해외콘텐츠 법령정보
튀르키예의 게임 정책과 법제 V - 개인정보보호 관련
요약 정보
| 국가 | 튀르키예 | 장르 | 게임 |
|---|---|---|---|
| 기관 | (-) | 구분 | 기타 |
| 제정일 | (-) | 개정일 | (-) |
상세 정보
튀르키예의 게임 정책과 법제 V
- 개인정보보호 관련
1. 개인정보 수집 및 동의
1-1. 개인정보 수집방법 (동의, 고지 등)
Q. 개인정보를 적법하게 수집(처리)하기 위한 방법(근거)은 어떠한 것들이 있는지?
(동의, 고지, 정보주체와의 계약 처리 및 이행을 위한 경우 등)
관련 법률
• 개인 데이터 보호에 관한 법률 제6698호(Law on the Protection of Personal Data, 이하 “LPPD”)의 제5조, 제6조
부연 설명
LPPD의 제5조에 따라 데이터 통제자(data controller, 이하 “데이터 통제자”)는 개인 데이터를 처리하기 위해 다음 중 하나의
법적 근거를 필요로 함.
• 명시적 동의
• 법률에 명시적으로 규정된 처리(즉, 처리를 지시하는 법률)
• 데이터 주체의 물리적 또는 법적 동의가 불가능한 경우, 개인의 생명이나 안녕의 보호
• 계약 이행
• 법적 의무 준수
• 데이터 주체에 의한 공개
• 권리의 설정, 사용 또는 보호
• 데이터 통제자의 정당한 이익
• 특정 범주의 개인 데이터(예: 민감한 개인 데이터)
• 명시적 동의
• 법률에 명시적으로 규정된 처리(즉, 처리를 지시하는 법률)
• 건강 데이터 및 성생활 데이터(민감한 데이터이기도 함)
• 명시적 동의
• 의료 서비스 및 예방 의학과 같이 LPPD에 나열된 제한된 목적을 위해 기밀유지 의무가 있는 사람이 처리
데이터 통제자는 개인 데이터를 수집하기 전이나 수집하는 동안 데이터 처리 활동에 대한 특정 정보를 데이터 주체에게 알릴
의무가 있음("통지 요건"). 통지 요건의 이행에 관한 입증 책임은 데이터 통제자에게 있음
(아래 “2-3 개인정보 처리방침” 부분 참조).
튀르키예 법률에 따라 명시적 동의는 구체적이고 정보에 입각하여 자유롭게 제공되어야 함. 동의를 얻기 전에 개인정보 보호 정책을
데이터 주체에 제시하여 정보에 입각한 명시적 동의를 얻어야 하며, 개인정보 보호 고지와 동의서는 별도로 작성되어야 함.
동의서의 내용은 무엇을 위한 동의를 구하는지에 따라 달라짐. 예를 들어, 국경 간 데이터 전송 동의의 경우 동의서 양식에는 데이터
제어자의 이름, 전송 목적 및 데이터 수신자가 포함되어야 함.
한편, 개인정보 보호정책은 최소한 (i) 데이터 제어자의 신원, (ii) 처리 목적, (iii) 개인 데이터 수신자, (iv) 데이터 전송 목적,
(v) 개인 데이터 수집 방법, (vi) 처리의 법적 근거 및 (vii) 데이터 주체의 권리에 관한 정보를 포함해야 함.
현지 로펌은 개인정보의 종류와 처리 목적을 명시하여 개인정보 보호정책을 참조(예를 들어 링크를 통해)하거나, 이러한 내용을
명시적 동의서에 별도로 포함하는 것이 가장 바람직하다고 하였음.
1-2. 개인정보 제3자 제공 방법 (동의, 고지 등)
Q. 개인정보를 제3자에게 적법하게 제공하기 위한 방법(근거)은 어떠한 것들이 있는지? (동의, 고지, 정보주체와의 계약 처리 및 이행을
위한 경우 등)
관련 법률
• LPPD 제8조
부연 설명
개인정보는 위에 언급된 법적 근거에 따라 제3자에게 전송될 수 있고, 민감한 개인정보를 전송하는 경우에는 추가적인 조치가 필요함
개인정보 보호에 관한 법률(LPPD) 제6698호에 따라, 민감한 개인정보(sensitive personal data)는 인종, 민족, 정치적 견해, 철학적 신념,
종교적 또는 기타 신념, 복장 및 의류, 협회 회원 자격, 재단 회원 자격 또는 노동조합 회원 자격, 건강, 성생활, 범죄 기록 및 보안 조치와
관련된 개인정보로 정의됨. 2020년 1월 31일 튀르키예 데이터 보호국(DPA)은 특수 범주의 정보와 관련된 관련 조치를 상세히 명시함.1)
즉, 민감한 개인 정보가 (i) 전자 메일, 등록된 전자 메일 주소 또는 암호화된 전자 메일을 통해 전송되는 경우, (ii) 물리적 CD, DVD 등을
통해 전송되는 경우 암호화 방법을 사용해야 하며 암호화 키는 (iii) 다른 서버 간에, VPN 또는 sFTP 방법을 사용하여 다른 환경에
저장해야 함. 그리고 출력본으로 전송되는 경우, 문서에 ‘기밀 문서’라고 표시해야 하며 무단 접근으로부터 문서를 보호하기 위해 조치를
취해야 함.
