GDPR 주요내용

GDPR의 배경

EU는 미국 중심의 4차 산업혁명 주도권 회복과 저성장 돌파구 모색을 위해 全 경제․산업의 디지털화를 통한 ‘디지털 단일시장 전략*’을 위해 추진 중에
있으며

* Digital Single Market Strategy for Europe : IT 기술을 통해 EU내 온․오프라인 시장 통합

이를 위해, 모든 회원국에 일괄 적용되는 ‘일반 개인정보보호법(GDPR)’을 마련하여 EU 기업의 규제 비용 경감 및 EU 내 전자상거래 활성화 촉진을 위해 제정하였습니다.

-  다만, EU 외에 있는 기업도 EU의 법규를 준수해야 하는 부담이 발생합니다.

GDPR 주요내용

EU GDPR은 28개 모든 유럽 회원국에 공통적으로 적용되는 법률이며, 정보주체의 권리와 기업의 책임성 강화, 개인정보의 EU역외이전 요건 명확화 등을
주요 내용으로 합니다.

주요 원칙

개인정보의 처리 원칙 : 적법성, 공정성, 투명성의 원칙, 목적 제한의 원칙, 개인정보처리의 최소화, 정확성의 원칙, 보관기간 제한의 원칙, 무결성 및
기밀성, 책임성을 기본 원칙으로 하며, 다음 6가지 경우에는 개인정보를 적법하게 처리(수집·이용·제공 등)할 수 있음

① 정보주체의 동의

② 정보주체와의 계약 이행이나 계약 체결을 위해 필요한 처리

③ 법적 의무 이행을 위해 필요한 처리

④ 정보주체 또는 다른 사람의 중대한 이익을 위해 필요한 처리

⑤ 공익을 위한 임무의 수행 또는 기업에게 부여된 공적 권한의 행사를 위해 필요한 처리

⑥ 기업 또는 제3자의 적법한 이익 추구 목적을 위해 필요한 처리

• ☞ 기업은 개인정보 처리 전에 반드시 적법한 처리 근거 확보 여부 확인 필요

 

동의(Consent)

-  정보주체가 진술 또는 적극적 행동을 통하여 자신의 개인정보 처리에 대한 긍정의 의사를 표현하는 것

-  GDPR은 동의 방법에 구체성(unambiguous, clear affirmative action) 추가

• ☞ 이전보다 동의 요건 강화

 

아동 개인정보(Children’s personal data)

-  ‘만16세 미만의 아동’에게 온라인 서비스 제공 시 ‘아동의 친권을 보유하는 자’의 동의를 얻어야 함

    ※ 오프라인 서비스에 적용 여부 규정 없음

-  회원국 법률로 만 13세 미만까지 낮추어 규정 가능

• ☞ 이전 보다 아동정보에 대해 더 강한 보호를 요함

 

민감 정보(Special categories of personal data)

- 정보주체의 명시적 동의가 있는 경우 또는 회원국 법률에 따른 경우 등을 제외하고는 민감정보의 처리는 원칙금지

- 민감정보의 범위 : 인종·민족, 정치적 견해, 종교·철학적 신념, 노동조합의 가입여부를 나타내는 개인정보의 처리와 유전자 정보, 자연인을 고유하게 식별
                                    할 수 있는 생체정보, 건강정보, 성생활·성적 취향에 관한 정보의 처리는 금지

- 민감 정보 처리가 가능한 경우

   ① 정보주체의 명시적 동의(explicit consent)의 경우 등

   ② 고용, 사회안보나 사회보장법 또는 단체협약에 따른 의무의 이행을 위해 필요한 경우

   ③ 정보주체가 일반에게 공개한 것이 명백한 경우 등

     ※ 자세한 내용은 「우리기업을 위한 유럽 일반 개인정보 보호법」안내서 참조

정보주체의 권리

삭제요구권, 처리제한권, 정보이동권, 프로파일링 거부권 등 정보주체의 권리 보장 확대

< 참고 : GDPR에서 신설•강화된 정보주체의 권리 >

권리주요내용처리제한권(신설)정보이동권(신설)삭제권(강화)프로파일링 거부권(강화)

정보주체는 본인에 관한 개인정보의 처리를 차단하거나 제한을 요구할 권리를 가짐

정보주체는 본인의 개인정보를 본인 또는 다른 사업자에게 전송토록 요구할 권리를 가짐

정보주체는 본인에 관한 개인정보 삭제를 요구할 권리를 가짐

정보주체는 본인에게 중대한 영향을 미치는 사안을 프로파일링 등 자동화된 처리에 의해서만 결정하는 것에 반대할 권리를 가짐

 

