GDPR (General Data Protection Regulation) 이란?
2018년 5월 25일부터 시행된 EU(유럽연합)의 개인정보보호 법령이며, 동 법령 위반시 과징금 등 행정처분이 부과될 수 있어 EU와 거래하는 우리나라 기업도 이 법에 위반되지 않도록 주의할 필요가 있다.
- GDPR 은 모든 회원국이 의무적으로 준수해야하는 강행 규정이다. 때문에 위반시 과징금을 부과한다.
- GDPR 은 EU 내 사업장을 운영하는 기업 뿐만 아니라 전자상거래 등을 통해 해외에서 EU 주민의 개인정보를 처리하는 기업에게도 적용된다.
- GDPR 은 개인정보책임자(DPO) 지정 등 기업의 책임성을 강화하는 내용과 정보이동권 등 정보주체의 권리를 강화하는 내용이 추가되었다.
# GDPR 의 R인 Regulation 은 강제성을 가지고 있어 EU 에 속한 모든 국가들이 지켜야 한다. 참고로 Directive 는 준수하여야 할 기본 규칙으로 강제성이 없다.
GDPR 을 적용받는 기업은?
|
아래 어느 하나에 해당하는 기업으로써 EU 주민의 개인정보를 처리하는 경우에는 한국 기업도 적용 대상임 |
- EU에 사업장을 운영하는 기업(지점, 판매소, 영업소 등)
- EU 지역에 사업장은 없지만, 인터넷 홈페이지를 통해 EU에 거주하는 주민에게 물품, 서비스를 제공하는 기업
(예) 현지어로 마케팅 활동을 하거나 현지 통화로 결제하는 경우
- EU에 거주하는 주민의 행동을 모니터 하는 기업
|
특히 아래에 해당하는 기업은 특별한 주의를 요함 |
- EU 주민의 민감한 정보(건강, 유전자, 범죄경력 등)를 처리하거나, 아동의 정보를 처리하는 기업
- 공개적으로 접근 가능한 장소에 대한 대규모의 체계적인 모니터링을 하는 기업(예 : CCTV)
# 참고로 우리나라 법에서는 아동이 만 14세 미만이고, GDPR 에서는 만 16세 미만이다.
컨트롤러와 프로세서
GDPR 은 총 11 개의 Chapter, 99 개의 Article 로 구성되어 있다. KISA 홈페이지에서 GDPR 가이드북을 다운받으면 그 내용을 자세히 확인할 수 있다. GDPR 을 이해하고 준수하기 위해서는 컨트롤러와 프로세서라는 개념을 알고 갈 필요가 있다. GDPR 에서는 컨트롤러와 프로세서를 다음과 같이 정의하고 있다.
- 컨트롤러 (Controller)
컨트롤러는 개인정보 처리의 목적과 수단을 결정하는 주체를 의미하며, 이와 같은 결정은 컨트롤러 단독으로 하거나 또는 제3자와 공동으로 할 수 있다. 자연인을 비롯하여 법인, 정부부처 및 관련기관, 기타 단체 등이 컨트롤러가 될 수 있다. 이 때 개인정보 처리의 목적과 수단이 EU 또는 회원국(Member state)의 법률에 의해 결정되는 경우, 컨트롤러 또는 컨트롤러 지정을 위한 기준은 EU 또는 회원국의 법률에 의해 정의될 수 있다.
- 프로세서 (Processor)
프로세서는 컨트롤러를 대신하여 개인정보를 처리하는 자연인, 법인, 정부부처 및 관련기관, 기타 단체 등을 의미한다. 프로세서는 컨트롤러의 지시에 따라 개인정보를 처리하며, 이 때 컨트롤러는 반드시 구속력 있는 서면 계약에 의해 프로세서를 지정하여야 한다.
우리나라 개인정보보호법에는 위탁자 / 수탁자 의 개념이 있다.
'위탁자' 는 개인정보의 처리 업무를 위탁하는 개인정보처리자를 의미한다.
'수탁자' 는 위탁하는 업무의 내용과 개인정보 처리 업무를 위탁 받아 처리하는 자를 의미한다.
때문에 컨트롤러는 위탁자, 프로세서는 수탁자 또는 제 3자와 유사한 개념이라고 보면 된다.
단, 차이점은 위탁자는 자신의 사무 처리를 위해 직접 수집한 개인정보를 수탁자에게 제공하지만, 컨트롤러는 개인정보 처리의 목적과 수단을 규정하기만 하면 컨트롤러가 개인정보를 직접 수집하여 프로세서에게 제공할 필요는 없다. 또한, 위탁자는 수탁자의 개인정보 위반 사유에 대한 책임이 위탁자에게 귀속되지만, GDPR 에서는 컨트롤러와 프로세서에게 공동으로 책임을 부담한다.
'보안 이슈' 카테고리의 다른 글
| OWASP Top 10 (2020) (1) | 2020.03.08 |
|---|