1) https://kvkk.gov.tr/Icerik/4110/2018-10 (튀르키예어)
1-3. 아동 개인정보 수집
Q. 한국의 경우처럼 아동(한국의 경우 만 14세 미만)의 개인정보를 수집ㆍ이용ㆍ제공하려면, 법정대리인의 동의를 받아야 하는 규제가
존재하는지? 혹 동의가 불필요 하다면, 어떠한 방법을 적법 처리 근거로 활용할 수 있는지? 법정대리인의 동의를 받아야 한다면,
그 방법이 구체적으로 규정되어 있는지? (이메일 인증, 전자서명, 서면 동의, 전화 동의 등), 위 규제가 존재하는 국가의 개인정보보호법상
아동의 연령은? 사업자는 아동의 개인정보 관련 권리를 어떻게 보장해야 하는지? (법정대리인이 권리행사를 대신할 수 있는지 여부 등)
해당 법률을 위반 했을 때 벌칙 조항은 어떻게 되는지?
관련 법률
• 아동 데이터처리에 관한 DPA 지침
부연 설명
명시적 동의에 따른 데이터 처리 활동에는 미성년자의 법정대리인의 동의가 필요함. 정보 주체의 명시적 동의 이외의 법적 근거(예: 데이터
통제자의 정당한 이익)에 따라 개인 정보를 처리하는 경우 부모 또는 법적 후견인의 명시적 동의가 필요하지 않을 수 있음. 단, 이 문제는
사례별로 평가되어야 함. 예를 들어 계약의 실행 및 이행은 튀르키예 데이터보호법에 명시된 법적 근거 중 하나지만 아동의 경우 그러한
거래를 수행할 권한이 전혀 없을 수 있기 때문임.
튀르키예 데이터보호법은 명시적 동의를 얻기 위한 구체적 방법을 규정하고 있지 않으나 입증 책임은 데이터 통제자에게 있음.
따라서 데이터 통제자는 물리적이든 전자적이든 명시적인 동의를 얻었음을 문서화해야 함.
튀르키예 민법에 따라 18세 미만의 개인은 아동으로 간주됨. 그러나 튀르키예 데이터보호법은 정보 주체 측면에서 아동과 성인을 구분하지
않으며 아동과 관련된 개인 정보 처리와 관련된 특정 규정이나 요구 사항을 규정하지는 않음. 또한, 튀르키예 민법 및 튀르키예 의무법
제6098호의 일반 원칙에 비추어, 만 18세 미만인 사람도 해당 거래의 구체적인 조건에 따라 특정 거래를 수행할 법적 능력이 있는 것으로
간주됨. 따라서 18세 미만의 정보 주체가 법적으로 자신의 개인정보 처리에 대해 명시적인 동의를 제공할 수 있는지 여부는 아동의 법적
능력에 관한 튀르키예법의 일반 원칙에 비추어 사례별로(즉, 처리되는 데이터의 성격과 범위, 정보 주체의 연령, 처리 목적 등을 고려) 평가
되어야 함. 이와 관련하여 사례의 특수성에 따라 부모 또는 법적 후견인의 명시적인 동의가 필요할 수 있음. 예를 들어, 법원은 제한적
상황에서 15세의 미성년자에게 법적 능력을 부여할 수 있음.
튀르키예 데이터 보호 당국(DPA)은 아동 데이터와 관련하여 "상품 및 서비스 개발자"를 위한 간략한 지침을 마련했는데, 아래와 같음.
• 아동 데이터 처리 시 튀르키예 데이터보호법 준수에 최대한 주의를 기울인다.
• 데이터 최소화에 따라 아동 데이터 처리를 최소화한다.
• 아동의 인지 수준을 고려하여 공지 사항을 조정(가능한 경우 이미지 및 시각 효과로 공지 사항을 지원)한다.
• 시스템을 사용하여 아동의 연령을 확인한다.
• 아동 데이터에 대한 최고 수준의 조직적 및 기술적 조치를 구현한다.
• 데이터 보호에 대한 아동의 권리를 존중한다.
