Loading…
GDPR 제27조는 EU 내 사람에게 상품이나 서비스를 제공하거나 EU 내 사람의 행동을 모니터링하는 비EU 컨트롤러 및 프로세서가, 해당 정보주체가 소재한 EU 회원국 중 하나에 설립된 대리인을 서면으로 지정하도록 요구합니다. 대리인은 감독기관과 정보주체를 위한 단일 연락 창구입니다.
두 가지 좁은 예외가 있습니다: (1) 특수 범주 및 형사 유죄판결 데이터를 제외한 비정기적·저위험 처리, (2) 공공 당국 및 기관. 이러한 예외에 대한 오해는 비EU 기업이 저지르는 가장 비싼 실수입니다.
대리인 지정 실패는 제83조(4)의 제4급 위반에 해당합니다—과징금은 1,000만 유로 또는 전 세계 연간 매출의 2% 중 높은 금액에 이릅니다. 여러 감독기관(CNIL, 함부르크 DPA, 스페인 AEPD)이 2021년 이래 이를 적극 집행해 왔습니다.
GDPR 제27조(1)은 다음과 같이 규정합니다:
"제3조(2)가 적용되는 경우, 컨트롤러 또는 프로세서는 연합 내 대리인을 서면으로 지정해야 한다."
이 짧은 문장은 중대한 운영상 의무를 창설합니다. 제3조(2)—역외 적용 범위 조항—는 처리가 다음에 관련될 때마다 적용됩니다: (a) EU 내 정보주체에게 상품 또는 서비스 제공, 또는 (b) EU 내 정보주체의 행동 모니터링.
따라서 대리인은 비EU 처리에 대한 구조적 부속물입니다: 연합 내 사서함, 연락 창구, 그리고 책임 연결고리. 이들은 귀사의 비EU 운영과 EU의 27개 국가 감독기관 사이에 위치합니다.
다음 네 가지 항목을 모두 충족하면 대리인이 필요합니다:
실무상 두 가지 명확화가 중요합니다:
제27조(2)는 두 가지 좁은 예외를 규정합니다:
(a) 비정기적이고, (b) 제9조에 따른 특수 범주 데이터 또는 제10조에 따른 형사 유죄판결 데이터를 대규모로 포함하지 않으며, (c) 성격, 맥락, 범위, 목적을 고려할 때 자연인의 권리와 자유에 위험을 초래할 가능성이 낮은 처리는 면제됩니다.
세 가지 조건이 모두 충족되어야 합니다. EDPB 지침 3/2018은 "비정기적"에 대해 엄격합니다—이는 일회성 또는 산발적인 것을 의미하며, 결코 정규 사업 운영이 아닙니다. 지속적인 추적, 반복적인 분석 또는 진행 중인 데이터 흐름은 좀처럼 해당하지 않습니다.
공공 당국 및 공공 기관은 대리인을 지정할 필요가 없습니다. 이 예외는 상업 기업에는 거의 적용되지 않지만, 외국 정부 기관, 중앙은행, 국제기구에는 관련됩니다.
제27조(4)는 대리인의 역할을 정의합니다:
"대리인은 컨트롤러 또는 프로세서로부터, 본 규정의 준수를 보장할 목적으로 처리와 관련된 모든 사안에 대하여 컨트롤러 또는 프로세서에 더하여 또는 그를 대신하여 특히 감독기관과 정보주체의 연락 대상이 되도록 위임받는다."
결정적으로, 대리인은 DPO의 대체물이 아닙니다. 두 역할은 서로 다른 당사자가 맡을 수 있으며, DPO 의무(제37조)는 다른 기준에 의해 촉발됩니다.
제27조(3)은 대리인이 개인정보가 처리되는 정보주체가 소재한 회원국 중 하나에 설립되도록 요구합니다. 실무상 귀사에는 유연성이 있습니다: EU 사용자가 여러 회원국에 분산되어 있는 경우, 그 감독기관이 귀사의 운영 모델에 가장 잘 부합하는 회원국을 선택할 수 있습니다.
일반적인 선택지: 아일랜드(영어권, 기술 친화적), 독일(조정해야 할 감독기관이 더 많지만 엄격함), 네덜란드(영어에 능통한 규제기관), 프랑스(CNIL은 강력한 집행 평판을 보유), 그리고 스페인(AEPD는 적극적 집행).
