1. 이 진 규
CISO/CPO/DPO of NAVER Corp.
CIPP/E, CISA, PMP, ISO27001&PIMS Auditor
2. 01_GDPR이란?
GDPR 개요
명칭 General Data Protection Regulation (GDPR)
성격 Regulation – 유럽연합 회원국에 동일하게 적용되는 “구속력 있는 법률(a binding legislative act)"
시행 2018. 5. 25. 적용 (참고: ‘16. 5. 24.에 시행되었으나, 2년의 유예 기간을 거침)
구성 전문(Recital) 173조 + 본문 11장 99조 | 비고: Data Protection Directive는 7장 34조
특징
유럽연합의 정보주체 개인정보를 처리하는 경우 유럽연합 역외의 국가에도 적용됨 (역외적용)
중대한 위반사항 발생 시, 최대 전년도 글로벌 매출액의 4% 또는 2천만 유로 중 높은 금액을 벌금으로 부과
- 전체 사업체 그룹을 기준으로 함. 어느 하나의 자회사가 위반하여도 전체 사업체 그룹 매출에 벌금 부과
개인정보처리 기준을 매우 높게 결정 – 소위 “책임성(Accountability)” 원칙
- ‘동의’에 기반한 개인정보 처리는 ‘지양’되어야 함
개인정보 국외 전송 메커니즘을 확립
정보주체의 권리 확대 – “잊힐 권리”, “데이터 이동권” 등을 법제화
독립성과 전문성을 갖는 개인정보보호 책임자(DPO, Data Protection Officer) 지정 의무화 등
3. 주요 내용 – Part 1.
넓은 영토적 적용범위
EU 내에 설립된 컨트롤러(≒개인정보처리자)에 기본적으로 적용되는 것 외,
1) EU 밖에서 EU 내에 있는 정보주체에게 재화나 용역을 ‘제공’하는 경우, 또는
2) EU 내에 있는 정보주체가 수행하는 활동을 Monitoring 하는 경우에 적용
※ 위 1), 2)에 해당하는 경우 EU 회원국 내에 ‘대리인(representative)’을 지정해야 하는 의무 발생
정보주체의 권리 확대
개인정보 열람권, 정정권, 처리 제한권, 반대권, 자동화된 개인정보 처리 대상이 되지 않을 권리 외,
1) 잊힐 권리: 개인정보 삭제를 요청하는 경우 삭제처리
2) 이동권: 개인정보를 정보주체 또는 그가 지정하는 다른 사업자에게 전송
※ 이용자의 권리를 보장하기 위해 기존과 다른 방법론 적용 필요
상향된 개인정보의 “적법 처리 기준” 적용
개인정보 처리를 위해서는 “개인정보 처리 6대 원칙”(모두) + “적법 처리 6대 기준”(최소 1개) 해당해야 함
1) 개인정보 처리 6대 원칙: ① 적법성〮공정성〮투명성, ② 목적 제한, ③ 무결성〮기밀성, ④ 개인정보 최소화, ⑤ 보관기간 제한, ⑥ 정확성
2) 적법 처리 6대 기준: 정보주체의 동의, 계약의 이행, 법률 의무 준수, 중대한 이익 보호, 공익 내지 공공기관의 처리, 정당한 이익
※ 정보주체 동의 요건이 매우 까다롭기 때문에, 가능한 경우 계약의 이행이나 정당한 이익 등을 적법 처리 기준으로 하는 것을 고려할 필요
02_GDPR의 주요 내용 (1/2)
4. 주요 내용 – Part 2.
