GDPR

유럽 연합 데이터 규정 준수 설명

1. 유럽 연합 개인 정보 보호 법규 개요

유럽 연합은 2016년에 일반 개인 정보 보호 규정(GDPR)을 발표하고 2018년에 발효했습니다. GDPR은 유럽 연합 내 모든 개인의 개인 정보 보호 권리와 데이터 보호 권리를 보호하는 것을 목표로 합니다. GDPR은 지리적 위치에 관계없이 데이터 처리 활동이 유럽 연합 시민의 개인 데이터와 관련된 모든 기업 및 조직에 적용됩니다.

(1) 관련 정의

1. 데이터 컨트롤러는 개인 데이터의 처리 목적과 방식을 단독으로 또는 공동으로 결정할 수 있는 자연인, 법인, 공공 기관, 행정 기관 또는 기타 비법인 조직으로, 개인 데이터 처리의 목적과 방식을 결정할 책임이 있지만 구체적인 기준은 유럽 연합 또는 회원국의 법률에 따라 규정되어야 합니다.

2. 디지털 처리자는 데이터 컨트롤러를 위해 개인 데이터를 처리하는 자연인, 법인, 공공 기관, 행정 기관 또는 기타 비법인 조직을 의미합니다. 그러나 때로는 특정 엔터티가 데이터 컨트롤러인지 처리자인지 확인하기 어려울 수 있습니다.

3. 개인 데이터는 식별되었거나 식별 가능한 자연인(“데이터 주체”)을 가리키는 모든 정보를 의미합니다. GDPR은 개인 데이터의 범위를 넓혔습니다. GDPR에서 정의한 범위에 따라 개인 데이터에는 디지털 지문(예: IP 주소 및 Cookie)도 포함됩니다. 이 외에도 유전자 또는 생체 인식 데이터도 “민감한 데이터” 범주에 포함됩니다.

4. GDPR은 개인 민감 데이터가 고도의 보호를 받아야 한다고 명시적으로 언급하고 있으며, 이러한 데이터에는 개인의 인종 및 민족적 출신, 정치적 견해, 종교 및 철학적 신념, 노동조합 가입, 유전자 데이터, 생체 인식 데이터, 건강 데이터, 성생활 또는 성적 취향 정보 및 범죄 기록 정보가 포함됩니다. 의료 기관은 일반적으로 더 높은 수준의 데이터 보호 요구 사항을 충족해야 합니다.

5. 주요 내용

(1) 기업이 GDPR 규정 준수를 달성할 때 따라야 할 단계는 다음과 같습니다.

(1) 데이터 감사: 기존 데이터 처리 활동을 감사하여 개인 데이터의 출처, 사용 목적 및 저장 기간을 파악해야 합니다.

(2) 개인 정보 보호 정책 업데이트: 개인 정보 보호 정책을 업데이트하여 GDPR 요구 사항을 준수하고 사용자에게 데이터 처리 방식을 명확하게 알려야 합니다.

(3) 규정 준수 메커니즘 구축: 데이터 보호 관리 시스템을 구축하여 모든 데이터 처리 활동이 GDPR 원칙을 준수하도록 해야 합니다.

(4) 직원 교육: 직원에게 GDPR 및 데이터 보호 관련 지식 교육을 실시하여 규정 준수 의식을 높여야 합니다.

모니터링 및 검토: 데이터 처리 활동을 정기적으로 모니터링하여 GDPR 요구 사항을 지속적으로 준수하는지 확인합니다.

2. 개인 데이터 처리는 언제 개인 데이터 처리가 합법적인가

GDPR 제6조에 따라 개인 데이터 처리는 다음 6가지 법적 근거를 준수해야 합니다.

(1) 데이터 주체가 하나 이상의 특정 목적을 위해 자신의 개인 데이터를 처리하는 데 동의하는 경우

(2) 처리가 데이터 주체가 참여하는 계약을 이행하는 데 필요하거나, 처리가 데이터 주체가 계약 체결 전에 요청한 조치로 인한 경우

(3) 처리가 컨트롤러가 준수해야 하는 법적 의무를 이행하는 데 필요한 경우

(4) 처리가 데이터 주체 또는 다른 자연인의 절실한 이익을 보호하는 데 필요한 경우

(5) 처리가 공익 분야의 임무를 수행하거나 컨트롤러가 확립한 공무 권한을 행사하는 데 필요한 경우

(6) 처리가 컨트롤러 또는 제3자가 합법적인 이익을 추구하는 데 필요한 경우, 단, 이 이익이 개인 데이터 보호를 요구하는 데이터 주체의 이익 또는 기본 권리 및 자유에 의해 덮어씌워지는 경우는 제외되며, 특히 데이터 주체가 어린이인 경우가 그러합니다. (참고: 이 조항은 정부 당국이 직무를 수행할 때 수행하는 처리에는 적용되지 않습니다.)

사전 동의를 얻는 것은 기업이 EU 시민의 개인 데이터를 합법적으로 처리하기 위한 가장 중요한 전제 조건입니다. 예를 들어, GDPR 준수 문제에 직면했을 때 Facebook은 데이터 최소화 원칙을 준수하기보다는 동의를 얻으려고 노력해야 합니다.

