개인정보 보호 소개
개인정보 보호는 오늘날 점점 디지털화되는 세계에서 매우 중요합니다. 유럽연합의 개인정보 보호 규정(DSGVO)과 연방 개인정보 보호법(BDSG)에 따라 고객, 직원 및 사업 파트너의 데이터를 기업과 대기업이 어떻게 처리해야 하는지에 대한 명확하고 구체적인 규칙이 존재합니다. 특히 여러 기업으로 구성된 대기업에서는 데이터 처리 과정이 법적으로 적합하게 이루어지는 것이 중요합니다. DSGVO와 BDSG는 개인정보를 수집, 저장 및 처리하는 방법을 규제하여 개인의 프라이버시와 권리를 보호합니다. 따라서 기업과 대기업은 이러한 규정을 철저히 준수하여 관련자의 신뢰를 유지하고 법적 위험을 피해야 합니다.
대기업과 개인정보 보호
대기업은 여러 회사가 통합된 형태로 하나의 관리 하에 있는 구조입니다. 대기업의 경영진은 대기업 내에서 개인정보 보호 규정(DSGVO)과 연방 개인정보 보호법(BDSG)의 요구사항이 준수되도록 책임을 져야 합니다. 이는 대기업의 모든 수준과 기업들, 즉 모회사부터 자회사까지 모두에게 해당됩니다. 개인정보의 수집, 저장 및 처리는 법적 요구사항에 따라 대기업 수준에서 이루어져야 합니다. 대기업 경영진은 대기업 내 모든 기업들이 데이터 보호 요구사항을 알고 준수하도록 하여 데이터의 안전과 보호를 보장해야 합니다. 이를 통해 대기업 전반에 걸쳐 통일되고 법률적으로 안전한 개인정보 보호 수준을 달성할 수 있습니다.
책임자와 개인정보 보호 담당자
대기업 내에서 책임자는 개인정보 처리의 목적과 수단에 대해 결정하는 사람이나 기관입니다. 반면에 개인정보 보호 담당자는 대기업의 모든 기업에서 개인정보 보호 규정의 준수를 감독하는 역할을 합니다. 그는 대기업의 경영진과 개별 기업에게 개인정보 보호 관련 문제를 상담하고, 직원들을 교육하며, 관련자들의 개인정보 처리와 관련된 권리 문제에 대해 상담 역할을 맡고 있습니다. 책임자와 개인정보 보호 담당자 간의 긴밀한 협력은 대기업 내에서 개인정보 보호 규정이 준수되고 관련자의 권리가 효과적으로 보호되기 위해 필수적입니다.
대기업 내 개인정보 전달에 대한 BAG 판결 – Az. 8 AZR 209/21
개인정보 보호는 노동법에서도 중요한 역할을 합니다. 이는 직원의 개인정보를 제3자에게 공개하는 것뿐만 아니라 대기업 내에서의 경우에도 해당됩니다. 연방노동법원(BAG)은 2025년 5월 8일 판결을 통해 기업 그룹 내 정보 전달 시에도 개인정보 보호 규정(DSGVO)을 준수해야 한다고 명확히 했습니다(Az. 8 AZR 209/21).
기관은 개인정보 보호 규정(DSGVO) 적용 시 해당 법 규정 및 지역 개인정보 보호법의 준수를 보장하고, 인터넷에서 개인정보 수집과 보호 조치를 실행하는 중요한 역할을 수행해야 합니다. 특정 경우에는 이러한 조치와 방법이 관련 규정의 기사에 의해 규제되어 관련자, 예를 들어 시민, 사용자 및 대중의 권리를 지키고 투명성을 보장합니다.
채용에서부터 근로 관계의 종료까지 작업장에서는 많은 직원의 데이터가 수집되고 처리됩니다. 이에 고용주는 특히 개인정보 보호 규정(DSGVO)과 연방 개인정보 보호법(BDSG)에 규정된 사항들을 준수하여야 합니다. MTR Legal Rechtsanwälte는 개인정보 보호법에서도 자문을 제공하는 전문 법률 사무소입니다.
DSGVO는 대기업 내 데이터 전달 시에도 준수해야 함
개인정보 보호 규정(DSGVO)의 규정은 대기업 내부에서의 데이터 전송 시에도 준수되어야 합니다, 이는 2025년 5월 8일 연방노동법원(BAG)의 판결에서도 나타났습니다. BAG는 근로자가 DSGVO 위반에 대해 배상 청구권을 가질 수 있음을 명확히 했습니다.
문제가 된 사례에서는 고용주가 직원의 개인정보를 대기업 본사에 전달했습니다. 이는 인사 관리를 위한 새로운 클라우드 기반 소프트웨어를 테스트하기 위한 것이었습니다. 해당 소프트웨어는 대기업 전체에서의 새로운 인사관리 시스템 도입을 목표로 하고 있었습니다.
