인의 지정)에 따라 국내에 주소 또는 영업소가 없는 정보통신서비스 제공자는 이용자수/매출액을 고려하여 국내 대리인을 지정할 의무가 있음.

A. 해외사업자는 국내 대리인을 지정해야 하며 해외 조직이 GDPR의 적용을 받는 경우(“개인정보보호법 적용 대상“ 항목에 명시된 기준에 따라), EU 또는 EEA에 위치한 대리인을 서면으로 지정해야 함. 대리인은 상품 또는 서비스 제공과 관련하여 개인 정보가 처리되거나 행동이 모니터링되는 정보주체가 있는 EU/EEA 국가 중 하나에 설립되어야 함.

1-3. 개인정보 수집 방법(동의, 고지 등)

Q. 개인정보를 적법하게 수집(처리)하기 위한 방법(근거)은 어떠한 것들이 있는지?

※ 동의, 고지, 정보주체와의 계약 처리 및 이행을 위한 경우 등

A. 부연 설명 참고.

부연 설명

1) 개인 정보

영국 항목 참조.

2) 특수 범주 정보 

영국 항목 참조.

GDPR 제9조 외에도 특수 범주 정보는 네덜란드 제30조에 명시된 조건에 따라 처리될 수 있음.

3) 범죄 전과 및 범죄 정보

영국 항목 참조.

GDPR 제10조 외에도 범죄 유죄 판결 및 범죄와 관련된 정보는 네덜란드 GDPR 이행법 제32조 및 제33조에 명시된 조건에 따라 처리될 수 있음.

1-4. 아동의 개인정보 수집

Q1. 한국의 경우처럼 아동(한국의 경우 만 14세 미만)의 개인정보를 수집ㆍ이용ㆍ제공하려면, 법정대리인의 동의를 받아야 하는 규제가 존재하는지? 만약 동의가 불필요한 경우, 어떠한 방법을 적법 처리 근거로 활용할 수 있는지?

A. 영국 항목 참조. 네덜란드의 경우, 아동이 16세 미만이고 동의를 기반으로 처리하는 경우 해당 ISS 제공자는 부 모의 책임이 있는 사람으로부터 동의를 얻어야 함. 아동이 16세 이상인 경우 아동 본인이 직 접 동의할 수 있음.

Q2. 법정대리인의 동의를 받아야 한다면, 그 방법이 구체적으로 규정되어 있는지(이메일 인증, 전사서명, 서면 동의, 전화 동의 등)?

A. 유럽연합(EU) 법률 7조에 따른 GDPR 수준의 동의가 필요함. 13세(벨기에), 14세(스페인), 15세(프랑스) 또는 16세(독일 및 네덜란드) 미만의 아동에 대한 부모의 동의를 얻고 확인하기 위해 '합리적인 노력'을 기울여야 함. 부모 동의 확인(해당되는 경우 연령 확인 추가)은 '개인정보 보호 친화적'인 방식으로 수행되어야 함. 즉, 최소한의 '고유 식별정보'(예: 여권 스캔 또는 신용카드 정보)만 수집해야 함. 조직이 처리가 특히 영향이 적고 아동에게 중대한 위험을 초래하지 않는다는 것을 입증할 수 있는 경우, 자진 신고를 옵션으로 고려할 수도 있음.

Q3. 개인정보보호법 상 아동의 연령은 어떻게 되는지?

 A. 아동의 법적 연령은 18세 미만인 사람이며 아동법은 18세 미만의 모든 개인에게 적용됨.

Q4. 사업자는 아동의 개인정보 관련 권리를 어떻게 보장해야 하는지(법정 대리인이 권리행사를 대신할 수 있는지 여부 등)?

A. 영국 항목 참조.

Q5. 해당 법률을 위반 했을 때 벌칙 조항은 어떻게 구성되어 있는지?

A. GDPR을 준수하지 않을 경우 연간 글로벌 매출액의 최대 2% 또는 1천만 유로의 벌금이 부과될 수 있으며, 네덜란드 정보 보호법을 위반할 경우 연간 글로벌 매출액의 4% 또는 최대 2천만 유로의 벌금이 부과될 수 있고 경고 또는 견책과 같은 기타 불이익이 부과될 수 있음.

위 규정의 집행은 독일 개인정보보호위원회("AP")가 수행하며 정보 보호와 관련된 형사 범죄는 벌금이나 징역형에 처할 수 있음. 예를 들어, 성적 영상(리벤지 포르노)이 포함된 개인 정보를 오용하는 행위는 형사 범죄에 해당함.

네덜란드에서는 개인도 정보 보호 권리가 침해된 경우 민사 소송을 제기하고 보상을 청구할 수 있고 조직이 영향을 받은 사람들을 대신하여 소송을 제기할 수도 있으며('집단 소송'), 이러 한 소송이 점점 더 많이 발생하고 있음. 비물질적 손해배상을 받으려면 청구인은 정보 보호 위반으로 인해 '다른 방식으로 개인에게 손상을 입혔다'는 사실을 입증해야 함.

