유럽 개인정보보호법 GDPR 위반시 2000만 유로 or 글로벌 매출의 4%
국내도 빠르게 유럽 수준의 강력한 개인정보보호법 개정 되어야 할텐데
기업들이
앱으로 개인정보 너무 심할정도로 요구 후 사용되고 있으니 속수무책 ~
앱을 사용하려면 ~ 너무 많은 개인정보을 이용할수있게 해야하니
5월25일 부터 유럽 개인정보 보호법 GDPR 시행됨
유럽 개인정보보호법 GDPR General Data Protection Regulation
유럽 GDPR 원문.pdf
서문 173항 총 11장 99조 지침 총 7장 34조
EU 회원국 국민상대로 사업을 하는 기업 & 단체는
개인정보보호법의 심각한 GDPR 위반의 경우
글로벌 연간 매출액 4% or 2000만 유로 중 더 높은 금액을 과징금 부과
일반적 위반 경우 글로벌 연간 매출액 2% or 1000만 유로 중 더 높은 금액이 과징금으로 부과
GDPR 주요내용
EU GDPR은 28개 모든 유럽 회원국에 공통적으로 적용되는 법률이며, 정보주체의 권리와 기업의 책임성 강화, 개인정보의 EU역외이전 요건 명확화 등을
주요 내용으로 합니다.
주요 원칙
개인정보의 처리 원칙 : 적법성, 공정성, 투명성의 원칙, 목적 제한의 원칙, 개인정보처리의 최소화, 정확성의 원칙, 보관기간 제한의 원칙, 무결성 및
기밀성, 책임성을 기본 원칙으로 하며, 다음 6가지 경우에는 개인정보를 적법하게 처리(수집·이용·제공 등)할 수 있음
① 정보주체의 동의
② 정보주체와의 계약 이행이나 계약 체결을 위해 필요한 처리
③ 법적 의무 이행을 위해 필요한 처리
④ 정보주체 또는 다른 사람의 중대한 이익을 위해 필요한 처리
⑤ 공익을 위한 임무의 수행 또는 기업에게 부여된 공적 권한의 행사를 위해 필요한 처리
⑥ 기업 또는 제3자의 적법한 이익 추구 목적을 위해 필요한 처리
- ☞ 기업은 개인정보 처리 전에 반드시 적법한 처리 근거 확보 여부 확인 필요
동의(Consent)
- 정보주체가 진술 또는 적극적 행동을 통하여 자신의 개인정보 처리에 대한 긍정의 의사를 표현하는 것
- GDPR은 동의 방법에 구체성(unambiguous, clear affirmative action) 추가
아동 개인정보(Children’s personal data)
- ‘만16세 미만의 아동’에게 온라인 서비스 제공 시 ‘아동의 친권을 보유하는 자’의 동의를 얻어야 함
※ 오프라인 서비스에 적용 여부 규정 없음
- 회원국 법률로 만 13세 미만까지 낮추어 규정 가능
- ☞ 이전 보다 아동정보에 대해 더 강한 보호를 요함
민감 정보(Special categories of personal data)
- 정보주체의 명시적 동의가 있는 경우 또는 회원국 법률에 따른 경우 등을 제외하고는 민감정보의 처리는 원칙금지
- 민감정보의 범위 : 인종·민족, 정치적 견해, 종교·철학적 신념, 노동조합의 가입여부를 나타내는 개인정보의 처리와 유전자 정보, 자연인을 고유하게 식별
할 수 있는 생체정보, 건강정보, 성생활·성적 취향에 관한 정보의 처리는 금지
- 민감 정보 처리가 가능한 경우
① 정보주체의 명시적 동의(explicit consent)의 경우 등
② 고용, 사회안보나 사회보장법 또는 단체협약에 따른 의무의 이행을 위해 필요한 경우
③ 정보주체가 일반에게 공개한 것이 명백한 경우 등
※ 자세한 내용은 「우리기업을 위한 유럽 일반 개인정보 보호법」안내서 참조
정보주체의 권리
삭제요구권, 처리제한권, 정보이동권, 프로파일링 거부권 등 정보주체의 권리 보장 확대
< 참고 : GDPR에서 신설•강화된 정보주체의 권리 >
| 권리 | 주요내용 |
|---|
| 처리제한권(신설) | 정보주체는 본인에 관한 개인정보의 처리를 차단하거나 제한을 요구할 권리를 가짐 |
|---|
| 정보이동권(신설) | 정보주체는 본인의 개인정보를 본인 또는 다른 사업자에게 전송토록 요구할 권리를 가짐 |
|---|
| 삭제권(강화) | 정보주체는 본인에 관한 개인정보 삭제를 요구할 권리를 가짐 |
|---|
| 프로파일링 거부권(강화) | 정보주체는 본인에게 중대한 영향을 미치는 사안을 프로파일링 등 자동화된 처리에 의해서만 결정하는 것에 반대할 권리를 가짐 |