새로운 인사관리 시스템의 사전 테스트 운영은 이전에 노동 협약으로 규정되었습니다. 협약에 따르면 이름, 근로 관계 시작일, 회사, 근무지, 업무용 전화번호 및 이메일 주소가 전송될 수 있었습니다. 그러나 고용주는 급여, 생년월일, 가족 상태, 사회 보장 번호, 세금 ID와 개인 주소 등의 정보를 대기업에 더 전달했습니다.
개인정보 보호 규정과 관련 법의 적용은 기업뿐만 아니라 기관에도 적용되어 사용자, 관련자 그리고 시민의 권리를 보호해야 합니다. 인터넷에서의 데이터 수집과 보호 조치 및 지역 개인정보 보호법 준수는 모든 경우에서 필수적인 임무이며, 대중에 대한 투명성을 보장하기 위한 중심 역할입니다.
충분한 법적 근거 없이 데이터가 전달됨
이에 대해 원고는 항소했습니다. 그는 자신의 데이터가 충분한 법적 근거 없이 처리되었으며, 테스트 단계에서 실제 데이터의 사용이 필요하지 않았고 따라서 DSGVO 제5조의 데이터 최소화와 목적 제한 원칙에 위배된다고 주장했습니다. 또한, 기존의 노동 협약으로는 이 처리가 보장되지 않았다고 했습니다. 그는 DSGVO 제82조 1항에 따라 DSGVO 침해로 인한 정신적 손해배상을 청구했습니다.
하급 법원이 그의 소송을 기각한 후 최종적으로 연방노동법원에 상정되었습니다. BAG는 유럽사법재판소에 이 사건을 전달했으며, 2024년 12월 19일 유럽사법재판소에 의해 노동 협약의 데이터 처리 규정은 DSGVO의 요구사항에 부합해야 한다고 명확히 하였습니다. BAG는 이 판결에 동의하며 원고가 배상 청구권을 가진다고 결정하였습니다.
개인정보 보호 규정과 지역 개인정보 보호법에 관련된 관련 조항의 적용은 기관의 임무와 국민 및 사용자 보호에 중요하며, 모든 경우에 투명성을 보장하기 위해 인터넷에서의 데이터 수집 및 개인정보 보호 조치를 구현해야 합니다.
정신적 손해배상 청구권
고용주는 노동 협약의 허용 범위를 초과하여 대기업 본사에 더 많은 정보를 전달했습니다. BAG는 이것이 필요하지 않았고 DSGVO의 위반이라고 명확히 했습니다. 개인정보가 대기업 본사에 전달됨으로써 원고는 자신의 데이터에 대한 통제력을 잃고 정신적 손해를 입었다고 BAG는 추가로 설명하였습니다.
이 판결은 대기업 내부에서의 데이터 전달도 항상 개인정보 보호법에 따라 점검되어야 함을 보여줍니다. DSGVO의 개인정보 보호 요구사항은 반드시 전적으로 준수되어야 합니다. 여기에는 데이터 최소화, 목적 제한 및 투명성의 원칙이 특히 포함됩니다.
적절한 조치의 시행과 개인정보 보호 규정의 일관된 적용이 관련자인 시민과 사용자의 보호 및 기관의임무 수행에 필수적입니다. 이는 인터넷에서의 데이터 수집, 지역 개인정보 보호법의 준수 및 대중에 대한 투명성을 포함합니다.
근로 관계에서 개인정보 처리의 요구사항
기본적으로 근로 관계에서 개인정보 처리는 적절한 법적 근거가 있을 때만 허용됩니다. 이는 예를 들어 작업 계약을 이행하기 위해 데이터 처리가 필요할 때 해당합니다. 게다가, 직원이 동의를 했을 때도 데이터 처리가 허용됩니다. 이 경우, 동의는 자발적이어야 하며, 구체적이고 철회 가능해야 합니다. 데이터 처리는 또한 고용주가 회사의 안전을 보장하기 위한 정당한 이익을 입증할 수 있고, 근로자의 이익이나 기본권이 이를 압도하지 않을 경우 허용될 수 있습니다.
BAG의 판결은 직원 데이터의 책임 있는 처리가 중요하며, 개인정보 보호 측면을 조기에 포괄적으로 기업 프로세스에 통합해야 한다는 필요성을 강조합니다.
MTR Legal Rechtsanwälte는 노동법과 개인정보 보호법에 대한 자문을 제공하고 있습니다.
저희에게 연락 하세요!
개인정보 보호 규정 및 관련 조항의 적용과 인터넷에서의 데이터 수집을 위한 적절한 조치의 이행 및 지역 개인정보 보호법 준수는 관련자, 시민 및 사용자 보호와 기관의 임무 및 대중에 대한 투명성을 보장하는데 있어 중심적인 역할을 합니다.
