[5일차]개인정보 보호법의 상세 내용과 패널티

김준석·2023년 12월 26일

Today I Learned - 데브코스 데이터분석

데브코스_데이터분석-데이터 분석 소개[1주차]

목록 보기

27/29

개인정보 보호법의 중심에 있는 GDPR을 기준으로 알아보자.

GDPR이란?

유럽연합의 개인정보보호 법령
유럽연합내 모든 회원국에 일괄 적용
- 더 이상 권고가 아님
적용 대상 기업
- 유럽연합 내의 회사가 아니어도 EU사용자가 있는 서비스의 경우 모두 적용대상
- 많은 글로벌 회사들이 GDPR준수를 위해 엄청난 노력을 기울임

GDPR 위반시 패널티

동 법령 위반시 과징금 등 행정처분
LV1 : 일반적 위반사항
- 대리인 미지정 위반(미성년자의 경우), 유출 통지 위반, 개인정보 처리활동 기록 위반 등
- 전 세계 매출액 2% (전해 기준) 또는 1천만 유로(약 125억원) 중 높은 금액
LV2 : 중요한 위반사항
- 국외이전 규정 위반, 개인정보처리 기본원칙 위반, 정보주체의 권리 보장 의무 위반 등
  - 정보주체의 권리 보장 의무 위반 : GDPR이 가진 혁신적인 법령. 미국 캘리포니아에서 개인정보법을 만들때 많은 참고를 함.
- 전 세계 매출액 4% (전해 기준) 또는 2천만 유로(약 250억원) 중 높은 금액

구글과 유럽연합의 역사

유럽연합에서 9개월이 지난 사용자 검색기록은 지우라고 했지만 구글은 이를 지키지 않아 소송됨.(2006)2010년부터 시작된 구글의 자사 쇼핑검색 결과의 특혜를 주는 행동(예:무신사의 무탠다드 브랜드 상위노출)을 유럽연합이 소송을 걸었다.(2017)
1. 유럽연합은 구글과 같은 대형 독점 시스템이 편파적인 행동을 해서는 안된다는 입장. 알고리즘으로만 보여줘라!구글의 안드로이드 독점과 관련한 벌금(2018)

구글과 유럽은 악연이 많네..

GDPR 세부사항

이전보다 동의 요건 강화, 아동정보에 대해 더 강한 보호(대리인 미지정 위반)
민감정보의 처리는 원칙금지(회원국에 따라 달라진다.)
정보주체의 권리 강화
- 개인이 요청시 회사들은 30일 이내에 답해야 됨.
- 권리 종류
  - 삭제권 : 정보주체는 본인에 관한 개인정보 삭제를 요구할 수 있다.
  - 프로파일링 거부권 : 나의 정보를 활용하여 프로파일링 할 수 없도록 요구할 수 있음.
  - 처리제한권(신설) : 앞으로는 내 기록, 혹은 특정 기록은 사용하지 말라고 요구할 수 있음.
  - 정보이동권(신설) : 기업이 알고있는 나의 모든 정보를 다른 곳으로 이동할 수 있도록 알려달라고 할 수있다.
  - 큰 회사들은 셀프 서비스 시스템을 만들어 대응
    - ● 구글 ▪ https://takeout.google.com/?pli=1
    - ● 페이스북 ▪ Accessing & Downloading Your Information
    - ● 마이크로소프트 ▪ http://account.microsoft.com/privacy