개인정보 국외 전송 메커니즘의 확립
개인정보가 ‘적정하게 보호’ 될 수 있는 국가로만 역외 전송을 허가함. 구체적으로,
1) 유럽연합 회원국 간, 또는 적정성 평가(adequacy decision)을 받은 국가로는 별도 조치 없이 전송 가능
2) 적절한 보호조치 적용 + 정보주체 권리 행사 가능 + 효과적인 법적 구제수단 존재하는 경우 전송 가능
3) 기타, ‘행동 강령’, ‘정보보호 인증’, ‘명시적 동의’ 등의 경우 전송 가능
※ 우리나라는 ‘정보통신망법’ 적용 대상에 한하여 ‘부분 적정성’ 평가를 추진 중에 있음
강력한 제재
‘사업체 그룹’ 매출 기반으로 벌금을 부과하며,
1) 심각한 위반: 직전 회계연도 전 세계 매출액의 4% 또는 2천만 유로 가운데 높은 금액 부과
2) 일반적 위반: 직전 회계연도 전 세계 매출액의 2% 또는 1천만 유로 가운데 높은 금액 부과
※ 징계는 다음과 같으며, 위반에 따라 차등 부과함 – warning(경고) < reprimand(견책) < suspension(정지) < fine(벌금)
개인정보보호 책임자(DPO) 지정
일정 요건에 해당하는 경우 개인정보보호 책임자를 지정해야 하며, 다음 요건에 유의해야 함
1) 전문성: 다년간의 개인정보보호 실무경험 및 법률 지식 보유
2) 독립성(이익 충돌 방지): 업무상 이익의 충돌이 발생해선 안되며, 업무로 인한 징계나 해직 불가
3) 협력 가능성(권고): 유럽연합 규제 당국과 협력 가능한 경험 및 언어 구사(또는 통역 지원)
※ 프랑스 개인정보보호당국(CNIL)은 위의 요건을 준수하기 위해 ‘내부 지정이 아닌 외부 계약’을 통한 DPO확보를 요구하는 것으로 알려짐
03_GDPR의 주요 내용 (2/2)
5. 04_GDPR의 적용 범위
1. Established in the EU (유럽연합 내에 거점을 두고 있는 경우)
- when an organization processes personal data in the context of the activities of an establishment in the EU
- doesn’t matter if the processing takes place within the EU or not!
- a single branch, subsidiary, or individual might make the organization be subject to the GDPR
2. Directed at Individuals in the EU (유럽연합 밖에서 유럽연합에 위치하고 있는 정보주체의 개인정보를 처리하는 경우)
2.1 Offering goods or services
- offering
- goods or services
- ‘envisage’ :: to imagine or expect something in the future, esp. something good (Cambridge Dictionary)
2.2 Monitoring their behavior
- monitoring (≠ surveillance) :: identifying equipment actual deliberate activity of targeting individuals in the EU
3. Public International Law (국제 공법에 의해 유럽연합 회원국의 법률이 유럽연합 역외에 적용되는 경우)
- diplomatic establishments
If not in the scope, forget the GDPR! (what if in the position of a processor?)
6. 05_GDPR의 개인정보 처리 원칙(Principles)
Lawfulness, fairness
and transparency
Purpose limitation
Data minimization
Accuracy
Storage limitation
Integrity and
confidentiality
Lawful processing (6 legal bases)
Sufficient information provision
Accountability!!!
Principles Description Common Mistakes
No Processing ground
Failure to inform scope/purpose/risk, etc.
Specific/Explicit/Legitimate purpose
Processed within the original purpose
Processing for other purposes
Use for secondary purpose w/o informing
Only necessary for legitimate purpose in
processing (not in collection only)
Collecting more data than actually needed
for possible future uses
Should be accurate, up-to-date
Reasonable steps to erase or rectify
Inaccurate data from 3rd parties
Slow erasure or rectification
If no longer needed, data must be erased
or effectively anonymized
Unnecessarily long data retention periods
No automated deletion of data
Personal data should be protected from
unauthorized parties
No data protection framework
Disclosure against data subject’s wishes
7. 06_개인정보 처리의 적법 근거(Legal grounds for lawful processing)
Article 6 – Lawfulness of Processing
1. Processing shall be lawful only if and to the extent that at least one of the following applies:
(a) the data subject has given consent to the processing of his or her personal data for one or more specific purposes;
(b) processing is necessary for the performance of a contract to which the data subject is party or in order to take steps at the
request of the data subject prior to entering into a contract;
(c) processing is necessary for compliance with a legal obligation to which the controller is subject;
(d) processing is necessary in order to protect the vital interests of the data subject or of another natural person;
(e) processing is necessary for the performance of a task carried out in the public interest or in the exercise of official
authority vested in the controller;
(f) processing is necessary for the purposes of the legitimate interests pursued by the controller or by a third party, except
where such interests are overridden by the interests or fundamental rights and freedoms of the data subject which require protection
of personal data, in particular where the data subject is a child.
Point (f) of the first subparagraph shall not apply to processing carried out by public authorities in the performance of their tasks.
