룩셈부르크에 본부를 두고 있는 유럽연합 사법재판소(Court of Justice of the European Union, CJEU)에 따르면 법무부장관(AG)은 최근 제15조 GDPR에 따른 개인의 데이터 접근권 해석에 관한 의견서(the Opinion)를 전달했다.

특히 의견서는 제15조 제1항 C항 GDPR에 따라 '개인 데이터가 공개됐거나 공개될 수 있는 수신자 또는 수신자의 범주'에 관한 정보에 개인의 접근 권한을 다루고 있다. 제 15조 GDPR은 데이터 주체 접근 요청 또는 DSAR/SAR이라고도 한다.

제출한 배경에는 오스트리아 비엔나에 살고 있는 한 개인이 제15조 GDPR에 따라 오스트리아 포스트(Austrian Post, Österreichische Post AG)에 접근 요청을 제출했다.

요청에 따라 데이터 주체는 오스트리아 포스트에 개인 정보가 공개된 모든 수신자의 목록을 제공하도록 요구했다. 이에 따라 오스트리아 포스트는 관련 수취인 카테고리에 대한 개요를 제공했다.

데이터 주체는 오스트리아 법정에서 오스트리아 포스트의 답변에 개인 데이터의 특정 수신자 목록을 제공받았어야 했다고 이의를 제기했다.

첫 번째 소송에서 오스트리아 법원은 GDPR의 관점에서 오스트리아 포스트의 접근법이 합법적이라고 판단했다. 하지만 항소 법원은 해석의 문제가 있다며 유럽연합 사법재판소(CJEU)에 회부했다.

본질적으로 CJEU에 언급되는 질문은 데이터 주체의 접근권이 이미 개인 정보가 공개된 특정 수신자에 대한 정보를 반드시 받아야 하는지 여부를 판단하기 위한 것이다. 또한 조직이(특정 수령인이 아닌) 수령인의 범주에 대한 정보를 제공하는 제15조 제1항 C항의 선택권을 향후 계획된 공걔(특정 수령인이 아직 알려지지 않은 경우)에만 사용할 수 있는지 여부를 판단하기 위함이다.


법무부장관은 의견서에 여러 가지 근거를 들어 제15조 제1항 C항 GDPR이 공식화됐기 때문에 참조된 질문에 대한 명확한 답변을 제공하기에 충분하지 않다고 명시했다.

이처럼 논란이 되고 있는 일반 데이터 보호 규정(General Data Protection Regulation, GDPR)은 유럽 연합(EU)과 유럽 경제 지역(EEA)의 데이터 보호 및 개인 정보 보호에 관한 EU의 법률 규정이다.

기밀성, 무결성, 가용성 손실을 줄이기 위한 일련의 요구사항을 제공하고 있는 국제표준화기구(ISO)의 ISO/IEC 27001 정보보안관리시스템(ISMS)과는 차이가 있다.

GDPR은 유럽 연합의 프라이버시법과 인권법을 중요 구성 요소로 유럽연합 기본권 헌장 제8조 1항을 다루고 있으며 유럽 연합과 EEA 지역 밖의 개인 데이터 전송에 대해 다루고 있다.

GDPR은 개인 데이터에 대한 개인의 통제와 권한을 강화하고 국제 비즈니스를 위한 규제 환경을 단순화하는 것을 목표로 하고 있다.

참고로 유럽연합 사법재판소(CJEU)는 1952년 처음 설치됐으며 2020년 7월 현재 룩셈부르크에 본부를 두고 있다. 1988년 일반법원, 2004년 행정법원을 각각 설치했다.