GDPR

From IT Wiki

General Data Protection Regulation 2018년 5월 25일부터 시행되는 유럽연합(EU)의 개인정보보호 일반법

  • GDPR은 2018년 5월 25일부터 기존 개인정보보호지침(Directive 95/46/EC, 이하 Directive)를 대체
  • Directive는 각 회원국들의 입법 방향을 제시 할 뿐 강제·구속력은 없었으나, GDPR은 EU 모든 회원국에 직접적인 법적 구속력을 가짐
  • 서문(Preamble or Recital) 173항 + 11장 99조로 구성

Directive와의 비교

  • GDPR이 기존 EU의 지침과 내용상에 큰 차이가 있는 것은 아님(주요 기본 원칙은 거의 동일)
  • 기존 Directive도 까다로웠지만 강제력이 부족했고, 과징금의 강도가 약하였음
  • 가장 큰 차이는 Directive → Regulation. 즉 실제 집행 가능성이 커진 것
  • 이슈가 되는 것은 전 세계 매출액 4%라는 큰 과징금 기준

국내법과의 비교

한국법이라고 하는 것은 개인정보보호법, 정보통신망법, 신용정보법 등 관련법들을 아울러서 말함
  • 원칙의 적용 차이
    • 한국법 개인정보보호원칙은 말 그대로 원칙으로 구속력이 없다. 제재는 구체적인 조항을 어겼을 때만 가능
    • GDPR에서의 원칙은 절대적. 구체적 조항이 없더라도 원칙에 부합하지 않는 것만으로도 제재 가능
  • 개인정보 보호책임자
    • 한국에선 일반적으로 CPO. 규모에 따라 CISO가 겸임하기도 함
      • 임원급(최소 부서장)이 하도록 되어 있어 실무를 담당한다기 보단 일반적으로 결재를 하고 책임을 지는 역할
    • GDPR에선 DPO라는 개념을 정의
      • 단순히 책임을 지는 것이 아니라 실무를 겸하여 포괄적인 권한을 가짐
      • 외부 전문가 위촉 가능
      • 한 DPO가 여러 기업의 DPO를 할 수도 있음
      • 책임자 보다는 전문가 개념
  • 수집·이용 적법성에 관한 차이
    • 한국법은 오로지 동의 base
    • 다른 예외 조항들은 대부분 해당사항이 없으며 동의를 받는 것이 기본. 동의를 받기가 쉬우며, 철회나 무효화가 쉽아 거의 모든 경우 적법성을 동의를 통해 인정받음
    • GDPR은 총 6가지의 방안
    • 동의는 훨씬 까다로우며 동의를 미흡하게 받을 경우 법적 분쟁에서 무효화 될 수 있음. 법정 분쟁에서 무효화 되거나 정보주체가 동의를 철회하면 사후 처리과정이 복잡하므로 동의 보다도 다른 적법성 요소를 찾는 경우가 많음
  • 아동의 기준
    • 한국법은 만 14세
    • GDPR은 기본적으로 16세. 13~16세 회원국의 법에 따라 달리 할 수 있음
  • 민감정보의 기준
    • 전체적인 의미는 비슷함
    • 유럽은 민족·인종에 대한 정보를 민감 정보로 보고 있음.
  • 범죄정보
    • 범죄 정보에 대한 정의, 처리법 등 내용이 GDPR에 세부적으로 규정되어 있음
    • 개인정보보호법, 신용정보법 등 관련 법엔 없고 "형의 실효 등에 관한 법률"에 따름
  • 개인정보 수집 시 고지사항
    • GDPR은 6+6 또는 6+7가지
    • 한국법은 4가지
  • 개인정보의 제3자 제공
    • 한국법에선 경우 위탁자, 제3자를 모두 명시 해야 함
    • GDPR의 경우 카테코리화 해서 표현 가능 (상담, 배송 등)
  • 개인정보 수집 출처 고지
    • 한국법은 공개된 개인정보는 일단 쓰고, 물어보면 알려주면 된다.
    • GDPR의 경우 사전에 고지하고 사용해야 한다.
  • 정보주체의 권리
    • 이번 GDPR에서 이동권을 추가로 정의
    • 이동권은 PSD2와도 연계되는 부분
  • 개인정보영향평가
    • 한국법에서는 공공기업만 함
    • GDPR에선 민감기업도 포함함

주요 용어

GDPR을 이해하기 위해 필수적으로 이해해야 할 용어들. 같은 용어라도 한국 개인정보보호법과 다르게 정의되므로 사전에 충분한 파악이 필요하다.


참고

  • 과징금 부과의 11가지 기준

흔히 알려진 전세계 매출의 4%, 1천만(2천만) 유로 등은 최대 상한선이며 실제로는 아래 11가지 기준에 의해 과징금이 정해짐

출처