바로가기 메뉴
본문으로 바로가기
메인 메뉴로 바로가기

현재위치

Home >주요사업>개인정보보호>GDPR 안내

GDPR vs 개인정보보호법

법 적용 범위

해외 사업자에 대한 법 적용

   - GDPR은 EU 내에 사업장이 없더라도 물품․서비스 공급을 위해 EU 내에 거주하는 사람의 개인정보를 처리하는 사업자에게도 법 적용 명문화

법 적용 범위
EU GDPR 한국 개인정보보호법
·  적용대상 : 아래의 개인정보 처리에 적용(제3조)
   - EU 내의 정보처리자, 수탁자의 활동
   - EU 내에 설립되지 않은 정보처리자가 EU 내에 거주하는 사람 물품․
      서비스를 제공
   - EU 내에서 발생하는 개인의 행동을 감시
· 해외 사업자에 대해서는 명시적 규정 없음

기업의 책임성 강화

개인정보보호책임자 지정

   - 우리나라의 임원급 개인정보보호책임자(CPO*) 지정 제도와 달리, GDPR은 개인정보보호책임자(DPO**)의 자격으로 전문지식 및 업무 수행 능력을
      명시

      * CPO : Chief Privacy Officer       ** DPO : Data Protection Officer

기업의 책임성 강화
EU GDPR 한국 개인정보보호법
· 자격요건 : 개인정보보호법과 실무에 대한 전문적 지식과 업무 수행 능
   력(제37조)
· 위반시 처벌 가능
· 자격 요건 : 사업주 또는 대표자, 임원 등(제31조)
· 위반시 처벌 가능

개인정보 처리활동 기록․유지

   - 우리나라는 접속기록에 대해서만 보관 의무가 규정된 반면, GDPR은 개인정보 처리활동 전반을 기록․유지토록 하고 있어 다소 차이

개인정보 처리활동 기록․유지
EU GDPR 한국 개인정보보호법
· 기록 대상 : 아래 항목을 기록․유지, 다만 250인 미만 기업이나 조직에
    는 미적용(제30조)
    - 정보처리자, 대리인, 담당자 등의 이름, 연락처
    - 개인정보 처리 목적 및 항목
    - 개인정보를 제공받는 자의 범주 및 국가,
    - 적절한 안전조치에 대한 문서
· 위반시 처벌 가능
· 기록 대상 : 개인정보 침해사고 발생에 대응하기 위한 접속기록 보관
   (제29조)
· 위반시 처벌 가능

역내 대리인 지정

   - EU 역내에 사업장이 없는 기업이 EU 주민에게 물품․서비스 제공을 위해 개인정보를 처리하는 경우에는 EU 역내 대리인을 서면으로 지정해야 함

개인정보 처리활동 기록․유지
EU GDPR 한국 개인정보보호법
· 지정요건 : 아래의 경우 역내 대리인 서면 지정(제27조)
    - EU 내에 설립되지 않은 정보처리자가 물품․서비스 공급을 위해 EU
        내에 거주하는 사람의 개인정보를 처리
    - EU 내에서 발생하는 개인의 행동을 감시하는 경우
· 위반시 처벌 : 최대 1천만 유로 또는 전세계 매출 2% 중 높은 금액
· 관련 규정 없음

개인정보 영향평가

   - 우리나라는 공공부문에만 개인정보 영향평가를 의무화하고 있는 반면, GDPR은 일정 요건에 해당하는 경우 민간영역도 영향평가를 실시해야 함

개인정보 영향평가
EU GDPR 한국 개인정보보호법
· 평가대상 : 아래 요건에 해당하는 경우(제35조)
    - 개인정보 처리 유형에 따라 개인의 권리와 자유에 중대한 위험을 초
       래한 가능성이 있는 경우
    - 프로파일링을 포함한 자동화 처리에 근거한 평가로써 그 평가에 근
       거한 결정이 개인에게 중대한 영향을 미치는 경우
    - 민감정보에 대한 대규모의 처리를 하는 경우
    - 공개적이고 접근 가능한 장소에 대한 대규모의 체계적인 모니터링
       (예 : CCTV)
· 위반시 처벌 가능
· 평가대상 : 아래 요건에 해당하는 공공기관(제33조)
    - 100만명 이상의 개인정보파일 운영시
    - 50만명 이상의 개인정보파일 연계시
    - 5만명 이상의 민감정보, 고유식별정보 운영시
    - 영향평가 후 운용체계를 변경하려는 경우
· 위반시 처벌 규정 없음

