목차 요약문 머리말 GDPR 제정이전의개인정보보호를위한 EU의노력 150 가. CoE Convention 나. 정보보호지침 (95/46/EC) 150 다. US-EU Safe Harbor Framework 151 라. EU-US

Size: px
Start display at page:

Download "목차 요약문 머리말 GDPR 제정이전의개인정보보호를위한 EU의노력 150 가. CoE Convention 나. 정보보호지침 (95/46/EC) 150 다. US-EU Safe Harbor Framework 151 라. EU-US"

Transcription

1 EU GDPR 의분석및시사점 가천대학교법과대학최경진교수 NAVER Privacy White Paper

2 목차 요약문 머리말 GDPR 제정이전의개인정보보호를위한 EU의노력 150 가. CoE Convention 나. 정보보호지침 (95/46/EC) 150 다. US-EU Safe Harbor Framework 151 라. EU-US Privacy Shield Framework 152 마. 개인정보보호를둘러싼주요판결 General Data Protection Regulation 155 가. GDPR 입법과정 155 나. GDPR 초안 156 다. GDPR 유럽의회수정안 167 라. GDPR 우리법제에의시사점 174 가. GDPR과우리법제의비교 174 나. 우리법제에의시사점 맺음말 182 참고문헌 184 2

3 요약문 1. 연구개요 - 개인정보보호영역에서세계경제에많은영향을미치는미국과의대척점에서있다고평가받는 EU의법제화과정과그결과물인 GDPR을살펴보는것은향후우리법제가나아가야할방향을가늠하는때에많은시사점을줄수있음 - 이러한인식하에이보고서에서는 GDPR이제정되기이전의 EU에서의개인정보보호규율을위한법제도적인노력을살펴보고, GDPR의입법과정에서의논의와최종적인 GDPR의주요규정에대한소개및분석, 이를바탕으로한우리개인정보보호법제와의비교와바람직한법제개선을위한시사점을제시하였음 2. GDPR 제정이전의개인정보보호를위한 EU 의노력 CoE Convention Convention 108은협약당사국에게이협약에따른기본원칙을국내법에서반영하도록의무를부여하면서, 그러한기본원칙으로서정보의질에관한원칙, 특수유형의정보보호 ( 민감정보 ) 에관한원칙, 정보보안, 정보주체를위한부가적인세이프가드, 예외및제한설정시법률유보의원칙, 제재및구제등을규정 - 국가간정보이전을보장하기위한규정도두고있음 - 유럽평의회는 Convention 108의현대화를위하여 2013년에특별위원회를설치하여개정작업을추진중 EU 정보보호지침 (95/46/EC) - 개인정보수집및처리를위한원칙으로서 (a) 공정하고적법한처리, (b) 수집목적의특정성과정당성, (c) 수집및처리의목적관련성, (d) 최신정보의유지를위한합리적인조치, (e) 개인정보보관의방식과시간의적절성등의기준을설정하고있다 ( 제6조 ). 이러한원칙은최근입법된 GDPR의개인정보처리기준에서도그대로따르고있음 - EU 정보보호지침이콘트롤러 (controller) 의개인정보처리를적법하게하는인정하는경우로서는 (a) 정보주체의명백한 (unambiguous) 동의가있는경우, (b) 정보주체가당사자인계약의이행에필요한경우, (c) 콘트롤러의법적의무준수에필요한경우, (d) 정보주체의중대한이익의보호에필요한경우, (e) 공공의이익을위해필요한경우등을규정하고있다 ( 제7조 ). 또한특별한보호대상으로서민족또는인종적기원, 정치적의견, 종교또는철학적신념, 노동조합회원자격 3

4 을드러내는개인정보, 건강또는성생활에대한개인정보와같은민감정보에대한처리는원칙적으로금지. 예외적으로정보주체가명시적 (explicit) 동의를하는등의경우에는개인정보의처리가가능 - 개인정보의국가간이전의경우에 EU 회원국에서비회원국으로개인정보를이전하려고하는경우, 원칙적으로그비회원국이적절한 (adequate) 수준의개인정보보호를보장할경우에만그국외이전이가능하도록규정. 이처럼적절성평가기준을충족해야하는것이기본원칙이지만, 적절성평가기준에미달하더라도 구속력있는기업규칙 (Binding Corporate Rules, BCRs)' 등에따라 EU 회원국들의국민의개인정보를자유롭게 EU회원국외로이전할수있는예외가인정 US-EU Safe Harbor Framework - 미국은 EU 정보보호지침이정하는제3국으로의정보이전에관한적절성기준을만족시키기위해 EU와의사이에서 Safe Harbor 원칙을설정하여, 이원칙을준수하는미국기업은 EU 정보보호지침에따른적절성을충족하는것으로보아 EU와의사이에서개인정보의국가간이전을허용하고자 US-EU Safe Harbor Framework을추진 EU-US Privacy Shield Framework - Privacy Shield의세부적인원칙들은기존의 Safe Harbor 제도와비교해서정보주체의권리를확대하고정보보호를강화하는방향으로제정 - 정보를관리하는기업들에게더강한의무를부과하면서, Privacy Shield 체제에가입한기업들이 Privacy Shield 원칙을준수하지않을경우에는제재조치를받게되고동시에 Privacy Shield 명단에서삭제됨 - 특히제3자로의개인정보의재이전 (onward transfer) 요건들을엄격하게함 - EU와미국사이에논란이되었던 EU 회원국국민의개인정보에대한미국정보기관의접근을규율하기위하여미국정부가정보에접근할경우에명확한안전장치를제공하고투명성의무를이행할것을제시 - 더나아가 EU 회원국국민들이개인정보침해로인한구제를받을수있도록하였으며, 특히미국상무부내에옴부즈맨 (ombudsman) 제도를도입해서 EU 회원국국민에대한정보활동 (national intelligence) 영역에서의보상또는구제제도를설치 개인정보보호를둘러싼주요판결 - 유럽사법재판소는잊힐권리 (right to be forgotten) 와관련하여삭제권을명확히하는판결과미국과 EU 사이의 Safe Harbor 협정을무효화하는판결을내림 4

5 3. EU 일반정보보호규정 (General Data Protection Regulation) GDPR은지침 (Directive) 이아니라규정 (Regulation) 이기때문에각국정부에의한별도의이행입법이필요하지않으며, 2년간의유예기간을거쳐 2018년 5월 25일발효됨 GDPR은 173개항의전문과본문 99개의조문으로구성되어있다. 본문은총 11개장으로구성 GDPR은개인정보의처리와관련한자연인의보호및개인정보의자유로운이동에관하여규정하는것을목적으로함 GDPR은 EU 회원국의정보주체에게유상이든무상이든재화나용역을제공하는활동을처리하거나 EU 내에서의 EU 회원국정보주체의활동의모니터링과관련한활동을처리하는 EU 밖의정보콘트롤러나프로세서에게도적용됨 GDPR이발효되면 EU 회원국의별도이행입법없이도 EU 전역에서단일법규정이적용된다. GDPR에따라회원국은개인정보관련민원을접수및처리하고행정제재를과하기위한독립된감독기구 (Supervisory Authority) 를설치하게되며, 각회원국의감독기구는다른감독기구와상호지원및공동활동을수행하면서협력 기존의제29조작업반 (Article 29 Working Party) 을대체하는유럽정보보호위원회 (European Data Protection Board (EDPB), GDPR 제68조 ) 가각감독기구를조정하는역할을수행 GDPR의개인정보보호수준의강화의주요수단중의하나는동의요건을강화한것이다. GDPR 에따른유효한동의는수집되는개인정보가이용되는목적에대한명시적인동의이어야함 GDPR은정보주체의권리를강화하면서특히삭제권 ( 잊힐권리, right to be forgotten) 을규정. 잊힐권리란정보주체가개인정보처리에대한동의를철회하고더이상합법적인처리근거가없는경우와같은일정상황하에서정보주체가콘트롤러에서부당한지체없이해당정보를삭제할것을요구할수있도록권리로서인정한것임 GDPR은개인정보를다른콘트롤러에게쉽게이전할수있는형태로개인정보를반환받을수있는권리를인정함으로써소위 정보이동성 (data portability) 을보장 GDPR은국경간개인정보의이전을규율하면서, 국외이전허용근거로서적절성결정 (adequacy decision), 적절성결정이없는경우적절한안전조치 (appropriate safeguards) 에의한이전, 구속력있는기업규칙 (binding corporate rules) 에따른이전을규정. 제46조하에서인정되는적절한안전조치의예로서는 (1) 공공기관간의법적으로구속력있고집행가능한법률문서, (2) 제47조에따른구속력있는기업규칙, (3) 집행위원회가채택한표준정보보호조항, (4) 감독기구가채택하고집행위원회가승인한표준정보보호조항, (5) 제3국에서적절한세이프가드를적용하는콘트롤러나프로세서의구속력있고집행가능한약정과함께제40조에따른승인된행동강령, (6) 제3국에서적절한세이프가드를적용하는콘트롤러나프로세서의구속력있고집행가능한약정과함께제42조에따른승인된인증체계 (approved certification mechanism) 가있음. 인증의예로서유럽정보보호인장 (European Data Protection Seal) 이인정됨 5

6 4. 우리법제와비교와시사점 개인정보의개념 - GDPR이개인정보의개념정의를하고그해석의기준을제시한것처럼개인정보인지아닌지의판단은규범적으로이루어져야하고일반적 객관적인다양한요소를고려하여사회평균인의시각에서합리적으로판단하여개인정보의범위를확정할필요가있음 - 이러한판단기준을법률에보다명확히명시하여개인정보의판단표지내지요건으로서 식별가능성 외에 합리성 이라는요건을추가하는입법노력도바람직 익명화된정보처리의합리적허용 - 관련법률의개정을통하여중간영역에존재하는정보, 특히가명화를통하여생성된정보에대한안전조치등을통하여합법적인처리를가능하게하는형태의개선이필요 합법적 비침해적이용의보장및처리기준의원칙적인일원화 - GDPR에서규정하는것처럼공익적목적의처리사유를명문으로규정하거나 개인정보처리자의정당한이익을달성하기위하여필요한경우로서명백하게정보주체의권리보다우선하는경우 ( 이경우개인정보처리자의정당한이익과상당한관련이있고합리적인범위를초과하지아니하는경우에한한다 ) 를적극활용하여합법적 비침해적이용을최대한보장할필요가있음 - 우리개인정보보호법이나정보통신망법은개인정보의수집 이용과제공을구분하여일부다른기준을설정하고수집 제공목적이외의처리를위한기준도별도로설정하고있지만, 불가피한경우가아닌한모든처리에대하여원칙적으로동일한기준을설정할필요가있음 - 개인정보보호법령을통하여정보주체의권리를보장하려는것은결국안전한처리를통하여실현될수있고, 반대로안전한처리를하는이상개인정보처리자가개인정보를합리적으로활용할수있도록보장하는것이바람직 우리국민의실질적인개인정보보호를위한국외이전규정합리화 - GDPR은개인정보의역외이전상황에서도 EU 회원국국민의개인정보를실질적으로보호하기위하여실질적으로동일한수준의법적보호가이루어지는상황하에서는개인정보가국외로이전되어처리될수있도록다양한법적근거를마련하고있음 - 우리나라는개인정보의국외이전에제한된기준을설정하거나국내와형식적 실질적으로완전히동일한법준수를요구함으로써실제에있어서는법을형해화할가능성이존재 - 해외개인정보처리자들의우리법준수에대한유인도강화하면서, 실질적으로국외이전을통한개인정보의처리로부터우리국민들을보호하고, 나아가우리국민의개인정보가외국에서오남용되지않도록실질적으로집행가능한개인정보국외이전체계를마련할필요가있음 6

7 1. 머리말 최근몇년간개인정보를이야기하는사람들은누구나빼놓지않고언급하는것이바로 EU의 GDPR이다. GDPR의정식명칭은 개인정보의처리와관련한자연인의보호및그정보의자유로운이전과지침 95/46/EC를폐지하는 유럽의회및유럽이사회의 2016/679 규정 1 이다. 이를줄여서일반정보보호규정 (General Data Protection Regulation) 이라한다. GDPR이주목을받은이유는세계최대강대국인미국의프라이버시혹은개인정보보호흐름과대비하여 EU는다소상이한방향으로법제도적규제를설정해나가고있다는점과함께 EU 회원국전체에직접적인강제력혹은규범력을가지는규정 (regulation) 의형태로제정을추진했다는점이다. GDPR이가지는또다른의미는제 4차산업혁명으로대변되는미래정보사회가개인을둘러싼다양한정보의처리에기반을두고형성 발전될수밖에없기때문에개인정보에대한법제도적인접근은어떤식으로든미래사회의형성 발전에영향을주게되고, 미래사회의주도권을가지려는국가, 사회, 기업등은개인정보에대한법제도적인접근방식의여하에따라서큰영향을받을수있다는점이다. 특히나모든것이연결되는사물인터넷 (Internet of Things) 세상에서는빅데이터는일상화되면서개인과관련된정보의유통이나처리가방대해지게되고이러한개인정보에대한규제의정도에따라서관련산업의발전은많은영향을받게된다. 이런점에서 EU의 GDPR은전세계인터넷경제에막강한영향을미치고있는미국의글로벌기업들에게는커다란장애물로인식될수도있는반면, EU 회원국내의개인이나기업들에게는 GDPR의보호하에개인정보와관련된기본적권리를보장받거나 EU 역내시장을보호할수있는방패막이로느껴질수도있다. 그런데모든법규제는양날의칼과같아서개인정보보호를통하여정보주권을지키고개인의기본적권리를보장할수도있겠지만한편으로는사회 경제의자유로운발전을가로막고정보유통의자유가제한될수도있다. 개인정보에대한규제는이러한대립되는이익의충돌이끊임없이이루어지고있는영역이기때문에우리사회의발전과정에서어떻게효과적인규율을할것인지는해결하기쉽지않은문제이다. 이미개인정보보호에관한일반법과다양한특별법을두고있는우리나라에서도충돌하는이익의조화를위한많은논의와함께끊임없는법개선노력이이루어지고있다. 이런과정에서개인정보보호영역에서세계경제에많은영향을미치는미국과의대척점에서있다고평가받는 EU 의법제화과정과그결과물인 GDPR을살펴보는것은향후우리법제가나아가야할방향을가늠하는때에많은시사점을줄수있을것이다. 이러한인식하에이하에서는 GDPR이제정되기이전의 EU에서의개인정보보호규율을위한법제도적인노력을살펴보고, GDPR의입법과정에서의논의와최종적인 GDPR의주요규정에대한소개및분석, 이를바탕으로한우리개인정보보호법제와의비교와바람직한법제개선을위한시사점을제시하겠다. 1 REGULATION (EU) 2016/679 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation). 7

8 2. GDPR 제정이전의개인정보보호를위한 EU 의노력 2 가. CoE Convention 108 유럽평의회 (Council of Europe) 는 1981년에 개인정보의자동처리와관련한개인의보호에관한협약 (Convention for the Protection of Individuals with regards to Automatic Processing of Personal Data) 을체결하였는데, 이협약은통상 Convention 108(CETS No. 108) 이라고불린다. Convention 108은 1985년발효되었는데, 협약의가입국에게법적인구속력을가진다는측면에서주목할만하다. 이협약은이후 EU의개인정보보호의이정표가되었던 1995년 EU 정보보호지침 (EU Data Protection Directive) 의형성에중요한영향을미치기도하였다. Convention 108은 47개의유럽평의회회원국들중터키를제외한 46개국국가가비준을완료하였다. 한편으로는유럽평의회비회원국들도가입이가능하도록규정하고있는데비회원국들중에서는우루과이만이이조약에가입하고비준을완료하였다. Convention 108은협약당사국에게이협약에따른기본원칙을국내법에서반영하도록의무를부여하면서, 그러한기본원칙으로서정보의질에관한원칙, 특수유형의정보보호 ( 민감정보 ) 에관한원칙, 정보보안, 정보주체를위한부가적인세이프가드 (safeguard, 안전조치 ), 예외및제한설정시법률유보의원칙, 제재및구제등을규정하였다. 아울러국가간정보이전을보장하기위한규정도두고있다. 그러나이러한규정들은현재와같은고도의정보처리환경을고려하지못한과거의상황에기반을둔것들이었고, 규정들의주요내용들은구체적인기준을제시하기보다는추상적으로선언적내용을규정한측면이강하였다. 이러한반성에기하여유럽평의회는 Convention 108의현대화를위하여 2013년에특별위원회를설치하여개정작업을추진하고있다. 나. EU 정보보호지침 (95/46/EC) EU는회원국국민의기본권과자유를보호하고개인정보처리와관련한프라이버시권을보호하며 EU 회원국사이에서개인정보의자유로운유통을촉진하기위하여, 1995년 10월 24일 개인정보의처리와자유로운유통에관한개인정보보호지침 (Directive of the European Parliament of individuals with regard to the processing of personal data and on the free movement of such data, 2 EU 의개인정보보호규율을포함하여국제적인개인정보보호노력에대하여는 [ 부록 ] 개인정보보호를위한국제적인법제발전 과정 참조. 최경진, 정보법 - 과거와현재 개인정보분야를중심으로, 한국정보법학회 20 주년기념세미나및총회자료집, 2016 에서발췌. 8

9 95/46/EC) 을채택하였다. 3 이지침은회원국에대한법률의제 개정을촉구하면서, 독립된감독기구의의무적설치및자국민의개인정보보호와관련하여 EU 수준으로적절하게개인정보를보호하지않는국가에대하여개인정보의이전을금지하는내용등을담고있다. 주요내용을보면, EU 정보보호지침은개인정보수집및처리를위한원칙으로서 (a) 공정하고적법한처리, (b) 수집목적의특정성과정당성, (c) 수집및처리의목적관련성, (d) 최신정보의유지를위한합리적인조치, (e) 개인정보보관의방식과시간의적절성등의기준을설정하고있다 ( 제6조 ). 이러한원칙은최근입법된 GDPR의개인정보처리기준에서도그대로따르고있다. EU 정보보호지침이콘트롤러 (controller) 의개인정보처리를적법하게하는인정하는경우로서는 (a) 정보주체의명백한 (unambiguous) 동의가있는경우, (b) 정보주체가당사자인계약의이행에필요한경우, (c) 콘트롤러의법적의무준수에필요한경우, (d) 정보주체의중대한이익의보호에필요한경우, (e) 공공의이익을위해필요한경우등을규정하고있다 ( 제7조 ). 또한특별한보호대상으로서민족또는인종적기원, 정치적의견, 종교또는철학적신념, 노동조합회원자격을드러내는개인정보, 건강또는성생활에대한개인정보와같은민감정보에대한처리는원칙적으로금지한다. 다만, 예외적으로정보주체가명시적 (explicit) 동의를하는등의경우에는개인정보의처리가가능하도록하였다. 한편, 개인정보의국가간이전의경우에 EU 회원국에서비회원국으로개인정보를이전하려고하는경우, 원칙적으로그비회원국이적절한 (adequate) 수준의개인정보보호를보장할경우에만그국외이전이가능하도록규정하였다. 이처럼적절성평가기준을충족해야하는것이기본원칙이지만, 적절성평가기준에미달하더라도 구속력있는기업규칙 (Binding Corporate Rules, BCRs)' 등에따라 EU 회원국들의국민의개인정보를자유롭게 EU회원국외로이전할수있는예외가인정된다. 그러나이러한 EU 정보보호지침은지침에불과하고각회원국의입법을통하여비로소구속력을가진다는한계를가지고있어서 EU 회원국전체에공통적으로적용되는규범의필요성이논의되었다. 다. US-EU Safe Harbor Framework 미국은 EU 정보보호지침이정하는제 3 국으로의정보이전에관한적절성기준을만족시키기위해 EU 와의사이에서 Safe Harbor 원칙을설정하여, 이원칙을준수하는미국기업은 EU 정보보호지침에따 3 EU 정보보호지침이후에온라인영역에대한개인정보보호에대한보충적인규범으로서 전자프라이버시지침 (Directive 2002/58/EC of the European Parliament and of the Council of 12 July 2002 concerning the processing of personal data and the protection of privacy in the electronic communications sector (Directive on privacy and electronic communications)) 이 2002년제정되었고, 동지침은 2009년개정되었다. 주요내용으로서전송정보의파기및익명처리의무부과, 발신자번호 접속자번호의표시및표시제한, 부가서비스제공목적의위치정보이용의제한, 원치않는광고성정보전송의제한등다양한개인정보규율을담고있다. 2009년개정지침에서는스팸 (spam) 형태의전송이나쿠키와같은추적 (tracking) 기술을적용하는경우까지포함하여, 온라인영역에서개인정보를자동으로수집하는경우에원칙적으로정보주체의사전동의 (opt-in) 를요구하도록규정하였다. 9

10 른적절성을충족하는것으로보아 EU와의사이에서개인정보의국가간이전을허용하고자 US-EU Safe Harbor Framework을추진하였다. 미국과 EU간의 Safe Harbor 원칙에따르면, 미국의기업이나단체가자발적으로세이프하버원칙을준수하겠다고미국상무부에신고할경우적절한개인정보보호조치를강구하고있는것으로간주하여 EU로부터정보이전을계속해서받을수있다. Safe Harbor 원칙은고지 (Notice: 수집되는정보가어떻게쓰일것인지에대해정보주체에게알릴의무 ), 선택 (Choice: 이전에대해 opt-out할기회부여 ), 이전 (Onward Transfer: 적절한정보보호원칙을따르는기관에만이전가능 ), 접근 (Access: 정보에대한접근권, 정정권, 삭제권 ), 안전성 (Security: 분실을막기위한합리적인노력의무 ), 정보의무결성 (Data Integrity: 수집한정보는수집목적에관련되고신뢰할만한것이어야함 ), 집행 (Enforcement: 원칙을집행할효과적인수단이있어야함 ) 에관한총 7 개의원칙으로구성되어있다. 그러나 유럽사법재판소판결에의하여 US-EU Safe Harbor Framework가무효화되면서새롭게 EU-US Privacy Shield가추진되었다. 라. EU-US Privacy Shield Framework 유럽사법재판소의무효판결이후 EU집행위원회와미국정부사이에기존의 Safe Harbor를대체하는새로운개인정보의국가간이전체제에대하여정치적합의가도출되었다. 4 이합의에근거해서 EU집행위원회는 Privacy Shield의초안을작성한후다양한의견수렴을위하여초안을공개했다. 5 이공개후 EU Working Party 29는 Privacy Shield에대한의견서를제출했고, EU정보보호감독기구 (European Data Protection Supervisor) 도관련의견을공개했다. 이외에도유럽의회 (European Parliament) 가 Privacy Shield ( 안 ) 에대한결의 (resolution) 절차를거치게되었다. 이와같은기관들에서의의견들을반영하여 Privacy Shield의초안에대한수정작업을거친후이수정안에대해서미국정부와의합의과정도완료되었다. 그후 EU집행위원회는 Privacy Shield의최종안을확정했다. Privacy Shield의기본적인체계는기존의 Safe Harbor와유사하다. 즉, Privacy Shield도자율인증 (self-certify) 체제로운영된다. 미국에기반을둔조직들이 Privacy Shield 체제에가입하기위해서는미국상무부 (Department of Commerce) 에신청을해서자율인증절차를거쳐야한다. 6 Privacy Shield에의가입자체는기업들의자율적판단에기반을두고있지만, 일단해당기업이자율인증을해서 Privacy Shield 체제의원칙들을준수할것을공표를한이후에는미국의국내법에의해서이런준수에대해집행을강제할수있다. 그러나 Privacy Shield의세부적인원칙들은기존의 Safe Harbor 제 4 EU-U.S. Privacy Shield(IP/16/216). 5 European Commission, < (last visited November 30, 2016) 6 Department of Commerce, (last visited November 30, 2016) 10

