법무법인 민후는 2017년 9월 15일 역삼동 포스코P&S타워에서 '제3회 신기술 경영과 법 세미나'를 개최했습니다. 이날 세미나는 EU GDPR'과 '방통위 고시'를 주제로 진행됐으며, 김경환 대표변호사가 발표했습니다. 발표자료는 EU GDPR의 전반적인 내용을 담고 있습니다.

1. 유럽 일반개인정보보호규정 의EU GDPR( )
해설과 우리 기업의 법률적 대응방안
의 전 조문 주석 포함(General Data Protection Regulation )
법무법인 민후 김경환 변호사

2. - 1 -
본 강의의 목표
에 친숙해 지기o GDPR
안에 있는 것은 알겠는데 관련 조문이 어디에 있는지 모를 때GDPR
이 조문은 이해되는데 다른 조문에 어떤 내용이 더 있을지 몰라 두려울 때
이해되지 않는 용어나 개념이 많을 때
세부 쟁점 분석보다는 전체적인 체계 및 흐름과 중요 쟁점 이해하기o
핸드북은 언제든지 쉽게 조문을 찾아볼 수 있도록 만든 것o
 핸드북은 기본서의 보조역할이고 자세한 내용이 알고 싶을 때는 기본서를 보자,
 곧 고려대 박노형 교수 김경환 변호사 외 인이 저술한 기본서가 박영사에서 출간 예정, 7 GDPR

3. - 2 -
연혁GDPR
년 개인정보보호 지침o 95 (Directive)
o 2012. 1. 25. 위원회 초안 제정: EU
이사회 채택o 2016. 4. 8. : EU GDPR
의회 채택o 2016. 4. 14. : EU GDPR
관보 게재 일 이후에 발효o 2016. 5. 4. : (20 )
발효o 2016. 5. 24. : GDPR
o 2018. 5. 25. 시행: GDPR (Regulation 개인정보보호 일반규칙, )

4. - 3 -
의 체계GDPR
조Chapter 1: General provisions (1~4 )
목적 적용범위 정의규정, ,
조Chapter 2: Principles (5~11 )
원칙 적법성 특수한 범주의 개인정보 등, ,
조Chapter 3: Rights of the Data Subject (12~23 )
정보주체의 권리
조Chapter 4: Controller and Processor (24~43 )
컨트롤러와 프로세서의 책임 등
Chapter 5: Transfer of personal data to third countries of international organizations
조(44~50 )
개인정보의 국외이전 등

5. - 4 -
조Chapter 6: Independent Supervisory Authorities (51~59 )
감독당국
조Chapter 7: Co-operation and Consistency (60~76 )
상호협조와 일관성 메카니즘
조Chapter 8: Remedies, Liability, and Sanctions (77~84 )
구제와 제재
조Chapter 9: Provisions relating to specific data processing situations (85~91 )
특정한 처리 상황 표현의 자유 국민식별번호 고용 공익 목적 처리 종교단체 등( , , , , )
조Chapter 10: Delegated Acts and Implementing Acts (92~93 )
위임입법 이행입법,
조Chapter 11: Final provisions (94~99 )
지침 폐지와 규칙 발효 등

6. - 5 -
제 장1
일반 규정
제 조 대상 및 목적1
규정 대상 제 항 개인정보 처리에 관한 자연인의 보호o ( 1 ) :
개인정보의 자유로운 이동
목적 자연인의 기본권과 자유 개인정보에 관한 권리의 보호 제 항o : , ( 2 )
개인정보의 자유로운 이동의 보장 제 항( 3 )

7. - 6 -
제 조 물적 범위2
적용범위 제 항o ( 1 )
 자동화된 수단에 의한 전체적인 또는 부분적인 개인정보의 처리
자동화되지 않은 수동적 수단( ) 에 의한 개인정보의 처리. 다만 파일링 시스템에 한함
적용제외 제 항o ( 2 , National Derogation)
법의 적용을 벗어나는 활동EU
회원국이 수행하는 공통의 외교 안보 활동EU ㆍ
 자연인이 수행하는 순수한 개인적 또는 가사적 활동
개인적 서신이나 의 사적 이용이 여기에 해당하나 일부라도 업무에 관련되어 있는 개인SNS ,☞
적 활동은 여기에 해당하지 않음 사건 참조(Rynes )
회원국 소관 당국의 범죄 예방 수사 탐지나 소추 또는 형사처벌의 집행 활동, ,
지역사회 기관에 의해 처리되는 개인정보 규칙 규칙 이 적용되는 활동 제 항‘ (45/2001/EC )’ ( 3 )

8. - 7 -
제 조 영토적 범위3
o 역내EU 컨트롤러 프로세서의ㆍ 사업장이 수행하는 개인정보 처리 제 항( 1 , 사업장 기준)
사업장의 정의 규정은 없으나 일정한 조치를 통해 활동의 효과적이고 실질적인 수행을 하는 장,☞
소로 파악하는 게 일반적
o 역외EU 컨트롤러 프로세서에 의한ㆍ 정보주체EU 의 개인정보 처리로서 아래와 관련된 경우 제( 2
항, 정보주체 기준)
내 정보주체에게EU 상품이나 서비스를 제공하는 경우 다만 지불 여부는 고려하지 않음 제공. (
여부는 언어 지불통화 배송 등을 고려하여 판단할 수 있음, , )
내 발생하는 정보주체EU 행동을 감시하는 경우 예 온라인 트래킹 등( : )
역외 컨트롤러나 프로세서는 원칙적으로 ‘☞ 역내 대리인 을 서면으로 지정해야 함’
국제공법에 따라o 회원국 법이 적용되는 곳에 설립된 컨트롤러에 의한 개인정보의 처리 제 항 예( 3 ,
회원국의 외교공관 등: )
우리나라의 경우 역외 적용에 관하여 명문의 규정이 없지만★ 역외 적용을 한 적이 있음 예 구글( :
스트리트 뷰 사건)

9. - 8 -
제 조 정의4
개인정보(1)
개인정보o 식별된 또는 식별가능한 자연인 정보주체 과 관련된 모든 정보: (‘ ’) (전단)
정보주체o : 직접적 또는 간접적으로 특히 이름 식별번호 위치정보 온라인 식별자와 같은, , , , 식별자
를 참조하여 또는 그 자연인의 신체적 생리적 유전적 정신적 경제적 문화적 또는 사회적, , , , , 정체성
에 특유한 하나 이상의 요소를 참조하여 식별될 수 있는 자 (후단)
직접적 간접적o /
온라인 식별자 기기 응용프로그램 툴 프로토콜 등에 의하여 제공되는 정보 또는 쿠키식별자o : , , , ,
식별태그 등 개인정보에 해당함 예 안드로이드 등RF . ( : IP, MAC, IMEI, ID )
식별자와 정체성o : 위치정보는 식별자인가?
우리 개인정보보호법 제 조 제 호 개인에 관한 정보로서 성명 주민등록번호 및 영상 등을 통하여2 1 ( ,★
개인을 알아볼 수 있는 정보 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게(
결합하여 알아볼 수 있는 것을 포함한다 와 비교하여 표현상 차이는 있지만 범위에 있어 큰 차이가))
없어 보임

10. - 9 -
처리(2)
자동화된 수단에 의한 처리에 한정하지 않음o
개인정보를 활용한 대부분의 활동이 처리에 해당함 다만 다른 사람이 처리하고 있는 개인정보를o .
단순히 전달 또는 통과만 시켜주는 행위는 처리에 해당하지 않음
개인정보보호법 제 조 제 호2 2★
처리 란 개인정보의 수집 생성 연계 연동 기록 저장 보유 가공 편집 검색 출력 정정“ ” , , , , , , , , , , , ( ),訂正
복구 이용 제공 공개 파기 그 밖에 이와 유사한 행위를 말한다, , , , ( ), .破棄
처리의 제한(3)
개인정보의 정확성 개인정보처리의 적법성 등에 대하여 다툼이 있는 경우 소송수행 등을 위하여o , ,
개인정보를 보존할 필요가 있는 경우 등의 사유가 있을 때 향후 그 처리를 한정할 목적으로 저장된,
개인정보에 표시하는 것
처리제한을 하면 원칙적으로o 보존만 가능하고 이용은 제한됨

11. - 10 -
프로파일링(4)
프로파일링 자연인과 관련된 일정한o : 개인적 측면을 평가하기 위하여 특히 그 자연인의 업무능력, ,
경제 상황 건강 개인적 선호 관심사 신뢰도 행동 위치 또는 이동과 관련된 측면을 분석하거나, , , , , ,
예측하기 위하여 개인정보를 사용하는 모든 형태의 자동화된 개인정보 처리
개인적 측면의o ‘평가 를 목적으로 하기 때문에 평가에 이르지 못한 경우에는 프로파일링으로 보기’ ,
어려움 예 소프트웨어 봇을 활용한 로그인을 방지하기 위하여 임의의 문자를 수동 입력하게 하는( :
경우)
o 자동화된 개인정보 처리에 한정하므로 프로파일 창설 과정에서 인적인 개입이 개입된 경우는 본조
의 프로파일링에 해당하지 않음 다만 분석 전 단계로서 알고리즘 기획에 인적 개입이 있는 경우에.
는 프로파일링에 해당함

12. - 11 -
가명처리(5)
해석o : 추가정보의 이용 없이는 개인정보가 더 이상 특정 정보주체에게 귀속될 수 없는 방식으로
개인정보를 처리하는 것을 의미하며 이러한 추가정보가 별도로 보관되어야 하고 해당 개인정보가,
식별된 또는 식별가능한 자연인에게 귀속될 수 없게 보장하도록 기술적 및 관리적 조치가 적용되어
야 한다
구별개념o
비식별화 가명처리와 익명화를 포함하는 개념(de-identification) :
익명화 개인정보 아님 적용되지 않음(anonymisation) : . GDPR
 가명처리(pseudonymisation) : 개인정보에 해당
가명처리의 활용o
개인정보의a) 수집 목적 외의 처리와 관련해서 개인정보를 수집한 목적 이외로 처리하기 위해서,
는 암호화 및 가명처리가 포함될 수 있는 적절한 보호수단을 갖추어야 한다 제 조( 6 ).
가명처리를 적용한 경우 컨트롤러의b) data protection by design 또는 data protection by
default 의무를 충족한 것으로 본다 제 조( 25 ).
컨트롤러와 프로세서는 가명처리 및 암호화를 통하여c) 적절한 보안 수준을 유지할 수 있다 제 조( 32 ).
d) 공익을 위한 목적 과학 역사 연구의 목적 또는 통계 목적, ㆍ 에서 개인정보 처리를 할 때 정보주
체의 자유와 권리를 보호하기 위하여 가명처리를 통하여 적절한 안전조치를 확보할 수 있다 제( 89
조).

13. - 12 -
파일링시스템(6)
파일링시스템 기능적 또는 지리적 근거로 집중 비집중 또는 분산되는지 여부와 관계없이 특정한o : , ,
기준에 따라 접근가능한 모든 구조화된 개인정보 집합
수동적 처리의 경우에 의미가 있음 제 조 참조o ( 2 )
개인정보보호법 제 조 제 호2 4★
"개인정보파일 이란 개인정보를 쉽게 검색할 수 있도록 일정한 규칙에 따라 체계적으로 배열하거"
나 구성한 개인정보의 집합물 을 말한다( ) .集合物

14. - 13 -
컨트롤러(7)
o 컨트롤러 단독으로 또는 타인과 공동으로: 개인정보 처리의 목적 및 수단을 결정하는 자연인이나
법인 공공당국 에이전시 또는 다른 기관, ,
자연인이 수행하는 순수한 개인적 또는 가사적 활동에는 이 적용되지 않으므로 이 경우 자o GDPR ,
연인은 개인정보 처리를 하더라도 컨트롤러에 해당하지 않음
타인과 공동으로 개인정보 처리의 목적 및 처리의 본질적인 수단을 결정하면 타인과 함께o 공동 컨
트롤러에 해당함
개인정보 처리의 목적이라는o 왜(why) 개인정보를 처리하는지에 대한 결정에 관한 것이고 개인정,
보 처리의 수단이라는 어떻게(how) 개인정보를 처리하는지에 대한 결정에 관한 것임
컨트롤러는 개인정보 처리의 목적과 수단을 결정하면 되고 직접 개인정보를 처리하지 않아도 컨트o ,
롤러에 해당함
컨트롤러가 스스로 개인정보 처리의 목적과 수단을 규정하는 동시에 직접 개인정보를 처리하는 경o
우에는 컨트롤러인 동시에 프로세서가 되는 이중적 지위에 해당할 수 있음
컨트롤러는 모든o 처리의 수단을 결정할 필요는 없고 필수적인(essential) 처리 수단만 결정하면 됨
개인정보처리자 업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하(★
여 개인정보를 처리하는 공공기관 법인 단체 및 개인 등 프로세서를 포함하는 개념임, , ) :
★ 개인정보취급자 개인정보처리자의: 지휘 감독ㆍ 을 받아 개인정보를 처리하는 자

