바로가기 메뉴
본문으로 바로가기
메인 메뉴로 바로가기

현재위치

Home >주요사업>개인정보보호>GDPR 안내

GDPR FAQ

국내기업의 GDPR 주요 질의 답변

GDPR 적용범위

  • 1) GDPR의 영향을 받는 기업은 ?
    • - 국내에서만 영업을 하는 기업에는 아무런 영향이 없고 EU에 현지 영업소를 두거나 EU 주민을 대상으로 영업을 하는 기업은 GDPR 준수를 위한
          준비가 필요함

  • 2) 기업이 무엇을 어떻게 준비해야 하나 ?
    • - (1단계) 해당 기업 내 개인정보 처리 현황 등을 점검하여 GDPR 적용 대상인지 확인
    • - (2단계) GDPR 적용 대상인 경우 기 배포된 안내서 및 가이드라인 등을 참고하여 개인정보보호책임자(DPO) 지정 등 즉시 조치 가능한 사항을
          시행해야 함
    • - (3단계) 개인정보 처리 방법의 적절성, 동의 획득 절차, 국외 이전 여부, 대리인 지정 필요성 등을 점검하여 법 위반 우려가 있는 사항은 신속히 개선
          조치
    •      ※ ‘EU GDPR 시행 대비 기업이 준비해야 할 사항’ 참조

  • 3) 이전 EU 지침과 비교시 GDPR 시행으로 달라지는 점 ?
    • - 이전 EU 지침은 권고 차원의 규정인 점에 반해, GDPR은 모든 회원국 등이 의무적으로 준수해야하는 강행 규정이라는 점에서 큰 차이가 있음(위반
          시 과징금 부과)
    • - 아울러, GDPR은 개인정보책임자(DPO) 지정, 개인정보 처리활동의 기록․유지, 개인정보 영향평가 실시, 역내 대리인 지정 등 기업의 책임성을 강
          화하는 내용과 처리제한권, 정보이동권 등 정보주체 권리를 신설하는 내용이 추가되었음

DPO 임명

  • 1) 개인정보보호책임자(DPO, Data Protection Officer)란 무엇이며 어떤 경우 지정해야 하나요?
    • - DPO란 개인정보보호 관련 전문지식을 갖추고 기업 내 조언자이자 감독자 역할을 수행하는 사람임
    •      ※ 우리나라의 임원급 개인정보보호책임자(CPO, Chief Privacy Officer) 지정 제도와 유사하며, 다만 전문지식에 대한 보완 필요
    • - 특히 ① 개인정보를 처리하는 공공기관, ② 정보주체에 대한 정기적이고 체계적인 모니터링을 하는 경우, ③ 건강정보, 범죄경력 등의 민감한 정보
          를 처리하는 기업의 경우에는 필수적으로 지정해야 함.

  • 2) 1명의 DPO가 여러 기업의 DPO를 겸임하거나, 외부 인력을 DPO로 임명할 수 있는지?
    • - 전문성을 갖춘 한 명의 외부 DPO가 여러 기업의 DPO를 겸할 수 있고 외부 인력도 DPO로 임명할 수 있으나, 각 기업-DPO-감독기구간 상시
          커뮤니케이션 체계가 전제되어야 함. 즉 어떤 경우에도 DPO는 담당하는 모든 기업의 개인정보 처리 시스템이나 업무 현황에 자유롭게 접근이
          가능해야 하며, 기업은 DPO에게 이러한 업무 환경을 보장해주어야 할 필요가 있음

개인정보 국외이전

  • 1) EU 지역 주민의 개인정보를 우리나라로 이전할 수 있는 방법은 무엇인가요 ?
    • - EU에서 인정한 적절한 보호조치가 있는 경우 이전 가능
          ※ 예를 들어 개별 기업 차원의 표준계약 체결, 구속력있는 기업규칙(BCR), 공인 행동강령 또는 개인정보보호인증 등의 방법이 있음.
    • - 또한, 개인정보 보호 수준이 EU와 동등하다고 인정되는 국가에는 위의 절차를 거치지 않고도 개인정보 국외 이전이 가능하며, 이에 대하여는 현재
          한국과 EU간 온라인 분야의 일괄 협의가 진행 중임(적정성 평가)

