GDPR: Difference between revisions

From IT Wiki
No edit summary
No edit summary
 
(12 intermediate revisions by 3 users not shown)
Line 1: Line 1:
[[분류:보안]][[분류:컴플라이언스]][[분류:개인정보보호‏‎]]
'''G'''eneral '''D'''ata '''P'''rotection '''R'''egulation
'''G'''eneral '''D'''ata '''P'''rotection '''R'''egulation
2018년 5월 25일부터 시행되는 유럽연합(EU)의 개인정보보호 일반법
2018년 5월 25일부터 시행되는 유럽연합(EU)의 개인정보보호 일반법
Line 5: Line 6:
* Directive는 각 회원국들의 입법 방향을 제시 할 뿐 강제·구속력은 없었으나, GDPR은 EU 모든 회원국에 직접적인 법적 구속력을 가짐
* Directive는 각 회원국들의 입법 방향을 제시 할 뿐 강제·구속력은 없었으나, GDPR은 EU 모든 회원국에 직접적인 법적 구속력을 가짐
* 서문(Preamble or Recital) 173항 + 11장 99조로 구성
* 서문(Preamble or Recital) 173항 + 11장 99조로 구성
== 제정 목적 ==
* '디지털 싱글 마켓'에 적합한 통일되고 단순화된 프레임워크
** 단일 개인정보보호법 적용(One Single set of data protection rules)
** 원스톱 샵 메커니즘(One-Stop-Shop : 1 interlocutor and 1 interpretation)
* 권리와 의무 강화(Strong rights, Clearer Obligations, More Trust)
** 정보주체 권리 확대 : 동의 조건 강화. 데이터 이동권/잊혀질 권리 등 도임
** 기업의 책임성 강화 : DPO 지정, 개인정보 유출 통지 신고제 등 도입
* 현대화된 개인정보 거버넌스 체계 마련
** 개인정보 감독기구간 협력 강화(예 : 공동조사)
** 법 적용의 일관성을 보장하기 위한 European Data Protection Board 설립
** 신뢰할 수 있고 비례적인 제재 부과(credible and proportionate sactions)
== 주요 용어 ==
GDPR을 이해하기 위해 필수적으로 이해해야 할 용어들. 같은 용어라도 한국 개인정보보호법과 다르게 정의되므로 사전에 충분한 파악이 필요하다.
* '''개인정보(제1항, Personal Data)'''
** '개인정보'란 식별되었거나 또는 식별가능한 자연인(정보주체)과 관련된 모든 정보를 의미
** '식별가능한 자연인'은 온라인 식별자(online identifier) 등의 실별자를 참조하거나 하나 이상의 신체적·생리적·유전적·정신적·경제적·문화적 또는 사회적 정체성에 대한 사항을들 참조하여 식별할 수 있는 사람을 뜻함
* '''컨트롤러(제7항, Controller)'''
** '컨트롤러'란 개인정보의 처리 목적 및 수단을 단독 또는 제3자와 공동으로 결정하는 자연인, 법인, 공공 기관(public authority), 에이전시(agency), 기타 단체(other body)를 의미
** 이러한 처리의 목적 및 수단이 EU 또는 회원국 법률에 의해 결정되는 경우, 컨트롤러의 지명 또는 지명을 위한 특정 기준(specific criteria)은 EU 또는 회원국의 법률에서 규정될 수 있음
* '''프로세서(제8항, Processor)
** '프로세서'란 컨트롤러를 대신하여 개인정보를 처리하는 자연인, 법인, 공공 기관(public authority), 에이전시(agency), 기타 단체(other body)를 의미