15. - 14 -
★ 위탁자 개인정보의( 처리 업무를 위탁하는 개인정보처리자 처리 중심의 개념으로서 컨트롤러와는) :
상이한 점이 있음
프로세서(8)
프로세서 컨트롤러를o : 대신하여 개인정보를 처리하는 자연인이나 법인 공공당국 에이전시 또는, ,
다른 기관
o 대신하여(on behalf of) 컨트롤러의 이익을 위한 것이라야 하고 컨트롤러의 위탁이 있어: a) , b)
야 한다는 의미
프로세서는 컨트롤러와는o 구별되는 법인격이어야 하며 하나의 컨트롤러에 대하여 복수가 존재할,
수 있고 동일한 개인정보 처리 활동에 대하여 하나의 주체가 컨트롤러가 되고 동시에 프로세서가,
될 수 있는 것은 아님
명확성과 투명성을 위해서 컨트롤러와 프로세서 사이의 관계에 있어 상세한 사항은o 문서화된 계약
으로 작성되어야 함
o 서브프로세서 프로세서의 하위 프로세서로서 가능:
기존 년 지침에서는 컨트롤러에게 의무가 부여되었으나o 95 , 에서는 프로세서에게도 의무와 책GDPR
임이 부여됨

16. - 15 -
수령자(9)
수령자 제 자인지 여부와 관계없이 개인정보가 제공되는 자연인이나 법인 공공당국 에이전시o : 3 , ,
또는 다른 기관 다만 관세 당국 금융조사 당국 등과 같이 또는 회원국 법에 따라 특정한 조사. , EU
프레임워크에 따라 개인정보를 수령할 수 있는 공공당국은 수령자로 간주되지 않음
제 자와의 구별 컨트롤러 또는 프로세서가 보유한 정보에o 3 : a) 접근할 권한이 있는 자는 수령자에
해당하고 제 자는, 3 그렇지 않은 자임 수령자는 컨트롤러나 프로세서에의. b) 소속 여부와 무관하지
만 제 자는 컨트롤러나 프로세서에, 3 소속된 사람이 아님
수령자 관련 조항o
정보주체 아닌 자( 제 자3≠ 로부터 개인정보를 수집할 때 컨트롤러 등은 수령자 정보를 정보주체)
에게 알려야 함
정보주체는 수령자에게 정보 열람권 을 행사할 수 있음(right of access)
개인정보를 정정 삭제 등을 한 경우 컨트롤러는 수령자에게 알려야 함ㆍ

17. - 16 -
제 자(10) 3
제 자 정보주체 컨트롤러 프로세서 및 컨트롤러나 프로세서의 직접적인 권한 하에서o 3 : , , 개인정보
를 처리할 권한이 주어진 자를 제외한 모든 자연인이나 법인 공공당국 에이전시 또는 기관, ,
제 자o 3 : 처리권한 없음 + 컨트롤러 프로세서 아닌 자ㆍ

18. - 17 -
동의(11)
동의o : 진술이나 명백한 긍정적 행위에 의하여 본인이 자신과 관련된 개인정보의 처리에 대한 합,
의를 나타내는, 자유롭게 주어진 특정된 고지되고 모호하지 않은, , , 정보주체의 의사의 표시
진술이나o 명백한 긍정적 행위 명시적 또는: 묵시적 동의 다만 침묵 사전 체크된 동의 단순한 부. , ,
작위로는 묵시적 동의로 보지 않음
☞ 특수한 범주의 개인정보 민감정보 등( )는 명시적 동의에 한함
자유롭게 주어진 동의 정보주체가 실질적으로 선택권을 행사하고 그 과정에서 기망 위협 강박o : , ㆍ ㆍ
또는 부동의에 대한 중대한 불이익이 없음을 의미 포괄 동의는 자유롭게 주어진 동의가 아닌 것으.
로 간주함
특정된 동의 동의의 범위는 구체적어야 함o :
고지된 동의 정보주체에게 충분한 정보가 제공되어야 함o :
모호하지 않은 동의 정보주체의 개인정보 처리에 관한 동의에 있어 의심이 없는 방식으로 행해져o :
야 한다는 것(act in a way which leaves no doubt)
동의 철회의 자유 정보주체는 언제든지 동의를 철회할 수 있는 것이 원칙임o :

19. - 18 -
개인정보 침해(12)
개인정보 침해 전송 저장 또는 달리 처리되는 개인정보의 우발적 또는 불법적 파기 유실 변경o : , , , , ,
허가받지 않은 공개 또는 접근에 이르는 보안 침해
감독당국에 대한o 통지의무 및 정보주체에 대한 통지의무

20. - 19 -
유전정보(13)
유전정보 자연인의 생리 또는 건강에 관한 고유 정보를 주고 특히 해당 자연인의 생물학적 샘플o :
의 분석으로부터 결과하는 자연인의 선천적 또는 후천적 유전적 특성과 관련된 개인정보
o 예 염색체 나 등의 분석을 통해서 얻은 정보: DNA(deoxyribonucleic acid) RNA(ribonucleic acid)ㆍ
o 특수한 범주의 정보로 분류함 원칙적 수집 금지 명시적 동의: +
바이오인식정보(14)
바이오인식정보 얼굴 이미지 또는 지문 정보와 같이o : 그 자연인의 고유한 식별을 허용하거나 확인
하는 자연인의 신체적 생리적 또는 행동적 특성과 관련된 특정 기술적 처리로부터 결과하는 개인, ,
정보
바이오인식정보의 이중성o : 식별 인증( 포함 기능 및) 속성 기능
o 특수한 범주의 개인정보로 분류함
개인정보 안전성확보조치 기준 바이오정보 란 지문 얼굴 홍채 정맥 음성 필적 등: “ ” , , , , ,★ 개인을 식
별할 수 있는 신체적 또는 행동적 특징에 관한 정보로서 그로부터 가공되거나 생성된 정보를 포함
한다.

21. - 20 -
건강 관련 정보(15)
건강 관련 정보 자연인의 신체적 또는 정신적 건강과 관련된 개인정보를 의미하며 그 사람의 건o : ,
강 상태에 대한 정보를 드러내는 건강 관리 서비스 제공을 포함한다
o 특수한 범주의 개인정보로 분류
개인정보보호법 제 조는 건강정보를 민감정보의 한 유형으로 봄23★

22. - 21 -
주된 사업장(16)
여러 국가에서 사업장을 운영하는 컨트롤러 등에 대하여는 어느 사업장을 기준으로o , ‘총괄 감독당
국 을 결정할 지의 문제가 발생함 감독당국의 경합이 발생함’ ( )
단독 사업장 그 소재지의 감독당국이 관할함o :
둘 이상의 회원국에 사업장을 가진o 컨트롤러의 주된 사업장 개인정보 처리의 목적과 수단에: a)
관한 결정이 이루어지는 내의 중심적 관리장소EU 형식적인 중심적 관리 장소와 실제 개인정+ b)
보 처리의 목적과 수단에 관한 결정이 이루어지는 장소가 다른 경우에는 내, EU 실제 개인정보 처리
의 목적과 수단에 관한 결정이 이루어지는 장소
여러 회원국에 걸쳐 여러 사업장을 운영하는o 프로세서의 주된 사업장 : a) 내에 위치한 중심적EU
관리장소 내에서 중심적 관리를 하지 않는 경우 프로세서의 사업장 활동 맥락에서 주된+ b) EU
처리 활동이 그 프로세서가 본 규칙의 특정 의무를 부담하는 범위에서 이뤄지는 내 프로세서의EU
사업장

23. - 22 -
대리인(17)
역내 대리인o ( )
 내에 설립되지 않은 컨트롤러 또는 프로세서EU 는 내 회원국 중 하나에 대리인을EU ‘서면으로’
지정하고 이를 설립하여야 함,
다만 간헐적으로 이루어지는 처리 등의 경우는 대리인의 지정이 의무 사항이 아님

24. - 23 -
기업(18)
기업 그 법적 형태와 상관없이 경제 활동에 종사하는 자연인 또는 법인을 의미하며 경제 활동에o : , ,
통상적으로 종사하는 파트너십 또는 협회
은 기업의 유형은 영세 기업 소규모 기업 중규모 기업o GDPR (micro-sized), (small-sized),
로 구별함(medium-sized)
사업체 집단(19)
사업체 집단 사업체들을 관리하는 사업체 관리사업체 와 관리사업체의o : ( , controlling undertaking)
관리를 받는 사업체들 피관리사업체들 모두 포괄하는 개념( , controlled undertakings)
피관리사업체만 개인정보를 보유하고 있어도 관리 사업체의o 주된 사업장이 사업체 집단의 주된 사
업장으로 취급함

25. - 24 -
구속력 있는 기업규칙(20)
예컨대 다국적 기업은 하나의 기업 안에서 국경을 넘은 개인정보의 이전이 빈번한바 만일 회o , , EU
원국이 아닌 곳에 다국적 기업의 한 조직이 존재하지만 그 조직이 제 조의 적정성 평가 조치를 갖45
추지 못한 경우, 다국적 기업은 내부적 규칙으로서 구속력 있는 기업규칙을 설정하고 소관 감독당국
으로부터 승인을 얻으면 그 때로부터 개별적인 승인 절차 없이도 개인정보의 자유로운 국외 이전이
허용됨

26. - 25 -
감독당국(21)
감독당국 회원국에서 실질적으로 을 적용 및 집행하는 기관으로서 회원국 내에서 업무상o : GDPR ,
독립성이 보장되어야 함
총괄 감독당국과 관련 감독당국o : 국경간 처리에서 컨트롤러 또는 프로세서의 ‘주된 사업장 을 관할’
하는 감독당국이 총괄 감독당국에 해당하고 관련 감독당국은, 제 호22 에 의하여 결정함 예 프랑스( :
에 주된 사업장을 둔 컨트롤러가 포르투갈 국민들만 가입할 수 있는 전자상거래 사이트를 오픈하였
을 경우 원칙적으로 총괄 감독당국은, 주된 사업장이 관할하는 프랑스의 개인정보보호 감독당국이
되며 만일 프랑스 개인정보보호 감독당국이, 총괄 감독당국이라면 포르투갈의 개인정보 감독당국은
관련 감독당국이 됨)
내o EU 컨트롤러와 프로세서가 관여된 사건의 경우 컨트롤러의 사업장을 관할하는 감독당국이, 총
괄 감독당국이 되고 프로세서의 사업장을 관할하는 감독당국이 관련 감독당국이 됨,
o 소관 감독당국 어느 경우이든지 사건을 처리하는 감독당국 원칙적으로 총괄 감독당국이 소관 감: .
독당국이 되지만 총괄 감독당국이 사건 처리를 하지 않을 의사를 밝힌 경우는 관련 감독당국이 소
관 감독당국이 될 수 있음

27. - 26 -
관련 감독당국(22)
관련 감독당국의 범위o
 컨트롤로나 프로세서 기준 컨트롤러 또는 프로세서가 해당 감독당국의 회원국 영토에 설립된:
경우
 정보주체 기준 해당 감독당국의 회원국에 거주하는 정보주체가 그 처리로 인하여 상당한 영향:
을 받거나 받을 것 같은 경우
 민원 기준 해당 감독당국에 민원이 제기된 경우:
총괄 감독당국과의 협력 의견제시 등o ,

28. - 27 -
국경간 처리(23)
국경간 처리 총괄 감독당국을 결정해야 하는 전제o :
컨트롤러 또는 프로세서가 복수의 회원국에 설립된 경우 내 컨트롤러 또는 프로세서의, EU 복수
의 회원국에 있는 사업장들의 활동 맥락에서 이뤄지는 개인정보 처리
내의 컨트롤러 또는 프로세서의 단일 사업장의 활동 맥락에서 이뤄지지만EU 복수의 회원국 내
정보주체에게 상당하게 영향을 주거나 줄 것 같은 개인정보 처리
상당한 영향 사소한 영향은 제외함o :

29. - 28 -
적절하고 이유 있는 반대(24)
총괄 감독당국이 특정 사안에 대하여 의 침해 여부 또는 컨트롤러 또는 프로세서에 관한 예o GDPR
상된 조치가 을 준수하는지 여부에 관한 결정 초안GDPR 을 만들어 다른 관련 감독당국에 전달했을
때 다른 관련 감독당국은 그 결정 초안에 대하여, '적절하고 이유 있는 반대 를 제기할 수 있고 이' ,
때 총괄 감독당국은 그 이의를 따르지 않고자 할 경우 등에는 그 사안을 제 조의63 일관성 메커니즘
에 회부하여야 함
적절한 반대 란 정보주체의 기본권과 자유에 관련된 반대를 말하고 이유 있는 반대 란 결정 초안o ' ' , ' '
에 의해 제기된 위험의 중요성을 명확하게 제시하는 것을 의미함

30. - 29 -
정보사회서비스(25)
정보사회서비스 원격으로 특히 전자적 수단으로 그리고 서비스 수령자의 개별 요청에 의하여 일o :
반적으로 보상을 제공하는 모든 서비스
우리 정보통신망법의 정보통신서비스★
국제기구(26)
은 회원국 국민의 개인정보를 이전받는 국제기구는 회원국 아닌 국가와 동일하게 취o GDPR EU EU
급함 따라서: 개인정보 국외이전에 관한 제 장이 적용5 됨

