1. GDPR
1-1. 개념
아니ㅏ이낭나
EU 전역에서 적용되는 EU 일반 개인정보보호법으로, 회원국에 직접 적용하여 EU 회원국의 정부 및 민간 활동을 규제함
1-2. 제정목적
- 디지털 싱글 마켓에 적합한 통일되고, 단순화된 프레임워크
- 단일 개인정보보호법 적용
- 원스톱샵 메커니즘 - 권리와 의무 강화
- 정보주체 권리 확대: 동의 조건 강화, 데이터 이동권/잊혀질 권리 등 도입 - 현대화된 개인정보 *거버넌스 체계 마련
- 개인정보 감독기구간 협력 강화
- 법 적용 일관성을 보장하기 위해 기구 설립
- 신뢰할 수 있고 비례적인 제재 부과
* 거버넌스?
한 국가의 여러 업무를 관리하기 위하여 정치, 경제 및 행정적 권한을 행사하는 것
1-3. 주요 특징
- 적용범위
EU 시민, EU 내 개인정보를 처리하는 경우, 모두 적용 대상이며 만약 개인정보인지 확실하지 않은 정보라면 개인정보로 취급
--> 적용 대상은 정보주체의 위치를 기준으로함 - 적용 예외사항
① EU 법률의 범위를 벗어나는 활동
② 개별 회원국에서 수행하는 EU 공동 외교 안보 정책 관련 활동
③ 자연인이 순수하게 수행하는 개인활동
④ 공공안전의 위협에 대한 보호 및 예방을 포함하여 관할 감독기구의 범죄 예방 및 수사, 탐지, 기소, 형사 처벌 집행 활동
- 중요 사항
① 민감정보 규제
② 동일 그룹 내 정보이전
③ 국제 정보이전
④ 개인정보파기
- 중요 용어
| 용어 | 내용 |
| 익명처리 | 가명처리와는 다른 개념으로, 정보주체를 식별할 수 있는 개인정보 파괴의 개념 |
| 가명화 | 일종의 비식별조치 개념으로, 가명화를 통해 가명처리 함 |
| 가명처리 | 추가 정보 없이 개인을 식별할 수 없도록 개인정보를 처리하는 것. 추가정보를 통해 개인 식별이 가능하므로 식별이 가능한 개인정보로 취급됨. 추가정보는 별도로 분리 보관되어야 하며, 복원키나 결합키를 통해 식별 가능 정보로 되돌릴 수 있는 수단이 됨 |
| 동의 | 자유롭고 구체적이며, 명확히 해야 하는 것이 특징 |
| 개인정보 컨트롤러 | (=개인정보처리자) 개인정보 처리의 목적과 수단을 결정하는 주체 |
| 개인정보 프로세서 | (=개인정보취급자) 컨트롤러를 대신해 개인정보를 처리하는 사람 |
| 개인정보 처리계약(DPA) | 개인정보 컨트롤러가 개인정보 프로세서에게 개인정보 위탁에 대해 체결하는 계약 |
| 개인정보 영향평가(PIA) | 개인정보 처리 작업이 미치는 영향을 실제 개인정보 처리 이전에 평가하는 것 |
| DPO | (=개인정보 보호책임자) GDPR의 준수 여부를 감독하고 이를 수행하는 데 필요 한 지식, 자원 및 권한을 가지고 있는 사람으로 겸직 가능한 것이 특징 |
| CPO | (=개인정보 보호책임자) 기업 내 임원급으로 실무 보다는 책임의 역할을 맡게 되며, 경우에 따라 겸직이 불가함 |
| 주요사업장 | 개인정보의 처리와 관련된 중요한 결정을 내리는 EU 내 사업장 |
| 프로파일링 | 개인과 관련된 정보 처리(직장 내 성과 또는 경제 상황, 건강)를 분석하고 예측을 위해 개인정보를 자동으로 처리하는 것 |
| 민감정보 | 인종/민족, 정치적 견해, 종교적/철학적 신념, 노동조합 가입 여부, 유전자 정보, 생체 정보, 건강 정보, 성생활/성적 취향. 이 외에도 특수한 범주에 속하는 개인 정보 및 보호 필요성이 높은 다른 개인 정보를 의미하기도 함 |
| 역내 대리인 | 역외 기업이 지켜야하는 의무사항. EU 역내 사업장이 없는 기업이 EU 주민에게 물품 및 서비스 제공을 위해 개인정보를 처리하는 경우, EU 역내 대리인을 서면으로 지정해야 함 |
- 개인정보 수집 시 고지사항
| 기본적 고지사항 | +추가적 고지사항 |
| ① 컨트롤러의 신원과 연락처 ② DPO의 연락처 ③ 처리 목적과 법적 근거 ④ 컨트롤러가 추구하는 정당한 이익 ⑤ 수령자의 범주 ⑥ 국외이전 사실과 적정성 결정 유무 |
⑦ 보관기간 ⑧ 열람권 등 정보주체 권리 (접근권, 정정권, 삭제권, 처리제한권, 처리반대권, 이동권) ⑨ 동의 철회권 ⑩ 감독당국 민원신청권 ⑪ 제공 의무 여부와 부동의 결과 ⑫ 자동화된 의사결정 여부 정보 |