11 도와비교해서정보주체의권리를확대하고정보보호를강화하는방향으로제정되었다. 정보를관리하는기업들에게더강한의무를부과하면서, Privacy Shield 체제에가입한기업들이 Privacy Shield 원칙을준수하지않을경우에는제재조치를받게되고동시에 Privacy Shield 명단에서삭제가된다. 특히제3자로의개인정보의재이전 (onward transfer) 요건들을엄격하게하였다. 또한 EU와미국사이에논란이되었던 EU 회원국국민의개인정보에대한미국정보기관의접근을규율하기위하여미국정부가정보에접근할경우에명확한안전장치를제공하고투명성의무를이행할것을제시하였다. 더나아가 EU 회원국국민들이개인정보침해로인한구제를받을수있도록하였으며, 특히미국상무부내에옴부즈맨 (ombudsman) 제도를도입해서 EU 회원국국민에대한정보활동 (national intelligence) 영역에서의보상또는구제제도를설치했다. 7 마. 개인정보보호를둘러싼주요판결 유럽사법재판소는개인정보보호를위한많은판결을내렸지만, 특히그중에서도개인정보보호에있어 서큰영향을미친전환점이된 2 개의판결이있다. 하나는잊힐권리 (right to be forgotten) 와관련된 것이고다른하나는미국과 EU 사이의 Safe Harbor 협정에관한것이었다. 1) 구글사건판결스페인변호사인곤잘레스와구글사이에서소위 잊힐권리 (right to be forgotten) 8 를둘러싸고벌어진소송에서유럽사법재판소는 EU 정보보호지침에따라서정보주체와개인적으로관련된해당정보가정보주체의이름과연계한검색결과에서더이상그이름과연결되지말아야한다는권리를정보주체가보유하는가를검토하여야한다고판시하였다. 반면, 검색결과에해당정보가포함됨으로써정보주체에게해가되는지를판단할필요는없다고하였다. 유럽연합기본권헌장제7조및제8조에따른기본권적측면에서정보주체는해당정보가검색결과에포함되어더이상일반에공개되지않도록요청할수있기때문에원칙적으로정보주체의그러한권리는검색엔진운영자의경제적이익만존재하는경우에는그보다우월하며, 정보주체의이름과관련한검색에나타나는정보에접근할일반공중의이익보다도앞선다는것이다. 다만, 특별한경우로서예를들면, 정보주체의공인으로서의역할과같이검색결과에포함되어일반에공개되는정보에접근하는공중의우월한이익에의해서정보주체의기본권에대한간섭이정당화되는경우에는예외가인정된다고한다. 결과적으로유럽사법재판소는, 정보주체의이름과사회보장채무집행을위한압류소송과관련된부동산 7 European Commission, 'Guide to the Privacy Shield'(pdf) (2016). 8 Case C-131/12, Google Spain SL, Google Inc. v Agencia Espanola de Proteccion de Datos (AEPD), Mario Costeja Gonzalez (May 13, 2014). 11

12 경매가언급된일간신문의온라인기사페이지로의링크가검색결과에나타난본사건에서, 해당정보가최초로공개된것이 16년전이었고그에포함된정보의사생활에대한민감성을고려할때에정보주체는검색결과에의하여해당정보가자신의이름과더이상연결되지않도록할권리를가진다고판단하였다. 이판결은이후 GDPR에서의삭제권혹은잊힐권리를규정하는데에도큰영향을미쳤다. 2) 페이스북사건판결 2008년부터페이스북 (Facebook) 이용자였던 Maximillian Schrems이라는오스트리아시민이페이스북에제공했던개인정보가페이스북아일랜드자회사로부터미국에있는서버로이전되어처리되었는데, 미국정보기관 (NSA) 가미국스노든사건에서드러난사실관계를바탕으로미국의법과실무가미국으로이전된정보의공적기관에의한감시에대한충분한보호를제공하지못한다고주장하면서아일랜드정보보호청에청원을제기하였다. 아일랜드감독기구는 2000년 7월 26일 EU 위원회가미국상부부와적절한보호수준을제공하기위한자발적인체계를구축하기위하여세이프하버협정 9 을체결하여시행되고있다는점을근거로그청원을거부하였다. 이세이프하버협정에의하여소송당시까지 4,000개이상의미국기업들이 EU로부터미국으로개인정보를이전할수있었다. 그런데 유럽사법재판소가지난 15년가까이유지해온세이프하버협정을무효화하는판결을선고한것이다. 10 판결의핵심내용은 EU 정보보호지침하에서요구되는적절한개인정보보호수준이세이프하버체계하에서충족되지못한다는것이다. 그이유는미국정보기관에의하여미국으로전송되는 EU 회원국국민의개인정보에대한접근이특히세이프하버협정에대한문언적검토에비추어세이프하버협정이엄격하게필수적이고필요한범위를초과하여미국집행당국의개인정보에대한접근을허용한다는점에서유럽기본권헌장에의하여보장되는사생활의자유와권리및개인정보보호에대한권리를침해한다는것이고, 미국의감청이나감시와관련하여유럽시민이질의하는경우에적절한회신을받을수없는상황은유럽기본권헌장에의하여보호되는효과적인침해제거및구제에대한유럽시민의권리가침해되는것에상응한다는것이다. 이판결은 GDPR과함께미국과 EU 사이에새로운 Privacy Shield 타결의전기가되었다 /520/EC: Commission Decision of 26 July 2000 pursuant to Directive 95/46/EC of the European Parliament and of the Council. 10 C-362/14, Maximillian Schrems v Data Protection Commissioner. 12

13 3. EU 일반정보보호규정 (General Data Protection Regulation) 가. GDPR 입법과정 EU는회원국국민의기본권과자유를보호하고개인정보처리와관련한프라이버시권을보호하며 EU 회원국간의개인정보의자유로운유통을촉진하기위하여 1995년 10월 24일 EU 정보보호지침을제정하였다. 이러한 EU 정보보호지침이현재까지 EU 역내에서개인정보의처리에관한중요한지침으로작용하고있지만, EU 회원국에대하여직접적인강제력을가지거나직접적용될수없는지침 (directive) 의형태로되어있어서각국은국내법에따라서로상이한보호수준을채택하여회원국간불균형이발생하였다. 또한인터넷을통한개인정보의유통으로부터개인을보호할필요성도더욱강조되었다. 결국, 인터넷상에서의개인정보처리의중요성및 EU 회원국내의단일한규율체계정비의필요성등을바탕으로하여 2011년 7월 6일유럽의회 (European Parliament) 가 유럽연합에서의개인정보보호에관한종합적접근 을의결하면서입법이가시화되기시작하였다. 11 이후 EU 역내의강화된단일개인정보보호입법을목표로 2012년 1월 25일에 GDPR 초안및 형사범죄의예방, 수사, 기소또는형집행및그정보의자유로운이동을위한관할관청에의한개인정보의처리와관련한개인의보호에관한유럽의회및유럽이사회지침안 (Proposal for a DIRECTIVE OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on the protection of individuals with regard to the processing of personal data by competent authorities for the purposes of prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, and the free movement of such data) 이발표되면서입법이구체화되었다. EU 차원의개인정보보호를위한입법노력은 1995년 EU가 EU 정보보호지침을제정한이후 16년여만이다. 더욱이이번발표에서주목할만한점은지침의전면개정에머무르지않고 EU 회원국의국내에직접법적효과가발생하는 Regulation 의형태로추진된다는점이다. EU 법체계하에서 Regulation 은 EU 전체에직접적용되는매우강력한규범이고, Regulation 이발효되면회원국의국내법에우선하여적용된다. 따라서회원국은국내법을 EU 규정에일치시키는입법을하거나기존법을개정하여야한다. 규정안이발효되려면 27개회원국정부대표로구성된유럽이사회와유럽의회의승인을받아야한다. 최초 GDPR 초안이제안되었을때에는 2014년발효를목표로하였지만, 2013년에유럽의회를통과할때까지 4,000개이상의수정안및수정의견이제시되었을정도로많은논란과논의가진행되어실제입법이완료될때까지많은어려움이있을것으로예상되었다. 그런데스노든 (Edward Snowden) 사건을전기로하여 EU 역외, 특히외국국가기관에의하여처리되는 EU 회원국국민의개인정보보 11 European Parliament resolution of 6 July 2011 on a comprehensive approach on personal data protection in the European Union(2011/2025(INI))

14 호의강화논의가촉발되었고결국 2013년 10월 22일에유럽의회를통과하였다. 그리고 2014년유럽선거이전에최종통과를목표로하였지만, 2013년 10월 25일에유럽이사회는최종기한을 2014 년이아닌 2015년으로수정하여향후일정을최종확정하였다. 12 이후 2016년 4월 27일에당초제안되었던규정안과지침안이 GDPR 및 형사범죄의예방, 수사, 기소또는형집행을위한관할관청에의한개인정보의처리와관련한자연인의보호및그정보의자유로운이동에관한유럽의회및유럽이사회지침 (Directive (EU) 2016/680 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data by competent authorities for the purposes of the prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, and on the free movement of such data, and repealing Council Framework Decision 2008/977/JHA) 으로각각입법되었다. GDPR은지침 (Directive) 이아니라규정 (Regulation) 이기때문에각국정부에의한별도의이행입법이필요하지않으며, 2년간의유예기간을거쳐 2018년 5월 25일발효된다. 나. GDPR 초안 1) GDPR 초안의목적 GDPR 초안은개인정보의처리와관련된개인의보호및개인정보의자유로운이동에관하여규율함을목표로하였다 ( 제1조제1항 ). GDPR 초안은자연인의기본적권리와자유, 특히개인정보보호에대한권리를보호한다 ( 제1조제2항 ). 또한개인정보의처리와관련하여개인의보호를이유로유럽연합내에서의개인정보의자유로운이동이제한되거나금지되어서는안된다고선언하고있다 ( 제1조제3항 ). 2) 적용범위 1 물적범위 GDPR 초안은개인정보파일링시스템 (filling system) 의개념을활용하여파일링시스템의일부이거나일부를이룰의도가있는개인정보에대하여적용되며, 자동화여부는불문한다 ( 제2조제1 항 ). 다만, (a) 유럽연합법률의범위를벗어나는, 특히국가안보와관련된활동과정에서이루어진개인정보처리의경우, (b) 유럽연합기관, 기구, 관청등에의한처리, (c) 유럽연합조약 (Treaty on European Union) 제2장의범위를벗어나는활동을하는회원국에의한처리, (d) 개인적활동또는가정활동과정에서영리목적이아닌자연인에의한처리, (e) 범죄행위의예방, 조사, 수사, 기소또는형사처벌의집행을위한주무기관에의한처리에대하여는적용되지않는다 ( 제2조제2항 ). 아울 12 EUCO 169/13. 14

15 러 역내시장에서정보사회서비스, 특히전자상거래의법적측면에관한유럽의회및이사회지침 ( 전자상거래지침 )(Directive 2000/31/EC of the European Parliament and of the Council of 8 June 2000 on certain legal aspects of information society services, in particular electronic commerce, in the Internal Market ('Directive on electronic commerce')) 제12조부터 15조까지에서규정된매개적서비스제공자 (intermediary service provider) 의책임에관한규정의적용을배제하지않아야한다 ( 제2조제3항 ). 2 장소적범위기본적으로 GDPR 초안은유럽연합내의콘트롤러 (controller) 나프로세서 (processor) 의활동에따른개인정보의처리에적용된다 ( 제3조제1항 ). 그러나유럽연합내에설립되지않은콘트롤러라고하더라도유럽연합내에거주하는정보주체의개인정보를처리하는경우에는 GDPR 초안이적용된다 ( 제3조제2항 ). 즉, (a) 유럽연합내에서이들정보주체에게재화나용역을제공하는경우나 (b) 정보주체의행동을감시 (monitoring) 하는경우에는 GDPR 초안이적용된다. 나아가유럽연합내에설립되지않았더라도국제사법에의해회원국의국내법이적용되는곳에설립된콘트롤러의개인정보처리에도적용된다 ( 제3조제3항 ). 3) 개인정보처리의기준 1 기본원칙 GDPR 초안은 6가지개인정보처리의기준을선언하였다 ( 제5조 ). 즉, (a) 정보주체와관련하여합법적으로, 공정하게그리고투명한방식으로처리되어야한다. (b) 구체적, 명시적, 합법적목적을위해수집되어야하고, 이러한목적에배치되게처리되어서는안된다. (c) 처리되는목적에맞게적절하고, 타당하고, 최소한의필요에맞게제한되어야하며, 개인정보를포함하고있지않은정보를처리함으로써목적이충족될수없는경우에만처리되어야한다. (d) 정확하고최신정보여야하며, 처리되는목적과관련하여부정확한개인정보를즉시삭제하거나수정한다는것을보증하기위해적절한조치가취해져야한다. (e) 개인정보가처리되는목적을위하여필요한범위내에서정보주체가확인할수있는형태로보관되어야한다. 한편, 개인정보는제83조의규정에따라역사, 통계, 과학연구목적으로만처리되어야할때에는개인정보의계속보관의필요성을정기적으로평가하는한더오랜기간동안보관될수있다. (f) GDPR 초안의준수를보증하고증명하여야하는콘트롤러의책임하에개인정보는처리되어야한다. 2 처리의적법성 개인정보의처리는 (a) 정보주체가하나이상의구체적인목적을위해자신의개인정보처리에동의 를하는경우, (b) 정보주체가계약당사자인계약의이행을위해또는계약체결전정보주체의요청 15

16 에따라조치를취하기위해개인정보처리가필요한경우, (c) 콘트롤러가법적의무를준수하기위하여필요한경우, (d) 정보주체의주요이익을보호하기위해필요한경우, (e) 공공의이익을위해필요하거나또는콘트롤러에게부여된공적권한의행사를위해필요한경우, (f) 개인정보의보호가필요한정보주체, 특히정보주체가어린이인경우로서그정보주체의이익또는기본적권리와자유가우선되는때를제외하고, 콘트롤러가추구하는적법한이익의목적에부합하는경우 ( 공공기관이그업무의수행과정에서개인정보를처리하는경우에는적용되지않음 ) 에는적법하다 ( 제6조제2 항 ). (c) 와 (e) 에따라처리하는경우에근거가되는법은유럽연합이나각회원국의법을의미한다 ( 제 6조제3항 ). 한편, 역사, 통계, 과학연구목적으로개인정보의처리가필요한경우제83조에서규정한조건및세이프가드 (safeguards) 에따라개인정보를처리하는경우에는적법하다 ( 제6조제2항 ). 3 동의요건콘트롤러는정보주체의동의에대한입증책임을부담한다 ( 제7조제1항 ). 다른사항과함께동의가요구될때에는동의요건은다른사항으로부터외관상구분될수있도록제시되어야한다 ( 제7조제2 항 ). 정보주체는자신의동의를언제든지철회할수있으며, 동의의철회로인해서철회전동의에기초하여처리한사항의적법성이영향을받지않는다 ( 제7조제3항 ). 정보주체와콘트롤러사이에서심각한불일치가존재하는경우에는동의를처리에대한법적기초로삼을수없다 ( 제7조제4항 ). 4 아동의개인정보의처리 GDPR 초안에의하면, 13세미만아동의개인정보처리는아동의부모나보호자가동의하거나승인하는경우에만적법하다 ( 제8조제1항 ). 콘트롤러는적용가능한기술을고려하여, 입증할수있는동의를얻기위한합리적인노력을해야한다 ( 제8조제1항 ). 다만, 이러한규정이아동과관련된계약의유효성, 성립, 효과등에대하여규정하는회원국의일반계약법에는영향을미치지않는다 ( 제8조제2항 ). 5 특별한범주의개인정보처리소위 민감정보 (sensitive data) 라고불리는특별한범주의개인정보의범위를유전정보나형사판결또는보안처분관련정보까지확대하여원칙적으로그러한정보의처리를금지하고있다. 즉, 인종, 출신민족, 정치적견해, 종교및신념, 노동조합가입여부, 유전정보, 건강이나성생활정보, 형사판결또는보안처분과관련된개인정보의처리는금지된다 ( 제9조제1항 ). 다만, 정보주체가동의한경우, 법률에따른권리의행사와의무의이행을위하여필요한경우, 정보주체가물리적또는법률적으로동의를할수없는경우로서정보주체나제3자의중요한이익을보호하기위해필요한경우, 정보주체가명백히공개한개인정보를처리하는경우등일정한예외가인정된다 ( 제9조제2항 ). 16

17 4) 정보주체의권리기존의 EU 정보보호지침은정보주체의권리에관하여접근권 ( 제12조 ), 거부권 ( 제14조 ), 자동화된결정에대한거부권 ( 제15조 ) 만을규정하였지만, GDPR 초안은정보주체의권리를하나의장으로편성하여일반적측면에서투명성 ( 제11조 ) 을선언하고, 정보주체의권리를실행할절차와체계 ( 제12 조 ) 및콘트롤러로부터개인정보를제공받은자와관련한권리 ( 제13조 ) 를규정한후, 개별적권리로서콘트롤러의정보제공의무 ( 제14조 ), 접근권 ( 제15조 ), 정정권 ( 제16조 ), 잊힐권리및삭제권 ( 제17 조 ), 정보이동성에관한권리 ( 제18조 ), 거부권 ( 제19조 ), 프로파일링 (profiling) 과관련된권리 ( 제20 조 ) 를규정하여정보주체의권리를대폭강화하였다. 이하에서는주요사항을간략하게소개한다. 1 투명성콘트롤러는개인정보의처리와관련하여그리고정보주체의권리행사를위해, 투명하고쉽게접근할수있는정책을갖추어야한다 ( 제11조제1항 ). 콘트롤러는개인정보의처리와관련된정보, 특히아동에게전달되는정보의경우에해당정보주체에게적합하게명확한보통어를사용하여알기쉬운형태로정보를제공하거나의사소통하여야한다 ( 제11조제2항 ). 2 정보주체의권리행사를위한절차및체계콘트롤러는정보주체의권리행사를위한절차를정하여야하며, 개인정보가자동화된수단에의해처리되는경우에는콘트롤러는요청이전자적으로처리될수있는수단을제공해야한다 ( 제12조제 1항 ). 콘트롤러는요청을받은날로부터 1개월이내에지체없이정보주체에게조치여부를알려야한다 ( 제12조제2항 ). 콘트롤러가정보주체가요청한조치를거절하는경우, 이와관련하여콘트롤러는거절사유와함께감독기관에민원을제출하는방법이나법률적으로구제받을수있는방법을정보주체에게알려야한다 ( 제12조제3항 ). 정보주체의요청에따른정보제공및조치는무료로제공되어야하지만, 요청이명백하게과도한경우, 특히계속반복되는경우에콘트롤러는요청받은정보제공이나조치에대해수수료를부과하거나요청받은조치를취하지않을수있다 ( 제12조제4항 ). 다만, 콘트롤러는요청이명백히과도하다는것을입증할책임을부담해야한다. 3 정보제공의무콘트롤러가개인정보수집시정보주체에게제공하여야하는정보는콘트롤러및콘트롤러의대리인및정보보호책임자 (data protection officer) 의신원및상세연락처, 개인정보의처리목적, 개인정보의보관기간, 정보주체와관련된개인정보의접근및수정또는삭제를요청하거나이러한개인정보의처리를반대할수있는권리의존재여부, 감독기관에게불만사항을제기할수있는권리와감독기관의상세연락처정보, 개인정보를제공받는제3자또는범주, 개인정보의국외이전, 개인정보가수집되는특수한상황과관련하여정보주체와관련된개인정보의공정한처리를보증하기위 17

18 해필요한추가정보이다 ( 제14조제1항 ). 한편, 개인정보가정보주체로부터수집되지않는경우콘트롤러는기본적인제공정보외에개인정보를어디에서수집하였는지를정보주체에게알려야한다 ( 제14조제3항 ). 그러나이와같은정보제공의무는 (a) 정보주체가이미해당정보를가지고있는경우, (b) 개인정보가정보주체로부터수집되지않은경우로서그러한정보의제공이불가능하거나불필요한경우, (c) 개인정보가정보주체로부터수집되지않은경우로서법률에서기록이나공개를규정하는경우, (d) 개인정보가정보주체로부터수집되지않은경우로서그러한정보의제공이제21조에따른유럽연합또는회원국법률에서규정한제3자의권리나자유를해치는경우에는적용되지않는다 ( 제14조제5항 ). 4 잊힐권리및삭제권 GDPR 초안의내용중에서국제적으로큰반향을불러일으킨사항이제17조에규정된잊힐권리이다. 13 이에의하면, 정보주체는콘트롤러를상대로자신과관련된개인정보의삭제권및확산중지권 (abstention from further dissemination) 을보유한다 ( 제17조제1항 ). 특히, 아동인정보주체의개인정보에대하여그러한권리가보장되어야한다. 다만, 이러한권리가인정되기위해서는 (a) 해당개인정보가수집되거나처리되는목적에더이상부합하지않는경우, (b) 해당개인정보를처리할수있는법적근거가없는경우로서제6조제1항 (a) 에따라이루어지는처리에대한동의를철회하거나동의한보관기간이만료된경우, (c) 정보주체가제19조에따라해당개인정보의처리에반대하는경우, (d) 다른이유로인하여해당개인정보의처리가 GDPR( 안 ) 을준수하지못하는경우이어야한다 ( 제17조제1항 ). 이처럼잊힐권리가인정되면콘트롤러는개인정보를지체없이 (without delay) 삭제하여야한다 ( 제17조제3항 ). 나아가 GDPR 초안은콘트롤러가개인정보를공개한경우에콘트롤러는공개에대하여책임있는개인정보와관련하여기술적조치를포함하여그개인정보를처리하는제3자에게정보주체가그들에게그개인정보의링크, 사본을삭제할것을요청한다는점을알리기위한모든합리적인조치를취하여야한다 ( 제17조제2항 ). 콘트롤러가제3자에게개인정보의공개를허용하였다면, 그콘트롤러는그공개에대하여책임있는것으로보아야한다 ( 제17조제2항 ). 그러나잊힐권리에대한예외도인정된다. 즉, (a) 제80조에따라표현의자유에대한권리를행사하는경우, (b) 제81조에따라공공보건부문에서공익을위한경우, (c) 제83조에따라역사, 통계, 과학연구목적으로필요한경우, (d) 유럽연합또는콘트롤러가속한회원국의법률에의해개인정보를보관해야하는법적의무를준수해야하는경우 ( 이경우에회원국법률은공공의이익을위한목 13 잊힐권리는 GDPR 초안에서상세히규정하고있고, 우리나라를비롯한각국에서많은논란을불러일으킨사항이지만, 이글에서는 지면의한계로인하여간략하게주요내용만을소개한다. 잊힐권리의상세한내용과우리법과의비교에대하여는최경진, 잊혀질 권리 - 개인정보관점에서, 정보법학제 16 권제 2 호, 2012, 면. 18