== Directive와의 비교 ==
== Directive와의 비교 ==
* GDPR이 기존 EU의 지침과 내용상에 큰 차이가 있는 것은 아님(주요 기본 원칙은 거의 동일)
* GDPR이 기존 EU의 지침과 내용상에 큰 차이가 있는 것은 아님(주요 기본 원칙은 거의 동일)
* 기존 Directive도 까다로웠지만 강제력이 부족했고, 과징금의 강도가 약하였음
* 기존 Directive도 까다로웠지만 강제력이 부족했고, 과징금의 강도가 약하였음
* 가장 큰 차이는 Directive → Regulation. 즉 실제 집행 가능성이 커진 것
* '''주요 이슈'''
* 이슈가 되는 것은 전 세계 매출액 4%라는 큰 과징금 기준
** Directive → Regulation. 즉 실제 집행 가능성이 커진 것
** 지리적 적용 범위 확대. 한국 등 역외기업 까지 제재 가능
** 최대 전 세계 매출액 4%라는 큰 과징금 기준


== 국내법과의 비교 ==
== 국내법과의 비교 ==
; 한국법이라고 하는 것은 개인정보보호법, 정보통신망법, 신용정보법 등 관련법들을 아울러서 말함
* 원칙의 적용 차이
* 원칙의 적용 차이
** 한국 개인정보보호법에서의 원칙은 말 그대로 원칙으로 구속력이 없다.
** '''한국법''' 개인정보보호원칙은 말 그대로 원칙으로 구속력이 없다. 제재는 구체적인 조항을 어겼을 때만 가능
** 과징금 부과 등의 법적인 처벌은 구체적인 조항을 어겼을 때만 가능
** '''GDPR'''에서의 원칙은 절대적. 구체적 조항이 없더라도 원칙에 부합하지 않는 것만으로도 제재 가능
** GDPR에서의 원칙은 절대적. 구체적 조항이 없더라도 원칙에 부합하지 않는 것만으로도 제재 가능
 
* 수집·이용 적법성에 관한 차이
** 한국은 오로지 동의 base
** 다른 예외 조항들은 대부분 해당사항이 없으며 동의를 받는 것이 기본
** 동의를 받기가 쉬우며, 철회나 무효화가 쉽지 않음
** GDPR은 동의 외에도 총 6가지의 방안이 있음
** 동의는 훨씬 까다로움
** 동의를 미흡하게 받을 경우 법적 분쟁이 있을 경우 무효화 될 수 있음
 
- 동의를 철회하면 rollback 해야 함
 
- 동의 보다도 다른 적법성 요소를 찾는 경우가 많음
 
 
 
아동의 기준
 
- 한국은 만 14세
 
- 유럽은 기본적으로 16세. 13~16세 회원국의 법에 따라 달리 할 수 있음
 
 
 
민감정보의 기준
 
- 전체적인 의미는 비슷함
 
- 유럽은 민족·인종에 대한 정보를 민감 정보로 보고 있음.
 
 
 
범죄정보
 
- 범죄 정보에 대한 정의, 처리법 등 내용이 GDPR에 있음
 
- 개인정보보호법에선 없고 형의 실효 등에 관한 법률에서 따로 다룸
 
 


개인정보 수집 시 고지사항
* 개인정보 보호책임자
** '''한국'''에선 일반적으로 CPO. 규모에 따라 CISO가 겸임하기도 함
*** 임원급(최소 부서장)이 하도록 되어 있어 실무를 담당한다기 보단 일반적으로 결재를 하고 책임을 지는 역할
** '''GDPR'''에선 DPO라는 개념을 정의
*** 단순히 책임을 지는 것이 아니라 실무를 겸하여 포괄적인 권한을 가짐
*** 외부 전문가 위촉 가능
*** 한 DPO가 여러 기업의 DPO를 할 수도 있음
*** 책임자 보다는 전문가 개념


- EU 6+6 또는 6+7가지
*아동의 기준
** '''한국법'''은 만 14세
** '''GDPR'''은 기본적으로 16세. 13~16세 회원국의 법에 따라 달리 할 수 있음


- 한국 4가지
*민감정보의 기준
** 전체적인 의미는 비슷함
** GDPR에선 추가로 민족·인종에 대한 정보를 민감 정보로 보고 있음.


