사적 영역에서 개인정보 처리의 허용요건 —EU의 GDPR과 독일의 개인정보 보호법 규율 내용과 시사점—
Erlaubnisvoraussetzung zur Verarbeitung personenbezogener Daten im privaten Bereich
김상중(고려대학교)
67호, 1~58쪽
초록
본 논문은 사적 영역에서 개인정보 처리의 허용요건을 전반적으로 살피면서 현행 규정의 개선 방향을 제시하고자 하였다. 이를 위하여 비교법적 연구 차원에서 2016년 EU의 GDPR, 그리고 GDPR의 시행 전후의 독일 개인정보 보호법(BDSG)의 관련 규정과 그 해석·적용에 관한 내용을 개관하였다. 본 논문에서는 주로 ① 정보처리자(또는 제3자)의 정당한 이익을 위한 정보처리, ② 과학적 연구 등을 위한 정보처리, ③ 민감정보의 처리 및 ④ 정보주체의 동의 요건을 다루었다. 이 가운데 먼저 ‘정당한 이익’을 위한 정보처리 허용요건은 사적 영역에서 정보주체의 동의 외에 중요한 허용요건이며, 정보주체의 보호와 정보처리의 이익을 비교 형량하여 정보주체의 동의가 없더라도 정보처리를 허용할 수 있도록 해 주어야 한다. 본 논문은 GDPR과 독일의 규율 현황을 참고하여 직접마케팅을 위한 정보처리 역시 일정한 요건하에서 허용되어야 한다고 주장하고 있다. 다음으로 과학적 연구 목적의 정보처리 역시 일부 견해의 소극적 입장과 달리 과학적 연구의 사회적 의미, 개인 관련성이 아닌 객관적·일반적 인식을 얻고자 하는 정보처리의 목적, 암호화·가명화 등을 포함한 안전조치의 강구 등을 전제로 하여 정보처리에서 우대되어야 하며, 이는 신약개발과 같이 기업의 연구활동에 대해서도 마찬가지이다. 한편 민감정보의 경우 정보주체의 높은 필요성에도 불구하고 과학적 연구 등을 위한 정보처리, 원래 목적과 합치하는 추가처리의 경우 적절한 안전조치의 강구 하에서 허용되어야 한다는 견해를 제시하였다. 끝으로 정보처리에서 실제로 가장 중요한 정보주체의 동의요건 역시 일정한 경우 사후거절 (opt-out) 방식, 포괄적·탄력적 동의에 의하여 완화, 변화되어야 할 필요가 있다고 지적하였다.
Abstract
Bei dieser Abreit geht es darum, im privaten Sektoren die Erlaub- nisvo raussetzungen für die Verarbeitung personenbezogener Daten durchzuschauen und dabei eine Richtung zur Verbesserung der geltenden Regelungen vorzuschlagen. Zu diesem Zweck bietet dieses Papier einen Überblick über die DS-GVO im Jahr 2016 und die deutschen BDSGe vor und nach der Durchsetzung der DS-GVO. Seine Themen sind hauptsächlich ① Datenverarbeitung für die berechtigten Interessen des Verarbeiters (oder eines Dritten), ② Datenverarbeitung für wissens- chaftliche Forschung usw., ③ Verarbeitung sensibler Daten und ④ Anforderungen an die Einwilligung von das Informationssubjekt. Unter diesen Punkten stellt die Voraussetzung der berechtigten Interessen neben der Einwilling des Datensubjekts ein wichtiges Erlaubnistatbestand dar und muss dazu in der Lage sein, die Interessen der Datenverarbeitung mit dem Schutz der betroffenen Person abzuwägen und dadurch die Datenverarbeitung ohne Einwillung des Datensubjekts zu ermöglichen. Bezogen auf die DS-GVO und die deutschen Ansichten plädiert dieses Papier dafür, dass die Datenve- rarbeitung für Dikektmarketing unter bestimmten Voraussetzugen zulässig sein sollte. Daneben sollte die Datenverbeitung für wissens- chaftliche Forschungsz- wecke im Gegensatz zu einigen negativen Ansichten im Lichte ihrer gesellschaftlichen Bedeutung und ihres Zwecks, objektives und allgemeines Bewusstsein ohne Personenbezug zu erlangen, privilegiert werden, soweit es Sicherheits- massnahmen, einschliesslich Verschlüsselung bzw. Pseudony- misierung, vorhanden sind. Dies gilt auch für unternehmensweite Forschungsaktivi- täten, etwa die Entwicklung neuer Medikamente. Desweiteren wird in Bezug auf sensible Informationen behauptet, dass ihre Verarbeitung für wissenschaftliche Forschung sowie weitere zusätzliche, zu anderen als dem ursprüglichen Zweck zulässig sein sollte, sofern geeignete Sicherheitsmassnahmen getroffen werden. Abschlie- ssend wird darauf hingewiesen, dass auch die bei der Datenverar- beitung eigentlich wichtigsten Einwilligungserfordernisse der betroffenen Personen in bestimmten Fällen durch Opt-out-Methoden sowie eine breite/flexible Einwilligung gelockert bzw. geändert werden müssen.
- 발행기관:
- 안암법학회
- 분류:
- 법학일반