  • 2) 개인정보 국외이전의 대표적인 보호조치인 표준계약서와 구속력 있는 기업규칙(BCRs)의 장단점은 어떤 것이 있는지?
    • - BCRs의 경우 하나의 기업 집단(그룹 내 계열사 및 계열사의 국내외 법인 등) 내에서 발생하는 개인정보 이전에 대한 포괄적인 적합성을 인정받을
          수 있다는 장점이 있음. 단, BCRs 승인에 긴 시간(12개월 이상)이 소요되며, 특정 기업 집단 외부로 이전하는 경우에는 보호조치가 적용되지 않는
          다는 단점이 있음 반대로 표준계약서의 경우, 계약 절차가 간단하며 양식에 맞춰 계약을 체결하는 즉시 보호조치가 실행된다는 것이 장점. 단 계약
          당사자가 많아질 경우, 모든 상대방과 계약을 체결해야 한다는 부담이 발생한다는 단점 존재
    • ※ BCRs 승인 기업 리스트 :

    • https://ec.europa.eu/info/law/law-topic/data-protection/data-transfers-outside-eu/binding-corporate-rules_en

    • ※ 표준계약서 양식 :

    • http://ec.europa.eu/justice/data-protection/international-transfers/transfer/index_en.htm


  • 3) EU 적정성 승인을 받으면 별도의 제한 없이 자유롭게 개인정보를 국내로 이전할 수 있는지?
    • - 원칙적으로 EU 적정성 승인을 받으면 별도의 보호조치 없이 개인정보를 EU 역외로 이전하는 것이 가능. 단, 현재 추진 중인 적정성 평가는
          정보통신망법에 기반한 부분 적정성 평가이기 때문에, 망법의 적용을 받는 사업 영역으로 범위는 제한됨

컨트롤러-프로세서의 역할 및 관계

  • 1) 본사와 해외법인과의 관계에서 누가 컨트롤러(개인정보 처리자)이고 프로세서(개인정보 수탁처리자)인지?
    • - GDPR에 의하면 컨트롤러는 '개인정보의 처리 목적 및 수단을 결정하는 자연인 또는 법인 등'을 의미. 즉 본사와 해외 법인 중, 현지에서 개인정보를
          수집하는 목적과 수단을 규정하는 측이 컨트롤러라고 할 수 있기에 본사가 무조건 컨트롤러고 현지 법인이 프로세서라고 볼 수 없음

          개인정보 수집과 관련하여 본사가 해외 법인의 활동 범위를 규정한다면 본사가 컨트롤러가 될 것이나, 본사의 특별한 지침이 없이 해외 법인이
          자체적으로 개인정보의 수집 방식을 정한다면 법인이 컨트롤러가 됨

  • 2) 컨트롤러와 프로세서의 주요 준수 사항은 무엇이 있는지?
    • <컨트롤러/프로세서 공통>
    •     ① 개인정보 처리활동 기록 (종업원 250명 이상 기업 등)
    •     ② DPO 지정
    •     ③ EU 내 설립되지 않은 컨트롤러/프로세서의 경우 EU 역내 대리인 지정
    •     ④ 개인정보 침해 인지 시 정보주체 통지 의무 (컨트롤러는 감독기구, 프로세서는 컨트롤러에게)

    • <컨트롤러>
    •     ① GDPR 준수를 입증할 수 있는 적절한 기술적/조직적 조치
    •     ② 프로세서에 대해 구체적인 법적 의무를 부과 (예: 개인정보 처리활동 기록)
    •     ③ Data Protection by Design and Default
    •     ④ 개인정보영향평가 (Data Protection Impact Assessment)
    •     ⑤ 행동강령/인증제도 이용 (가능 시)

    • <프로세서>
    •     ① 컨트롤러의 문서화된 지시사항에 의한 처리
    •     ② 개인정보 처리의 보안을 위해 요구되는 모든 조치 강구
    •     ③ 컨트롤러의 정보주체 권리 보장을 위해 필요한 조치 지원 활동
    •     ④ 컨트롤러와 관계 종료 시 컨트롤러 선택에 따라 개인정보 반환 또는 파기
    •     ⑤ GDPR 준수여부를 입증하기 위해 필요한 모든 정보를 컨트롤러에 제공