*범죄정보
** 범죄 정보에 대한 정의, 처리법 등 내용이 GDPR에 세부적으로 규정되어 있음
** 개인정보보호법, 신용정보법 등 관련 법엔 없고 "형의 실효 등에 관한 법률"에 따름


* 개인정보 수집 시 고지사항
** '''GDPR'''은 6+6 또는 6+7가지
** '''한국법'''은 4가지


개인정보의 제3자 제공
* 개인정보의 제3자 제공
** '''한국법'''에선 경우 위탁자, 제3자를 모두 명시 해야 함
** '''GDPR'''의 경우 카테코리화 해서 표현 가능 (상담, 배송 등)


- 한국의 경우 위탁자, 제3자를 모두 명시 해야 함
* 개인정보 수집 출처 고지
** '''한국법'''은 공개된 개인정보는 일단 쓰고, 물어보면 알려주면 된다.
** '''GDPR'''의 경우 사전에 고지하고 사용해야 한다.


- EU의 경우 카테코리화 해서 표현 가능 (상담, 배송 등)
*정보주체의 권리  
 
** 이번 GDPR에서 이동권을 추가로 정의
 
** 이동권은 PSD2와도 연계되는 부분
 
개인정보 수집 출처 고지
 
- 한국의 경우 공개딘 개인정보는 일단 쓰고, 물어보면 알려주면 된다.
 
- EU의 경우 사전에 고지하고 사용해야 한다.
 
 
 
정보주체의 권리  
 
- EU의 경우 이동권을 추가로 정의
 
 
 
개인정보영향평가
 
- 한국에서는 공공기업만 함
 
- EU는 민감기업도 포함함
 
== 주요 용어 ==
GDPR을 이해하기 위해 필수적으로 이해해야 할 용어들. 같은 용어라도 한국 개인정보보호법과 다르게 정의되므로 사전에 충분한 파악이 필요하다.


*개인정보영향평가
** '''한국법'''에서는 공공기업만 함
** '''GDPR'''에선 민간기업도 포함함


==참고==
==참고==
* 과징금 부과의 11가지 기준
* 과징금 부과의 11가지 기준 : 흔히 알려진 전세계 매출의 4%, 1천만(2천만) 유로 등은 최대 상한선이며 실제로는 아래 11가지 기준에 의해 과징금이 정해짐. 그리고 위반 사항이 발견되었다고 바로 딱지가 날아오는 것이 아니라 과징금 부과 전 시정 조치, 경고, 조정 등의 과정이 있게 됨.
흔히 알려진 전세계 매출의 4%, 1천만(2천만) 유로 등은 최대 상한선이며 실제로는 아래 11가지 기준에 의해 과징금이 정해짐
** 위반의 성격, 중대성 및 지속 기간
** 위반의 의도성 또는 태만 여부
** 정보주체의 피해를 경감하기 위한 컨트롤러 또는 프로세서의 조치
** 기술적·조직적 조치를 고려한 컨트롤러 또는 프로세서의 책임 수준
** 컨트롤러 또는 프로세서가 이전에 범했던 관련 법규의 위반 여부
** 위반을 해결하고 위반으로 인한 부정적 영향을 경감하기 위한 감독기구와의 협조 수준
** 위반으로 인해 영향을 받는 개인정보의 종류
** 감독기구가 위반을 인지하게 된 경위, 특히 컨트롤러 또는 프로세서의 위반 통지 여부
** 동일한 사안에 대하여 컨트롤러 또는 프로세서에게 감독기구의 명령이 부과된 바가 있는지 여부
** 승인된 행동 강령 또는 인증 매커니즘의 준수 여부
** 위반으로 인해 직간접적으로 얻은 금전적 이익 또는 회피한 손실 등 가중 및 경감 요소


==출처==
==출처==
* [https://ec.europa.eu/info/law/law-topic/data-protection/data-protection-eu_en 공식 : Directive (EU) 2016/680]
* [https://ec.europa.eu/info/law/law-topic/data-protection/data-protection-eu_en 공식 : Directive (EU) 2016/680]
* [http://cppg.tistory.com/entry/다운로드-우리-기업을-위한-GDPR-안내서20175 우리 기업을 위한 GDPR 안내서]
* [http://cppg.tistory.com/entry/다운로드-우리-기업을-위한-GDPR-안내서20175 우리 기업을 위한 GDPR 안내서, 한국인터넷진흥원]