기업 책임성 강화를 위한 조치사항

DPO(개인정보보호책임자) 지정, 개인정보 처리활동의 기록, 대리인 지정, 개인정보 영향평가 등 기업의 책임성 강화

DPO 지정

관련 분야 전문지식과 임무수행 능력을 가진 독립성을 지닌 DPO*(개인정보보호책임자)지정 * Data protection officer

개인정보 처리 활동의 기록대리인 지정개인정보 영향평가Data Protection bydesign and bydefault개인정보 침해사고 신고·통지

-  피고용인이 250명 이상인 경우는 GDPR 준수를 입증하기 위하여 개인정보 처리활동의 기록     (문서화)을 유지하여야 함 -  피고용인 250명 이하이더라도, ①정보주체 권리와 자유에 위험을 초래하는 경우, ②민감정보     처리, ③ 유죄판결 및 형사범죄에 관련된 개인정보 처리 시 처리활동 기록 필요     ※ 문서화의 내용 : 사업자명 및 연락처, 처리의 목적, 제3국으로 개인정보가 이전되는 경우         국외이전 방식에 대한 체계와 보호 조치, 보유기간, 기술적〮 관리적 보호조치(security          measure) 등

-  EU 역외에서 개인정보를 대규모로 처리하거나 민감정보 처리시 EU 역내에 대리인을 지정

-  기업은 개인정보 영향평가를 통해 개인정보 처리 관련 문제점을 조기에 발견 및 해결하여 추후     발생할 수 있는 비용 소모와 평판침해의 리스크 최소화

-  사업의 시작단계에서부터 개인정보보호를 위한 기술적·조직적 조치 및 정기적 검사와 평가

-  기업은 GDPR에 따라 감독기구 신고 및 정보주체 통지해야 하는 개인정보 침해 유형을 파악하고,     신고·통지(72시간내) 시기 및 방법, 내용 등 신고통지에 관한 내부 절차를 사전에 마련해야 함

개인정보의 EU역외 이전

EU가 인정한 적정수준의 보호조치 하에 자유로운 EU역외 이전 가능

- 개별 기업이 EU 주민 개인정보를 한국으로 가져오는 방법

구분주요내용표준 계약의무적 기업규칙행동강령인증기타

EU 집행위가 승인한 표준 조항이 반영된 계약을 통해 개인정보를 이전하는 경우

관할 감독기관이 승인한 구속력이 있는 의무적 기업규칙에 따라 이전하는 경우

EU 집행위가 공인한 행동강령에 따른 이전

EU 정보보호 인증을 받은 자에게 이전

정보주체의 명시적 동의, 중요한 공익상 이유 등

※ 개인정보 보호 수준이 EU와 동등하다고 인정될 경우 별도 조치없이 이전 가능(현재 한국과 EU가 일괄 협상 중)

 

-  감독기구의 특정한 승인(specific authorization)이 필요한 경우

• ·  기업간 또는 기업과 국가간의 계약 조항
• ·  공공기관 또는 기구 간에 법적 구속력 있고 강제할 수 있는 장치

법위반시 과징금

GDPR에 규정된 과징금 액수는 최대 한도의 과징금을 말하며, 구체적 위반 사항별 과징금 액수는 위반의 성격, 중대성, 의도성, 태만 여부, 피해경감 노력 등 11가지 기준에 따라 실제 부과될 과징금 금액이 산정

일반적 위반사항중요한 위반 사항

대리인 미지정 위반, 유출 통지 위반, 개인정보 처리활동 기록 위반 등

전 세계 매출액 2% 또는 1천만 유로(약 125억원) 중 높은 금액

국외 이전 규정 위반, 개인정보 처리 기본 원칙 위반, 정보주체의 권리 보장 의무 위반 등

전 세계 매출액 4% 또는 2천만 유로(약 250억원) 중 높은 금액

 

위 과징금은 최대 한도의 부과 금액을 말하여 실제 부과 금액은 위반 내용, 피해경감 노력 등을 종합 검토하여 결정됨

구체적 과징금 부과 요건 및 집행절차 등은 각 국의 법률 제•개정 동향 및 판례 등을 지속 모니터할 필요가 있음

 

Source for https://www.kisa.or.kr/business/gdpr/gdpr_tab2.jsp

GDPR 안내 < 개인정보보호 < 주요사업 : 한국인터넷진흥원