1.EEA (European Economic Area, 유럽경제지역)
- EU 회원국과 아이슬란드, 노르웨이, 리히텐슈타인으로 구성된 단일 통합 시장
2. EU - GDPR 주요 원칙
- EU - GDPR 주요 원칙으로 6가지 개인정보 적법 처리 조건이 있음.
- 기업은 개인정보 처리 전에 반드시 적법한 처리 근거를 확보하였는지 여부를 확인할 필요가 있음
- 개인정보 처리의 적법성 (Lawfulness of Processing)
- 1. 정보주체의 동의
- 2. 정보주체와의 계약 이행이나 계약 체결을 위해 필요한 처리
- 3. 법적 의무 이행을 위해 필요한 처리
- 4. 정보주체 또는 다른 사람의 중대한 이익을 위해 필요한 처리
- 5. 공익을 위한 임무의 수행 또는 컨트롤러에게 부여된 공적 권한의 행사를 위해 필요한 처리
- 6. 컨트롤러 또는 제3자의 적법한 이익 추구 목적을 위해 필요한 처리
- 기업은 개인정보 처리 전 반드시 적법한 처리 근거 확보 및 여부확인 필요
- 동의 (Consent)
- 1. 지침 (Directive) 보다 동의 요건 강화
- 정보주체가 진술 또는 적극적 행동으로 개인정보 처리에 대한 동의를 나타내는 본인의사를 자유롭게 제시하는 구체적이고 뚜렷하며 모호하지 않은 표시
- GDPR 은 동의 방법에 구체성 추가
- 2. 침묵, 부작위, 디폴트 세팅, 미리 체크된 박스는 유효한 동의가 아님
- 사전 동의 (Opt-in consent) 이어야 함
- 1. 지침 (Directive) 보다 동의 요건 강화
- 아동 개인정보 (Children's personal data)
- 1. 만 16세 미만의 아동에게 온라인 서비스 제공 시 '아동의 친권을 보유하는 자'의 동의를 얻어야 함
- 2. GDPR은 동의 방법에 구체성 추가
- -> 오프라인 서비스에 적용 여부 규정 없음, 지침(Directive) 보다 아동에 대해 더 강한 보호
- 3. 회원국 법률로 만 13세 미만까지 낮추어 규정 가능 -> 아동에 대한 별도의 정의 없음
4. 민감 정보 (Special categories of personal data)
- 생체정보도 민감정보에 포함되나 모든 생체정보가 민감정보에 포함되는 것은 아니고 정보 주체를 식별한 목적으로 이용되는 생체정보 (지문, 홍채, 성문, 안면윤곽 등)만 민감정보로 보호받음
- 범죄정보는 GDPR 제10조에 의해서 별도로 보호를 받고 이 씨 때문에 제9조의 민감정보 처리에 관한 처리 규정은 적용되지 않음
- 민감정보는 정보주체에 대한 불법적인 차별을 목적으로 이용되는 등 정보주체의 기본적 권리와 자유에 보다 중요한 위험을 초래할 수 있기 때문에 별도의 보호가 필요
- 회원국은 국내법으로 GDPR 제9조 제4항에 따른 유전자정보, 생체정보, 건강정보의 처리에 대해 추가 요건 규정
- 민감정보 원치적 처리 금지
- 민감정보 처리가 가능한 경우
- 정보주체의 명시적(explicit consent)의 경우
- GDPR은 명시적 동의에 대한 별도 정보 처리 없음
- 민감정보의 처리
- 1. 정보주체의 명시적 동의를 획득한 경우 (다만 동의에 근거하는 것이 EU 또는 회원국 법률에 의해 금지되는 경우는 제외)
- 2. 고용, 사회안보, 사회보장 및 사회보호법 또는 단체협약에 따른 의무의 이행을 위하여 필요한 경우
- 3. 정보주체가 물리적 또는 법적으로 동의를 할 능력이 없는 경우에 정보주체 또는 다른 자연인의 중대한 이익을 보호하기 위하여 필요한 경우
- 4. 정치 철학 종교 목적을 지닌 비영리 단체나 노동조합이 하는 처리로, 회원이나 과거 회원 (또는 그 목적과 관련하여 정규적인 접촉을 유지하는 자)에 관해서만 처리하며, 또한 동의 없이 제삼자에게 공개하지 않는 경우
- 5. 정보주체가 명백히 일반에게 공개한 정보를 처리하는 경우
- 6. 법적 청구권의 설정, 행사, 방어 또는 법원이 재판 목적으로 처리하는 경우
- 7. 중대한 공익을 위하여 또는 EU 법이나 회원국법을 근거로 하는 처리로, 추구하는 목적에 비례하고 적절한 보호조치가 있는 경우
- 8. EU 법이나 회원국법 또는 의료 전문가와의 계약을 근거로, 예방 의학이나 직업 의학, 종업원의 업무 능력 판정, 의료 진단, 보건 사회복지, 치료, 보건이나 사회 복지시스템의 관리 및 서비스 등의 제공을 위해 필요한 경우
- 9. 국경을 넘은 심각한 보건 위협으로부터의 보호 또는 의료 혜택 및 약품이나 높은 수준의 의료장비 확보 등 공중보건 영역에서 공익을 위하여 필요한 경우
- 10. 공익을 위한 기록 보존 목적이나 과학적, 역사적 연구 목적, 통계 목적을 위하여 제89조 제1항에 따라 필요한 경우
'정보보안 자격증 > CPPG' 카테고리의 다른 글
| CPPG 예상문제 2 - 문제 + 답 + 해설 (0) | 2024.07.10 |
|---|---|
| CPPG9. 개인정보의 이해 - EU-GDPR DPO 요건 (0) | 2024.07.10 |
| CPPG7. 개인정보의 이해 - EU GDPR 기업의 책임성 강화 (0) | 2024.07.10 |
| CPPG6. 개인정보의 이해 - EU GDPR 조항 (0) | 2024.07.10 |
| CPPG5. 개인정보의 이해 - EU GDPR (0) | 2024.07.10 |