2. ~ 4. (omitted)
8. 07_적법 근거의 선택(consent vs. others)
Consent Others
Do not ‘bundle’
Clear and plain language
Right to withdraw (easily) any time
No detriment
freely given
Specific
Informed
Unambiguous indication
(online) not unnecessarily disruptive
No pre-ticked boxes, silence, inactivity
Special care for the provision of
information society service to a child
Parental responsibility
Granular
Named, etc.
Legitimate interests
- “LIA” documentation (purpose test +
necessity test + balancing test)
- “PIA” when necessary
- DPO involvement when necessary
Contractual necessity
- Independently sign contract?
Compliance
- EU laws only
Vital interests
- almost no exceptions
9. 08_GDPR과 이용자의 권리
Article 19 – Notification obligation
regarding rectification or erasure of
personal data or restriction processing
The controller shall communicate any
rectification or erasure of personal data or
restriction of processing carried out in
accordance with Article 16, Article 17(1)
and Article 18 to each recipient to whom
the personal data have been disclosed,
unless this proves impossible or involves
disproportionate effort.
The controller shall inform the data
subject about those recipients if the
data subject requests
10. 09_GDPR과 이용자의 권리 :: 유사한 권리의 비교
권리의 적용 예외 대응 기타(참고)
반대할
권리
개인정보의 처리 근거(조건)가 다음의 하나에 해당
하는 경우 요청에 응해야 함
1) 공익, 또는
2) 정당한 이익
개인정보의 처리가 다음의 하나에 해당하는
경우 요청에 응하지 않아도 됨
1) 법적 청구를 위한 경우, 또는
2) 정보주체의 이익을 넘어서는 설득력 있
는 정당한 이익에 기반한 경우
요청이 있는 경우,
당해 정보주체의
개인정보 처리를 중단 해야 함
Directive와 비교하여 입증책임을 컨트롤러
에게 전환하였음. 즉, 개인정보 처리를 지속
할 설득력 있는 정당한 이익의 근거를 컨트
롤러가 제시해야 함
삭제권
(잊힐 권리)
아래의 경우 요청에 응해야 함
1) 정보주체가 개인정보의 처리에 반대하였고, 해
당 개인정보 처리를 정당화 할 수 있는 정당한
이익 근거가 부재 (no overriding legitimate
grounds)
2) 개인정보 수집/처리 목적에 비추어 더 이상 필
요 없음
3) 동의를 철회하였고, 처리 지속 근거가 없음
4) 개인정보가 불법적으로 처리됨
5) 유럽연합 또는 회원국 법률에 따라 개인정보를
삭제해야 할 법적 의무 존재
6) 아동에게 온라인 서비스 제공하는 과정에서 처
리됨
개인정보의 처리가 다음의 하나에 해당하는
경우 요청에 응하지 않아도 됨
1) 표현이나 정보의 자유를 위해 필요한 경
우
2) 유럽연합 또는 회원국 법률의 법적 의무
준수를 위한 경우
3) 공공기관에 의해 수행되거나 공익을 위
한 경우
4) 기록보존 또는 연구 목적
5) 법적 청구를 위한 경우
요청이 있는 경우,
당해 정보주체의
개인정보를 삭제 해야함
해당 개인정보를 공개한 경우, 다른 컨
트롤러에게 삭제 요청을 알리기 위한
합리적 조치를 취해야 함
개인정보의 처리가 표현이나 정보의 자유
를 위해 필요한 경우 삭제권의 예외가 되므
로, 실제 많은 의견충돌이 예상됨
처리
제한권
아래의 경우 요청에 응해야 함
1) 삭제권의 1)과 동일
2) 처리가 더 이상 필요 없으나, 법적 청구에 따라
보존이 필요한 경우
3) 처리가 불법적이지만, 정보주체가 삭제가 아닌
제한을 원하는 경우
4) 개인정보의 정확성에 대한 이의가 제기되어 검
증하는 경우
예외 없음
아래 경우에만
제한적으로
개인정보 처리 가능
1) 정보주체의 동의
2) 법적 청구 목적
3) 타인의 자유와 권리 보호
4) 중요한 공익 사유
이 권리는 법적 청구의 처리 등과 같이 제
한된 목적 범위에서 개인정보를 제한 및 사
용할 수 있도록 하기 위해 도입됨
Source: The General Data Protection Regulation: A Survival Guide by Linklaters
12. 11_개인정보 침해의 개념
Source: 우리 기업을 위한 EU 일반 개인정보보호법 가이드북 by 행정안전부, 방송통신위원회, 한국인터넷진흥원 (originally from Article 29 Working Party Opinion)
13. 12_Data Protection Officer (DPO)
DPO 지정 요건 (Article 37(1))
(1) 개인정보 처리하는 공공기관(법원 제외), (2) 정기적이고 체계적 대규모 모니터링 수행, (3) 민감 개인정보/범죄경력정보 대규모 처리
14. 13_Data Protection Impact Assessment (DPIA or PIA)
DPIAs are designed to identify and mitigate risks & a critical part of Privacy by Design