19 적을충족하고, 개인정보의보호를위한권리를존중하고, 추구하는합법적목적에적합해야한다 ), (e) 제 17 조제 4 항에따라콘트롤러가개인정보의처리를제한해야하는경우에는예외적으로개인 정보를보유할수있다 ( 제 17 조제 3 항 ). 5 정보이동성에관한권리개인정보가전자적수단및구조화되고일반적으로이용되는형식으로처리되는경우에정보주체는일반적으로이용되고추후에정보주체가이용할수있는전자적이고구조화된형식으로처리되고있는정보의사본을얻을권리를가진다 ( 제18조제1항 ). 6 거부권콘트롤러가정보주체의이익이나기본적권리와자유에우선하는적법한처리근거를제시하지않는한, 정보주체는자신의특정한상황과관련된기준에따라언제든지제6조 (1) 항의 (d), (e) 및 (f) 에서규정한개인정보의처리에를거부할수있는권리를갖는다 ( 제19조제1항 ). 개인정보가다이렉트마케팅 (direct marketing) 을위해처리되는경우에정보주체는무료로자신의개인정보가이러한마케팅을위해처리되는것에반대할권리를가지며, 이러한권리는이해하기쉬운방식으로정보주체에게분명하게제공되어야하고다른정보와뚜렷이구별되어야한다 ( 제19조제2항 ). 이처럼거부또는반대가인정되는경우에콘트롤러는해당개인정보를더이상이용또는처리할수없다 ( 제 19조제3항 ). 7 프로파일링과관련된권리 GDPR 초안은최근의새로운트렌드인빅데이터 (Big Data) 를고려하여프로파일링과관련된규정을두고있다. 즉, 자연인과관련된개인적측면을평가하거나특히업무, 경제적상황, 지역, 건강, 개인적취향, 신뢰성또는태도에서자연인의행동을분석하거나예측할의도를가진자동화된처리에만기초하고자연인과관련된법적효과를야기하거나자연인에게중대한영향을미치는조치에따르지않을권리를가진다 ( 제20조제1항 ). 다만, 정보주체의적법한이익을보호해주는적합한기준이제공되거나정보주체에의한계약체결또는이행의요청이충족되는경우에계약체결또는이행과정에서처리되는경우, 정보주체의합법적이익을보장하기에적합한기준을규정한 EU 또는회원국의법률에의하여명시적으로승인되어처리되는경우, 제7조의동의요건과적합한세이프가드하에서정보주체의동의에기초하여처리되는경우에는프로파일링이예외적으로허용된다 ( 제20조제2항 ). 이러한프로파일링거부권선언과함께 GDPR 초안은자연인과관련된일정한인적특성을평가하기위한자동화된처리는제9조에규정된특정범주의개인정보에만의존하지말아야한다고하여민감정보에만기초한자동화된처리의제한을규정하였다 ( 제20조제3항 ). 동시에콘트롤러는정보제공의무의일부로서프로파일링조치에의한개인정보처리의사실및그러한처리로인하여 19

20 정보주체에게예상되는영향에관하여정보를제공하여야한다 ( 제 20 조제 4 항 ). 5) 제한 GDPR 초안은개인정보에관한권리와의무의범위를입법적조치에의하여제한할수있도록규정하였다 ( 제21조제1항 ). 다만, 그러한제한은 (a) 공공의안녕, (b) 범죄의예방, 조사, 수사, 기소, (c) 유럽연합또는회원국의공익, 특히금융, 예산, 조세문제및시장의안정을포함한유럽연합또는회원국의주요금융또는재정적이익, (d) 규제직종 (regulated professions) 의윤리위반의예방, 조사, 수사, 기소, (e) (a)~(d) 에관한공식적인권한행사와관련된감독, 조사또는규제작용, (f) 정보주체나제3자의권리및자유의보호를확보하기위하여민주사회에서필요하고적절한수단인경우이어야한다 ( 제21조제1항 ). 6) 콘트롤러와프로세서 1 Data protection by design and by default 기술수준및실행비용을고려하여, 콘트롤러는개인정보의처리수단을결정할때및개인정보를처리할때에해당처리가 GDPR 초안의요건을충족하고정보주체의권리보호를확보하는방식으로적절한기술적및관리적조치와절차 (appropriate technical and organisational measures and procedures) 를이행하여야한다 ( 제23조제1항 ). 또한콘트롤러는기본적으로 (by default) 정보의양및보관시간의양측면에서목적에필요한최소한의범위를넘어개인정보가수집되거나보유되지않도록하고, 개인정보가각각의특정한처리목적을위하여필요하도록처리되도록하기위한메커니즘을이행하여야한다 ( 제23조제2항 ). 2 공동콘트롤러콘트롤러가제3자와함께개인정보처리목적, 조건, 수단을결정하는경우, 공동콘트롤러는각각 GDPR 초안에따른의무, 특히이들사이의협정에따라정보주체의권리를행사하는데필요한절차및조치에대한의무를준수해야하는책임을가진다 ( 제24조 ). 3 유럽연합내에설립되지않은콘트롤러의대리인유럽연합내에설립되지않은콘트롤러가제3조제2항을적용받는경우에해당콘트롤러는유럽연합내에대리인을지정해야한다 ( 제25조제1항 ). 다만, (a) 제41조에따라적절한보호수준을보증한다고집행위원회가결정한제3국에설립된콘트롤러, (b) 250명미만의직원을고용한기업, (c) 공공기관또는단체, (d) 유럽연합에거주하는정보주체에게간헐적으로만재화또는용역을제공하는콘트롤러의경우에는예외이다 ( 제25조제2항 ). 20

21 4 콘트롤러및프로세서의감독하에서의처리 콘트롤러나개인정보에접근할수있는프로세서의감독에따르는프로세서나사람은유럽연합또 는회원국법률에서요구하지않는한콘트롤러의지시없이처리할수없다 ( 제 27 조 ). 5 문서보관의무모든콘트롤러와프로세서그리고해당되는경우콘트롤러의대리인은자신이책임을지고있는모든처리과정을문서화하여보관해야한다. 이문서에는최소한다음의정보가포함되어야한다. 즉, (a) 콘트롤러, 또는공동콘트롤러, 또는프로세서, 그리고해당되는경우대리인의이름과상세연락처, (b) 해당되는경우, 정보보호책임자의이름과상세연락처, (c) 제6조제1항 (f) 에의해처리되는경우, 콘트롤러가추구하는적법한이익을포함한처리의목적, (d) 정보주체의범주및이들과관련된개인정보의범주에대한설명, (e) 적법한이익을위해개인정보가공개되는콘트롤러를포함하여개인정보를제공받는자또는범주, (f) 해당되는경우, 제3국또는국제기관에대한정보를포함한제3국또는국제기관으로의정보의이전, 제44조제1항 (h) 에서규정한이전인경우적절한세이프가드의문서화, (g) 다양한범주의정보삭제에대한시간제한의표시, (h) 제22조 (3) 항에서규정한메커니즘에대한설명이포함되어야한다 ( 제28조제1항 ). 이상과같은문서보관의무는 (a) 상업적이익을추구하지않고개인정보를처리하는자연인, (b) 주된업무의부수적인활동으로만개인정보를처리하고직원수가 250명미만인기업이나단체의경우에는해당되지않는다 ( 제28조제4항 ). 7) 신고및통지 1 감독기관에대한개인정보침해의신고개인정보가침해된경우에는콘트롤러는지체없이그리고가능한경우에는이를알게된후 24시간이내에개인정보침해사실을감독기관에게신고하여야한다. 감독기관에 24시간이내에신고되지않은경우에는신고시에합당한이유를포함하여야한다 ( 제31조제1항 ). 또한프로세서는개인정보의침해가이루어진후즉시콘트롤러에게이를경고하고알려야한다 ( 제31조제2항 ). 신고해야할사항은 (a) 관련된정보주체의범주및수, 관련된정보기록의범주및수를포함한개인정보침해의특성에대한설명, (b) 정보보호책임자의신원및상세연락처그리고더많은정보를얻을수있는기타연락처, (c) 개인정보침해의부정적인효과를완화하기위해권고되는조치, (d) 개인정보침해로인해발생하는결과에대한설명, (e) 개인정보침해문제를다루기위해콘트롤러가제안한또는취한조치에대한설명이다 ( 제31조제3항 ). 2 정보주체에대한개인정보침해의통지 개인정보침해가정보주체의개인정보나프라이버시의보호에부정적인영향을미칠경우에콘트롤 21

22 러는감독기관에대한신고를한후부당한지체없이개인정보침해사실을정보주체에게알려야한 다 ( 제 32 조제 1 항 ). 8) 정보보호영향평가처리행위가그성질, 범위, 목적으로인해정보주체의권리및자유에특정위험을나타내는경우에콘트롤러또는콘트롤러를대신하여행하는프로세서는예상되는처리행위가개인정보의보호에미치는영향에대한평가를하여야한다 ( 제33조제1항 ). 9) 정보보호책임자콘트롤러와프로세서는 (a) 공공기관이나단체가처리하는경우, (b) 250명이상의직원을고용한기업이처리하는경우, (c) 콘트롤러나프로세서의핵심활동이성질, 범위, 목적에의해정보주체에대한정기적이고체계적인모니터링을필요로하는처리행위로구성되는경우에는정보보호책임자를지정해야한다 ( 제35조제1항 ). 하나의사업체집단 (group of undertakings) 은단일한정보보호책임자를지정할수있다 ( 제35조제2항 ). 콘트롤러나프로세서가공공기관이나단체인경우, 공공기관이나단체의조직구조를고려하여여러명의정보보호책임자를지정할수있다 ( 제35조제3항 ). 10) 행동강령및인증 GDPR 초안은그적용이적절하게이루어지도록하기위하여회원국, 감독기관및집행위원회가행동강령 (code of conduct) 의제정을장려하도록규정하고있다 ( 제38조 ). 한편, 회원국과집행위원회는특히유럽차원에서콘트롤러와프로세서가제공한정보보호수준을신속하게평가할수있도록정보보호인증체계와정보보호인장 (seal) 및마크 (mark) 를사용하도록장려해야한다 ( 제39조제1항 ). 집행위원회는인증체계와정보보호인장및마크를장려하고인정하기위해, 인증체계와정보보호인장및마크에대한기술적표준을정할수있다 ( 제39조 ). 11) 개인정보의역외이전 기존에 EU 정보보호지침에서 2 개의조문으로규율하던개인정보역외이전에대하여 GDPR 초안에 서는보다구체적으로규정하여제 40 조부터제 45 조까지상세한규정을두고있다. 1 역외이전의일반원칙 GDPR 초안제40조는역외이전을위한일반원칙을규정하고있다. 즉, 제3국이나국제기관에서다른제3국이나다른국제기관으로의향후이전을포함하여, 제3국이나국제기관으로이전된후처리되고있거나처리될예정인개인정보의이전은 GDPR 초안에서의다른조항과함께본장에서규정된요건을콘트롤러가충족하는경우에가능하다 ( 제40조 ). 이러한원칙에따라역외이전은집행 22

23 위원회의적절성결정에따라이루어질수있고, 적절성결정이없는경우에는적절한세이프가드가 있는경우에이전이가능하다 ( 제 42 조 ). 2 적절성결정에의한이전 GDPR 초안집행위원회의적절성결정에따른이전을규정한다. 즉, EU 집행위원회가제3국, 제3국의영토또는처리부문, 국제기관등이적절한수준의보호를보증하고있다고판단하는경우이전이가능하다 ( 제41조제1항 ). 이러한이전에추가적인승인은필요하지는않다. 이처럼 EU집행위원회가보호수준의적절성을평가할때에는다음요소에대해고려해야한다. 즉, (a) 법률규정, 일반적으로또는부문별로시행중인공공의안녕, 국방, 국가안보, 형법등과관련된것을포함한관련법률, 해당국가또는해당국제기관에서준수해야하는관련법률및보안조치, 정보주체, 특히개인정보가이전되는유럽연합에거주하는정보주체에대한효과적인행정및사법적시정을포함한효과적이고도실행가능한권리, (b) 정보보호규정의준수, 권리행사하는정보주체에대한지원및통지, 유럽연합및회원국감독기관과의협력등에책임이있는하나이상의제3국의독립적인감독기관이나해당되는국제기관의존재및효율적역할, (c) 해당되는제3국이나국제기관이체결한국제협약을고려하여야한다 ( 제41조제2항 ). EU 정보보호지침제25조제1항또는제26조제4항에기초하여집행위원회가채택한결정은집행위원회가수정, 교체, 폐기할때까지계속유효하다 ( 제41 조제8항 ). 3 적절한세이프가드에의한이전적절성결정이없는경우에는적절한세이프가드를통하여역외이전을할수있다. 적절한세이프가드로는 (a) 제43조에따른구속력있는기업규칙 (Binding Corporate Rules), (b) 집행위원회가채택한표준정보보호조항, (c) 제62조제1항 (b) 에따라집행위원회가유효하다고인정하는경우, 제 57조에서규정한일관성메커니즘 (consistency mechanism) 에따라감독기관이채택한표준정보보호조항, (d) 제4항에따라감독기관이승인한콘트롤러와정보수령인사이의계약조항을말한다. 이중 (a), (b), (c) 의표준정보보호조항이나구속력있는기업규칙에기초한이전의경우추가승인이필요하지않다. 반면, 역외이전이 (d) 의계약조항에기초하는경우, 콘트롤러는제34조제1 항 (a) 에따라감독기관으로부터계약조항에대해사전승인을받아야한다. 역외이전이상대방회원국이나다른회원국에거주하는정보주체와연관된처리활동과관련되거나유럽연합내에서개인정보의자유로운이전에큰영향을미치는경우, 감독기관은제57조에서규정된일관성메커니즘 (consistency mechanism) 을적용해야한다. 4 예외 이상과같은적절성결정이나적절한세이프가드가없는경우에도일정한요건하에서역외이전이 23

24 허용된다 ( 제44조 ). 즉, (a) 정보주체가정당한결정이나적절한안전조치의부재로인해발생할수있는이전의위험에대해통지를받은후제안된이전에동의하는경우, (b) 정보주체와콘트롤러사이에서의계약이행을위해또는정보주체의요청에의해취해진계약전사전조치의이행을위해이전을해야하는경우, (c) 정보주체의이익을위해콘트롤러와다른자연인또는법인사이에서체결된계약의이행을위해이전을해야하는경우, (d) 공공의이익을위해이전이필요한경우, (e) 법적소송의제기, 행사, 방어를위해이전이필요한경우, (f) 정보주체가물리적으로또는법률적으로동의를할수없는경우에정보주체또는제3자의중요한이익을보호하기위해이전이필요한경우, (g) 유럽연합이나회원국법률에따라일반대중에정보를제공하기위해그리고일반대중또는정당한이익을입증할수있는사람에의한협의를위해유럽연합이나회원국법률에서규정한조건이충족되는한도내에서공개되는등록부 (register) 로부터이전되는경우, (h) 콘트롤러가정보또는일련의정보이전행위와관련된모든상황을평가하고이러한평가에기초하여개인정보의보호를위해적절한세아프가드를제시하는경우로서콘트롤러가추구하는정당한이익의목적을위해이전되는경우에는예외적으로역외이전이허용된다 ( 제44조제1항 ). 12) 배상받을권리및책임 GDPR 초안은개인정보침해로인한손해배상책임을원칙적으로인정하면서, 공동불법행위책임과함께입증책임의전환을규정하고있다. 즉, 정보처리행위나 GDPR 초안의불이행으로인해손해를입은사람은그손해에대해콘트롤러나프로세서로부터배상을받을권리를갖고있다 ( 제77조제1 항 ). 하나이상의콘트롤러나프로세서가개인정보처리에관련된경우, 각콘트롤러나프로세서는연대하여전체손해액에대한책임을부담해야한다 ( 제77조제2항 ). 콘트롤러나프로세서가손해를발생시킨행위에대해책임이없다는것을입증하는경우, 콘트롤러나프로세서는이러한책임으로부터전체또는부분적으로면제될수있다 ( 제77조제3항 ). 13) 처벌 GDPR 초안은회원국에형사처벌을입법하도록규정하면서, 행정제재에대하여는구체적으로규정하고있다. 즉 GDPR 초안을위반한경우최대 1,000,000유로또는기업의경우에는연간전세계매출액의 2% 까지과징금을부과하도록규정하고있다. 다만, GDPR 초안을처음또는고의없이위반한경우로서다음의경우에는서면경고가주어지고, 제재는부과되지않는다. 즉, (a) 자연인이상업적이익의추구없이개인정보를처리하는경우, (b) 고용된직원의수가 250명미만인기업이나단체가주된활동에대한부수적인활동으로써개인정보를처리하는경우에는서면경고가내려진다. 24

25 다. GDPR 유럽의회수정안 유럽의회를통과한수정안의기본내용은 GDPR 초안과동일하기때문에유럽의회를통과한 GDPR 유 럽의회수정안의주요내용및수정사항을중심으로살펴보겠다. 1) 삭제권 GDPR 초안의가장큰이슈중의하나였던잊혀지권리에대해서는많은논란이있었다. 그중에서도유럽연합기관이나회원국을위하여사이버보안이슈에대한업무를수행하는 EU 산하기관인 ENISA(European Union Agency for Network and Information Security) 가 GDPR 초안에대하여검토한보고서에는잊힐권리에대한다양한시각과개선방향이잘나타나있다. 여기에서제시된시사점들은우리가 EU의규정안에대하여어떠한시각으로접근해야하는가를보여주는좋은자료로서의미가있기때문에그주요사항을소개하고자한다. GDPR 초안이공개된이후잊힐권리가과연어느정도로까지보장될수있고또한현실적으로보장가능한가에대하여다양한의문이제기되어 ENISA에서는이에대한검토를진행하였고, 그결과잊힐권리에관한보고서를공표하면서, 다음과같은권고를제시하였다. 14 즉, (1) 잊힐권리를실행하기위한기술적수단들은개인정보의범위의정의를요구하며, 누가어떤환경하에서개인정보의삭제를요구할권리를가지는가를명확히할것을요구하며, 정보를삭제에영향을미치는방법으로서수용가능한것들이무엇인가를명확히할것을요구한다는점을인식하면서, 규제당국들이이에대한명확화작업을공동으로수행할것을요구하였다. (2) 개념정의를규정함에있어서도잊힐권리를집행하는데있어서의기술적도전들을신중히고려하여야한다. 또한 (3) 개방인터넷상에서의잊힐권리를강제하기위한순수한기술적이고포괄적인해결책은일반적으로불가능하다는점도인식하였다. (4) 잊힐권리를실행할수있는실현가능한접근은 EU 내의검색엔진운영자와공유서비스들이 EU 영역내외에저장된잊힌정보에대한참조를필터링하는것이라는점도인식하였다. (5) 폐기된오프라인저장장치에저장된개인정보의삭제와관련한특별한주의가취해져야한다. (6) 정보처리자는그보유하고있는개인정보에대하여이용자가쉽게접근할수있도록하여야하고, 이용자의비용부담없이그리고부당한지체없이정보를최신화, 수정및삭제할수있는방법을제공하도록규정되어야한다. 다만, 이는다른현행법과충돌하지않는범위내에서허용된다. (7) 정보의원치않는수집및확산을막기위한기술을개발하여야한다. 또한보다더넓은맥락에서 (8) 정책결정자들이온라인에서수집되고저장된개인정보의양을최소화하기위하여최소공개원칙을지원하는기술의이용을확보할것을권고하였다. (9) 모든당사자들에게개인정보의보관및이전을위한암호의활용을권고하였다. (10) 온 14 ENISA, The right to be forgotten - between expectations and practice, identity-and-trust/library/deliverables/the-right-to-be-forgotten, 자. 25

26 라인상의추적과프로파일링에대하여특별한주의가기울여져야하며, 정책결정자들은명확한제재를규정하고위법행위자들을차단하기위하여집행하기위한수단과개인정보보호와관련한규칙을준수하도록강제할수단을규정하여야한다고권고하였다. (11) 개인정보보호기관및관련이해관계당사자들은정보보호입법으로부터유래한권리에대한이용자들의인식을증진하기위하여노력하여야하며, 개인정보의과도한수집과보관의경우에민원을제기하는것을포함하여그권리를실행하기위한법체계에의하여이용자에게제공된가능성에관하여도이용자들의인식을증진하기위하여노력하여야한다. 동시에 (12) 회원국은충돌하는규제를제거하여야하며, 한편개인정보보호기관, 제29조정보보호작업반, 유럽정보보호감독관등은실무적인이행측면을고려하여현안인개념정의이슈를명확히하기위한공동의작업을하여야한다. 이러한논의의과정을토대로, 유럽의회는논란이되는 잊힐권리 라는용어를더이상사용하지않고, 단순히 삭제권 이라는용어를사용하였다. 또한삭제권이인정되는경우로서유럽연합내의법원이나규제기관이관련개인정보가삭제되어야한다고최종적이고절대적인결정을한경우를추가하고, 기존에 GDPR( 안 ) 을준수하지않는경우로되어있던것을 해당정보가불법적으로처리된경우 로수정하였다 ( 제17조제1항 (ca) 및 (d)). 한편, 개인정보가웹사이트등에공개된경우에 GDPR 초안에의하면해당개인정보를처리하고있는제3자에게통지할의무를규정하였지만, GDPR 유럽의회수정안은그러한일반적의무를삭제하였다 ( 제17조제2항 ). 2) 표준정보정책 (Standardised information policies) 정보주체와관련된개인정보가수집되는경우에콘트롤러는 GDPR( 안 ) 에의해서요구되는정보를제공하기전에문자로열거된일정한상세를정보주체에게제공하여야한다 ( 제13a조 ). 일정한상세는개인정보가각각의특정처리목적을위하여최소한의필요를넘어수집되는지의여부, 개인정보가상업적인제3자에게제공되는지의여부를포함한다. 3) 프로파일링 GDPR 유럽의회수정안은프로파일링거부권을강화하여, 정보주체는매우알아보기쉬운방식 (highly visible manner) 으로프로파일링거부권에대하여고지받도록규정하였다 ( 제20조제1항 ). 또한프로파일링으로인한차별을명백히금지하였다. 즉, 인종, 출신민족, 정치적견해, 종교, 신념, 노동조합가입, 성적성향이나성정체성에기초하여개인에대하여차별의효과를가지거나결과적으로그러한효과를가지는조치가되는프로파일링은금지되어야한다 ( 제20조제3항 ). 또한콘트롤러는프로파일링으로부터야기될수있는차별에대하여효과적인보호를실행하여야한다 ( 제20조제3항 ). 26

27 4) 위험분석 GDPR 유럽의회수정안은예방활동의중요성을인식하여, 콘트롤러또는프로세서는정보처리행위의성질, 범위또는목적이중대하게변화하게되면, 매년또는즉시위험분석의수행을요구받게된다 ( 제32a조 ). 5) 정보보호책임자 GDPR 유럽의회수정안은정보보호책임자지정기준을확대하여, 콘트롤러또는프로세서가법인으로서연속 12개월동안 5,000명이상의정보주체와관련된정보를처리하는경우에정보보호책임자를지정하도록규정하였다 ( 제35조제1항 (b)). 6) 유럽정보보호인장유럽정보보호인장 (European Data Protection Seal) 을제정하여자발적인인증제도를시행하고자규정하였다 ( 제39조 ). 유럽정보보호인장은콘트롤러또는프로세서가 GDPR 유럽의회수정안을완전히준수하는한유효하며, 최종 5년동안유효하다 ( 제39조제1f항및제1g항 ). 7) 개인정보의역외이전역외이전이가능한경우로서 GDPR 초안은집행위원회의적절성결정또는적절한세이프가드에의하여이전가능했다. 적절한세이프가드는 (a) 제43조에따른구속력있는기업규칙 (Binding Corporate Rules), (b) 집행위원회가채택한표준정보보호조항, (c) 제62조제1항 (b) 에따라집행위원회가유효하다고인정하는경우, 제57조에서규정한일관성메커니즘 (consistency mechanism) 에따라감독기관이채택한표준정보보호조항, (d) 제4항에따라감독기관이승인한콘트롤러와정보수령인사이의계약조항이인정되었다. 그러나 GDPR 유럽의회수정안은집행위원회의적절성결정이나적절한세이프가드에의하여역외이전이가능한데, 허용되는세이프가드의유형으로서 집행위원회가채택한표준정보보호조항 을삭제하고, 새롭게 콘트롤러및개인정보를제공받는자의유럽정보보호인장 을추가하여새롭게역외이전이가능한사유를추가하였다 ( 제 42조제2항 (aa)). 한편, 집행위원회의적절성결정이나적절한세이프가드가없는경우에도역외이전이허용되는예외중에서콘트롤러나프로세서의합법적이익을위한경우는삭제되었다. 8) 행정제재 GDPR 유럽의회수정안은행정제재의유형을추가및강화하여, GDPR 유럽의회수정안을위반한자에게는 (a) 최초의비고의적인위반의경우에서면경고, (b) 정규의정기적인정보보호감사, (c) 1 억유로또는전세계연간매출액의 5% 에해당하는과징금중더큰액수중최소한하나의제재를과하여야한다 ( 제79조제2a항 ). 27