|---|
기업 책임성 강화를 위한 조치사항
DPO(개인정보보호책임자) 지정, 개인정보 처리활동의 기록, 대리인 지정, 개인정보 영향평가 등 기업의 책임성 강화
| DPO 지정 | 관련 분야 전문지식과 임무수행 능력을 가진 독립성을 지닌 DPO*(개인정보보호책임자)지정
* Data protection officer |
|---|
| 개인정보 처리 활동의 기록 | - 피고용인이 250명 이상인 경우는 GDPR 준수를 입증하기 위하여 개인정보 처리활동의 기록
(문서화)을 유지하여야 함
- 피고용인 250명 이하이더라도, ①정보주체 권리와 자유에 위험을 초래하는 경우, ②민감정보
처리, ③ 유죄판결 및 형사범죄에 관련된 개인정보 처리 시 처리활동 기록 필요
※ 문서화의 내용 : 사업자명 및 연락처, 처리의 목적, 제3국으로 개인정보가 이전되는 경우
국외이전 방식에 대한 체계와 보호 조치, 보유기간, 기술적〮 관리적 보호조치(security
measure) 등 |
|---|
| 대리인 지정 | - EU 역외에서 개인정보를 대규모로 처리하거나 민감정보 처리시 EU 역내에 대리인을 지정 |
|---|
| 개인정보 영향평가 | - 기업은 개인정보 영향평가를 통해 개인정보 처리 관련 문제점을 조기에 발견 및 해결하여 추후
발생할 수 있는 비용 소모와 평판침해의 리스크 최소화 |
|---|
Data Protection by
design and by
default | - 사업의 시작단계에서부터 개인정보보호를 위한 기술적·조직적 조치 및 정기적 검사와 평가 |
|---|
개인정보 침해
사고 신고·통지 | - 기업은 GDPR에 따라 감독기구 신고 및 정보주체 통지해야 하는 개인정보 침해 유형을 파악하고,
신고·통지(72시간내) 시기 및 방법, 내용 등 신고통지에 관한 내부 절차를 사전에 마련해야 함 |
|---|
개인정보의 EU역외 이전
EU가 인정한 적정수준의 보호조치 하에 자유로운 EU역외 이전 가능
- 개별 기업이 EU 주민 개인정보를 한국으로 가져오는 방법
| 구분 | 주요내용 |
|---|
| 표준 계약 | EU 집행위가 승인한 표준 조항이 반영된 계약을 통해 개인정보를 이전하는 경우 |
|---|
| 의무적 기업규칙 | 관할 감독기관이 승인한 구속력이 있는 의무적 기업규칙에 따라 이전하는 경우 |
|---|
| 행동강령 | EU 집행위가 공인한 행동강령에 따른 이전 |
|---|
| 인증 | EU 정보보호 인증을 받은 자에게 이전 |
|---|
| 기타 | 정보주체의 명시적 동의, 중요한 공익상 이유 등 |
|---|
※ 개인정보 보호 수준이 EU와 동등하다고 인정될 경우 별도 조치없이 이전 가능(현재 한국과 EU가 일괄 협상 중)
- 감독기구의 특정한 승인(specific authorization)이 필요한 경우
- · 기업간 또는 기업과 국가간의 계약 조항
- · 공공기관 또는 기구 간에 법적 구속력 있고 강제할 수 있는 장치
법위반시 과징금
GDPR에 규정된 과징금 액수는 최대 한도의 과징금을 말하며, 구체적 위반 사항별 과징금 액수는 위반의 성격, 중대성, 의도성, 태만 여부, 피해경감 노력 등 11가지 기준에 따라 실제 부과될 과징금 금액이 산정
| 일반적 위반사항 | 대리인 미지정 위반, 유출 통지 위반, 개인정보 처리활동 기록 위반 등 |
|---|
| 전 세계 매출액 2% 또는 1천만 유로(약 125억원) 중 높은 금액 |
| 중요한 위반 사항 | 국외 이전 규정 위반, 개인정보 처리 기본 원칙 위반, 정보주체의 권리 보장 의무 위반 등 |
|---|
| 전 세계 매출액 4% 또는 2천만 유로(약 250억원) 중 높은 금액 |
위 과징금은 최대 한도의 부과 금액을 말하여 실제 부과 금액은 위반 내용, 피해경감 노력 등을 종합 검토하여 결정됨
구체적 과징금 부과 요건 및 집행절차 등은 각 국의 법률 제•개정 동향 및 판례 등을 지속 모니터할 필요가 있음
< 영국 개인정보감독기구에서 권장하는 준비사항 >
EU GDPR 시행에 따라 다음의 12가지 조치를 우선적으로 준비하시기 바랍니다.
