Part 1. 개인정보보호의 이해_개인정보의 개요 #2

7. EU-GDPR

- 2018.05.25부터 시행중인 EU의 개인정보보호 법령

- 위반 시 과징금 등 행정처분이 부과되며, EU 내 사업장이 없더라도 EU를 대상으로 사업하는 경우 적용대상이 됨

- 적용 대상은 '국적'이 아닌, 'EU 거주자'에 해당하는 지 고려

- 적용범위: EU 내 사업장 운영+개인정보 처리 / EU 거주에게 재화나 서비스 제공 / EU 거주자의 EU 內 행동 모니터링

- 적용정보: 개인정보(식별되었거나 식별가능한 정보, 사망자와 법인은 적용 안됨) / 개인정보 처리에 적용되는 개인정보(위치정보, 온라인 식별자 등 포함)

- 과징금: 기술적, 관리적 위반_1천만 유료 또는 전세계 매출액의 2% 중 높은 금액 / 개인정보 처리원칙, 동의조건, 정보주체 권리보장 의무 위반 등_2천만 유료 또는 전세계 매출액의 4% 중 높은 금액

- 정보주체의 권리

GDPR	개보법
정보를 제공받을 권리 [제12~14조]	제20조(정보주체 이외로 부터 수집한 개인정보의 수집 출처 등 고지)
정보주체의 열람권 [제12,15조]	제35조(개인정보의 열람)
정정권 [제12,16,19조]	제36조(개인정보의 정정삭제) 제37조(개인정보의 처리정지) 제38조(권리 행사의 방법 및 절차)
삭제권(잊힐권리) [제12,17,19조]
처리 제한권 [제12,18,19조]
개인정보 이동권 [제12,20조]
반대권 [제12,21조]
프로파일링을 포함한 자동화된 의사결정 [제12,22조]

 

- 2021.12.17 한-EU 개인정보보호 적정성 결정

> EU 회원국에 준하는 지위를 부여받게 되어, 한국 기업의 경우 기존의 까다로운 절차가 면제

> 역외이전 관련 의무 부담만 경감된 것으로, 금융기관이 보유한 개인 신용정보의 역외이전은 이전과 동일하게 표준계약 채결 등이 필요

7.1 주요 용어

용어	의미	비고
개인정보 (Personal Data)	- 식별되었거나 또는 식별가능한 자연인(정보주체)과 관련된 모든 정보	- 식별자 참조 등으로 식별할 수 있는 사람
컨트롤러 (Controller)	- 개인정보의 처리 목적 및 수단을 단독 또는 제3자와 공동으로 결정하는 자연인, 법인, 공공기관, 에이전시, 기타 단체	- 개인정보처리자 - 위탁자
프로세서 (Processor)	- 컨트롤러를 대신하여 개인정보를 처리하는 자연인, 법인, 공공기관, 에이전시, 기타 단체 등 의미	- 개인정보취급자 - 수탁자
수령인 (Recipient)	- 제3자인지 여부와 관계없이 개인정보가 공개되는 자연이나 법인, 공공당국, 기관 또는 기타 단체	- 개인정보를 수령하는 모든 자를 가리킴
처리 (Processing)	- 일련의 개인정보에 의해 수행되는 작업 또는 일련의 작업의 일체	- 자동화 수단의 사용 여부에 관계 없이 개인정보 수행 작업
프로파일링 (Profilling)	- 개인정보를 사용하는 모든 형태의 자동화된 개인정보처리를 의미	- 인적 개입, 개인적인 특성 평가 목적은 해당 안됨
가명화 (Pseudony- misation)	- 추가적인 정보의 사용 없이 더 이상 특정 정보주체를 식별할 수 없는 방식으로 수행된 개인정보의 처리를 의미	- 가명화를 거친 개인정보가 추가 정보의 사용에 의해 특정 개인의 속성으로 인정되는 경우, 이를 식별된 자연인에 대한 정보로 간주

 

7.2 주요 원칙

- 6가지 개인정보 적법 처리 조건

- 기업은 개인정보 처리전에 반드시 적법한 처리 근거를 확보하였는지 여부를 확인할 필요가 있음

① 개인정보 처리의 적법성(Lawfulness of Processing)

순번	개인정보 적법 처리 조건	비고
1	정보주체 동의	기업은 개인정보 처리전 반드시 적법한 처리 근거 확보 및 여부 확인 필요
2	정보주체와의 계약 이행이나 계약 체결을 위해 필요한 처리
3	법적 의무 이행을 위해 필요한 처리
4	정보주체 또는 다른 사람의 중대한 이익을 위해 필요한 처리
5	공익을 위한 임우의 수행 또는 컨트롤러에게 부여된 공적 권한의 행사를 위해 필요한 처리
6	컨트롤러 또는 제3자의 적법한 이익 추구 목적을 위해 필요한 처리