28 라. GDPR 1) 구성 GDPR 은 173 개항의전문과본문 99 개의조문으로구성되어있다. 본문은총 11 개장으로구성되어 있으며. 각장의내용은다음과같다. GDPR 체계 ( 괄호안숫자는조문번호 ) 일반규정 ( 제1장 ) 원칙 ( 제2장 ) 목적 (1), 물적범위 (2), 장소적범위 (3), 정의 (4) 개인정보처리관련원칙 (5), 처리의적법성 (6), 동의조건 (7), 정보사회서비스에관한아동의동의에적용되는조건 (8), 특정범주의개인정보처리 (9), 범죄경력및범죄행위에관한개인정보의처리 (10), 식별을요하지않는처리 (11) 제 1 절투명성및형식정보주체의권리를행사하기위한투명한정보, 통신및형식 (12) 정보주체권리 ( 제 3 장 ) 제2절정보및개인정보접근제3절정정및삭제제4절반대할권리및자동적인개별의사결정 정보주체로부터개인정보를수집하는경우제공되는정보 (13), 정보주체로부터개인정보가수집되지않는경우제공되는정보 (14), 정보주체의접근권 (15) 정정권 (16), 삭제권 ( 잊힐권리 )(17), 처리에대한제한권 (18), 개인정보의정정이나삭제또는처리제한에관한고지의무 (19), 정보이동권 (20) 반대할권리 (21), 프로파일링을포함하는자동적인개인의사결정 (22) 제 5 절제한제한 (23) 콘트롤러와프로세서 ( 제 4 장 ) 제1절일반적인의무제2절개인정보의보안제3절정보보호영향평가및사전자문제4절정보보호담당관 콘트롤러의책임 (24), 설계에의한그리고기본으로서의정보보호 (25), 공동콘트롤러 (26), 유럽연합내에설립되지않은콘트롤러또는프로세서의대리인 (27), 프로세서 (28), 콘트롤러또는프로세서의권한에따른처리 (29), 처리활동의기록 (30), 감독기관과의협력 (31) 처리의보안 (32), 감독기관에대한개인정보침해통지 (33), 정보주체에대한개인정보침해통지 (34) 정보보호영향평가 (35), 사전자문 (36) 정보보호담당관의지정 (37), 개인정보보호담당관의지위 (38), 개인정보보호담당관의임무 (39) 제 5 절행동강령및인증행동강령 (40), 승인된행동강령의모니터링 (41), 인증 (42), 인증기구 (43) 제3국또는국제기구로의개인정보이전 ( 제5장 ) 독립감독기구 ( 제6장 ) 이전을위한일반원칙 (44), 적절성결정에기초한이전 (45), 적절한안전조치에의한이전 (46), 구속력있는기업규칙 (47), 유럽연합법률로허가되지않은이전또는공개 (48), 특정상황을고려한적용제외 (49), 개인정보보호를위한국제협력 (50) 감독기구 (51), 독립성 (52), 감독기구위원의일반요건 (53), 제1절독립적인지위감독기구설치에관한규칙 (54조) 제2절기능, 임무및권한기능 (55), 주감독기구의기능 (56), 임무 (57), 권한 (58), 활동보고서 (59) 28

29 협력및일관성 ( 제 7 장 ) 제 1 절협력 제 2 절일관성 제 3 절유럽정보보호이사회 주감독기구와관련된다른감독기구간협력 (60), 상호지원 (61), 감독기구의공동활동 (62) 일관성메커니즘 (63), 유럽정보보호이사회의견 (64), 유럽정보보호이사회에의한분쟁해결 (65), 긴급절차 (66), 정보의교환 (67) 유럽정보보호이사회 (68), 독립성 (69), 유럽정보보호이사회의임무 (70), 보고서 (71), 절차 (72), 의장 (73), 의장의임무 (74), 사무국 (75), 비밀 (76) 구제, 책임및처벌 ( 제8장 ) 특정처리상황에관한규정 ( 제9장 ) 위임법률및시행법률 ( 제10장 ) 최종규정 ( 제11장 ) 감독기관에민원을제기할권리 (77), 감독기구를상대로한효과적인사법구제권 (78), 콘트롤러나프로세서를상대로한효과적인사법구제권 (79), 정보주체의대리 (80), 법적절차의중지 (81), 보상에대한권리및책임 (82), 행정과태료부과에관한일반조건 (83), 처벌 (84) 처리및표현과정보의자유 (85), 처리및공식문서에대한일반인의접근 (86), 국가식별번호의처리 (87), 고용맥락에서의처리 (88), 공익을위한기록보존목적, 과학이나역사연구목적또는통계목적을위한처리와관련한안전조치및적용제외 (89), 비밀유지의무 (90), 교회및종교단체의현행정보보호규정 (91) 위임의행사 (92), 위원회의절차 (93) 지침95/46/EC의폐지 (94), 지침2002/58/EC와의관계 (95), 이전에체결된협정과의관계 (96), 집행위원회보고서 (97), 기타유럽연합의정보보호법률에대한검토 (98), 발효및적용 (99) 2) 목적 GDPR은개인정보의처리와관련한자연인의보호및개인정보의자유로운이동에관하여규정하는것을목적으로하며, 자연인의기본적권리와자유, 특히개인정보의보호를위한권리의보호를목적으로한다. 아울러 EU 역내에서의개인정보의자유로운이동이제한되거나금지되지않도록보장하는것도주요목적으로한다. GDPR의목적은 GDPR 초안에서부터최종적인 GDPR에이르기까지동일하게규정되었다. 3) 장소적적용범위의확장 GDPR은 EU 회원국의정보주체에게유상이든무상이든재화나용역을제공하는활동을처리하거나 EU 내에서의 EU 회원국정보주체의활동의모니터링과관련한활동을처리하는 EU 밖의정보콘트롤러나프로세서에게도적용된다. 이때문에 EU 역외의콘트롤러나프로세서는 GDPR을준수하여야한다. 이러한장소적적용범위의확장은 GDPR 초안과마찬가지로인터넷으로연결되는정보화사회에서 EU 회원국정보주체를실질적으로보호하기위함이다. 4) EU 단일법규정및 One-Stop Shop GDPR이발효되면 EU 회원국의별도이행입법없이도 EU 전역에서단일법규정이적용된다. GDPR 에따라회원국은개인정보관련민원을접수및처리하고행정제재를과하기위한독립된감독기구 (Supervisory Authority) 를설치하게되며, 각회원국의감독기구는다른감독기구와상호지원및공동활동을수행하면서협력하게된다. 사업자가 EU에여러사무소를두는경우에주된사업장이소재하는지역의주감독기관 (lead supervisory authority, GDPR 제56조 ) 의단일한감독을받 29

30 게되어규제기관측면에서의중복을피하고자하였다. 주감독기관은해당사업자의 EU 전역에서의개인정보의처리를감독하는소위원스톱숍 (one-stop shop) 의기능을수행한다. 기존의제29조작업반 (Article 29 Working Party) 을대체하는유럽정보보호위원회 (European Data Protection Board (EDPB), GDPR 제68조 ) 가각감독기구를조정하는역할을수행한다. 5) 책임성강화일정기준 ( 예를들면, 공공기관이나 12개월동안 5,000명이상의정보주체의정보를처리하는기업 ) 에해당하는콘트롤러나프로세서는정보보호책임자 (Data Protection Officer) 를지정해야하고 (GDPR 제37조부터제39조 ), 콘트롤러에게 GDPR의각규정의준수를위하여일정한의무가부과된다. 예를들면, 문서보관의무나정보보호영향평가 (GDPR 제35조 ) 를받을의무가있으며, 정보보호를위하여기획단계에서부터기본적으로정보보호가높은수준으로설정될수있도록정보보호활동을수행하여야한다 (privacy by design and by default, GDPR 제25조 ). 정보보호책임자는충분한전문적지식을갖춰야하며, 그구체적인내용은정보보호책임자가책임지게되는개인정보처리활동에따라달라진다. 정보보호책임자는콘트롤러에고용되어활동을할수있지만서비스계약하에서관련활동을수행할수도있다. 또한하나의기업그룹은단일정보보호책임자를임명할수도있다. 6) 프로세서에대한규율 GDPR을통한가장큰변화의하나는프로세서에게도직접적인의무가부과된다는점이다. 예를들면, 콘트롤러를위하여실행되는정보처리활동의서면기록유지의무, 일정한경우에정보보호책임자를지정할의무, 일정한경우에 EU에법인을설립하지않은자가대표자를임명할의무, 개인정보침해가발행한경우에부당한지연없이해당사실을콘트롤러에게통지할의무등이다. 개인정보역외이전규정은프로세서에게도적용되며, 프로세서를위한 BCRs도공식적으로인정된다. 7) 동의요건의강화 GDPR의개인정보보호수준의강화의주요수단중의하나는동의요건을강화한것이다. GDPR에따른유효한동의는수집되는개인정보가이용되는목적에대한명시적인동의이어야한다 (GDPR 제7조및제4조 ). 콘트롤러는동의를받았다는사실을증명할수있어야하고, 해당동의는철회될수있다. 16세미만의아동의경우에는아동의부모나보호자의동의를받아야하며, 입증할수있어야한다 (GDPR 제8조 ). 다만, GDPR은회원국이이러한부모나보호자의동의를요하는아동의연령을 16세로부터 13세로낮출수있도록허용함으로써 EU 전역의법규범의조화를깰가능성을내포하고있다. 30

31 8) 개인정보침해통지의무콘트롤러는개인정보침해사실을정보보호감독기구에게통지하여야한다. 이러한통지는부당한지체없이이루어져야하며, 가능한한해당사실을인지한때로부터 72 시간이내에이루어져야한다 (GDPR 제33조 ). GDPR 초안에서 24시간이내로규정하였던것에비하여는보다늘어났다. 또한개인정보침해가자연인의권리와자유에높은위험을야기할수있는경우에콘트롤러는부당한지체없이개인정보침해로부터영향을받는정보주체에게도해당침해사실을알려야한다 (GDPR 제34조 ). 9) 제재 GDPR은감독기구가전세계연간매출액의 4% 또는 2천만유로이하의범위내에서더높은금액을위반에대한과징금으로부과할수있도록규정하고있다. 예를들면, 국제적인개인정보이전에관한요건을위반한경우나동의요건과같은개인정보처리의기본원칙의위반의경우가그에해당한다 (GDPR 제83조제5항 ). 한편, GDPR 제8조, 제11조, 제25조부터제39조, 제42조와제43조에따른콘트롤러나프로세서의의무위반과같은경우에는전세계연간매출액의 2% 또는 1천만유로이하의범위내에서더높은금액을과징금으로부과할수있다 ( 제83조제4항 ). 10) 정보주체의권리정보주체의권리중에서가장주목받았던것은 GDPR 초안으로부터촉발된소위잊힐권리 (right to be forgotten) 이다. 잊힐권리는구글스페인사건에관한유럽사법재판소 (European Court of Justice) 판결 (Google Spain SL, Google Inc. v Agencia Española de Protección de Datos, Mario Costeja González) 을통해서다시한번주목받은이후최종 GDPR에서는삭제권 ( 잊힐권리, right to be forgotten) 으로규정되었다 (GDPR 제17조 ). 이에따르면잊힐권리란정보주체가개인정보처리에대한동의를철회하고더이상합법적인처리근거가없는경우와같은일정상황하에서정보주체가콘트롤러에서부당한지체없이해당정보를삭제할것을요구할수있도록권리로서인정한것이다. 이외에 GDPR은개인정보를다른콘트롤러에게쉽게이전할수있는형태로개인정보를반환받을수있는권리를인정함으로써소위 정보이동성 (data portability) 을보장하고있다 (GDPR 제20조 ). 11) 개인정보의역외이전 GDPR 제 5 장 ( 제 44 조부터제 49 조 ) 는국경간개인정보의이전을규율하고있다. 제 45 조는국외이 전허용근거로서적절성결정 (adequacy decision) 을규정한다. 15 제 46 조는적절성결정이없는경 15 U.S.-EU Safe Harbor 를무효화시킨 ECJ 의 Schrems 판결 (C-362/14) 은적절성결정에요구되는수준을 essential equivalence ( 본질적인등가성 ) 으로높였다. 31

32 우적절한세이프가드 (appropriate safeguards) 에의한이전의요건을규정한다. 제47조는구속력있는기업규칙 (binding corporate rules) 을규정하고, 제48조는외국법원이나행정청이 GDPR에의하여허용되지않는이전을명령하는상황을규율한다. 제49조는적절성결정이나적절한세이프가드가없는경우의특정상황에서의수정조건을규정한다. 제46조하에서인정되는적절한세이프가드의예로서는 (1) 공공기관간의법적으로구속력있고집행가능한법률문서, (2) 제47조에따른구속력있는기업규칙, (3) 집행위원회가채택한표준정보보호조항, (4) 감독기구가채택하고집행위원회가승인한표준정보보호조항, (5) 제3국에서적절한세이프가드를적용하는콘트롤러나프로세서의구속력있고집행가능한약정과함께제40 조에따른승인된행동강령, (6) 제3국에서적절한세이프가드를적용하는콘트롤러나프로세서의구속력있고집행가능한약정과함께제42조에따른승인된인증체계 (approved certification mechanism) 가있다. 이러한인증의예로서유럽정보보호인장 (European Data Protection Seal) 이인정된다. 4. 우리법제에의시사점 가. GDPR 과우리법제의비교 GDPR은 EU 회원국전체에직접적용되는규정으로서회원국의다양한상황을고려하면서도대외적인관계에서 EU 회원국전체의이익을고려하여제정된만큼제재규정이나개별규정의구체성측면에서직접적으로우리의 개인정보보호법 ( 이글에서 개인정보보호법 이라함 ) 이나 정보통신망이용촉진및정보보호등에관한법률 ( 이글에서 정보통신망법 이라함 ) 과비교하는것은적절하지않을수도있다. 그러나 EU 내외적으로많은논의와검토를통하여개인정보의보호와활용이라는두관점이함께고려되어만들어진 GDPR은우리법제의나아가야할방향을설정하는데에많은참조가될수있다. 이러한시각에서이하에서는 GDPR의많은내용중에서특별히우리법제와의관계에서차별적인사항이나우리법제에서꾸준히문제되는쟁점에대하여 GDPR이어떻게다루고있는지를살펴보겠다. 1) 개인정보의개념 GDPR은개인정보의개념에대하여 식별되었거나식별가능한정보주체인자연인과관련한정보 16 라고정의하면서, 식별가능한자연인이란그자연인의구체적으로신체적, 생리적, 유전적, 정신적, 경제적, 문화적또는사회적동일성에특유한하나또는 2 이상의요인이나이름, 식별번호, 위치정보, 온라인식별자와같은식별자를특별히참조하여직접또는간접적으로식별될수있는자를말 16 GDPR 4(1). 32

33 한다고정의한다. 우리법의경우에는개인정보보호법은 살아있는개인에관한정보로서성명, 주민등록번호및영상등을통하여개인을알아볼수있는정보 ( 해당정보만으로는특정개인을알아볼수없더라도다른정보와쉽게결합하여알아볼수있는것을포함한다 ) ( 제2조제1호 ) 로정의하고, 정보통신망법도제2조제6호에서 생존하는개인에관한정보로서성명 주민등록번호등에의하여특정한개인을알아볼수있는부호 문자 음성 음향및영상등의정보 ( 해당정보만으로는특정개인을알아볼수없어도다른정보와쉽게결합하여알아볼수있는경우에는그정보를포함한다 ) 고정의한다. 이상의정의규정을문언그대로살펴보면, EU도우리나라와마찬가지로식별성을중요한판단표지로두고자연인이식별되었거나자연인을식별할수있는정보라는공통된요건을요구한다. 그러나실제판단에있어서 EU GDPR은전문을비롯한다양한부분에서개인정보의해석에관한기준을제시하고있다. 17 즉, 직접또는간접적으로자연인을식별하기위하여자연인을선별해내기위한모든합리적인수단에관한고려가이루어져야한다고하여식별성을판단하는데에는 합리성 과 종합적인판단 이필요함을나타내고있다. 예를들면, 합리적인종합판단을위하여식별을위하여요구되는비용과시간, 처리시의가용한기술과기술발전등이고려되어야한다는것이다. 18 한편, 최근우리대법원에서개인정보의개념을판시한판례가있다. 즉, 개인정보자기결정권의보호대상이되는개인정보의개념혹은범위에대하여개인의신체, 신념, 사회적지위, 신분등과같이개인의인격주체성을특징짓는사항으로서그 개인의동일성을식별할수있게하는일체의정보 라고할수있고, 반드시개인의내밀한영역에속하는정보에국한되지아니하며공적생활에서형성되었거나이미공개된개인정보까지포함한다고판시하여비교적개인정보의범위를폭넓게파악하고있다. 19 2) 가명화를통한개인정보처리범위의확대 GDPR은익명화된정보 (anonymous data) 가더이상개인정보로서보호되지않는다는점을명시하고있다. 20 이와함께개인정보에해당되지않는익명화수준을판단하는기준으로서 합리성 (likely reasonably to be used) 을채택하고있다. 21 예를들면, 식별화처리를위해필요한시간과비용, 가 17 비교법적인검토의참고를위하여우리의법제와서로영향을주고받고있는일본의개인정보관련법을살펴보면, 일본개인정보의보호에관한법률 ( 個人情報の保護に關する法律 ) 제2조제1항은개인정보에관하여 생존하는개인에관한정보로서, 해당정보에포함되는성명, 생년월일기타기술 ( 記述 ) 등에의하여특정개인을식별할수있는것 ( 다른정보를용이하게조합 ( 照合 ) 할수있으며, 그정보에의하여특정개인을식별할수있는것을포함한다 ) 으로정의하고있다. 18 GDPR, Recital 대법원 선고 2014다 판결. 또한이판결에서개인정보자기결정권은인간의존엄과가치, 행복추구권을규정한헌법제10조제1문에서도출되는일반적인격권및헌법제17조의사생활의비밀과자유에의하여보장되는권리로서자신에관한정보가언제누구에게어느범위까지알려지고또이용되도록할것인지를그정보주체가스스로결정할수있는권리를말한다고판시하였다. 20 GDPR, Recital GDPR, Recital

34 용한기술수준등을고려하여식별가능하지않게된정보들은개인정보가아니다. 앞에서살펴본것처럼개인정보에대한규범적해석을유지하는이상우리나라의개인정보보호법이나정보통신망법에의하는경우에도동일한결론을도출할수있다. 다만, GDPR은가명화 (pseudonymization) 에대하여규정을두어개인정보처리의허용범위를확장하고있다. 즉, 가명화란추가정보가없는상태에서는특정정보주체에게귀속될수없는방식으로개인정보를처리하는것을의미한다. 22 다만, 가명화를위해서는두가지전제적요소로 (1) 추가정보의분리보관과 (2) 해당개인정보가식별되었거나식별가능한자연인에게귀속되지않도록하기위한기술적및관리적조치를취할것을규정하고있다. 23 그러나주의할것은가명화가개인정보성을완전히제거하거나 GDPR의적용을완전히배제하는것은아니라는점이다. 24 가명화처리된개인정보는정보가 ( 재 ) 식별될위험성을낮추는역할을한다는관점에서 ( 재 ) 식별의위험성을관리하는기술적방식들중의하나로서제시된것이다. 25 이러한접근방식에기초하여 GDPR은가명화와관련하여몇가지규정을두고있다. 즉, 개인정보의수집목적외의처리와관련해서가명화에대한내용이포함되어있다. 예를들어, 개인정보를수집한목적이외로처리하기위해서는암호처리및가명처리가포함될수있는적절한안전조치을비롯하여일정한요건을갖추어야한다고규정하고있다. 26 또한콘트롤러는프라이버시중심디자인 (Privacy by Design) 을구현하기위해처리수단을결정한시점과처리당시시점에서가명처리등적절한기술적 관리적보호조치를이행하여야한다. 27 뿐만아니라개인정보처리시보안에철저를기하기위하여콘트롤러와프로세서는위험에적합한보안수준을보장하는데적절한기술적 관리적보호조치를실행해야하는데, 그중하나가개인정보의가명처리및암호처리이다. 28 공익을위한기록보존목적, 과학이나역사적연구의목적또는통계목적에서개인정보를처리할때정보주체의자유와권리를보호하기위해적절한안전조치를확보해야하는데, 그방법중에하나가가명처리이다. 29 이처럼정보처리자가합법적인처리를할수있는합리적인범위를열어두는수단으로써가명화가활용되고있다. 이에반하여, 우리개인정보보호법이나정보통신망법에는가명화에대한규정을두고있지않다. 더욱이우리개인정보보호법제는엄격성과세밀한규제를통하여개인정보보호를꾀하고있기때문에관련규정의해석에유연성이떨어지고있다. 특히, 개인정보의범위를결정함에있어서정보처리자의개인정보처리로인한책임을합리적으로충족시켜줄수있는방안을명확히제시하고있지못하다. 22 GDPR 4(5). 23 GDPR 4(5). 24 GDPR, Recital GDPR, Recital 28 and GDPR GDPR GDPR GDPR

35 3) 개인정보처리기준 GDPR은개인정보의수집, 이용, 제공등처리에대하여기본적으로동일한원칙을설정하고있으며, 개인정보의합법적처리기준으로서 (a) 정보주체가하나이상의특정목적을위해본인의개인정보처리에동의를제공한경우, (b) 정보주체가계약당사자로있는계약의이행을위해또는계약체결전정보주체의요청에따라조치를취하기위해처리가필요한경우, (c) 콘트롤러에적용되는법적의무를준수하는데처리가필요한경우, (d) 정보주체또는제3자의중대한이익을보호하기위해처리가필요한경우, (e) 공익상또는콘트롤러에게부여된공적권한의행사를위한업무수행에처리가필요한경우, (f) 개인정보보호를요구하는정보주체의이익이나기본권및자유가해당이익에우선하지않는한, 특히정보주체가아동일경우, 콘트롤러나제3자가추구하는적법한이익의목적으로개인정보처리가필요한경우 30 를규정하고있다. 31 이러한개인정보처리의적법성기준을살펴보면, 우리나라의개인정보보호법상의처리기준과매우유사하다. 그러나 GDPR은각영역에원칙적으로공통되는기준으로작용하고있고, 개인정보가처리되는행위태양에일원적인원칙이적용되는반면, 우리의경우에는개인정보보호법과정보통신망법, 신용정보의이용및보호에관한법률 등각법률마다합법적처리기준이동일하지않고, 처리기준도개인정보의수집 이용, 제공, 위탁등에대하여다르게설정되어있어서개인정보처리에실질적으로많은제한이가해지고있다. 나아가 GDPR은 공익상또는콘트롤러에게부여된공적권한의행사를위한업무수행에처리가필요한경우 와같이상당히포괄적인적법처리사유를규정함으로써개별적인개인정보의처리에대하여각각의맥락에따라적법한지의여부를판단할수있는여지를열어두고있다는점에서우리의개인정보보호법이나정보통신망법이더욱엄격하다. 4) 개인정보의역외이전 GDPR은 EU 역내에서준수하여야할개인정보처리에관한기준을설정하면서도, EU를벗어난국가간개인정보이전에관하여는별도의기준을설정하고있다. 기본적으로는 EU 회원국내와동일한수준의개인정보보호를목적으로하지만, EU 회원국내의수범자들과형식적으로도완전히동일한기준을설정하는것이아니라 실질적으로동일한기준 을설정하여 EU 회원국밖으로벗어나는 EU 회원국국민의개인정보에대한권리를실질적으로보장하고자꾀하고있다. 즉, GDPR은제 5장에서예외적인개인정보의국가간이전근거로서적절성결정에기초한역외이전 ( 제45조 ), 적절성결정이없는경우적절한안전조치 (appropriate safeguards) 에의한이전 ( 제46조 ), 구속력있는기업규칙 (binding corporate rules) 에의한이전 ( 제47조 ) 을규정한다. 또한외국법원이나행정청이 GDPR에의하여허용되지않는이전을명령하는상황을규율하기위한규정도두고있으며, 나아 30 다만, 공공기관이해당기관업무의수행을위해진행하는처리에는적용되지않는다. 31 GDPR 6. 35

