(1) 개인정보처리의 보호는 개인의 기본적인 권리이다. 유럽연합 기본권 헌장(이하 ‘헌장’) 제8조(1)과 유럽연합 기능조약(이하 TFEU)의 제16(1)에서는 모든 사람은 본인의 개인정보를 보호할 권리가 있다고 규정하고 있다.
(2) 개인의 개인정보 처리 보호, 특히 개인정보 보호는 개개인의 국적 또는 거주지에 상관없이 개인의 기본적 권리와 자유로써 존중되어야 함을 기본원칙으로 한다. 이 법은 자유, 안보 및 정의와 경제연합 분야의 성과, 경제 및 사회적 발전, 역내시장 경제의 강화 및 통합, 그리고 개인의 복지 증진을 목적으로 한다.
(3) 유럽의회 및 유럽 각료이사회의 지침 95/46/EC는 개인정보 처리 활동과 관련하여 개인의 기본적 권리 및 자유가 통일적으로 보호될 수 있도록 하며, 회원국 간에는 개인정보가 자유롭게 이동될 수 있도록 한다 [4].
[4] Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data (OJ L 281, 23.11.1995, p. 31). https://eur-lex.europa.eu/legal-content/EN/AUTO/?uri=OJ:L:1995:281:TOC
(4) 개인정보 처리는 인류에 기여할 수 있도록 설계되어야 한다. 개인정보 보호권은 절대적 권리가 아니며, 사회에서의 개인정보 보호 기능과 관련하여 고려되어야 하며 비례의 원칙에 입각하여 다른 기본권과 균형을 이루어야 한다. 본 규정은 모든 기본권을 존중하고, 여러 협약에서 구현되고 있는 헌장(Charter)의 자유와 원칙을 준수한다. 이러한 협약에는 특히 사생활 및 가족생활, 가정과 통신을 존중할 권리, 개인정보 보호, 사상과 양심 및 종교의 자유, 표현 및 정보의 자유, 기업 활동의 자유, 효과적인 구제 권리 및 공정한 재판을 받을 권리, 그리고 문화적·종교적·언어적 다양성 등이 포함된다.
(5) EU 내부시장 (기능) 활성화로 인한 경제적 및 사회적 통합은 회원국 간 개인정보 교류를 실질적으로 증가시켰다. 유럽연합 전역에서 개인, 단체 및 사업체 등 공공 및 민간 주체 사이의 개인정보 교류가 증가하고 있다. 회원국의 기관들은 유럽연합 법률에 따라 기관의 관련 임무를 이행하기 위한 목적이나, 또 다른 회원국의 기관을 위하여 임무를 수행하기 위한 목적으로 협력하고 개인정보를 교류해야 할 것을 요청받고 있다.
(6) 급격한 기술발전과 세계화에 따라 개인정보 보호 분야에 새로운 도전이 제기되었다. 개인정보의 수집 및 공유 규모가 상당한 수준으로 확대되었다. 기술을 통해 민간기업과 공공기관이 업무수행을 위해 전례 없는 규모로 개인정보를 활용하게 되었다. 개인들은 점점 더 많이 개인정보를 공개적으로, 그리고 세계적으로 활용될 수 있도록 하고 있다. 기술은 경제 및 사회생활을 변화시켜왔다. 앞으로는 기술을 통해 개인정보를 높은 수준으로 보호하는 한편, 유럽연합 역내에서, 그리고 제3국 및 국제기구로 개인정보가 자유로이 이동할 수 있도록 지원해야 한다.
(7) 역내 시장에서 디지털 경제를 발전시키기 위해서 신뢰 구축이 중요하다는 점을 고려하면, 강력한 집행력을 기반으로 하는 유럽연합에 더 강력하고 일관성 있는 개인정보 보호 프레임워크(framework)가 필요하다. 개인은 본인의 개인정보에 대한 통제권을 보유해야 한다. 개인, 경제주체 및 공공기관을 위한 법적, 실질적 확실성이 강화되어야 한다.
(8) 본 규정의 세부규정 및 제한사항을 각 회원국의 법률로써 규정하는 경우에는, 회원국은 일관성을 유지하고 회원국 법률의 수범자가 국가법률 규정을 이해하는 데 필요할 경우 자국법에 본 규정의 기본원칙(elements)을 편입할 수 있다.
