EU-GDPR 주요 내용

CPPG 동영상 강의에서 설명한 부분만 정리하였습니다.

 

1. GDP: 2018년 5월 25일부터 시행

 

2. GDPR을 적용받는 기업은 아래 어느 하나에 해당하는 기업으로써  EU 주민의 개인정보를 처리하는 경우에는 한국 기업도 적용 대상임

• EU에 사업장을 운영하는 기업 (지점, 판매소, 영업소 등)
• EU 지역에 사업장은 없지만, 인터넷 홈페이지를 통해 EU에 거주하는 주민에게 물품ㆍ서비스를 제공하는 기업
  (예) 현지어로 마케팅 활동을 하거나 현지 통화로 결제하는 경우
• EU에 거주하는 주민의 행동을 모니터하는 기업
• 특히 아래에 해당하는 기업은 특별히 주의해야 함
  ① EU 주민의 민감한 정보(건강, 유전자, 범죄경력 등)를 처리하거나, 아동의 정보를 처리하는 기업
  ② 공개적으로 접그 가능한 장소에 대한 대규모의 체계적인 모니터링을 하는 기업 (예: CCTV)

3. 개인정보의 처리 원칙: 적법성, 공정성, 투명성의 원칙, 목적 제한의 원칙, 개인정보처리의 최소화, 정확성의 원칙, 보관기간 제한의 원칙, 무결성 및 기밀성, 책임성을 기본 원칙으로하며, 다음 6가지 경우에는 개인정보를 적법하게 처리(수집ㆍ이용ㆍ제공 등) 할 수 있음

  ① 정보주체의 동의

  ② 정보주체와의 계약 이행이나 계약 체결을 위해 필요한 처리

  ③ 법적 의무 이행을 위해 필요한 처리

  ④ 정보주체 또는 다른 사람의 중대한 이익을 위해 필요한 처리

  ⑤ 공익을 위한 임무의 수행 또는 기업에게 부여된 공적 권한의 행사를 위해 필요한 처리

  ⑥ 기업 또는 제3자의 적법한 이익 추구 목적을 위해 필요한 처리

  ☞ 기업은 개인정보 처리 전에 반드시 적법한 처리 근거 확보 여부 확인 필요

 

4. 정보주체의 권리

  - 삭제요구권, ㅈ처리제한권, 정보이동권, 프로파일링 거부권 등 정보주체의 권리 보장 확대

권리	주요내용
처리 제한권	정보주체는 본인에 관한 개인정보의 처리를 차단하거나 제한을 요구할 권리를 가짐
정보 이동권	정보주체는 본인의 개인정보를 본인 또는 다른 사업자에게 전송토록 요구할 권리를 가짐
삭제권	정보주체는 본인에 관한 개인정보 삭제를 요구할 권리를 가짐
프로파일링 거부권	정보주체는 본인에게 중대한 영향을 미치는 사안을 프로파일링 등 자동화된 처리에 의해서만 결정하는 것에 반대할 권리를 가짐

 

5. 기업 책임성 강화를 위한 조치사항

  - DPO(개인정보보호책임자) 지정, 개인정보 처리활동의 기록, 대리인 지정, 개인정보 영향 평가 등 기업의 책임성 강화

  * DPO (Data Protection Officer)

DPO 필수 지정	- 공공기관 개인정보 처리 - 정보주체에 대한 정기적이고 체계적인 모니터링 - 건강, 범죄경력 등 민감정보에 대한 대규모의 처리
DPO 업무	- GDPR 등 준수의무 알리고 자문 - 내부 정보보호 활동 관리, GDPR 모니터링 - 정보제공, 조언, 권고사항 제시 - 영향평가에 대한 자문 및 평가 이행 감시
DPO 자질	- GDPR 등 개인정보 관련 법률에 대한 전문지식 - 개인정보처리 작업 이해 - 정보기술 및 보안 이해 - 기업 및 조직에 대한 지식 - 조직 내 개인정보보호 문화 활성화 능력
DPO 지위/책임	- 개인정보보호 관련 문제에 적절/적시에 관여 보장 - 시간, 재정적 자원, 인프라, 훈련 등 지원

 

6. 용어

  - 위탁자 : 컨트롤러

  - 수탁자 : 프로세서

 

7. 최근동향: 한-EU간 개인정보보호 적정성 결정(Adequacy Decision) 최종 통과 / 2021년 12월

  ※ 적정성 결정: 특정 국가의 개인정보법제가 EU와 동등한 수준인지 평가하여 EU 시민의 개인정보를 해당 국가로 자유롭고 안전하게 이전할 수 있도록 승인한 제도

  - 국내 기업들은 EU시민 개인정보를 추가적인 인증이나 절차 없이 국내로 이전 가능

  - 한국 기업들의 경우 표준계약 등 기존의 까다로운 절차가 면제

  - 사업자의 전반적인 GDPR 준수 의무가 없어지는 것은 아님