GDPR(General Data Protection Regulation)이란?

GDPR(General Data Protection Regulation)이란?

GDPR은 General Data Protection Regulation의 약자로, 2018년 5월 25일에 시행된 EU의 개인정보 보호 법령입니다. 이 법령은 EU 내에서 개인정보 보호를 강화하고, 개인정보를 처리하는 모든 기업과 단체에 대한 일관된 규제를 제공합니다.

 

GDPR은 개인정보를 다루는 모든 조직, 무엇보다도 개인정보 컨트롤러와 개인정보 프로세서를 규제합니다. 이러한 조직들은 GDPR에서 규정한 권리를 준수해야 하며, 개인정보에 대한 보호를 위해 적절한 기술적 및 조직적 조치를 취해야 합니다.

 

GDPR은 다음과 같은 주요 요소를 포함합니다.

 

- 개인정보 정의: GDPR에서 개인정보는 식별 가능한 개인에 대한 모든 정보로 정의됩니다.

- 동의: GDPR에서는 개인정보 수집과 처리를 위한 동의를 받을 때 명시적이고 명확한 동의를 요구합니다. 이러한 동의는 언제든지 철회될 수 있어야 합니다.

- 개인정보 보호: GDPR에서는 조직이 개인정보를 안전하게 보호하도록 요구합니다. 개인정보를 수집, 처리 및 보유하는 모든 기술적 및 조직적 조치는 GDPR에서 요구하는 안전성 수준에 부합해야 합니다.

- 권리: GDPR은 개인정보 주체에게 개인정보에 대한 일정한 권리를 부여합니다. 이러한 권리에는 개인정보에 대한 접근, 수정, 삭제 및 이동 등이 포함됩니다.

- 위반 통보: GDPR에서는 개인정보 침해가 발생할 경우, 해당 침해사실을 관련 기관과 주체에게 빠르게 통보해야 합니다.

GDPR은 EU 내에서만 적용되는 것이 아니라, EU 내의 개인정보를 처리하는 모든 기업과 단체에 대해 적용됩니다. GDPR 위반으로 인한 벌금은 매우 엄격합니다. 벌금은 조직의 규모와 위반 유형에 따라 최대 4%까지 적용됩니다.

 

GDPR의 적용 범위

GDPR은 유럽연합(EU)에서 시행되는 개인정보 보호 법령으로, EU 내에 사업장이 있는 경우 뿐만 아니라 EU 내에 있는 개인(정보주체)의 개인정보를 처리하는 경우에도 적용됩니다.

 

GDPR이 적용되는 개인정보 범위는 개인을 식별할 수 있는 모든 정보를 포함하며, 예를 들면 이름, 주소, 전화번호, 이메일 주소, IP 주소, 쿠키 정보, 유전자 정보 등이 해당됩니다. 이러한 정보는 온라인 및 오프라인에서 모두 수집되며, 개인정보의 처리 방법과 보호 조치는 GDPR에서 명확히 규정되어 있습니다.

 

또한 GDPR은 개인정보 처리에 대한 명시적이고 명확한 동의를 요구하며, 개인정보에 대한 일정한 권리를 개인정보 주체에게 부여합니다. 개인정보 보호를 위해 적절한 기술적 및 조직적 조치를 취해야하며, 개인정보 침해 발생 시 관련 기관 및 개인정보 주체에 대한 빠른 통보가 필요합니다.

 

따라서 GDPR 준수는 EU 내에서 사업을 진행하는 기업 및 조직뿐만 아니라, EU 내에 있는 개인(정보주체)의 개인정보를 처리하는 모든 기업 및 조직에게 중요한 문제이며, GDPR 위반에 따른 엄격한 벌칙이 부과될 수 있습니다. 이에 따라 모든 기업과 조직은 GDPR을 준수하기 위한 적절한 대책을 마련해야 합니다.

 

자세한 내용은 KISA에서 확인 가능합니다.

 

 

GDPR 준수를 위한 가이드

GDPR은 개인정보 보호를 위한 EU의 법률입니다. GDPR 준수는 기업과 조직들에게 매우 중요한 일입니다. GDPR을 준수하지 않을 경우, 기업과 조직은 벌금을 부과받거나 법적 책임을 지게 될 수 있습니다. 이를 방지하기 위해서는 GDPR 준수를 위한 가이드 및 적용 방법, 개인정보 보호 관리를 위한 조직 구성 등을 따라야 합니다.

 

GDPR을 준수하기 위해서는 먼저 GDPR을 이해해야 합니다. GDPR의 주요 내용에는 개인정보 보호 원칙, 개인정보 수집 및 처리 방법, 개인정보 주체 권리 등이 있습니다. GDPR을 준수하기 위해서는 기업과 조직이 이러한 내용들을 이해하고 이를 적용해야 합니다.

 

또한 GDPR 준수를 위해서는 개인정보 보호 관리를 위한 조직 구성도 중요합니다. 기업과 조직은 개인정보 처리 책임자나 개인정보 보호책임자를 지정하고, 개인정보 처리 관련 업무를 담당하는 직원들에 대한 교육을 실시해야 합니다. 또한, 개인정보 보호 위반 사례에 대한 대응 계획을 마련하고, 외부 전문가들을 통해 GDPR 준수 여부를 확인하는 등의 조치도 필요합니다.

 

GDPR을 준수하기 위해서는 또한 GDPR과 관련된 IT 시스템과 프로세스들도 고려해야 합니다. GDPR 요구사항에 맞는 보안 및 기술적 조치를 취해야 하며, GDPR 위반 사례 발생 시 IT 시스템과 프로세스를 신속하게 대응할 수 있는 체계를 마련해야 합니다.

 

이러한 조치들은 GDPR을 준수하고 개인정보 보호를 실현하기 위해 필요한 것들입니다. GDPR 준수를 위한 가이드와 적용 방법을 따르면, 기업과 조직은 법적 책임을 회피하고, 개인정보 보호를 위한 좋은 관행을 확립할 수 있습니다.

 

GDPR 위반시 처벌 사항

GDPR 위반 시에는 일반 위반과 심각한 위반으로 나뉘며, 이에 따라 과징금 부과 기준이 다릅니다.

 

일반 위반의 경우 최대 1000만 유로(약 132억 원) 또는 전 세계 연간 매출액의 2% 중 높은 금액이 과징금으로 부과됩니다. 이 경우, 과징금 부과 근거는 GDPR 제83조이며, GDPR 위반의 종류와 심각성, 개인정보 주체의 권리 및 자유를 침해한 정도 등을 고려해 결정됩니다.

 

심각한 위반의 경우에는 더 높은 과징금이 부과됩니다. 이 경우, 과징금 부과 근거는 GDPR 제83조(5)이며, 최대 2억 유로(약 2630억 원) 또는 전 세계 연간 매출액의 4% 중 높은 금액이 과징금으로 부과됩니다. 심각한 위반의 예시로는 개인정보 유출, 처리 목적 외의 개인정보 처리, 개인정보 보호조치 미비 등이 있습니다.

 

개인정보 보호와 관련된 문제는 기업과 조직뿐만 아니라 개인에게도 중요한 문제이기 때문에, 모든 이들이 적극적으로 개인정보 보호에 대해 관심을 가지고 준비해야 합니다.