GDPR (General Data Protection Regulation)

GDPR (General Data Protection Regulation)

EU 일반 개인정보 보호 규정 (2018년 시행)

목적: EU 시민 개인정보 보호, 정보주체 권리 강화, 역외 적용

특징: 역외 적용, 높은 과징금(최대 매출 4%), 정보주체 권리 강화

정보주체 8가지 권리

• •정보권(Right to be Informed): 개인정보 수집/처리 시 사전에 목적/기간/제3자제공 여부를 명확히 고지받을 권리, 프라이버시 정책 명시 의무
• •접근권(Right of Access): 자신의 개인정보 처리 여부 확인 및 사본 요청 가능, 30일 이내 무료 제공 의무, 처리 목적/보유기간/제3자 정보 포함
• •정정권(Right to Rectification): 부정확하거나 불완전한 개인정보의 정정/보완 요구, 지체 없이(1개월 이내) 처리 의무
• •삭제권(Right to Erasure, 잊힐 권리): 수집 목적 달성/동의 철회/불법 처리 시 삭제 요구, 예외: 법적 의무/공익/소송 방어 시 거부 가능, 제3자에게도 삭제 통지 의무
• •처리제한권(Right to Restriction): 정확성 이의/불법처리/필요기간 경과 시 처리를 저장만으로 제한 요구, 제한 해제 시 사전 통지 의무
• •이동권(Right to Data Portability): 자신의 데이터를 구조화된 기계 판독 가능한 형식(JSON/CSV)으로 받을 권리, 다른 컨트롤러에게 직접 전송 요구 가능, 자동화 처리 기반 데이터에 적용
• •반대권(Right to Object): 직접 마케팅 목적 처리 시 무조건 거부 가능, 공익/정당이익 기반 처리 시 거부 가능(컨트롤러 입증 책임), 프로파일링 포함
• •자동화된 의사결정 거부권(Right related to Automated Decision-making): 프로파일링 포함 순수 자동화된 의사결정에 대한 거부권, 인간 개입 요구 가능, 예외: 계약 이행/법적 근거/명시적 동의, AI 기반 의사결정에 중요 시사점

데이터 보호 7원칙: 합법성·공정성·투명성, 목적 제한, 데이터 최소화, 정확성, 보관 제한, 무결성·기밀성, 책임성

DPO(Data Protection Officer): 개인정보 보호 책임자 지정 의무

DPIA(Data Protection Impact Assessment): 고위험 처리 시 영향평가 의무

적용대상: EU 거주자 데이터 처리 시 역외 사업자도 적용

과징금: 최대 2천만 유로 또는 전 세계 매출 4% 중 높은 금액

비교: GDPR(EU) vs CCPA(캘리포니아) vs 개인정보보호법(한국)

연관: 개인정보보호, 컴플라이언스, 데이터 보호, ISO 27701