(9) 지침 95/46/EC에 명시된 목적과 원칙이 여전히 타당한 한편, 해당 지침은 유럽 전역에서의 개인정보 보호와 관련한 일관성 결여, 법적 불확실성, 또는 특히 온라인 활동과 관련하여 개인을 보호하는 데는 중대한 위험이 있다는 광범위한 대중적 인식을 막지는 못하였다. 국가마다 개인정보 보호권 등 개인의 권리와 자유의 보호 수준이 상이함으로 인하여 유럽 전역의 자유로운 개인정보의 이동을 방해할 수 있다. 이러한 차이는 유럽연합 차원의 경제 활동을 추구하는 데 장애물이 되거나, 경쟁을 왜곡하고 기관들이 유럽연합 법률에 따른 임무를 수행하는 것을 방해할 수 있다. 각 국의 보호 수준이 상이한 이유는 지침 95/46/EC의 집행 및 적용에 차이가 있었기 때문이다.
(10) 개인을 일관되게, 높은 수준으로 보호하고 역내 개인정보의 이동을 막는 장애물을 제거하기 위해서, 각 국은 개인정보 처리와 관련한 개인의 권리와 자유를 동일한 수준으로 보호해야 한다. 개인정보 처리와 관련한 개인의 기본권과 자유를 보호하기 위한 규정은 유럽 전역에 일관적이고 동일하게 적용되어야 한다. 공익을 위하거나 컨트롤러에 부여된 공적 권한에 따른 업무 수행에 있어 회원국은 본 규정을 적용함에 있어 한층 더 구체화하는 국내법 조문을 그대로 유지하거나, 신규 제정할 수 있다. 회원국은 지침 95/46/EC를 이행하는 개인정보 보호에 대한 일반적이며 수평적인 법률과 함께 좀 더 특정한 규정이 필요한 분야에 대해서는 특별법을 둔다. 또한 본 규정은 회원국에게 특별 범주의 개인정보(‘민감정보’) 처리에 대해서 등 자체 규칙을 구체적으로 명시할 수 있는 운용의 여지를 제공한다. 이런 점에서, 본 규정은 개인정보 처리가 적법하다고 판단되는 조건에 대한 결정 등, 특정 처리 상황에 대한 정황을 규정하는 회원국의 법률을 배제하지 않는다.
(11) 유럽연합 전역에서 효율적으로 개인정보를 보호하기 위해 정보주체의 권리와 개인정보를 처리하고 그 처리를 결정하는 자의 의무를 강화하고 상세히 규정하는 것이 요구된다. 또한 회원국에서의 개인정보 보호 규칙의 준수를 모니터링하고 보장하기 위한 상응하는 권한 및 개인정보 침해에 대한 상응하는 제재도 요구된다.
(13) 유럽연합 내에서 개인의 보호수준을 일관적으로 보장하고 역내 시장에서 개인정보의 자유로운 이동을 저해하는 회원국 간 차이를 방지하기 위하여, 본 규정은 영세, 중소기업 등 경제인에게 법적 확실성 및 투명성을 제공하고, 회원국의 개인에게는 동일한 수준의 법적으로 집행 가능한 권리를 제공하며, 컨트롤러와 프로세서에게는 의무와 책임을 부여하여 여러 회원국의 감독기관 간 효율적인 협력을 비롯하여 모든 회원국에서 개인정보 처리에 대한 일관적인 모니터링 및 동등한 제재를 보장하여야 한다. 역내시장이 적절하게 작동하기 위해서는 개인정보 처리와 관련한 개인의 보호와 연관된 이유로 유럽연합 내 개인정보의 자유로운 이동이 제한되거나 금지되지 않아야 한다. 영세 및 중소기업의 특정 상황을 고려하여, 본 규정은 기록보존과 관련된 250명 미만의 기관에 대한 적용의 일부제외를 두고 있다. 또한 유럽연합 산하기관 및 기구, 그리고 회원국 및 그 감독기관은 본 규정을 적용할 때 영세 및 중소기업의 특정한 니즈(needs)를 고려하도록 장려된다. 영세 및 중소기업의 개념은 위원회 권고 2003/361/EC에 대한 부록 제2조에 따라야 한다 [5].
[5] Commission Recommendation of 6 May 2003 concerning the definition of micro, small and medium-sized enterprises (C(2003) 1422) (OJ L 124, 20.5.2003, p. 36). https://eur-lex.europa.eu/legal-content/EN/AUTO/?uri=OJ:L:2003:124:TOC