과징금 부과

  • 1) 위반시 막대한 과징금이 부과된다고 하는데 ?
    • - GDPR에 규정된 과징금 액수는 최대 한도의 과징금을 말하며, 실제 부과 금액은 위반의 내용, 의도성, 피해경감 노력 등 11개 기준을 종합 검토하여
           결정됨
    • - 다만, 1회 위반하였다 하여 과징금이 바로 부과되는 것이 아니라 시정요구 등의 여러 절차를 거쳐야 하므로 지금부터라도 차분히 준비하여 피해를
           예방할 필요

  • 2) GDPR 위반에 따른 과징금 부과 원칙은 무엇인가요 ?
    • - GDPR에 규정된 과징금 액수는 최대 한도의 과징금을 말하며, 구체적 위반 사항별 과징금 액수는 위반의 성격, 중대성, 의도성, 태만 여부, 피해경
          감 노력 등 11가지 기준에 따라 실제 부과될 최종 과징금 금액이 산정됨

기타사항

  • 1) 정부는 그간 GDPR 시행을 대비하여 어떤 대응을 했는지 ?
    • - GDPR 안내서 발간(행안부), 기업 설명회 개최(산자부, 중기부, 방통위) 등 다양한 인식 제고 활동을 추진하는 한편,
    • - 한-EU간 거래 활성화를 위해 EU 집행위원회와 개인정보 상호 이전을 위한 일괄 타결(적정성 결정*) 협의 중
    •     * 적정성 결정(Adequacy Decision) : 개인정보보호 수준이 EU와 동등한 수준으로 인정될 경우 기업이 별도의 조치 없이 개인정보 이전이 가능
             하다는 EU 집행위원회의 결정

  • 2) 기타 유의해야 할 사항은 무엇인지 ?
    • - 과징금 부과대상에 해당하지 않는 GDPR 위반사항에 대하여도 각 회원국은 자국의 법률에 추가적인 처벌(징계 등)을 규정할 수 있음
    • - 따라서, 특정 국가에서 사업을 영위하는 경우에는 해당 국가의 법률을 지속적으로 모니터링 해야 함
    •     ※ EU에 사업장을 운영하는 기업은 현지 법률 컨설팅 활용 필요

  • 3) GDPR과 관련하여 궁금한 내용은 어디로 문의하면 되는지 ?
    • - GDPR 관련 문의사항은 무역협회·KOTRA, 전국 14개 중소기업수출지원센터, 중소기업중앙회 등에서 운영하는 애로사항 접수창구를 이용할 수
          있고 전문적인 상담은 한국인터넷진흥원의 상담서비스를 활용




참고 : EU집행위원회 GDPR FAQ

    개인정보의 정의

  • 식별되거나 식별 가능한 정보주체(자연인)와 관련된 모든 정보를 의미하며, 다른 정보와의 결합을 통해 개인을 식별할 수 있는 정보도 개인정보로 정의.

  • 가명정보는 재식별이 가능하기 때문에 개인정보로 분류되며, 익명정보는 개인정보로 간주되지 않음.

  • * 예시) 성명, 주소, 이메일 주소, 신분증 번호, 위치 정보, IP 주소, 쿠키ID, 휴대전화의 광고식별자, 병원이나 의사가 보유한 정보 중 개인을 식별할
       수 있는 정보

    개인정보 처리(processing)의 의미

  • 개인정보의 처리는 개인정보의 수집, 저장, 변경, 삭제, 공개, 전송, 결합 등을 포괄하는 개념임.

  • GDPR은 전체적 또는 부분적으로 자동화 시스템의 일부를 구축하기 위한 목적일 경우, 비자동화 된 수단에 의한 개인정보 처리 활동에도 적용됨.

