<4D F736F F D20B1E2C8B9BDC3B8AEC1EE2DC8ABBCB1B1E2>

Similar documents
(012~031)223교과(교)2-1

[ 목차 ]

한국의 양심적 병역거부

<37322DC0CEB1C7BAB8C8A3BCF6BBE7C1D8C4A2C0C7B0DFC7A5B8ED5B315D2E687770>

저작자표시 - 비영리 - 변경금지 2.0 대한민국 이용자는아래의조건을따르는경우에한하여자유롭게 이저작물을복제, 배포, 전송, 전시, 공연및방송할수있습니다. 다음과같은조건을따라야합니다 : 저작자표시. 귀하는원저작자를표시하여야합니다. 비영리. 귀하는이저작물을영리목적으로이용할

2002report hwp

프랑스 (Loi n du 6 janvier 1978 relative a l'informatique, aux fichiers et aux libertes L'Assemblee nationale et le Senat ont adopte) 독일 (Bundesdat

개인정보처리방침_성동청소년수련관.hwp


1. 이 사건 공소사실의 요지 이 사건 공소사실의 요지는 피고인 함선주, 김 영은는 삼성에스디아이(SDI)주식회사(이하 삼성SDI'라고 함)의 협력업체인 영 회사 소속 근로자였고, 피고인 강용환는 또 다른 협력업체인 명운전자 주식회사 소 였다. 삼성SDI는 세계 디스플

G lobal M arket Report 유럽재정위기 2 년, 주요국변화동향

개인정보처리방침 ( 개정 ) 한국교육개발원 ' 방송통신중 고등학교운영센터 ( 이하 운영센터 )' 에서취급하는모든개인정보는관련법령에근거하여수집 보유및처리되고있습니다. 개인정보보호법 은이러한개인정보의취급에대한일반적규범을제시하고있으며, < 방송중 고사이버교

목차 요약문 머리말 GDPR 제정이전의개인정보보호를위한 EU의노력 150 가. CoE Convention 나. 정보보호지침 (95/46/EC) 150 다. US-EU Safe Harbor Framework 151 라. EU-US

EU 29 조작업반의 GDPR 대응동향 년개정및신규발표한 GDPR 가이드라인을중심으로 < 목차 > * 2017년 9월해외개인정보보호동향핫이슈보고서에서 해외주요국의 GDPR 대응동향 EU회원국을중심으로 를다룬바있음 * 본동향보고서에서는위동향보고서에이어, EU

41호-소비자문제연구(최종추가수정0507).hwp

아동

1

1. 상고이유 제1, 2점에 관하여 가. 먼저, 구 정보통신망 이용촉진 및 정보보호 등에 관한 법률( 법률 제11690호로 개정되기 전의 것, 이하 구 정보통신망법 이라 한다) 제44조의7 제3항이 정한 정보의 취급 거부 등 에 웹사이트의 웹호스팅

(중등용1)1~27

1. 상고이유 제1점에 대하여 구 도시 및 주거환경정비법( 법률 제9444호로 개정되기 전의 것, 이하 구 도시정비법 이라 한다) 제4조 제1항, 제3항은 시 도지사 또는 대도시의 시장이 정비구 역을 지정하거나 대통령령이 정하는 경미한 사항을 제외한

슬라이드 1

< C617720BBF3B4E3BBE7B7CAC1FD20C1A632B1C72E687770>

3 삭제요구 4 처리정지요구 2. 제 3 조 1 항에따른권리행사는회사에대해개인정보보호법시행규칙별지제 8 호서식에 따라서면, 전자우편, 모사전송 (FAX) 등을통하여하실수있으며회사는이에대해지체없이 조치합니다. 3. 정보주체가심각한개인정보의오류등에대한정정또는삭제를요구한경우

.....hwp

제 2 편채권총론 제1장채권의목적 제2장채권의효력 제3장채권의양도와채무인수 제4장채권의소멸 제5장수인의채권자및채무자

<38BFF9C8A32D352E687770>

USC HIPAA AUTHORIZATION FOR

Output file

장애인건강관리사업

네이버 개인정보백서

개인정보수집 제공동의서작성가이드라인 업무처리에필요한개인정보파악 처리하고자하는업무에꼭필요한최소한의개인정보는어떤것들이있는지파악합니다 고유식별정보나민감정보는일반개인정보와구분하여처리하여야하므로처리하고자하는개인정보중에고유식별정보나민감정보가있는지확인해야합니다 개인정보의보유기간확인

화장품독성시험동물대체시험법가이드라인 (I) 독성평가연구부특수독성과

중요문서 개인정보처리방침 제정 : 최근개정 : 제1조 ( 목적 ) 신한아이타스 ( 이하 회사 라한다 ) 는개인정보보호법제30조에따라정보주체의개인정보를보호하고이와관련한고충을신속하고원활하게처리할수있도록하기위하여다음과같이개인정보처리방침

목차 Ⅰ. 추진배경 1 Ⅱ. 개인정보수집원칙 2 Ⅲ. 개인정보처리자조치요령 3 1. 필요최소한개인정보수집 3 2. 정보주체의실질적동의권보장 8 3. 고유식별정보및민감정보처리제한 12 < 참고 > 개인정보수집이용동의서 ( 예시 )

