포스팅 내용

국내외 보안동향

5월 25일, GDPR 정식 발효

GDPR(General Data Protection Regulation)이란?


유럽연합(EU)의 개인정보 규정으로, 모든 EU회원국에 직접 적용되며 별도의 입법이 불필요 합니다(단 일부 세부내용의 경우는 별도의 입법 필요). GDPR은 총 11장 173개의 전문, 99개의 본문으로 구성되어 있습니다. 


이 법안은 2012년 1월 초안을 만든 후, 4년 간의 토론과 협상을 통해 EU는 2016년 4월 공식적으로 통과시켰습니다. 그리고 2018년 5월 25일 정식으로 발효되었습니다. 



GDPR 주요내용


GDPR의 주요 내용은 다음과 같습니다. 


1) 넓은 영토적 범위 적용

EU내에 설립된 기관의 개인정보 처리활동 외에 EU밖에서 EU에 있는 정보주체에게 재화나 용역을 제공하거나, EU내에 있는 정보주체가 수행하는 활동을 감시하는 기관에 적용됩니다. 


2) 강력한 제제

'사업체 그룹' 매출 기반으로 과징금을 부과합니다. 

GDPR 규정의 심각한 위반의 경우 직전 회계연도의 전 세계 매출액 4% 또는 2천만 유로 가운데 더 큰 금액을 부과하며, GDPR규정의 일반적 위반인 경우 직전 회계연도의 전 세계 매출액 2% 또는 1천만 유로 가운데 더 큰 금액으로 부과합니다. 


3) 확대된 개인정보의 정의

GDPR은 기존 Directive에 명시적으로 기재하지 않았었던 온라인 식별자, 위치정보, 유전정보 등을 개인정보로 포함 시켰습니다. 이 때 말하는 개인정보는 문자에 한정하지 않고 특정 개인을 나타내는 음성, 숫자, 그림, 사진 등의 형태도 포함됩니다. 또한 개인정보의 가명처리 개념을 도입하였습니다.


4) 프로세서에게도 다수의 규정이 직접 적용

프로세서는 적절한 문서화 의무, 적절한 보안기준 적용, 정기적인 개인정보 영향평가 수행, 개인정보 국외전송 기준 준수, 국가 감독기구 협조 의무 등의 의무를 부담합니다. 또한 프로세서는 제재의 직접적 적용대상이 되며, GDPR 요구사항을 충족하지 못할 경우 정보주정보부터 배상을 요구받을 수 있습니다.


5) 직접 처리 기준 상향

개인정보(처리)의 적법성, 공정성, 투명성 원칙에 따라 개인정보의 처리는 법률에서 허용한 어느 하나 이상의 요건에 해당해야 적접 처리로 인정됩니다.


6) 개인정보 처리 원칙의 확립

개인정보를 처리하는 경우 (처리) 적법성, 공정성, 투명성 원칙, (수집)목적 제한의 원칙, 개인정보 최소화 원칙, 정확성 원칙, 저장제한 원칙, 무결성 및 기밀성 원칙 등 6가지 원칙을 모두 준수하여야 합니다. 컨트롤러는 이와 같은 원칙을 준수함을 증명해야하는 의무를 부담합니다.


7) 개인정보 국외이전(역외이전) 메커니즘 확립

국외이전=적정성 평가 또는 적절한 보호조치 + 정보주체 권리 행사 가능 + 효과적인 법적 구제수단 존재의 경우 가능합니다. 적절한 보호조치에는 구속력 있는 기업 규칙, 표준 계약서 등이 있으며 기타 승인된 행동강령, 인증제도도 새롭게 추가되었습니다.


8) 개인정보 침해통지 제도의 도입

컨트롤러는 개인정보 유출 및 침해사실을 알게 된 때로부터 가능한 경우 72시간 내에 감독 당국에 신고해야 하며, 정보주체의 자유와 권리에 고위험이 예상될 때에는 부당한 지체없이 침해사실을 정보주체에게 통지해야 합니다.(피해 규모에 대한 규제 존재 안함)


9) 정보주체의 권리 확대

컨트롤러의 투명성 의무 부담에 더하여 정보주체는 열람권, 정정권, 삭제권, 처리제한권, 개인정보 이동권, 반대권, 프로파일링을 포함한 자동화된 처리의 결과를 적용받지 않을 권리 등의 권리를 갖습니다.


10) DPO의 의무 지정

공공기관이거나 컨트롤러나 프로세서의 핵심 활동이 1) 정보주체에 대한 정기적이고 체계적인 모니터링에 해당하거나, 2) 민감정보나 범죄경력 및 범죄행위에 대한 대규모 처리인 경우 DPO를 의무적으로 지정해야 합니다. 


11) 책임성과 거버넌스 강화

처리활동의 세부 기록 유지, 고 위험 처리에 대한 개인정보 영향평가 수행, DPO지정, 개인정보 유출 통지 및 종합적 기록 유지, Data Protection by Design and dedefau 이행 등 개인정보 처리에 대한 책임성 및 거버넌스 강화하였습니다.


12) One Stop Shop의 도입

컨트롤러나 프로세서는 주 사업장 또는 단일 사업장에 대한 선임감독기구에 의해 규율됩니다. 그러나 선임 감독기구는 다른 연관된 기관과 협력해야 하며, 다른 기관이 특정 사안에 관여할 수도 있습니다.


용어 정의


컨트롤러(Controller)

컨트롤러는 개인정보 처리의 목적과 수단을 결정하는 주체를 의미하며, 이와 같은 결정은 컨트롤러 단독으로 하거나 또는 제3자와 공동으로 할 수 있습니다. 자연인을 비롯하여 법인, 정부부처 및 관련기관, 기타 단체 등이 컨트롤러가 될 수 있습니다. 이 때 개인정보 처리의 목적과 수단이 EU 또는 회원국(Member state)의 법률에 의해 결정되는 경우, 컨트롤러 또는 컨트롤러 지정을 위한 기준은 EU 또는 회원국의 법률에 의해 정의될 수 있습니다.



프로세서(Processor)

프로세서는 컨트롤러를 대신하여 개인정보를 처리하는 자연인, 법인, 정부부처 및 관련기관, 기타 단체 등을 의미합니다. 프로세서는 컨트롤러의 지시에 따라 개인정보를 처리하며, 이 때 컨트롤러는 반드시 구속력 있는 서면 계약에 의해 프로세서를 지정하여야 합니다.


DPO(Data Protecition Officer)

조직이 개인정보보호 관련 법률을 준수하고 개인정보보호 의무를 다하도록 조언 및 도움을 주는 역할을 합니다. DPO는 

내부 직원 또는 외부 인사로 지정할 수 있습니다.



GDPR에 대한 더 자세한 내용은 여기를 참고해 주시기 바랍니다. 





티스토리 방명록 작성
name password homepage