① 경영진의 인식 제고
주요 의사 결정권자 등의 인식제고와 예산, 인력 등을 포함한 전사적 대응방안을 준비
② 보유하고 있는 정보에 대한 이해
보유하고 있는 개인정보의 종류와 수집 경로, 처리 절차 등을 분석해 이를 문서화하고, 유출 사고 등 비상시에 대비한 대응 절차를 마련
③ 기업 내부의 개인정보 처리 방침 수립
현재의 개인정보 처리 방침을 검토하여 GDPR 준수에 필요한 내부 관리 지침을 마련 및 보완
④ 정보주체의 권리에 대한 이해
개인정보 열람권, 삭제요구권, 개인정보 이동권 등 정보주체에게 보장된 권리를 이해하고, 이를 보장할 수 있는 절차 마련 및 임직원 교육 실시
⑤ 정보주체의 권리보장 방안 마련
정보주체의 요청을 기한 내에 처리하고 필요한 추가 정보를 제공할 수 있도록 필요한 절차와 계획을 수립
⑥ 개인정보 처리의 법적 근거 확보
처리하고 있는 정보의 내용과 유형을 점검하고, GDPR상의 위반사항이 있는지 확인, 필요시 정보주체의 동의를 받는 등 법적근거를 확보해야 함
⑦ 동의 획득 절차 수정 및 재획득
동의 획득 절차를 재점검해 수정이 필요한 부분이 있는지 검토하고, GDPR 기준을 충족하지 못한 경우 기존의 동의를 기준에 맞게 재획득
⑧ 아동의 동의 획득 방안 강구
정보주체의 연령을 확인하고, 아동의 정보처리 활동에 대해 부모 또는 보호자의 동의를 얻을 수 있는 절차 마련
⑨ 개인정보 유출 통지 절차 마련
개인정보 유출 사고를 탐지하고 감독기구, 정보주체 등에 통지 및 조사하는 적합한 절차를 마련
⑩ 개인정보 영향평가 도입
영향평가 관련 조항·지침을 숙지하고, 영향평가 의무 수행 요건 및 수행 방법을 조직 내에서 공유
⑪ DPO(개인정보보호책임자) 임명
전문적 지식과 실무 경험이 있는 전문가를 지정
⑫ 관할 감독기구 확인
하나 이상의 EU 국가에서 개인정보 처리 활동을 수행할 경우, 어느 국가의 감독기구 관할인지 확인 필요
법 적용 범위
해외 사업자에 대한 법 적용
- GDPR은 EU 내에 사업장이 없더라도 물품․서비스 공급을 위해 EU 내에 거주하는 사람의 개인정보를 처리하는 사업자에게도 법 적용 명문화
| EU GDPR | 한국 개인정보보호법 |
|---|
· 적용대상 : 아래의 개인정보 처리에 적용(제3조)
- EU 내의 정보처리자, 수탁자의 활동
- EU 내에 설립되지 않은 정보처리자가 EU 내에 거주하는 사람 물품․
서비스를 제공
- EU 내에서 발생하는 개인의 행동을 감시 | · 해외 사업자에 대해서는 명시적 규정 없음 |
기업의 책임성 강화
개인정보보호책임자 지정
- 우리나라의 임원급 개인정보보호책임자(CPO*) 지정 제도와 달리, GDPR은 개인정보보호책임자(DPO**)의 자격으로 전문지식 및 업무 수행 능력을
명시
* CPO : Chief Privacy Officer ** DPO : Data Protection Officer
| EU GDPR | 한국 개인정보보호법 |
|---|
· 자격요건 : 개인정보보호법과 실무에 대한 전문적 지식과 업무 수행 능
력(제37조)
· 위반시 처벌 가능 | · 자격 요건 : 사업주 또는 대표자, 임원 등(제31조)
· 위반시 처벌 가능 |
개인정보 처리활동 기록․유지
- 우리나라는 접속기록에 대해서만 보관 의무가 규정된 반면, GDPR은 개인정보 처리활동 전반을 기록․유지토록 하고 있어 다소 차이
| EU GDPR | 한국 개인정보보호법 |
