GDPR
- 2018년 5월부터 25일부터 시행되고있는 EU의 개인정보보호 법령
위반시 과징금 등 행정처분 부과 - EU내 사업장이 없더라도 EU를 대상으로 사업을 하는경우 적용대상이 될수 있음
- 모든 EU 회원국에게 직접적으로 적용
GDPR 제정 목적 및 주요변화
-
디지털 단일시장에 적합한 통일 되고 단순한 프레임 워크
- 단일 개인정보보호법 적용(One single set of data protection rules)
- 원스톱샵 메커니즘(One stop shp : 1 interlocuotor and 1 interpretation)
-
권리와 의무 강화
- 권리(Stronger rights ) ,의무(Clearer obligations), 신뢰(More trust)
- 정보주체 권리 확대: 동의 요건 강화, 데이터 이동권/잊혀질 권리 등 도입
- 기업의 책임성 강화: DPO 지정, 개인정보 유출 통지 신고제 등 도입
-
현대화된 개인정보보호 거버넌스 체계 마련
-
개인정보 감독기구간 협력 강화(예: 공동조사)
-
법 적용의 일관성을 보장하기 위한 European Data Protection 설립 (2018)
-
신뢰할 수 있고, 비례적인 제재 부과(Credible and propotionale sanctions)
(예: 위반의 성격, 기간, 경중 등 11가지 기준 고려)
-
GDPR 적용 대상 범위
-
EU 내에 사업장(estabishment)을 운영하며, 개인정보 처리
-
EU 거주자에게 재화나 서비스를 제공
-
EU 거주자의 EU 內 행동을 모니터링
-
GDPR 정요 대상은 '국적'이 아닌 'EU 거주자'에 해당하는 고려
- 따라서 EU 국적자의 개인정보가 한국에서 수집 처리 되는 경우, GDPR이 적용되지 않을 수 있지만,
한국의 정보가 EU 역내에서 수집 처리 되면 EU 거주자에 해당되며 GDPR이 적용될 수는 있음.
- 따라서 EU 국적자의 개인정보가 한국에서 수집 처리 되는 경우, GDPR이 적용되지 않을 수 있지만,
-
'명백히' EU시장을 염두에 두고 있을 떄 적용되며, 단순 접근 가능성은 GDPR 적용의 근거가 되지 않음
- 기업이 재화나 서비스를 유로화 유통하거나 프랑스어, 독일어 등으로 홈페이지 구성할 경우
명백한 타겟팅의 근거가 되지만, 영어 및 달러화만을 활용할 경우 GDPR의 규제 대상이 되지 될수 있음
- 기업이 재화나 서비스를 유로화 유통하거나 프랑스어, 독일어 등으로 홈페이지 구성할 경우
기업 입장의 단계별 준비 사항
-
GDPR 적용여부, 개선 소요시간 등을 고려 3단계로 나누어 준비
- 1단계: 개인정보 처리 현황을 점검하여 GDPR 적용 대상인지 확인
- 2단계: GDPR 적용 대상인 경우 기 배포된 안내서, 가이드라인 등을 참고하여 개인정보보호책임자(DPO) 지정 등 직시 개선 가능한 사항 이행
- 3단계: GDRP 기준에 적합한 개인정보 처리 방법, 동의 획득 절차 등 내부 지침을 개선하고 영향평가 등에 소요되는 예산, 조직 등 보완
-
GDPR 적용 대상인지 여부 판단
-
EU 주민의 개인정보를 처리하는 아래 기업은 GDPR 적용 대상임
-
- EU에 사용장을 운영하는 기업(지점, 판매소, 영업소 등) - EU 지역에 사업장은 없지만, 인터넷 홈페이지등을 통해 EU에 거주하는 주민에게 물품,서비스를 제공하는 기업 - 예) 현지어로 마켓팅 활동을 하거나 현지 통화로 결제하는 경우특히, 아래 기업은 더 강화된 기준을 적용받으므로 특별한 주의를 요함 - EU 주민의 민감한 정보(건강, 유전자, 범죄경력 등) 또는 아동의 개인정보를 처리하는 기업 - 공개적으로 접근 가능한 장소에 대한 대규모의 체계적인 모니터링을 하는 기업(CCTV)
-
-
즉시 개선 가능한 사항 이행
-
개인정보보호 책임자(DPO, Data protection Officer) 지정
- 개인정보보호 관련지식 및 실무경험을 갖춘 자로 책임자 지정 - 특히, 정보주체에 대하여 정기적이고 체계적인 모니터링을 하거나 건강정보 등 민감한 정보를 처리하는 기업은 반드시 필요
-
개인정보 처리활동 기록 유지, 관리
- GDPR 준수를 입증하기 위해 개인정보 처리활동에 관한 기록 유지 - 종업원 수 250명 이상인 기업 또는 건강,유전정보,범죄경력 등 민간 정보를 처리하는 기업의 경우에는 필수적으로 유지 관리해야함.
