개인정보보호

GDPR(General Data Protection Regulation), 유럽 연합 일반정보보호 규정

록스타★ 2024. 11. 22. 10:41
반응형

GDPR 관련하여 포스팅이며, 아주아주 축약하여 작성하였습니다. 자세한 내용은 아래 첨부한 문서 참고 부탁드립니다.

우리_기업을_위한_EU_일반_개인정보보호법(GDPR)_가이드북(2022.12._개정).pdf
3.18MB

 

1. GDPR 정의

GDPR(General Data Protection Regulation)은 2018년 5월 25일부터 시행된 유럽연합(EU)의 개인정보보호법입니다. 기존의 1995년 개인정보보호 지침(Data Protection Directive)을 대체하며, 디지털 경제 시대에 맞춘 강력하고 포괄적인 개인정보보호 기준을 제시합니다.

GDPR은 정보주체의 권리를 강화하고, 데이터를 처리하는 모든 조직의 책임성을 명확히 하며, 이를 위반할 경우 심각한 재정적 제재를 부과합니다

 

GDPR의 목적 :

  • 개인의 개인정보 권리 강화
  • 데이터 처리 및 보호 투명성 제고
  • 개인정보를 처리하는 모든 조직의 책임 강화

 2. GDPR의 적용 범위

  1. 지리적 범위 :
    • EU 거주자에게 상품이나 서비스를 제공하는 경우
    • EU 거주자의 온라인 행동을 모니터링하는 경
  2. 대상 데이터 :
    • 이름, 주소, 이메일 같은 식별 정보
    • IP 주소, 쿠키 데이터 같은 디지털 정보
    • 민감 정보 (건강 데이터, 생체 정보, 성적 지향 등)
  3. 주요 이해관계자 :
    • 데이터 주체(Data Subject) : 개인정보의 소유자인 개인
    • 데이터 처리자(Data Processor) : 데이터를 처리하는 제3자
    • 데이터 관리자(Data Controller) : 데이터 처리의 목적과 방식을 결정하는 기업/기관

4. GDPR의 정보주체 권리

  1. 접근권(Ritght of Access)
    • 정보주체는 컨트롤러에게 자신의 데이터가 어떻게 처리되고 있는지 알 권리가 있고, 컨트롤러는 데이터 처리 목적, 데이터 범주, 데이터 보유 기간 등을 명확히 제공해야 합니다.
  2. 삭제권(잊힐 권리, Right to Erasure)
    • 정보주체는 특정 조건 하에서 자신의 데이터를 삭제하도록 요청할 수 있습니다.
      • 데이터가 더이상 필요한 목적에 사용되지 않을 때
      • 정보주체가 동의를 철회했을 때  
  3. 데이터 이동권(Ritght to Data Portability)
    • 정보주체는 데이터를 기계 판독 가능 형식으로 이전받거나, 다른 컨트롤러로 전송할 권리가 있습니다.
  4. 처리 제한권(Ritght to Restriction of Processing)
    • 정보주체는 데이터 정확성에 이의가 있을 때 데이터 처리를 일시적으로 제한할 권리가 있습니다.
  5. 반대권(Right to Object)
    • 정보주체는 합법적 이익이나 마케팅 목적으로 수행되는 데이터 처리에 반대할 권리가 있습니다.

 

5. 기업의 GDPR 준수 의무

  1. 컨트롤러와 프로세서의 책임
    • 컨트롤러: 데이터 처리의 목적과 방식을 결정하며, 정보주체의 권리를 보장할 책임이 있습니다.
    • 프로세서: 컨트롤러의 지시에 따라 데이터를 처리하며, 보안 조치를 포함한 GDPR 요건을 준수해야 합니다.
  2. 데이터 보호 담당자(DPO) 지정
    • 대규모 민감 데이터 처리
    • 정기적이고 체계적인 모니터링 수행
  3. 개인정보 영향평가(DPIA)
    • 고위험 데이터 처리 활동은 사전에 개인정보 영향평가를 수행해야 하며, 위험 완화를 위한 조치를 마련

6. GDPR 위반의 제재

  1. 경미한 위반: 전 세계 매출의 최대 2% 또는 1천만 유로 중 높은 금액.
  2. 심각한 위반: 전 세계 매출의 최대 4% 또는 2천만 유로 중 높은 금액.

위반사례

  • Google: 투명성 위반으로 5000만 유로 벌금 부과.
  • British Airways: 보안 침해로 2억 유로 이상 벌금 부과.

 

7. GDPR의 주요 원칙

- GDPR은 데이터 처리에 관한 7가지 원칙 제시

  1. 법적 준수와 투명성으로 합법적인 방법으로 명확히 처리합니다.
  2. 명시된 목적 이 외의 사용은 금지합니다.
  3. 필요한 최소 데이터만 수집합니다.
  4. 데이터를 최신 상태로 유지하여 정확성을 높입니다.
  5. 보유 기간 제한을 두어 필요 이상 보관을 금지합니다.
  6. 기밀성과 무결성으로 데이터 보호와 보안을 보장합니다.
  7. 책임성을 가지고 법적 책임을 집니다.

 

8. 한국 기업의 GDPR 준수 전략

  • EU와 적정성 결정을 체결, 개인정보 이전 시 별도 절차 불필요합니다.
  • BCR(Binding Corporate Rules) 등 적저한 보호조치를 적용합니다.
  • 직원 대상 GDPR 교육과 내부 프로세스 점검합니다.

 

반응형

'개인정보보호' 카테고리의 다른 글

개인정보 생명주기 (Life Cycle, 개인정보보호법과 GDPR)  (3) 2024.11.25
정보보호 및 개인정보보호 관리체계 인증 등에 관한 고시  (3) 2024.11.18
2022개인정보 주요 이슈 법령 해석 사례 30선 (요약 및 원본)  (6) 2024.11.16
개인정보의 안전성 확보조치 요약 (제3조부터 제18조)  (9) 2024.11.15
개인정보보호법 시행령  (1) 2024.11.12

'개인정보보호'의 다른글

  • 현재글GDPR(General Data Protection Regulation), 유럽 연합 일반정보보호 규정

관련글

티스토리툴바