36 가적절성결정이나적절한안전조치가없는경우의특정상황에서의수정조건도규정하고있다 ( 제 48조 ). 이에반하여우리개인정보보호법은정부가개인정보국외이전으로인하여정보주체의권리가침해되지아니하도록관련시책을마련하도록책무를부여하는것 ( 제14조 ) 외에개인정보처리자가개인정보를국외의제3자에게제공할때에는고지사항을정보주체에게알리고동의를받아야하며, 개인정보보호법을위반하는내용으로개인정보의국외이전에관한계약을체결하지못하도록금지하고있다 ( 제17조제3항 ). 이에따르면국외이전에대해서는별도의예외나특별한규율없이국내외동일한규정을준수해야한다. 한편, 정보통신망법도개인정보보호법과마찬가지로정보통신서비스제공자등이이용자의개인정보에관하여정보통신망법을위반하는사항을내용으로하는국제계약을체결하지못하도록규정을두고있다. 이외에도정보통신망법은정보통신서비스제공자등이이용자의개인정보를국외에제공 ( 조회되는경우를포함 ) 처리위탁 보관 ( 이하 " 이전 " 이라함 ) 하려면이용자의동의를받도록규정하였다 ( 제63조제2항 ). 다만, 정보통신서비스의제공에관한계약을이행하고이용자편의증진등을위하여필요한경우로서고지사항을공개하거나전자우편등대통령령으로정하는방법에따라이용자에게알린경우에는개인정보처리위탁 보관에따른동의절차를거치지않을수있도록예외를인정한다. 또한정보통신서비스제공자등은동의를받아개인정보를국외로이전하는경우대통령령으로정하는바에따라보호조치를하여야한다 ( 제63조제4항 ). 정보통신망법의경우에는처리위탁 보관의경우에동의예외를인정하지만, 기본적으로국외이전에대하여는별도의동의를받도록하고있다. 이처럼우리의법제는국외이전에대하여매우경직된규율을하고있고, 해외사업자가국내의모든형식적기준까지준수하도록함으로써글로벌 ICT 시대에적합하지않다는비판을받을수있다. 반면, 국외이전문제는글로벌경제의관점에서만바라볼것이아니라우리나라국민들의개인정보보호및정보주권등다양한국내법익의보호라는관점도고려하여야한다. 따라서합리적인범위내에서안전하게개인정보가국외이전되고, 국외이전된개인정보가안전하게처리되도록환경을보장하는것이무엇보다중요하다. 이런점에서현재의규정들은동의를받지않는한국외이전이용이하지않은구조로되어있어서합리적인국외이전에대한수요까지도막을수있는문제가있다. 36

37 GDPR 개인정보보호법정보통신망법 제44조 ( 이전을위한일반원칙 ) 제45조 ( 적절성결정에기초한이전 ) 제46조 ( 적절한안전조치에의한이전 ) 제47조 ( 구속력있는기업규칙 ) 제48조 ( 유럽연합법률로허가되지않은이전또는공개 ) 제49조 ( 특정상황을고려한적용제외 ) 제50조 ( 개인정보보호를위한국제협력 ) 제14조 ( 국제협력 ) 1 생략 2 정부는개인정보국외이전으로인하여정보주체의권리가침해되지아니하도록관련시책을마련하여야한다. 제17조 ( 개인정보의제공 ) 1 생략 2 생략 3 개인정보처리자가개인정보를국외의제3자에게제공할때에는제2항각호에따른사항을정보주체에게알리고동의를받아야하며, 이법을위반하는내용으로개인정보의국외이전에관한계약을체결하여서는아니된다. 제63조 ( 국외이전개인정보의보호 ) 1 정보통신서비스제공자등은이용자의개인정보에관하여이법을위반하는사항을내용으로하는국제계약을체결하여서는아니된다. 2 정보통신서비스제공자등은이용자의개인정보를국외에제공 ( 조회되는경우를포함한다 ) 처리위탁 보관 ( 이하이조에서 이전 이라한다 ) 하려면이용자의동의를받아야한다. 다만, 정보통신서비스의제공에관한계약을이행하고이용자편의증진등을위하여필요한경우로서제3항각호의사항모두를제27조의 2제1항에따라공개하거나전자우편등대통령령으로정하는방법에따라이용자에게알린경우에는개인정보처리위탁 보관에따른동의절차를거치지아니할수있다. 3 정보통신서비스제공자등은제2항에따른동의를받으려면미리다음각호의사항모두를이용자에게고지하여야한다. 1. 이전되는개인정보항목 2. 개인정보가이전되는국가, 이전일시및이전방법 3. 개인정보를이전받는자의성명 ( 법인인경우에는그명칭및정보관리책임자의연락처를말한다 ) 4. 개인정보를이전받는자의개인정보이용목적및보유 이용기간 4 정보통신서비스제공자등은제2항에따른동의를받아개인정보를국외로이전하는경우대통령령으로정하는바에따라보호조치를하여야한다. 나. 우리법제에의시사점 1) 개인정보에대한합리적판단기준의설정개인정보보호법이제정된이후에가장뜨거운논란의중심에있었던것이개인정보의개념을어떻게파악하는가하는점이었다. 특히, 개인식별성의판단과관련하여기술적인측면에서볼때에는식별에소요되는시간이나비용, 사용되는기술의가용성및기술의진보등에대한종합적고려없이기술적측면에서의식별의가능성을주된판단자로삼아서거의모든개인에관한정보가법의보호대상이되는개인정보에포함된다는식의판단을하는경우가드물지않았다. 그러나 GDPR이개인정보의개념정의를하고그해석의기준을제시한것처럼개인정보인지아닌지의판단은규범적 37

38 으로이루어져야하고일반적 객관적인다양한요소를고려하여사회평균인의시각에서합리적으로판단하여개인정보의범위를확정할필요가있다. 이러한판단기준을법률에보다명확히명시하여개인정보의판단표지내지요건으로서 식별가능성 외에 합리성 이라는요건을추가하는입법노력도바람직하다. 그러나이러한판단기준은법의개정이없더라도현재의법률과일반적해석방법론에의하더라도설정이가능하다. 즉, 법원과행정청이법위반을판단함에있어서일반적법의해석기준으로서활용되는규범적해석또는합리적해석기준을채택함으로써개인정보관련법률의무한한확장내지남용을방지할수있다. 2) 가명화된정보처리의합리적허용방안마련필요우리개인정보보호법이나정보통신망법등개인정보관련법률에서는식별성을기준으로하여개인정보와비개인정보로구분하여개인정보에대하여는관련규정을모두적용하고있기때문에실제개인정보를처리함에있어서는개인정보침해의가능성은낮은반면그정보처리의효용성이높은경우에도개인정보처리와관련한엄격한규제에가로막히는경우가많다. 이런점에서 EU가가명화에대한몇몇규정을둔사례나일본개인정보의보호에관한법률에서규정된익명가공정보에관한규정은우리개인정보보호관련법률의개선에도참고할필요가있다. EU GDPR이나일본법모두보호의대상이되는개인정보의구분표지를주로식별성에두는이상식별과비식별의중간영역에분포되어있는다양한수준의개인정보에대하여합리적인조치를통한처리를허용할필요가있다. 최근관계부처합동으로공표된비식별조치가이드라인 32 은그러한노력의시작으로볼수있지만, 법률에서정한식별성기반의개인정보개념과이에대한각종규정들을유지하는이상비식별조치가이드라인은개인정보처리자나정보통신서비스제공자등에게합리적인책임면제혹은감경의근거를제시하기에는미약할수밖에없다. 따라서관련법률의개정을통하여중간영역에존재하는정보, 특히가명화를통하여생성된정보에대한안전조치등을통하여합법적인처리를가능하게하는형태의개선이필요하다. 3) 합법적 비침해적이용의보장및처리기준의원칙적인일원화필요 GDPR은공익목적개인정보처리나양당사자의이익을비교형량하여개인정보처리의적법성을인정해주는규정을둠으로써개인정보의보호와활용사이의적절한균형상태를꾀하려는노력을엿볼수있다. 그에반하여, 우리법제는상대적으로엄격한기준을설정함으로써개인정보보호에보다더주안점을두고있는것으로보인다. 그러나실무상개인정보의활용으로인하여국민에게가져다주는편익혹은공익이큰반면, 개인정보보호의필요성이나침해의위험성은상대적으로낮은경우에는제한적으로안전하고합법적으로개인정보를처리할수있도록가능성을열어두는규정을신 32 관계부처합동, 개인정보비식별조치가이드라인 - 비식별조치기준및지원관리체계안내 -,

39 설하는것도고려할필요가있다. 33 최근대법원판결은공개된개인정보의처리와관련한사건에서 정보주체가공적인존재인지, 개인정보의공공성과공익성, 원래공개한대상범위, 개인정보처리의목적 절차 이용형태의상당성과필요성, 개인정보처리로침해될수있는이익의성질과내용등여러사정을종합적으로고려하여, 개인정보에관한인격권보호에의하여얻을수있는이익과정보처리행위로얻을수있는이익즉정보처리자의 알권리 와이를기반으로한정보수용자의 알권리 및표현의자유, 정보처리자의영업의자유, 사회전체의경제적효율성등의가치를구체적으로비교형량하여어느쪽이익이더우월한것으로평가할수있는지에따라정보처리행위의최종적인위법성여부를판단하여야 34 한다고판시하여종합판단에기초한비교형량을시도한사례가있다. 이러한이익형량에의한개인정보보호법령의해석을통하여실질적으로합리적인개인정보보호법제가완성될것이지만, GDPR에서규정하는것처럼공익적목적의처리사유를명문으로규정하거나 개인정보처리자의정당한이익을달성하기위하여필요한경우로서명백하게정보주체의권리보다우선하는경우 ( 이경우개인정보처리자의정당한이익과상당한관련이있고합리적인범위를초과하지아니하는경우에한한다 ) 를적극활용하여합법적 비침해적이용을최대한보장할필요가있다. 아울러우리개인정보보호법이나정보통신망법은개인정보의수집 이용과제공을구분하여일부다른기준을설정하고있으며, 수집 제공목적이외의처리를위한기준도별도로설정하고있다. 그러나불가피한경우가아닌한모든처리에대하여원칙적으로동일한기준을설정할필요가있다. 개인정보보호법령을통하여정보주체의권리를보장하려는것은결국안전한처리를통하여실현될수있고, 반대로안전한처리를하는이상개인정보처리자가개인정보를합리적으로활용할수있도록보장하는것이바람직할것이다. 4) 우리국민의실질적인개인정보보호를위한국외이전규정합리화 GDPR은개인정보의역외이전상황에서도 EU 회원국국민의개인정보를실질적으로보호하기위하여실질적으로동일한수준의법적보호가이루어지는상황하에서는개인정보가국외로이전되어처리될수있도록다양한법적근거를마련하고있다. 이를통하여국외개인정보처리자들의법준수에대한실행가능성과유인을높이고있다. 반면, 우리나라는개인정보의국외이전에제한된기준을설정하거나국내와형식적 실질적으로완전히동일한법준수를요구함으로써실제에있어서는법을형해화할가능성이존재한다. 따라서해외개인정보처리자들의우리법준수에대한유인도강화하면서, 실질적으로국외이전을통한개인정보의처리로부터우리국민들을보호하고, 나아가우리국민의개인정보가외국에서오남용되지않도록실질적으로집행가능한개인정보국외이전체계를마련할필요가있다. 예를들면, GDPR과같은적절성결정에의한이전을허용하거나구속력있는 33 최경진, 빅데이터 사물인터넷시대개인정보보호법제의발전적전환을위한연구, 중앙법학, 제 17 집제 4 호 ( ), 면. 34 대법원 선고 2014 다 판결. 39

40 기업규칙이나적절한보호수준을제공하는인증등을통한이전을허용하는법적인개선이검토되 어야한다. 5. 맺음말 우리나라가개인정보보호법을제정하는데많은참고를하였던 EU 정보보호지침이 GDPR로업그레이드되면서세계각국의개인정보보호또는개인정보를기반으로하는국가간정보서비스나정보기반경제 (Data-driven economy) 에많은영향을미치고있다. 특히, 각국의개인정보보호및정보주권과글로벌정보자유화또는자유로운정보의공유나유통이라는두가지상반되는가치가부딪히면서어느방향으로가야할지에대하여많은논의가이루어지고있다. 엄격한개인정보보호법을제정한우리나라는특히세계초강대국인미국과또다른초대형국가공동체인 EU 사이에서우리나라의국익을보호하면서도세계경제의주도권을가지기위한합리적인개인정보보호법제를지속적으로정비하는것은불가피하다. 처음개인정보보호법이제정된이후현재까지수차례의개정이있었지만, 대부분개인정보유출과같은침해사고에대한비판을근거로개인정보보호를강화하는방향으로입법이이루어졌다. 그러나개인정보의처리가없이는국가나사회가영위될수없고, 나아가정보기반경제가주를이루게될미래에는더더욱개인정보의처리는불가피하다. 때문에실질적으로개인정보를보호하면서도안전한처리를허용하는솔로몬의지혜가절실히필요하다. 이런관점에서전세계적으로많은논란이있었고가장최근에입법이이루어진 GDPR을살펴보는것은우리법제가나아가야할방향을정립하는데많은참고가될수있다. 이보고서에서는우리법제가나아가야할바람직한방향에대한시사점을 GDPR이입법되어온과정에서의논의와최종적으로입법된 GDPR에서찾고자시도하였다. 결과적으로 GDPR의모든규정을세세히살펴보지는못했지만, 법의가장근간이되는개인정보의개념에대한합리적인판단기준의설정이무엇보다필요하다는점을지적하였다. 즉, 판단기준을법률에보다명확히명시하여개인정보의판단표지내지요건으로서 식별가능성 외에 합리성 이라는요건을추가하는입법노력도바람직하다. 그러나이러한판단기준은법의개정이없더라도현재의법률과일반적해석방법론에의하더라도설정이가능하다. 즉, 법원과행정청이법위반을판단함에있어서일반적법의해석기준으로서활용되는규범적해석또는합리적해석기준을채택함으로써개인정보관련법률의무한한확장내지남용을방지할수있다. 또한빅데이터와사물인터넷시대에적합하도록관련법률의개정을통하여중간영역에존재하는정보, 특히가명화를통하여생성된정보에대한안전조치등을통하여합법적인처리를가능하게하는형태의개선이필요하다. 아울러우리개인정보보호법이나정보통신망법은개인정보의수집 이용과제공을구분하여일부다른기준을설정하고있으며, 수집 제공목적이외의처리를위한기준도별도로설정하고있다. 그러나불가피한경우가아닌한모든처리에대하여원칙적으로동일한기준을설정할필요가있다. 개인정보보호법령을통하여정보주체의권리를보장하려는것은결국안전한처리를통하여실현될수있고, 반대로안전한처리를하는이상개인정보 40

41 처리자가개인정보를합리적으로활용할수있도록보장하는것이바람직할것이다. 이와함께 GDPR 에서규정하는것처럼공익적목적의처리사유를명문으로규정하거나 개인정보처리자의정당한이익을달성하기위하여필요한경우로서명백하게정보주체의권리보다우선하는경우 ( 이경우개인정보처리자의정당한이익과상당한관련이있고합리적인범위를초과하지아니하는경우에한한다 ) 를적극활용하여합법적 비침해적이용을최대한보장할필요가있다. 마지막으로글로벌 ICT 환경에맞춰서해외개인정보처리자들의우리법준수에대한유인도강화하면서, 실질적으로국외이전을통한개인정보의처리로부터우리국민들을보호하고, 나아가우리국민의개인정보가외국에서오남용되지않도록실질적으로집행가능한개인정보국외이전체계를마련할필요가있다. 예를들면, GDPR과같은적절성결정에의한이전을허용하거나구속력있는기업규칙이나적절한보호수준을제공하는인증등을통한이전을허용하는법적인개선이검토되어야한다. 해외의입법례가언제나우리에게모범답안을제공해주는것은아니지만, 우리의환경과법제를고려하여해외입법례에서우리에게도적용할만한모범사례가있다면적극적으로검토하고수용하는자세가필요하다. 앞의몇몇시사점들은우리의개인정보보호법제개선에의미있는참고가될수있을것이다. 그러나사회환경은계속변하고가치도변하기때문에빠르게변화하는정보화시대에서매순간가장적합한개인정보보호법제가무엇인지끊임없이논의하고그것을법령에반영하는노력을게을리하지말아야할것이다. 41

42 참고문헌 ENISA, The right to be forgotten - between expectations and practice, 2012 European Commission, 'Guide to the Privacy Shield', 2016 고학수편, 개인정보의법과정책 ( 제2판 ), 박영사, 2016 관계부처합동, 개인정보비식별조치가이드라인 - 비식별조치기준및지원관리체계안내 -, 최경진, 빅데이터 사물인터넷시대개인정보보호법제의발전적전환을위한연구, 중앙법학, 제17집제4호, 최경진, 잊혀질권리 - 개인정보관점에서, 정보법학제16권제2호, 2012 최경진, 유럽사법재판소세이프하버협정무효판결과개인정보보호정책의변호, 언론중재, 2016년봄호 ( 통권 138호 ), 2016 최경진, 정보법-과거와현재 개인정보분야를중심으로, 한국정보법학회 20주년기념세미나및총회자료집, 2016 한국정보법학회, 정보법판례백선II, 박영사,

43 [ 부록 ] 개인정보보호를위한국제적인법제발전과정 43

[ 목차 ]

[ 목차 ] 빅데이터개인정보보호가이드라인 해설서 ( 14.12.23. 제정, 15.1.1. 시행 ) [ 목차 ] < 주요내용 ( 요약 ) > 1. 목적 ( 가이드라인제 1 조 ) 2. 정의 ( 가이드라인제 2 조 ) - 1 - - 2 - - 3 - 3. 개인정보의보호 ( 가이드라인제 3 조 ) 비식별화조치 ( 제 1 항 ) - 4 - - 5 - - 6 - - 7 - 개인정보보호조치

More information

프랑스 (Loi n du 6 janvier 1978 relative a l'informatique, aux fichiers et aux libertes L'Assemblee nationale et le Senat ont adopte) 독일 (Bundesdat

프랑스 (Loi n du 6 janvier 1978 relative a l'informatique, aux fichiers et aux libertes L'Assemblee nationale et le Senat ont adopte) 독일 (Bundesdat [ 표 1] 각국의개인정보개념정의규정 국가 EU (Data Protection Directive) 영국 (Data Protection Act) 개인정보개념정의규정개인정보는 식별되거나식별가능한자연인 ( 이하, 정보주체 라한다 ) 에관한정보를말한다 ; 식별가능한개인이란신분증번호를통하여또는신체적, 생리적, 정신적, 경제적, 문화적, 사회적요소에관한하나또는그이상의정보를통하여직

More information

PowerPoint 프레젠테이션

PowerPoint 프레젠테이션 EU GDPR 에따른개인정보의역외이전 우리기업을위한 GDPR 대응세미나 2018.5.11. 고려대법학연구원정명현연구교수 주요내용 개인정보의 EU 역외이전일반원칙 적절한안전장치 감독당국의승인을요하는안전장치 특정상황에서의적용면제 체크리스트 개인정보의 EU 역외이전일반원칙 컨트롤러와프로세서가개인정보를 EU 역외로이전하기위해서는다음과같은조건이준수되어야함. ( 제 44

More information

(012~031)223교과(교)2-1

(012~031)223교과(교)2-1 0 184 9. 03 185 1 2 oneclick.law.go.kr 186 9. (172~191)223교과(교)2-9 2017.1.17 5:59 PM 페이지187 mac02 T tip_ 헌법 재판소의 기능 위헌 법률 심판: 법률이 헌법에 위반되면 그 효력을 잃게 하거 나 적용하지 못하게 하는 것 탄핵 심판: 고위 공무원이나 특수한 직위에 있는 공무원이 맡

More information

Output file

Output file 발 간 등 록 번 호 -079930-00000-0 203 Personal Information Protection Annual Report 본 연차보고서는 개인정보 보호법 제67조의 규정에 의거하여 개인정보 보호시책의 수립 및 시행에 관한 내용을 수록하였으며, 203년도 정기국회에 제출하기 위하여 작성되었습니다. 목 차 203 연차보고서 제 편 주요 현황 제

More information

개인정보수집 제공동의서작성가이드라인 업무처리에필요한개인정보파악 처리하고자하는업무에꼭필요한최소한의개인정보는어떤것들이있는지파악합니다 고유식별정보나민감정보는일반개인정보와구분하여처리하여야하므로처리하고자하는개인정보중에고유식별정보나민감정보가있는지확인해야합니다 개인정보의보유기간확인

개인정보수집 제공동의서작성가이드라인 업무처리에필요한개인정보파악 처리하고자하는업무에꼭필요한최소한의개인정보는어떤것들이있는지파악합니다 고유식별정보나민감정보는일반개인정보와구분하여처리하여야하므로처리하고자하는개인정보중에고유식별정보나민감정보가있는지확인해야합니다 개인정보의보유기간확인 개인정보수집 제공동의서작성가이드라인 업무처리에필요한개인정보파악 처리하고자하는업무에꼭필요한최소한의개인정보는어떤것들이있는지파악합니다 고유식별정보나민감정보는일반개인정보와구분하여처리하여야하므로처리하고자하는개인정보중에고유식별정보나민감정보가있는지확인해야합니다 개인정보의보유기간확인 개인정보처리방침이나관련법령등을통해수집이용할개인정보의보유기간을확인합니다 일시적인개인정보수집

More information

[ 별표 2] 과태료의부과기준 ( 제 63 조관련 ) 1. 일반기준가. 위반행위의횟수에따른과태료부과기준은최근 3년간같은위반행위로과태료를부과받은경우에적용한다. 이경우위반행위에대하여과태료부과처분을한날과다시같은위반행위를적발한날을각각기준으로하여위반횟수를계산한다. 나. 안전행정부장관또는관계중앙행정기관의장은다음의어느하나에해당하는경우에는제2호에따른과태료부과금액의 2분의

More information

한국의 양심적 병역거부

한국의 양심적 병역거부 한국의 양심적 병역거부 2 목차 편집자의 말 ------------------------------------------------------------------------------------- 3 한국의 * 상1 개괄 한국의 병역거부운동 -------------------------------------------------------------------------

More information

<37322DC0CEB1C7BAB8C8A3BCF6BBE7C1D8C4A2C0C7B0DFC7A5B8ED5B315D2E687770>

<37322DC0CEB1C7BAB8C8A3BCF6BBE7C1D8C4A2C0C7B0DFC7A5B8ED5B315D2E687770> 인권보호수사준칙개정안에 대한 국가인권위원회의 의견 국가인권위원회는 국가인권위원회법 제20조 제1항에 따른 법무부의 인권보호 수사준칙개정안에 대한 국가인권위원회의 의견 요청에 대하여 검토한 결과 국가인권위원회법 제19조 제1호에 의하여 아래와 같이 의견을 표명한다. 1. 개정안 제12조의 체포 등에 대한 신속한 통지조항에서 지체없이 라는 용어는 명확성의 원칙을

More information

2002report hwp

2002report hwp 2002 연구보고서 210-23 가족법상친권 양육권및면접교섭권제도의실효성확보방안연구 한국여성개발원 발간사 연구요약. 연구의목적 . 가족법상친권 양육권및면접교섭권제도의내용 1. 친권에관한검토 2. 양육권에관한검토 3. 면접교섭권에관한검토 4. 관련문제점 . 가족법상친권 양육권 면접교섭권제도의시행현황 1. 공식통계를통해본시행현황 2. 친권 양육권 면접교섭권관련법원실무

More information

1 - 서울특별시강서구누리소통망서비스 (SNS) 관리및 운영에관한조례제정안 검토보고서 1. 회부경위 가. 의안번호 : 나. 제출자 : 서울특별시강서구청장다. 제출일 : 2017 년 5월 2일라. 회부일자 : 2017 년 5월 8일 2. 제안이유 인터넷,

1 - 서울특별시강서구누리소통망서비스 (SNS) 관리및 운영에관한조례제정안 검토보고서 1. 회부경위 가. 의안번호 : 나. 제출자 : 서울특별시강서구청장다. 제출일 : 2017 년 5월 2일라. 회부일자 : 2017 년 5월 8일 2. 제안이유 인터넷, 제 248 회서울특별시강서구의회임시회행정재무위원회제 1 차회의 서울특별시강서구누리소통망서비스 (SNS) 관리및 운영에관한조례제정안 검토보고서 2017. 05. 서울특별시강서구의회행정재무위원회 1 - 서울특별시강서구누리소통망서비스 (SNS) 관리및 운영에관한조례제정안 검토보고서 1. 회부경위 가. 의안번호 : 2017-15 나. 제출자 : 서울특별시강서구청장다.

