유럽 개인정보보호법, GDPR
유럽 회원국 공통법인 General Data Protection Regulation(이하, GDPR)에 대해서 알아보기!
1. 개요
1.1 정의
GDPR은 유럽연합의 개인정보 보호를 위한 공통법이다. 유럽연합에서는 1995년부터 개인정보 보호를 위한 ‘EU 개인정보보호지침(Directive 95/46/EC)’를 시행하고 있었다. 그런데 1년 전인 2016년 4월 14일 이 지침을 대체하는 GDPR이 유럽의회로부터 승인되었다. GDPR은 이전의 Directive보다 강화된 Regulation으로 2018년 5월 25일부터 본격 시행된다.
== 여기서 잠깐, Directive와 Regulation의 차이! ==
- Directive: EU 회원 국가들에게 목표를 정해주고, 각 국가에서 자체 법률을 만들어 목표를 달성하도록 하는 비교적 자유로운 법
- Regulation: EU 회원 국가들이 무조건 적용해야 하는 법. 비교적 강화된 법
1.2 적용 대상
- 법인이 EU 내 설립되어 있는 경우
- EU 거주자에게 제품이나 서비스를 제공하는 경우
- EU 거주자의 행동을 모니터링 하는 경우
이 전의 Directive에서는 법인이 EU 내 설립되어 있는 경우에 적용되는 법이었지만, ==GDPR은 물리적 위치와 별개로 유럽 거주자의 개인정보를 처리하는 모든 경우 적용되도록 강화==되었다.
1.3 주요 변경사항
| EU Directive(현행) | EU GDPR(2018년 5월 25일) |
|---|---|
| (법적용 대상) EU 회원국의 영토를 기준으로 개인정보처리자의 개인정보 처리에 관한 사항 | (법적용 대상) EU내 법인은 물론 EU시민에게 재화나 서비스를 제공하는 경우 모두 GDPR 적용,☞ EU에 진출하지 않더라도 EU시민에게 재화나 서비스를 제공하는 한국기업도 적용 대상 |
| (개인정보 정의) 개인정보는 직간접적으로 식별되거나 식별가능한 자연인의 정보 - 식별번호(ID number) 혹은 자연인의 신체적, 정신적, 경제적, 문화적, 사회적 지위에 관한 하나 이상의 요인을 참조하여 신원 확인 가능한 정보 | (개인정보 정의) 식별가능한 자연인 정보에 이름, 위치정보와 같은 식별자(identifier)와 함께 온라인 식별자 정보, 유전자 정보 등도 포함 * 온라인 식별자 정보: IP주소, 쿠키, 기계고유식별정보, 시리얼 넘버 등 |
| (처벌) 회원국으로 하여금 적절한 제재조치를 취할 것을 권고 ☞ 회원국이 자유롭게 정함 | (처벌) 최대 직전 회계연도 전세계 매출의 2~4% 또는 1~2천만 유로(약 250억원) 행정과태료 부과 가능 ☞ 강제규정으로 강행 |
※ 출처:KISA(한국인터넷진흥원)
주요 변경사항만 봐도 법이 많이 강화된 것을 알 수 있음. ==처벌이 무려 250억 원!==
2. 주요 내용
2.1 GDPR의 핵심 원칙
| No. | 구분 | 내용 |
|---|---|---|
| 1 | One Continent, One Law 법칙 | 하나의 대륙에는 하나의 법을 적용하는 것으로 중복 규제를 제거함으로써 비즈니스 활성화를 도모함 |
| 2 | EU에서는 EU법 적용 | EU 역외에 존재하는 다른 국가의 기업이라도 유럽인으로 대상으로 재화나 서비스를 제공하거나 유럽인의 행위를 모니터링할 경우 GDPR을 적용함 |
| 3 | One-Stop-Shop | 기업이나 정보주체는 여러 국가의 감독당국을 상대할 필요가 없고, 자신들의 국적 감독 당국 한군데만 응대하도록 하여, 법집행 내지 행정효율성을 증대하도록 함 |
| 4 | 정보주체의 권리 강화 | 개인정보 처리에 대한 동의 획득 시, 고지 의무 강화. 잊혀질 권리 강화 |
| 5 | 개인정보 보호책임자의 권한과 의무 강화 | 개인정보보호법의 전문지식을 갖춘 자로써, 회사의 경영진으로부터 독립하여 업무를 수행하도록 함 |
2.2 GDPR의 주요 이행 규칙
| No. | 구분 | 내용 |
