GDPR
1. 정의
- GDPR이란 General Data Protection Regulation의 줄임말로 EU에서 시행된 일반 개인정보보호법이다.
- 국내 개인정보보호법이 GDPR을 많이 따라가는 만큼, GDPR에 대한 학습도 이루어져야 할 것으로 보인다.
> Ex)
2. 적용범위
1) EU 내에서 사업장을 운영하며 개인정보 처리를 하는 경우
2) EU 내에 있는 정보주체에게 재화나 서비스 제공하는 경우
3) EU 내에 있는 정보주체의 행동을 모니터링하는 경우
※즉, EU 내 사업장이 없더라도 EU 거주자를 대상으로 서비스하는 경우에는 GDPR 적용 대상이 됨
3. 용어 정의
1) 컨트롤러(Controller)
- 컨트롤러는 개인정보 처리의 목적과 수단을 결정하는 주체를 의미
- 자연인, 법인, 정부부처 및 관련기관, 기타 단체 등이 해당될 수 있음
2) 프로세서(Processor)
- 프로세서는 컨트롤러를 대신하여 개인정보를 처리하는 자연인, 법인, 정부부처 및 관련기관, 기타 단체 등을 의미
- 프로세서는 컨트롤러의 지시에 따라 개인정보 처리하며, 컨트롤러는 반드시 구속력 있는 서면 계약에 의해 프로세서를 지정하여야 한다.
3) 수령인(Recipient)
- 수령인은 제3자인지 여부와 관계없이 개인정보를 공개·제공받는 자연인, 법인, 정부부처 및 관련기관, 기타 단체 등을 의미
4. 개인정보 합법 처리
- 개인정보 처리의 합법성·공정성·투명성 원칙에 따라 개인정보 처리는 GDPR에서 허용한 다음 중 어느 하나 이상의 요건에 해당해야 합법 처리로 인정된다(제6조).
① (동의) 정보주체가 특정 목적을 위하여 개인정보 처리에 동의한 경우
② (계약) 정보주체가 당사자인 계약의 이행 또는 계약 체결 전 정보주체의 요청에 응하기 위하여 필요한 경우
③ (법적 의무) 컨트롤러에 적용되는 법적 의무를 준수하는 데 처리가 필요한 경우
④ (중대한 이익) 정보주체 또는 자연인인 제3자의 생명상의 이익을 보호하기 위하여 처리가 필요한 경우
⑤ (공적 업무 수행)공익상의 이유 또는 컨트롤러에게 부여된 직무권한을 행사할 때 처리가 필요한 경우
⑥ (적법한 이익) 컨트롤러 또는 제3자의 적법한 이익을 달성하기 위하여 처리가 필요한 경우
5. 개인정보 처리 동의
1) 동의의 유효 요건
- 동의가 자유롭게 제공되도록 보장하기 위하여 정보주체와 컨트롤러 사이에 명백한 불균형이 있는 상황에서의 동의는 합법처리의 근거로 삼을 수 없다. 또한 개인정보 처리에 대한 동의는 ‘이용 약관’에 포함하여 제시해서는 안 된다.
- 컨트롤러는 정보주체가 불이익 없이 동의를 거부 또는 철회할 수 있다는 것을 입증하여야 한다.
- 컨트롤러는 서로 다른 목적을 지닌 각각의 동의 항목에 따라 개별적으로 특정한 정보를 제공하여야 한다.
- 동의(문구)는 일반인이 이해할 수 있고, 누구나 쉽게 접근 가능한 형태로 제시되어야 하며, 다른 사안들과 명확히 구분되어야 한다.
- 다음과 같은 사항을 포함하여 동의를 구하여야 한다.
> 컨트롤러 신원, 처리 목적, 처리되는 개인정보 항목, 동의 철회권의 존재 등
- 동의는 반드시 개인정보 처리 활동이 발생하기 전에 획득되어야 하며, 정보주체가 동의하였다는 사실과 동의한 내용이 분명해야 한다.
- 수집되는 개인정보가 이용되는 목적에 대한 명시적 동의여야 한다
2) 아동의 개인정보
- 만 16세 미만의 아동에게 직접 정보사회서비스를 제공할 때에는 부모나 보호자의 동의를 받아야 한다(제8조제1항). 다만, 각 회원국은 개별 법률을 통하여 부모나 보호자의 동의를 요하는 아동의 연령 기준을 만 13세까지 낮추어 규정할 수 있다(제8조제2항).
6. 정보주체의 권리
- 정보를 제공받을 권리, 정보주체의 접근권, 정정권, 삭제권, 처리 제한권, 개인정보 이동권, 반대권 등이 있다.
7. 개인정보 침해
1) 감독기구에 대한 통지
- 정보주체의 권리와 자유에 위험을 일으킬 가능성이 있는 침해가 발생할 경우 감독기구에게 통지하여야 한다(제33조)
- 통지 시기: 개인정보 침해 사고를 인지한 이후 부당한 지연없이 72시간 내
- 통지 내용: 영향받는 정보주체, 개인정보 기록, 침해의 성격, DPO 연락처, 침해로 발생할 수 있는 결과, 침해 해결을 위해 컨트롤러가 취한 조치
2) 정보주체에 대한 통지
- 컨트롤러는 개인정보의 침해가 개인의 권리와 자유에 대하여 높은 위험을 초래할 가능성이 있는 경우에 한해 정보주체에게 통지해야 한다(제34조).
※ 즉, 모든 침해에 대하여 통지할 필요는 없다.
- 통지 시기: 침해 행위를 인지한 후 부당한 지체없이
- 통지 내용: DPO 연락처, 침해로 발생할 수 있는 결과, 침해 해결을 위해 컨트롤러가 취한 조치
- 통지 의무가 면제되는 경우
> 침해 당시 적절한 기술적·관리적 보호조치를 이행하였고, 피해 정보주체에게 해당 조치가 적용된 경우(Ex 암호화)
> 컨트롤러가 피해 정보주체의 권리와 자유에 높은 위험을 초래할 가능성이 없도록 후속 조치를 취한 경우
> 통지에 과도한 노력이 수반될 수 있는 경우
3) 위반 시 과징금
- 통지 의무를 위반하였을 때 전 세계 매출액의 2% 또는 최대 1천만 유로 중 더 큰 금액으로 과징금 부과된다.
8. 개인정보 역외 이전
1) 역외 이전 가능한 경우
- 적정성 결정에 따른 이전(제54조)
* 적정성 결정: EU가 아닌 타 국가의 개인정보 보호 법령도 GDPR 수준으로 개인정보를 보호하고 있다는 보장하는 것
- 적절한 보호조치에 의한 이전(제46조)
- 특정 상황에 대한 예외(제49조)
2) 한국의 경우
- 한국은 2021년 12월 적정성 결정이 이루어졌다.
- 이에 따라 표준계약조항 등 까다로운 절차가 면제되었으며, 추가적인 안전조치 없이 GDPR 내 보호조치를 준수하는 것으로 이전 가능