More information

슬라이드 1

슬라이드 1 개인정보데이터 비식별화정책방향 01 개인정보비식별화논란 (1) 개인정보보호법제의체계변화요청 국내외적으로개인식별가능성을중심으로한개인정보보호법제및체계의변화에관한지속적인논의가이루어지고있음 - 최근빅데이터 (Bid Data) 분석등을통해다양한사회적유용성과가치를가지는정보산출에관심이높아지고관련산업이비약적으로성장하면서, 이에대해개인정보보호규제가장애요인으로등장하고있다는평가로인하여,

More information

< C617720BBF3B4E3BBE7B7CAC1FD20C1A632B1C72E687770>

< C617720BBF3B4E3BBE7B7CAC1FD20C1A632B1C72E687770> IT&Law 상담사례집 - 제 2 권 - IT&Law 상담사례집제2권 - 1 - 제 1 장프로그램저작권일반 - 2 - IT&Law 상담사례집제2권 - 3 - 제 1 장프로그램저작권일반 - 4 - IT&Law 상담사례집제2권 - 5 - 제 1 장프로그램저작권일반 - 6 - IT&Law 상담사례집제2권 - 7 - 제 1 장프로그램저작권일반 - 8 -

More information

120330(00)(1~4).indd

120330(00)(1~4).indd 도시개발법시행규칙 [ 별지제 5 호서식 ] 색상이어두운란은가작성하지않습니다. 접수번호 접수일자 성명 ( 법인의명칭및대표자성명 ) 주민등록번호 ( 법인등록번호 ) 전화번호 구역명 동의내용 구역면적 ( m2 ) 사업방식 시행자에관한사항 본인은 도시개발법 제4조제4항및영제6조제6항에따라환지방식의도시개발계획에대하여시행자등에게설명을듣고위내용 ( 개발계획수립과정에서관계기관협의및도시계획위원회의심의결과등에따라개발계획이변경되는경우를포함합니다

More information

41호-소비자문제연구(최종추가수정0507).hwp

41호-소비자문제연구(최종추가수정0507).hwp 소비자문제연구 제41호 2012년 4월 해외 소셜 네트워크 서비스이용약관의 약관규제법에 의한19)내용통제 가능성* : Facebook 게시물이용약관의 유효성을 중심으로 이병준 업 요약 업 규 규 논 업 쟁 때 셜 네트워 F b k 물 규 았 7 계 건 됨 규 규 업 객 계 규 므 받 객 드 객 규 7 말 계 률 업 두 않 트 접속 록 트 른징 볼 규 업 내

More information

KISO저널 원고 작성 양식

KISO저널 원고 작성 양식 KISO정책위원회 통합 정책규정의 제정배경과 의의 정경오 / 법무법인 한중 변호사 KISO정책위원 KISO 정책위원회, 정책결정, 통합 정책규정, 정책결정 규범화 1. 정책규정 제정의 배경 2009년 3월 국내 인터넷자율규제의 활성화를 위하여 출범한 한국인터넷자율정책기구(이하 KISO 라 한다)는 설립과 동시에 KISO

More information

개인정보처리방침_성동청소년수련관.hwp

개인정보처리방침_성동청소년수련관.hwp 서울시립성동청소년수련관 개인정보 처리방침 서울시립성동청소년수련관은 개인정보 보호법 제30조에 따라 정보주체의 개인정 보를 보호하고 이와 관련한 고충을 신속하고 원활하게 처리할 수 있도록 하기 위하여 다음과 같이 개인정보 처리지침을 수립 공개합니다. 제1조(개인정보의 처리목적) 1 서울시립성동청소년수련관은 다음의 목적을 위하여 개인정보를 처리합니다. 처리하고

More information

저작자표시 - 비영리 - 변경금지 2.0 대한민국 이용자는아래의조건을따르는경우에한하여자유롭게 이저작물을복제, 배포, 전송, 전시, 공연및방송할수있습니다. 다음과같은조건을따라야합니다 : 저작자표시. 귀하는원저작자를표시하여야합니다. 비영리. 귀하는이저작물을영리목적으로이용할

저작자표시 - 비영리 - 변경금지 2.0 대한민국 이용자는아래의조건을따르는경우에한하여자유롭게 이저작물을복제, 배포, 전송, 전시, 공연및방송할수있습니다. 다음과같은조건을따라야합니다 : 저작자표시. 귀하는원저작자를표시하여야합니다. 비영리. 귀하는이저작물을영리목적으로이용할 저작자표시 - 비영리 - 변경금지 2.0 대한민국 이용자는아래의조건을따르는경우에한하여자유롭게 이저작물을복제, 배포, 전송, 전시, 공연및방송할수있습니다. 다음과같은조건을따라야합니다 : 저작자표시. 귀하는원저작자를표시하여야합니다. 비영리. 귀하는이저작물을영리목적으로이용할수없습니다. 변경금지. 귀하는이저작물을개작, 변형또는가공할수없습니다. 귀하는, 이저작물의재이용이나배포의경우,

More information

네이버 개인정보백서

네이버 개인정보백서 2017 NAVER Privacy White Paper 규제측면에서의한국 EU 일본의 개인정보보호법령의비교 법무법인민후김경환변호사 목차 요약문 3 1. 서설 5 가. 규제의개념 5 나. 개인정보규제의특징 6 다. 본연구에서의규제비교의방법 8 2. 수집 이용관련실체적규제의비교 10 가. 일반개인정보수집 이용의 허용사유 의비교 10 나. 민감정보수집 이용의 허용사유

More information

USC HIPAA AUTHORIZATION FOR

USC HIPAA AUTHORIZATION FOR 연구 목적의 건강정보 사용을 위한 USC HIPAA 승인 1. 본 양식의 목적: 건강보험 이전과 책임에 관한 법(Health Insurance Portability and Accountability Act, HIPAA)이라고 알려진 연방법은 귀하의 건강정보가 이용되는 방법을 보호합니다. HIPAA 는 일반적으로 귀하의 서면 동의 없이 연구를 목적으로 귀하의

More information

중요문서 개인정보처리방침 제정 : 최근개정 : 제1조 ( 목적 ) 신한아이타스 ( 이하 회사 라한다 ) 는개인정보보호법제30조에따라정보주체의개인정보를보호하고이와관련한고충을신속하고원활하게처리할수있도록하기위하여다음과같이개인정보처리방침

중요문서 개인정보처리방침 제정 : 최근개정 : 제1조 ( 목적 ) 신한아이타스 ( 이하 회사 라한다 ) 는개인정보보호법제30조에따라정보주체의개인정보를보호하고이와관련한고충을신속하고원활하게처리할수있도록하기위하여다음과같이개인정보처리방침 중요문서 개인정보처리방침 제정 : 2012.03.23 최근개정 : 2018.01.02 제1조 ( 목적 ) 신한아이타스 ( 이하 회사 라한다 ) 는개인정보보호법제30조에따라정보주체의개인정보를보호하고이와관련한고충을신속하고원활하게처리할수있도록하기위하여다음과같이개인정보처리방침을수립 공개한다. 1 회사는다음의목적을위하여개인정보를처리한다. 개인정보는다음의목적이외의용도로는이용되지않으며,

More information

[ 별지제3 호서식] ( 앞쪽) 2016년제2 차 ( 정기ㆍ임시) 노사협의회회의록 회의일시 ( 월) 10:00 ~ 11:30 회의장소본관 11층제2회의실 안건 1 임금피크대상자의명예퇴직허용및정년잔여기간산정기준변경 ㅇ임금피크제대상자근로조건악화및건강상

[ 별지제3 호서식] ( 앞쪽) 2016년제2 차 ( 정기ㆍ임시) 노사협의회회의록 회의일시 ( 월) 10:00 ~ 11:30 회의장소본관 11층제2회의실 안건 1 임금피크대상자의명예퇴직허용및정년잔여기간산정기준변경 ㅇ임금피크제대상자근로조건악화및건강상 [ 별지제3 호서식] ( 앞쪽) 2016년제2 차 ( 정기ㆍ임시) 노사협의회회의록 회의일시 2016. 09. 12( 월) 10:00 ~ 11:30 회의장소본관 11층제2회의실 안건 1 임금피크대상자의명예퇴직허용및정년잔여기간산정기준변경 ㅇ임금피크제대상자근로조건악화및건강상이유로인한명예퇴직허용 ㅇ 정년연장형임금피크대상자의정년잔여기간변경은 퇴직적립금 소요재원증가로법정적립비율(80%)

More information

<4D F736F F D20B1E2C8B9BDC3B8AEC1EE2DC8ABBCB1B1E2>

<4D F736F F D20B1E2C8B9BDC3B8AEC1EE2DC8ABBCB1B1E2> 유럽개인정보보호법령 (GDPR) 의주요내용과국내에의영향 홍선기독일정치경제연구소연구위원 2015 년 12월유럽에서는역사적인개인정보보호법령 (General Data Protection Regulation: GDPR) 이통과되었다. 동법은 2년의유예기간을거쳐 2018 년 5월 25일부터시행될예정이다. 이는지난 1995 년제정되어 20여년동안유럽연합의개인정보의기준역할을해왔던개인정보보호지침

More information

개인정보처리방침 ( 개정 ) 한국교육개발원 ' 방송통신중 고등학교운영센터 ( 이하 운영센터 )' 에서취급하는모든개인정보는관련법령에근거하여수집 보유및처리되고있습니다. 개인정보보호법 은이러한개인정보의취급에대한일반적규범을제시하고있으며, < 방송중 고사이버교

개인정보처리방침 ( 개정 ) 한국교육개발원 ' 방송통신중 고등학교운영센터 ( 이하 운영센터 )' 에서취급하는모든개인정보는관련법령에근거하여수집 보유및처리되고있습니다. 개인정보보호법 은이러한개인정보의취급에대한일반적규범을제시하고있으며, < 방송중 고사이버교 개인정보처리방침 (2017.7.24. 개정 ) 한국교육개발원 ' 방송통신중 고등학교운영센터 ( 이하 운영센터 )' 에서취급하는모든개인정보는관련법령에근거하여수집 보유및처리되고있습니다. 개인정보보호법 은이러한개인정보의취급에대한일반적규범을제시하고있으며, < 방송중 고사이버교육시스템 > 은이러한법령의규정에따라수집 보유및처리하는개인정보를소관업무의적절한수행과이용자의권익을보호하기위해적법하고적정하게취급할것입니다.

More information

2),, 312, , 59. 3),, 7, 1996, 30.

2),, 312, , 59. 3),, 7, 1996, 30. *,.1) 1),. 2),, 312, 2000. 3., 59. 3),, 7, 1996, 30. 4).. 1. 2 ( :,,, 2009). 5) 2004. 2. 27. 2003 7507 ; 1985. 6. 25. 85 660 ; 1987. 2. 10. 86 2338. 6) 1987. 7. 21. 87 1091. 7) 2006. 4. 14. 2006 734. 8),

More information

EU 29 조작업반의 GDPR 대응동향 년개정및신규발표한 GDPR 가이드라인을중심으로 < 목차 > * 2017년 9월해외개인정보보호동향핫이슈보고서에서 해외주요국의 GDPR 대응동향 EU회원국을중심으로 를다룬바있음 * 본동향보고서에서는위동향보고서에이어, EU

EU 29 조작업반의 GDPR 대응동향 년개정및신규발표한 GDPR 가이드라인을중심으로 < 목차 > * 2017년 9월해외개인정보보호동향핫이슈보고서에서 해외주요국의 GDPR 대응동향 EU회원국을중심으로 를다룬바있음 * 본동향보고서에서는위동향보고서에이어, EU 해외개인정보보호동향보고서 월간보고서 2018 년 4 월 EU 29 조작업반의 GDPR 대응동향 - 2018 년개정및신규발표한 GDPR 가이드라인을중심으로 < 목차 > * 2017년 9월해외개인정보보호동향핫이슈보고서에서 해외주요국의 GDPR 대응동향 EU회원국을중심으로 를다룬바있음 * 본동향보고서에서는위동향보고서에이어, EU 29조작업반의 GDPR 대응현황의조사

More information

<B1B9C8B8C0D4B9FDC1B6BBE7C3B3BAB85F BB0DCBFEFC8A35B315D2E706466>

<B1B9C8B8C0D4B9FDC1B6BBE7C3B3BAB85F BB0DCBFEFC8A35B315D2E706466> 2011 Winter 02 08 10 News 14 Article Report 42 NARS Report 60 NARS Report Review 68 World Report 84 Column 94 Serial 116 2011 Winter 11 www.nars.go.kr 01 02 w w w. n a r s. g o. k r 03 04 01 02 03 04

More information

개인정보보호지침 개인정보보호지침 제 6 장영상정보처리기기설치 운영 제 1 절영상정보처리기기의설치 제61조 ( 적용범위 ) 이장은본교가공개된장소에설치 운영하는영상정보처리기기와이기기를통하여처리되는개인영상정보를대상으로한다. 제62조 ( 영상정보처리기기운영 관리방침 ) 1 영

개인정보보호지침 개인정보보호지침 제 6 장영상정보처리기기설치 운영 제 1 절영상정보처리기기의설치 제61조 ( 적용범위 ) 이장은본교가공개된장소에설치 운영하는영상정보처리기기와이기기를통하여처리되는개인영상정보를대상으로한다. 제62조 ( 영상정보처리기기운영 관리방침 ) 1 영 제 6 장영상정보처리기기설치 운영 제 1 절영상정보처리기기의설치 제61조 ( 적용범위 ) 이장은본교가공개된장소에설치 운영하는영상정보처리기기와이기기를통하여처리되는개인영상정보를대상으로한다. 제62조 ( 영상정보처리기기운영 관리방침 ) 1 영상정보처리기기를설치 운영할경우다음각호의사항을포함한영상정보처리기기운영 관리방침을수립하여야한다. 1. 설치근거및설치목적 2. 설치대수,

More information

1. 상고이유 제1점에 대하여 구 도시 및 주거환경정비법(2009. 2. 6. 법률 제9444호로 개정되기 전의 것, 이하 구 도시정비법 이라 한다) 제4조 제1항, 제3항은 시 도지사 또는 대도시의 시장이 정비구 역을 지정하거나 대통령령이 정하는 경미한 사항을 제외한

1. 상고이유 제1점에 대하여 구 도시 및 주거환경정비법(2009. 2. 6. 법률 제9444호로 개정되기 전의 것, 이하 구 도시정비법 이라 한다) 제4조 제1항, 제3항은 시 도지사 또는 대도시의 시장이 정비구 역을 지정하거나 대통령령이 정하는 경미한 사항을 제외한 대 법 원 제 1 부 판 결 사 건 2012두6605 사업시행계획무효확인등 원고, 상고인 원고 1 외 1인 원고들 소송대리인 법무법인(유한) 태평양 담당변호사 이인재 외 2인 피고, 피상고인 서울특별시 종로구청장 외 1인 소송대리인 정부법무공단 외 3인 원 심 판 결 서울고등법원 2012. 2. 2. 선고 2011누16133 판결 판 결 선 고 2015. 4.

More information

<4D6963726F736F667420576F7264202D205B46696E616C5DB0B3C0CEC1A4BAB8C3B3B8AEB9E6C4A75FC1F7BFF8BFEB5F323031362E30332E3239>

<4D6963726F736F667420576F7264202D205B46696E616C5DB0B3C0CEC1A4BAB8C3B3B8AEB9E6C4A75FC1F7BFF8BFEB5F323031362E30332E3239> 피델리티자산운용 개인정보처리방침(채용/인사) 제정: 2013.09.01 개정: 2016.02.01 개정: 2016.03.29 1. 총칙 본 방침은 예비, 현재 및 과거 직원들(이하 "직원들")의 개인정보를 보호하고 불법적인 정보 의 유출로 인하여 발생되는 직원들의 피해를 방지하기 위하여 피델리티자산운용 (이하 "회 사")이 취하고 있는 개인정보의 처리(수집,

More information

1. 상고이유 제1, 2점에 관하여 가. 먼저, 구 정보통신망 이용촉진 및 정보보호 등에 관한 법률(2013. 3. 23. 법률 제11690호로 개정되기 전의 것, 이하 구 정보통신망법 이라 한다) 제44조의7 제3항이 정한 정보의 취급 거부 등 에 웹사이트의 웹호스팅

1. 상고이유 제1, 2점에 관하여 가. 먼저, 구 정보통신망 이용촉진 및 정보보호 등에 관한 법률(2013. 3. 23. 법률 제11690호로 개정되기 전의 것, 이하 구 정보통신망법 이라 한다) 제44조의7 제3항이 정한 정보의 취급 거부 등 에 웹사이트의 웹호스팅 대 법 원 제 2 부 판 결 사 건 2012두26432 취급거부명령처분취소 원고, 상고인 진보네트워크센터 소송대리인 법무법인 양재 담당변호사 김한주 외 3인 피고, 피상고인 방송통신위원회 소송대리인 정부법무공단 담당변호사 조민현 외 2인 원 심 판 결 서울고등법원 2012. 11. 1. 선고 2012누13582 판결 판 결 선 고 2015. 3. 26. 주

More information

Zentralanweisung

Zentralanweisung DCKR Guideline 4.2 1/7 July 31, 2017 목 차 1 총칙... 2 2 개인정보의처리목적및처리하는개인정보의항목... 2 3 개인정보의보유기간및파기... 3 4 개인정보처리의위탁... 3 5 주민등록번호처리의제한... 4 6 정보주체의권리 의무및그행사방법에관한사항... 4 6.1 개인정보의열람... 4 6.2 개인정보의정정및삭제... 4

More information

- 2 - 장하려는것임. 주요내용 가. 기획재정부장관은공기업 준정부기관임원임명에양성평등을실현하기위하여특정성별이임원정수의 100분의 70을초과되지아니하도록하는지침을정하되, 그비율을 2018년부터 2021년까지는 1 00분의 85, 2022년부터 2023년까지는 100분의

- 2 - 장하려는것임. 주요내용 가. 기획재정부장관은공기업 준정부기관임원임명에양성평등을실현하기위하여특정성별이임원정수의 100분의 70을초과되지아니하도록하는지침을정하되, 그비율을 2018년부터 2021년까지는 1 00분의 85, 2022년부터 2023년까지는 100분의 공공기관의운영에관한법률일부개정법률안 ( 김순례의원대표발의 ) 의안번호 7086 발의연월일 : 2017. 5. 30. 발 의 자 : 김순례ㆍ이우현ㆍ함진규원유철ㆍ홍문종ㆍ김명연이종명ㆍ권석창ㆍ박명재신보라의원 (10인) 제안이유 2016년 3월 8일 세계여성의날 을맞아영국경제전문지이코노미스트가공개한 OECD국가들의유리천장지수 (Glass-Ceiling Index) 를살펴보면,

More information

( ),,., ,..,. OOO.,, ( )...?.,.,.,.,,.,. ( ),.,,,,,.,..,

( ),,., ,..,. OOO.,, ( )...?.,.,.,.,,.,. ( ),.,,,,,.,.., 지적재산권문제 1. 개관,..,... 2. 학습목표 1.,. 2.,. 3.,. 4.,,. 3. 주요용어,,,,,,, 4. 본문 가. 지적재산권의개념 - 1 - ( ),,., 2010 1 3.99.,..,. OOO.,, ( 2010 1 5 )...?.,.,.,.,,.,. ( ),.,,,,,.,..,. - 2 - ,...., (Bell) (Gray)...,..,,..

More information

3 삭제요구 4 처리정지요구 2. 제 3 조 1 항에따른권리행사는회사에대해개인정보보호법시행규칙별지제 8 호서식에 따라서면, 전자우편, 모사전송 (FAX) 등을통하여하실수있으며회사는이에대해지체없이 조치합니다. 3. 정보주체가심각한개인정보의오류등에대한정정또는삭제를요구한경우

3 삭제요구 4 처리정지요구 2. 제 3 조 1 항에따른권리행사는회사에대해개인정보보호법시행규칙별지제 8 호서식에 따라서면, 전자우편, 모사전송 (FAX) 등을통하여하실수있으며회사는이에대해지체없이 조치합니다. 3. 정보주체가심각한개인정보의오류등에대한정정또는삭제를요구한경우 개인정보처리방침 ( 주 ) 아프리카티비 ( 이하 회사 라한다 ) 는개인정보보호법에따라이용자의개인정보보호및 권익을보호하고개인정보와관련한이용자의고충을원활하게처리할수있도록다음과같이 개인정보처리지침을수립 공개합니다. 제1조 ( 개인정보의처리목적 ) 회사는다음의목적을위하여개인정보를처리합니다. 처리하고있는개인정보는다음의목적이외의용도로는이용되지않으며, 이용목적이변경되는경우에는개인정보보호법에따라별도의동의를받는등필요한조치를이행할예정입니다.

More information

ii iv 1 3 5 7 9 11 13 15 17 19 21 23 25 27 29 31 33 35 2 3 4 5 1 3 6 37 제품군 제품분류 39 제출물관리대장 41 43 45 47 < 접수번호 > 관리번호 평가결과보고서 < 평가대상제품명 > 년월일 < 평가기관명 > 49 제 1 장개요 o 일반적으로다음의사항을포함한다. - 정보보호제품평가인증관련규정 (

More information

제 2 편채권총론 제1장채권의목적 제2장채권의효력 제3장채권의양도와채무인수 제4장채권의소멸 제5장수인의채권자및채무자

제 2 편채권총론 제1장채권의목적 제2장채권의효력 제3장채권의양도와채무인수 제4장채권의소멸 제5장수인의채권자및채무자 제 2 편채권총론 제1장채권의목적 제2장채권의효력 제3장채권의양도와채무인수 제4장채권의소멸 제5장수인의채권자및채무자 문 1] 채권의목적에관한다음설명중가장옳지않은것은? - 1 - 정답 : 5 문 2] 이행지체에관한다음의설명중가장옳지않은것은? - 2 - 정답 : 4 문 3] 채무불이행으로인한손해배상청구에관한다음설명중옳은것을모두고른것은?

