[개인정보보호위원회] 우리 기업을 위한 EU 일반 개인정보보호법(GDPR) 가이드북 (2022.12 개정)

안녕하세요. 황컴플라이언스 입니다.

[개인정보보호위원회] 우리 기업을 위한 EU 일반 개인정보보호법(GDPR) 가이드북 (2022.12 개정) 입니다.

업무에 참고하시기 바랍니다.

---

[개요]

□ 추진배경

• 2016년 5월 유럽연합(이하 'EU')에서 제정한 일반 개인정보보호법(General Data Protection Regulation) (이하 'GDPR')이 2018년 5월부터 시행되었습니다.
• GDPR은 기존의 EU 개인정보보호 지침인 1995년 개인정보보호 지침(Data Protection Directive 95/46/EC)을 대체하며 더 강력한 제재를 규정하고 있습니다.
• GDPR의 본격 시행 이후 GDPR 위반에 따른 과징금 부과 사례들이 증가하고 있습니다. 이에 영국, 프랑스, 일본 등 주요 국가들은 기업들의 GDPR 준수를 지원하기 위해서 GDPR 해설 혹은 가이드를 제공하고 있습니다.
• 한국인터넷진흥원은 우리 기업에 GDPR 준수에 대한 실질적이고 구체적인 가이드를 제공하기 위해 주요 국가의 가이드 및 최근 EU 판결이나 과징금 부과 사례 등을 참조하여 '2020 EU 일반 개인정보보호법(GDPR) 가이드북' (2020.07)을 발간하였습니다.
• 이번에 발간하는 '2022 EU 일반 개인정보보호법(GDPR) 가이드북은 '2020년 가이드북'의 개정·증보판입니다.

---

우리 기업을 위한 EU 일반 개인정보보호법GDPR 가이드북(2022.12 개정).pdf

3.18MB

우리 기업을 위한 EU 일반 개인정보보호법 가이드북(2022.12) : 개인정보보호위원회

---

<주요 개정사항>

• 한-EU 적정성 결정 내용 업데이트
• EU 표준계약조항(SCC) 개정사항 업데이트
• 영국 Brexit 내용과 개인정보보호 사항 업데이트
• GDPR 주요 과징금 부과 사례 및 감독기구 현황, 해외 GDPR 가이드북 발간 현황 업데이트

---

[GDPR 제정 목적과 의의]

• GDPR은 자연인(Natural Person)에 관한 기본권과 자유(특히 개인정보보호 대한 권리)를 보호하고(제1조 제2항), EU역내에서 개인정보의 자유로운 이동(제1조 제3항)을 보장하는 것을 목적으로 한다.
• GDPR은 개인정보 삭제권, 처리 제한권, 개인정보 이동권, 반대권(거부권) 등의 신규 권리 추가 및 기존 권리 명확화를 통하여 기존 Directive 95/46/EC보다 정보주체의 권리를 확대 및 강화했습니다.
• 개인정보 처리 활동의 기록, DPO의 지정, 개인정보 영향평가, Data Protection by design and by default 등을 규정함으로써 기업의 책임성을 강화했습니다.

---

[GDPR의 법적 효력]

• GDPR은 지침(Directive)과 달리 "Regulation"이라는 법 형식으로 제정되어 법적 구속력을 가집니다. 모든 EU 회원국 내에 직접적으로 적용됩니다.(제99조)
• 기존 Directive에서는 회원국 간 개인정보보호 법제가 서로 달라 규제가 어려움이 있었습니다. 그러나 GDPR 제정을 통해 통일된 개인정보보호 규제가 가능하게 되었습니다.
• GDPR 일부 조항에 대해서는 회원국의 별도 입법이 요구되므로, 기업들은 GDPR 이외에 각 회원국의 개인정보보호 관련 입법 동향에 대하여 지속해서 모니터링 할 필요가 있습니다.

---

[GDPR의 시행에 따라 유의해야 할 주요 사항]

○ EU 역내 및 역외 적용

• EU 내 설립된 기관의 개인정보 처리 활동 외에 다음의 경우를 적용 범위에 포함하였습니다.
• EU 밖에서 EU 내에 있는 정보주체에게 재화나 용역을 제공하는 경우
• 또는 EU 내에 있는 정보주체가 수행하는 활동을 모니터링 하는 경우

○ 개인정보 정의와 적용 대상 범위

• 개인정보를 "식별되었거나 또는 식별 가능한 자연인(정보주체)과 관련된 모든 정보"로 정의하면서 (제4조 제1항), 기존 Directive에 명시되지 않았으나 판례, 유권해석, 개별법 차원에서 인정된 개념을 포함하였습니다.
• 자연인이 사용하는 장치, 애플리케이션, 도구와 프로토콜을 통해 제공되는 개인 식별이 가능한 경우의 IP주소, 쿠키(cookie) ID, RFID(무선 인식) 태그 등을 개인정보(온라인 식별자)에 포함합니다.(전문 제30항)
• 위치정보를 개인정보의 정의에 명시적으로 규정하였습니다.(제4조 제1항)
• 민감한 성격의 개인정보를 '특수한 범주의 개인정보')이하 '민감정보')라고 정의하여, 유전정보와 생체인식정보를 명시적으로 규정하였습니다.(제9조 제1항)
• 개인정보 가명처리(Pseudonymisation) 개념을 명문화함으로써(제4조 제5항), 분리 보관 및 특별조치 등을 통하여 개인정보를 활용할 수 있도록 하였습니다.

○ 개인정보 기본 처리 원칙

개인정보를 처리하는 경우, 다음 7가지 원칙을 모두 준수해야 합니다.(제5조)

1. 합법성 · 공정성 · 투명성 원칙
2. 목적 제한의 원칙
3. 개인정보 최소처리 원칙
4. 정확성의 원칙
5. 보유기간 제한의 원칙
6. 무결성과 기밀성의 원칙
7. 책임성의 원칙

---

[GDPR 내 주요 용어]

• GDPR에서 사용하는 용어가 우리나라 개인정보보호 관련 법령의 용어와 동일한 의미가 아니거나, 우리말로 번역하여 의미의 혼동을 일으킬 수 있는 경우에는 원문을 그대로 표기함.

[주요 용어의 정의]

○ 개인정보(Peresonal Data)(제4조 제1항)

• 개인정보란 식별되었거나 또는 식별 가능한 자연인(정보주체)과 관련된 모든 정보를 의미한다.
• 개인과 관련되어 있는지의 여부를 판단할 때에는 정보의 내용(직·간접적으로 개인 또는 그들의 활동에 대한 것인지의 여부), 그 정보의 처리 목적, 그 정보를 처리함으로써 개인에게 미치는 영향이나 결과를 고려할 필요가 있다. 부정확한 정보라고 하더라도 식별 가능한 개인과 관련되어 있다면 개인정보이다.
• GDPR은 기존 Directive에 명시적으로 기재하지 않았던 온라인 식별자, 위치정보, 유전정보 등을 개인정보에 포함함으로써 개인정보의 개념을 확립하고 있다. 이 때 개인정보의 형태를 문자에 한정하지 않고, 특정 개인을 나타내는 음성, 숫자, 그림 사진 등의 형태를 모두 포함한다.
• 만약 개인을 직접 또는 간적접으로 식별 가능한 경우라면, 이름·주민등록번호 등과 같은 일반적인 개인정보 외에 온라인 식별자나 위치정보도 GDPR이 정의하는 개인정보에 해당한다.

---

※ 해당 가이드라인은 개인정보보호위원회 홈페이지 지침·가이드라인에서 확인할 수 있습니다.