DPA는 또한 지침에서 (i) 데이터 통제자는 동의를 제어하고 연령을 확인하기 위해 해당 연령의 아동이 응답할 수 있는 질문만 할 수 있으며,
(ii) 필요한 경우 데이터 통제자는 부모/법적 후견인의 확인된 연락처 정보로 통지 및 동의 승인 양식을 발송할 수 있다고 기술하고 있음.
위 내용 외에 부모/법적 후견인이 미성년자를 대신하여 동의할 자격이 있는지 여부를 보장하는 조치의 설계에 대한 현지의 특정 법률
요건이나 상관행은 없음.
아동 개인 데이터 처리에 대한 의무를 규정하고 있는 특정 조항은 없음. 그러나 튀르키예 데이터보호법은 (i) 개인정보 보호에 대한 통지를
하지 않은 경우(즉, 통지 요건), (ii) 데이터 통제자 레지스트리에 등록하지 않은 경우, (iii) 데이터 보안을 위해 필요한 기술적 및 조직적
조치를 취하지 않은 경우, (iv) DPA의 결정을 준수하지 않은 경우에 대한 처벌을 규정하고 있음. 실제로, 아동 데이터 보호 규칙을 준수하지
않는 경우 데이터 통제자가 필요한 보안 조치를 취하지 않는 것으로 간주될 것임. 이 경우 법에 따라 최대 약 TRY 3백만(약 USD 150,000)의
과태료가 부과됨. 필요한 경우, DPA는 데이터 처리 및 데이터 전송의 중단을 명령할 수도 있음. 위 (iii)과 관련하여, 일반적으로 데이터
제어자는 다음을 위해 필요한 모든 기술적 및 조직적 조치를 취할 의무가 있음.
• 불법적인 개인정보 처리를 방지한다.
• 개인정보에 대한 불법적인 접근을 방지한다.
• 안전한 방식으로 개인정보를 유지한다.
LPPD에 의거하여, 데이터 보안에 관한 책임 체제는 GDPR와 거의 유사함. 따라서 데이터 제어자는 데이터 보안 조치에 대한 일차적 책임이
있으며 LPPD를 준수하는지 확인하기 위해 정기적으로 검사해야 함.
튀르키예 DPA는 온라인으로 이용할 수 있는 조직 및 기술 조치에 관한 지침을 발표했음2). 이 지침에는 암호화, 방화벽, 최신 안티 바이러스
시스템, 강력한 암호, 액세스 로그, 물리적 보호 및 직원 정기 교육, 데이터 프로세서 관리, 데이터 최소화 및 데이터 보호 정책 및 절차
구현과 같은 조직적 조치와 같은 기술적 조치가 포함되어 있음.
2) https://www.kvkk.gov.tr/SharedFolderServer/CMSFiles/7512d0d4-f345-41cb-bc5b-8d5cf125e3a1.pdf (튀르키예어)
1-4. 개인정보 처리위탁 (동의, 고지, 수탁업체 계약방법)
Q. 개인정보 처리를 외부 업체에게 위탁하려는 경우 정보주체의 동의를 얻어야 하는지? 동의를 얻지 않아도 된다면, 그 적법성을 어떻게
확보할 수 있는지? (정보주체에게 고지, 개인정보처리방침 공개 등), 개인정보 처리를 위탁받아 수행하는 자(수탁업체)와 체결해야 하는
문서가 있는지?(한국의 경우 개인정보보호법 제26조에 따라 문서로 업무를 위탁하여야 함), 위탁업체가 수탁업체를 관리감독할 의무가
있는지? 있다면, 그 관리감독 방법은 무엇인지? 개인정보 수탁업체가 개인정보 관련 사고를 발생 시킬 경우 그 책임은 누가 지는지?
(수탁업체가 온전히 그 책임을 짐. 위탁업체가 그 책임을 짐 등)
관련 법률
• LPPD 제12조
부연 설명
위탁이란 용어를 데이터 프로세서(data processor, 이하 “데이터 프로세서”)를 지칭하는 것으로 이해했음. 데이터 프로세서 사용에 대한
특정 동의 요건은 없음. 데이터 통제자는 처리에 대한 법적 근거(위 1-3 부분의 답변 참조)가 있는 경우 데이터 프로세서를 통해
개인 데이터를 처리할 수 있음.
LPPD는 튀르키예 외부 설립된 프로세서와 이에 개인 데이터를 수출하는 국내 컨트롤러 간의 계약인 경우가 아닌 한, 컨트롤러와
프로세서 간의 서면 계약을 명시적으로 요구하지 않음. 그러나, DPA는 지침 및 발표를 통해 서면 계약을 강력히 권장하며 컨트롤러와
프로세서 간의 관계가 "데이터 처리 계약"에 규정되어야 한다고 명시하고 있음.
