개인정보 생명주기 (Life Cycle, 개인정보보호법과 GDPR)

cppg 공부를 위해 만들었고, 개인정보보호법, GDPR 그대로가 아니라 어느정도 요약해서 작성하였습니다. 

개재미없다. cppg..

이게 맞나?  

개인정보 생명주기(LifeCycle).docx

0.02MB

우리_기업을_위한_EU_일반_개인정보보호법(GDPR)_가이드북(2022.12._개정).pdf

3.18MB

---

1. 수집 단계

개인정보보호법 상세

1. 관련 조문

• 제15조(개인정보의 수집·이용)
  • ①항 개인정보를 수집·이용할 수 있는 경우:
    1. 정보주체의 동의를 받은 경우
       • 세부 요건:
         • 동의는 명확하고 자발적이며 구체적이어야 함.
         • 정보주체가 충분히 이해할 수 있는 쉬운 언어로 고지.
    2. 법률에 특별한 규정이 있는 경우
       • 예: 세법상 거래 기록 보관(전자상거래 등에서 필수).
    3. 공공기관이 법령 의무 수행을 위해 필요한 경우
       • 예: 신분 확인.
    4. 계약 이행 및 정보주체 요청에 따른 서비스 제공에 필요한 경우
       • 예: 배송 주소 수집.
    5. 정보주체나 제3자의 생명·신체 보호를 위해 긴급히 필요한 경우
       • 예: 의료기관에서 응급 환자 정보를 수집.
  • ②항: 개인정보의 수집 목적이 변경되면 정보주체의 별도 동의를 받아야 함.
    • 수집 항목, 이용 목적, 보유 기간, 동의 거부 권리 및 불이익 시 불이익 내용.
  • ③항: 최소 수집 원칙:
    • 개인정보는 처리 목적 달성에 필요한 최소한의 정보로 제한해야 함.
• 제16조(민감정보의 처리 제한)
  • 민감정보(예: 건강정보, 종교, 정치적 견해)는 별도의 명시적 동의가 필요하며, 민감정보 처리 여부를 고지해야 함.
    • 사상•신념, 노동조합•정당의 가입•탈퇴, 정치적 견해, 건강, 성생활, 그 밖에 정보주체의 사생활을 현저히 침해할 우려가 있는 개인정보
      
  • 처리 요건: 공공의 이익이나 법령상 요구가 있는 경우에만 예외적으로 가능.

2. 실무 적용

• 동의서 설계: 동의 문구는 법적 요구사항에 맞게 상세히 작성(단, 복잡하지 않게).
• 필수 항목과 선택 항목 분리: 예를 들어, 필수 항목은 로그인용 이메일 주소, 선택 항목은 마케팅 정보.
• 데이터 수집 도구 점검: 쿠키, 로그 데이터 등 자동 수집 도구의 사용 여부를 명확히 고지.
• 동의 철회 방법 제공: 정보주체가 동의를 철회할 수 있는 절차를 안내.

---

GDPR 상세

1. 관련 조문

• 제6조(처리의 적법성)
  • 개인정보 수집은 아래 조건 중 하나 이상에 해당해야 적법:
    1. 정보주체의 동의가 있는 경우.
    2. 계약 이행을 위해 필요한 경우(배송, 서비스 제공).
    3. 법적 의무를 준수하기 위해 필요한 경우(세금 보고).
    4. 정보주체의 중요 이익을 보호하기 위해 필요한 경우.
    5. 공공의 이익을 위해 필요한 경우.
    6. 처리자의 **정당한 이익(Legitimate Interest)**이 정보주체의 권리보다 우선하는 경우.
       • 예: 데이터 분석(익명화 처리).
• 제7조(동의 - Consent)
  • 동의는 명확하고, 특정하며, 자유롭게 이루어져야 함.
  • 동의는 옵트인(opt-in) 방식이어야 함.
  • 동의 철회 권리: 정보주체는 언제든지 동의를 철회할 수 있음.
• 제9조(민감정보 처리)
  • 민감정보(종교, 건강, 생체정보 등)는 원칙적으로 처리 금지.
  • 예외:
    • 정보주체의 명시적 동의.
    • 법적 또는 공공 이익 목적.

2. 실무 적용

• 적법 근거 명확화: 어떤 이유로 데이터를 수집하는지 문서화.
• 익명화·가명화 적용: 수집 데이터가 식별되지 않도록 관리.
• Privacy by Design: 데이터 수집 시스템 설계 시 보안과 보호 기능을 기본적으로 포함.

---

2. 이용 및 제공 단계

개인정보보호법 상세

1. 관련 조문

• 제17조(개인정보의 제공):
  • 제3자 제공 시:
    • 정보주체 동의 필수.
    • 동의 항목:
      • 제공받는 자, 제공 목적, 제공 항목, 제공 기간,  동의 거부 권리 및 불이익 시 불이익 내용 .
    • 제공 후에도 정보 주체의 권리 보장 필요.
• 제18조(목적 외 이용·제공 제한):
  • 개인정보는 수집 목적 외로 이용·제공할 수 없음.
  • 예외 사항:
    • 정보주체 동의.
    • 법적 근거.
    • 통계나 학술 연구(익명화된 경우).

2. 실무 적용

• 제공 기록 관리: 제3자 제공 내역을 기록으로 관리.
• 동의서 분리: 데이터 이용과 제공에 대해 별도의 동의 항목을 제공.
• 보안 조치 강화: 외부 제공 시 암호화 및 안전한 전송 방식을 사용.

---

GDPR 상세

1. 관련 조문

• 제32조(처리의 안전성):
  • 데이터 전송 시 암호화 필수.
  • 데이터 무결성을 유지하기 위한 보안 조치 필요.
• 제28조(처리자 계약 - DPA):
  • 제3자에게 데이터를 제공할 경우, 데이터 처리 계약(DPA) 체결.
  • 계약 내용:
    • 데이터 처리 목적.
    • 처리 방법.
    • 보안 조치.

2. 실무 적용

• 데이터 공유 정책 수립: 제공 데이터의 범위와 목적 정의.
• 제3자 감사: 제공받는 자가 GDPR 요건을 준수하는지 검토.

---

3. 보유 단계

개인정보보호법

• 제21조(개인정보 파기):
  • 보유 기간 종료 또는 목적 달성 후 지체 없이 파기.
• 제29조(안전성 확보 조치):
  • 보유 데이터는 암호화와 접근 통제를 통해 보호.

GDPR

• 제5조(보관 제한):
  • 데이터는 필요 이상으로 보유하지 않음.
  • 익명화 또는 삭제 권고.

---

4. 파기 단계

개인정보보호법

• 제21조:
  • 전자 데이터는 복구 불가능하도록 삭제.
  • 종이 문서는 소각 또는 분쇄.

GDPR

• 제17조(잊혀질 권리):
  • 정보주체 요청 시 데이터 삭제.
  • 처리 목적 종료 후 지체 없이 파기.