Latest revision as of 19:05, 8 June 2019

General Data Protection Regulation 2018년 5월 25일부터 시행되는 유럽연합(EU)의 개인정보보호 일반법

  • GDPR은 2018년 5월 25일부터 기존 개인정보보호지침(Directive 95/46/EC, 이하 Directive)를 대체
  • Directive는 각 회원국들의 입법 방향을 제시 할 뿐 강제·구속력은 없었으나, GDPR은 EU 모든 회원국에 직접적인 법적 구속력을 가짐
  • 서문(Preamble or Recital) 173항 + 11장 99조로 구성

제정 목적[edit | edit source]

  • '디지털 싱글 마켓'에 적합한 통일되고 단순화된 프레임워크
    • 단일 개인정보보호법 적용(One Single set of data protection rules)
    • 원스톱 샵 메커니즘(One-Stop-Shop : 1 interlocutor and 1 interpretation)
  • 권리와 의무 강화(Strong rights, Clearer Obligations, More Trust)
    • 정보주체 권리 확대 : 동의 조건 강화. 데이터 이동권/잊혀질 권리 등 도임
    • 기업의 책임성 강화 : DPO 지정, 개인정보 유출 통지 신고제 등 도입
  • 현대화된 개인정보 거버넌스 체계 마련
    • 개인정보 감독기구간 협력 강화(예 : 공동조사)
    • 법 적용의 일관성을 보장하기 위한 European Data Protection Board 설립
    • 신뢰할 수 있고 비례적인 제재 부과(credible and proportionate sactions)

주요 용어[edit | edit source]

GDPR을 이해하기 위해 필수적으로 이해해야 할 용어들. 같은 용어라도 한국 개인정보보호법과 다르게 정의되므로 사전에 충분한 파악이 필요하다.

  • 개인정보(제1항, Personal Data)
    • '개인정보'란 식별되었거나 또는 식별가능한 자연인(정보주체)과 관련된 모든 정보를 의미
    • '식별가능한 자연인'은 온라인 식별자(online identifier) 등의 실별자를 참조하거나 하나 이상의 신체적·생리적·유전적·정신적·경제적·문화적 또는 사회적 정체성에 대한 사항을들 참조하여 식별할 수 있는 사람을 뜻함
  • 컨트롤러(제7항, Controller)
    • '컨트롤러'란 개인정보의 처리 목적 및 수단을 단독 또는 제3자와 공동으로 결정하는 자연인, 법인, 공공 기관(public authority), 에이전시(agency), 기타 단체(other body)를 의미
    • 이러한 처리의 목적 및 수단이 EU 또는 회원국 법률에 의해 결정되는 경우, 컨트롤러의 지명 또는 지명을 위한 특정 기준(specific criteria)은 EU 또는 회원국의 법률에서 규정될 수 있음
  • 프로세서(제8항, Processor)
    • '프로세서'란 컨트롤러를 대신하여 개인정보를 처리하는 자연인, 법인, 공공 기관(public authority), 에이전시(agency), 기타 단체(other body)를 의미

Directive와의 비교[edit | edit source]

  • GDPR이 기존 EU의 지침과 내용상에 큰 차이가 있는 것은 아님(주요 기본 원칙은 거의 동일)
  • 기존 Directive도 까다로웠지만 강제력이 부족했고, 과징금의 강도가 약하였음
  • 주요 이슈
    • Directive → Regulation. 즉 실제 집행 가능성이 커진 것
    • 지리적 적용 범위 확대. 한국 등 역외기업 까지 제재 가능
    • 최대 전 세계 매출액 4%라는 큰 과징금 기준

국내법과의 비교[edit | edit source]