데이터 통제자가 데이터 프로세서를 감독하도록 요구하는 명시적 조항은 없지만, 개인정보 보호에 대한 책임은 공동으로 부담함. 데이터
통제자는 LPPD 준수에 대한 1차적 책임이 있으므로 데이터 통제자는 데이터 프로세서의 LPPD 준수 여부를 모니터링해야 함.
LPPD는 데이터 통제자가 프로세서를 사용하는 경우에도 데이터 보안 조치에 대해서는 프로세서와 공동의 책임이 있다고 명시하고 있음
(LPPD 제12(1)조). 데이터 프로세서(데이터 통제자와 함께)는 LPPD를 위반하여 개인정보를 제3자에게 공개하거나, 처리 이외의 목적으로
개인정보를 사용할 수 없음(LPPD 제12(4)조).
데이터 통제자는 데이터 위반 및 데이터 위반 통지에 대한 책임이 있지만 그 위반과 관련하여 데이터 프로세서의 잘못이 있는 경우 데이터
통제자는 데이터 프로세서에 대하여 손실의 보상을 청구할 수 있음.
1-5. 쿠키 수집
Q. 쿠키를 수집(동의 등) 및 이용과 관련하여 규제가 있는지 있다면, 해당 법을 만족시키기 위한 적법한 쿠키 수집(동의 등) 방법은 무엇인지
만약 동의를 받아야 한다면, 쿠키 동의가 면제될 수 있는 조건은 무엇이 있는지?
관련 법률
• 쿠키 관행에 관한 DPA 지침
부연 설명
DPA는 쿠키 관행에 관한 지침을 마련했음. 현재 DPA는 비필수 쿠키를 통한 데이터 처리 시 명시적 동의(옵트인 동의)를 받을 것을 데이터
통제자에 요구하고 있음.
DPA는 쿠키 지침에서 동의 관행을 세부적으로 평가했음. 이에 따르면 모범사례는 "수락", "거부" 및 "설정" 선택 항목을 모두 동일한 크기,
색상 및 포맷으로 함께 제시하는 것임. 쿠키 유형별로 수락/거부하는 옵션도 정보 주체에게 부여되어야 하며 명시적 동의를 얻기 위해
옵트인 동의 방식을 채택해야 함. DPA는 지침을 통해 쿠키 배너에 대한 모범사례와 불량사례를 제시했음.
모범 사례는 “수락,” “거부” 및 “설정”을 모두 동일한 크기, 색상 및 형식으로 표시하는 것임. 쿠키 유형을 개별적으로 수락/거부하는
옵션도 정보 주체에게 부여되어야 하며 명시적 동의를 얻기 위해서는 옵트인 동의 방식을 사용해야 함. 비필수 쿠키 사용에 대한 옵트인
요건 외에도 데이터 제어자는 다음을 수행해야 함.
• 정보 주체에게 쿠키의 이름, 목적 및 기간, 쿠키가 제3자인지 제1당사자인지 여부를 포함하는 쿠키 정책을 제공한다.
• 적절한 법적 근거에 따라 쿠키가 포함된 개인정보를 처리한다. 쿠키 지침은 특정 쿠키 유형에 대한 정의를 제공하고 법적 근거에 따라
쿠키를 분류한다.
• 쿠키 관행이 개인정보의 국경 간 전송을 포함하는 경우 적절한 국경 간 전송 메커니즘에 의존한다.
실무 관행을 검토하기 위해 지침을 확인할 수 있음3). 따라서 위의 요건을 충족하기 위해 별도의 쿠키 정책과 쿠키 배너를 준비하는 것이
좋음.
3) https://kvkk.gov.tr/SharedFolderServer/CMSFiles/fb193dbb-b159-4221-8a7b-3addc083d33f.pdf (튀르키예어)
2. 개인정보 처리
2-1. 개인정보 파기
Q. 개인정보를 파기해야 하는 의무가 있는지, 어떠한 경우 파기해야 하는지, 개인정보를 파기해야 한다면, 한국의 전자상거래 법,
통신비밀보호법과 같이 별도의 정보를 보관하도록 하는 특별 규정이 있는지?
(한국: 접속기록 3개월, 표시/광고에 관한 기록 6개월, 계약 또는 청약철회 등에 관한 기록 5년, 대금 결제 및 재화공급 등에 관한 기록 5년,
소비자의 불만 또는 분쟁처리에 관한 기록 3년)
관련 법률
• LPPD 제7조
• 개인 데이터의 삭제, 파기 또는 익명화에 관한 규정
부연 설명
LPPD 제7조에 따라 데이터 주체의 개인정보는 처리 목적이 더 이상 존재하지 않거나 데이터 주체의 파기 요청이 있는 경우 파기해야 함.
