GDPR: Difference between revisions
From IT Wiki
No edit summary |
No edit summary |
||
| Line 1: | Line 1: | ||
'''G'''eneral '''D'''ata '''P'''rotection '''R'''egulation | |||
2018년 5월 25일부터 시행되는 유럽연합(EU)의 개인정보보호 일반법 | 2018년 5월 25일부터 시행되는 유럽연합(EU)의 개인정보보호 일반법 | ||
* GDPR은 2018년 5월 25일부터 기존 개인정보보호지침(Directive 95/46/EC)를 대체 | * GDPR은 2018년 5월 25일부터 기존 개인정보보호지침(Directive 95/46/EC, 이하 Directive)를 대체 | ||
* | * Directive는 각 회원국들의 입법 방향을 제시 할 뿐 강제·구속력은 없었으나, GDPR은 EU 모든 회원국에 직접적인 법적 구속력을 가짐 | ||
* 서문(Preamble or Recital) 173항 + 11장 99조로 구성 | |||
== Directive와의 비교 == | |||
* GDPR이 기존 EU의 지침과 내용상에 큰 차이가 있는 것은 아님(주요 기본 원칙은 거의 동일) | |||
* 기존 Directive도 까다로웠지만 강제력이 부족했고, 과징금의 강도가 약하였음 | |||
* 가장 큰 차이는 Directive → Regulation. 즉 실제 집행 가능성이 커진 것 | |||
* 이슈가 되는 것은 전 세계 매출액 4%라는 큰 과징금 기준 | |||
== 국내법과의 비교 == | |||
* 원칙의 적용 차이 | |||
** 한국 개인정보보호법에서의 원칙은 말 그대로 원칙으로 구속력이 없다. | |||
** 과징금 부과 등의 법적인 처벌은 구체적인 조항을 어겼을 때만 가능 | |||
** GDPR에서의 원칙은 절대적. 구체적 조항이 없더라도 원칙에 부합하지 않는 것만으로도 제재 가능 | |||
* 수집·이용 적법성에 관한 차이 | |||
** 한국은 오로지 동의 base | |||
** 다른 예외 조항들은 대부분 해당사항이 없으며 동의를 받는 것이 기본 | |||
** 동의를 받기가 쉬우며, 철회나 무효화가 쉽지 않음 | |||
** GDPR은 동의 외에도 총 6가지의 방안이 있음 | |||
** 동의는 훨씬 까다로움 | |||
** 동의를 미흡하게 받을 경우 법적 분쟁이 있을 경우 무효화 될 수 있음 | |||
- 동의를 철회하면 rollback 해야 함 | |||
- 동의 보다도 다른 적법성 요소를 찾는 경우가 많음 | |||
아동의 기준 | |||
- 한국은 만 14세 | |||
- 유럽은 기본적으로 16세. 13~16세 회원국의 법에 따라 달리 할 수 있음 | |||
민감정보의 기준 | |||
- 전체적인 의미는 비슷함 | |||
- 유럽은 민족·인종에 대한 정보를 민감 정보로 보고 있음. | |||
범죄정보 | |||
- 범죄 정보에 대한 정의, 처리법 등 내용이 GDPR에 있음 | |||
- 개인정보보호법에선 없고 형의 실효 등에 관한 법률에서 따로 다룸 | |||
개인정보 수집 시 고지사항 | |||
- EU 6+6 또는 6+7가지 | |||
- 한국 4가지 | |||
개인정보의 제3자 제공 | |||
- 한국의 경우 위탁자, 제3자를 모두 명시 해야 함 | |||
- EU의 경우 카테코리화 해서 표현 가능 (상담, 배송 등) | |||
개인정보 수집 출처 고지 | |||
- 한국의 경우 공개딘 개인정보는 일단 쓰고, 물어보면 알려주면 된다. | |||
- EU의 경우 사전에 고지하고 사용해야 한다. | |||
정보주체의 권리 | |||
- EU의 경우 이동권을 추가로 정의 | |||
개인정보영향평가 | |||
- 한국에서는 공공기업만 함 | |||
- EU는 민감기업도 포함함 | |||
== 주요 용어 == | == 주요 용어 == | ||
| Line 12: | Line 99: | ||