  • * 예시) ① 임직원 관리 및 급여 관리 ② 광고성 메일 발신 ③ 개인정보를 포함하고 있는 연락처에 대한 접근 및 조회 ④ 개인정보를 포함하고 있는
       문서의 파쇄 ⑤ 개인의 사진을 온라인에 게시 ⑥ IP 주소 및 MAC 주소의 저장 ⑦ 동영상 녹화(CCTV)

    GDPR의 적용 범위

  • EU 내에 설립된 기업이 개인정보를 처리하는 경우

  • EU 외부에 설립된 기업이 EU 역내에 재화나 서비스를 제공하거나 EU 역내의 정보주체를 모니터링*하는 경우

  •     * 온라인을 통해 정보주체를 추적해 개인의 특성을 평가하고 예측하는 활동

  • * 예시)
        1) GDPR 적용 경우 : 교육 업체가 EU 내의 스페인권과 포르투갈어권 대학에 강좌를 개설, 서비스 제공을 위해 고객의 ID와 비밀번호를 요구하
             는 경우
        2) GDPR 적용 예외 경우 : EU 역외에 설립된 기업이 EU 역내의 정보주체를 구체적으로 겨냥하지 않은 상황에서, EU 내 정보주체가 서비스를
             활용하는 경우

    컨트롤러‧프로세서의 개념

  • 컨트롤러는 개인정보 처리의 목적과 방법을 결정하는 주체를 의미하며, 이와 같은 결정권을 제3자와 공동으로 행사할 경우, 공동 컨트롤러(joint controller)의 지위를 획득함.

  • 프로세서는 컨트롤러를 대신해 개인정보를 처리하는 주체로, 프로세서의 책임과 의무는 양자 간의 서면 계약서에 명시되어야 함.

  • * 예시) 한 기업이 급여 관리 대행사와 직원의 임금 관리 업무 계약을 맺고, 대행사가 IT 시스템을 구축해 직원들의 정보를 처리하는 경우,
                  업무를 요청한 기업은 컨트롤러가 되고 급여 대행사는 프로세서가 됨

    개인정보 삭제권(잊힐 권리)

  • 수집 목적을 달성하거나 불법으로 수집된 정보에 대해서 정보주체는 기업에게 개인정보의 삭제를 요구할 수 있으며, 정보주체가 아동일 때 제공한
    개인정보는 상시적으로 삭제 요청이 가능함.

  • ※ 다만, 삭제권은 절대적인 권리가 아니며, 표현의 자유나 과학 연구를 위한 경우에 컨트롤러는 삭제 요청을 거부할 수 있음.

  • * 예시)

        1) 삭제해야하는 경우

            · 정보주체가 SNS 서비스를 활용하다 탈퇴한 후 정보 삭제를 요청한 경우

            · 정보 삭제에 의한 개인의 이익이 정보 공개에 의한 공익을 능가하는 경우(검색 엔진에서 개인 정보가 담긴 링크나 웹 페이지 삭제)

        2) 즉시 삭제가 될 수 없는 경우

  •         · 다른 개별법에서 개인정보의 보관을 명문화한 경우(이 경우, 정보주체는 자신의 정보에 대한 처리의 제한을 요구할 수 있음)

    개인정보 이동권

  • 정보주체의 동의나 계약에 의거하여 개인정보가 처리되는 경우, (기술적으로 실현 가능한 경우) 정보주체는 기업에게 자신의 정보를 본인이나 다른 기업에 전송해줄 것을 요청할 수 있음

  • * 예시) 개인정보 이동 요청에 응해야 하는 경우

  •     · SNS 서비스의 고객이 타 SNS 서비스로 사진 등 개인정보의 이동을 요청한 경우

    DPO(Data Protection Officer) 필수 지정 요건과 DPO의 업무

  • DPO는 컨트롤러‧프로세서의 개인정보 처리 활동 전반에 관한 자문 역할을 하는 전문가로, 조직의 관리 체계 구축‧임직원 교육‧감독기관과의 의사소통 등의 역할을 수행함.

  • 기업은 DPO로 조직 내부의 직원을 임명할 수 있으며, 외부 서비스 계약에 의한 DPO 임명도 고려할 수 있음. 또한 DPO는 기업으로부터 업무상 지시를 받지 않으며, 최고 경영진에게 직접 보고할 수 있는 권한이 보장되어야 함.

  • 다음의 경우에 컨트롤러‧프로세서는 DPO를 필수로 지정해야 함.