원칙적으로 개인정보는 처리 목적이나 법적 보유 기간이 남아 있지 않는 경우 파기하며 데이터 통제자는 보유 및 파기 기간을 명시한 데이터
보유 및 파기 정책을 마련해야 함.
기록의 보유에 대하여 다양한 보유 기간이 규정되어 있으며, 이러한 기간은 데이터 보유 및 파기 정책에 명시되어 있어야 함. 또한 데이터
삭제, 파기 및 익명화에 관한 모든 프로세스 기록을 최소 3년 간 보유해야 힘(기타 법적 요구사항을 위해 보관).
데이터 통제자는 6개월마다 정기 감독을 수행하고 특정 데이터가 더 이상 필요하지 않은 경우 삭제, 파기, 익명화해야 함.
2-2. 장기 미접속 계정 휴면처리방법
Q. 한국의 개인정보보호법과 같이 1년간 서비스를 이용하지 않는 이용자의 개인정보를 파기 또는 분리보관 해야 하는 규제가 있는지, 있다면,
휴면처리를 어떻게 처리해야 하는지?
관련 법률
• 별도 규정 없음
부연 설명
비활성 계정의 파기에 관한 특정 규정은 없지만, 데이터 통제자는 데이터 최소화 원칙(LPPD 제4조) 및 LPPD 제7조(위 설명대로)에 비추어
자체 정책을 수립해야 함.
또한, 개인정보의 처리 목적이나 법적 보유 기간이 남아 있지 않은 경우 개인정보를 파기해야 한다는 일반 원칙 또한 휴면처리시에
적용될 수 있음
2-3. 개인정보 처리 방침
Q. 한국의 경우 법령에 의해서 개인정보처리방침에 필수적으로 기재해야 하는 내용이 정해져 있음. 이와 유사하게 법적으로 필수적으로
기재해야 하는 내용이 있는지, 필수는 아니지만 가이드라인 등을 통해 기재가 권장되는 내용이 있는지, 개인정보 처리방침을 어떻게
공개해야 한다는 사실을 정한 규제가 있는지?
관련 법률
• LPPD 제10조
부연 설명
데이터 통제자는 개인정보를 수집하기 전이나 수집하는 동안 데이터 처리 활동에 대한 특정 정보를 정보주체에게 알릴 의무가 있음
("통지 요건"). 통지 요건의 이행에 관한 입증 책임은 데이터 통제자에게 있음.
개인정보 보호 통지에는 최소한 다음에 대한 정보가 포함되어야 함.
• 데이터 통제자 및 그 대리인의 신원
• 처리 목적
• 개인정보의 수신자
• 데이터 전송의 목적
• 개인정보 수집 방법
• 처리에 대한 법적 근거
• 정보 주체의 권리
통지 요건은 개인정보 수집 전 또는 수집 중에 충족되어야 함. 통지 요건에 대한 입증 책임은 데이터 통제자에 있으므로 현지 로펌은
튀르키예의 정보 주체에게 튀르키예어로 된 개인정보 보호정책을 제공할 것을 권장하였음.
또한 개인정보 보호 통지에는 광범위이고 모호하며 불완전하고 오해의 소지가 있으며 부정확한 정보가 포함되어서는 안 되고 통지 요건과
동의 요건은 별개로 충족되어야 하며 개인정보 보호 통지는 쉽게 접근하고 확인할 수 있어야 함.
2-4. 개인정보 이용 내역 통지
Q. 한국의 경우 개인정보보호법 제39조의8(개인정보 이용내역의 통지)에 따라 연 1회 이용자에게 개인정보의 이용내역을 통지해야 하는데,
이와 유사한 규제가 있는지, 있다면, 어떠한 방법으로 이용자에게 통지해야 하는지? 만약 통지 수단 (이메일, 핸드폰 번호 등)이 없다면
이용내역을 통지하지 않아도 되는지?
관련 법률
• 별도 규정 없음
부연 설명
정보주체에 대한 정기적인 통지를 요구하는 특정 규정은 없음. 그러나 정보 처리 관행이 변경되는 경우 데이터 통제자는 이를 개인정보 보호
통지에 반영하고 개인정보 보호정책의 변경 사항을 정보 주체에게 알려야 함
2-5. 해외사업자의 국내 대리인 지정
Q. 한국의 경우 개인정보보호법 제39조의11(국내대리인의 지정)에 따라 국내에 주소 또는 영업소가 없는 정보통신서비스 제공자는
이용자수/매출액을 고려하여 국내 대리인을 지정할 의무가 있는데 이와 유사한 규제가 있는지, 있다면 국내 대리인을 지정해야 하는 기준은
어떻게 되는지, 국내 대리인을 지정해야 한다면 그 사실을 관계 당국에 보고해야 하는 의무가 있는지 아니면 개인정보처리방침에 공개만
해 두어도 되는지?