31. - 30 -
제 장2
원칙
제 조 개인정보 처리에 관한 원칙5 [ 원칙 책임성6 + ]
적법성 공정성 투명성o ㆍ ㆍ
o 목적 제한
수집시 처리 목적을 특정하여야 하고 처리 목적을 명시하여야 하며 목적이 적법하여야 한다는 것
과 수집시 고지하고 동의 받은 초기의 목적과 일치하지 않은 목적의 추가처리(further
processing)는 허용되지 않는다는 의미
추가처리가 허용되는 예외 : 제 조 제 항 가명처리 포함 의 공익 목적의 기록 보존 과학적 또89 1 ( ) ㆍ
는 역사적 연구 또는 통계 목적의 추가처리는 초기의 목적과 일치하는 것으로 봄
개인정보보호법 제 조 제 항 제 호 통계작성 및 학술연구 등의 목적을 위하여 필요한 경우18 2 4 :☞
로서 특정 개인을 알아볼 수 없는 형태로 개인정보를 제공하는 경우
공익을 위한 기록보존 목적과 관련하여 공익적 가치를 지닌 기록물을 보유하고 있는 공공당국,
또는 공공 민간 기관이 수행하는 기록물의 획득 보존 평가 편찬 기술 교환 홍보 배포 제공, , , , , , , ,ㆍ
은 목적 외 추가로서 허용

32. - 31 -
 과학적 연구 목적과 관련하여 과학적 연구 목적의 개인정보 처리는, 폭 넓게 해석하되 기술의,
발전과 실현 기초연구 응용연구 및 민간투자연구 공공보건 분야에서 시행된 공익성 연구를 포함, , ,
함
역사적 연구에는 계보학 연구가 포함됨
 통계 목적을 위한 개인정보 처리란 통계 조사 및 통계 결과를 위하여 필요한 개인정보의 수집 및
처리의 작업 일체를 의미함
통계적 목적은 광범위한 처리 활동을 포함하는데 예컨대 병원에 의하여 수집되는 데이터의 통계,
나 교통사고에 따른 사상자 통계와 같이 공익적 목적뿐만 아니라 웹사이트의 애널리틱 분석이나
시장조사를 목적으로 하는 빅데이터 분석 기술과 같은 상업적 목적을 포함함
데이터 최소화o
정확성o
저장 제한o
제 조 제 항에 따라89 1 공익적 기록보존 목적 과학적 및 역사적 연구 목적이나 통계적 목적, 에 한
해 개인정보가 처리되는 한, 저장기간을 초과할 수 있음
무결성과 기밀성o
책임성 제 항o ( 2 )
개인정보보호법 제 조 참조3★

33. - 32 -
제 조 처리의 적법성6 ⇒ 적법사유
개인정보보호법 제 조 제 항15 1★
제 조15 (개인정보의 수집 이용ㆍ 개인정보처리자는 다음 각 호의 어느 하나에 해당하는 경우에) ①
는 개인정보를 수집할 수 있으며 그 수집 목적의 범위에서 이용할 수 있다.
1. 정보주체의 동의를 받은 경우
2. 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우
3. 공공기관이 법령 등에서 정하는 소관 업무의 수행을 위하여 불가피한 경우
4. 정보주체와의 계약의 체결 및 이행을 위하여 불가피하게 필요한 경우
5. 정보주체 또는 그 법정대리인이 의사표시를 할 수 없는 상태에 있거나 주소불명 등으로 사전
동의를 받을 수 없는 경우로서 명백히 정보주체 또는 제 자의 급박한 생명 신체 재산의 이익을3 , ,
위하여 필요하다고 인정되는 경우
6. 개인정보처리자의 정당한 이익을 달성하기 위하여 필요한 경우로서 명백하게 정보주체의 권리
보다 우선하는 경우 이 경우 개인정보처리자의 정당한 이익과 상당한 관련이 있고 합리적인 범.
위를 초과하지 아니하는 경우에 한한다.
개인정보보호법 제 조17★
제 조17 (개인정보의 제공 개인정보처리자는 다음 각 호의 어느 하나에 해당되는 경우에는 정보) ①
주체의 개인정보를 제 자에게 제공 공유를 포함한다 이하 같다 할 수 있다3 ( . ) .

34. - 33 -
1. 정보주체의 동의를 받은 경우
제 조제 항2. 15 1 제 호 제 호2 · 3 및 제 호5 에 따라 개인정보를 수집한 목적 범위에서 개인정보를 제공
하는 경우
의o GDPR 처리의 적법사유 제 항( 1 )
정보주체가(a) 동의한 경우
(b) 계약의 이행을 위하여 또는 계약 체결을 위하여 필요한 경우
(c) 법적 의무의 준수를 위하여 필요한 경우
정보주체 또는 다른 자연인의(d) 중대한 이익을 보호하기 위하여
(e) 공익을 위하여 수행되는 직무의 실행을 위하여 또는 공적 권한의 행사에 필요한 경우
컨트롤러나 제 자가 추구하는(f) 3 정당한 이익의 목적을 위하여 필요한 경우 다만( , 아동 등과 같이
정보주체의 이익이나 기본권과 자유가 해당 이익에 우선하는 경우에는 그러하지 아니하다)
및 는 회원국 법률에 상세히 규율할 수 있음 제 항(c) (e) ( 2, 3 )☞

35. - 34 -
개인정보보호법 제 조 제 항18 2★
제 조18 (개인정보의 목적 외 이용 제공· 제한 제 항에도 불구하고 개인정보처리자는 다음 각 호) 1②
의 어느 하나에 해당하는 경우에는 정보주체 또는 제 자의 이익을 부당하게 침해할 우려가 있을 때3
를 제외하고는 개인정보를 목적 외의 용도로 이용하거나 이를 제 자에게 제공할 수 있다 다만 제3 . ,
호부터 제 호까지의 경우는 공공기관의 경우로 한정한다5 9 .
1. 정보주체로부터 별도의 동의를 받은 경우
2. 다른 법률에 특별한 규정이 있는 경우
3. 정보주체 또는 그 법정대리인이 의사표시를 할 수 없는 상태에 있거나 주소불명 등으로 사전
동의를 받을 수 없는 경우로서 명백히 정보주체 또는 제 자의 급박한 생명 신체 재산의 이익을3 , ,
위하여 필요하다고 인정되는 경우
4. 통계작성 및 학술연구 등의 목적을 위하여 필요한 경우로서 특정 개인을 알아볼 수 없는 형태
로 개인정보를 제공하는 경우
5. 개인정보를 목적 외의 용도로 이용하거나 이를 제 자에게 제공하지 아니하면 다른 법률에서 정3
하는 소관 업무를 수행할 수 없는 경우로서 보호위원회의 심의 의결을 거친 경우·
6. 조약 그 밖의 국제협정의 이행을 위하여 외국정부 또는 국제기구에 제공하기 위하여 필요한,
경우
7. 범죄의 수사와 공소의 제기 및 유지를 위하여 필요한 경우
8. 법원의 재판업무 수행을 위하여 필요한 경우
9. 형 및 감호 보호처분의 집행을 위하여 필요한 경우( ) ,刑

36. - 35 -
의o GDPR 목적 외 처리의 적법요건 제 항( 4 )
정보주체의 동의
 법령에 근거한 경우
 다음을 고려하여 초기 목적과 일치한다고 판단한 경우 일반조항( )
초기 목적과 추가 처리의 목적 사이의 관련성(a)
정보주체와 컨트롤러의 관계와 관련하여 개인정보가 수집된 맥락(b)
개인정보의 성격(c)
추가 처리가 정보주체에 대하여 야기할 수 있는 결과(d)
암호화 또는(e) 가명처리를 포함하여 적절한 안전장치의 존재

37. - 36 -
제 조 동의의 조건7
개인정보보호법 제 조 동의를 받는 방법 개인정보처리자는 이 법에 따른 개인정보의 처리에22 ( )★ ①
대하여 정보주체 제 항에 따른 법정대리인을 포함한다 이하 이 조에서 같다 의 동의를 받을 때에는( 5 . )
각각의 동의 사항을 구분하여 정보주체가 이를 명확하게 인지할 수 있도록 알리고 각각 동의를 받
아야 한다.
② 개인정보처리자는 제 조제 항제 호 제 조제 항제 호 제 조제 항제 호 및 제 조제 항제 호15 1 1 , 17 1 1 , 23 1 1 24 1 1
에 따라 개인정보의 처리에 대하여 정보주체의 동의를 받을 때에는 정보주체와의 계약 체결 등을 위하
여 정보주체의 동의 없이 처리할 수 있는 개인정보와 정보주체의 동의가 필요한 개인정보를 구분하여
야 한다 이 경우 동의 없이 처리할 수 있는 개인정보라는. 입증책임은 개인정보처리자가 부담한다.
개인정보처리자는 정보주체에게 재화나 서비스를 홍보하거나 판매를 권유하기 위하여 개인정보의③
처리에 대한 동의를 받으려는 때에는 정보주체가 이를 명확하게 인지할 수 있도록 알리고 동의를
받아야 한다.
개인정보처리자는 정보주체가 제 항에 따라 선택적으로 동의할 수 있는 사항을 동의하지 아니하2④
거나 제 항 및 제 조제 항제 호에 따른 동의를 하지 아니한다는 이유로 정보주체에게 재화 또는3 18 2 1
서비스의 제공을 거부하여서는 아니 된다.
제 항부터 제 항까지에서 규정한 사항 외에 정보주체의 동의를 받는 세부적인 방법 및 제 항에1 5 5⑥
따른 최소한의 정보의 내용에 관하여 필요한 사항은 개인정보의 수집매체 등을 고려하여 대통령령
으로 정한다.

38. - 37 -
컨트롤러는 동의에 대한o 입증책임을 부담함 제 항( 1 )
서면 동의시 다른 사안과o 구분하여 이행하기 쉽고 명확하게 제시되어야 함 제 항( 2 )
을 위반하는 의사표시는o GDPR 효력이 없음 제 항( 2 )
동의의 자유로운o 철회 제 항( 3 )
동의 철회는o 동의만큼 쉬워야 한다 제 항( 3 )
계약 이행에 불필요한 동의를 조건으로 내세운 경우o 자유로운 동의가 아닐 수 있음 제 항( 4 )
제 조 정보사회서비스와 관련하여8 아동의 동의에 적용되는 조건
개인정보보호법 제 조 동의를 받는 방법 개인정보처리자는22 ( )★ ⑤ 만 세 미만 아동14 의 개인정보를
처리하기 위하여 이 법에 따른 동의를 받아야 할 때에는 그 법정대리인의 동의를 받아야 한다 이.
경우 법정대리인의 동의를 받기 위하여 필요한 최소한의 정보는 법정대리인의 동의 없이 해당 아동
으로부터 직접 수집할 수 있다.
o 만 세 미만16 의 아동의 경우는 친권자가 동의를 하거나 허락을 하여야 함 제 항( 1 )
회원국은 더 낮은 연령으로 할 수 있으나 세 미만은 안 됨 제 항o 13 ( 1 )
동의에 대한o 입증책임은 컨트롤러가 부담함 제 항( 2 )
제 항은 일반 계약법에 영향을 주지 않음 제 항o 1 ( 3 )

39. - 38 -
제 조 특수한 범주의 개인정보 처리9
개인정보보호법의 특수한 범주의 개인정보 원칙적 처리 금지:★
제 조의23 민감정보 사상 신념 노동조합 정당의 가입 탈퇴 정치적 견해 건강 성생활 등에 관: · , · · , , ,
한 정보 그 밖에 정보주체의 사생활을 현저히 침해할 우려가 있는 개인정보,
제 조의24 고유식별정보 주민등록번호 여권번호 운전면허번호 외국인등록번호: , , ,
제 조의 의24 2 주민등록번호 주민등록번호 수집 법정주의( )
그 밖에 제 조의 개인영상정보 도 있음25 ‘ ’☞
의o GDPR 특수한 범주의 개인정보 제 항( 1 )
인종이나 민족 기원 정치적 견해 종교나 철학적 믿음 노조 가입을 드러내는, , , 개인정보
 유전정보
자연인을 고유하게 식별할 수 있는 바이오인식정보
 건강 관련 정보
자연인의 성생활 또는 성적취향에 관한 데이터
특수한 범주의 개인정보의 취급o
 원칙적으로 처리가 금지됨 제 항( 1 )
예외적으로 처리가 허용됨 제 항( 2 )

40. - 39 -
회원국은 유전정보 바이오인식정보 건강 관련 정보와 관련하여 추가 조건 도입 가능, ,☞
특수한 범주의 개인정보의 적법사유 제 항o ( 2 )
정보주체가(a) 명시적 동의를 한 경우 다만 또는 회원국 법이 금지하지 않아야 함( , EU )
고용과 사회보장 및 사회보호법 영역에서 필요한 경우(b)
정보주체 또는 다른 자연인의(c) 중대한 이익을 보호하기 위하여 필요한 경우
비영리기관이 그 기관의 구성원 또는 과거 구성원 또는 그 목적과 관계되어 정보주체의 동의(d)
없이 그 기관 밖으로 공개되지 않는 조건으로 처리가 수행되는 경우
정보주체가(e) 명백하게 공개한 개인정보에 대한 처리
법적 청구권의 설정 행사 또는 방어를 위하거나 법원이 사법적 지위에서 행동하는 데 필요한(f) ,
경우
또는 회원국 법에 근거하여 중대한 공익 실현에 필요한 경우(g) EU ;
(h) 예방의학이나 직업병의학의 목적으로 건강이나 사회복지 시스템과 서비스의 관리를 위하여 필,
요한 경우
또는 회원국 법에 근거하여(i) EU 공중보건 영역에서 공익을 이유로 필요한 경우;
제 조 제 항에 따른(j) 89 1 공익을 위한 기록보존 목적 과학적 또는 역사적 연구 또는 통계적 목적,
으로 필요한 경우

