1. 개인정보의 이해 - GDPR

1. 배경

2018년 5월 25일부터 시행되고 있는 EU의 개인정보보호 법령으로 위반 시 과징금 등 행정처분이 부과될 수 있으며 EU내 사업장이 없더라도 EU를 대상으로 사업을 하는 경우 적용대상이 될 수 있음.

시행 후 DPO 지정과 영향평가 등 기업의 책임과 정보 이동권등 정보주체의 새로운 권리가 추가됨

 

2. 목적

디지털 싱글마켓에 적합한 통일되고 단순한 프레임워크, 권리 의무 신뢰, 현대화된 개인정보보호 거버넌스 체계 마련

 

3. 개요

법적 효력 - GDPR은 지침과 달리 법 형식으로 제정되어 법적 구속력을 가짐

 

처리 원칙 - 합법성, 공정성, 투명성, 목적 제한, 최소처리, 정확성, 보유기간 제한, 무결성 및 기밀성, 책임성

 

적용 범위 - EU내 사업장 운영하며 개인정보 처리, EU 거주자에게 재화나 서비스 제공, EU 거주자의 EU 내 행동 모니터링. EU 내 사업장을 운영하여 개인정보 처리를 수반하는 경우 실제 개인정보가 EU 지역에서 처리되는지 여부와 관계 없음. EU 외에서 EU 내 정보주체에게 재화나 서비스를 제공하는 경우 정보주체가 실제 재화 또는 서비스의 비용을 지불하였는지와 관계없음

 

적용 대상 - 개인정보, 개인 정보 처리에 적용되는 개인정보(IP, 쿠키 정보 등)

 

과징금 -

PbD 등 컨트롤러 의무 위반 시 1천만 유로 OR 전세계 매출 2% 중 높은 금액

개인정보처리원칙, 동의조건, 정보주체 권리보장 의무 위반 시 2천만 유로 OR 전세계 매출 4% 중 높은 금액

 

정보주체 권리 - 정보를 제공받을 권리, 열람권, 정정권, 삭제권, 처리 제한권, 이동권, 반대권, 자동화된 의사결정

 

기업의 책임성 강화 대책 - DPO 지정, 개인정보 영향평가(DPIA), PbD, 처리 활동 기록(피고용인 250명 이상), 기술적 관리적 보호조치

 

개인정보 역외이전 - EEA(유럽경제지역), EU회원국(27개국)

 

4. 용어 정리

개인정보 - 식별되었거나 식별 가능한 자연인 관련 모든 정보

컨트롤러 - 개인정보의 처리 목적 및 수단을 단독 또는 제3자와 공동으로 결정하는 자연인, 법인, 공공기관, 에이전시, 기타단체 (개보법의 개인정보처리자, 위탁자와 유사)

프로세서 - 컨트롤러를 대신하여 개인정보를 처리하는 자연인, 법인, 공공기관, 에이전시, 기타 단체 (개보법의 개인정보취급자, 수탁자와 유사)

수령인 - 제3자인지 여부와 관계없이 개인정보가 공개되는 자연인이나 법인 이하 단체

처리 - 일련의 개인정보에 의해 수행되는 작업 

프로파일링 - 자연인의 특정한 개인적 측면을 평가하기 위해 개인정보를 사용하는 모든 형태의 자동화된 개인정보 처리 (인적 개입, 개인적 특성 평가 목적 시는 프로파일링에 해당 안됨)

가명화 - 추가적 정보 사용 없이 더 이상 특정 정보 주체를 식별할 수 없는 방식으로 수행된 개인정보 처리

민감정보 - 인종 민족의 기원, 정치견해, 종교 철학적 신념, 노조 가입 여부, 유전자 정보, 생체정보, 건강정보,  성생활, 성적 취향

 

5. 주요 원칙

적법성 - 정보주체의 동의, 정보주체와의 계약 이행이나 체결을 위한 처리, 법적 의무 이행을 위한 처리, 정보주체 OR 제3자의 중대한 이익을 위한 처리, 공익을 위한 처리, 컨트롤러 또는 제 3자의 적법한 이익 추구 목적의 처리

동의 시 반드시 사전동의가 필요하며 디폴트 세팅 금지

아동의 개인정보는 친권자의 동의를 얻어야함 만 16세 미만이 아동이며 회원국 법률로 만 13세까지 낮추어 규정 가능

 

6. DPO 요건

구분	DPO	CPO
지정의무자 및 사유	컨트롤러 또는 프로세서	모든 개인정보처리자
복수 단체의 단일지정	가능 사유 ㅇ	가능 사유  X
자격 요건	내 외부인 모두 가능	사업주나 대표자. 임원
직무	조언, 정책 준수 감시, 감시 감독당국과 협력	개인정보보호 관련 다양한 직접적인 업무
지정 신고 의무	O	X
겸직 금지	X	X

DPO 지정 의무 - 정부부처 또는 관련 기관 경우(법원 제외), 컨트롤러 또는 프로세서의 핵심활동이 대규모의 정기적이고 체계적인 모니터링이거나 민감정보나 범죄정보에 대한 대규모 처리인 경우

DPO는 GDPR을 준수하지 않는데 대하여 개인적인 책임 X, DPO가 아닌 컨트롤러 또는 프로세서가 GDPR을 준수하여 개인정보를 처리해야함. 즉 GDPR 준수는 컨트롤러나 프로세스의 책임

 DPO 역할 - GDPR 준수 여부에 대한 모니터링, 개인정보 영향평가에 대한 역할

DPO 독립성 - 과업 수행과 관련하여 컨트롤러나 프로세스의 지시를 받지 않고 성과에 대해 해고나 처벌 불가