관련 법률
• LPPD 제16조
• 데이터 통제자 레지스트리에 관한 규정
부연 설명
해외 데이터 통제자는 데이터 통제자 레지스트리에 등록되어야 힘. 등록의 일환으로 해외 데이터 통제자는 자신을 대신하여 특정 책임을
지고 등록 절차(데이터 통제자 레지스트리에)를 완료할 데이터 통제자 대리인을 지정하고, 이 선임에 대한 정보를 튀르키예 DPA에
제출해야함. 대리인은 튀르키예 국민이거나 튀르키예에 설립된 법인이어야 함. 대리인의 정보는 데이터 통제자 레지스트리(공개적으로 이용
가능)에 게시됨. 대리인은 관련 법률에 따라 아래에 나열된 것처럼 제한적 권한을 가짐.
대리인은 다음 권한이 있어야 함.
• 데이터 통제자를 대신하여 DPA에서 공식 통지 및 서신을 수령
• DPA의 요청을 데이터 통제자에 전달하고 데이터 통제자의 응답을 DPA에 제출
• 정보 주체의 요청을 수신 및 전달
• 데이터 통제자를 대신하여 해당 데이터 주체에 대응
• 데이터 통제자를 대신하여 데이터 통제자 레지스트리에 대한 등록 절차를 수행하고 관리
또한 데이터 통제자 대리인의 신원은 개인정보 보호정책에 명시되어야 함.
2-6. 국외 이전 방법 (동의, 방법, 동의시 고지사항)
Q. 해외 이용자의 개인정보를 국외로 이전하기 위한 방법은 무엇이 있는지?(동의, 개인정보처리방침 공개, 특별한 규제 없이 자유롭게 이전
가능 등)
관련 법률
• LPPD 제9조
부연 설명
튀르키예 법률 하에서 LPPD 및 DPA의 결정에 따른 국가 간 개인 데이터 전송에는 현재 다음과 같은 네 가지 메커니즘이 있음.
• 명시적 동의(LPPD 제9(1)조)
• 법적 근거 + 대상 국가의 적절한 보호(LPPD 제9(2)(a)조)
• 법적 근거 + 위탁 + DPA 승인(LPPD 제9(2)(b)조)
• 법적 근거 + 구속력 있는 기업 규칙(BCR) + DPA 승인(LPPD의 제9(2)(b)조)
DPA는 적절한 수준의 보호를 제공하는 국가(즉, 안전한 국가)를 공표하지 않았음. 또한 제한된 수의 위탁(정확히 5개의 신청)을 승인했으며
지금까지 승인된 BCR 신청은 없음. 따라서 명시적 동의를 얻는 것이 국가 간 데이터 전송을 준수하기 위한 빠르고 실현 가능한 솔루션으로
서 부각됨.
2-7. 광고성 정보 (수신, 동의, 고지, 발송방법)
Q. 한국의 정보통신망법과 같은 광고성 정보(이메일, 핸드폰 번호, 모바일 앱 푸쉬) 발송에 적용되는 규제가 있는지, 있다면 광고성 정보를
보낼 때 지켜야 하는 표기 의무가 있는지(제목 맨앞 (광고) 표기, 수신거부 조치, 사업자의 물리적 주소 등), 이용자에게 광고성 정보를
보내기 위한 조건은 어떻게 되는지?(명시적인 사전 수신동의 등)
관련 법률
• 전자상거래법 제5조 내지 제7조
• 상업통신 및 상업전자메시지에 대한 규정 제5조(이하 "규정")
부연 설명
원칙적으로 해외 법인을 포함한 서비스 제공자는 아래 목적을 위해 상업적 전자 메시지를 보내려는 경우 규정에 따라 개인의 동의를
받아야 함.
• 상품 및 서비스의 판촉 또는 마케팅
• 회사 또는 사업의 홍보
• 축하 메시지를 통한 인지도/평판 제고
광고를 제작하는 주체의 신원이 보여야 함. 판촉의 경우 판촉의 기준과 조건이 이해할 수 있는 방식으로 제시되어야 함.
동의 요건 외에도 수신자에게 상업적 정보를 보내는 서비스 제공자는 규정에 따라 상업적 전자 메시지를 보내기 전에 전자메시지관리시스템
(예: İYS)이라는 시스템에 등록하고, 개인으로부터 얻은 동의를 İYS로 이전해야 함. 이 시스템은 수신자가 불만을 제기하고 이전에 제공한
동의의 제공 또는 철회가 가능하게 함. 따라서 서비스 제공자는 İYS에 동의가 업로드되지 않은 고객에게 마케팅 정보를 보내는 것을
중단해야 함.
