정보보안 자격증/CPPG

CPPG5. 개인정보의 이해 - EU GDPR

rinaisme 2024. 7. 10. 00:46

1. EU-GDPR 배경

  • 2018년부터 시행
  • EU의 개인정보보호 법령으로 위반 시 과징금 및 행정처분이 부과
  • EU 내 사업장이 없더라도 EU를 대상으로 사업을 하는 경우 적용대상이 됨
  • GDPR 제정 목적 및 주요 변화
    • 1. 디지털 싱글마켓에 적합한 통일되고 단순화된 프레임워크
      • 단일 개인정보보호법 적용
      • 원스톱샵 메커니즘
    • 2. 권리 (Stronger rights), 의무 (Clearer obligations), 신뢰 (More trust)
      • 정보주체 권리 확대: 동의 요건 강화, 데이터 이동권, 잊힐 권리 등 도입
      • 기업의 책임성 강화: DPO (Data protection officer) 지정, 개인정보 유출 통지 신고제 도입
      • 현대화된 개인정보보호 거버넌스 체계 마련
        • 개인정보 감독기구 간 협력 강화 (예: 공동 조사)
        • 법 적용의 일관성을 보장하기 위한 European Data Protection Board 설립 (2018)
        • 신뢰할 수 있고 비례적인 제재 부과 (예: 위반의 성격, 기반, 경중 등 11가지 기준 고려)

2. GDPR  제, 개정  연혁

  • 2012 (제안) Data Protection Directive (DPD 95/46 EC)
    • 1995년 10월 24일 채택 및 시행
    • 지침을 반영한 회원국 별도 입법 필요
    • 각 회원국 법령간 규제 수준의 차이 발생
    • 총 7장, 72개 전문, 34개 본문으로 구성
  • 2016 (채택) GDPR (General Data Protection Regulation)
    • DPD 이후 변화된 인터넷 기술 환경 반영
    • 4년간의 합의 및 3천 건 이상 수정안 제출
  • 2018 (시행) GDPR (General Data Protection Regulation)
    • 2016년 5월 27일 채택 (2년 유예)
    • 2018년 5월 25일부터 실행
    • 모든 EU 회원국에게 직접적으로 적용되고, 회원국 간 통일된 법적용 규제 가능
    • 총 11장, 173개 전문, 99개 본문으로 구성

3. GDPR 시행 전후 비교

  • 시행 전
    • 기업의 책임: 개인정보 최소 처리, 처리목적 통지 등
    • 정보주체 권리: 열람 청구권 등
    • 과징금 부과: 회원국별 자체 법규에 따라 부과
  • 시행 후 (GDPR)
    • DPO 지정, 영향평가 등 추가
    • 정보이동권 등 새로운 권리 추가
    • 모든 회원국이 통일된 기준으로 부과

4. EU-GDPR 개요

  • GDPR은 지침 (Directive)과 달리 'Regulation'이란 법 형식으로 제정되어 법적 구속력을 가짐
  • 모든 EU 회원국 내에 직접적으로 적용
  • 기존 Directive에서는 회원국 간 개인정보보호  법제가 서로 달라 규제에 어려움, GDPR 제정을 통해 통일된 정보보호 규제 가능
  • GDPR 일부 조항에 대해서는 회원국의 별도 입법 필요
  • 기업은 GDPR 이외에 각 회원국의 개인정보보호 관련 입법 동향에 대해 지속적인 모니터링 필요
  • Directive는 각 회원국에 대한 입법 지침(가이드라인) 역할을 할 뿐이므로, 회원국 내 적용을 위해서는 지침을 반영한 각국의 개별 입법 필요
    • GDPR의 법적 효력 (법원)
      • 유럽연합조약 (The treaty on European Union: TEU)
      • 유럽연합기능조약 (The Treaty on the Functioning of the European Union: TFEU)
        • (제16조 1항) 개인정보보호권 (right to the portection of personal data) 명시
        • (제16조 2항) 유럽의회와 이사회는 개인정보보호 규정을 제정해야 함을 명시
      • 유럽연합기본권헌장 (The Charter of Fundamental Rights of The EU)
        • (제8조 1항) 개인정보보호권 (right to the protection of personal data) 명시
        • (제8조 2항) 목적 명확, 동의 원칙, 열람 정정권 명시
        • (제8조 3항) 독립적 기관에 이한 통제 필요 명시
      • GDPR
        • Regulation (규칙)
          • 회원국에 직접 적용 (EU 회원국의 정부나 민간 활동을 규제)
        • Directive (지침)
          • 회원국이 준수하여야 할 최소한의 요건
          • 회원국은 지침에 따라 국내법을 제정, 개정 (회원국 사정에 따라 더 엄격하게 규정 가능)
        • Decision (결정)
          • 적용 대상을 특정 국가, 기업, 개인에 한정