-
역내 대리인으로 서면으로 지정(해당되는 경우에 한함)
- EU 역내에 사업장이 없는 기업은 EU 역내 대리인 지정 필요 - 다만, 정부부처 또는 관련 기관경우, 해당 처리가 간헐적 소규모의 개인정보 처리로 민감정보로 처리하지 아니하고 개인의 권리와 자유렝 대한 위험이 낮은 경우 대리인을 지정하지 아니할 수 있음
-
-
제도, 예산, 조직 등 업무체계 보완
-
기업 내 개인정보 처리현황 점검 및 내부 업무절차 개선
- 보관중인 개인정보의 항목(민감정보 포함 여부 등) 동의 획득 절차, 정보주체 권리보장, 유출시 조치 방법 등 제반사항을 점검하고 GDPR 요구 수준을 충족할 수 있도록 내부 업무 처리 절차 개선
-
개인정보 영향평가 실시(해당 되는 경우에 한함)
- 개인정보 처리 유형에 따라 개인의 권리 자유에 고위험을 초래할 우려가 있는 경우에는 사전에 영향평가를 실시하여 위험을 완화 - 특히, 개인에게 중대한 영향을 미치는 자동 처리, 대규모 민감정보, 공개장소서의 체계적 모니터링 등의 경우는 반드시 실시해야 함.
-
개인정보 국외 이전에 대한 적법성 확보(해당되는 경우에 한함)
- 표준계약의 체결, 회사의 구속력 있는 기업규칙(BCR)의 승인, 승인된 행동 규약 또는 인증제도, 정보주체의 동의 등을 통한 적법성 확보
-
-
영국 개인정보 감독 기구에서 권장하는 준비사항
-
경영진의 인식 제고
- 주요 의사 결정권자 등의 인식제고와 예산, 인력 등을 포함한 전사적 대응방안을 준비
-
보유하고 있는 정보에 대한 이해
- 보유하고 있는 개인정보의 종류와 수집 경로, 처리 절차 등을 분석해 이를 문서화하고, 유출 사고 등 비상시에 대비한 대응 절차를 마련
-
기업 내부의 개인정보 처리 방침 수립
- 현재의 개인정보 처리 방침을 검토하여 GDPR 준수에 필요한 내부 관리 지침을 마련 및 보완
-
정보주체의 권리에 대한 이해
- 개인정보 열람권, 삭제요구권, 개인정보 이동권 등 정보주체에게 보장된 권리를 이해하고, 이를 보장할 수 있는 절차 마련 및 임직원 교육 실시
-
정보주체의 권리보장 방안 마련
- 정보주체의 요청을 기한 내에 처리하고 필요한 추가 정보를 제공할 수 있도록 필요한 절차와 계획을 수립
-
개인정보 처리의 법적 근거 확보
- 처리하고 있는 정보의 내용과 유형을 점검하고, GDPR상의 위반사항이 있는지 확인, 필요시 정보주체의 동의를 받는 등 법적근거를 확보해야 함
-
동의 획득 절차 수정 및 재획득
- 동의 획득 절차를 재점검해 수정이 필요한 부분이 있는지 검토하고, GDPR 기준을 충족하지 못한 경우 기존의 동의를 기준에 맞게 재획득
-
아동의 동의 획득 방안 강구
- 정보주체의 연령을 확인하고, 아동의 정보처리 활동에 대해 부모 또는 보호자의 동의를 얻을 수 있는 절차 마련
-
개인정보 유출 통지 절차 마련
- 개인정보 유출 사고를 탐지하고 감독기구, 정보주체 등에 통지 및 조사하는 적합한 절차를 마련
-
개인정보 영향평가 도입
- 영향평가 관련 조항 지침을 숙지하고, 영향평가 의무 수행 요건 및 수행 방법을 조직내에서 공유
-
DPO(개인정보보호책임자) 임명
- 전문직 지식과 실무 경험이 있는 전문가를 지정
-
관할 감독기구 확인
- 하나 이상의 EU 국가에서 개인정보 처리 활동을 수행할 경우, 어느 국가의 감독 기구 관할인지 확인 필요
-