다만 사업자가 광고성 정보를 이용자에게 송신하는 경우 제목에 (광고) 표기를 하도록 규정하고 있는 한국의 정보통신망법과 같은 규정은
별도로 확인되지 않음.
2-8. 데이터 국지화
Q. 자국민의 개인정보를 반드시 현지에 저장해야 한다는 현지화 규제가 있는지, 있다면 그 대상이 되는 개인정보의 범위가 있는지?
(모든 개인정보, 특정 정보만 현지에 저장 등)
관련 법률
• 별도 규정 없음
부연 설명
일반적인 데이터 국지화 요건은 없음. 그러나 특히 은행, 결제 공급자, 전자 통신, 의료와 같은 중요한 기반 시설 서비스의 경우 부문별
국지화 요건이 있음. 단, 게임 회사가 튀르키예 정보 주체의 개인정보를 튀르키예에 저장하도록 요구하는 부문별 특정 법률은 없음.
2-9. 개인정보 보호법 적용 가능성
Q. 자국내 사업장이 없는 해외사업자에게 해당국가의 개인정보 보호법령이 적용되는지?
관련 법률
• 별도 규정 없음
부연 설명
LPPD는 애플리케이션이 튀르키예 외부의 데이터 통제자 또는 프로세서로 확장되는지 여부를 구체적으로 명시하지 않았음.
그러나 행정법규(secondary legislation) 튀르키예 외부에 위치한 데이터 통제자를 대상으로 데이터 통제자 레지스트리에 등록해야 하는
의무 또는 튀르키예의 데이터 통제자 대리인을 임명해야 하는 조항이 포함되어 있음. DPA는 튀르키예의 정보 주체에 영향을 미치는
개인정보 유출과 관련하여 튀르키예 외부에 위치한 데이터 통제자에 제재를 가한 바 있음.
3. 개인정보보호
3-1. 이용자 개인정보 권익보호방법
Q. 이용자에게 보장해 주어야 하는 개인정보 관련 권리가 있는지(열람권, 정정권, 이동권, 처리정지권, 삭제권), 있다면 각 권리를 행사하기
위한 조건이 있는지?(무제한으로 행사가능, 사업자가 합리적인 이유가 있다면 제한 가능 등)
관련 법률
• LPPD 제11조
부연 설명
LPPD에 따라 데이터 주체는 데이터 통제자에 다음을 신청할 수 있고, 데이터 통제자는 데이터 주체에게 해당 권리에 대해 고지해야 함
• 개인 데이터가 처리되는지 여부에 대한 정보 제공
• 데이터 처리와 관련된 정보 요청
• 데이터 처리의 목적과 데이터가 목적에 따라 사용되는지 여부에 대한 정보 제공
• 데이터가 전송되는 제3자(튀르키예 또는 해외)에 대한 정보 제공
• 부정확하거나 누락된 데이터의 수정 요청
• 데이터 삭제 또는 파기 요청
• 데이터의 수정/삭제/파기가 해당 데이터가 전송되는 제3자에게 전달되도록 요청
• 자동 시스템을 통해 처리된 데이터를 분석한 결과 자신에게 불리한 결과에 대한 이의 제기
• 불법적인 데이터 처리의 결과로 발생한 자신의 손해에 대한 보상 요청
정보주체가 데이터 통제자에게 서면 또는 전자적 방식으로 일정한 사항을 신청할 때 정보 주체는 최소한 다음 정보를 제공해야 함.
• 이름, 성 및 서명(서면으로 신청한 경우)
• 튀르키예 국민의 경우 튀르키예 신분증 번호, 외국인의 경우 여권번호 및 국적 정보(ID 번호(있는 경우))
• 거주지 또는 사업장 주소
• 통지를 위한 이메일 주소, 전화 또는 세금 번호
• 요청 주제
데이터 통제자는 정보주체에게 회신할 때 최소한 다음 정보를 제공해야 함.
• 신청자의 이름과 성
• 튀르키예 신분증 번호(튀르키예 국민의 경우), 국적, 여권번호 및 신분증 번호(외국인의 경우)
• 거주지 또는 사업장 주소
• 통지를 위한 이메일 주소, 전화 또는 세금 번호
• 요청 주제
• 요청에 대한 데이터 통제자의 설명
데이터 통제자는 정보 주체의 요청에 가능한 한 빨리, 늦어도 30일 이내에 무료로 답해야 함.