1-5. 개인정보 제3자 제공 방법(동의, 고지 등)

Q. 개인정보를 제3자에게 적법하게 제공하기 위한 방법(근거)은 어떠한 것들이 있는지(동의, 고지, 정보주체와의 계약 처리 및 이행을 위한 경우 등)?

A. 여기서 '제3자'라는 용어는 다양한 의미를 가질 수 있음. 따라서 다양한 시나리오를 구분하는 것이 중요함

 • 최초에 개인 정보를 수집한 조직에서 근무하는 직원과 정보를 공유하는 경우: 이 경우 직원은 관리자 또는 처리자의 권한에 따라 행동하는 사람임(영국/EU GDPR 제29조). 이 직원은 조직의 산하에 속하게 되며 해당 조직만이 정보를 처리하고 직원과 공유할 수 있는 합법적인 근거를 가지고 있어야 함.

• 영국 GDPR의 의미 내에서 '정보 처리자'와 정보 공유: 이 경우 관리자만이 처리에 대한 합 법적인 근거를 식별해야 함(여기서는 처리자와 정보를 공유하는 경우를 고려함). 처리자는 관리자로부터 받은 정보를 처리하기 위해 합법적인 근거가 필요하지 않다. 관리자가 식별

• '독립 관리자'와 정보 공유: 이 경우 각 독립 관리자는 처리에 대한 법적 근거가 필요함. 각 관리자는 자체적으로 결정함.

• '공동 관리자'와 정보 공유: 이 경우 공동 관리자는 일반적으로 공통적으로 식별되는 처리에 대한 법적 근거가 필요함.

1-6. 개인정보 처리 위탁(동의, 고지, 수탁업체 계약방법)

Q1. 개인정보 처리를 외부 업체에게 위탁하려는 경우 정보주체의 동의를 얻어야 하는지?

A. 이런 경우 정보주체의 동의를 얻어야 하는 것은 아니고 다른 법적 근거를 고려할 수 있음. 그러나 특정 처리 활동을 제3자에게 위탁한다고 해서 정보 처리자가 애초에 관련 처리 활동에 대한 유효한 법적 근거를 확보해야 할 의무가 면제되는 것은 아니라는 점에 유의해야 함. 이는 정보 처리자의 의무가 아님.

Q2. 동의를 얻지 않아도 된다면, 그 적법성을 어떻게 확보할 수 있는지(정보주체에게 고지, 개인정보처리방침 공개 등)?

A. 이는 의존하는 법적 근거에 따라 다른데 예를 들어, 정당한 이익에 의존하는 경우 '정당한 이익 평가'를 수행해야 함. 어떤 법적 근거에 의존하는지 설명하는 개인정보 처리방침을 항상 정보 주체가 열람할 수 있도록 제공해야 한다는 점에 유의해야 함.

Q3. 개인정보 처리를 위탁받아 수행하는 자(수탁업체)와 체결해야 하는 문서가 있는지?(한국의 경우 개인정보보호법 제26조에 따라 문서로 업무를 위탁하여야 함)

A. 개인정보처리자 역할을 하는 제3자(즉, 관리자를 대신하여 개인 정보를 처리하도록 지시를 받은 법인, “수탁자”)를 고용하는 경우 '정보 처리 계약'을 체결해야 함. 이 계약에는 EU GDPR 제28조에서 요구하는 모든 조항이 포함되어야 하고 이 맥락에서 수탁자는 EU GDPR 용어에 따라 개인정보처리자로 간주됨.

Q4. 위탁업체가 수탁업체를 관리감독할 의무가 있는지? 있다면, 그 관리감독 방법은 무엇인지?

A. 위탁업체가 수탁업체를 관리감독할 의무가 있음. 관리자-처리자 관계의 경우 관리자는 처리자를 감독해야 함. 이는 주로 계약 조항과 관리자의 처리자 감사 및 검사 권한을 통해 수행됨. 관리자-관리자 관계(독립 또는 공동)의 경우 이러한 의무가 없으나 관리자는 계약상 이러한 의무에 동의할 수 있음.

Q5. 개인정보 수탁업체가 개인정보 관련 사고를 발생시킬 경우 그 책임은 누가 지는지? (수탁업체가 온전히 그 책임을 지는지 또는 위탁업체가 그 책임을 지는지)?