2016년 신호등 4월호 내지A.indd

<31322D312D303920C1A4BBF3B1E220B1E8B0E6BFAD2E687770>


제 5 절지정 제 6 절위치 제 7 절업무 제 4 장 연방정보보호및정보자유커미셔너 제 8 절설립 제 9 절자격 제 10 절독립 제 11 절임명및임기 제 12 절공식관계 제 13 절권리및의무 제 14 절업무 제 15 조활동보고서 제 16 절권한 제 5 장 유럽

FOCUS FOCUS 1 잊혀질권리의효율적인발전방향연구 - 잊혀질권리를둘러싼논쟁에대한검토를중심으로 - 김혜진 *, 강달천 ** 잊혀질권리 는흔히 광범위하게오픈된인터넷상에존재하는자신과관련한정보의삭제를요구할수있는권리 로특히새로운유형의개인정보생성은정보주체스스로자신의개인정보통

<4D F736F F D205B46696E616C5DB0B3C0CEC1A4BAB8C3B3B8AEB9E6C4A75FC1F7BFF8BFEB5F E30332E3239>

- 2 -

120330(00)(1~4).indd

01-02Àå_»ç·ÊÁýb74öÁ¤š

대림코퍼레이션은 ( 이하 ' 회사 ' 라칭함 ) 개인정보보호법, 정보통신망이용촉진및정보보호에관한법률 을준수하고있으며, 정보주체의개인정보보호및권익을보호하고개인정보와관련한정보주체의고충을원활하게처리할수있도록다음과같은개인정보처리방침을제정하고이를준수하고있습니다. 회사의 " 개인

모바일 App 개발시프라이버시보호수칙 Provided by NAVER 출처를밝히시는경우, 누구라도본가이드라인을자유롭게사용하실 1수있습니다.

PowerPoint 프레젠테이션

1 1 [ ] ( ) 30 1 ( ) 31 1 ( ),. 2 [ ]. 1., ( ). 2.,,,,,,,,,,, ( 訂正 ),,,,, ( 破棄 ), ( 集合物 ). 5., /38

인터넷법제동향 제 호 인터넷법제동향제 60 호 2012 년 9 월호

[ 별지제3 호서식] ( 앞쪽) 2016년제2 차 ( 정기ㆍ임시) 노사협의회회의록 회의일시 ( 월) 10:00 ~ 11:30 회의장소본관 11층제2회의실 안건 1 임금피크대상자의명예퇴직허용및정년잔여기간산정기준변경 ㅇ임금피크제대상자근로조건악화및건강상

테스트인증기관인증업무준칙 (cps)... 버전 년 4 월 21 일 Managed-PKI 테스트인증기관업무준칙 (" 테스트 CPS") 을자세히읽어야합니다. 아래의 " 승인 " 을누르거나테스트인증또는테스트 CA 루트인증 ( 계약조간은아래정의 ) 을요청, 사

allinpdf.com

- 2 - 결혼생활 유지에 중대한 지장을 초래하는 정신질환 병력과 최근 10년간 금고 이상의 범죄경력을 포함하고, 신상정보(상대방 언어 번역본 포함)의 내용을 보존토록 하는 등 현행법의 운영상 나타나는 일부 미비점을 개선 보완함으로써 국제결혼중개업체의 건전한 영업을 유


2016년 신호등 10월호 내지.indd

???德嶠짚

2),, 312, , 59. 3),, 7, 1996, 30.

추계예술대학교개인정보처리방침 추계예술대학교 ( 이하본교 ) 는개인정보보호법제 30 조에따라정보주체의개인정보를 보호하고이와관련한고충을신속하고원활하게처리할수있도록하기위하여다음과 같이개인정보처리지침을수립 공개합니다. 제1조개인정보의처리목적, 개인정보의처리및보유기간, 처리하는

1 - 서울특별시강서구누리소통망서비스 (SNS) 관리및 운영에관한조례제정안 검토보고서 1. 회부경위 가. 의안번호 : 나. 제출자 : 서울특별시강서구청장다. 제출일 : 2017 년 5월 2일라. 회부일자 : 2017 년 5월 8일 2. 제안이유 인터넷,

내지(교사용) 4-6부

동서울대학교개인정보처리방침 동서울대학교 이하본교 는개인정보보호법제 조에따라정보주체의개인정보 를보호하고이와관련한고충을신속하고원활하게처리할수있도록하기위하여 다음과같이개인정보처리지침을수립 공개합니다 제 조 개인정보의처리목적 본교는다음의목적을위하여개인정보를처리합니다 처리하고있

<4D F736F F D D504F4C2D32382DB0B3C0CEC1A4BAB820C3B3B8AEB9E6C4A720B0D4BDC3BFEB>

조사보고서 구조화금융관점에서본금융위기 분석및시사점

63 Ⅰ. 서론기술의발전으로인한디지털화는정보사회에서데이터의저장과유통을손쉽게이룰수있게하였다. 그러나그에따라여러부작용또한발생하게되는데그중의하나가 망각의부재 이다. 빅토르마이어쇤베르거 (2011) 는디지털환경에서 지워지지않는기록 의문제를제기하였다. 온라인상에서는이용자의흔적에