한국법이라고 하는 것은 개인정보보호법, 정보통신망법, 신용정보법 등 관련법들을 아울러서 말함
  • 원칙의 적용 차이
    • 한국법 개인정보보호원칙은 말 그대로 원칙으로 구속력이 없다. 제재는 구체적인 조항을 어겼을 때만 가능
    • GDPR에서의 원칙은 절대적. 구체적 조항이 없더라도 원칙에 부합하지 않는 것만으로도 제재 가능
  • 개인정보 보호책임자
    • 한국에선 일반적으로 CPO. 규모에 따라 CISO가 겸임하기도 함
      • 임원급(최소 부서장)이 하도록 되어 있어 실무를 담당한다기 보단 일반적으로 결재를 하고 책임을 지는 역할
    • GDPR에선 DPO라는 개념을 정의
      • 단순히 책임을 지는 것이 아니라 실무를 겸하여 포괄적인 권한을 가짐
      • 외부 전문가 위촉 가능
      • 한 DPO가 여러 기업의 DPO를 할 수도 있음
      • 책임자 보다는 전문가 개념
  • 아동의 기준
    • 한국법은 만 14세
    • GDPR은 기본적으로 16세. 13~16세 회원국의 법에 따라 달리 할 수 있음
  • 민감정보의 기준
    • 전체적인 의미는 비슷함
    • GDPR에선 추가로 민족·인종에 대한 정보를 민감 정보로 보고 있음.
  • 범죄정보
    • 범죄 정보에 대한 정의, 처리법 등 내용이 GDPR에 세부적으로 규정되어 있음
    • 개인정보보호법, 신용정보법 등 관련 법엔 없고 "형의 실효 등에 관한 법률"에 따름
  • 개인정보 수집 시 고지사항
    • GDPR은 6+6 또는 6+7가지
    • 한국법은 4가지
  • 개인정보의 제3자 제공
    • 한국법에선 경우 위탁자, 제3자를 모두 명시 해야 함
    • GDPR의 경우 카테코리화 해서 표현 가능 (상담, 배송 등)
  • 개인정보 수집 출처 고지
    • 한국법은 공개된 개인정보는 일단 쓰고, 물어보면 알려주면 된다.
    • GDPR의 경우 사전에 고지하고 사용해야 한다.
  • 정보주체의 권리
    • 이번 GDPR에서 이동권을 추가로 정의
    • 이동권은 PSD2와도 연계되는 부분
  • 개인정보영향평가
    • 한국법에서는 공공기업만 함
    • GDPR에선 민간기업도 포함함

참고[edit | edit source]

  • 과징금 부과의 11가지 기준 : 흔히 알려진 전세계 매출의 4%, 1천만(2천만) 유로 등은 최대 상한선이며 실제로는 아래 11가지 기준에 의해 과징금이 정해짐. 그리고 위반 사항이 발견되었다고 바로 딱지가 날아오는 것이 아니라 과징금 부과 전 시정 조치, 경고, 조정 등의 과정이 있게 됨.
    • 위반의 성격, 중대성 및 지속 기간
    • 위반의 의도성 또는 태만 여부
    • 정보주체의 피해를 경감하기 위한 컨트롤러 또는 프로세서의 조치
    • 기술적·조직적 조치를 고려한 컨트롤러 또는 프로세서의 책임 수준
    • 컨트롤러 또는 프로세서가 이전에 범했던 관련 법규의 위반 여부
    • 위반을 해결하고 위반으로 인한 부정적 영향을 경감하기 위한 감독기구와의 협조 수준
    • 위반으로 인해 영향을 받는 개인정보의 종류
    • 감독기구가 위반을 인지하게 된 경위, 특히 컨트롤러 또는 프로세서의 위반 통지 여부
    • 동일한 사안에 대하여 컨트롤러 또는 프로세서에게 감독기구의 명령이 부과된 바가 있는지 여부
    • 승인된 행동 강령 또는 인증 매커니즘의 준수 여부
    • 위반으로 인해 직간접적으로 얻은 금전적 이익 또는 회피한 손실 등 가중 및 경감 요소

출처[edit | edit source]