2020 EU 일반개인정보보호법(GDPR) 가이드북 (2020.05)

버전
다운로드 1597
파일 크기 2.85 MB
파일 수 1
생성 날짜 2020년 5월 1일
마지막 업데이트 2024년 1월 23일

2020 EU 일반개인정보보호법(GDPR) 가이드북 (2020.05)입니다.
업무에 참고하시기 바랍니다.

[개요]

ㅁ 추진배경

본 가이드북은 개인정보를 처리하는 우리나라 사업자가 시의적절하게 활용하여 글로벌 시장에서 경쟁력을 확보할 수 있도록 발간되었습니다.

2016년 5월 유럽연합(이하 ‘EU’)에서 제정한 「일반 개인정보보호법(General Data Protection Regulation)」(이하 ‘GDPR’)이 2018년 5월 25일부터 시행되었습니다.

GDPR은 기존의 EU 개인정보보호 지침인 「1995년 개인정보보호 지침(Data Protection Directive 95/46/EC)」(이하 ‘Directive’)을 대체하며, 기존의 Directive보다 강력한 제재를 규정하고 있습니다. 이에 한국인터넷진흥원은 행정안전부와 함께 『우리 기업을 위한 유럽 일반 개인정보 보호법(GDPR) 안내서』(2017. 04.)와 『우리 기업을 위한 유럽 일반 개인정보보호법(GDPR) 1차 가이드라인』(2017. 11.)을 우선 발간하여 우리 기업에게 필요한 GDPR 제정취지와 주요 내용을 알기 쉽게 제시하고, GDPR 시행 이전에 기업들의 사전 조치 수준을 제고하는 데 도움을 주었습니다. 이후 GDPR의 본격 시행에 따라 위 ‘안내서’와 ‘1차 가이드라인’에서 다루고 있는 GDPR 관련 내용 전반을 통합하여 독자의 정보 접근성을 높이고, EU의 정책 자문 기구인 ‘The Article 29 Data Protection Working Party’ (이하 ‘제29조 작업반’)에서 발표한 보고서(가이드라인, 의견서 등) 내용을 아우르면서 구체적인 사례와 참고 자료를 제시하고자 GDPR 시행일에 맞춰 『우리 기업을 위한 EU 일반 개인정보보호법(GDPR) 가이드북』을 발간하였습니다.

GDPR 시행 후 EU 회원국이었다가 최근 브렉시트(Brexit)로 EU를 퇴한 영국, EU 회원국인 프랑스를 비롯하여 EU 밖의 일본 등 GDPR에 많은 관심을 갖고 있는 국가들이 GDPR 준수가 필요한 기업들을 지원하기 위하여 GDPR 해설 혹은 가이드를 제공하고 있습니다. 그러나 GDPR의 본격 시행으로 실제 GDPR 위반에 따른 과징금 부과 사례 등이 증가하고 있어 우리 기업들에게 GDPR 준수에 대한 실질적이고 구체적인 가이드를 제공하기 위하여 주요 국가의 가이드 및 최근 EU 판결이나 과징금 부과사례 등을 참조하여 『2020 EU 일반 개인정보보호법(GDPR)가이드북』을 발간하게 되었습니다.

ㅁ 적용 대상

개인정보 처리

GDPR은 개인정보 처리에 대하여 적용된다. GDPR은 판례 및 개별법 등을 통해 표명되어 온 개인정보의 개념을 조문에 포함함으로써 적용 대상을 보다 구체적으로 명시하고 있다. 특히 추가 정보를 이용하여 개인을 식별할 수 있는 가명 정보는 개인정보로 본다는 점을 명확히 하였다(전문 제26항).

또한 GDPR은 ‘민감정보(special categories of personal data)’를 규정하고 있는데, 이는 인종·민족, 정치적 견해, 종교적·철학적 신념, 노동조합의 가입 여부, 유전자 또는 생체정보, 건강, 성생활 또는 성적 취향에 관한 정보를 포함한다. 민감정보는 정보주체의 명시적 동의 획득 등의 경우를 제외하고는 원칙적으로 처리가 금지된다.

[관련 법령]

∙ EU 일반 개인정보보호법(General Data Protection Regulation)

[목차]

I. 개요

1. GDPR의 제정 의미와 효력
2. GDPR 시행에 따라 유의해야 할 주요 사항
3. GDPR 내 주요 용어
4. GDPR의 적용 대상과 범위

II. 개인정보 처리기준

1. 개인정보 처리 원칙
2. 처리의 합법성
3. 동의
4. 아동 개인정보
5. 민감정보 및 범죄정보

III. 정보주체의 권리 보장

1. 개요
2. 정보를 제공받을 권리(Right to be informed)
3. 정보주체의 접근권(Right of access)
4. 정정권(Right to rectification)
5. 삭제권(‘잊힐 권리’)[Right to erasure(‘Right to be forgotten’)]
6. 처리 제한권(Right to restriction of processing)
7. 개인정보 이동권(Right to data portability)
8. 반대권(Right to object)
9. 프로파일링을 포함한 자동화된 의사결정
  (Automated individual decision-making, including profiling)

Ⅳ. 기업의 책임성 강화

1. 개요
2. 개인정보 처리 활동의 기록
3. Data protection by design and by default
4. 개인정보 영향평가
5. DPO(Data Protection Officer) 지정
6. 행동규약과 인증

Ⅴ. 개인정보 침해 발생 시 조치 사항

1. 개인정보 침해
2. 개인정보 침해 통지

Ⅵ. 피해 구제 및 제재

1. 구제 수단
2. 손해배상청구권 및 책임
3. 과징금
4. 벌칙

참고자료

표 목차

1. GDPR의 구성 체계
2. 개인정보와 개인정보가 아닌 정보
3. EU 회원국의 친권자 동의가 필요한 아동 연령
4. 정보주체의 권리 강화에 대한 내용 및 관련 주요 조문
5. 기업의 책임성 강화와 관련한 내용 및 조문
6. 개인정보 처리 활동의 기록 내용
7. ICO 개인정보 영향평가 양식 예시
8. EU 적정성 결정 절차
9. 표준 개인정보보호 조항의 종류
10. 개인정보 침해에 대한 감독기구 통지 필요 여부 판단 예시
11. 개인정보 침해에 대한 정보주체 통지 불필요 예시
12. 주요 과징금 부과 사례

그림목차

1. EU의 법체계
2. ICO 개인정보 영향평가 절차
3. DPO 지정 의사결정 절차
4. DPO 지정 시 고려사항
5. 개인정보 처리 시 높은 위험의 판단 기준
6. 개인정보 역외 이전 메커니즘
7. 개인정보 역외 이전 흐름도
8. 개인정보 침해 통지 흐름도

※ 해당 가이드북은 KISA GDPR 대응지원 센터 홈페이지(https://gdpr.kisa.or.kr/)자료실에서 확인할 수 있습니다.
※ 출처: https://gdpr.kisa.or.kr/gdpr/bbs/selectArticleList.do?bbsId=BBSMSTR_000000000101#
※ 더 많은 자료 확인하러 가기

다운로드