80 경찰학연구제 13 권제 2 호 ( 통권제 34 호 ) Ⅱ. 이론적논의와선행연구검토

저작자표시 - 비영리 - 변경금지 2.0 대한민국 이용자는아래의조건을따르는경우에한하여자유롭게 이저작물을복제, 배포, 전송, 전시, 공연및방송할수있습니다. 다음과같은조건을따라야합니다 : 저작자표시. 귀하는원저작자를표시하여야합니다. 비영리. 귀하는이저작물을영리목적으로이용할

¾Æµ¿ÇÐ´ë º»¹®.hwp

어린이집영상정보처리기기 설치 운영가이드라인 보건복지부 - 1 -

저작자표시 - 비영리 - 변경금지 2.0 대한민국 이용자는아래의조건을따르는경우에한하여자유롭게 이저작물을복제, 배포, 전송, 전시, 공연및방송할수있습니다. 다음과같은조건을따라야합니다 : 저작자표시. 귀하는원저작자를표시하여야합니다. 비영리. 귀하는이저작물을영리목적으로이용할

개인정보보호지침 개인정보보호지침 제 6 장영상정보처리기기설치 운영 제 1 절영상정보처리기기의설치 제61조 ( 적용범위 ) 이장은본교가공개된장소에설치 운영하는영상정보처리기기와이기기를통하여처리되는개인영상정보를대상으로한다. 제62조 ( 영상정보처리기기운영 관리방침 ) 1 영

¼ºÆø·Â-º»¹®

2015 년세법개정안 - 청년일자리와근로자재산을늘리겠습니다. -

(K47-19 \263\353\265\277.hwp)

1. 보고서의 목적과 개요 (1) 연구 목적 1) 남광호(2004), 대통령의 사면권에 관한연구, 성균관대 법학과 박사논문, p.1 2) 경제개혁연대 보도자료, 경제개혁연대, 사면심사위원회 위원 명단 정보공개청구 -2-

Microsoft PowerPoint 산업전망_통장전부_v9.pptx

며 오스본을 중심으로 한 작은 정부, 시장 개혁정책을 밀고 나갔다. 이에 대응 하여 노동당은 보수당과 극명히 반대되는 정강 정책을 내세웠다. 영국의 정치 상황은 새누리당과 더불어 민주당, 국민의당이 서로 경제 민주화 와 무차별적 복지공약을 앞세우며 표를 구걸하기 위한



< E C0AFB7B4BFACC7D5C0C720BAF2B5A5C0CCC5CD20B0FCB7C320B9FDC1A6BFA120B0FCC7D120B0EDC2FB28B1E8C1A4C7F6292E687770>

선진사례집(0529)

Microsoft PowerPoint - 6.pptx

연구원은법령에따른개인정보처리 보유또는정보주체로부터동의받은개인정보를처리및보유합니다. 각각의개인정보처리및보유기간은다음과같습니다. 1) 연구원내부방침에의한정보보유사유가. 부정이용기록 ( 비정상적서비스이용기록 ) - 보존이용 : 부정이용방지 - 보존기간 : 6개월 2) 관계법

Zentralanweisung


Microsoft PowerPoint 지성우, 분쟁조정 및 재정제도 개선방향


신규투자사업에 대한 타당성조사(최종보고서)_v10_클린아이공시.hwp

5 291

프라이버시 보호

뉴스95호

개인

사회문화적관점에서개발주의비판하기 사회양극화와개발주의 Ÿ Ÿ Ÿ /

<4D F736F F D20C3D6BDC C0CCBDB4202D20BAB9BBE7BABB>

년 2 월 1 1일에 모 스 크 바 에 서 서명된 북 태 평양 소하 성어족자 원보존협약 (이하 협약 이라 한다) 제8조 1항에는 북태평양소하성어류위원회 (이하 위원회 라 한다)를 설립한다고 규정되어 있다. 제8조 16항에는 위원회가 을 채택해야 한다고 규정

<312E20C0AFC0CFC4B3B5E55F C0FCC0DAB1E2C6C720B1B8B8C5BBE7BEE7BCAD2E687770>

2/21

untitled

< Personal Information Handlers’ Privacy Policy on Processing (Handling) of Personal Information>



untitled

Transcription:

유럽개인정보보호법령 (GDPR) 의주요내용과국내에의영향 홍선기독일정치경제연구소연구위원 2015 년 12월유럽에서는역사적인개인정보보호법령 (General Data Protection Regulation: GDPR) 이통과되었다. 동법은 2년의유예기간을거쳐 2018 년 5월 25일부터시행될예정이다. 이는지난 1995 년제정되어 20여년동안유럽연합의개인정보의기준역할을해왔던개인정보보호지침 (95/46/EC) 을보다강화한것이다. 이러한일련의과정은유럽회원국에게동일하게적용되는단일규범을만듦으로써유럽회원국의개인정보보호수준을한단계더높이겠다는야심찬노력의결과물이다. 이러한새로운법제의탄생은우리에게도적지않은영향을끼칠것으로판단된다. 따라서우리도이에대해고찰하고그파급효과에효과적으로대비해야한다. I. 서론 2012 년부터유럽에서는개인정보보호법령 (GDPR) 이논의되었으며 4 년만에마침내합의에이르게되었다. 이렇게합의에이른유럽개인정보보호법령은비단유럽을넘어서국제적인개인정보보호법제의기준으로서자리매김할전망이다. 실제로이미이와같은현상은유럽사법재판소에서 2015 년에내린 Maximillian Schrems vs. Data Protection Commission Ireland 사건에서 1) 확인된바있다. 이판결로인해미국도자국의개인정보보호법제를바꾸어야만했다. 현재의 GDPR 보다규범력이약했던당시의 EU 개인정보보호지침 (95/46/EC) 의경우에도미국이라는초강대국의변 * 본내용은홍선기연구위원 ( 02-2260-8682), sungihong@hanmail.net) 에게문의하시기바랍니다. ** 본내용은필자의주관적인의견이며 IITP 의공식적인입장이아님을밝힙니다. 1) 오스트리아인 Maximillian Schrems 는 2008 년페이스북에가입했는데자신의개인정보가페이스북의아일랜드지부에서미국지부로전송된이후전직미국국가안보국 (NSA) 직원 Edward Snowden 의폭로사건이후미국의법과관행은개인정보를충분히보장하고있지못하다고주장하면서아일랜드 Data Protection Commissioner 에게이의를제기하였으나아일랜드담당자는미국과는 safe harbour 를근거로이를기각하였다. 이에아일랜드고등법원을거처 ECJ 까지오게되었다. 2015 년 10 월 6 일유럽사법재판소 (ECJ) 는아일랜드정보보호위원회가유럽과미국의정보공유협정상의 Safe harbour 를적용하여내린결정이무효라고결정하였다. 왜냐하면미국의 safe harbour 는개인정보에대한접근또는해당정보의수정및삭제할수있는법적수단을제공하지않기때문이다. 2 www.iitp.kr

기획시리즈 - 정보보호 보안 화를이끌어내었다면 2016 년에통과된 GDPR 은결국보다막강한국제적영향력을지닐것으로판단된다. 2) 우리국민들이나특히기업들도 GDPR 의영향력으로부터벗어나기힘들다고봐야한다. 왜냐하면개인정보보호에실패한기업의경우전세계매출액의최대 4% 까지과징금을맞을수있기때문이다. 구체적으로상상해보면전세계매출이 100 조원인기업이새로운유럽의 GDPR 을제대로모르고기업활동을하다가자칫본규정을위반하거나개인정보누출사고가발생할경우 4 조원의과징금까지물어낼수도있다는의미이다. 뿐만아니라손해배상은이와별도로진행된다. 실로엄청난규제가아닐수없다. 실제로로이터통신은구글과페이스북과같은대표적인미국 IT 기업들이수십억달러에해당하는과징금을받을수있다고경고한바있다. 이는우리기업의경우도마찬가지일것이다. 그래서이를대비하기위해호주의경우 GDPR 을대비한가이드라인을만들었고영국도자국기업을위해안내서를만들어배포하고있다. 하지만국내에서는이에대한준비가미흡한상황이다. 우리기업들에게는부담이될수밖에없는실정이다. 따라서본고에서는 GDPR 의주요내용을검토해보고특히우리기업의경우무엇을주의하고준비해야하는지에대해간략하게나마확인해보고자한다. II. 유럽의개인정보보호법제전개과정 1. 독일의개인정보보호법개인정보자기결정권은자신에대한정보가언제, 어떻게, 어느범위내에서타인에게이용또는활용되게할수있는지를해당개인 ( 정보주체 ) 스스로결정할수있는권리를의미한다. 3) 개인정보를보호하기위한법제도는 1960 년대후반부터개인용컴퓨터의보급확대와더불어여러나라에서검토되기시작했다. 그중세계최초로개인정보를법으로보호한나라는독일이다. 독일의헤센 (Hessen) 주 ( 州 ) 가 1971 년개인정보보호법을제정했다. 이후독일에서는특히 1983 년인구조사판결 (Volkszählungsurteil) 을 4) 계기로기본권으로서의위상을확보하게되었다. 독일은이판결을통해 Konrad Hesse(1919-2005) 교수가개인정보자기결정권이라는용어를처음 2) 유럽연합의법은각회원국에직접적인법적효력을미치는 Regulation 과회원국에서입법지침을주는 Directive 로나뉜다. 따라서 Regulation 이 Directive 보다규범력이강하다고볼수있다. 3) 헌재 2005.7.21. 선고 2003 헌마 282 425 결정 ; 2005.5.26. 선고 99 헌마 513 2004 헌마 190( 병합 ) 결정 4) BVerfGE 65. 1. 정보통신기술진흥센터 3

