GDPR

- GDPR은 2018년 5월 25일 시행된 유럽연합(EU)의 개인정보보호 법령이다.

- GDPR은 'EU 거주자'에 해당하는 지를 고려하여 적용하고 있다.

GDPR 적용 범위

① EU 내 사업장을 운영하며 개인정보 처리

② EU 거주자에게 재화나 서비스를 제공

③ EU 거주자의 EU 內 행동 모니터링

구분	적용범위	비고
EU 內	EU 내 사업장을 운영하며 개인정보 처리	실제 개인정보가 EU 내에서 처리되는지는 상관 없음
EU 外	EU 내 정보주체에게 재화나 서비스 제공	정보주체가 재화 또는 서비스의 비용을 지불하였는지는 상관 없음

 

- GDPR 주요 용어

용어	의미	비고
컨트롤러 (Controller)	개인정보의 처리 목적 및 수단을 단독 또는 제3자와 공동으로 결정하는 자연인, 법인, 공공기관, 에이전시, 기타 단체	= 개인정보처리자
프로세서 (Processor)	컨트롤러를 대신하여 개인정보를 처리하는 자연인, 법인, 공공기관, 에이전시, 기타 단체	= 개인정보취급자
수령인 (Recipient)	제3자인지 여부와 관계없이 개인정보가 공개되는 자연인이나 법인, 공공당국, 기관 또는 기타 단체	= 컨트롤러, 프로세서, 개인정보를 제공받은 제3자
프로파일링 (Profiling)	자연인의 특정한 개인적 측면을 평가하기 위해, 특히 개인의 업무 수행, 경제적 상황, 건강, 개인선호, 관심사, 신뢰도, 행동, 위치, 이동에 관한 측면을 분석 또는 예측하기 위해 개인정보를 사용하는 모든 형태의 자동화된 개인정보 처리
가명화 (Pseudony-misation)	추가적인 정보의 사용 없이 더 이상 특정 정보주체를 식별할 수 없는 방식으로 수행된 개인정보의 처리
DPO (Data Protection Officer)	데이터 보호 책임자	= 개인정보보호책임자(CPO)

 

- 기업의 책임성 강화 대책

① DPO 지정

구분	DPO(EU)	CPO(국내)
자격요건	법과 실무에 대한 전문적 지식과 업무수행 능력	사업주 또는 대표자, 임원 등
독립성	외부 DPO도 가능, 임무수행으로 해고나 불이익 금지	내부자만 가능(독립성 제한)

지정요건	①공공기관이거나 ②컨트롤러나 프로세서의 핵심활동이 (㉮정보주체에 대한 제3자의 정기적‧체계적인 모니터링에 해당 하거나, ㉯ 민감 정보, 범죄경력 및 범죄행위에 대한 대규모 처 리인 경우) DPO를 의무적으로 지정해야 함
통지	컨트롤러 등은 DPO를 공개하고 감독기구에 통지해야 함
직무	관련자들에 대한 조언의무, 정책 준수 감시의무, 요청에 따른 성과감시 의무, 감독기관과의 협력 및 통지 의무 등
제도	사업체 집단(group of undertakings)은 공동으로 1명의 DPO 지정 가능

 

② 개인정보 영향평가(DPIA)

구분	개인정보 영향평가
대상 개인정보	새로운 기술을 사용하고, 처리 유형이 개인의 자유와 권리에 high risk를 초래할 가능성이 있는 경우
목적	위험 완화 및 GDPR 준수 입증
시기	고위험의 처리 활동 개시 전
대상자	DPO와 프로세서의 도움을 받아 컨트롤러가 시행

 

③ 처리 활동의 기록

피고용인이 250명 이상인 컨트롤러와 프로세서는 GDPR 준수를 입증하기 위하여 본인의 책임하에 개인정보 처리활동의 기록(문서화)을 유지하여야 함

피고용인이 250명 미만이어도 정보주체 권리와 자유에 위험을 초래하는 경우, 민감정보 처리, 유죄판결 및 형사범죄에 관련된 개인정보 처리 시 처리활동 기록이 필요함

컨트롤러의 이름 및 연락처, 처리의 목적, 제3국으로 개인정보가 이전되는 경우 국외이전 방식에 대한 체계와 보호 조치, 보유기간, 기술적, 관리적 보호조치 등 문서화된 내용이 필요함

 

 

♣ 간단한 한줄 퀴즈 ♣

Q. 다음 중 GDPR의 적용범위에 해당하지 않는 것은?

① EU 내 온라인쇼핑몰을 운영하고 있으며 오프라인 사업장이 존재함

② 대한민국 사업장에서 EU 거주자에게 온라인 서비스를 제공함

③ 대한민국에 거주중인 EU 국적자의 개인정보를 수집 및 저장

④ EU 거주자의 EU 지역 안에서의 행동 모니터링

 

 

 

A. 정답

③

(↑ 이곳을 드래그해주세요)