일반 개인정보보호법(GDPR)

GDPR 

 

목적 : GDPR은 자연인(Natural person)에 관한 기본권과 자유 및 특히 개인정보보호에 대한 권리를 보호하고(제1조2항), EU 역내에서 개인정보의 자유로운 이동을 보장하는 것을 목적으로 한다.

 

법적 효력 : 지침(Directive)와 달리 "Regulation"이라는 법 형식으로 제정되어 법적 구속력을 지니며, 모든 EU 회원국 내에 직접적으로 적용된다.

 

개인정보 정의와 적용대상 범위 : 개인정보를 "식별되었거나 또는 식별 가능한 자연인과 관련된 모든 정보"로 정의 + 판례, 유권해석, 개별법 차원에서 인정된 개념도 포함한다.

 

• 자연인이 사용하는 장치, 애플리케이션, 도구와 프로토콜을 통해 제공되는 개인식별이 가능한 경우의 IP주소, 쿠키(cookie) ID, RFID(무선 인식)태그 등을 개인정보(온라인 식별자)에 포함한다.
• 위치정보를 개인정보의 정의에 규정
• 민간한 성격의 개인정보를 '특수한 범주의 개인정보'로 정의. 유전정보와 생체 인식정보를 명시적으로 규정
• 개인정보의 가명처리 개념을 명문화함으로써 분리 보관 및 특별조치 등을 통하여 개인정보 활용 가능

 

개인정보 기본 처리 원칙 :

1. 합법성, 공정성, 투명성 원칙
2. 목적 제한의 원칙
3. 개인정보 최소처리 원칙
4. 정확성의 원칙
5. 보유기간 제한의 원칙
6. 무결성과 기밀성의 원칙
7. 책임성의 원칙

개인정보의 합법 처리 기준 :

1. 정보주체가 하나 이상의 특정한 목적을 위하여 본인의 개인정보 처리에 동의한 경우
2. 정보주체가 계약 당사자로 있는 계약의 이행을 위하여 또는 계약 체결 전 정보주체의 요청에 따라 조치를 취하기 위하여 처리가 필요한 경우
3. 정보주체 또는 자연인인 제3자의 생명상의 이익을 보호하기 위하여
4. 공익상의 이유 또는 컨트롤러에게 부여된 직무권한을 행사 할 때

개인정보 침해 시 통지의무 : 컨트롤러는 개인의 권리와 자유에 위험을 일으킬 가능성이 있는 침해가 발생한 경우, 개인정보 침해 사실을 인지한 시점으로부터 72시간 내에 감독기구에 신고하여야 하며, 높은 위험이 예상될 때에는 부당한 지체 없이 침해 사실을 정보주체에게 통지하여야 한다.

 

제재 :

1. GDPR 규정의 일반적 위반의 경우 직전 회계연도의 전 세계 매출액 2% 또는 1천만 유로중 더 큰 금액을 부과
2. GDPR 규정의 심각한 위반의 경우 직전 회계연도의 전 세계 매출액 4% 또는 2천만 유로중 더 큰 금액을 부과

 

개인정보	개인정보가 아닌 것
1. 이름과 성 2. 주소 3. 이름.성@company.com 과 같은 형식의 이메일 주소 4. 위치정보 5. 쿠키ID 6. 광고 식별자 7. ID 카드 번호 8. 병원 및 의사가 보유한 개인을 고유하게 식별할 수 있는 데이터	1. 사업자 등록번호 2. info@company.com 같은 형식의 이메일 주소 3. 익명처리 된 정보

 

 

처리 : 자동적인 수단인지의 여부와 관계없이 개인정보 또는 개인정보의 집합에 대하여 행하는 단일의 작업 또는 일련의 작업. 신용카트 정보의 보존, 메일 주소의 수집, 고개 성명의 공개, 정보주체의 온라인 식별자 삭제 등 모두 개인정보의 '처리'에 해당.

 

컨트롤러 : 개인정보 처리의 목적과 수단을 결정하는 주체를 의미하며, 이와 같은 결정은 컨트롤러 단독으로 하거나 또는 제 3자와 공동으로 할 수 있다.

 

프로세서(Processor) : 컨트롤러를 대신하여 개인정보를 처리하는 자연인, 법인, 정부부처 및 관련 기관, 기타 단체 등을 의미. 프로세서는 컨트롤러의 지시에 따라 개인정보를 처리하며, 이 때 컨트롤러는 반드시 구속력 있는 서면 계약에 의해 프로세서를 지정해야 한다.

 

수령인 : 제3자인지 여부와 관계없이 개인정보를 공개, 제공받는 자연인이나 법인, 정부부처 및 관련 기관, 기타 단체를 의미한다.

 

프로파일링 : 개인의 특징을 분석하거나 예측하는 등 해당 개인의 특성을 평가하기 위하여 행해지는 모든 형태의 자동화된 개인정보 처리를 의미한다.

 

가명처리 : 추가적 정보의 사용 없이는 더 이상 특정 정보주체를 식별할 수 없도록 개인정보를 처 리하는 것을 가명처리라고 한다.

 

 

 

개인정보 처리 원칙  

 

합법성/공정성/투명성 : 개인정보는 정보주체와 관련하여 합법적이고, 공정하며, 투명한 방식으로 처리되어야 한다.

 

목적 제한 : 개인정보는 특정되고 명시적이며 적법한 목적으로 수집되어야 하며, 그러한 목적과 양립하지 않는 방식으로 처리되지 말아야 한다.

 

최소 처리 : 개인정보는 처리되는 목적과 관련하여 적정하고 관령성이 있으며 필요한 범위로 제한되어야 한다.

 

정확성 : 개인정보는 정확해야 하고, 필요한 경우 최신성을 유지해야 한다.

 

보유기간의 제한 : 개인정보는 처리목적을 위해서 필요한 기간 내에서 정보주체를 식별할 수 있는 형태로 보여되어야 한다.

 

무결성 및 기밀성 : 개인정보는 적정한 기술적 또는 관리적 조치를 이용하여 개인정보의 적정한 본안을 보장하는 방식으로 처리되야 한다.

 

책임성 : 컨트롤러는 개인정보보호원칙에 대하여 책임성을 갖춰야 하며, 그에 대한 준수 여부를 증명할 수 있어야 한다.