실무 절차:
대리인의 신원 및 연락처는 정보주체에게 전달되어야 합니다(제13조(1)(a) 및 제14조(1)(a)). 구체적으로, 이는 대리인의 이름, 우편 주소, 연락 이메일을 다음에 포함시키는 것을 의미합니다:
대리인을 공시하지 않는 것 자체가 투명성 의무(제12조) 위반이며, 제83조(4)에 따라 하위 등급 과징금의 대상이 됩니다.
제27조(5)는 명백합니다: 대리인의 지정은 컨트롤러 또는 프로세서 자체에 대해 제기될 수 있는 법적 조치에 영향을 미치지 않습니다. 대리인은 컨트롤러의 근본적 위반에 대한 책임을 지지 않습니다.
그러나 대리인은 자신의 의무와 관련된 집행 조치—기록 제공, 감독기관과의 협력, 연락 가능성 유지—의 대상이 될 수 있습니다. 위임받은 기능을 수행하지 못하는 대리인은 선임 컨트롤러에 의한 위탁 중단 및 대리인 서비스 시장에서의 평판 손상 위험에 처합니다.
대리인 지정 실패는 제27조 자체에 대한 위반이며—GDPR 제83조(4)에 따른 제4급 위반입니다. 적용되는 과징금 상한은 다음과 같습니다:
2021년 이래 집행은 꾸준했습니다. 주목할 만한 사례로는 미국 기반 애드테크에 대한 CNIL의 조치, 외국 분석 제공업체에 대한 함부르크의 조사, 국제 광고 네트워크에 대한 AEPD의 판단이 있습니다. 대리인의 부재가 과징금의 유일한 근거가 아닌 경우에도, 이는 흔히 처벌을 가중시키는 더 광범위한 컴플라이언스 결함을 시사합니다.
UK GDPR 제27조는 EU 의무를 반영하지만, 영국 내 개인을 표적으로 하는 비영국 컨트롤러 및 프로세서에 적용됩니다. 2021년 1월 1일 이래, EU 대리인과 영국 대리인은 별개의 역할입니다—양쪽 모두를 표적으로 한다면 둘 다 필요합니다.
운영 팁: 많은 기업이 정렬된 법적 수단을 통해 EU 및 영국 대리 서비스를 모두 제공하는 대리인 제공업체를 선임하여, 침해 보고, ICO/EDPB 커뮤니케이션, 정보주체 문의에 대한 중복 절차를 피합니다.
아닙니다. 대리인은 EU/EEA에 설립되어야 합니다. 스위스는(FADP 동등성에도 불구하고) 이 목적상 EEA 외부입니다. 아이슬란드, 리히텐슈타인, 노르웨이는 자격이 있습니다.
원칙적으로 적용 범위 내 처리를 시작하기 전입니다. 실무상 감독기관은 EU 정보주체에 대한 실질적 처리 전에 선임이 갖추어져 있어야 하는 것으로 봅니다. 소급 선임은 과거 불이행에 대한 방어가 되지 않습니다.
해당 실체가 제37~39조의 독립성 및 전문성 요건을 충족하는 경우에만 가능합니다. 대부분의 전담 대리인 제공업체는 이해충돌을 피하기 위해 별도의 팀을 통해 양쪽을 별개의 서비스로 제공합니다.
귀사는 후임자를 지정하고 공개된 고지를 신속히 갱신해야 합니다. EU 정보주체에 대한 처리가 계속되는 동안 대리인 적용 범위에 공백이 생기는 것은 위반입니다.
아닙니다. 하나의 대리인이 모든 EU/EEA 처리를 포괄합니다. 대리인은 한 회원국에 설립되며; 어느 회원국으로 할지는 귀사의 정보주체가 주로 소재한 곳에 따라 정해집니다.
그 자체로는 아닙니다—CDN 제공업체는 자신의 의무 하에 프로세서입니다. 문제는 귀사의 근본 사업 활동이 EU 사용자를 표적으로 하거나 모니터링하는지 여부입니다. 대부분은 그렇습니다.
RegulatoryBridge는 EU 27개 회원국 전역에 걸쳐 제27조 EU 대리인 및 영국 대리인 서비스를 제공합니다. 단일 연락 창구, 다국어 지원, 투명한 고정 가격, 전체 감독기관 커버리지.