GDPR(General Data Protection Regulation)은 2016년 5월 제정되어 2년간의 유예 기간을 가진 후 2018년 8월 25일부터 시행되었습니다. GDPR은 기존에 존재하던 EU 개인정보보호 지침인 「1995년 개인정보보호 지침(Data Protection Directive 95/46/EC)」을 대체하며, 기존 Directive보다 강력한 제재를 적용했습니다.
오늘은 Regulation, Directive를 포함해 EU의 법령체계에 대해 배워보겠습니다.
대한민국의 법령체계는 크게 헌법, 법률, 명령, 행정규칙 이렇게 4단계로 나눠집니다.
[대한민국 법령체계]
<출처: 한국법제연구원>
대한민국의 법령체계에 대해 복기가 필요한 분은 지난 포스팅 ‘개인정보보호 담당자를 위한 법 읽는 방법’을 참고해주세요.
https://berrycompliance.blogspot.com/2020/10/blog-post.html
유럽연합(EU: European Union)에 가입된 유럽 국가는 EU법과 자국의 법률을 모두 준수해야 합니다. 프랑스 GDPR은 EU 회원국에 일괄적으로 적용되는 개인정보 보호법으로 정보주체의 권리와 기업의 책임성 강화 등을 주요 내용으로 합니다.
EU법은 국가의 법률과 달리 유럽위원회(European Comission), 유럽각료위원회(Council of the European Union)이 원안을 작성하고 유럽각료이사회 및 유럽의회(European Parliament)가 제정합니다. EU법원(Court of Justice of the European Communities)에서 적용할 수 있는 EU법으로 법적 효력을 가지는 것은 EU법과, 공동체설립조약, 공동체입법, EU법원의 판례, 가맹국에 공통하는 법의 일반원칙입니다.
[EU의 법규범]
EU의 법규범은 법(regulations), 지침(directives), 결정(decisions), 권고(recommendations), 의견(opinions) 이렇게 다섯가지로 구별됩니다.
[유럽연합 내 규범 간 위계 구조]
국내법은 규범피라미드처럼 유럽연합의 규범도 규범적 효력에 따라 층위가 구분됩니다. 상위법 우선의 원칙에 따라 상위법의 효력이 우선합니다.
[유럽연합법과 국내법(유럽 개별 국가의 법) 간의 관계]
연방국가의 경우 유럽연합법과 회원국법 간의 관계 설정이 존재합니다. 유럽연합법은 회원국법보다 우위에 있어 적용상의 우위를 갖습니다. 유럽연합법의 내용에 배치되는 회원국법은 무효는 아니지만 적용되지 않습니다. 단 유럽연합법의 내용에 없는 회원국법은 적용 가능합니다.
유럽연합 및 회원국 내의 규범적 계층구조(독일)
유럽연합과 유럽연합 회원국 중 대표적인 연방제 국가인 독일의 사례를 시각화하여 표현하며 다음과 같습니다.
GDPR(General Data Protection Regulation)은 Regulation으로 법 형식으로 제정되어 법적 구속력을 가지며, 모든 EU 회원국 내에 직접적으로 적용됩니다.
하지만 GDPR 일부 조항에 대해서는 회원국의 별도 입법이 요구되므로, 기업들은 GDPR 이
외에 각 회원국의 개인정보보호 관련 입법 동향에 대하여 지속적으로 모니터링해야 합니다.
-----
[1] General Data Protection Regulation (EUR_Lex)
[2] 유럽연합(EU)법의 체계와 검색방법 (세계법제정보센터)
http://world.moleg.go.kr/web/wli/rsrchReprtReadPage.do?CTS_SEQ=995&AST_SEQ=94&ETC=#
[3] EU의 입법절차와 현황 - 한국법제연구원
http://www.klri.re.kr/cmm/fms/FileDown.do?atchFileId=FILE_000000000006673slrpa&fileSn=0
[4] 우리 기업을 위한 ‘EU 일반 개인정보 보호법(GDPR)’ 가이드북 (한국인터넷진흥원)
https://www.kisa.or.kr/uploadfile/201805/201805241934148238.pdf