개인정보 보호위원회

유럽사법재판소, 법인 대표자의 개인정보 처리에 관한 GDPR 해석 제시

유럽사법재판소(CJEU)는 법인 대표자의 성명·서명 등 식별 간주하며, 공공기관이 문서를 공개할 경우 당사자에 대한 사 정전보 통를지 목 및적 과의 견무 관청하취게 절 개차인를정 보요로구 할 수 있음을 명확히 하여, 개인정보 보호와 공공 접근권 간 조화 원칙 재확인

-유럽사법재판소(Court of Justice of the European Union, CJEU)는 2025년 4월 3일, 법인 대표자의 개인정보 처리 여부에 대한 사전판결(Case C-710/23)을 통해 GDPR 적용 범위와 요건에 대한 해석을 제시함.

-사건의 배경은 체코 보건부가 코로나19 진단키트 계약서 및 관련 증명서에 서명한 법인 대표자들의 성명, 서명, 직책 등 정보를 비공개 처리한 데서 비롯되었으며, 이에 대한 법적 쟁점이 체코 최고행정법원을 거쳐 CJEU로 회부됨.

-CJEU는 GDPR 제4조 제1과 제2항을 근거로, 법인을 대표하는 자연인의 이름, 서명, 연락처 등이 ‘개인정보’에 해당하며, 이를 공개하거나 제3자에게 제공하는 행위는 ‘개인정보 처리’에 해당한다고 판단함.

-해당 정보 제공이 법인의 대표자 식별이라는 제한적 목적에 한정되더라도 이는 여전히 GDPR의 적용 대상이며 보호 범위에 포함된다는 점을 분명히 함.

-나아가, GDPR 제6조 제1항 (c)항과 (e)항 및 제86조의 해석에 따라, 공공기관이 공익 목적으로 공문서를 공개하는 경우에도 해당 자연인에게 사전 통지하고 의견을 청취하는 절차를 마련하는 것이 정당하다고 판단함.

-다만, CJEU는 이러한 사전 절차가 실현 불가능하거나 과도한 부담이 수반되는 경우, 예외적으로 해당 절차를 생략할 수 있다고 밝혀, 절차적 유연성을 부여함.

-본 판결은 공공기록에 대한 접근권과 개인정보 보호권 사이의 균형 원칙을 재확인한 것으로, GDPR 해석에 있어 목적 제한성과 비례성 원칙의 중요성을 강조한 대표적 판례로 평가됨.

-특히 기업·기관이 직무 수행 과정에서 생성되는 대표자의 식별 정보도 GDPR상 보호 대상이 될 수 있음을 명확히 하여, 공공기관의 정보 공개 실무와 내부 절차에 직접적인 영향을 미칠 것으로 전망됨.

출처: EU: CJEU clarifies lawfulness of processing personal data of legal entity representative (Dataguidance, 2025.04.03.)

Judgment of the Court (First Chamber) (CJEU, 2025.04.03.)