More information

아동

아동 아동 청소년이용음란물(child pornography) 규제의 문제점과 개선방향 황성기 (한양대학교 법학전문대학원 교수) 1. 아동 청소년이용음란물(child pornography) 규제의 내용 o 현행 아동 청소년의 성 보호에 관한 법률 (이하 아청법 )은 아동 청소년이용 음란물, 즉 child pornography를 규제하는 시스템을 갖고 있음. - 아청법

More information

(중등용1)1~27

(중등용1)1~27 3 01 6 7 02 8 9 01 12 13 14 15 16 02 17 18 19 제헌헌법의제정과정 1945년 8월 15일: 해방 1948년 5월 10일: UN 감시 하에 남한만의 총선거 실시. 제헌 국회의원 198명 선출 1948년 6월 3일: 헌법 기초 위원 선출 1948년 5월 31일: 제헌 국회 소집. 헌법 기 초위원 30명과 전문위원 10명

More information

1 9 9 2년 2 월 1 1일에 모 스 크 바 에 서 서명된 북 태 평양 소하 성어족자 원보존협약 (이하 협약 이라 한다) 제8조 1항에는 북태평양소하성어류위원회 (이하 위원회 라 한다)를 설립한다고 규정되어 있다. 제8조 16항에는 위원회가 을 채택해야 한다고 규정

1 9 9 2년 2 월 1 1일에 모 스 크 바 에 서 서명된 북 태 평양 소하 성어족자 원보존협약 (이하 협약 이라 한다) 제8조 1항에는 북태평양소하성어류위원회 (이하 위원회 라 한다)를 설립한다고 규정되어 있다. 제8조 16항에는 위원회가 을 채택해야 한다고 규정 1993년 2월 24일 발효 1994년 1월 11일 개정 1998년 11월 6일 개정 2001년 11월 2일 개정 2003년 10월 31일 개정 2013년 11월 15일 개정 2014년 5월 16일 개정 제목 규칙 페이지 적용 1 110 회계연도 2 110 예산 3-9 110-111 분담금 10-11 111 계상예산의 지출대상 12-13 111 전용 14 111

More information

내부정보관리규정

내부정보관리규정 화우테크놀러지 내부정보관리규정입니다. 내부정보관리규정은코스닥시장공시규정제 45조에따라신속 / 정확한공시및임원 / 직원의내부자거래방지를위하여회사내부정보의종합관리및적절한공개등을목적으로제정되어졌습니다. 내부정보관리규정 내부정보관리규정 제정 2009. 09. 01 제1장총칙 제1 조( 목적) 이규정은 자본시장과금융투자업에관한법률 ( 이하 법 이 라한다) 및제반법규에따른신속

More information

개인정보취급방침 제정 개정 개정 베스타스자산운용 ( 주 )( 이하 " 회사 " 이라한다 ) 는개인정보보호법제 30 조에따라정보주체의개인 정보를보호하고이와관련한고충을신속하고원활하게처리할수있도록하기위하여다음과 같이

개인정보취급방침 제정 개정 개정 베스타스자산운용 ( 주 )( 이하  회사  이라한다 ) 는개인정보보호법제 30 조에따라정보주체의개인 정보를보호하고이와관련한고충을신속하고원활하게처리할수있도록하기위하여다음과 같이 개인정보취급방침 제정 2015.05.26 개정 2016.01.18 개정 2017.05.23 베스타스자산운용 ( 주 )( 이하 " 회사 " 이라한다 ) 는개인정보보호법제 30 조에따라정보주체의개인 정보를보호하고이와관련한고충을신속하고원활하게처리할수있도록하기위하여다음과 같이개인정보취급방침을수립 공개합니다. 제1조 ( 개인정보의처리목적 ) 회사는다음의목적을위하여개인정보를처리합니다.

More information

동서울대학교개인정보처리방침 동서울대학교 이하본교 는개인정보보호법제 조에따라정보주체의개인정보 를보호하고이와관련한고충을신속하고원활하게처리할수있도록하기위하여 다음과같이개인정보처리지침을수립 공개합니다 제 조 개인정보의처리목적 본교는다음의목적을위하여개인정보를처리합니다 처리하고있

동서울대학교개인정보처리방침 동서울대학교 이하본교 는개인정보보호법제 조에따라정보주체의개인정보 를보호하고이와관련한고충을신속하고원활하게처리할수있도록하기위하여 다음과같이개인정보처리지침을수립 공개합니다 제 조 개인정보의처리목적 본교는다음의목적을위하여개인정보를처리합니다 처리하고있 동서울대학교개인정보처리방침 2012. 04. 02 동서울대학교 동서울대학교개인정보처리방침 동서울대학교 이하본교 는개인정보보호법제 조에따라정보주체의개인정보 를보호하고이와관련한고충을신속하고원활하게처리할수있도록하기위하여 다음과같이개인정보처리지침을수립 공개합니다 제 조 개인정보의처리목적 본교는다음의목적을위하여개인정보를처리합니다 처리하고있는개인정보는다음의목적이외의용도로는이용되지않으며

More information

조사보고서 구조화금융관점에서본금융위기 분석및시사점

조사보고서 구조화금융관점에서본금융위기 분석및시사점 조사보고서 2009-8 구조화금융관점에서본금융위기 분석및시사점 Ⅰ. 서론 Ⅱ. 구조화금융의미시적시장구조 2 조사보고서 2009-08 요약 3 Ⅲ. 서브프라임위기의현황과분석 4 조사보고서 2009-08 Ⅳ. 서브프라임위기의원인및특징 요약 5 6 조사보고서 2009-08 Ⅴ. 금융위기의파급경로 Ⅵ. 금융위기극복을위한정책대응 요약 7 8 조사보고서 2009-08

More information

<312E20C0AFC0CFC4B3B5E55F5352444320C0FCC0DAB1E2C6C720B1B8B8C5BBE7BEE7BCAD2E687770>

<312E20C0AFC0CFC4B3B5E55F5352444320C0FCC0DAB1E2C6C720B1B8B8C5BBE7BEE7BCAD2E687770> 페이지 2 / 6 첨부 1. 공급품 목록 및 납기일정 번호 품명 모델명/사양 Vendor 단위 수량 납기 비고 1 (샘플기판) 6Layer, FR-4, 1.6T, 1온스, 2 (샘플기판) 3 (샘플기판) 4 (샘플기판) 5 (샘플기판) FRONT PANEL BOARD 3종 1. 샘플기판은 Board 별 성능시험용 2. 샘플 기판 후 Board 별 육안점검 및

More information

목차 Ⅰ. 추진배경 1 Ⅱ. 개인정보수집원칙 2 Ⅲ. 개인정보처리자조치요령 3 1. 필요최소한개인정보수집 3 2. 정보주체의실질적동의권보장 8 3. 고유식별정보및민감정보처리제한 12 < 참고 > 개인정보수집이용동의서 ( 예시 )

목차 Ⅰ. 추진배경 1 Ⅱ. 개인정보수집원칙 2 Ⅲ. 개인정보처리자조치요령 3 1. 필요최소한개인정보수집 3 2. 정보주체의실질적동의권보장 8 3. 고유식별정보및민감정보처리제한 12 < 참고 > 개인정보수집이용동의서 ( 예시 ) - 불필요한개인정보수집관행개선을위한 - 개인정보수집최소화가이드라인 2016. 11. 행정자치부 목차 Ⅰ. 추진배경 1 Ⅱ. 개인정보수집원칙 2 Ⅲ. 개인정보처리자조치요령 3 1. 필요최소한개인정보수집 3 2. 정보주체의실질적동의권보장 8 3. 고유식별정보및민감정보처리제한 12 < 참고 > 개인정보수집이용동의서 ( 예시 ) Ⅰ. 추진배경 개인정보처리자의불필요한개인정보수집관행을없애는한편,

More information

사립대학의발전과사립학교법개정 한국대학교육협의회

사립대학의발전과사립학교법개정 한국대학교육협의회 사립대학의발전과사립학교법개정 한국대학교육협의회 사립대학의발전과사립학교법개정 한국대학교육협의회 13:30-14:00 등록 14:00-14:20 개회식 - 개회사 : 박영식 ( 한국대학교육협의회회장 ) - 격려사 : 황우여 ( 국회교육위원회위원장 ) 14:20-15:00 주제발표 Ⅰ : 사립학교법개정과대학법인의역할 15:00-15:40 주제발표 Ⅱ : 구성원의대학운영참여와사립학교법개정

More information

1. 이 사건 공소사실의 요지 이 사건 공소사실의 요지는 피고인 함선주, 김 영은는 삼성에스디아이(SDI)주식회사(이하 삼성SDI'라고 함)의 협력업체인 영 회사 소속 근로자였고, 피고인 강용환는 또 다른 협력업체인 명운전자 주식회사 소 였다. 삼성SDI는 세계 디스플

1. 이 사건 공소사실의 요지 이 사건 공소사실의 요지는 피고인 함선주, 김 영은는 삼성에스디아이(SDI)주식회사(이하 삼성SDI'라고 함)의 협력업체인 영 회사 소속 근로자였고, 피고인 강용환는 또 다른 협력업체인 명운전자 주식회사 소 였다. 삼성SDI는 세계 디스플 집회및시위에관한법률위반 [울산지법, 2008.6.10, 2008고정204] 판시사항 [1] 근로자 1인이 고용보장을 위해 회사 앞에서 벌인 소위 1인 시위 가 집회 법률 제2조 제2호의 시위 에 해당하는지 여부(소극) [2] 집회 또는 시위에 공모공동정범이론을 적용하여 미신고 옥외집회나 시위의 참가자 집회 또는 시위의 주최자로 볼 수 있는지 여부(소극) 판결요지

More information

<4B31372D3520C0C7BEE0C7B020B9D720C0C7B7E1B1E2B1E22E687770>

<4B31372D3520C0C7BEE0C7B020B9D720C0C7B7E1B1E2B1E22E687770> 제 5 장의약품및의료기기 제 5.1 조일반규정 양당사국은각당사국의보건의료제도에차이가존재하나양당사국이자국 국민의보건을지속적으로증진시키는수단으로서양질의특허또는복제의약품 과의료기기의개발을촉진하고이에대한접근을원활히하고자하는약속을공 유함을인정한다. 이러한목적을추구함에있어, 양당사국은다음의원칙을약속 한다. 가. 양질의보건의료를제공함에있어의약품및의료기기에대한충분한 접근의중요성

More information

인터넷법제동향 제 호 인터넷법제동향제 60 호 2012 년 9 월호

인터넷법제동향 제 호 인터넷법제동향제 60 호 2012 년 9 월호 제 2012-9 호 제 60 호 2012 년 9 월호 목차 I 국내입법동향 II 해외입법동향 소비자보호문제와관련하여기존미국의법집행기관과의정보공유만허용하였으나외국의법집행기관과의정보공유를허용함 소비자보호와관련하여연방통상위원회는자국민보호에도움이되더라도외국법집행기관의수사에도움을줄수는없었으나이법으로인하여국제소송및수사에협력이가능해짐 외국정부기관또는정보원이정보제공의단서로서기밀성을요구하는경우연방통상위원회는정보의기밀성을유지할권한이있음

More information

장애인건강관리사업

장애인건강관리사업 장애인건강관리사업 2013. 2013 : : ( ) : ( ) ( ) ( ) : ( ) ( ) ( ) ( ) ( ) ( ) ( ) ( ) ( ) ( ) ( ) ( ) ( ) ( ) 1.. 2.. 제1장. 연구개요 1 제2장. 1세부과제 : 장애인건강상태평가와모니터링 10 - i - 제3장. 2세부과제 : 장애인만성질환위험요인조사연구 117 - ii - 4장.

More information

¾Æµ¿ÇÐ´ë º»¹®.hwp

¾Æµ¿ÇÐ´ë º»¹®.hwp 11 1. 2. 3. 4. 제2장 아동복지법의 이해 12 4).,,.,.,.. 1. 법과 아동복지.,.. (Calvert, 1978 1) ( 公 式 的 ).., 4),. 13 (, 1988 314, ). (, 1998 24, ).. (child welfare through the law) (Carrier & Kendal, 1992). 2. 사회복지법의 체계와

More information

Pringles International Operations SARL 싱가포르지점개인정보처리방침 Pringles International Operations SARL 싱가포르지점 ( 이하 회사 라합니다 ) 는정보통신망이용촉진및정보보호등에관한법률및개인정보보호법등국내의개인

Pringles International Operations SARL 싱가포르지점개인정보처리방침 Pringles International Operations SARL 싱가포르지점 ( 이하 회사 라합니다 ) 는정보통신망이용촉진및정보보호등에관한법률및개인정보보호법등국내의개인 Pringles International Operations SARL 싱가포르지점개인정보처리방침 Pringles International Operations SARL 싱가포르지점 ( 이하 회사 라합니다 ) 는정보통신망이용촉진및정보보호등에관한법률및개인정보보호법등국내의개인정보보호법령을철저히준수합니다. 또한 OECD 의개인정보보호가이드라인등국제기준을준수하여서비스를제공합니다.

More information

....(......)(1)

....(......)(1) Finance Lecture Note Series 창업설계(캡스톤디자인)(1) 제1강. 강의소개 조 승 모1 영남대학교 경제금융학부 2015학년도 2학기 Copyright 2015 Cho, Seung Mo 1 영남대학교 상경대학 경제금융학부 조교수; (우) 712-749 경상북도 경산시 대학로 280 영남대학교 상경관 224호; choseungmo@yu.ac.kr;

More information

추계예술대학교개인정보처리방침 추계예술대학교 ( 이하본교 ) 는개인정보보호법제 30 조에따라정보주체의개인정보를 보호하고이와관련한고충을신속하고원활하게처리할수있도록하기위하여다음과 같이개인정보처리지침을수립 공개합니다. 제1조개인정보의처리목적, 개인정보의처리및보유기간, 처리하는

추계예술대학교개인정보처리방침 추계예술대학교 ( 이하본교 ) 는개인정보보호법제 30 조에따라정보주체의개인정보를 보호하고이와관련한고충을신속하고원활하게처리할수있도록하기위하여다음과 같이개인정보처리지침을수립 공개합니다. 제1조개인정보의처리목적, 개인정보의처리및보유기간, 처리하는 추계예술대학교개인정보처리방침 추계예술대학교 ( 이하본교 ) 는개인정보보호법제 30 조에따라정보주체의개인정보를 보호하고이와관련한고충을신속하고원활하게처리할수있도록하기위하여다음과 같이개인정보처리지침을수립 공개합니다. 제1조개인정보의처리목적, 개인정보의처리및보유기간, 처리하는개인정보의항목개인정보의처리목적, 개인정보의처리및보유기간, 처리하는개인정보의항목에대한본교의개인정보파일등록사항공개는행정안전부개인정보보호종합지원포털

More information

FOCUS FOCUS 1 잊혀질권리의효율적인발전방향연구 - 잊혀질권리를둘러싼논쟁에대한검토를중심으로 - 김혜진 *, 강달천 ** 잊혀질권리 는흔히 광범위하게오픈된인터넷상에존재하는자신과관련한정보의삭제를요구할수있는권리 로특히새로운유형의개인정보생성은정보주체스스로자신의개인정보통

FOCUS FOCUS 1 잊혀질권리의효율적인발전방향연구 - 잊혀질권리를둘러싼논쟁에대한검토를중심으로 - 김혜진 *, 강달천 ** 잊혀질권리 는흔히 광범위하게오픈된인터넷상에존재하는자신과관련한정보의삭제를요구할수있는권리 로특히새로운유형의개인정보생성은정보주체스스로자신의개인정보통 1 잊혀질권리의효율적인발전방향연구 - 잊혀질권리를둘러싼논쟁에대한검토를중심으로 - 김혜진 *, 강달천 ** 잊혀질권리 는흔히 광범위하게오픈된인터넷상에존재하는자신과관련한정보의삭제를요구할수있는권리 로특히새로운유형의개인정보생성은정보주체스스로자신의개인정보통제권을적극발현할수있도록하는데한계를부여한다. 특히인터넷공간, 소셜네트워크서비스를통한무분별한정보생산과복제그리고저장속도와그양은정보주체로하여금자신의정보를통제하는것을거의불가능하게만든다.

More information

:,,,,, 서론 1), ) 3), ( )., 4) 5), 1).,,,. 2) ( ) ) ( 121, 18 ).

:,,,,, 서론 1), ) 3), ( )., 4) 5), 1).,,,. 2) ( ) ) ( 121, 18 ). 41 2015 2 Korea Administrative Law Theory Practice Association Administrative Law Journal Vol. 41, Feb. 2015 학교회계직원의사용자에대한고찰및입법정책적검토 사법상권리의무의주체와단체교섭사용자적격의관련성을중심으로 1) 이종범 * ㆍ박동열. ( ),.,. 2013. 1. 15. 201228346.,...,,.,.,.,.

More information

감사위원회 규정

감사위원회 규정 감사위원회규정 (DIMS-S003-000) 제 1 장총칙 제 1 조 ( 목적 ) 이규정은두산인프라코어주식회사 ( 이하 " 회사 라한다 ) 의감사위원회 ( 이하 " 위원회 " 라고한다 ) 의효율적인운영을위하여필요한사항을규정함을목적으로한다 제 2 조 ( 적용범위 ) 위원회에관한사항은법령 정관또는이사회규정에정하여진것이외에는이규정이정하는바에의한다. 제 3 조 ( 직무와권한

More information

주간S&T정책동향

주간S&T정책동향 제 4호 2015. 12 개인정보보호 법제로 인한 빅데이터 활용 한계사례 조사 분석 CONTENTS Ⅰ. 문제제기 1 Ⅱ. 개인정보보호 관련 국내외 법제 현황 및 해외비교 2 Ⅲ. 빅데이터 활용 한계사례 분석 8 Ⅳ. 결론 및 시사점 18 * 작 성 : 한국정보화진흥원 ICT융합본부 Io T기 획 팀 오 정 연 수 석 연 구 원 선 미 란 선 임 연 구 원

More information

1. 보고서의 목적과 개요 (1) 연구 목적 1) 남광호(2004), 대통령의 사면권에 관한연구, 성균관대 법학과 박사논문, p.1 2) 경제개혁연대 2008.7.23. 보도자료, 경제개혁연대, 사면심사위원회 위원 명단 정보공개청구 -2-

1. 보고서의 목적과 개요 (1) 연구 목적 1) 남광호(2004), 대통령의 사면권에 관한연구, 성균관대 법학과 박사논문, p.1 2) 경제개혁연대 2008.7.23. 보도자료, 경제개혁연대, 사면심사위원회 위원 명단 정보공개청구 -2- 8.15 :. 서울 종로구 운니동 65-1 오피스텔월드 606호 02-763-5052 www.ser.or.kr -1- 1. 보고서의 목적과 개요 (1) 연구 목적 1) 남광호(2004), 대통령의 사면권에 관한연구, 성균관대 법학과 박사논문, p.1 2) 경제개혁연대 2008.7.23. 보도자료, 경제개혁연대, 사면심사위원회 위원 명단 정보공개청구 -2- (2)

More information

PowerPoint 프레젠테이션

PowerPoint 프레젠테이션 Autodesk Software 개인용 ( 학생, 교사 ) 다운로드가이드 진동환 (donghwan.jin@autodesk.com) Manager Autodesk Education Program - Korea Autodesk Education Expert 프로그램 www.autodesk.com/educationexperts 교육전문가프로그램 글로벌한네트워크 /

More information

2015

2015 - 완벽한개인정보보호를위한 - 2018 년도개인정보보호자체추진계획 목차 Ⅰ. 개요 1 Ⅱ. 추진실적및현황 2 Ⅲ. 2018 년도추진계획 4 Ⅳ. 추진일정 28 붙임 : 개인정보보호관련서식 2018 년도개인정보보호자체추진계획 Ⅰ 개요 추진배경 추진목표 추진전략 - 1 - Ⅱ 추진실적및현황 17 년도추진실적 성과관리내부계획수립 시행 모의훈련 / 지도점검 개인정보파일관리교육

More information

제 5 절지정 제 6 절위치 제 7 절업무 제 4 장 연방정보보호및정보자유커미셔너 제 8 절설립 제 9 절자격 제 10 절독립 제 11 절임명및임기 제 12 절공식관계 제 13 절권리및의무 제 14 절업무 제 15 조활동보고서 제 16 절권한 제 5 장 유럽

제 5 절지정 제 6 절위치 제 7 절업무 제 4 장 연방정보보호및정보자유커미셔너 제 8 절설립 제 9 절자격 제 10 절독립 제 11 절임명및임기 제 12 절공식관계 제 13 절권리및의무 제 14 절업무 제 15 조활동보고서 제 16 절권한 제 5 장 유럽 규정 (EU) 2016/679 에맞게정보보호법을개정하고지침 (EU) 2016/680 을 시행하기위한법률 (DSAnpUG-EU) 2017 년 6 월 30 일 하원은상원의승인에따라아래법률을채택하였다. 제 1 조 연방정보보호법 (BDSG) 목차 제 1 편 공통규정 제 1 장 범위및정의 제 1 절법률의범위 제 2 절정의 제 2 장 개인정보처리에대한법적근거 제 3 절공공기구의개인정보처리

More information

1 1 [ ] ( ) 30 1 ( ) 31 1 ( ),. 2 [ ]. 1., ( ). 2.,,,,,,,,,,, ( 訂正 ),,,,, ( 破棄 ), ( 集合物 ). 5., /38

1 1 [ ] ( ) 30 1 ( ) 31 1 ( ),. 2 [ ]. 1., ( ). 2.,,,,,,,,,,, ( 訂正 ),,,,, ( 破棄 ), ( 集合物 ). 5., /38 1 1 [ ] ( ) 30 1 ( ) 31 1 ( ),. 2 [ ]. 1., ( ). 2.,,,,,,,,,,, ( 訂正 ),,,,, ( 破棄 ),. 3.. 4. ( 集合物 ). 5., 31. 6.. 7.. 8. 1/38 3 (CCTV). 9.,. 3 [ ] 1. 2,. 3,. 4. 5,. 6. 7. 8. 4 [ ]. 1. ( ), 2. 3. 4. 5. 6.

More information

Microsoft PowerPoint - 6.pptx

Microsoft PowerPoint - 6.pptx DB 암호화업데이트 2011. 3. 15 KIM SUNGJIN ( 주 ) 비에이솔루션즈 1 IBM iseries 암호화구현방안 목차 목 차 정부시책및방향 제정안특이사항 기술적보호조치기준고시 암호화구현방안 암호화적용구조 DB 암호화 Performance Test 결과 암호화적용구조제안 [ 하이브리드방식 ] 2 IBM iseries 암호화구현방안 정부시책및방향

More information

Microsoft PowerPoint - 2-1. 지성우, 분쟁조정 및 재정제도 개선방향

Microsoft PowerPoint - 2-1. 지성우, 분쟁조정 및 재정제도 개선방향 방송통신융합시장에서의 분쟁조정 및 재정제도 개선방향 2010. 6. 29(화), KISDI 지 성 우(단국대 법학과) C a u t i o n 여기에서 주장된 의견은 발표자의 개인적 견해에 불과하며 특정 기관의 공식적인 견해와는 무관함을 밝힙니다. 목차 1 대안식 분쟁해결제도 개관 2 현행법상 방송통신 분쟁해결제도의 문제점 3 방방 방송통신분쟁해결 제도의 발전방향

More information

개인정보처리방침 제1조 ( 개인정보의처리목적 ) 1 정보통신정책연구원 ( 이하 연구원 이라한다 ) 은개인정보의처리목적에필요한최소한의개인정보를처리하고있으며, 연구원홈페이지 ( 또는소관부서의홈페이지에게재하여정보주체가확인할수있도록안내를하고있습니다

개인정보처리방침 제1조 ( 개인정보의처리목적 ) 1 정보통신정책연구원 ( 이하 연구원 이라한다 ) 은개인정보의처리목적에필요한최소한의개인정보를처리하고있으며, 연구원홈페이지 (  또는소관부서의홈페이지에게재하여정보주체가확인할수있도록안내를하고있습니다 개인정보처리방침 제1조 ( 개인정보의처리목적 ) 1 정보통신정책연구원 ( 이하 연구원 이라한다 ) 은개인정보의처리목적에필요한최소한의개인정보를처리하고있으며, 연구원홈페이지 (www.kisdi.re.kr) 또는소관부서의홈페이지에게재하여정보주체가확인할수있도록안내를하고있습니다. 2 연구원은고유식별정보및민감정보를수집하지않으며, 연구원홈페이지에서수집하는개인정보항목은없음을알려드립니다.