|---|
· 기록 대상 : 아래 항목을 기록․유지, 다만 250인 미만 기업이나 조직에
는 미적용(제30조)
- 정보처리자, 대리인, 담당자 등의 이름, 연락처
- 개인정보 처리 목적 및 항목
- 개인정보를 제공받는 자의 범주 및 국가,
- 적절한 안전조치에 대한 문서
· 위반시 처벌 가능 | · 기록 대상 : 개인정보 침해사고 발생에 대응하기 위한 접속기록 보관
(제29조)
· 위반시 처벌 가능 |
역내 대리인 지정
- EU 역내에 사업장이 없는 기업이 EU 주민에게 물품․서비스 제공을 위해 개인정보를 처리하는 경우에는 EU 역내 대리인을 서면으로 지정해야 함
| EU GDPR | 한국 개인정보보호법 |
|---|
· 지정요건 : 아래의 경우 역내 대리인 서면 지정(제27조)
- EU 내에 설립되지 않은 정보처리자가 물품․서비스 공급을 위해 EU
내에 거주하는 사람의 개인정보를 처리
- EU 내에서 발생하는 개인의 행동을 감시하는 경우
· 위반시 처벌 : 최대 1천만 유로 또는 전세계 매출 2% 중 높은 금액 | · 관련 규정 없음 |
개인정보 영향평가
- 우리나라는 공공부문에만 개인정보 영향평가를 의무화하고 있는 반면, GDPR은 일정 요건에 해당하는 경우 민간영역도 영향평가를 실시해야 함
| EU GDPR | 한국 개인정보보호법 |
|---|
· 평가대상 : 아래 요건에 해당하는 경우(제35조)
- 개인정보 처리 유형에 따라 개인의 권리와 자유에 중대한 위험을 초
래한 가능성이 있는 경우
- 프로파일링을 포함한 자동화 처리에 근거한 평가로써 그 평가에 근
거한 결정이 개인에게 중대한 영향을 미치는 경우
- 민감정보에 대한 대규모의 처리를 하는 경우
- 공개적이고 접근 가능한 장소에 대한 대규모의 체계적인 모니터링
(예 : CCTV)
· 위반시 처벌 가능 | · 평가대상 : 아래 요건에 해당하는 공공기관(제33조)
- 100만명 이상의 개인정보파일 운영시
- 50만명 이상의 개인정보파일 연계시
- 5만명 이상의 민감정보, 고유식별정보 운영시
- 영향평가 후 운용체계를 변경하려는 경우
· 위반시 처벌 규정 없음 |
정보주체의 권리 강화
개인정보 이동권
- 국내법상 없는 내용으로써 이번 GDPR에 새로 추가된 권리임
- 자신의 개인정보를 여러 다른 서비스에 걸쳐 재사용할 수 있도록 개인정보의 이동을 요구할 수 있는 권리임
* (예) 이메일 업체 변경시 기존 등록된 연락처를 변경한 업체로 이동 요구
| EU GDPR | 한국 개인정보보호법 |
|---|
· 개요 : 정보주체가 자신이 제공했던 개인정보를 체계적 형태(CSV,
XML 등)로 다시 전달 받거나 그 개인정보를 다른 정보처리자에
게 이전할 것을 요구할 수 있는 권리(제20조)
· 권리행사 요건 : 아래에 해당하는 개인정보 처리시
단, 다른 개인의 권리를 침해하지 않아야 함
- 동의나 계약에 따라 개인정보를 처리하는 경우
- 자동 수단을 통한 개인정보 처리가 수행되는 경우
· 이전 대상 정보 : 본인과 관련한 개인정보(사업자가 개인정보에 기반하
여 추론하거나 파생한 정보는 이전 대상에 포함하지 않음)
· 미이행시 처벌 가능 | · 관련 규정 없음 |
처리제한권
- 국내법상 처리정지권과 유사한 내용이며 이번 GDPR에서 새로 추가됨
- 자신의 개인정보에 대한 처리 또는 이용 제한을 요구할 수 있는 권리임