A. 위 질문의 '사고'라는 용어가 영국/EU GDPR에 따른 '개인 정보 유출'을 의미한다고 가정하였을 때, 이 용어는 '전송, 저장 또는 기타 방식으로 처리되는 개인 정보의 우발적 또는 불법적인 파괴, 손실, 변경, 무단 공개 또는 접근으로 이어지는 보안 위반'으로 정의됨. 개인정보 유출 사고의 1차적 책임은 항상 개인정보처리자에게 있음. 그러나 이것이 반드시 그러한 경우 관리자가 현지 정보 보호 당국이나 법원에 의해 항상 책임이 있는 것으로 간주된다는 것을 의미하지는 않음. 예를 들어, 개인 정보 침해가 처리자의 영국/EU GDPR 의무 위반과 관련이 있거나 처리자가 관리자의 지시에 반하는 행동을 한 경우, 영국/EU GDPR 제82조는 처리자가 해당 침해에 대해 책임을 질 수 있는 가능성을 제시함.

1-7. 쿠키 수집

Q1. 쿠키를 수집(동의 등) 및 이용과 관련하여 규제가 있는지?

A. 네덜란드 통신법은 쿠키 또는 유사한 추적 기술의 사용에 적용됨.

Q2. 쿠키를 수집(동의 등) 및 이용과 관련하여 규제가 있다면, 해당 법을 만족시키기 위한 적법한 쿠키 수집(동의 등) 방법은 무엇인지?

A. 쿠키(또는 유사한 추적 기술)는 다음 두 가지 예외 사항 중 하나에 해당하지 않는 한 동의를 받아야 함. 동의를 수집하는 시장 표준 방법은 개인에게 쿠키(또는 유사한 추적 기술) 사용에 대한 정보와 동의를 제공하거나 거부할 수 있는 기능을 제공하는 동의 배너를 사용하는 것임.

Q3. 만약 동의를 받아야 한다면, 쿠키 동의가 면제될 수 있는 조건은 무엇이 있는지?

A. 영국 항목 참조

1-8. 국외 이전 방법(동의, 방법, 동의 시 고지사항)

Q. 해외 이용자의 개인정보를 국외로 이전하기 위한 방법은 무엇이 있는지(동의, 개인정보처리방침 공개, 특별한 규제 없이 자유롭게 이전 가능 등)?

A. 개인 정보의 국제 전송은 다음 조치 중 하나에 따라 이루어질 수 있음:

• 적정성 결정. 대한민국과 같은 국가가 이 목록에 포함되어 있음.

• 적절한 안전장치:  공공기관 또는 단체 간의 법적 구속력이 있고 집행 가능한 문서

  - 영국/유럽 연합 구속력 있는 기업 규칙(BCR)  유럽연합 집행위원회(또는 영국 정부)에서 채택한 표준 정보 보호 조항

  - 감독 기관이 채택하고 유럽연합 집행위원회(영국 제외)가 승인한 표준 정보 보호 조항

  - 영국/EU GDPR 제40조에 따라 승인된 행동 강령과 제3국의 관리자 또는 처리자가 정보주체의 권리를 포함하여 적절한 보호 조치를 적용하겠다는 구속력 있고 집행 가능한 약속을 함께 제공함.

  - 정보주체의 권리를 포함하여 적절한 보호 조치를 적용하겠다는 제3국 관리자 또는 처리자의 구속력 있고 집행 가능한 약속과 함께 영국/EU GDPR 제42조에 따른 승인된 인증 메커니즘.

  - 관리자 또는 처리자와 제3국 또는 국제기구의 관리자, 처리자 또는 개인 정보 수신자 간의 계약 조항

  - 집행 가능하고 효과적인 정보주체 권리를 포함하는 공공기관 또는 단체 간의 관리 계약에 삽입할 조항

위의 적절한 안전조치 단락에 열거된 수단에 의존하는 경우 이전 위험 평가(Transfer Risk Assessment, “TRA”)를 완료해야 함.

예외: 영국/EU GDPR 제49조는 특정 상황에 대한 예외를 규정하고 있음. 여기에는 명시적 동의(실용적인 목적으로는 일반적으로 사용되지 않는 경우, 즉 개인의 동의 철회 가능성), 개인과 관리자 간의 계약 이행을 위해 이전이 필요한 경우(또는 개인의 요청에 따라 취해진 계약 전 조치의 이행을 위해 필요한 경우), 법적 청구권의 설정, 행사 또는 방어에 이전이 필요한지 또는 개인의 중대한 이익에 해당하는지 등의 기타 사유가 포함됨.

1-9. 데이터 현지화

Q1. 특정 국가의 경우 자국민의 개인정보를 반드시 특정국가 현지에 저장해야 함을 법률로 규정하고 있음에 따라 유사한 규제가 있는지?

A. 비디오 게임 부문에서 프랑스에는 자국민의 개인정보를 영국에 저장해야 한다고 규정하는 법률이 없음.

Q2. 현지화 규제가 있다면, 그 대상이 되는 개인정보의 범위가 있는지(모든 개인정보, 특정 정보만 현지에 저장 등)?

A. 해당 없음