  •     1) 기업의 핵심 활동이 민감정보의 대규모 처리를 포함하는 경우

  •     2) 기업의 핵심 활동이 개인에 대한 대규모의 정기적이고 체계적인 모니터링을 포함하는 경우

  •     3) 공공기관(법원 제외)

  • * 예시)

  • 1) DPO를 필수로 임명해야 하는 경우

  •     · 민감정보를 대규모로 처리하는 병원

  •     · 쇼핑몰이나 공공장소를 모니터링 하는 보안 회사

  •     · 개인의 프로필을 축적하는 헤드헌팅 업체

  • 2) DPO를 임명하지 않아도 되는 경우

  •     · 환자의 정보를 처리하는 의사 개인

  •     · 고객의 정보를 처리하는 소규모 법무법인

    개인정보 영향평가

  • 정보주체의 자유와 권리에 고위험을 초래할 가능성이 있는 경우 개인정보 영향평가를 수행해야 하며, 영향평가가 특히 요구되는 경우는 아래와 같음

  • 1) 정보주체의 개인적 측면에 대한 체계적이고 광범위한 평가

  • 2) 대규모의 민감 정보 처리

  • 3) 공공장소에 대한 체계적인 대규모의 모니터링

  • 개인정보 영향평가는 처리 이전 단계에서 수행되어야 하며, 해당 조치를 통해서도 완화될 수 없는 위험이 있는 경우에는 감독기구와 협의가 필요함

  •   * 예시)

  • 1) 영향평가가 필요한 경우

  •    · 은행이 신용 정보를 활용해서 고객을 검열하는 경우

  •    · 병원에서 환자의 건강 정보를 포함해 새로운 건강 정보 데이터베이스를 구축하려는 경우

  •    · 버스 회사가 기사와 승객의 행동을 감시하기 위해 차내 카메라를 설치하는 경우 등

  • 2) 영향평가가 불필요한 경우

  •    · 의사가 한정된 숫자의 환자의 개인정보를 처리하는 경우에는 해당 처리가 대규모로 이뤄지지 않기 때문에 영향평가가 불필요

    개인정보 역외 이전

  • EU 역내에서 수집한 개인정보는 다음의 경우 EU 역외로 이전 가능

  • 1) EU 집행위원회로부터 적정성 승인 (Adequacy Decision)을 받은 경우

  • 2) 적정성 승인을 받지 않았지만, 아래의 보호조치를 마련한 경우

  •    ① 구속력 있는 기업 규칙(Binding Corporate Rules, BCRs)

  •    ② 표준 개인정보보호 조항에 의거한 개인정보 이전 계약

  •    ③ 승인된 행동 강령(code of conduct) 및 인증제도(certification)

  • 3) 정보주체가 명시적으로 동의한 경우

  •       * 예시) EU 역외(우루과이, 아르헨티나, 브라질)로 개인정보를 이전하는 경우

  •        · 우루과이와 아르헨티나는 적정성 승인을 받았기 때문에, 별도의 보호조치 없이 개인정보의 이전이 가능

  •        · 브라질은 적정성 승인을 받지 않았기 때문에, 위의 3가지 보호조치 중 하나를 채택한 경우에만 역외 이전이 가능

    과징금 부과 및 산정의 기준

  • GDPR 규정을 위반하는 경우, 사안의 경중에 따라 최대 전 세계 매출액의 4% 또는 2천만 유로 중 높은 금액의 과징금 부과

  • 과징금 산정에는 다음의 11가지 기준이 있으며, 침해 수준에 비례하여 과징금이 부과됨

  • 과징금 산정표
    1 위반의 성격, 중대성 및 지속 기간
    2 위반의 의도성 또는 태만 여부
    3 정보주체의 피해를 경감하기 위한 컨트롤러‧프로세서의 조치
    4 기술적‧조직적 보호조치를 고려한 컨트롤러‧프로세서의 책임 수준
    5 컨트롤러‧프로세서가 이전에 범했던 관련 법규의 위반 여부
    6 위반을 해결하기 위한 감독기구와의 협조 수준
    7 위반으로 인해 영향을 받게 되는 개인정보의 종류
    8 컨트롤러‧프로세서의 위반 통지 여부
    9 동일한 사안에 대한 감독기구의 명령이 부과된 바가 있는지 여부
    10 승인된 행동 강령 또는 인증 메커니즘의 준수 여부
    11 위반으로 인해 직간접적으로 얻은 금전적 이익 또는 회피한 손실

담당자

내용문의 : 개인정보협력팀 전화 061-820-1805

Home

메뉴선택

닫기