국내외 과학기술정책에 대한 주요 정보
주요동향
주요동향
개인정보보호법(GDPR) 발효…국내에서도 촉각 원문보기 1
- 국가 유럽연합(EU)
- 생성기관 아이뉴스24
- 주제분류 기술혁신지원
- 원문발표일 2018-06-22
- 등록일 2018-06-25
- 권호 121
□ 유럽 시민의 개인정보보호를 강화하기 위한 통합 규정 ‘GDPR’ 발효 예정
○ ’95년부터 시행해 온 ‘유럽연합 정보보호법(Data Protection Directive* 95/46/EC)’을 대폭 강화한 규정인 ‘GDPR(General Data Protection Regulation**)’을 마련(’16.4.14.)하고 5.25일부터 본격 시행
* Directive : EU 회원 국가에게 목표를 정해주고 각 국가에서 자체 법률을 만들어 목표를 달성하도록 하는 비교적 자유로운 법
** Regulation : EU 회원 국가에 대한 법적 구속력이 한층 강화된 법
< EU 개인정보보호법 전후 비교 >
EU Directive(현행) | 구분 | EU GDPR(’18.5.25~) |
EU 회원국 영토를 기준으로 개인정보처리자의 개인정보 처리에 관한 사항 | 법 적용 대상 | EU 내 법인은 물론 EU 시민에게 재화나 서비스를 제공하는 경우 모두 GDPR 적용 |
직간접적으로 식별되거나 식별가능한 개인의 정보 - 식별번호(ID number), 혹은 신체적, 정신적, 경제적, 문화적, 사회적 지위에 관한 1개 이상의 요인을 참조하여 신원 확인 가능한 정보 | 개인 정보 사항 | 이름, 위치정보 등 식별자(identifier)와 함께 온라인 식별자 정보, 유전자 정보 등도 포함 * 온라인 식별자 정보: IP 주소, 쿠키, 기계고유 식별정보, 시리얼 넘버 등 |
회원국으로 하여금 적절한 제재조치를 취할 것을 권고(회원국이 자유롭게 결정) | 처벌 조항 | 직전 회계연도 전 세계 매출의 2~4% 또는 1,000~2,000만 유로 행정 과태료 부과(강제 규정) |
※ 자료 : KISA
○ 이전보다 △법 적용 대상 △처벌 조항 △개인 정보에 따른 기타 사항 등이 강화
- (법 적용 대상) EU 거주 시민의 개인정보를 처리하는 모든 정보 관리자, 정보 처리자, 정보보호책임자(DPO) 등 EU 거주자의 개인정보를 보유한 기업의 ‘활동’까지 포괄
- 특히 유럽 국가에 사업장을 가지고 있지 않아도 EU 거주 정보주체에게 재화 또는 서비스를 제공하거나 정보주체의 행동을 모니터링 하는 기업까지도 법 적용에 포함
- 이에 따라 대상 기업에 개인정보 처리활동 기록, 리스크가 있는 처리 활동 전에 영향평가를 실시할 것, 별도의 데이터 보호 최고책임자(DPO: Data Protection Officer)를 지정할 것 등을 권고
- (개인 정보 사항) 개인정보 수집 및 처리 절차와 개인의 정보 통제권 대폭 강화
- 정보제공자(이용자)는 언제든 정보 제공 동의 철회가 가능하며 당사자가 원하지 않을 경우 개인정보를 삭제 할 수 있고 본인의 정보 열람, 처리 현황에 대한 요구 등도 가능
- (처벌 조항) 개인정보 처리 원칙, 동의요건, 국외이전 등, 위반내용이 심각한 경우 전 세계 연간 매출액의 4% 또는 2,000만 유로 중 더 높은 금액을 과징금으로 부과
- 일반적 위반의 경우에도 전 세계 연간 매출액의 2% 또는 1,000만 유로 중 더 높은 금액을 과징금으로 부과하기 때문에 부담이 상당할 것으로 예상