|---|---|---|
| 1 | 동의 획득 | 개인정보가 어떻게 이용되고 처리될 것인지에 대한 약관이 사용자가 이해하기 쉽게 명시 되어야 하며, 개인정보가 새로이 이용될 때마다 사용 동의를 득해야 함. 또한 사용자는 개인정보 이용 동의를 언제든지 철회할 수 있음 |
| 2 | 위반 통보 | 1) 사업체가 동 규정을 위반했을 경우 반드시 72시간 내에 감독 당국에 유출 사실을 통보해야 함 2) 유출 내용이 개인의 사생활, 권리 또는 정당한 이익에 영향을 미칠 가능성이 있는 경우 정보 주체에게 알려야 함 3) 조직에서 발생한 데이터 유출에 대한 내부 기록을 유지해야 함 4) 회사에서 개인정보에 대한 안전한 보호조치를 하였다면, 정보주체에게 통보해야 할 의무는 규제 기관의 재량에 따라 철회될 수 있음 |
| 3 | 개인정보,접근권한 | 사용자는 사업자가 자신의 개인정보를 어떻게 처리하고 이용하는지 알 권리가 있으며, 사업체는 사용자가 원한다면 개인정보 처리내역을 제공할 의무가 있음 |
| 4 | 잊혀질 권리 | 사용자는 언제든지 사업체에게 자신의 개인정보 삭제 및 이용중지 요청을 할 수 있음 1) 수집 목적을 달성한 정보 2) 개인정보의 동의 철회 3) 불법적인 방법을 통해 수집된 정보 그러나, 법적인 보관 의무가 있을 경우 정보주체의 개인정보 삭제 권한은 제한될 수 있음 |
| 5 | 정보 이동성 | 사용자에게는 사업체에게 자신의 개인정보 카피를 요청하여 비슷한 서비스를 제공하는 다른 사업체에게 이동할 수 있는 권리가 있음 |
| 6 | 프라이버시 중심 디자인 | 사업체는 서비스나 제품을 개발할 때 처음부터 정보보호 기능/장치를 최우선시 해야 하며, 서비스/제품 개발 후 정보보호 기능/장치를 덧입히는 방식을 이용할 수 없음 |
| 7 | 정보보안책임자 | 개인정보를 다루는 모든 사업체(1년 내 5000명 이상의 개인정보를 처리하거나, 정기적으로 개인정보를 모니터링하거나, 민감정보/위치정보/아동정보/근로자 정보를 처리하는 모든 개인 또는 기업)는 정보보안책임자(DPO:Data Protection Officer)를 선임해야 하며, 사외 DPO를 고용할 수도 있음 *DPO는 독립적으로 활동하며 경영진에게 보고할 수 있는 지위에 있음 **DPO 의무: 개인정보보호 관련 자문 및 의무 이행 모니터링. 규제기관, 정보주체의 컨택포인트로 역할. 프라이버시 중심 디자인 자문 등 |
2.3 GDPR 고려사항
EU 이외의 국가로 개인정보 이전 시 조치사항
개인정보를 제3국으로 이전하는 것은 원칙적으로 금지되어 있다. 다만 적절한 통제와 개인정보의 적절한 수준의 보호를 보장하는 경우 예외적으로 가능하다.
2.3.1 적절성 결정에 따른 이전
EU 집행위원회가 적정한 보호수준을 보장한다고 결정한 경우에는 개인정보의 이전이 가능하다. 이 경우에는 특별한 인가(표준계약 등)가 필요 없다.
현재(2017.05) 적정성 평가를 받은 국가는 미국(EU-US Privacy Shield)을 제외하고 안도라, 아르헨티나, 캐나다, 스위스, 페로 제도, 건지 섬, 이스라엘, 맨 섬, 저지, 뉴질랜드, 동부 우루과이 공화국 총 11개 국가이다.
절차는 먼저, EU 집행위원회가 제안을 하여 회원국, 감독당국 등으로부터 의견수렴한다. 의견이 채택이 되면 부가적인 안전조치 없이 28개 EU 회원국과 노르웨이 등 3개의 EEA(European Economic Area) 회원국으로부터 제3국 개인정보 이전이 가능해진다.
==여기서 잠깐, 현재 우리나라는 적절성 평가 준비중!!==
행자부, 개인정보 보호 수준 국제적 기준으로 향상 발표. 2015년 12월
EU 개인정보 적합성 인증 TFT 출범
우리나라 기업들이 유럽 국가의 개인정보를 유럽 이외의 지역에서도 처리할 수 있도록 하기 위해, EU 개인정보 적합성 인증에 관한 TFT를 2015년 출범하였다. 2017년 현재 EU 개인정보보호 적정성 평가를 받는 것을 목표로 하고 있다.
