GDPR(EU일반정보보호규정)이 유럽 주요산업에 미치는 영향
중동부유럽 일반 KITA 2017/02/20
GDPR(EU일반정보보호규정)이 유럽 주요산업에 미치는 영향
- 한국무역협회 브뤼셀지부 / KBA Europe 제공
※ 자세한 내용은 첨부파일 참고
1. GDPR(EU일반정보보호규정) 개요)
□ GDPR(일반정보보호규정: General Data Protection Regulation)은 2018년 5월 25일부터 시행되는 정보보호 관련 단일 규정으로 EU회원국가에 전체적으로 적용됨
ㅇ 이는 기존 EU개인정보보호지침(Directive 95/46/EC)보다 훨씬 강력한 규정으로 적용대상이 확대되었으며 위반 시 처벌 강도도 높아짐
EU Directive (현행) |
→ |
EU GDPR(2018년 5월 25일) |
(법적용 대상) EU회원국의 영토를 기준으로 개인정보처리자의 개인정보처리에 관한 사항 ☞ EU 내 법인 또는 설비 기준 |
(법적용 대상) EU내 법인은 물론 EU시민에게 재화나 서비스를 제공하는 경우 모두 GDPR 적용 ☞ EU에 진출하지 않더라도 EU시민에게 재화나 서비스를 제공하는 한국기업도 적용대상 | |
(개인정보 정의) 개인정보는 직간접적으로 식별되거나 식별가능한 자연인의 정보; 식별번호 (ID number) 혹은 자연인의 신체적, 정신적, 경제적, 문화적, 사회적 지위에 관한 하나 이상의 요인을 참조하여 신원 확인 가능한 정보 |
(개인정보 정의) 식별가능한 자연인 정보에 이름, 위치정보와 같은 식별자(identifier)와 함께 온라인 식별자 정보*, 유전자 정보 등도 포함 *온라인 식별자 정보: IP주소, 쿠키, 기계고유식별정보, 시리얼 넘버등 | |
(처벌) 회원국으로 하여금 적절한 제재조치를 취할 것을 권고 ☞ 회원국이 자유롭게 정함 |
(처벌) 최대 직전 회계연도 전세계 매출의 2~4% 또는 1~2천만유로(약250억원) 행정과태료 부과 가능 ☞ 강제규정으로 강행 |
* 출처 : KISA(한국인터넷진흥원)
동의 (Consent) |
개인정보가 어떻게 이용되고 처리될 것인지에 대한 약관이 사용자가 이해하기 쉽게 명시되어야하며, 개인정보가 새로이 이용될 때마다 사용 동의를 얻어야함. 또한 사용자는 개인정보 이용 동의를 언제든지 철회할 수 있음 |
위반 통보 |
사업체가 동 규정을 위반했을 경우 반드시 72시간 내에 통보해야함 |
개인정보 접근 권한 |
사용자는 사업자가 자신의 개인정보를 어떻게 처리하고 이용하는지 알 권리가 있으며, 사업체는 사용자가 원한다면 개인정보 처리내역을 제공할 의무가 있음 |
잊혀질 권리 |
사용자는 언제든지 사업체에게 자신의 개인정보 삭제 및 이용중지 요청을 할 수 있음 |
정보 이동성 |
사용자에게는 사업체에게 자신의 개인정보 카피를 요청하여 비슷한 서비스를 제공하는 다른 사업체에게 이동할 수 있는 권리가 있음 |
프라이버시 중심 디자인 |
사업체는 서비스나 제품을 개발할 때 처음부터 정보보호 기능/장치를 최우선시 해야하며 서비스/제품 개발 후 정보보호 기능/장치를 덧입히는 방식을 이용할 수 없음 |
DPO (정보보안책임자) |
개인정보를 다루는 모든 사업체는 정보보안책임자(DPO: Data Protection Officer)를 선임해야하며 사외 DPO를 고용할 수도 있음 *DPO는 독립적으로 활동하며 경영진에게 보고할 수 있는 지위에 있음 **DPO 의무: 개인정보보호 관련 자문 및 의무 이행 모니터링. 규제기관, 정보주체의 컨택포인트로 역할. 프라이버시 중심 디자인 자문 등 |
* 출처 : EU집행위, Trunomi, BMI
2. GDPR이 유럽 주요산업에 미치는 영향
※ 자세한 내용은 첨부파일 참고
본 페이지에 등재된 자료는 운영기관(KIEP) 및 EMERiCs의 공식적인 입장을 대변하고 있지 않습니다.
이전글 | 프랑스 등 주요 3개 회원국, 외국인 투자 제한 강화 촉구 | 2017-02-17 |
---|---|---|
다음글 | EU 의회 농업위원회, Brexit 이후 EU 지리적 표시보호제도 공백 우려 | 2017-02-20 |