정보주체의 권리 강화

개인정보 이동권

   - 국내법상 없는 내용으로써 이번 GDPR에 새로 추가된 권리임

   - 자신의 개인정보를 여러 다른 서비스에 걸쳐 재사용할 수 있도록 개인정보의 이동을 요구할 수 있는 권리임

      * (예) 이메일 업체 변경시 기존 등록된 연락처를 변경한 업체로 이동 요구

정보주체의 권리 강화
EU GDPR 한국 개인정보보호법
· 개요 : 정보주체가 자신이 제공했던 개인정보를 체계적 형태(CSV,
               XML 등)로 다시 전달 받거나 그 개인정보를 다른 정보처리자에
               게 이전할 것을 요구할 수 있는 권리(제20조)
· 권리행사 요건 : 아래에 해당하는 개인정보 처리시
               단, 다른 개인의 권리를 침해하지 않아야 함
    - 동의나 계약에 따라 개인정보를 처리하는 경우
    - 자동 수단을 통한 개인정보 처리가 수행되는 경우
· 이전 대상 정보 : 본인과 관련한 개인정보(사업자가 개인정보에 기반하
               여 추론하거나 파생한 정보는 이전 대상에 포함하지 않음)
· 미이행시 처벌 가능
· 관련 규정 없음

처리제한권

   - 국내법상 처리정지권과 유사한 내용이며 이번 GDPR에서 새로 추가됨

   - 자신의 개인정보에 대한 처리 또는 이용 제한을 요구할 수 있는 권리임

정보주체의 권리 강화
EU GDPR 한국 개인정보보호법
· 개요 : 자신의 개인정보에 대한 처리 또는 이용 제한을 요구할 권리
               (제18조)
· 권리행사 요건 : 아래에 해당하는 경우
    - 정보주체가 개인정보 정확성에 이의를 제기하는 경우
    - 청구권의 입증이나 행사, 방어를 위해 요구하는 경우
    - 정보주체가 이용 제한을 요청하는 경우 등
· 미이행시 처벌 가능
· 개요 : 자신의 개인정보에 대한 처리 정지 등을 요구할 권리(제37조)
· 미이행시 처벌 가능

삭제권(잊힐 권리)

   - 국내법상 삭제요구권과 유사한 내용이나 삭제 요건이 약간 차이가 있음

   - 자신의 개인정보에 대한 삭제를 요구할 수 있는 권리임

정보주체의 권리 강화
EU GDPR 한국 개인정보보호법
· 개요 : 자신의 개인정보에 대한 삭제를 요구할 권리(제17조)
· 권리행사 요건 : 아래 경우에는 삭제해야 함
    - 개인정보가 더 이상 필요하지 않은 경우
    - 정보주체가 동의를 철회하는 경우
    - 정보주체가 프로파일링 또는 마케팅을 위한 개인정보 처리를 반대하
       는 경우
    - 개인정보가 불법적으로 처리된 경우
    - 법적 의무를 준수하기 위해 삭제해야 하는 경우
· 미이행시 처벌 가능
· 개요 : 자신의 개인정보에 대한 정정 또는 삭제를 요구할 권리(제36조)
· 권리행사 요건 : 다른 법령에서 수집 대상으로 명시되어 있는 개인정보
                                를 제외하고는 삭제해야 함
· 미이행시 처벌 가능

프로파일링 거부권

   - 국내법상 없는 내용이나 이전 EU 지침 및 GDPR에는 명시된 권리임

   - 자신에게 중대한 영향을 미치는 사안을 프로파일링 등 자동화된 처리에 의해 결정하는 것에 반대할 권리를 가짐

정보주체의 권리 강화
EU GDPR 한국 개인정보보호법
· 개요 : 프로파일링 등 자동화된 처리에 의해서만 자신에게 중대한 영향
               을 미치는 사항을 결정하는 것을 반대할 권리(제22조)
· 권리행사 요건 : 아래 경우를 제외하고 권리행사 가능
    - 계약을 체결 또는 이행하는데 필요한 경우
    - EU 또는 회원국 법률에 따른 경우
    - 정보주체의 명백한 동의에 기반하는 경우
· 미이행시 처벌 가능
· 관련 규정 없음

개인정보 국외 이전

개인정보 국외 이전 요건

   - 우리나라는 개인정보 국외 이전시 원칙적으로 본인 동의를 요하는 반면, GDPR은 EU가 인정한 적절한 보호조치가 있는 경우 이전 허용

정보주체의 권리 강화
EU GDPR 한국 개인정보보호법
· 허용요건 : EU에서 인정하는 경우(제45조, 제46조)
    - (기업 차원) 표준계약 체결, 구속력있는 의무적 기업규칙(BCR),
        공인 행동강령, 유럽 개인정보보호인증 등
    - (국가 차원) EU 집행위원회의 적정성 결정
    - (예외) 명시적 동의, 중요한 공익상 이유 등
· 위반시 처벌 가능
· 허용요건 : 개인정보를 제공받는 자, 이용 목적 등을 알리고 동의를
                       받은 경우(제17조)
    ※ 온라인 사업자의 경우에는 정보통신망법 제63조에 따라 정보주체
        동의 없이 이전 가능
       (정보통신서비스 제공에 관한 계약을 이행하고 이용자 편의 증진 등
         을 위하여 필요한 경우로서 이전되는 개인정보 항목, 국가 등을 공
         개 또는 알린 경우)
· 위반시 처벌 가능

담당자

내용문의 : 개인정보협력팀 전화 061-820-1805

Home

메뉴선택

닫기