중동부유럽

EU Directive (현행)

→

EU GDPR(2018년 5월 25일)

(법적용 대상)

EU회원국의 영토를 기준으로 개인정보처리자의 개인정보처리에 관한 사항

☞ EU 내 법인 또는 설비 기준

(법적용 대상)

EU내 법인은 물론 EU시민에게 재화나 서비스를 제공하는 경우 모두 GDPR 적용

☞ EU에 진출하지 않더라도 EU시민에게 재화나 서비스를 제공하는 한국기업도 적용대상

(개인정보 정의)

개인정보는 직간접적으로 식별되거나 식별가능한 자연인의 정보; 식별번호 (ID number) 혹은 자연인의 신체적, 정신적, 경제적, 문화적, 사회적 지위에 관한 하나 이상의 요인을 참조하여 신원 확인 가능한 정보

(개인정보 정의)

식별가능한 자연인 정보에 이름, 위치정보와 같은 식별자(identifier)와 함께 온라인 식별자 정보*, 유전자 정보 등도 포함

*온라인 식별자 정보: IP주소, 쿠키, 기계고유식별정보, 시리얼 넘버등

(처벌)

회원국으로 하여금 적절한 제재조치를 취할 것을 권고

☞ 회원국이 자유롭게 정함

(처벌)

최대 직전 회계연도 전세계 매출의 2~4% 또는 1~2천만유로(약250억원) 행정과태료 부과 가능

☞ 강제규정으로 강행

동의 (Consent)

개인정보가 어떻게 이용되고 처리될 것인지에 대한 약관이 사용자가 이해하기 쉽게 명시되어야하며, 개인정보가 새로이 이용될 때마다 사용 동의를 얻어야함. 또한 사용자는 개인정보 이용 동의를 언제든지 철회할 수 있음

위반 통보

사업체가 동 규정을 위반했을 경우 반드시 72시간 내에 통보해야함

개인정보 접근 권한

사용자는 사업자가 자신의 개인정보를 어떻게 처리하고 이용하는지 알 권리가 있으며, 사업체는 사용자가 원한다면 개인정보 처리내역을 제공할 의무가 있음

잊혀질 권리

사용자는 언제든지 사업체에게 자신의 개인정보 삭제 및 이용중지 요청을 할 수 있음

정보 이동성

사용자에게는 사업체에게 자신의 개인정보 카피를 요청하여 비슷한 서비스를 제공하는 다른 사업체에게 이동할 수 있는 권리가 있음

프라이버시 중심 디자인

사업체는 서비스나 제품을 개발할 때 처음부터 정보보호 기능/장치를 최우선시 해야하며 서비스/제품 개발 후 정보보호 기능/장치를 덧입히는 방식을 이용할 수 없음

DPO (정보보안책임자)

개인정보를 다루는 모든 사업체는 정보보안책임자(DPO: Data Protection Officer)를 선임해야하며 사외 DPO를 고용할 수도 있음

*DPO는 독립적으로 활동하며 경영진에게 보고할 수 있는 지위에 있음

**DPO 의무: 개인정보보호 관련 자문 및 의무 이행 모니터링. 규제기관, 정보주체의 컨택포인트로 역할. 프라이버시 중심 디자인 자문 등