② 동의(Consent)

순번	동의 요건	비고
1	정보주체가 진술 또는 적극적 행동으로 개인정보 처리에 대한 동의를 나타내는 본인의사를 자유롭게 제시하는 구체적이고 뚜력하며 모호하지 않은 표시	지침(Directive)보다 동의 요건 강화
2	GDPR은 동의 방법에 구체성 추가
3	사전 동의(Opt-in consent)이어야 함	침묵, 부작위, 디폴트 세팅, 미리 체크된 박스는 유효한 동의가 아님

③ 아동 개인정보(Children's personal data)

순번	동의 요건	비고
1	만 16세 미만의 아동에게 온라인 서비스 제공 시 '아동의 친권을 보유하는 자'의 동의를 얻어야 함	오프라인 서비스에 적용 여부 규정 없음 지침(Directive)보다 아동에 대해 더 강한 보호
2	GDPR은 동의 방법에 구체성 추가
3	회원국은 법률로 만 13세 미만까지 낮추어 규정 가능	아동에 대한 별도의 정의 없음

④ 민감 정보(Special categories of personal data)

민감 정보 원칙적 처리 금지	민감 정보 처리가 가능한 경우
인종, 민족, 정치적 견해, 종교, 철학적 신념, 노동조합의 가입여부를 나타내는 개인정보 처리와 유전자 정보, 자연인을 고유하게 식별할 수 있는 생체정보, 건강정보, 성생활, 성적 취향에 관한 정보	정보주체의 명시적 동의(explicit consent)의 경우 GDPR은 명시적 동의에 대한 별도 정의 없음

 

7.3 조항

- 정보를 제공받을 권리 [제12~14조]

> 컨트롤러는 공정하고 투명한 처리 원칙을 보장하기 위해 정보주체에게 본인의 개인정를 어떻게 처리하고 있는지에 관한 정보를 명확하고 쉬운 언어로, 무상으로 알려주어야 함

 

- 정보주체의 열람권 [제12,15조]

> 컨트롤러는 정보주체가 개인정보 처리 내용과 그 적법성을 확인할 수 있도록 정보주체의 요구가 있을 경우 자신의 개인정보 및 다음의 모든 정보에 대해 열람할 수 있도록 조치

① 처리목적

② 관련된 개인정보의 유형

③ 개인정보를 제공받았거나 제공받을 수령인 또는 수령인의 범주

④ (가능하다면) 개인정보의 예상 보유 기간 또는 (가능하지 않다면) 해당 기간을 결정하기 위한 기준

⑤ 본인의 개인정보에 대한 수정, 삭제 또는 제한이나 처리에 대한 반대를 요구할 수 있는 권리의 유무

⑥ 감독기구에 민원을 제기할 수 있는 권리

⑦ 개인정보가 정보주체로부터 수집되지 않은 경우 그 출처에 대한 모든 가용한 정보

⑧ 프로파일링 등 자동화된 결정의 유무 및 이에 따른 유의미한 정보와 이러한 처리의 유의성과 예상되는 결과

 

- 정정권 [제12,16,19조]

> 정보주체는 개인정보가 부정확하거나 불완전하다면 이에 대한 정정을 요구할 권리가 있고, 컨트롤러는 정보주체의 정정권리를 보장할 수 있도록 필요한 조치를 하여야 함

 

- 삭제권(잊힐권리) [제12,17,19조]

> 정보주체는 본인에 관한 개인정보의 삭제를 컨트롤러에게 요구할 권리를 가지며 컨트롤러는 개인정보 처리목적의 달성, 정보주체의 동의 철회 등의 경우에 개인정보를 삭제하여야 함

 

- 처리 제한권 [제12,18,19조]

> 정보주체는 자신에 관한 개인정보의 처리를 차단하거나 제한할 권리를 가지며, 개인정보처리가 제한되면 컨트롤러는 그 정보를 보관하는 것만 가능

 

- 개인정보 이동권 [제12,20조]

> 정보주체나 다른 컨트롤러에게 자신의 데이터를 제공할 것을 요구할 수 있는 권리

 

- 반대권 [제12,21조]

> 정보주체는 프로파일링 등 본인과 관련한 개인정보의 처리에 대해 언제든지 반대할 권리를 지님

> 컨트롤러는 정보주체에게 최초 고지하는 시점에 반대권에 대한 내용을 다른 정보와 분리하여 분명하게 알려줘야 함

 

- 프로파일링을 포함한 자동화된 의사결정 [제12,22조]

> 법적 효력을 초래하거나 이와 유사한 중대한 효과를 미치는 사항에 대하여 프로파일링을 포함한 자동화된 처리에만 근거한 인적개입 없는 결정의 적용을 받지 않을 권리