사용하면서일반적인격권 (allgemeine Persönlichkeitsrecht) 에포함된독자적인기본권임을인정했다 [3]. 이판결에서독일연방헌법재판소는개인의자유로운인격발현에대한기본권 ( 기본법제 2 조제 1 항 ) 과인간의존엄성 ( 제 1 조 ) 를근거로 개인은자신과관련된정보의제공과이용을스스로결정할권리를갖는다 고인정하고있다. 여기서 자신의정보의사용및포기를원칙적으로스스로결정할권한, 즉 정보의자기결정권 (Recht auf informationelle Selbstbestimmung) 의개념을도출했다. 이판결에서독일연방헌법재판소는인구 직장 주거및직장의통계조사에관한내용을담고있는인구조사법 (Volkszählungsgesetz 1983) 의일부규정이독일기본법제 1 조제 1 항과결부된제 2 조제 1 항의일반적인격권을위반하여위헌 무효라고결정했다. 이판결을통해독일의정보보호법의이론적토대가구축되었고, 무엇보다개인정보자기결정권이기본권의하나로인정받게되면서개인정보의조사 수집에대한한계의기준이마련되었다. 2. OECD 의프라이버시보호와개인정보국제유통에관한가이드라인 [1] 1960 년대초반부터 OECD 는국제적인차원에서데이터보호규제의필요성을주장하여왔으며, 1980 년 9 월에 프라이버시보호와개인정보의국제유통에관한가이드라인 을채택했다. 특히, 이중에서제 2 부의이른바 기본원칙 으로제시한 8 원칙 ( 제 7 조부터제 14 조까지 ) 은개인정보처리의기본구상을나타낸것이며, 각국의개인정보보호법에많은영향을미치게되었다. 이에따르면 1 개인정보의수집에관하여는수집대상에한계가있으며, 방법에도원칙이있다는수집제한의원칙, 2 개인정보는이용목적과관계가있고, 정확 안전 최신일것이요구된다는내용의정보품질의원칙, 3 수집의목적은명확해야하며, 이후의이용도목적에구속된다는목적명확성의원칙, 4 이용은수집목적의범위로제한된다는이용제한의원칙, 5 조직적관리나암호화등의안전조치를내용으로하는안전보호의원칙, 6 개인참가의전제로서정보공개정책을의미하는공개의원칙, 7 자기정보에대하여액세스 정정 삭제를요구하는등의관여를인정하는개인참여의원칙, 8 이원칙들의실현을위한정보관리자의책임의원칙이다. 3. EU 개인정보보호지침 (Directive 95/46/EC) EU 에서는개인정보보호에관한최초의제안이 1990 년에나왔지만, 유럽연합 (EU) 은 1995 년 4 www.iitp.kr

기획시리즈 - 정보보호 보안 에회원국들에대하여개인정보보호에관한국내입법조치를의무화하는개인정보보호지침 (Directive 95/46/EC) 을통과시켰다. 이지침은스마트폰의등장과국경을초월한개인정보의거래과정이라는모바일환경의변화를대비하고있다. 이지침은특히개인정보의제 3 국으로의이전을금지했다. 하지만만일제 3 국이적정한수준의개인정보보호시스템 (an adequate level of protection) 를갖춘경우에는국외이전이가능한예외를인정하고있다 (25 조 ). 이와같이 EU 는회원국들이아무리개인정보를제대로보호하고있더라도정보를전송받은제 3 국에서그정보를제대로관리하지못하면자국민의개인정보에관한권리가침해될수있다고보고, 동지침에수준에맞는입법을각회원국들이하도록하는한편개인정보가잘보호되지못하는나라에대하여는정보의이전을금하게하는입장을취하였다. 이때문에이지침은 EU 뿐만아니라다른국가의개인정보보호정책에도큰영향을미치게되었고개인정보보호법제의국제적통일을촉진하게되었다. 그래서거의 20 년동안유럽연합뿐만아니라전세계의개인정보보호법제의모델이되어왔다. III. 유럽개인정보보호법령 (GDPR) 내용개관 2016 년 GDPR 은 95 년지침 ( 전 7 장 34 개조 ) 에비해조문수가대폭증가 ( 전 11 장 99 개조로구성 ) 하고, EU 전체에대해직접적용가능하며법적구속력을가지는법규범 (Regulation) 으로강화되었다. GDPR 의목적은개인정보처리에관한자연인의보호와동시에개인정보의자유로운이동을보장함에있다. 동법령을크게개관하여보면다음과같다 : 제 1 장총칙 ( 1~ 4) 제 2 장원칙 ( 5~ 11) 제 3 장정보주체의권리 ( 12~ 23) 제 4 장관리자와처리자 ( 24~ 43) 제 5 장개인정보의제 3 국이나국제조직으로의이전 ( 44~ 50) 제 6 장독립적감독기관 ( 51~ 59) 제 7 장협력과일관성 ( 60~ 76) 제 8 장권리구제, 책임및벌칙 ( 77~ 84) 정보통신기술진흥센터 5