More information

신 재생에너지공급의무화 (RPS) 제도 Contents - 목차 - 1. 신에너지및재생에너지개발 이용 보급촉진법령 2. 신 재생에너지공급의무화제도관리및운영지침 3. 공급인증서발급및거래시장운영에관한규칙 신에너지및재생에너지 개발 이용 보급촉진법령 신 재생에너지공급의무화 (RPS) 제도 5 법률시행령시행규칙 신에너지및재생에너지개발 이용 보급촉진법 신에너지및재생에너지개발

More information

PEUNEGXMMOHB.hwp

PEUNEGXMMOHB.hwp 제 8 장무역에대한기술장벽및상호인정 제 8.1 조목적 이장은다음을통하여양당사국간의무역을증대하고촉진함을목적으로한다. 가. 무역에대한기술장벽에관한세계무역기구협정 ( WTO TBT 협정 ) 의 완전한이행 나. 각당사국의표준 기술규정및적합성평가제도에대한상호이해 및인식을심화함으로써양국간협력의증진. 다. 사업기회를증대시키기위한사업환경의조성및개선 제 8.2 조적용범위및방식

More information

연구원은법령에따른개인정보처리 보유또는정보주체로부터동의받은개인정보를처리및보유합니다. 각각의개인정보처리및보유기간은다음과같습니다. 1) 연구원내부방침에의한정보보유사유가. 부정이용기록 ( 비정상적서비스이용기록 ) - 보존이용 : 부정이용방지 - 보존기간 : 6개월 2) 관계법

연구원은법령에따른개인정보처리 보유또는정보주체로부터동의받은개인정보를처리및보유합니다. 각각의개인정보처리및보유기간은다음과같습니다. 1) 연구원내부방침에의한정보보유사유가. 부정이용기록 ( 비정상적서비스이용기록 ) - 보존이용 : 부정이용방지 - 보존기간 : 6개월 2) 관계법 개인정보처리방침 (2016.10.15~2018.06.30) LG경제연구원 ( 이하 ' 연구원 ') 은개인정보보호법에따라이용자의개인정보보호및권익을보호하고개인정보와관련한이용자의고충을원활하게처리할수있도록다음과같은처리방침을두고있습니다. 연구원은개인정보처리방침을개정하는경우웹사이트공지사항 ( 또는개별공지 ) 을통하여안내할것입니다. < 목차 > 1. 개인정보의처리목적 2.

More information

저작자표시 - 비영리 - 변경금지 2.0 대한민국 이용자는아래의조건을따르는경우에한하여자유롭게 이저작물을복제, 배포, 전송, 전시, 공연및방송할수있습니다. 다음과같은조건을따라야합니다 : 저작자표시. 귀하는원저작자를표시하여야합니다. 비영리. 귀하는이저작물을영리목적으로이용할

저작자표시 - 비영리 - 변경금지 2.0 대한민국 이용자는아래의조건을따르는경우에한하여자유롭게 이저작물을복제, 배포, 전송, 전시, 공연및방송할수있습니다. 다음과같은조건을따라야합니다 : 저작자표시. 귀하는원저작자를표시하여야합니다. 비영리. 귀하는이저작물을영리목적으로이용할 저작자표시 - 비영리 - 변경금지 2.0 대한민국 이용자는아래의조건을따르는경우에한하여자유롭게 이저작물을복제, 배포, 전송, 전시, 공연및방송할수있습니다. 다음과같은조건을따라야합니다 : 저작자표시. 귀하는원저작자를표시하여야합니다. 비영리. 귀하는이저작물을영리목적으로이용할수없습니다. 변경금지. 귀하는이저작물을개작, 변형또는가공할수없습니다. 귀하는, 이저작물의재이용이나배포의경우,

More information

저작자표시 - 비영리 - 변경금지 2.0 대한민국 이용자는아래의조건을따르는경우에한하여자유롭게 이저작물을복제, 배포, 전송, 전시, 공연및방송할수있습니다. 다음과같은조건을따라야합니다 : 저작자표시. 귀하는원저작자를표시하여야합니다. 비영리. 귀하는이저작물을영리목적으로이용할수없습니다. 변경금지. 귀하는이저작물을개작, 변형또는가공할수없습니다. 귀하는, 이저작물의재이용이나배포의경우,

More information

111106 한국감정원 319 111106 한국감정원 111106 한국감정원 321 총괄요약표 평가범주 지표명 비계량계량합계 가중치등급가중치득점가중치득점 1. 리더십 5 A o 5 4.500 2. 책임경영 3 B + 3 2.400 리더십 책임경영 3. 국민평가 ( 고객만족도, 브랜드 ) 4. 사회적기여 5 4.909 5 4.909 (1) 사회공헌 2 B o

More information

비 밀 보 장 확 약 서

비 밀 보 장 확 약 서 비밀보장확약서 매각대상회사의주주들 ( 이하 매각주체 ) 은매각대상회사의구주및경영권 을매각 ( 이하 본거래 ) 하려는계획을가지고있습니다. 본거래에참여하기위하여매각대상회사의재무, 영업등에관한비밀정보를제공받고자하는매수희망인 ( 이하 매수희망인 ) 은매각대상회사, 매각주체또는매각주간사로부터제공받았거나, 제공받게될모든비밀정보를본거래만을위해사용하여야하고, 매각주간사의사전서면승인없이외부에공개할수없습니다.

More information

Zentralanweisung

Zentralanweisung RBKR & RBKD Guideline 4.1 1/11 목 차 1 총칙... 2 2 개인정보의처리목적및처리하는개인정보의항목... 2 2.1 개인정보의처리목적... 2 2.2 처리하는개인정보의항목... 3 3 개인정보의처리 보유기간및파기... 4 3.1 개인정보의처리 보유기간... 4 3.2 개인정보의파기... 4 4 개인정보의제 3 자제공... 4 5 개인정보처리의위탁...

More information

BN H-00Kor_001,160

BN H-00Kor_001,160 SPD-SHD/SPD-0SHD BN68-008H-00 ..... 6 7 8 8 6 7 8 9 0 8 9 6 8 9 0 6 6 9 7 8 8 9 6 6 6 66 67 68 70 7 7 76 76 77 78 79 80 80 8 8 8 8 8 86 87 88 89 90 9 9 9 9 9 96 96 98 98 99 0 0 0 0 06 07 08 09 0 6 6

More information

약관

약관 약관 소기업 소상공인공제약관 2-1-1 < 개정 2008.5.19.> < 개정 2015.1.1.> < 개정 2008.5.19.> 4. 삭제 2-1-2 < 개정 2007.10.10., 2008.12.15.>< 호번변경 2008.5.19.> < 호번변경 2008.5.19.> < 개정 2008.5.19.>< 호번변경 2008.5.19.>

More information

<4D F736F F D D504F4C2D32382DB0B3C0CEC1A4BAB820C3B3B8AEB9E6C4A720B0D4BDC3BFEB>

<4D F736F F D D504F4C2D32382DB0B3C0CEC1A4BAB820C3B3B8AEB9E6C4A720B0D4BDC3BFEB> 개인정보처리방침 - 1 - ( 주 ) 월급날개인정보처리방침 ( 주 ) 월급날 ( 이하 회사 라한다 ) 는개인정보보호법제 30 조에따라정보주체의개인정보를보호하고이와 관련한고충을신속하고원활하게처리할수있도록하기위하여다음과같이개인정보처리지침을 수립 공개합니다. 제 1 조 ( 개인정보의처리목적 ) 회사는다음의목적을위하여개인정보를처리합니다. 처리하고있는개인정보는다음의목적이외의

More information

목차 요약문 7 1. 빅데이터분석기술과프라이버시 10 가. 빅데이터와프라이버시와의관계 10 나. 빅데이터분석기술과개인정보보호법의문제 EU의 GDPR 12 가. 개인정보의목적외처리 13 나. 익명처리와가명처리 한국의개인정보보호법 21 가. 개인정보의

목차 요약문 7 1. 빅데이터분석기술과프라이버시 10 가. 빅데이터와프라이버시와의관계 10 나. 빅데이터분석기술과개인정보보호법의문제 EU의 GDPR 12 가. 개인정보의목적외처리 13 나. 익명처리와가명처리 한국의개인정보보호법 21 가. 개인정보의 빅데이터관련 주요국가의개인정보보호법제도분석에따른 한국개인정보보호법개선의검토 고려대학교법학전문대학원박노형교수 NAVER Privacy White Paper 1 목차 요약문 7 1. 빅데이터분석기술과프라이버시 10 가. 빅데이터와프라이버시와의관계 10 나. 빅데이터분석기술과개인정보보호법의문제 11 2. EU의 GDPR 12 가. 개인정보의목적외처리 13 나. 익명처리와가명처리

More information

모바일 App 개발시프라이버시보호수칙 Provided by NAVER 출처를밝히시는경우, 누구라도본가이드라인을자유롭게사용하실 1수있습니다.

모바일 App 개발시프라이버시보호수칙 Provided by NAVER 출처를밝히시는경우, 누구라도본가이드라인을자유롭게사용하실 1수있습니다. 모바일 App 개발시프라이버시보호수칙 Provided by NAVER 출처를밝히시는경우, 누구라도본가이드라인을자유롭게사용하실 1수있습니다. 모바일 App 개발시, Privacy By Design 원칙 모바일앱을개발, 출시할때에는 Privacy by Design 철학에기초하여다음주요원칙을서비스기획단계에서부터출시및폐기단계까지적용하여야합니다. 투명한개인정보의처리

More information

교육학석사학위논문 윤리적입장에따른학교상담자의 비밀보장예외판단차이분석 년 월 서울대학교대학원 교육학과교육상담전공 구승영

교육학석사학위논문 윤리적입장에따른학교상담자의 비밀보장예외판단차이분석 년 월 서울대학교대학원 교육학과교육상담전공 구승영 저작자표시 - 비영리 - 변경금지 2.0 대한민국 이용자는아래의조건을따르는경우에한하여자유롭게 이저작물을복제, 배포, 전송, 전시, 공연및방송할수있습니다. 다음과같은조건을따라야합니다 : 저작자표시. 귀하는원저작자를표시하여야합니다. 비영리. 귀하는이저작물을영리목적으로이용할수없습니다. 변경금지. 귀하는이저작물을개작, 변형또는가공할수없습니다. 귀하는, 이저작물의재이용이나배포의경우,

More information

[ 나이스평가정보 ( 주 ) 귀중 ] 나이스평가정보 ( 주 )( 이하 회사 ) 는 SK텔레콤 ( 주 ) 의업무를대행하여휴대폰본인확인서비스를제공함에있어고객으로부터개인정보를수집하고이용하기위해 정보통신망이용촉진및정보보호에관한법률 에따라서다음과같이본인의동의를받습니다. 1. 개

[ 나이스평가정보 ( 주 ) 귀중 ] 나이스평가정보 ( 주 )( 이하 회사 ) 는 SK텔레콤 ( 주 ) 의업무를대행하여휴대폰본인확인서비스를제공함에있어고객으로부터개인정보를수집하고이용하기위해 정보통신망이용촉진및정보보호에관한법률 에따라서다음과같이본인의동의를받습니다. 1. 개 휴대폰개인정보수집, 이용동의 개인정보수집, 이용동의 [SK 텔레콤귀중 ] 본인은 SK 텔레콤 ( 주 )( 이하 회사 라합니다 ) 가제공하는본인확인서비스 ( 이하 서비스 라합니다 ) 를이용하기위해, 다음과같이 회사 가본인의개인정보를수집 / 이용하고, 개인정보의취급을위탁하는것에동의합니다. 1. 수집항목 - 이용자의성명, 이동전화번호, 가입한이동전화회사, 생년월일,

More information

표현의 자유

표현의 자유 49 정보 인권과 민주주의를 위한 입법 과제 장여경* 오병일* 정민경* 1) 목 차 I. 문제 제기 1. 정보화 정책의 주요 문제점과 과제 2. 대안으로서 정보인권 II. 표현의 자유 1. 개념 2. 입법 과제 III. 프라이버시권 1. 개념 2. 입법 과제 IV. 정보문화향유권 1. 개념 2. 입법 과제 V. 정보접근권과 인터넷 망중립성 1. 개념 2. 입법

More information

제 코스닥상장법인내부정보관리규정 제 1 장총칙 제 1 조 ( 목적 ) 이규정은 자본시장과금융투자업에관한법률 ( 이하 법 이라한 다 ) 및제반법규에따른신속 정확한공시및임원 직원의내부자거래방지 를위하여회사내부정보의종합관리및적절한공개등에관한사항을정함 을목적으로한다. 제 2 조 ( 용어의정의 ) 1 이규정에서 내부정보 라함은코스닥시장공시규정 ( 이하 공시규정 이라한다

More information

개인

개인 < 개인정보처리자의개인정보처리방침 > 비엔피파리바은행서울지점 ( 이하 당행 ) 은개인정보보호법제30조와정보통신망이용촉진및정보보호에관한법률제27조의2에따라정보주체의개인정보보호및권익을보호하고개인정보와관련한정보주체의고충을원활하게처리할수있도록다음과같은처리방침을둔다. 정보주체 라함은처리되는정보에의하여식별될수있는사람으로서그정보의주체가되는사람을말한다. 제 1 조 ( 개인정보보호원칙

More information

테스트인증기관인증업무준칙 (cps)... 버전 년 4 월 21 일 Managed-PKI 테스트인증기관업무준칙 (" 테스트 CPS") 을자세히읽어야합니다. 아래의 " 승인 " 을누르거나테스트인증또는테스트 CA 루트인증 ( 계약조간은아래정의 ) 을요청, 사

테스트인증기관인증업무준칙 (cps)... 버전 년 4 월 21 일 Managed-PKI 테스트인증기관업무준칙 ( 테스트 CPS) 을자세히읽어야합니다. 아래의  승인  을누르거나테스트인증또는테스트 CA 루트인증 ( 계약조간은아래정의 ) 을요청, 사 테스트인증기관인증업무준칙 (cps)... 버전 2.0 2000 년 4 월 21 일 Managed-PKI 테스트인증기관업무준칙 (" 테스트 CPS") 을자세히읽어야합니다. 아래의 " 승인 " 을누르거나테스트인증또는테스트 CA 루트인증 ( 계약조간은아래정의 ) 을요청, 사용, 의존함으로써본테스트 CPS의계약조건에구속되며이테스트 CPS의당사자가됩니다. 본테스트 CPS의계약조건에동의하지않는다면,

More information

(K47-19 \263\353\265\277.hwp)

(K47-19 \263\353\265\277.hwp) 제 노 19 장 동 제 19.1 조공동약속성명 1. 양당사국은국제노동기구( 국제노동기구 ) 의회원으로서의의무와작업장 에서의기본원칙및권리에관한국제노동기구선언과그후속조치(1998 년) ( 국 제노동기구선언 ) 1) 상의약속을재확인한다. 각당사국은그러한노동원칙과제 19.7 조에규정된국제적으로인정된노동권이자국법에의하여인정되고보호되도 록보장하기위하여노력한다. 2. 자국의국내노동기준을수립하고자국의노동법을이에따라채택하거나

More information

<30312E20B9DAB3EBC7FC2DC1A4B8EDC7F620B1B3BCF6B4D45F32C2F7C6EDC1FD2E687770>

<30312E20B9DAB3EBC7FC2DC1A4B8EDC7F620B1B3BCF6B4D45F32C2F7C6EDC1FD2E687770> 제 85 호 2017. 6. 高麗大學校法學硏究院 간행사 이번에이제85호를발간하게되었습니다. 많은교수님들과연구원들께서좋은논문을투고하여주시고공정하고엄격한심사를통해게재되는과정을거치면서은우리나라에서선도적인법학전문학술지로자리매김하고있다고생각합니다. 이번호의특집주제는 빅데이터시대와개인정보보호 입니다. 4차산업혁명시대의핵심요소는빅데이터이며이로인한개인정보의보호문제는매우중요하다고할수있습니다.

More information

170523_(주)ë°±ê¸‹í‰°ìŁ¤ìŠ’ìš´ ë‡´ë¶•ì€Łë³´ê´•ë¦¬ê·œì€Ł( ê°œì€Ł)⟖

170523_(주)ë°±ê¸‹í‰°ìŁ¤ìŠ’ìš´ ë‡´ë¶•ì€Łë³´ê´•ë¦¬ê·œì€Ł( ê°œì€Ł)⟖ 내부정보관리규정 주식회사백금티앤에이 내부정보관리규정 제정 2009. 09. 01 개정 2017. 05. 23 제 1 장총칙 제 1 조 ( 목적 ) 이규정은 자본시장과금융투자업에관한법률 ( 이하 법 이라한다 ) 및 제반법규에따른신속 정확한공시및임원 직원의내부자거래방지를위하여회사내 부정보의종합관리및적절한공개등에관한사항을정함을목적으로한다. 제2조 ( 용어의정의 )

More information

슬라이드 1

슬라이드 1 개인정보보호법주요내용 2015-1 - COPYRIGHT (c) 2010 by MINISTRY OF Public Administration and Security. All rights reserved. 1 법률적용대상및범위 법시행이전분야별개별법이있는경우에한해개인정보보호의무적용 ( 약 51만 ) - 공공기관 : 공공기관개인정보보호법 - 신용정보제공 이용자 : 신용정보법

More information

450 공기업 2 총괄요약표 평가범주 지표명 비계량계량합계 가중치등급가중치득점 ( 점 ) 가중치득점 1. 리더십 5 B 책임경영 3 B 리더십 책임경영 3. 국민평가 ( 고객만족도, 브랜드 )

450 공기업 2 총괄요약표 평가범주 지표명 비계량계량합계 가중치등급가중치득점 ( 점 ) 가중치득점 1. 리더십 5 B 책임경영 3 B 리더십 책임경영 3. 국민평가 ( 고객만족도, 브랜드 ) 131908 한국감정원 449 131908 한국감정원 450 공기업 2 총괄요약표 평가범주 지표명 비계량계량합계 가중치등급가중치득점 ( 점 ) 가중치득점 1. 리더십 5 B + 5 4.000 2. 책임경영 3 B 0 3 2.100 리더십 책임경영 3. 국민평가 ( 고객만족도, 브랜드 ) 5 4.680 5 4.680 4. 사회적기여 (1) 사회공헌 2 B +

More information

< DC1A6C1D6C1BEC7D5BBE7C8B8BAB9C1F6B0FCBBE7BEF7BAB8B0EDBCADC7A5C1F62E696E6464>

< DC1A6C1D6C1BEC7D5BBE7C8B8BAB9C1F6B0FCBBE7BEF7BAB8B0EDBCADC7A5C1F62E696E6464> Jeju Community Welfare Center Annual Report 2015 성명 남 여 영문명 *해외아동을 도우실 분은 영문명을 작성해 주세요. 생년월일 E-mail 전화번호(집) 휴대폰 주소 원하시는 후원 영역에 체크해 주세요 국내아동지원 국외아동지원 원하시는 후원기간 및 금액에 체크해 주세요 정기후원 월 2만원 월 3만원 월 5만원 )원 기타(

More information

고3-02_비문학_2_사회-해설.hwp

고3-02_비문학_2_사회-해설.hwp 비문학 기출 제재별 문제 모음 (2007~2011학년도 학력평가) 정답 및 해설 사회 2 비문학 사회 01 사회 2011 학년도 10 월학력평가 정답과해설 사회 1 2012 학년도 11 월모의평가 ( 대전 ) 1. 이해한내용으로추론하는능력을파악하는문제이다. 1 7. 유사한사례를파악한다. 5 [ 오답풀이 ] 2. 이해한내용을바탕으로적용할수있는능력을파악하는문제이다.

More information

강의지침서 작성 양식

강의지침서 작성 양식 정보화사회와 법 강의지침서 1. 교과목 정보 교과목명 학점 이론 시간 실습 학점(등급제, P/NP) 비고 (예:팀티칭) 국문 정보화사회와 법 영문 Information Society and Law 3 3 등급제 구분 대학 및 기관 학부(과) 전공 성명 작성 책임교수 법학전문대학원 법학과 최우용 2. 교과목 개요 구분 교과목 개요 국문 - 정보의 디지털화와 PC,

More information

80 경찰학연구제 13 권제 2 호 ( 통권제 34 호 ) Ⅱ. 이론적논의와선행연구검토

80 경찰학연구제 13 권제 2 호 ( 통권제 34 호 ) Ⅱ. 이론적논의와선행연구검토 범죄억제력의효과적발현모델연구 - 억제이론의집결지해체사례적용 분석을중심으로 - A Study on the Model for Effective Crime Deterrence : - Application and Analysis of Deterrence Theory to the Case of Eradicating the Red-light District - 서준배

More information

개인정보보호담당자 란개인정보책임자가업무를수행함에있어보조적인역할을하는자를말하며개인정보보호책임자가일정요건의자격을갖춘이를지정한다 개인정보취급자 란개인정보처리자의지휘 감독을받아개인정보를처리하는업무를담당하는자로서직접개인정보에관한업무를담당하는자와그밖에업무상필요에의해개인정보에접근하

개인정보보호담당자 란개인정보책임자가업무를수행함에있어보조적인역할을하는자를말하며개인정보보호책임자가일정요건의자격을갖춘이를지정한다 개인정보취급자 란개인정보처리자의지휘 감독을받아개인정보를처리하는업무를담당하는자로서직접개인정보에관한업무를담당하는자와그밖에업무상필요에의해개인정보에접근하 우송정보대학개인정보보호내부관리계획 제 장총칙 제정 제 조 목적 개인정보보호내부관리계획은개인정보보호법제 조 안전조치의무 내부관리계획의수립및시행의무에따라제정된것으로우송정보대학이취급하는개인정보를체계적으로관리하여개인정보가분실 도난 누출 변조 훼손 오 남용등이되지아니하도록함을목적으로한다 제 조 적용범위 본계획은홈페이지등의온라인을통하여수집 이용 제공또는관리되는개인정보뿐만아니라오프라인

More information

행정학석사학위논문 공공기관기관장의전문성이 조직의성과에미치는영향 년 월 서울대학교행정대학원 행정학과행정학전공 유진아

행정학석사학위논문 공공기관기관장의전문성이 조직의성과에미치는영향 년 월 서울대학교행정대학원 행정학과행정학전공 유진아 저작자표시 - 비영리 - 변경금지 2.0 대한민국 이용자는아래의조건을따르는경우에한하여자유롭게 이저작물을복제, 배포, 전송, 전시, 공연및방송할수있습니다. 다음과같은조건을따라야합니다 : 저작자표시. 귀하는원저작자를표시하여야합니다. 비영리. 귀하는이저작물을영리목적으로이용할수없습니다. 변경금지. 귀하는이저작물을개작, 변형또는가공할수없습니다. 귀하는, 이저작물의재이용이나배포의경우,

More information

2016년 신호등 10월호 내지.indd

2016년 신호등 10월호 내지.indd www.koroad.or.kr E-book 10 2016. Vol. 434 62 C o n t e n t s 50 58 46 24 04 20 46 06 08, 3 3 10 12,! 16 18 24, 28, 30 34 234 38? 40 2017 LPG 44 Car? 50 KoROAD(1) 2016 54 KoROAD(2), 58, 60, 62 KoROAD 68

More information

?.? -? - * : (),, ( 15 ) ( 25 ) : - : ( ) ( ) kW. 2,000kW. 2,000kW 84, , , , : 1,

?.? -? -   * : (),, ( 15 ) ( 25 ) : - : ( ) ( ) kW. 2,000kW. 2,000kW 84, , , , : 1, 기계 기구및설비설치또는변경시사업장안전성문제가걱정된다면? 제조업등유해 위험방지계획서로해결하세요! '14 9 13 10 13. ?.? -? - www.kosha.or.kr * : (),, ( 15 ) - 15 - ( 25 ) - 2 - : - : ( 2013-2 ) ( ) 10. 500kW. 2,000kW. 2,000kW 84,000 123,000 183,000

More information

슬라이드 1

슬라이드 1 개 인 정 보 홍길동 출근 ~( 교통카드, CCTV) 이름, 계좌, 카드번호, 영상 오늘의이슈?(SNS) ID, PW, 사진, 동영상, 빅데이터 사무실출입 ( 전자카드 ) 이름, 직번 점심식사 ( 신용카드, 포인트카드 ) 이름, 계좌, 연락처, 위치정보 업체와회의 ( 명함교환 ) 이름, 전화번호, 핸드폰번호, 이메일 일하자!( 그룹웨어 ) ID, PW, 인터넷이용기록

More information