< GDPR 주요 이행 규칙 >
구분 | 내 용 |
동의 획득 | · 개인정보 이용 처리 약관을 사용자가 이해하기 쉽게 명시해야 하며, 개인정보를 새로 이용할 때마다 사용 동의 요구 · 사용자는 개인정보 이용 동의를 언제든지 철회 가능 |
위반통보 | · 사업체가 동 규정을 위반했을 경우 72시간 내에 감독 당국에 유출 사실을 신고할 의무 · 유출 내용이 개인의 사생활, 권리 또는 정당한 이익에 영향을 미칠 가능성이 있는 경우 정보 주체에게 명시 · 조직에서 발생한 데이터 유출에 대한 내부 기록을 유지 · 회사에서 개인정보에 대한 안전한 보호조치를 하였다면, 정보주체에게 통보해야 할 의무는 규제 기관의 재량에 따라 철회 가능 |
개인정보 접근권한 | · 사용자는 사업자가 자신의 개인정보를 어떻게 처리하고 이용하는지 알 권리가 있으며, 사업체는 사용자가 원한다면 개인정보 처리내역을 제공할 의무 |
잊혀질 권리 | · 사용자는 언제든지 사업체에게 △수집 목적을 달성한 정보 △개인정보의 동의 철회 △불법적인 방법을 통해 수집된 정보 등 자신의 개인정보에 대한 삭제 및 이용중지 요청 가능 · 그러나 법적인 보관 의무가 있을 경우 정보주체의 개인정보 삭제 권한은 제한 |
정보 이동성 | · 사용자에게는 사업체에게 자신의 개인정보 카피를 요청하여 비슷한 서비스를 제공하는 다른 사업체에게 이동할 수 있는 권리 부여 |
Privacy by Design | · 사업체는 서비스나 제품을 개발할 때 처음부터 정보보호 기능·장치를 최우선시 할 것을 권고 · 서비스·제품 개발 후 정보보호 기능·장치를 덧입히는 방식은 이용 불가 |
DPO | · 1년 내 5,000명 이상의 개인정보를 처리하거나, 정기적으로 개인정보를 모니터링하거나, 민감한 정보/위치정보/아동정보/근로자 정보를 처리하는 모든 개인 또는 기업 대상 · DPO를 선임해야 하며, 사외 DPO 고용 가능 |
※ 자료 : EU 집행위, Trunomi, BMI
□ 국내 정보보호법과의 차이점에 유의해 준비에 만전
○ 국내 기업정보보호법은 개인정보 유출 등 보안 관리에 중점을 두었다면 GDPR은 보안을 포함해 정보 관리 측면까지 아우르고 있어 철저한 준비가 필요
○ 특히 GDPR에서 준수해야 할 부분 중 하나로 개인정보 역외 이전에 대한 조치사항이 포함되었기 때문에 EU의 ‘적정성 평가’ 승인이 조속히 요구되는 상황
※ 적정성 평가는 EU 집행위원회가 EU 역외 국가가 EU와 동등한 수준의 개인정보보호 조치를 취하고 있는지를 평가하는 것으로 적정성 결정을 받은 국가의 기업은 별도의 개인정보 이전 계약 등을 하지 않아도 개인정보를 역외로 이전해 사용 가능
- 한국·일본·인도 등이 EU 적정성 평가 승인의 우선 협상 대상으로 거론되고 있는 가운데 우리나라는 연내 승인을 받을 수 있도록 적극적으로 합의를 이끌고 있는 상태
○ 한편 GDPR 일부 규정에 대해서는 회원국의 별도 입법이 요구되므로 기업들은 GDPR 이외에 각 회원국의 개인정보 보호 관련 입법 동향에 대해 지속적인 모니터링이 요구
- 최근 이동통신인터넷협회(CTIA)에 따르면 5G 준비도가 가장 높은 나라로 중국이 채택. 미국은 한국에 이어 3위에 자리
※ GDPR은 과징금(administrative fines)의 대상이 되지 않는 위반 사항에 대해 각 회원국이 처벌(penalties)에 관한 별도의 입법을 하도록 규정 (제84조 제1항)