3-2. 개인정보 침해에 대한 보상보험 요건
Q. 정보주체의 개인정보 관련 사고(유출, 노출, 훼손, 분실 등) 가 발생될 경우 정보주체에게 고지해야 하는 의무가 있는지, 고지 의무가 있다면
몇명 이상의 개인정보 사고 시 그러한 의무가 부과되는지, 고지 방법이 규정되어 있는지(홈페이지에 사고 사실 공개, 개별 연락 (이메일,
전화 등)), 정보주체에게 고지해야 할 경우 고지 시간이 규정되어 있는지 (사고 사실을 인지한 순간부터 1주일 이내 등), 정보주체의
개인정보 관련 사고(유출, 노출, 훼손, 분실 등)가 발생될 경우 관계당국에 신고해야 하는 의무가 있는지, 신고 의무가 있다면 몇명 이상의
개인정보 사고 시 그러한 의무가 부과되는지, 신고 기간이 정해져 있는지(사고 사실을 인지한 순간부터 1주일 이내 등)
관련 법률
• LPPD 제12조
부연 설명
데이터 유출 발생 시, 데이터 통제자는 유출의 영향, 위험 또는 정도에 관계없이 데이터 주체에게 통지해야 함.
의무가 발생되기 위한 최소한의 개인정보 사고 건수는 없음. 위에서 언급했듯이 데이터 유출은 위험 수준에 관계없이 정보 주체에게
통지되어야 함. 2019년 9월 18일자 DPA 판결번호2019/271에 따라, 정보 주체에 대한 통지는 명확하고 다음 정보를 포함해야 함.
• 유출 시간
• 유출의 영향을 받는 데이터 범주
• 잠재적 영향
• 유출의 부작용을 완화하기 위해 취했거나 취하도록 권장하는 조치
• 데이터 주체가 데이터 유출에 관한 정보를 얻을 수 있는 사람의 연락처 정보, 데이터 통제자의 웹사이트, 콜센터 또는 기타 소통 수단
DPA는 데이터 주체에게 유출을 통지하는 방법을 규정하지 않고 있음. 실제로 데이터 통제자는 정보 주체의 연락처 주소를 사용하거나
데이터 통제자 웹사이트에 게시하는 것과 같은 기타 적절한 방법(영향받는 사용자에게 연락할 수 없는 경우)으로 유출 사실을 알림.
DPA는 데이터 통제자가 영향을 받는 데이터 주체를 식별한 후 데이터 통제자가 합당한 가장 짧은 시간 내에 데이터 주체에 통지할 것을
기대함.
데이터 통제자는 영향, 위험 또는 정도에 관계없이 DPA 및 관련 정보 주체에 통지해야 함.
통지 의무가 발생되기 위한 최소한의 건수는 없음. 따라서 데이터 유출을 인지한 데이터 통제자는 부당한 지연 없이, 늦어도 72시간 이내에
DPA에 데이터 유출을 통지해야 함. 데이터 통제자는 튀르키예어 및 영어로 제공되는 공식 웹사이트에 DPA가 게시한 표준 "데이터 유출
통지 양식"을 사용해야 해야 하며, 이용 가능하고 DPA가 요구한 채널을 통해 이 양식을 제출함. 온라인 공시 시스템을 통해 DPA에 통지하는
것도 가능함.
3-3. 데이터 침해에 대한 보상
Q. 한국은 개인정보보호법 제39조의9(손해배상의 보장)에 따라 손해배상책임의 이행을 위해 보험 또는 공제에 가입하거나 준비금을
적립하는 등 필요한 조치를 하여야 하는데 이와 유사한 규제가 있는지?
관련 법률
• 별도규정 없음
부연 설명
개인정보 보험에 관한 구체적 규정은 없음. 단, 튀르키예 데이터보호법 제12/1조에 따라 데이터 통제자는 개인정보의 불법 처리 및 액세스를
예방하고 데이터 보안을 유지하기 위해 필요한 행정적 및 기술적 조치를 취해야 함. 튀르키예 데이터보호법 제14/3조에 따라, 정보 주체는
개인정보의 불법적인 처리가 발생하는 경우 개인 권리 침해로 인한 손해 배상을 청구할 수 있음.
3-4. 데이터 유출사고 발생 시 금전적 제재
Q. 개인정보 규제(법령)를 위반하거나 개인정보 사고가 발생 된 경우 과태료, 과징금 등은 최대 얼마까지 부과되는지?
관련 법률
• LPPD 제18조
부연 설명
튀르키예 데이터보호법은 여러 의무 위반에 대해 각기 다른 처벌을 부과함. 이 벌금은 최대 TRY 2,678,863(약 USD 145,00
링크
(-)
- Helpdesk1566-9984 welcon@kocca.kr
- 본 페이지에 게시된 이메일 주소가 자동 수집되는 것을 거부하며, 이를 위반시 정보통신법에 의해 처벌됨을 유념하시기 바랍니다.
58326 전라남도 나주시 교육길 35 (빛가람동 351) 한국콘텐츠진흥원 사업자등록번호 105-82-17272 - Copyright 2020. Korea Creative Content Agency All rights reserved.
