• 버전
• 다운로드 30
• 파일 크기 32.00 KB
• 파일 수 1
• 생성 날짜 2023년 2월 3일
• 마지막 업데이트 2024년 1월 30일

우리 기업을 위한 EU 일반 개인정보보호법(GDPR) 가이드북(2022.12. 개정)

우리 기업을 위한 EU 일반 개인정보보호법(GDPR) 가이드북(2022.12. 개정)

우리 기업을 위한 EU 일반 개인정보보호법(GDPR) 가이드북(2022.12. 개정) 입니다.

업무에 참고 바랍니다.

[개요]

2016년 5월 유럽연합(이하 'EU')에서 제정한 일반 개인정보보호법(General Data Protection Regulation)」(이하 ‘GDPR’)이 2018년 5월부터 시행되었습니다.

GDPR은 기존의 EU 개인정보보호 지침인 1995년 개인정보보호 지침(Data Protection Directive 95/46/EC)」을 대체하며 더 강력한 제재를 규정하고 있습니다.

GDPR의 본격 시행 이후 GDPR 위반에 따른 과징금 부과 사례들이 증가하고 있습니다. 이에 영국, 프랑스, 일본 등 주요 국가들은 기업들의 GDPR 준수를 지원하기 위해서 GDPR 해설 혹은 가이드를 제공하고 있습니다.

한국인터넷진흥원은 우리 기업에 GDPR 준수에 대한 실질적이고 구체적인 가이드를 제공하기 위해 주요 국가의 가이드 및 최근 EU 판결이나 과징금 부과 사례 등을 참조하여『2020 EU 일반 개인정보보호법(GDPR) 가이드북』(2020.07)을 발간하였습니다.

이번에 발간하는 『2022 EU 일반 개인정보보호법(GDPR) 가이드북』은 ‘2020년 가이드북’의 개정·증보판입니다.

[GDPR 제정 목적과 의의]

• GDPR은 자연인(natural Person)에 관한 기본권과 자유(특히 개인정보보호에 대한 권리)를 보호하고(제1조제2항), EU역내에서 개인정보의 자유로운 이동(제1조제3항)을 보장하는 것을 목적으로 한다.
• GDPR은 개인정보 삭제권, 처리 제한권, 개인정보 이동권, 반대권(거부권) 등의 신규 권리 추가 및 기존 권리 명확화를 통하여 기존 Directive 95/46/EC보다 정보주체의 권리를 확대 및 강화했습니다.
• 개인정보 처리 활동의 기록, DPO의 지정, 개인정보 영향평가, Data Protection by design and by default 등을 규정함으로써 기업의 책임성을 강화했습니다.

[GDPR의 법적 효력]

• GDPR은 지침(Directive)과 달리 "Regulation"이라는 법 형식으로 제정되어 법적 구속력을 가집니다. 모든 EU 회원국 내에 직접적으로 적용됩니다.(제99조)
  • 기존 Directive에서는 회원국 간 개인정보보호 법제가 서로 달라 규제에 어려움이 있었습니다. 그러나 GDPR 제정을 통해 통일된 개인정보보호 규제가 가능하게 되었습니다.
  • GDPR 일부 조항에 대해서는 회원국의 별도 입법이 요구되므로, 기업들은 GDPR 이외에 각 회원국의 개인정보보호 관련 입법 동향에 대하여 지속해서 모니터링 할 필요가 있습니다.

 

[GDPR의 시행에 따라 유의해야 할 주요 사항]

■ EU 역내 및 역외 적용

• EU 내 설립된 기관의 개인정보 처리 활동 외에 다음 경우를 적용 범위에 포함하였습니다.
  • EU 밖에서 EU 내에 있는 정보주체에게 재화나 용역을 제공하는 경우
  • 또는 EU 내에 있는 정보주체가 수행하는 활동을 모니터링 하는 경우

■ 개인정보 정의와 적용 대상 범위

• 개인정보를 "식별되었거나 또는 식별 가능한 자연인(정보주체)과 관련된 모든 정보"로 정의하면서 (제4조 제1항), 기존 Directive에 명시되지 않았으나 판례, 유권해석, 개별법 차원에서 인정된 개념을 포함했다.
  • 자연인이 사용하는 장치, 애플리케이션, 도구와 프로토콜을 통해 제공되는 개인 식별이 가능한 경우의 IP주소, 쿠키(cookie) ID, RFID(무선 인식) 태그 등을 개인정보(온라인 식별자)에 포함한다(전문 제30항).
  • 위치 정보를 개인정보의 정의에 명시적으로 규정했다(제4조제1항)
  • 민감한 성격의 개인정보를 '특수한 범주의 개인정보')이하 '민감정보')라고 정의하여, 유전정보와 생체 인식정보를 명시적으로 규정했다(제9조제1항)
  • 개인정보 가명처리(pseudonymisation) 개념을 명문화함으로써(제4조제5항), 분리 보관 및 특별조치 등을 통하여 개인정보를 활용할 수 있도록 했다.

■ 개인정보 기본 처리 원칙

• 개인정보를 처리하는 경우 다음 7가지 원칙을 모두 준수해야 한다(제5조)
  • 합법성·공정성·투명성 원칙
  • 목적 제한의 원칙
  • 개인정보 최소처리 원칙
  • 정확성의 원칙
  • 보유기간 제한의 원칙
  • 무결성과 기밀성의 원칙
  • 책임성의 원칙

[GDPR 내 주요 용어]

• GDPR에서 사용하는 용어가 우리나라 개인정보보호 관련 법령의 용어와 동일한 의미가 아니거나, 우리말로 번역하여 의미의 혼동을 일으킬 수 있는 경우에는 원문을 그대로 표기함.

주요 용어의 정의

■ 개인정보(Personal data)(제4조제1항)

• 개인정보란 식별되었거나 또는 식별 가능한 자연인(정보주체)과 관련된 모든 정보를 의미한다.
• 개인과 관련되어 있는지의 여부를 판단할 때에는 정보의 내용(직·간접적으로 개인 또는 그들의 활동에 대한 것인지의 여부), 그 정보의 처리 목적, 그 정보를 처리함으로써 개인에게 미치는 영향이나 결과를 고려할 필요가 있다. 부정확한 정보라고 하더라도 식별 가능한 개인과 관련되어 있다면 개인정보다.
• GDPR은 기존 Directive에 명시적으로 기재하지 않았던 온라인 식별자, 위치정보, 유전정보 등을 개인정보에 포함함으로써 개인정보의 개념을 확립하고 있다. 이때 개인정보의 형태는 문자에 한정하지 않고, 특정 개인을 나타내는 음성, 숫자, 그림 사진 등의 형태를 포함한다.
  • 만약 개인을 직접 또는 간접적으로 식별 가능한 경우라면, 이름·전화번호 등과 같은 일반적인 개인정보 외에 온라인 식별자나 위치정보도 GDPR이 정의하는 개인 정보에 해당한다.

[함께 읽으면 좋은 글]

👉 캐치시큐에 개인정보보호 상담하기

👉 캐치시큐 개인정보보호 컨설팅 서비스 출시