logo

English

GDPR 유럽 일반 개인 정보보호법 시행

by 엉뚱도마뱀 posted May 24, 2018
?

Shortcut

PrevPrev Article

NextNext Article

Larger Font Smaller Font Up Down Go comment Print
?

Shortcut

PrevPrev Article

NextNext Article

Larger Font Smaller Font Up Down Go comment Print
  1. 유럽 일반 개인 정보보호법(GDPR)
    EU 28개 회원국의 새로운 개인정보보호 볍령으로 18년 5월 25일부터 본격 시행됩니다.
    1. GDPR이란?
    2018년 5월 25일부터 시행되는 EU(유럽연합)의 개인정보보호 법령이며, 동 법령 위반시 과징금 등 행정처분이 부과될 수 있어 EU와 거래하는 우리나라 기업도 이 법에 위반되지 않도록 주의할 필요가 있습니다.
  2. 2. GDPR시행에 따른 주요 변화
     
    구분 Before
    (Directive 95/46/EC)
    After
    (GDPR)
    기업의 책임강화 개인정보 최소 처리, 처리목적 통지 등 개인정보보호책임자 지정, 영향평가 등 추가
    정보주체 권리강화 열람 청구권 등 정보이동권 등 새로운 권리 추가
    과징금 부과 회원국별 자체 법규에 따라 부과 모든 회원국이 통일된 기준으로 부과
  3. 3. GDPR을 적용받는 기업은 ?
    아래 어느 하나에 해당하는 기업으로서 EU 주민의 개인 정보를 처리하는 경우에는 한국기업도 적용 대상임
    • EU에 사업장을 운영하는 기업(지점, 판매소, 영업소 등)
    • EU 지역에 사업장은 없지만, 인터넷 홈페이지를 통해 EU에 거주하는 주민에게 물품·서비스를 제공하는 기업예) 현지어로 마케팅 활동을 하거나 현지 통화로 결제하는 경우
    • EU 주민의 행동을 모니터 하는 기업
    특히 아래에 해당하는 기업은 특별한 주의를 요함
    • EU 주민의 민감한 정보(건강, 유전자, 범죄경력 등)를 처리하거나, 아동의 정보를 처리하는 기업
    • 공개적으로 접근 가능한 장소에 대한 대규모의 체계적인 모니터링을 하는 기업(예 : CCTV)
  4. 4. GDPR에 따른 기업의 책임강화
    • 전문지식을 갖춘 개인정보보호책임자(DPO, Data Protection Officer)지정
    • 민감한 정보를 대규모로 처리하는 기업 등의 경우에는 개인정보 영향평가 실시
    • GDPR을 준수하고 있음을 입증하기 위해 개인정보 처리활동에 관한 기록 유지
    • EU 외 지역에서 EU 주민의 개인정보를 대규모로 처리하는 경우에는 EU 역내에 대리인을 지정해야 함
    • 해킹 등 유출사고 발생시 감독기구에 신고하고 중대한 위험 가능성이 있는 경우에는 정보주체에게 통지
    • 정기적 검사 및 평가 등 적절한 기술 및 관리 조치 이행
    • 정보주체의 권리 보장을 위한 절차 마련 · 이행
    (참고 : GDPR에서 신설ㆍ강화된 정보주체의 권리)
     
    권리 주요내용
    처리제한권 (신설) 정보주체는 본인에 관한 개인정보의 처리를 차단하거나 제한을 요구할 권리를 가짐
    정보이동권 (신설) 정보주체는 본인의 개인정보를 본인 또는 다른 사업자에게 전송토록 요구할 권리를 가짐
    삭제권 (강화) 정보주체는 본인에 관한 개인정보 삭제를 요구할 권리를 가짐
    프로파일링 거부권(강화) 정보주체는 본인에게 중대한 영향을 미치는 사안에 대해 프로파일링 등 자동화된 처리에 의한 결정을 반대할 권리를 가짐
  5. 5. 개인정보 국외 이전 방안
    • 개별기업이 EU주민 개인정보를 한국으로 가져오는 방법
     
    구분 주요내용
    표준개인정보 보호 조항 EU 집행위가 승인한 표준 조항이 반영된 계약을 통해 개인정보를 이전하는 경우
    의무적 기업규칙 EU 회원국 감독당국이 승인한 구속력이 있는 의무적 기업규칙에 따라 이전하는 경우
    행동강령 EU 집행위가 승인한 행동강령에 따른 이전
    인증 EU 회원국 정보보호 인증을 받은 자에게 이전
    기타 정보주체의 명시적 동의, 중요한 공익상 이유 등
    • 개인정보 보호 수준이 EU와 동등하다고 인정될 경우(적정성 평가) 위의 조치없이 이전 가능

      현재 온라인 분야에 대해 정보통신망법을 중심으로 한국과 EU가 일괄 협의 중

  6. 6. 우리나라 기업은 무엇을 준비해야 하나 ?
    • 경영진의 인식 제고 :

      주요 의사 결정권자 등의 인식제고와 예산, 인력 등을 포함한 전사적 대응방안을 준비

    • 개인정보보호책임자(DPO) 지정 :

      전문적 지식과 실무 경험이 있는 전문가를 지정

    • 개인정보보호 계획 수립 :

      조직 내 개인정보 처리 현황 등을 점검하고 GDPR 요구 내용을 충실히 반영한 내부 계획을 수립·운영(정보주체 권리보장 절차 등)

    • 자체 점검 및 개선 조치 :

      보관 중인 개인정보의 항목, 처리 방법의 적법성, 동의 획득 절차, 대리인 지정, 국외 이전 발생 여부 등을 면밀히 점검하고, 법 위반 우려가 있는 경우에는 신속히 개선 조치

  7. 7. 법 위반시 과징금 수준은 ?
     
    일반적 위반 사항
    (대리인 미지정 위반 등)
    중요한 위반 사항
    (국외 이전 규정 위반 등)
    전 세계 매출액 2% 또는 1천만 유로(약 125억원) 중 높은 금액 전 세계 매출액 4% 또는 2천만 유로(약 250억원) 중 높은 금액
    • 위 과징금은 최대 한도의 부과 금액을 말하여 실제 부과 금액은 위반 내용, 피해경감 노력 등 11개 기준을 종합 검토하여 결정됨
    • 구체적 과징금 부과 요건 및 집행절차 등은 EU 회원국 현지의 법률 제·개정 동향 및 판례 등을 지속 모니터할 필요가 있음
  8. 8. 참고자료
TAG •

List of Articles
No. Subject Author Date Views
6 iPhone SE 2 2018년 상반기에 출시? file digipine 2017.12.11 216
5 Nintendo Switch 세계 누적 판매 대수 1,000만대 돌파 file 엉뚱도마뱀 2017.12.13 223
4 암호화폐 (Crypto Currency) 비트코인 file digipine 2018.02.08 310
3 이더리움 (Ethereum) digipine 2018.02.08 293
2 블럭체인 기술자료 링크 digipine 2018.02.08 447
» GDPR 유럽 일반 개인 정보보호법 시행 엉뚱도마뱀 2018.05.24 152
Board Pagination Prev 1 ... 2 3 Next
/ 3