제 9 장특별한정보처리상황과관련되는조항 ( 86~ 91) 제 10 장위임법령과집행법령 ( 92~ 93) 제 11 장최종규정 ( 94~ 99) 1. 적용범위 가. 인적적용범위 ( 11) 자연인에대해서만그보호의대상으로상정하고있다. 이러한자연인은그국적과거주지에관계없이그개인정보는보호된다. 따라서, 사자 ( 死者 ) 나법인등자연인이아닌자의개인정보는그보호대상에서제외된다. 또한, 자연인이면그적용대상이되고, EU 시민인지여부는묻지않는다. 하지만특별법에서는법인에대해서도보호의대상임을명문으로규정한경우, 예컨대, 2002 년전자통신분야지침은 법인인가입자들의정당한이익의보호 ( 12) 를명시하여규정하고있는경우에는예외도있다. 나. 물적적용범위 ( 2) 개인정보의처리와관련한개인의보호에있어서는그처리에사용되는수단이자동화된것인지여부와관계없이적용된다. 적용이제외되는것은 EU 법의적용범위에속하지않는활동중에이루어진개인정보의처리나 EU 조약 (TEU) 제 5 편제 2 장의범위내에속하는활동을수행하는회원국들에의한개인정보의처리, 즉순수한사적활동이나가사활동중에자연인에의한개인정보의처리, 관할기관이공공의안전에대한위협으로부터의보호와그예방을포함하여범죄의예방, 수사, 탐지나기소또는형벌의집행을위하여관할기관에의한개인정보의처리, 유럽연합기관, 기구, 사무소및에이전시에의한개인정보의처리, 전자상거래지침 (DIRECTIVE 2000/31/EC), 특히동지침 12 부터 15 까지의중개서비스제공자의책임규정은적용이제외된다. 다. 영토적적용범위 ( 3) 개인정보의처리가 EU 역내에서이루어지는지여부에관계없이, EU 에있는관리자나처리자의설립체 (establishment) 의활동으로이루어지는개인정보의처리에는동법이적용된다. EU 에서설립되지않은관리자나처리자에의해 EU 에있는정보주체의개인정보의처리가 EU 역 6 www.iitp.kr

기획시리즈 - 정보보호 보안 내의정보주체에대한물품이나서비스의제공과관련된경우와정보주체의행동이 EU 역내에 서이루어지는한이들행동의모니터링과관련되는경우에적용된다. 2. 적용되는개인정보 가. 개인정보의정의 ( 4) 개인정보 (personal data) 란식별된또는식별가능한자연인 ( 정보주체 ) 과관련되는정보를의미한다. 여기서 식별가능한자연인 이란특히이름, 식별번호, 위치정보, 온라인식별자와같은식별자, 또는그자연인의신체적, 심리적, 유전적, 정신적, 경제적, 문화적이나사회적정체성을참조함으로써직접적으로또는간접적으로식별될수있는자를말한다. 키코드화등익명처리된개인정보는그암호로특정개인을식별할수있는난이도에따라 GDPR 범위에해당할수도있다. 나. 민감정보 ( 9) GDPR 은민감한개인정보를 특별한유형의개인정보 로정하고있다. 이중 유전자정보 (genetic data) 는특히문제의자연인의생물학적샘플의분석으로부터얻는그자연인의심리나건강에대한특별한정보를제공하는, 유전되거나후천적으로획득된자연인의유전적특성과관련되는개인정보를의미하고, 생체정보 (biometric data) 는얼굴이미지나지문정보와같이그자연인의특유한식별을허용하거나확인시켜주는자연인의신체적, 심리적또는형태적특성과관련되는특정한기술적처리로부터생겨나는개인정보를의미하며, 건강에관한정보 (data concerning health) 는헬스케어서비스의제공을포함하여그건강상태에관한정보를나타내는자연인의신체적또는정신적건강과관련되는개인정보를의미한다. 다. 유죄판결및형사범죄와관련되는정보는포함되지않지만, 그처리에는유사한보호방식이 적용된다 ( 10). 3. 개인정보처리의원칙 GDPR 에있어서는개인정보처리원칙으로서다음의원칙이정해져있다. 이에의해기업은 이러한원칙의준수에대해서입증할책임을부담한다 ( 52). 정보통신기술진흥센터 7

1) 적법성공정성투명성 : 개인정보는정보주체와관련하여적법하고공정하며투명하게처리되어야한다 ( 5, a). 2) 목적제한의원칙 : 개인정보는특정되고, 명확하며, 정당한목적을위하여수집되어야하고, 그들목적과양립할수없는방식으로추가적으로처리되어서는안된다는원칙을말한다. 공익상의아카이브또는과학적 역사적연구나통계를위하여개인정보의추가적인처리는 891에따라서처음목적과양립가능한것으로간주되어야한다 (b 호 ). 3) 최소수집의원칙 ( 정보최소화의원칙 ): 개인정보는적정하고, 관련성이있으며처리목적과관련하여필요한것으로제한되어야한다. 4) 정확성의원칙 : 개인정보는정확하며, 필요한경우최신성을유지하여야한다. 부정확한개인정보는그정보의처리목적을고려하여지체없이삭제나정정을보장하기위한모든합리적인조치가취해져야한다. 5) 보관제한의원칙 ( 저장제한의원칙 ): 정보주체의신원은그개인정보가처리되는목적에필요한기간이상허용되지않는형태로보유되어야한다. 개인정보는정보주체의권리와자유를보장하기위하여본규칙에의해요구된적절한기술적 조직적조치의이행을부과한 891에따라서공익상의아카이브또는과학적 역사적연구나통계를위하여서만처리되는한보다장기간저장될수있다. 6) 무결성및비밀성의원칙 : 개인정보는적절한기술적또는조직적조치를사용하여, 권한없는또는불법적인처리와사고에의한멸실, 파기또는손상에대한보호를포함하여, 개인정보의적절한보안을보장하는방식으로처리되어야한다. 7) 책임의원칙 : 관리자는이상의원칙에대해책임을지며, 그준수를입증할수있어야한다. 또한, 95 지침에기초한 EU 각국법아래에서는개인정보처리에관한각국의당국에등록이요구되는경우가있었지만, GDPR 에서는등록은요구되지않고대신소정의정보처리활동의기록을유지하도록규정되어있다 ( 30). 4. 잊혀질권리 ( 삭제권 ) 타인의시선과기억은그자체로본인에게영향을미치는권력이될수있다 [2]. 이러한타인의시선으로부터벗어나자는것이잊혀질권리의주요내용이다 [4]. 삭제권은인터넷상에서계속적으로검색되는자신의정보의삭제나검색차단을요구할수 8 www.iitp.kr