5. GDPR의 개인정보 처리 원칙

  • 합법성, 공정성, 투명성
    • 개인정보는 정보주체와 관련하여 합법적이고, 공정하며, 투명한 방식으로 처리
  • 목적 제한
    • 개인정보는 특정되고 명시적이며 적법한 목적으로 수집, 그러한 목적과 양립하지 않는 방식으로 처리 x
  • 최소 처리
    • 개인정보는 처리되는 목적과 관련하여 적정하고 관련성이 있으며 필요한 범위로 제한
  • 정확성
    • 개인정보는 정확해야 하고, 필요한 경우 최신성을 유지
  • 보유기간의 제한
    • 개인정보는 처리목적을 위해서 필요한 기간 내에 정보주체를 식별할 수 있는 형태로 보유
  • 무결성 및 기밀성
    • 개인정보는 적정한 기술적 또는 관리적 조치를 이용하여 개인정보의 적정한 보안을 보장하는 방식
  • 책임성
    • 컨트롤러는 개인정보보호 원칙에 대하여 책임성을 갖춰야 하며, 그에 대한 준수 여부를 증명 가능

6. GDPR 적용 범위

  • 기업의 GDPR 적용 범위
    • EU 내에 사업장 (establishment)을 운영하며, 개인정보 처리
    • EU 거주자에게 재화나 서비스를 제공
    • EU 거주자의 EU 안 행동을 모니터링
  • EU 안
    • 적용범위: EU 내 사업장을 운영하며 개인정보 처리를 수반하는 경우
    • 비고: 실제 개인정보가 EU 지역에서 처리되는지 여부와 관계없음
  • EU 밖
    • EU 내 정보주체에게 재화나 서비스를 제공하는 경우
    • 정보주체가 실제로 재화 또는 서비스의 비용을 지불하였는지와 관계없음

7. EU-GDPR 적용 대상정보

  • 개인정보 (Personal Data)
    • 식별되었거나 또는 식별가능한 자연인(정보주체)과 관련된 모든 정보
    • 사망한 사람은 개인정보에 적용되지 않음. (단, 개별 회원국의 사망 개인정보처리에 관련한 별도 규정 제한하지 않음)
    • 개인이 아닌 법인의 이름, 법인 연락처 등에 적용되지 않음
  • 개인정보 처리에 적용되는 개인정보
    • 지침에 명시되지 않았던 위치정보, 온라인 식별자 등이 개인정보 정의에 포함
    • 기기, 애플리케이션, IP, 쿠키 정보 등이 다른 정보와 결합되어 개인을 식별할 수 있을 때 이들도 개인정보 범주에 속함

8. GDPR 과징금

  • Privacy by Design (기술적, 관리적 조치) 등 controller 의무 위반 -> 1천만 유로 (한화 약 124억 원) 또는 전 세계 매출액의 2% 중 높은 금액
  • 개인정보 처리원칙, 동의조건, 정보주체 권리보장 의무 위반 등 -> 2천만 유로 (한화 약 248억 원) 또는 전 세계 매출액의 4%중 높은 금액

9. 정보주체의 권리

  • GDPR
    • 1. 정보를 제공받을 권리 [제12조 ~ 14조 ]
    • 2. 정보 주체의 열람권 [제12, 15조]
    • 3. 정정권 [제 12, 16, 19조]
    • 4. 삭제권 (잊힐 권리) [제12, 17, 19조]
    • 5. 처리 제한권 [제 12, 18, 19조]
    • 6. 개인정보 이동권 [제12, 20조]
    • 7. 반대권 [제 12, 21조]
    • 8. 프로파일링을 포함한 자동화된 의사결정 [제12조, 22조]
  • 개인정보보호법
    • 제20조 (정보주체 이외로부터 수집한 개인정보의 수집 출처 등 고지)
    • 제35조 (개인정보의 열람)
    • 제36조 (개인정보의 정정삭제)
    • 제37조 (개인정보의 처리정지)
    • 제38조 (권리 행사의 방법 및 절차)

10. 한-EU [개인정보보호 적정성 결정(Adequacy Decision)] (2021년 12월 17일)

  • 이번 적정성 결정으로 한국이 개인정보 국외이전에 있어 EU 회원구에 준하는 지위를 부여받음
  • 한국 기업들의 경우 표준계약 등 기존의 까다로운 절차가 면제됨
  • 이에 따라 한국 기업들의 EU 진출이 늘어나고, 이를 위해 기업이 들여야 했던 시간 및 비용이 대폭 절감될 것
  • 한 - EU 기업 간 데이터 교류, 협력 강화로 인해 국내 데이터 경제 활성화에 크게 기여
  • 적정성 결정 전: 별도의 안전성 확보 조치 마련 필요
  • 적정성 결정 이후: 별도 조치 마련 의무 면제 및 법 위반 우려 경감
  • 단, EU 시민의 개인정보를 수집하고 처리하는 사업자의 전반적인 GDPR 준수 의무가 없어지는 것은 아니며, 역외이전 관련 의무 부담만 경감
  • 특히, 금융기관이 보유한 개인 신용정보의 역외이전은 이전과 동일하게 표준계약 체결 등이 필요

 

 

'정보보안 자격증 > CPPG' 카테고리의 다른 글

CPPG7. 개인정보의 이해 - EU GDPR 기업의 책임성 강화  (0) 2024.07.10
CPPG6. 개인정보의 이해 - EU GDPR 조항  (0) 2024.07.10
CPPG 예상문제 1  (0) 2024.07.07
CPPG4. 개인정보의 이해 - 해외 개인정보 보호 제도  (0) 2024.07.07
CPPG3. 개인정보의 이해 - 개인정보 가치산정  (0) 2024.07.07

'정보보안 자격증/CPPG'의 다른글

  • 현재글CPPG5. 개인정보의 이해 - EU GDPR

관련글

티스토리툴바