41. - 40 -
제 조 범죄경력 및 범죄행위에 관련된 개인정보의 처리10
범죄경력 및 범죄행위에 관련된 개인정보는o 공적 권한의 통제 하에서 또는 회원국 법이 허용하EU
는 경우에만 처리함
범죄경력의 종합적 기록부는o 공적 권한의 통제 하에서만 유지함
범죄경력 및 범죄행위와 관련된 개인정보의 취급o
개인정보 처리 활동의 기록 보존 제 조( 30 )
개인정보 영향평가 수행 제 조( 35 )
대규모 처리시 개인정보보호책임자 지정 제 조( 37 )
제 조 식별을 요구하지 않는 처리11
컨트롤러가 처리하는 정보가 더 이상 식별할 수 없는 경우 컨트롤로는 식별을 위한 추가적 정보o ,
획득 의무는 없음 제 항( 1 )
이 경우 컨트롤러는o 가능한 경우 정보주체에게 고지하여야 함 제 항( 2 )

42. - 41 -
제 장3
정보주체의 권리
제 절 투명성 및 양식1
제 조 정보주체의 권리 행사를 위한 투명한 정보 통지 및 양식12 ,
정보주체 권리의 총칙적 절차적 규정o ㆍ
제 조o 12 ⇒ 개의 정보주체의 권리8
컨트롤러는 정보를 제공할 때 명확하고 평이한 언어로 간결하고 투명하게 이해할 수 있고 쉽게o , ,
접근할 수 있는 형식으로 제공하여야 함 제 항( 1 )
컨트롤러는 원칙적으로 서면이나 전자수단으로 예외적으로 구두로 정보를 제공하여야 함 제 항o , ( 1 )
컨트롤러는 정보주체의 권리행사를 용이하게 하여야 함 제 항o ( 2 )
정보 제공은 요청받은 날로부터o 달 안에 제공1 하여야 하고 필요한 경우 개월까지 연장할 수 있, 2
음 제 항( 3 )
전자적 수단으로 요청한 경우 가능한 경우 전자적 수단으로 제공하여야 함 제 항o ( 3 )

43. - 42 -
컨트롤러는 정부주체가 민원을 제기하고 사법적 구제를 받을 수 있음을 고지하여야 함 제 항o ( 4 )
정보주체의 권리 행사는 원칙적으로o 무료로 진행되어야 함 제 항( 5 )
컨트롤러는 정보주체의 신원이 의심스러운 경우o 신원확인에 필요한 정보를 요청할 수 있음 제 조( 6 )
정보주체에게 제공되는 정보는o 표준화된 아이콘과 함께 제공되어야 함 제 조( 7 )
위원회는 아이콘에 관하여 위임입법을 채택할 수 있음 제 항o EU ( 8 )

44. - 43 -
제 절 정보 및 개인정보에 대한 접근2
제 조 개인정보가 정보주체로부터 수집되는 경우 제공되어야 할 정보13 정보제공받을 권리[ ]
개인정보보호법 제 조 개인정보의 수집 이용 개인정보처리자는 제 항제 호에 따른 동의를15 ( ) 1 1★ ㆍ ②
받을 때에는 다음 각 호의 사항을 정보주체에게 알려야 한다 다음 각 호의 어느 하나의 사항을 변.
경하는 경우에도 이를 알리고 동의를 받아야 한다.
1. 개인정보의 수집 이용 목적·
2. 수집하려는 개인정보의 항목
3. 개인정보의 보유 및 이용 기간
4. 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의
내용
정보주체로부터o 수집시 컨트롤러가 정보주체에게 고지해야 하는 정보 제 항 제 항, ( 1 , 2 )
컨트롤러의 신원과 연락정보 컨트롤러의 대리인의 신원 및 연락정보,
개인정보보호책임자의 연락정보
개인정보의 처리 목적과 처리의 법적 근거
컨트롤러 또는 제 자가 추구하는3 정당한 이익
개인정보의 수령자 또는 수령자의 범주

45. - 44 -
☞ 우리나라와 달리 범주로 고지할 수 있음
국외이전 사실과 적정성 결정의 유무 등
이상은 기본적 고지사항 이하는 추가적 고지사항( , )
저장기간 등
정보주체의 권리
동의를 철회할 권리의 존재
감독당국에 민원을 제기할 권리
개인정보 제공과 관련하여 법적 요건인지 의무가 있는지 여부 등,
 프로파일링을 포함하여 자동화된 개인 결정에 관한 사항
고지 시기 수집시 사후 고지는 안 됨o : .
처리 목적 변경시 역시 고지하여야 함 제 항o ( 3 )
고지의무의o 면제 정보주체가 이미 알고 있는 경우 제 항: ( 4 )

46. - 45 -
제 조 개인정보가 정보주체로부터 획득되지 않은 경우 제공되어야 할 정보14 정보제공받을 권리[ ]
개인정보보호법 제 조 정보주체 이외로부터 수집한 개인정보의 수집 출처 등 고지 개인정보20 ( )★ ①
처리자가 정보주체 이외로부터 수집한 개인정보를 처리하는 때에는 정보주체의 요구가 있으면 즉시
다음 각 호의 모든 사항을 정보주체에게 알려야 한다.
1. 개인정보의 수집 출처
2. 개인정보의 처리 목적
3. 제 조에 따른 개인정보 처리의 정지를 요구할 권리가 있다는 사실37
제 항과 제 항 본문은 다음 각 호의 어느 하나에 해당하는 경우에는1 2④ 적용하지 아니한다 다만. ,
이 법에 따른 정보주체의 권리보다 명백히 우선하는 경우에 한한다.
고지를 요구하는 대상이 되는 개인정보가 제 조제 항 각 호의 어느 하나에 해당하는 개인정보1. 32 2
파일에 포함되어 있는 경우
고지로 인하여 다른 사람의 생명 신체를 해할 우려가 있거나 다른 사람의 재산과 그 밖의 이익2. ·
을 부당하게 침해할 우려가 있는 경우
정보주체 외의 자로부터o 수집시 정보주체에게 고지해야 할 사항 제 항, ( 1, 2 )
컨트롤러의 신원과 연락정보 대리인의 신원과 연락정보,
개인정보보호책임자의 연락정보;
개인정보의 처리 목적과 처리의 법적 근거
 관련 개인정보의 범주

47. - 46 -
 개인정보의 수령자 또는 수령자의 범주
국외이전 사실과 적정성 결정의 유무 등
이상은 기본적 고지사항 이하는 추가적 고지사항( , )
저장기간 등
정보주체의 권리
동의를 철회할 권리의 존재
감독당국에 민원을 제기할 권리
개인정보의 출처 등
 프로파일링을 포함하여 자동화된 개인 결정에 관한 사항
고지 시기 수집시로부터o : 달 내1 제 항( 3 )
다만 개인정보가 정보주체와 통지를 목적으로 이용되는 경우에는 늦어도 정보주체에
게 최초로 통지할 때 다른 수령자에게 개인정보의 공개가 예정된 경우에는 늦어도 개인정,
보를 최초로 제공한 때 제 항( 3 )
처리 목적 변경시 역시 고지하여야 함 제 항o . ( 4 )
고지 의무의o 면제 정보주체가 이미 알고 있는 경우 고지가 불가능한 경우 제 조 제 항의 달성: , , 89 1
노력에 비하여 불균형적인 경우 고지가 처리 목적 달성을 불가능하게 하거나 심각하게 저해하는 경,
우 또는 회원국 법에 수집이 명시된 경우 비밀유지의무에 따라 개인정보를 비밀로 유지해야, EU ,
하는 경우 제 항( 5 )

48. - 47 -
제 조 정보주체의 접근권15 (정보열람권)
개인정보보호법 제 조 개인정보의 열람 정보주체는 개인정보처리자가 처리하는 자신의 개인35 ( )★ ①
정보에 대한 열람을 해당 개인정보처리자에게 요구할 수 있다.
개인정보처리자는 다음 각 호의 어느 하나에 해당하는 경우에는 정보주체에게 그 사유를 알리고④
열람을 제한하거나 거절할 수 있다.
법률에 따라 열람이 금지되거나 제한되는 경우1.
다른 사람의 생명 신체를 해할 우려가 있거나 다른 사람의 재산과 그 밖의 이익을 부당하게 침2. ·
해할 우려가 있는 경우
공공기관이 다음 각 목의 어느 하나에 해당하는 업무를 수행할 때 중대한 지장을 초래하는 경우3.
가 조세의 부과 징수 또는 환급에 관한 업무. ·
나 초 중등교육법 및 고등교육법 에 따른 각급 학교 평생교육법 에 따른 평생교육시설 그 밖. · , ,「 」 「 」 「 」
의 다른 법률에 따라 설치된 고등교육기관에서의 성적 평가 또는 입학자 선발에 관한 업무
다 학력 기능 및 채용에 관한 시험 자격 심사에 관한 업무. · ,
라 보상금 급부금 산정 등에 대하여 진행 중인 평가 또는 판단에 관한 업무. ·
마 다른 법률에 따라 진행 중인 감사 및 조사에 관한 업무.
권리 내용 처리 여부에 대한o = 확인할 권리 자신의+ 개인정보와 처리사항을 열람할 권리
확인 결과 처리되고 있는 경우의 열람 대상 제 항o ( 1 )

49. - 48 -
처리 목적 관련 개인정보의 범주 
수령자 또는 수령자의 범주 제 국 또는 국제기구의 수령자. 3
저장 예상 기간 또는 기간 설정 기준
정보주체의 권리의 존재 감독당국에 민원을 제기할 권리 
정보주체 외의 자에게 수집될 때 그 출처에 관한 모든 정보,
프로파일링을 포함하여 자동화된 개인 결정에 관한 사항
국외 이전시 적절한 안전장치에 대한 사항,
개인정보가 제 국 또는 국제기구에 이전되는 경우 정보주체는 제 조에 따른 적절한 안전장치에o 3 , 46
대하여 고지받을 권리를 가짐 제 항( 2 )
컨트롤러는 원칙적 무료로 사본을 제공하여야 함 제 항o ( 3 )

50. - 49 -
제 절 정정 및 삭제3
제 조16 정정권
개인정보보호법 제 조 개인정보의 정정 삭제 제 조에 따라 자신의 개인정보를 열람한 정보36 ( · ) 35★ ①
주체는 개인정보처리자에게 그 개인정보의 정정 또는 삭제를 요구할 수 있다 다만 다른 법령에서. ,
그 개인정보가 수집 대상으로 명시되어 있는 경우에는 그 삭제를 요구할 수 없다.
사유 개인정보가 부정확하거나 불완전한 경우o :
전자는o 정정요구권 후자를, 정보보완권이라 함
개인정보를 제 자에게 제공한 경우o 3 수령자에게도 정정사실을 알려야 함 제 조( 19 )
정보주체가 요구한 경우o 수령자에 대한 정보를 정보주체에게 알려주어야 함 제 조( 19 )
이행 기한o : 달 내1 다만 요청이 복잡하거나 여러 건인 경우에는 이행 기간을 개월 더 연장할. 2
수 있음

51. - 50 -
제 조17 삭제권 잊혀질 권리(‘ ’)
개인정보보호법 제 조 개인정보의 정정 삭제36 ( · )★
o 삭제권을 행사할 수 있는 사유 제 항( 1 )
개인정보 수집 목적 등과 관련하여 더 이상 불필요한 경우
정보주체가 동의를 철회하고 그 처리에, 법적 근거가 없는 경우
정보주체가 처리를 반대하고 그 처리에 우선적인 정당한 근거가 없는 경우
 개인정보가 불법적으로 처리된 경우
컨트롤러가 또는 회원국 법을EU 준수하기 위해 삭제하는 경우
정보사회서비스의 제공과 관련하여 아동의 개인정보가 수집된 경우
삭제 조치 제 항o ( 2 )
개인정보를 제 자에게 공개하였으면 이용 가능한 기술과 삭제 비용을 고려하여 컨트롤러는 삭3 , ,
제할 개인정보를 처리하고 있는 다른 컨트롤러에게 정보주체가 개인정보에 대한 링크 또는 사본, ,
복사의 삭제를 요청하였음을 알리고 필요한 합리적인 조치를 취해야 함