7.4 기업의 책임성 강화

- 기업의 책임성 강화 대책

① DPO(Data Protection Officer) 지정: 법과 실무에 대한 전문적 지식과 업무수행 능력 필요 / 내외부자 모두 가능

② 개인정보 영향평가(DPIA)

구분	개인정보 영향평가
대상 개인정보	- 새로운 기술을 사용하고, 처리 유형이 개인의 자유와 권리에 높은 위험을 초래할 가능성이 있는 경우
목적	- 위험 환화 및 GDPR 준수 입증
시기	- 고위험의 처리 활동 개시 전
대상자	- DPO와 프로세서의 도움을 받아 컨트롤러가 시행

③ DPbD(Data Protection by design and by default)

> DPbD의 원칙을 충족하는 내부 정책과 조치를 채택 및 시행_개인정보처리의 최소화, 처리에 필요한 보호조치, 가명처리 등

> 모든 프로젝트의 초기단계에서 개인정보 보호를 중요한 고려사항으로 하고, 라이프 사이클 전반에 걸쳐 개인정보를 보호하는 것을 권장

④ 처리활동의 기록

> 피고용인 250명 이상인 컨트롤러와 프로세서는 GDPR 준수를 입증하기 위해 본인 책임하에 개인정보 처리활동의 기록을 유지하여야 함

> 피고용인 250명 미만이어도, 정보주체의 권리와 자유에 위험을 초래하거나, 민감정보 처리, 유조판결 및 형사범죄 관련 개인정보 처리 시 처리활동 기록이 필요

⑤ 기술적 관리적 보호조치

고려사항	보호조치
- 최신 기술 수준 - 이행 비용 - 처리의 성격, 범위, 맥락, 목적 - 자연인의 권리와 자유에 미칠 수 있는 발생 가능성 및 심각성에 있어 다양한 위험	- 개인정보의 가명처리와 암호화 - 지속적인 기밀성, 무결성, 가용성과 처리 시스템 및 서비스의 회복성을 보장하기 위한 노력 - 물리적, 기술적 사고 발생시 적시에 개인정보의 가용성과 그에 대한 접근을 회복하는 능력 - 처리의 보안을 보장하기 위한 기술적 관리적 조치의 효과성을 정기적으로 시험, 평가하는 프로세스

 

7.5 DPO 요건

구분	GDPR DPO	개보법 CPO
지정의무자 및 지정사유	아래 사유에 해당된 컨트롤러 또는 프로세서 - 공공당국 또는 기관 - 컨트롤러/프로세서의 핵심 활동이 정보주체에 대한 대규모의 정기적, 체계적 감시를 요하는 처리 작업으로 구성되는 경우 - 컨트롤러/프로세서의 핵심 활동이 제9조의 특수 범주 정보 및 제10조의 범죄경력 및 범죄행위 관련 개인정보의 대규모 처리로 구성되는 경우	모든 개인정보처리자
복수단체의 단일지정	가능사유 있음	가능사유 없음
자격요건	- 전문적 자질, 특히 개인정보호법과 실무에 대한 전문적인 지식 및 제39조에서 언급된 직무를 수행할 능력을 보유한 자 - 내부 직원 가능 - 용역계약을 한 외부인 가능	(공공기관 외의 경우) - 사업주나 대표자 - 임원(임원이 없는 경우 개인정보 처리관련 업무를 담당하는 부서의 장)
최소 직무범위	- 컨트롤러나 프로세서 및 처리를 수행하는 직원들에게 관련 규정상의 그들의 의무를 알리고 조언 - 관련 규정 및 정책의 준수 감시(책임 분배, 직원의 인식 제고 및 훈련, 관련 감사 포함) - 개인정보보호 영향평가에 대하여 조언을 제공하고 평가의 수행을 감시, 감독당국과 협력 - 처리와 관련된 사항에 있어서 감둑당국의 연락처로서 행동하고, 적절한 경우 다른 모든 사안에 관해 협의	- 개인정보 보호 계획의 수립 및 시행 - 개인정보 처리 실태 및 관행의 정기적인 조사 및 개선 - 개인정보 처리와 관련한 불만의 처리 및 피해 구제 - 개인정보 유출 등의 방지를 위한 내부통제시스템 구축 - 개인정보 보호 교육 계획의 수립 및 시행 - 개인정보파일의 보호 및 관리·감독 - 개인정보 처리방침의 수립·변경 및 시행 - 개인정보 보호 관련 자료의 관리 - 처리 목적이 달성되거나 보유기간이 지난 개인정보의 파기
지정 신고의무	있음	없음
겸직금지	없음(겸직허용)	없음