| EU GDPR | 한국 개인정보보호법 |
|---|
· 개요 : 자신의 개인정보에 대한 처리 또는 이용 제한을 요구할 권리
(제18조)
· 권리행사 요건 : 아래에 해당하는 경우
- 정보주체가 개인정보 정확성에 이의를 제기하는 경우
- 청구권의 입증이나 행사, 방어를 위해 요구하는 경우
- 정보주체가 이용 제한을 요청하는 경우 등
· 미이행시 처벌 가능 | · 개요 : 자신의 개인정보에 대한 처리 정지 등을 요구할 권리(제37조)
· 미이행시 처벌 가능 |
삭제권(잊힐 권리)
- 국내법상 삭제요구권과 유사한 내용이나 삭제 요건이 약간 차이가 있음
- 자신의 개인정보에 대한 삭제를 요구할 수 있는 권리임
| EU GDPR | 한국 개인정보보호법 |
|---|
· 개요 : 자신의 개인정보에 대한 삭제를 요구할 권리(제17조)
· 권리행사 요건 : 아래 경우에는 삭제해야 함
- 개인정보가 더 이상 필요하지 않은 경우
- 정보주체가 동의를 철회하는 경우
- 정보주체가 프로파일링 또는 마케팅을 위한 개인정보 처리를 반대하
는 경우
- 개인정보가 불법적으로 처리된 경우
- 법적 의무를 준수하기 위해 삭제해야 하는 경우
· 미이행시 처벌 가능 | · 개요 : 자신의 개인정보에 대한 정정 또는 삭제를 요구할 권리(제36조)
· 권리행사 요건 : 다른 법령에서 수집 대상으로 명시되어 있는 개인정보
를 제외하고는 삭제해야 함
· 미이행시 처벌 가능 |
프로파일링 거부권
- 국내법상 없는 내용이나 이전 EU 지침 및 GDPR에는 명시된 권리임
- 자신에게 중대한 영향을 미치는 사안을 프로파일링 등 자동화된 처리에 의해 결정하는 것에 반대할 권리를 가짐
| EU GDPR | 한국 개인정보보호법 |
|---|
· 개요 : 프로파일링 등 자동화된 처리에 의해서만 자신에게 중대한 영향
을 미치는 사항을 결정하는 것을 반대할 권리(제22조)
· 권리행사 요건 : 아래 경우를 제외하고 권리행사 가능
- 계약을 체결 또는 이행하는데 필요한 경우
- EU 또는 회원국 법률에 따른 경우
- 정보주체의 명백한 동의에 기반하는 경우
· 미이행시 처벌 가능 | · 관련 규정 없음 |
개인정보 국외 이전
개인정보 국외 이전 요건
- 우리나라는 개인정보 국외 이전시 원칙적으로 본인 동의를 요하는 반면, GDPR은 EU가 인정한 적절한 보호조치가 있는 경우 이전 허용
| EU GDPR | 한국 개인정보보호법 |
|---|
· 허용요건 : EU에서 인정하는 경우(제45조, 제46조)
- (기업 차원) 표준계약 체결, 구속력있는 의무적 기업규칙(BCR),
공인 행동강령, 유럽 개인정보보호인증 등
- (국가 차원) EU 집행위원회의 적정성 결정
- (예외) 명시적 동의, 중요한 공익상 이유 등
· 위반시 처벌 가능 | · 허용요건 : 개인정보를 제공받는 자, 이용 목적 등을 알리고 동의를
받은 경우(제17조)
※ 온라인 사업자의 경우에는 정보통신망법 제63조에 따라 정보주체
동의 없이 이전 가능
(정보통신서비스 제공에 관한 계약을 이행하고 이용자 편의 증진 등
을 위하여 필요한 경우로서 이전되는 개인정보 항목, 국가 등을 공
개 또는 알린 경우)
· 위반시 처벌 가능
|
GDPR 업종별 상담
전문기관 상담
참고
네이버 GDPR 안내 https://privacy.naver.com/gdpr/understand?menu=gdpr_understand
댓글