52. - 51 -
삭제요청을o 거부할 수 있는 사유 제 항 결국 삭제권은 형량의 문제임( 3 , )
 표현 및 정보의 자유에 관한 권리 행사를 위한 경우
 공익적 임무의 수행 및 직무권한 행사를 위한 법적 의무 이행을 위한 것인 경우
공익을 위한 보건 목적을 위한 경우
 공익적 기록보존 과학 및 역사적 연구 또는 통계 목적, 을 위한 것인 경우
 법적 청구권의 행사나 방어를 위한 것인 경우
곤잘레스 구글스페인 사건 삭제권 도입 이전의 판례로서 년 지침에 의하여 잊혀질 권리 를vs : 95 ‘ ’☞
인정한 판례로 유명

53. - 52 -
제 조18 처리제한권
처리제한 일정한 경우에 컨트롤러가 정보를o : 보관만 하고 있는 처리를 하지 못하는 상태
처리제한을 하는 경우 제 항o ( 1 )
정보주체가 개인정보의 정확성에 문제를 제기한 경우
개인정보 처리가 불법적이지만 정보주체가 삭제를 반대하고 처리 제한을 요청한 경우
더 이상 개인정보가 필요하지 않지만 정보주체가 법적 청구권 행사 등을 위하여 그 정보를 요구
한 경우
 정보주체가 처리에 반대하였지만 컨트롤러가 정당한 사유가 개인적 사유보다 더 큰지 검토하고
있는 경우
처리제한에도 불구하고o 처리를 할 수 있는 예외적 상황 제 항( 2 )
정보주체의 동의가 있는 경우
법적 청구권의 행사 등의 사유가 있는 경우
다른 자연인이나 법원의 권리 보호에 필요한 경우
또는 회원국의 중대한 공익상의 이유가 있는 경우EU
처리제한의 절차o

54. - 53 -
처리제한하는 기술적인 방법으로는 다른 시스템에의 임시적인 이전 임시적인 제거 임시적인 접, ,
근금지 등이 존재할 수 있음
어떤 경우이든지 처리제한 중인 정보가 수정 또는 변경되지 않도록 조치되어야 하고 이러한 내,
용은 시스템에 명시적으로 표시되어야 함
처리제한 해제시 그 사실을 정보주체에게 알려야 함 제 항( 3 )
제 조 개인정보의 정정이나 삭제 또는 처리 제한에 관한19 통지 의무
정정 삭제 처리 제한에 대한 절차 규정o ㆍ ㆍ
컨트롤러는o 수령자에게 정정 삭제 처리 제한 요청에 대하여 통지하여야 함 다만 통지가 불가능.ㆍ ㆍ
하거나 과도한 비용이 들어가는 경우에는 통지 생략 가능 전단( )
컨트롤러는 정보주체의 요구가 있는 경우o 수령자의 정보를 정보주체에게 알려야 함 후단( )

55. - 54 -
제 조 개인20 정보이동권
정보이동권o
정보주체가 체계화되고 일반적으로 사용되며, , 기계 판독이 가능한 형태로 제공받을 권리
다른 컨트롤러에게 이전할 것을 요구할 수 있는 권리
자세한 내용은 ‘☞ wp242 참조’
o 이동권이 인정되는 경우 제 항( 1 )
개인정보 처리가 정보주체의 동의에 근거하거나 계약의 이행을 위한 것인 경우
개인정보 처리가 자동화된 수단에 의하여 이루어지는 경우
이동 기한o
이동 요청을 받은 때로부터 개월1 이내 원칙( )
이동권 행사o 제한 제 항( 3 )
공익을 위한 직무 수행
공적 권한의 행사
기술적으로 가능한 경우 컨트롤러 사이에 직접 이동이 가능하도록 하여야 함 제 항o ( 2 )
이동권은 삭제권 규정에 부합하여야 함 제 항o ( 3 )
이동권 행사시 타인의 영업비밀 지식재산권 침해 등의 사유가 있어서는 아닌 됨 제 항o , ( 4 )

56. - 55 -
제 절 반대권과 자동화된 개별 의사결정4
제 조21 처리 반대권
일정한 사유가 있는 경우o 해당 정보 또는 해당 목적의 처리를 금지시키는 권리
처리 반대 사유 제 항 제 항 제 항o ( 1 , 2 , 6 )
공익이나 공적 권한 행사를 위한 목적으로 처리된 경우 또는 컨트롤러 및 제 자의 정당한 이익a) 3
추구를 위해 처리된 경우 다만 컨트롤러가 더 중요한 정당한 근거를 입증하거나 법적 청구권 행( ,
사 등을 위한 경우에는 처리 가능)
b) 직접 마케팅 프로파일링 포함( ) 처리 가능 사유 없음( )
과학적 또는 역사적 연구 목적 또는 통계적 목적으로 처리되는 경우 다만 공익적 직무 수행의c) (
경우는 처리 가능)
절차o
및 의 경우에는 정보주체와의 최초 통지 시점에 명시적으로 인식할 수 있도록 반대권의 존a) c)
재를 알려야 하고 관련 정보를 다른 정보와 분리해서 제시하여야 함 제 항, ( 4 )
정보주체는 자동화된 수단으로 반대권을 행사할 수 있음 제 항( 5 )

57. - 56 -
제 조 프로파일링을 포함한 자동화된 개인에 대한 결정22 프로파일링 등 자동화된 개인 결정에[
따르지 않을 권리]
프로파일링 등 자동화된 개인 결정에 따르지 않을 권리 제 항o ( 1 )
 프로파일링을 포함하여 자신에 관한 법적 효력을 주거나 유사하게 자신에게 중대한 영향을 미치
는 자동화된 처리에만 근거한 결정에 따르지 않을 권리
프로파일링은 허용되는가o ?
 금지 규정은 없고 단지 반대권 규정과 자동화된 개인 결정에 따르지 않을 권리만 규정되어 있음,
제 항의 권리를o 1 행사할 수 없는 경우 제 항( 2 )
계약의 체결이나 이행에 필요한 경우
또는 회원국 법이 허용하는 경우EU
정보주체가 명시적으로 동의하는 경우
제 항의 첫째 및 셋째 사유의 경우 정보주체의 권리 제 항o ( 2 ) ( 3 )
 인적 개입을 요구할 권리
 정보주체가 자신의 견해를 표명할 권리
 자동화된 결정에 대한 설명을 요구하고 이의할 수 있는 권리
민감정보나 아동정보의 처리 예외o
 민감정보는 명시적 동의 또는 법이 허용하는 경우에 프로파일링 또는 자동화된 개인 결정 가능
 아동정보는 프로파일링 또는 자동화된 개인 결정 불가

58. - 57 -
제 절 제한5
제 조 제한23
처리의 제한과 권리의 제한은 구별해야 함o
정보주체의o 권리 제한 사유 공공 이익을 위한 불가피한 경우에만 권리 제한 제 항: ( 1 )
국가안보 국방 공공안전 등 중요한 공익의 보호, ,
사법적 독립 및 사법적 절차의 보호
공적 권한의 행사 또는 규제 등
정보주체 또는 다른 사람의 권리나 자유의 보호
민사법적 청구의 집행 등등
권리 제한을 위한 입법적 조치시 주의 사항 제 항o ( 2 )
처리 또는 처리 범주의 목적 등을 침해하지 않는 범위 내에서 제한에 관한 정보를 통지받을 정보
주체의 권리 등에 관한 사항을 구체적으로 포함시켜야 함

59. - 58 -
제 장4
컨트롤러와 프로세서
제 절 일반적인 의무1
제 조 컨트롤러의 책임24
컨트롤러의 책임 제 항o ( 1 )
개인정보 처리의 성격 범위 목적 위험성 등을 고려하여 개인정보의 처리가 을 준수하는, , , GDPR
것을 보장
이를 입증할 수 있는 적절한 기술적 조직적 조치를 이행해야 함ㆍ
o 컨트롤러 의무 준수의 입증 요소 제 항( 3 )
 행동강령 제 조( 40 )
 인증 제 조( 42 )

60. - 59 -
제 조 개인정보보호 중심 디자인 및 기본설정25
o 컨트롤러의 의무
개인정보보호 중심 디자인 개인정보보호의 원칙을 효과적 방식으로 이행하고 본 규칙의 요건을o :
충족하고 정보주체의 권리를 보호하기 위해 필요한 적절한 기술적 및 관리적 조치
개인정보보호 중심 기본설정 기본설정을 통하여 처리의 개별 특정 목적을 위해 필요한 개인정보o :
만이 처리되는 것을 보장하기 위한 적절한 기술적 및 관리적 조치
컨트롤러 의무 준수의 입증 요소 제 항o ( 3 )
인증 제 조( 42 )

61. - 60 -
제 조 공동컨트롤러26
공동 컨트롤러 둘 이상의 컨트롤러가 공동으로 개인정보 처리 목적과 수단을 정하는 경우o :
공동 컨트롤러의 책임과 의무o
 내부적 약정에 따라 각자의 의무를 부담함 제 항( 1 )
내부적 약정 요지를 정보주체에게 공개하여야 함 제 항( 2 )
정보주체의 권리 행사 제 항o ( 3 )
내부적 약정과 무관하게 외부적으로 연대적인 책임 부담함

62. - 61 -
제 조 내에 설립되지 않은 컨트롤러 또는 프로세서의 대리인27 EU
o 역내 대리인 제도 역외의 컨트롤러 또는 프로세서에 대한 역내 대리인: EU
o 서면 지정 의무 역외 컨트롤러 등은 역내 대리인을 서면으로 지정하여야 함 제 항: ( 1 )
역내 대리인 지정 의무의o 예외 제 항( 2 )
개인정보 처리가 간헐적이고, 대규모 처리가 아니며 민감정보 또는 유죄 판결 및 형사범죄에 관,
련된 개인정보의 처리를 포함하지 않으며 처리의 성격 상황 범위 목적을 고려했을 때 개인의, ㆍ ㆍ ㆍ
권리와 자유에 대한 위험을 초래할 가능성이 낮은 경우
공공당국 또는 기관의 경우
역내 대리인o 사업장 제 항( 3 )
정보주체 거주 국가 또는 개인정보 처리 국가 또는 정보 주체의 행동이 감시되는 국가 중의 하나
에 설립하면 됨
역내 대리인의 권한 제 항o ( 4 )
컨트롤러 등과 함께 또는 그들을 대신하여 개인정보 처리에 관련된GDPR 모든 사항
역내 대리인이 지정되었다고 하여 컨트롤러 등에 대한 법적 조치가 침해되지 않아야 함 제 항o ( 5 )

63. - 62 -
제 조 프로세서28
은 년 지침과 달리 프로세서의 의무를 규정하고 있음 따라서 프로세서도 행정 제재나 손o GDPR 95 .
해배상 청구의 상대방이 될 수 있음
통상 컨트롤러와 프로세서가 같이 책임을 지게 됨o
o 컨트롤러의 의무 제 항( 1 )
적절한 기술적 및 관리적 조치를 이행한다는 충분한 보증을 제공하는 프로세서만을 이용해야 함
보증의 입증 요소 행동강령 또는 인증:☞
프로세서의 의무와 책임 제 항 제 항o ( 2 , 3 )
 컨트롤러의 서면 허가 없이 다른 프로세서 참여 불가
 서면 지시에 대한 개인정보의 처리
 개인정보 처리하는 사람에게 기밀 준수를 약속 받거나 실정법상 기밀준수를 의무 지어야 함
개인정보 처리시 보안에 관한 모든 조치를 이행해야 함
다른 프로세서의 지정과 관련된 규정을 준수해야 함
컨트롤러의 정부주체 권리 보장 조치를 지원해야 함
 컨트롤러와의 관계 종료시 컨트롤러 선택에 다라 개인정보를 반환 또는 파기해야 함
준수 여부를 입증하기 위한 정보를 컨트롤러에게 제공해야 함GDPR

64. - 63 -
 컨트롤러 지시가 위반GDPR 인 경우 즉시 컨트롤러에게 통지해야 함
프로세서의 다른 프로세서의 참여시 주의사항 제 항o ( 4 )
다른 프로세서의 적절한 기술적 및 관리적 조치의 이행 보증 여부 확인
보증의 입증 요소 행동강령 또는 인증:☞
다른 프로세서의 의무 불이행시 프로세서는 컨트롤러에게 전적인 책임을 부담함
프로세서가o 처리의 목적 및 수단을 결정하여 본 규칙을 위반한다면 프로세서는 그 처리와 관련하,
여 컨트롤러로 간주됨 제 항( 10 )
표준 계약 조항의 채택 감독당국은 본조 제 항 및 제 항에 언급된 사항에 대하여 표준계약조항o : 3 4
을 채택할 수 있음 제 항( 8 )
제 조 컨트롤러 또는 프로세서의 권한에 따른 처리29
프로세서 및 컨트롤러 또는 프로세서의 권한에 따라 개인정보에 접근하여 행위하는 자는o 컨트롤러
의 지시에 따른 경우를 제외하고 해당 개인정보를 처리하여서는 아니 됨
다만 또는 회원국 법에서 요구하는 경우는 예외o EU

