GDPR(General Data Protection Regulation)

입사한지 얼마되지 않아 유럽국가로 VPN을 잡아서 샘플앱으로 테스트를 해볼 때, 한국과 다른 생소한 페이지가 나타났습니다. 이건 뭔가요? 라고 물었던 내게 "이 페이지는 GDPR을 대응하기 위해서 나타나요" 라고 누군가 말했습니다. 그럼 GDPR이란 무엇일까요?

 

GDPR(General Data Protection Regulation)

• 개요
  • 2018년 5월 25일부터 시행된 유럽연합(EU) 일반 개인정보 보호법
• 적용 범위 
  • EU 밖에서 EU 내에 있는 정보 주체에게 재화나 용역을 제공하는 경우 
  • EU 내에 있는 정보주체가 수행하는 활동을 모니터링하는 기관 
• 개인정보 정의 
  • 식별되거나 식별 가능한 정보주체(자연인)와 관련된 모든 정보를 의미하며, 다른 정보와의 결합을 통해 개인을 식별할 수 있는 정보도 개인정보로 정의. 가명정보는 재식별이 가능하기 때문에 개인정보로 분류되며, 익명정보는 개인정보로 간주되지 않음. 
    • 이름/성
    • 주소
    • 이메일 주소
    • ID 카드 번호
    • 위치정보
    • 쿠키 ID
    • 광고 식별자(IDFA, AdvertisingID)
    • 개인을 식별할 수 있는 병원, 의사가 보유한 데이터  
• 개인정보 처리의 의미 
  • 개인정보의 처리는 개인정보의 수집, 저장, 변경, 삭제, 공개, 전송, 결합 등을 포괄하는 개념. GDPR은 전체적 또는 부분적으로 자동화 시스템의 일부를 구축하기 위한 목적일 경우, 비자동화 된 수단에 의한 개인정보 처리 활동에도 적용됨
• 개인정보 기본 처리 7가지 원칙 
  • (처리) 적법성, 공공성, 투명성의 원칙
  • (수집) 목적 제한의 원칙
  • 개인정보 처리의 최소화의 원칙 
  • 정확성의 원칙
  • 보유 기간 제한의 원칙
  • 무결성과 기밀성의 원칙 
  • 책임성의 원칙
• 아동 개인정보 동의 원칙
  • 만 16세 미만의 아동에게 직접 정보사회 서비스를 제공할 떄 부모 등 친권을 보유하는 자의 동의를 받아야 함. 단 각 회원국은 개별 법률을 통해 친권자 동의를 요하는 아동의 연령 기준을 만들어 13세까지 낮추어 규정할 수 있음
• 제재 규정 
  • 개인정보 처리에 따라 제재 규정을 적용하여, 사업체 그룹 매출을 바탕으로 과징금 부과 
    • GDPR 규정의 일반적 위반의 경우 직전 회계연도의 전세계 매출액 2% 또는 1천만 유로 중 더 큰 금액
    • GDPR 규정의 심각한 위반의 경우 직전 회계연동의 전세계 매출액 4% 또는 2천만 유로 중 더 큰 금액 
• 개인정보 역외 이전 
  • EU 역내에서 수집한 개인정보는 다음의 경우 EU 역외로 이전 가능
    • EU 집행위원회로부터 적정성 결정 (Adequacy Decision)을 받은 경우
    • 적정성 결정을 받지 않았지만, 아래의 보호조치를 마련한 경우
      • 구속력 있는 기업 규칙(Binding Corporate Rules, BCRs)
      • 표준 개인정보보호 조항에 의거한 개인정보 이전 계약
      • 승인된 행동 강령(code of conduct) 및 인증제도(certification)
    •  정보주체가 명시적으로 동의한 경우

 

제가 다니고 있는 회사도 EU 밖에서 EU 내에 있는 정보 주체에게 재화나 용역을 제공하는 경우라 적용 대상입니다. 해당 부분에 대해서 GDPR이 정하는 바에 따라 대응이 되어 있습니다. 과징금이 크기 때문에 EU 내에서 서비스를 할 경우에는 무조건 대응이 필요할 거예요. 

 

 

참고자료 

• GDPR 대응지원 센터 : https://gdpr.kisa.or.kr/index.do
• EU 일반 개인정보보호법 :  https://www.kisa.or.kr/uploadfile/201805/201805241934148238.pdf