안녕하세요, 법무법인 해성 기업법무센터입니다.
개인정보 보호는 전 세계 많은 국가와 기업의 주요 관심사 중 하나입니다.
유럽 연합(EU)은 개인 데이터 보호와 관련하여 데이터 보호 규정(GDPR)을 시행하고 있습니다.
오늘 GDPR(General Data Protection Regulation)의 주요 개념에 대해 설명하고자 합니다.
▲ GDPR 정의와 목적
GDPR은 2018년 5월 25일부터 시행된 유럽 연합의 데이터 보호 및 개인정보 보호 규정입니다.
유럽 연합 내 개인의 정보를 보호하는 목적으로, 유럽 연합의 모든 회원국에 일관적인 법률 적용합니다.
정보의 처리가 개인의 권리와 자유를 존중하는 방식으로 이루어져야 한다는 원칙에 기초를 두고 있습니다.
GDPR은 데이터 권리 강화 및 정보 처리 주체의 책임을 명확히 하는 조항으로 구성되어 있습니다. GDPR에서 '개인정보(Personal Data)'를 어떻게 정의하고 있는지 살펴보겠습니다.
‘Personal Data’ means any information relating to an identified or identifiable natural person (‘data subject’); an identifiable natural person is one who can be identified, directly or indirectly, in particular by reference to an identifier such as a name, an identification number, location data, an online identifier or to one or more factors specific to the physical, physiological, genetic, mental, economic, cultural or social identity of that natural person; ...GDPR Chapter 1 Article 4 (1) - https://gdpr-info.eu/art-4-gdpr/
위 조항에 따르면 GDPR의 '개인정보'는 '식별 가능한 정보 주체와 관련된 모든 정보'를 의미합니다.
여기서 '정보'는 이름, 위치, IP 주소 등 직접 또는 간접적으로 개인을 식별할 수 있을 데이터를 포함합니다.
따라서, GDPR에서 규정하는 '개인정보'를 수집할 때에는 수집 대상으로부터 명시적인 동의가 필요합니다.
GDPR에서 강조하는 개인정보 보호 관련 규정을 아래와 같이 정리할 수 있습니다.
항목 | 참고 | 설명 |
권리 강화 | Art. 12 - 23 | 개인은 본인 정보에 대한 접근 권리, 정정 권리, 삭제 권리, 데이터 이동성 권리 등을 가짐 |
침해 통보 | Art. 33 | 개인 데이터가 침해된 경우, 해당 기관은 침해 사실을 72시간 이내에 감독 기관에 통보해야 함 |
보호 책임자 | Art. 37 | 특정 조건 하에 조직은 데이터 보호 책임자(Data Protection Officer, DPO)를 지정해야 함 |
이와 더불어 GDPR 규정에 관한 세부 사항은 해당 사이트에서 확인하실 수 있습니다 ➡️ https://gdpr-info.eu/
GDPR은 EU(유럽 연합) 외부에 거주하면서 EU 시민의 개인 데이터를 처리하는 기업에도 적용됩니다.
서비스를 제공하는 과정에서 EU 내 거주하는 사용자의 개인정보를 수집할 경우, GDPR이 적용되며,
사용자가 서비스를 이용하기 위해 공급자에게 제공하였던 개인정보 삭제를 요청할 수 있습니다.
오늘 저희가 준비한 포스트를 통해 GDPR에 관하여 이해하는 데에 도움이 되었기를 바랍니다.
유럽 시장 진출 시, 궁금한 점이 있으시면 언제든지 전문가에게 자세한 상담을 받으시기 바랍니다.