65. - 64 -
제 조 처리활동의 기록30
컨트롤러와 프로세서의 의무로서 의무 준수o GDPR 입증 목적
o 의무 대상 제 항( 5 )
종업원수 명 이상인 기업250 ( 또는)
정보주체의 권리와 자유에 위험을 초래할 가능성이 있는 개인정보 민감정보 범죄 경력 및 범죄ㆍ ㆍ
행위에 관련 개인정보 처리시
컨트롤러의 기록사항 제 항o ( 1 )
컨트롤러 공동컨트롤러 대리인 및 개인정보보호 책임자의 이름 및 연락정보, ,
처리 목적
정보주체 범주 및 개인정보 범주에 대한 설명
수령자의 범주
제 국 또는 국제기구로의 개인정보 이전과 적절한 안전장치에 대한 문서3
삭제를 위한 예상되는 시한
기술적 및 관리적 보안조치에 대한 일반적인 설명
프로세서의 기록사항 제 항o ( 2 )

66. - 65 -
프로세서 들 프로세서가 대행하는 각 컨트롤러 컨트롤러 또는 프로세서의 대리인 및 개인정보( ), ,
보호책임자의 이름 및 연락정보
각 컨트롤러를 대신하여 수행되는 처리의 범주
제 국 또는 국제기구로의 개인정보 이전과 적절한 안전장치에 대한 문서3
기술적 및 관리적 보안조치에 대한 일반적인 설명
o 서면으로 기록하여야 하고 요구가 있는 경우 감독당국에 제출해야 함 제 항 제 항, ( 3 , 4 )
제 조 감독당국과의 협력31
감독당국과의 협력 의무o
컨트롤러 프로세서 역내 대리인의 의무o , ,

67. - 66 -
제 절 개인정보 보안2
제 조 처리의 보안32
개인정보보호법 제 조 안전조치의무 개인정보처리자는 개인정보가 분실 도난 유출 위조 변조 또는29 ( ) · · · ·★
훼손되지 아니하도록 내부 관리계획 수립 접속기록 보관 등 대통령령으로 정하는 바에 따라 안전성,
확보에 필요한 기술적 관리적 및 물리적 조치를 하여야 한다·
o 위험에 비례한 적절한 보안 수준을 보장하기 위한 적절한 기술적 및 관리적 조치를 이행 의무
보안조치의 내용 제 항o ( 1 ) : 매우 추상적
가명처리 및 암호화(a)
기밀성 무결성 가용성 및 복원력을 보장할 능력(b) , ,
사고가 발생하는 경우 가용성 및 접근을 적시에 복원할 능력(c)
조치의 효율성을 정기적으로 시험하고 평가하는 과정(d)
보안조치의 입증 요소 제 항o ( 3 )
행동강령
인증

68. - 67 -
제 조 감독당국에게 개인정보 침해 신고33
개인정보보호법 제 조 개인정보 유출 통지 등34 ( )★
개인정보처리자는③ 대통령령으로 정한 규모 이상의 개인정보가 유출된 경우에는 제 항에 따른1
통지 및 제 항에 따른 조치 결과를2 지체 없이 행정안전부장관 또는 대통령령으로 정하는 전문기관
에 신고하여야 한다 이 경우 행정안전부장관 또는 대통령령으로 정하는 전문기관은 피해 확산방지. ,
피해 복구 등을 위한 기술을 지원할 수 있다.
컨트롤러의 침해 신고 의무o : 부당한 지체 없이 시간 내72 (다만 개인정보 침해가 자연인의 권리
와 자유에 대한 위험을 초래하지 않는 경우는 예외 제 항) ( 1 )
프로세서의 침해 신고 의무o : 부당한 지체 없이 제 항( 2 )
컨트롤러의 신고 사항 제 항o ( 3 ) : 단계별 신고사항 제출도 가능 제 항( 4 )
관련 정보주체의 범주와 대략적인 수 개인정보 침해의 성격,
개인정보보호책임자 등의 이름과 연락정보
침해의 결과
침해를 다루기 위해 컨트롤러가 취하거나 취할 조치
o 문서화 의무 제 항( 5 )
컨트롤러의 의무
침해 사실 그 영향 취해진 구제조치 등을 문서로 보존, ,

69. - 68 -
제 조 정보주체에게 개인정보 침해 통지34
제 조 개인정보 유출 통지 등 개인정보처리자는 개인정보가 유출되었음을 알게 되었을 때에34 ( )★ ①
는 지체 없이 해당 정보주체에게 다음 각 호의 사실을 알려야 한다.
유출된 개인정보의 항목1.
유출된 시점과 그 경위2.
유출로 인하여 발생할 수 있는 피해를 최소화하기 위하여 정보주체가 할 수 있는 방법 등에 관3.
한 정보
개인정보처리자의 대응조치 및 피해 구제절차4.
정보주체에게 피해가 발생한 경우 신고 등을 접수할 수 있는 담당부서 및 연락처5.
개인정보처리자는 개인정보가 유출된 경우 그 피해를 최소화하기 위한 대책을 마련하고 필요한②
조치를 하여야 한다.
통지 사유o : 침해로 자연인의 권리와 자유에 대한 높은 위험을 초래할 것이 예상되는 경우 제 항( 1 )
통지 시한o : 부당한 지체 없이 제 항( 1 )
통지사항 제 항o ( 2 )
개인정보 침해의 성격
개인정보보호책임자 등의 이름과 연락정보

70. - 69 -
침해의 결과
침해를 다루기 위해 컨트롤러가 취하거나 취할 조치
통지의무의o 예외 제 항( 3 )
 컨트롤러가 적절한 기술적 및 관리적 보호조치를 이행하거나 암호화 조치 등을 취한 경우
컨트롤러가 정보주체에게 높은 위험이 실현되지 않도록 사후 조치를 취한 경우
통지에 과도한 노력이 수반되는 경우 다만 동등한 유사한 조치가 있어야 함( )ㆍ
감독당국의 통지조치 명령 가능 제 항 및 통지조치 면제로서 통지의무 예외사유 충족 판정 가능o ( 4 )
제 항( 4 )

71. - 70 -
제 절 영향평가 및 사전협의3
제 조 개인정보보호 영향평가35
개인정보보호법 제 조 개인정보 영향평가 공공기관의 장은 대통령령으로 정하는 기준에 해당33 ( )★ ①
하는 개인정보파일의 운용으로 인하여 정보주체의 개인정보 침해가 우려되는 경우에는 그 위험요인
의 분석과 개선 사항 도출을 위한 평가 이하 영향평가 라 한다 를 하고 그 결과를 행정안전부장관( " " )
에게 제출하여야 한다 이 경우 공공기관의 장은 영향평가를 행정안전부장관이 지정하는 기관 이하. (
평가기관 이라 한다 중에서 의뢰하여야 한다" " ) .
개인정보 처리 전에 예상되는 위험 등을 평가하는 절차 특히o . 새로운 기술을 사용하는 처리의 유형
이 자연인의 권리와 자유에 대한 높은 위험을 초래할 것 같은 경우에 필요 제 항( 1 )
o 의무가 되는 경우 제 항( 3 )
자세한 내용은 ‘☞ wp248 참조’
 프로파일링을 포함한 자동화된 처리에 근거한 자연인에 대한 체계적이고 광범위한 평가로서 해,
당 평가에 기반한 결정이 해당 정보주체에게 법적 효력을 미치거나 이와 유사하게 중대한 영향을
미치는 경우
 민감정보 또는 유죄 판결 및 형사범죄에 대한 대규모 처리를 하는 경우

72. - 71 -
 공중이 접근 가능한 장소에 대한 대규모의 체계적인 모니터링 예 촬영( : CCTV )
영향평가에 포함되어야 하는 사항 제 항o ( 7 )
컨트롤러가 추구하는 정당한 이익을 포함한 예상되는 처리작업과 처리 목적의 체계적인 기술
처리 목적과 관련한 처리작업의 필요성 및 비례성 평가
제 항에 언급된 정보주체의 권리와 자유에 대한 위험 평가1
안전장치 보안조치 및 메커니즘을 포함한 위험 처리시 예상되는 조치,
승인된 행동강령의 준수 여부도 고려해야 함 제 항( 8 )☞
제 조 사전협의36
o 영형평가 결과 일정한 조치가 없으면 높은 위험이 예상되는 경우 컨트롤러는 처리 전에 감독당국,
과 사전에 협의하여야 함 제 항( 1 )
사전 협의시 컨트롤러는 처리 목적과 수단 등을 감독당국에 제공하여야 함 제 항o ( 3 )
감독당국은o 최대 주 안에8 서면 조언을 할 수 있음 제 항( 2 )
회원국은 사회적 보호 및 공중보건과 관련된 처리를 포함하여 공익을 위하여 컨트롤러가 수행하는o
직무의 실행을 위한 처리와 관련하여 사전협의 및 사전허가 규정을 도입할 수 있음 제 항( 5 )

73. - 72 -
제 절 개인정보보호책임자4
제 조 개인정보보호책임자의 지정37
개인정보보호법 제 조 개인정보 보호책임자의 지정 개인정보처리자는 개인정보의 처리에 관31 ( )★ ①
한 업무를 총괄해서 책임질 개인정보 보호책임자를 지정하여야 한다.
개인정보 보호책임자는 다음 각 호의 업무를 수행한다.②
의 지정이o DPO 의무인 경우 제 항 컨트롤러 및 프로세서의 지정 의무( 1 , )
개인정보 처리가 공공당국 또는 기관에 의해 수행되는 경우 다만 사법적 지위에 따른 법원의 경(
우는 예외)
정보주체에 대한 대규모의 정기적이고 체계적인 감시의 경우
민감정보나 범죄경력 및 범죄 행위에 대한 대규모의 처리
자세한 내용은 참조wp 248☞
공동 제도 사업체 집단은 공동으로 명 지정 가능o DPO : 1
는 직원이거나o DPO 아웃소싱 가능 제 항( 6 )
컨트롤러 등은o 를 공개DPO 하고 감독당국에게 통지하여야 함 제 항, ( 7 )

74. - 73 -
제 조 개인정보보호책임자의 지위38
의 지위o DPO : 컨트롤러 또는 프로세서의 의무
개인정보보호책임자가 적절하게 및 적시에 관여하도록 보장
자원의 제공과 직무 수행의 지원
독립성과 신분의 보장
의 보고 루트 보장DPO
에게 다른 직무와 업무 지시가 가능하나 이 경우 이해충돌되지 않도록 보장해야 함DPO ,
정보주체는 접촉할 수 있음o DPO
는 비밀유지의무 부담함o DPO
제 조 개인정보보호책임자의 직무39
의 직무o DPO
관련자들에 대한 조언 의무 정책 준수 감시 의무 요청에 따른 성과 감시 의무 감독당국과의 협, , ,
력 의무 감독당국과의 연락 의무,
 상당한 주의의무

75. - 74 -
제 절 행동강령과 인증5
제 조 행동강령40
행동강령 특정한 산업 분야 또는 각 산업 분야의 개인정보 처리를 대표하는 그룹이 해당 산업 분o :
야의 개인정보 처리와 관련하여 을 준수하기 위하여 마련하는GDPR 자율적 규범
행동강령과 인증은o 의무 사항은 아니나 준수 입증 요소로 중요한 역할을 함, GDPR
행동강령은 정보주체 등 이해관계인과의 협의를 통해 작성하고o , 감독당국의 승인을 얻어야 함
행동강령에는 아래의 사항이 포함될 수 있음o
공정하고 투명한 처리
구체적 상황에서 컨트롤러가 추구하는 정당한 이익
개인정보의 수집
개인정보의 가명처리
대중 및 정보주체에게 제공되는 정보
정보주체의 권리 행사
아동에게 제공되는 정보 및 아동의 보호 및 아동에 대한 부모 책임 보유자의 동의가 획득되어야,
하는 방식

76. - 75 -
보안조치
개인정보침해 신고와 통지
개인정보의 국외이전
분쟁해결 절차
제 조 승인된 행동강령의41 감시
승인된 행동강령의o 이행 감시는 감독당국이 인가한 기관에 의하여 수행 가능
인가 기관은 일정한 조건을 갖추어야 함o

77. - 76 -
제 조 인증42
개인정보보호법 제 조의 개인정보 보호 인증 행정안전부장관은 개인정보처리자의 개인정보32 2( )★ ①
처리 및 보호와 관련한 일련의 조치가 이 법에 부합하는지 등에 관하여 인증할 수 있다.
인증제도의 목적 컨트롤러와 프로세서의 처리작업이 본 규칙을 준수함을 입증할 목적o :
인증의 유효기간o : 년3
인증을 하는 기관 인증은 소관 감독당국이나 이사회가 승인한 기준을 토대로o : , 소관 감독당국 또
는 제 조에 언급된 인증기관43 에 의해 발급됨
인증o 마크 부여
인증을 받았다는 이유로 해당 컨트롤러 등의o 책임이 경감되는 것은 아님 다만 과태료 감경 요인은.
됨
제 조 인증기관43
인증기관에 대하여 설명하고 있음o
o 회원국은 인증기관을 인가함 인증조건은 제 항에 열거됨( 2 )
인가기간은 최대 년o 5

78. - 77 -
제 장5
제 국 또는 국제기구로의 개인정보의 이전3
제 조 국외이전의 일반원칙44
국외이전 역외이전 에 대한 총칙임o (= )
국외이전의 조건o (재이전 포함)
 제 장의 준수5
다른 규정의 준수GDPR
국외이전의 모습o
 개가 기본3 : 적정성 평가 적절한 안전장치, BCR,
그 외에도 동의 등에 의하여 가능함