2017년 1월 EU 집행위원회에 자체평가 보고서를 제출한 상태이며 적정성 평가를 진행중이다. 적정성평가의 주요 쟁점은 국외 이전 조항이다. EU에서는 정보를 국외로 전송할 때 반드시 이용자에게 알려야 하지만, 국내에서는 보통 사전 동의 절차를 밟는다. 이러한 부분을 개선하라고 EU 측에서 문제제기하면, 국내 법률 개정에 반영하기 위한 검토 중이다.
EU 개인정보 보호수준 적정성 평가 승인 이후 EU에 진출한 국내 기업들은 개인정보 보호와 관련해 EU 기업과 동일한 조건에서 영업 활동이 가능해 지며, 추가 절차 없이 EU 시민의 개인정보를 우리나라로 이전하여 활용할 수 있게 된다. 국내 개인정보 보호 법령과 제도 정비, 개인정보 보호 수준이 높아질 것으로 예상된다.
2.3.2 적절한 안전조치에 의한 이전
감독기관의 특정한 승인이 필요하지 않은 경우
- 공공기관 또는 기구 간에 법적 구속력이 있고 강제할 수 있는 장치가 있을 경우
- 의무적 기업 규칙이 적용되는 경우
- 집행위원회가 채택한 표준 개인정보보호 조항을 제공한 경우
- 감독기구가 채택하고 집행위원회가 승인한 표준 개인정보보호 조항을 제공한 경우
- 승인된 행동강령을 사용하는 경우
- 승인된 인증제도를 사용하는 경우
감독기관의 특정한 승인이 필요한 경우
- 일반 계약 조항
- 공공기관 또는 기구 간에 법적 구속력이 있고 강제할 수 있는 장치가 있을 경우
2.3.3 의무적 기업 규칙(Binding Corporate Rules)
다국적 기업 그룹이 채택한 내부 규칙(예: 행동강령)으로, 동일한 회사 그룹 내의 개인정보를 다른 국가에 있는 회사로 국제 이전하는 것과 관련한 글로벌 정책이다. 한 회원국가의 감독관이 개인정보의 국외이전을 하는 기업이 이 기준을 준수하고 있음을 인정하면, 다른 회원국가에서도 이를 인정하여 개인정보의 국외 이전을 허용해 주어야 하는 규칙이다.
2.3.4 특정 상황을 고려한 적용의 일부 제외
적정성 결정이 없거나, 의무적 기업 규칙 등 적절한 안전 조치가 없을 경우, 개인정보 이전은 다음의 조건 하에서만 가능하다.
-
적정성 결정 및 적절한 안전조치가 없음으로 인해 정보주체에게 발생할 수 있는 위험을 고지 받은 후 정보주체가 명시적으로 이전에 동의한 경우
- 정보주체와 정보처리자 간의 계약의 이행을 위해 또는 정보주체의 요청에 의해 계약 전 사전 조치의 이행을 위해 정보이전을 해야 하는 경우
- 정보주체의 이익을 위해 정보처리자와 기타의 개인이나 법인 간에 체결된 계약의 이행을 위해 정보 이전을 해야 하는 경우
- 중요한 공익상의 이유로 정보이전이 반드시 필요한 경우
- 법적 권리의 확립, 행사, 수호를 위해 정보이전이 필요한 경우
2.3.5 개인정보 보호를 위한 국제협력
미국 EU-US Privacy Shield: 미국과 유럽 연합국 사이의 개인정보 국외 이전 협약
유럽연합집행위원회는 2016년 7월 12일자로 EU-US(유럽연합-미국) ‘프라이버시 쉴드(privacy shield)’에 관한 결정을 채택했다.
프라이버시 쉴드는 미국의 기업이 강력한 데이터 보호 규정 및 안전장치에 따라 개인정보를 처리(사용, 저장, 추가 전송 등)하는 조건으로 유럽에서 미국에 있는 기업으로 개인정보를 전송할 수 있도록 한다.
3. 참고
- http://journal.kiso.or.kr/?p=7403ㅌ
- http://cpoforum.or.kr/guide/colum.asp?Board_Id=column&wurl=/guide/colum.asp&num=235&page=1&search=title%20content%20name&key=&B_Mode=BView – 한국CPO포럼
- http://www.boannews.com/media/view.asp?idx=51126 – 보안뉴스