기획시리즈 - 정보보호 보안 있는권리를말한다. 2014 년 5 월 13 일자유럽사법재판소 (ECJ) 의판결에의해잊혀질권리는 EU 개인정보보호지침의해석상개인에게보편적으로인정될수있는권리로인정되었다. 최근최종공표된 GDPR 은잊혀질권리와관련하여제 17 조에서정보주체의삭제요구권및정보관리자의삭제의무에대해규정하고있다. 5. 정보이동권 (Right to data portability) 정보주체의정보이동권은자신의개인정보가특정인에의해독점적으로처리되는것을막기위해자신의개인정보를자신이나제 3 자에게이전할것을요구할수있는권리이다. 이러한정보이동권은 EU Directive(95/46/EC) 에는관련규정이없었으나, GDPR 제 20 조에서새롭게도입되었다. 6. 프로파일링에관한권리프로파일링 (profiling) 은자연인에관한일정한개인적측면을파악하기위하여그의직업, 경제력, 건강, 취향, 관심사, 신뢰도, 행태, 위치등을분석또는예측하기위해이루어지는개인정보의자동화된처리의모든형태를말한다 (GDPR 제 4 조제 4 호 ). 이것은오늘날맞춤형광고와관련하여경영전략기법의하나로서크게주목받고있다. 하지만정보주체가자신의정보가이렇게상업적광고목적으로수집되고분석되는상황을파악하기못하고있기때문에프라이버시침해가능성이높다. 이러한점에서프로파일링에대한정보주체의통제권을행사하는규정의필요성이대두되었고 GDPR 은그와같은요청을수용하여프로파일링에관한권리로서반대할권리 ( 제 21 조 ) 와자동화처리의결정대상이되지않을권리 ( 제 22 조 ) 를규정하고있다. GDPR 제 21 조에의하면정보주체는원칙적으로자신의특수한사정을들어자신에관한프로파일링에대하여반대할권리를가진다 ( 제 1 항 ). 또한, 개인정보가다이렉트마케팅을목적으로처리되는경우, 정보주체는그마케팅을위한자신에관한프로파일링에대하여반대할권리를가진다 ( 제 2 항 ). 7. 개인정보보호수준의강화 GDPR 의개인정보보호수준의강화의주요수단중의하나는동의요건을강화한것이다. GDPR 에따른유효한동의는수집되는개인정보가이용되는목적에대한명시적인동의이어야 정보통신기술진흥센터 9

한다 ( 7, 4). 관리자는동의를받았다는사실을증명할수있어야하고, 해당동의는철회될수있다. 16 세미만의아동의경우에는아동의부모나보호자의동의를받아야하며, 입증할수있어야한다 ( 8). 다만, GDPR 은회원국이이러한부모나보호자의동의를요하는아동의연령을 16 세로부터 13 세로낮출수있도록허용하고있다. 최신기술과이행비용을참작하고, 처리의성질, 범위, 관계및목적과개인의권리및자유에대한다양한가능성과가혹성의위험을고려하여, 관리자와처리자는해당하는경우특히위험에적절한보안수준을보장하기위하여적절한기술적 조직적조치를이행하여야한다 ( 32). GDPR 은기업이개인정보유출을인식한경우, 인식후 72 시간이내에영향을받는본인의수, 개인정보의항목등을포함한유출사고정보, 연락처, 잠재적영향, 영향을완화하기위한방안을포함한대응책등을당국에통지하여야하며, 또한본인에게도지체없이유사한항목을통지하여야한다고규정하고있다 ( 33, 34). 또한 GDPR 에서는정보보호영향평가의실시가요구되거나 ( 35), 정보보호책임자의지명이요구되는경우도있다 ( 372). 8. 개인정보의제 3 국이나국제조직으로의이전 GDPR 의목적은개인정보처리에관한자연인의보호뿐만아니라개인정보의자유로운이동도포함하고있다. 이와관련하여개인정보의제 3 국이나국제조직으로의이전이가능하다. 우리기업의경우도 EU 역내의정보주체의개인정보를국내로이전할경우가발생할수있다. 그러나, 이러한이전은관리자나처리자가일정한조건들을준수하는경우에만가능하다. 9. 제재 가. 손해배상 ( 82) 본법령위반의결과로서물질적또는비물질적손해를입은사람은받은손해에대해관리자나처리자로부터배상을받을권리를가진다. 처리에관여한관리자는본법령을위반하는처리에의해야기된손해에대해책임을져야한다. 처리자는특별히처리자에게지시된본규칙의의무를준수하지않은경우에만또는관리자의적법한지시에대해그범위를일탈하거나반하여행위한경우에만, 처리에의해야기된손해에대해책임을진다. 손해를야기하는사건에대해전혀책임이없음을입증하면, 관리자나처리자는상기에의한책임으로부터면제될 10 www.iitp.kr