79. - 78 -
제 조45 적정성 결정에 근거한 이전
적정성 결정 제 국 제 국 내 지역 또는o : 3 , 3 하나 이상의 특정 부문 또는 국제기구가 적정한 보호수,
준을 보장한다고 유럽위원회가 결정한 경우 추가 허가 없이도 국외 이전이 가능, → whitelist
유럽위원회의 적정성 평가시 고려 사항o
법의 지배 인권과 기본적 자유의 존중 공공안전 국방 국가안보와 형사법 및 공공당국의 개인, , , ,
정보에 대한 접근에 관한 것을 포함한 일반 및 부문 관련 입법
다른 제 국 또는 국제기구로의 개인정보의 재이전에 관한 규정으로서 동 국가 또는 국제기구에서3
준수되는 규정을 포함한 이러한 입법,
개인정보보호 규정 전문직 규정 및 보안조치의 이행 판례법은 물론 효과적이고 집행가능한 정보, ,
주체의 권리 및 개인정보가 이전되고 있는 정보주체를 위한 효과적인 행정적 및 사법적 구제
자신의 권리를 행사하는 정보주체를 지원하고 조언하며 회원국 감독당국들과 협력을 위하여 적,
정한 집행권한을 포함해 개인정보보호규정의 준수를 보장하고 집행할 책임이 있는 제 국 내 또는, 3
국제기구에게 적용되는 하나 이상의 독립적 감독당국의 존재 및 효과적 기능
해당 제 국 또는 국제기구가 체결한 국제적 약속 또는 법적 구속력 있는 협약이나 문서 및 특3 , ,
히 개인정보 보호와 관련하여 다자적 또는 지역적 시스템에의 참여로부터 나오는 다른 의무
유럽위원회는 보호 수준을 평가할 때o 이사회와 협의하고 적정성 결정에 대하여 최소 년마다4 정기

80. - 79 -
적인 검토를 실시함
사후 감시 사후 심사는 최소 년마다 이루어짐o : 4
더 이상 적정한 수준을 유지하지 못하면o 철회 가능
제 조46 적절한 안전장치에 따른 이전
적절한 안전장치가 있고 집행가능한 정보주체의 권리와 정보주체를 위한 효과적인 법적 구제책이o ,
이용가능하다는 조건으로 국외 이전 가능
o 소관 감독당국의 허가를 요하지 않은 적절한 안전장치의 예
 공공당국 또는 기관 사이의 법적 구속력 있고 집행가능한 문서
 구속력 있는 기업규칙
제 조에서 살펴봄47☞
 유럽위원회가 채택한 표준개인정보보호조항
 감독당국이 채택하고 유럽위원회가 승인한 표준개인정보보호조항
기존의 표준계약조항의 효력은 그대로 유지됨.☞ 표준 계약 조항을 근거로 하는 이전의 경우 감,
독당국에 통지하거나 승인을 받아야 하는 현행 절차가 폐지된다는 점에 유의해야 함
 승인된 행동강령
 승인된 인증 메커니즘.

81. - 80 -
행동강령이나 인증이 있는 경우 적절한 안전장치가 있는 것으로 봄☞
o 소관 감독당국의 허가를 요하는 적절한 안전장치 이 경우 일관성 메카니즘을 적용해야 함( )
컨트롤러 또는 프로세서와 제 국이나 국제기구의 컨트롤러 프로세서 또는 개인정보의 수령자 사3 ,
이의 계약 조항 (임의조항 (ad hoc clause))
집행력 있고 유효한 정보주체 권리를 포함하는 공공당국 또는 기관 사이의 행정약정에 삽입되는
규정

82. - 81 -
제 조 구속력 있는 기업규칙47
o 소관 감독당국은 조건을 만족하는 를BCR 승인함 일관성 메커니즘 거쳐야 함 제 항( ) ( 1 )
 법적 구속력 있고 피고용인을 포함하여 사업체집단 또는 공동경제활동에 종사하는 기업집단의, ,
해당 모든 구성원에게 적용되고 동 구성원에 의하여 집행되는 경우
자신의 개인정보 처리에 관하여 명확하게 정보주체에게 집행가능한 권리를 부여하는 경우
최소 제 항의2 개 내용이 명시14 된 경우
사업체집단 또는 기업집단과 그 구성원 각각의 구조와 연락정보 개인정보의 범주 등이 명시되,☞
어야 함
유럽위원회는 구속력 있는 기업규칙에 대한 컨트롤러 프로세서 및 감독당국 사이의 정보 교환을o ,
위한 형식과 절차에 관한 위임입법을 만들 수 있음 제 항( 3 )

83. - 82 -
제 조 법으로 허가되지 않는 이전 또는 공개48 EU
컨트롤러 또는 프로세서에게 개인정보를 이전하거나 공개하도록 요구하는o 제 국의 법원 또는 법정3
의 판결 및 행정당국의 결정에 대하여 규정하고 있음
위 판결 등에 의한 국외이전은 아래 가지 조건을 만족해야만 집행될 수 있음o , 2
제 국과 또는 회원국 사이의 유효한 사법공조조약3 EU (mutual legal assistance treaty: MLAT)
등 국제협정이 있는 경우
제 장에 반하지 않아야 함GDPR 5

84. - 83 -
제 조 특정 상황을 위한 예외49
적정성 결정 적절한 안전장치가 없는 경우에도 아래 조건 중 하나를 만족하면 가능함o , BCR,
적정성 결정과 적절한 안전장치가 없음을 고지 받고, 정보주체가 이전에 명시적으로 동의한 경우
 계약의 이행이나 이행 준비를 위하여 이전이 필요한 경우
정보주체의 이익을 위해 컨트롤러와 다른 법인 등과 체결된 계약 이행을 위해 필요한 경우
공익 달성이 중요한 경우 또는 회원국 법에 의하여 인정된 공익이어야 함(EU )
법적 청구권의 설정 행사 방어를 위해 필요한 경우, ,
정보주체의 동의가 불가능하고 정보주체 또는 다른 사람의 중대한 이익 보호를 위한 경우,
또는 회원국 법에 따라 의도되고 공개된 등록부로부터 일부가 이전되는 경우EU
위 조건을 만족하지 않더라도 아래 조건을 모두 만족하면 이전이 가능함o
반복적인 이전이 아닐 것
정보주체의 수가 제한적일 것
컨트롤러의 정당한 이익을 위해 필요할 것
이전을 둘러싼 모든 환경에 대한 평가를 고려한 적절한 보호조치에 따른 이전일 것 컨트롤러는(
이 평가를 문서화해 보관하여야 함)
이 경우 컨트롤러는 감독당국에 그 이전을 고지해야 하고 정보주체에게 그 이전사실과 정당한,☞
이익에 대하여 고지해야 함

85. - 84 -
제 조 개인정보 보호를 위한 국제협력50
유럽위원회 및 감독당국의 책무 사항o
입법의 효과적 집행을 촉진하는 국제협력 메카니즘의 개발
적절한 안전장치를 조건으로 개인정보 보호를 위한 입법의 집행에서 국제적 상호지원의 제공,
입법의 집행에서 국제협력을 발전시킬 목적의 활동에 이해관계인의 참여
관할권 충돌 등 입법과 실행의 교환 문서화의 추진ㆍ
간EU-US☞ Privacy Shield
년 월 법원은 사건에서 세이프하버를 무효라고 결정함2015 10 EU Schrems
년 월 일 유럽위원회가 공개함2016 2 29
년 월 일 유럽위원회의 적정성 결정의 승인을 받음2016 7 12
년 월 일 는 적정성 결정이 무효라고 소송을 제기함2016 9 16 Digital Rights Ireland

86. - 85 -
제 장6
독립된 감독당국
제 절 독립적 지위1
제 조 감독당국51
제 장 독립된 감독당국 은 회원국의 개인정보보호 감독당국의 독립성 관할 임무 및 권한o GDPR 6 ( ) , ･
등에 대하여 규정하고 있음
은 년 지침에서의 각 회원국의 감독당국 중심 체제를 그대로 유지하면서 일관된 법적용을o GDPR 95
위한 협력 체제 제 장 협력과 일관성 를 새로 마련하였음( 7 )
회원국은 목적 달성을 위해서o GDPR 하나 이상의 감독당국이 있어야 함
제 조 독립성52
각 감독당국은o 완전한 독립성‘ ’ 이 보장되어야 함

87. - 86 -
제 조 감독당국 구성원의 일반조건53
감독당국 구성원은 투명한 절차에 의하여 의회 정부 국가원수 또는 회원국 법으로 임명권이 부여o , , ,
된 독립된 기관에서 임명되어야 함
구성원의o 임기는 보장되어야 함
제 조 감독당국 설치 규정54
각 감독당국의 설치 구성원에 관한 사항은o , 법으로 규정되어야 함

88. - 87 -
제 절 권능 직무 및 권한2 ,
제 조 권능55
감독당국은 에 따라 주어진 직무와 권능을 수행함o GDPR
제 조 총괄 감독당국의 권능56
o 총괄 감독당국 주된 사업장이 있는 곳의 감독당국 메커니즘: (one-stop-shop )
총괄 감독당국의 권능 국경간 처리에 대한 관할 다만o : ( , 예외적으로 각 감독당국에 제기된 민원
또는 본 규칙의 가능한 위반이 각 감독당국의 회원국에 있는 사업장에만 관계되거나 그 회원국에만
있는 정보주체에게 실질적으로 영향을 미치는 경우에는 각 감독당국이 관할함)
위 예외적인 경우 각 감독당국은 총괄 감독당국에게 지체 없이 고지해야 하고 고지 받은 총괄 감o ,
독당국은 주 내에 처리 여부를 결정함3
총괄 감독당국이 담당하는 경우 제 조가 적용됨 이 경우 유일한 담당자가 됨o 60 ( )
총괄 감독당국이 담당하지 않는 경우 제 조 제 조가 적용됨o 61 , 62

89. - 88 -
제 조 직무57
각 감독당국의 직무가 열거되어 있음 제 항o ( 1 )
제 조 권한58
감독당국의 권한o
조사권한 제 항( 1 )
시정권한 제 항( 2 )
허가 및 조언 권한 제 항( 3 )
회원국 법으로 추가 권한 규정할 수 있으나 제 장의 효과적인 운영을 방해해서는 아니 됨o , 7
제 조 활동보고서59
감독당국은 연차보고서 작성하여 의회 정부 다른 감독당국에 보내야 함o , ,

90. - 89 -
제 장7
협력과 일관성
제 절 협력1
제 조 총괄 감독당국과 다른 관련 감독당국 간 협력60
o 총괄 감독당국은 관련 감독당국과 협력하고 정보를 공유하여야 함
총괄 감독당국은 언제든지 관련 감독당국에게 지원을 요청하거나 공동 작업을 할 수 있음o
o 관련 감독당국이 적절하고 이유 있는 반대를 한 경우 총괄 감독당국이 수용하지 않으면 일관성 메,
카니즘으로 넘어감

91. - 90 -
제 조 상호지원61
o 감독당국들은 서로 관련 정보와 상호 지원을 제공하여야 하고 상호 효과적인 협조를 위한 조치를,
취하여야 함
각 감독당국은 요청을 받은 후 부당한 지체 없이 개월 내에 다른 감독당국의 요청에 응하기 위하o 1
여 요구되는 모든 적절한 조치들을 취하여야 함
다만 일정한 사유가 있는 경우에는 거부할 수 있음o
제 조 감독당국들의62 공동 작업
감독당국들은 적절한 경우 다른 회원국 감독당국들의 구성원이나 직원이 관여하는 공동 조사와 공o
동 집행조치 등의 공동 작업을 수행하여야 함
컨트롤러나 프로세서가 여러 회원국에 사업장을 두고 있거나 둘 이상의 회원국에서 상당한 수의o ,
정보주체가 처리작업에 의해 실질적으로 영향을 받을 것 같은 경우 이들 각 회원국의 감독당국은,
공동 작업에 참여할 권리를 가짐
자신의 영토에서 손해가 발생한 회원국은 자신의 직원이 야기한 손해에 적용될 수 있는 조건으로o ,
그 손해를 배상하여야 함

92. - 91 -
제 절 일관성2
제 조 일관성 메커니즘63
목적 전역에서의o : EU 본 규칙의 일관된 적용에 기여하기 위하여
메커니즘의 구성원 각 감독당국 관련 있는 경우는 유럽위원회도 포함될 수 있음o : ,
제 조 이사회의 의견64
일관성 메카니즘 구현 과정에서o 의견 통합 기구로서 유럽개인정보보호이사회 (European Data
Protection Board: Board) 존재
제 조는 유럽개인정보보호이사회가 소관 감독당국을 비롯한 감독당국들과 유럽위원회의 요청에o 64
의해 그 의견을 제시하도록 하는 절차를 규정하고 있음
일관성 메카니즘의 사유o (필수 인증 승인 허가 등과 관련되는 경우, , , )
제 조 제 항에 따라(a) 35 4 개인정보보호 영향평가의 요구에 적용되는 처리작업 목록을 채택하고자
할 경우
(b) 행동규약 초안이나 행동규약의 개정 또는 연장이 본 규칙을 준수하는지 여부가 제 조 제 항40 7
에 따라 문제되는 경우
제 조 제 항에 의한 기관 또는 제 조 제 항에 의한(c) 41 3 43 3 인증기관의 인가기준을 승인하고자 할