* 과징금 부과의 11가지 기준 | * 과징금 부과의 11가지 기준 | ||
흔히 알려진 전세계 매출의 4%, 1천만(2천만) 유로 등은 최대 상한선이며 실제로는 아래 11가지 기준에 의해 과징금이 정해짐 | 흔히 알려진 전세계 매출의 4%, 1천만(2천만) 유로 등은 최대 상한선이며 실제로는 아래 11가지 기준에 의해 과징금이 정해짐 | ||
==출처== | |||
* [https://ec.europa.eu/info/law/law-topic/data-protection/data-protection-eu_en 공식 : Directive (EU) 2016/680] | |||
* [http://cppg.tistory.com/entry/다운로드-우리-기업을-위한-GDPR-안내서20175 우리 기업을 위한 GDPR 안내서] | |||
Revision as of 18:04, 4 May 2018
General Data Protection Regulation 2018년 5월 25일부터 시행되는 유럽연합(EU)의 개인정보보호 일반법
- GDPR은 2018년 5월 25일부터 기존 개인정보보호지침(Directive 95/46/EC, 이하 Directive)를 대체
- Directive는 각 회원국들의 입법 방향을 제시 할 뿐 강제·구속력은 없었으나, GDPR은 EU 모든 회원국에 직접적인 법적 구속력을 가짐
- 서문(Preamble or Recital) 173항 + 11장 99조로 구성
Directive와의 비교
- GDPR이 기존 EU의 지침과 내용상에 큰 차이가 있는 것은 아님(주요 기본 원칙은 거의 동일)
- 기존 Directive도 까다로웠지만 강제력이 부족했고, 과징금의 강도가 약하였음
- 가장 큰 차이는 Directive → Regulation. 즉 실제 집행 가능성이 커진 것
- 이슈가 되는 것은 전 세계 매출액 4%라는 큰 과징금 기준
국내법과의 비교
- 원칙의 적용 차이
- 한국 개인정보보호법에서의 원칙은 말 그대로 원칙으로 구속력이 없다.
- 과징금 부과 등의 법적인 처벌은 구체적인 조항을 어겼을 때만 가능
- GDPR에서의 원칙은 절대적. 구체적 조항이 없더라도 원칙에 부합하지 않는 것만으로도 제재 가능
- 수집·이용 적법성에 관한 차이
- 한국은 오로지 동의 base
- 다른 예외 조항들은 대부분 해당사항이 없으며 동의를 받는 것이 기본
- 동의를 받기가 쉬우며, 철회나 무효화가 쉽지 않음
- GDPR은 동의 외에도 총 6가지의 방안이 있음
- 동의는 훨씬 까다로움
- 동의를 미흡하게 받을 경우 법적 분쟁이 있을 경우 무효화 될 수 있음
- 동의를 철회하면 rollback 해야 함
- 동의 보다도 다른 적법성 요소를 찾는 경우가 많음
아동의 기준
- 한국은 만 14세
- 유럽은 기본적으로 16세. 13~16세 회원국의 법에 따라 달리 할 수 있음
민감정보의 기준
- 전체적인 의미는 비슷함
- 유럽은 민족·인종에 대한 정보를 민감 정보로 보고 있음.
범죄정보
- 범죄 정보에 대한 정의, 처리법 등 내용이 GDPR에 있음
- 개인정보보호법에선 없고 형의 실효 등에 관한 법률에서 따로 다룸
개인정보 수집 시 고지사항
- EU 6+6 또는 6+7가지
- 한국 4가지
개인정보의 제3자 제공
- 한국의 경우 위탁자, 제3자를 모두 명시 해야 함
- EU의 경우 카테코리화 해서 표현 가능 (상담, 배송 등)
개인정보 수집 출처 고지
- 한국의 경우 공개딘 개인정보는 일단 쓰고, 물어보면 알려주면 된다.
- EU의 경우 사전에 고지하고 사용해야 한다.
정보주체의 권리
- EU의 경우 이동권을 추가로 정의
개인정보영향평가
- 한국에서는 공공기업만 함
- EU는 민감기업도 포함함
주요 용어
GDPR을 이해하기 위해 필수적으로 이해해야 할 용어들. 같은 용어라도 한국 개인정보보호법과 다르게 정의되므로 사전에 충분한 파악이 필요하다.
참고
- 과징금 부과의 11가지 기준
흔히 알려진 전세계 매출의 4%, 1천만(2천만) 유로 등은 최대 상한선이며 실제로는 아래 11가지 기준에 의해 과징금이 정해짐