기획시리즈 - 정보보호 보안 수있다. 복수의관리자나처리자가발생한손해에대해책임이있는경우, 정보주체의실효적 배상을위해모든손해에대한책임을부담하여야하며, 이경우한관리자나처리자가완전한 배상을하면다른관리자나처리자들에대해구상권을행사할수있다. 나. 과징금 ( 83) 본법령일부위반의경우 10,000,000 유로 ( 한화 127 억상당 ) 또는기업의경우에이전회계연도의세계연간전체매출액의 2% 까지중에서높은쪽의과징금이부과된다. 이외에다른일부법령위반의경우높은수준의과징금으로 20,000,000 유로 ( 한화 250 억상당 ) 또는기업의경우이전회계연도의세계연간전체매출액의 4% 까지중에서높은쪽의과징금이부과된다. 회원국법제도가과징금을규정하고있지않는경우, 그들법적구제가실효적이며감독기관에의해부과된과징금에대해동등한효과를가지는것을보장하면서, 과징금이관할감독기관에의해제안되고관할국가법원에의해부과되는방식으로적용될수있다. 어떠한경우에도, 부과된과징금은실효적이며, 비례적이고억지적이어야한다. 그들회원국은 2018 년 5 월 25 일까지, 그리고그들법조항에영향을미치는후속개정법이나개정을지체없이유럽위원회에통보하여야한다. 다. 벌칙 ( 84) 회원국들은특히 83 에의한과징금이부과되지않는위반에대해본법령의위반에적용할수있는벌칙규정을설정하여야하며, 그것이이행되는것을보장하는필요한모든조치를취하여야한다. 따라서과징금이부과되지않는위반행위라도기업의입장에서는벌칙대상이될수있음에유념해야한다. IV. 결론및시사점 시행을 1 년정도앞두고있는 GDPR 은특히우리기업에게큰영향을미칠전망이다. 왜냐하면이미살펴본바와같이개인정보를제대로관리하지못한기업에대한과징금의액수가어마어마하기때문이다. 만일유럽에진출한우리기업이개인정보보호를소홀히하여문제가발생한경우 GDPR 83 조에의하면중간수준의과징금의경우 1,000 만유로까지또는기업의경우에이전회계연도의세계연간전체매출액의 2% 까지중에서높은쪽의과징금이부과되 정보통신기술진흥센터 11

고높은수준의경우 2,000 만유로또는기업의경우이전회계연도의세계연간전체매출액의 4% 까지중에서높은쪽의과징금이부과될수있다. 뿐만아니라손해배상은별도로진행되기때문에사실상유럽에서의사업을접어야할수도있다. 물론개인정보보호를위한여러가지의장치들을마련한것도 GDPR 의특성이겠지만가장큰변화는역시개인정보보호위반에대한제재일것이다. 실제로총 99 개의조항으로구성된 GDPR 은절반가량이과징금부과대상의기준이되는조문들이다. 혹자는이를두고유럽에서높은수익을내고있는미국의 IT 관련기업들의규제와통제를목표로한규범이라고평가하기도한다. 아무래도이러한기업의경우개인정보와무관할수없기때문일것이다. 하지만본의아니게우리기업들도그유탄을맞을수있다. 우리의산업구조도이전과는달리정보통신의영역으로이미많이이동했기때문이다. 예를들어, 삼성이나 LG 같은전자통신기업의경우개인정보유출과관련된위험으로부터자유로울수없고이는곧엄청난과징금공포로부터자유로울수없다는것을의미한다. 따라서 GDPR 에대한대비는우리기업들에게있어서선택이아닌필수가되고말았다. 이에대한확실하고분명한분석과준비가마련되어야할것이다. EU 이외의역외이전이가능하기위해서는이른바우리나라가적정성평가를받으면 EU 와동일하게취급되어정보의이전이보다자유로울수있게된다. 그래서현재행자부에서도적정성평가를받기위해준비중인것으로알고있다. 이처럼 GDPR 의시행을앞두고우리도나름움직이지않는것은아니다. 여기에개인정보보호위원회에서는 EU 회원국들의 GDPR 이후의입법동향을주시하고있다. 아마도이를바탕으로우리의개인정보보호법도개정할것으로판단된다. 앞에서이미언급한바와같이 GDPR 의시행은특히기업에게문제가된다. 그나마역량을갖춘대기업의경우나름대로대비할수있으나개인정보에대한인식이부족한중소기업의경우그대비가쉽지않을수있기에정부차원에서는우리기업들을위한안내서준비나교육등에있어서지원해주어야할것으로판단된다. [ 참고문헌 ] [1] 함인선, EU 개인정보보호법, maronie, 20116. 27~28 면. [2] 임규철홍선기, 인터넷법입문, 수북이, 2016. 10 면. [3] 홍선기, 범죄 datebase 와개인정보보호, 과학기술법연구, 2016. 6. 229 면이하. [4] 김현철, 인터넷상의표현의자유와사이버모욕죄, 헌법논총 20 집, 2009. 205~242 면요약. 12 www.iitp.kr

2024 © docsplayer.org 개인정보보호 | 약관 | 지원