93. - 92 -
경우
제 조 제 항 및 제 조 제 항에 언급된(d) 46 2 (d) 28 8 표준개인정보보호조항을 결정하고자 할 경우;
제 조 제 항 에 언급된(e) 46 3 (a) 계약조항을 허가하고자 할 경우 또는;
제 조의 의미 내에서(f) 47 구속력 있는 기업규칙을 승인하고자 할 경우
기타o 둘 이상의 회원국에서 일반적으로 적용되거나 효과를 발생하는 모든 사안이 일관성 메카니즘
의 대상이 됨
관련 감독당국은 제 조 제 항에 규정된 주 이내에 유럽개인정보보호이사회 의장에게 유럽개인정o 64 7 2
보보호이사회의 의견 전부 또는 일부를 따르지 않는다는 의사를 적절한 이유를 붙여 밝힐 수 있는
데 이 경우에는 제 조 제 항의, 65 1 유럽개인정보보호이사회에 의한 구속력 있는 결정 절차가 적용
제 조 이사회에 의한 분쟁해결65
관련 감독당국이 총괄 감독당국의 결정 초안에 적절하고 이유 있는 반대를 제기하는 경우 주된 사o ,
업장에 대해 어느 관련 감독당국이 권한을 가지는지에 대하여 견해가 상충되는 경우 등의 사유가
있으면, 이사회가 구속력 있는 결정을 채택할 수 있음
구속력 있는 결정은 이사회 구성원들의 분의 다수결로 채택함o 3 2

94. - 93 -
제 조 긴급 절차66
예외적 상황에서o , 관련 감독당국이 정보주체의 권리와 자유를 보호하기 위하여 긴급히 행동할 필요
가 있다고 판단한 경우에는 제 조 제 조 및 제 조에 언급된 일관성 메커니즘 또는 제 조에, 63 , 64 65 60
언급된 절차에서 일탈하여 개월을 초과하지 않는 유효기간을 특정하여 자국 영토에서 법적 효력, 3
을 발생하기 위한 잠정적 조치를 즉시 채택할 수 있음
제 조 정보의 교환67
감독당국 간 및 감독당국과 이사회 간의 전자적 수단을 통한 정보 교환의 약정을 명시하기 위하여o ,
일반적 범위의 이행입법을 제정할 수 있음

95. - 94 -
제 절 유럽개인정보보호이사회3
제 조 유럽개인정보보호이사회68
제 조 작업반을 대체하는 상위 기관으로서 통일적인 시행을 위한 업무를 함o 29 GDPR
유럽개인정보보호이사회 이사회 는 기관으로서 설치되며 법인격을 가짐o (‘ ’) EU
이사회는 각 회원국의 하나의 감독당국의 장과 유럽개인정보보호감독관 또는 그들 각자의 대리인o ,
으로 구성됨
유럽위원회는 투표권 없이 이사회의 활동과 회의에 참여할 권리를 가짐o
법인격을 가짐o
제 조 독립성69
이사회는 제 조 및 제 조에 따른 직무를 수행하거나 권한을 행사할 때 독립적으로 행동함o 70 71
제 조 이사회의 직무70
이사회는 유럽위원회의 요청에 따라 조언 규칙의 올바른 적용 감시 등을 할 수 있o , 

96. - 95 -
제 조 보고서71
이사회는 및 관련 있는 경우 제 국과 국제기구에서의 처리와 관련하여 자연인의 보호에 관한o EU , 3
연례보고서를 작성함
제 조 절차72
이사회는 달리 정함이 없으면 구성원들의 단순다수결로 결정을 내림o
이사회는 분의 다수결로 절차 규정을 채택하고 내부 운영 체계를 조직함o 3 2
제 조 의장73
이사회는 단순다수결로 의장과 인의 부의장을 선출함o 2
의장과 부의장의 임기는 년이고 회 연임 가능o 5 1
제 조 의장의 업무74
의장은 이사회 회의를 소집하고 의제를 준비하는 등의 업무를 행함o

97. - 96 -
제 조 사무국75
사무국은 이사회 의장의 지시에 따라 독자적으로 직무를 수행함o
제 조 기밀성76
이사회의 논의는 절차 규정이 정하는 바에 따라 필요하면 기밀로 함o

98. - 97 -
제 장8
구제 법적 책임 및 벌칙,
제 조77 감독당국에 민원을 제기할 권리
o 모든 정보주체는 개인정보의 처리가 본 규칙을 위반한다고 판단하는 경우 특히, 거주지 근무지 또,
는 주장된 침해 발생지가 소재한 회원국의 감독당국에 민원을 제기할 권리가 있음
감독당국은 민원 처리 결과 등을 알려 주어야 함o
제 조78 감독당국에 대하여 효과적인 사법구제를 받을 권리
각 자연인 또는 법인은 자신에 관한 감독당국의 법적 구속력 있는 결정에 대한 효과적인 사법적o
구제를 받을 권리가 있음
o 민원이 처리되지 않거나 개월 안에 처리 결과를 통지받지 못한 경우에도 동일3 함
관할은o 감독당국이 소재한 회원국의 법원임

99. - 98 -
제 조79 컨트롤러 또는 프로세서에 대하여 효과적인 사법구제를 받을 권리
각 정보주체는 컨트롤러 또는 프로세서에 대하여 효과적인 사법구제를 받을 권리가 있음o
관할은 컨트롤러 등의 사업장 소재지 법원 또는o 정보주체 거주지 소재 법원
제 조 정보주체의 대리80
정보주체는o 비영리 기관 조직 또는 협회, 에도위임할 수 있음
회원국은 정보주체의 위임 없이도 비영리 기관 등이 민원 등을 제기할 수 있다고 규정할 수 있음o
제 조 소송절차의 중지81
동일 사안이 여러 회원국 법원에 계류된 경우 나중 소송은 중지할 수 있음o ,

100. - 99 -
제 조 손해배상을 받을 권리 및 법적 책임82
o 물질적 정신적 손해ㆍ 를 입은 자는 누구든지 컨트롤러 프로세서에게 손해배상 청구 소송을 제기할ㆍ
수 있음
기본적인 손해배상 책임 주체는o 컨트롤러임
o 프로세서는 프로세서들에게 구체적으로 지시된 본 규칙의 의무를 준수하지 않은 경우 또는 컨트롤
러의 합법적 지시를 벗어나거나 그에 반하여 행동한 경우에 한하여 책임이 있음
다수의 컨트롤러 또는 다수의 프로세서가 있는 경우o , 각자 전체 손해에 대하여 책임이 있고 내부,
적으로는 구상권을 행사할 수 있음
관할은 컨트롤러 등의 사업장 소재지 법원 또는o 정보주체 거주지 소재 법원
제 조 과징금 부과의 일반조건83
과징금은 자동으로 부과되지 않으며o 개별 안건별로 부과됨 제 항( 1 )
과징금은 시정조치에 부과하거나 대신하여 부과할 수 있음 제 항o ( 2 )
과징금의 부과는o 효과적이고 비례적이며 억지력이 있도록 부과, 되어야 함 제 항( 1 )
과징금 부과시 고려해야 할 개의 사항은 제 항에 열거되어 있음o 11 2
동일하거나 관련된 처리가 의 여러 규정 위반을 수반할 경우 가장 중한 침해에 해당하는 액o GDPR
수를 초과할 수 없음 제 항( 3 )

101. - 100 -
o 전세계 연간 매출액 또는 천만 유로 중 큰 금액4% 2
동의 를 비롯한 정보처리의 기본 원칙을 위반한 경우 제 조 제 조 제 조 및 제 조 위반‘ ’ ( 5 , 6 , 7 9 )
정보주체의 권리를 보장하지 않는 경우 제 조 부터 제 조 위반( 12 22 )
제 국이나 국제기구의 수령인에게로 개인정보를 이전할 때 준수해야 할 규정을 위반한 경우 제3 (
조 부터 제 조 위반44 49 )
제 장에 따라 채택된 회원국 법률에 따른 의무를 위반한 경우9
제 조제 항에 따라 감독기구가 내린 명령 또는 정보처리의 임시적 또는 확정적 제한58 2
또는 개인정보 이동의 중지를 준수하지 않거나 열람 기회(temporary or definitive limitation),
를 제공하지 않아 제 조제 항을 위반한 경우58 1
o 전세계 연간 매출액 또는 천만 유로 중 큰 금액2% 1
컨트롤러 프로세서의 의무를 위반한 경우 제 조 제 조 제 조 내지 제 조 제 조 제, ( 8 , 11 , 25 39 , 42 , 43
조 위반)
인증기관의 의무를 위반한 경우 제 조 제 조 위반( 42 , 43 )
감시기관의 의무를 위반한 경우 제 조제 항 위반( 41 4 )
제 조 처벌84
회원국은o 과징금 대상이 아닌 위반 사항의 경우GDPR 에 처벌 내용을 규정해야 함
회원국은 까지 채택하고 유럽위원회에 통지해야 함o 2018. 5. 25.

102. - 101 -
제 장9
특정한 처리 상황에 관련된 규정
제 조 처리 및 표현과 정보의 자유85
회원국은 법에 의하여 본 규칙에 따른 개인정보 보호에 대한 권리를 언론 목적 및 학술 예술 또는o ,
문학적 표현 목적의 처리를 포함하여 표현과 정보의 자유에 대한 권리에 조화시켜야 함
관련 법이 제정 또는 개정되면 유럽위원회에 통지해야 함o
제 조 처리 및 공문서에 대한 공공접근86
공공당국 공공기구 또는 공익을 위해 수행되는 직무를 수행하는 민간기관이 보유한 공문서의 개인o ,
정보는 의 개인정보보호와GDPR 조화하여 공개할 수 있음

103. - 102 -
제 조 국민식별번호의 처리87
회원국이 국민식별번호 등을 도입한 경우 본 규칙에 따른 정보주체의 권리와 자유에 대한o , 적절한
안전장치에 따라서만 이용되어야 함
제 조 고용 맥락에서의 처리88
회원국은 고용 맥락에서 피고용인의 개인정보 처리에 있어서 권리와 자유의 보호를 보장하기 위하o
여, 보다 구체적인 규정을 정할 수 있음
유럽위원회에 개정사항을 통지해야 함o
제 조 공익을 위한 문서보존 목적 과학적 또는 역사적 연구 목적 또는 통계적 목적을 위한 처리89 ,
에 관련되는 안전장치와 예외
공익을 위한 문서보존 목적 과학적 또는 역사적 연구 목적 또는 통계적 목적을 위한 처리는 본o , ,
규칙에 따라 정보주체의 권리와 자유를 위하여, 적절한 안전장치의 적용을 받아야 함
그들 안전장치는 특히 개인정보 최소화 원칙의 존중을 보장하기 위하여 기술적 및 관리적 조치가o
구비되는 것을 보장하여야 하고 여기에는, ‘가명처리 가 포함됨’

104. - 103 -
개인정보가 공익을 위한 문서보존 목적 과학적 또는 역사적 연구 목적 또는 통계적 목적을 위해o ,
처리되는 경우, 또는 회원국은 예외 규정EU 을 만들 수 있음
제 조 비밀유지의무90
회원국은 직업상 비밀유지 의무 또는 다른 상응하는 비밀유지 의무의 적용을 받는 컨트롤러나 프로o
세서와 관련하여 특별한 규정을 채용할 수 있음 예 변호사 회계사 등( : , )
회원국은 유럽위원회에 개정 사항을 통지하여야 함o
제 조 교회와 종교단체의 현존하는 개인정보보호 규정91
회원국의o 교회와 종교 단체나 공동체의 지위는 존중되어야 하므로 은 이러한 지위를 원칙적, GDPR
으로 침해하지 못함
시행 이전의 개인정보 처리에 관한 포괄적 규정이 에 부합한다면 그대로 적용할 수o GDPR GDPR
있음

105. - 104 -
제 장10
위임입법 및 이행입법
제 조 위임권의 행사92
의 목적 달성을 위하여o GDPR , 유럽위원회의 위임 입법권에 대하여 규정하고 있음
제 조 위원회 절차93
유럽위원회의 이행권한의 통제를 위하여 회원국들 대표로 구성되고 유럽위원회 대표가 의장이 되는o
위원회가 설치됨

106. - 105 -
제 장11
최종 규정
제 조 지침 의 폐지94 95/46/EC
년 지침은o 95 년 월 일2018 5 25 부터 폐지됨
제 조95 지침 와의 관계95/46/EC
은 동일한 목적의 특정한 의무를 따라야 하는 사안에 관련하여 년 지침에 더한 추가적 의o GDPR 95
무를 부과할 수 없음
제 조96 이전에 체결된 협정과의 관계
회원국이 전에 체결하고 적용가능한 법에 부합하는 제 국이나 국제기구로 개인정o 2016. 5. 24. EU 3
보 이전을 수반하는 국제협정은 개정 대체 또는 폐기될 때까지 유효함,