Prior to the first time any new business process involving personal data is completed (Recital 90)
Where a business process involving personal data has not undergone a DPIA in the past (Recital 90)
Where the personal data being processed could pose a high risk to the data subjects if an incident were to occur (Recital 84)
When processing old data sets or personal data (Recital 90)
When personal data, including IP addresses, are being used to make decisions regarding a data subject (Profiling) (Recital 91)
When public areas are being monitored on a large scale (Recital 91)
When sensitive categories of data, criminal data, or national security data are being processed on a large scale (Recital 91)
If a business process incorporates a new technology (Article 35)
If a business process involves automated decision making “the ability to make decisions by technological means without human involvement”
(Article 35)
When the processing of personal data involves the systematized processing of personal data (Article 35)
When there is a change of the risk represented by processing operations (Article 35)
Source: iapp, “What triggers a DPIA under the GDPR”, URL: https://iapp.org/resources/article/what-triggers-a-dpia-under-the-gdpr/
15. 14_개인정보의 역외 전송(Overseas Transfer)
개인정보의 국외전송 관련 주요 사항
① 유럽연합집행위원회(The Commission)는 특정한 국가, 해당 국가의 영토, 해당 국가의 특정한 분야 또는 특정 국제기구가 ‘적정한 개인정보 보호수
준(adequate level of protection)’을 제공하는지 결정할 수 있는 권한을 가지고 있으며, 이를 결정 받은 국가로의 개인정보의 전송은 별도의 승인
을 필요로 하지 않음
② 유럽연합-미국 간의 개인정보 전송은 the EU-U.S. Privacy Shield에 따라 진행됨(기존 ‘Safe Harbor’를 대체하는 협약). 이에 의하지 않는 경우, 일
반 개인정보 전송 메커니즘을 준수해야 함
③ 개인정보 국외전송 방식은 아래의 적절한 보호조치(appropriate safeguards)에 따른 것이어야 함
1) 표준 개인정보보호 조항(Standard Contractual Clauses or Model Contracts)
2) 구속력 있는 기업규칙 (BCRs, Binding Corporate Rules)
3) 승인된 행동강령 또는 인증 (Approved Codes of Conduct or Certifications, etc.) (+ α)
④ 기타, 특정 상황의 경우 예외적으로 다음과 같은 전송 방식이 인정될 수 있음
- 정보주체의 명시적 동의, 계약상의 필요, 공익목적의 중대한 사유, 법적 (권리)주장, 중대한 이익, 공공 개인정보 등록부, 사소한 전송(minor
transfer) 등
- 컨트롤러의 설득력 있는 정당한 이익을 위한 경우
17. 16_”Regulator Ready” Reporting (Documentation for Accountability)
Source: NYMITY, “Reporting on GDPR Compliance”, URL: https://info.nymity.com/reporting-on-gdpr-compliance-whitepaper
Minimum Compliance Requirement
Additional Accountability Reporting
1. Article 5(2) Accountability & Article 24 Responsibility of the Controller
2. Article 30 Records of Processing Activities
3. Article 35 Data Protection Impact Assessment(DPIA)
1. Article 25 Data Protection by Design and Default
2. Article 6(1)(f) Legitimate Interests as lawful basis for processing
2.1 Purpose(Existence of L.I.) Test 2.2 Necessity Test 2.3 Balancing Test
Privacy Notices
Consent forms and evidence of consents
Procedures for the exercise of individual rights
Processor Agreements
Breach response implemented
Controller-processor contracts
Internal procedures in the event of a data breach
Data Transfer Mechanisms, etc.
A list of the appropriate measures
A description of the measures
Affirmations that the measures are being used
Additional affirmation comments