동의를 얻는 것은 입증 가능해야 하며, 다른 사항과 명확하게 구분되어야 하고, 철회 가능해야 합니다. 중요한 것은 민감한 데이터를 처리하려면 명확한 동의를 얻어야 한다는 것입니다. 모호하거나 '일괄 동의’는 모두 무효로 간주됩니다. 기업은 데이터 주체에게 개인 데이터 처리 동의 여부를 선택할 수 있도록 이해하기 쉬운 언어 표현을 제공해야 합니다. 따라서 적어도 이론적으로는 모호하고, 전문 용어로 가득 차 있으며, 장기적인 동의 요청은 더 이상 존재하지 않을 것입니다.

또한 침묵, 사전 선택 또는 비적극적인 태도는 유효한 동의를 구성하지 않습니다. 사용자가 확인란을 선택하거나 전화로 동의해야 하는 경우 이는 명확한 선택에 해당합니다.

만 16세 미만의 미성년자는 합법적인 동의 권한이 없지만, EU 회원국은 이 연령 제한을 만 13세로 완화할 수 있습니다.

(2) 개인 데이터의 국경 간 전송

1. EU 내부 전송

EU 내부에서 개인 데이터를 전송하는 경우 GDPR은 GDPR의 직접적인 적용 가능성에 대한 다른 요구 사항을 부과하지 않습니다. 그러나 컨트롤러가 처리자를 고용할 때 데이터 컨트롤러와 데이터 처리자 간의 관계는 계약을 통해 제어되어야 하며, 이러한 경우 GDPR에 규정된 최소 기준을 준수해야 합니다. 처리자와 처리자 간의 계약(GDPR 제28조)은 처리의 주제 및 기간, 처리의 성격 및 목적, 개인 데이터의 유형 및 데이터 주체의 범주, 컨트롤러의 의무 및 권리를 규정합니다.

2. EU 외 데이터 전송: GDPR 준수 단계

EU 외 데이터 전송의 경우, GDPR은 이러한 전송이 발생할 수 있는 특정 상황을 예상합니다. 특히, EU 외 개인 데이터 전송에 관여하는 조직은 다음을 확인해야 합니다.

유럽 위원회가 적절성 결정을 내렸는지 확인하고, 그렇지 않은 경우 계약 합의를 통해 추가적인 보호 장치를 제공해야 합니다.

(1) 유럽 위원회는 EU 외 국가/지역의 데이터 보호 수준에 대한 결정을 발표할 수 있습니다(예: EU-미국 개인 정보 보호 방패). 이러한 결정은 제3국이 EU와 동등한 적절한 데이터 보호 법적 보호 장치를 갖추고 있는지에 대한 포괄적인 평가를 기반으로 합니다. 적절성 결정의 결과는 추가적인 데이터 보호 요구 사항 없이 EU(및 노르웨이, 리히텐슈타인, 아이슬란드)에서 해당 제3국으로의 데이터 전송에 대한 모든 장벽을 제거하는 것입니다.

(2) 전송은 적절한 보호 장치를 준수해야 합니다.

제3국이 적절성 결정의 범위에 속하지 않는 경우, EU 조직은 다음 대안 중 하나를 고려해야 합니다.

**1) ** 표준 계약 조항 . 유럽 위원회는 또한 EU 관리자가 개인 데이터를 EU 외 관리자 또는 처리자에게 전송할 때 충분한 데이터 보호 보호 장치를 제공하는 데 도움이 되도록 표준 계약 조항을 채택할 수 있습니다. 지금까지 유럽 위원회는 두 세트의 표준 계약 조항을 발표했습니다. 하나는 EU 관리자에서 EU 외 또는 EEA 관리자로의 데이터 전송이고, 다른 하나는 EU 관리자에서 EU 외 또는 EEA 처리자로의 데이터 전송입니다. 데이터 보호 기관은 또한 모델 조항을 채택할 수 있습니다. 그러나 이러한 조항은 위원회의 승인을 받아야 합니다. 마지막으로 중요한 점은 국경 간 전송은 데이터 수출자와 데이터 수입자 간에 합의된 임시 계약 조항에 따라 수행될 수도 있으며, 이러한 조항은 관할 DPA의 승인을 받아야 합니다.

**2) **구속력 있는 기업 규칙(BCR) . 개인 데이터가 하나의 회사 법인에서 다른 회사 법인으로 전송되는 경우(지역에 관계없이), 데이터 전송은 구속력 있는 기업 규칙(BRC)에 따라 수행됩니다. 구속력 있는 기업 규칙은 관할 규제 기관의 승인을 받은 법적 구속력이 있는 규칙으로, 공동 경제 활동에 관여하는 기업 그룹 또는 기업 그룹의 구성원 및 직원(EU 외부 위치 포함) 내부의 개인 데이터 전송 및 처리를 규제합니다. 영토. 표준 계약 조항과 비교할 때 BCR의 장점은 데이터 보호 기관의 승인을 받으면 추가 요구 사항 없이 지역에 관계없이 모든 향후 그룹 내부 전송을 수행할 수 있다는 것입니다.

추가 보호 장치 위에서 언급한 선택 사항 외에도 GDPR은 데이터 전송을 위한 두 가지 대체 적절성 도구를 도입했습니다. 승인된 인증 메커니즘과 승인된 행동 강령입니다. 두 메커니즘 모두 데이터 수입자가 데이터 보호를 위해 적절한 보호 장치를 적용하기 위한 구속력 있고 시행 가능한 약속을 하는 경우 데이터 전송을 허용합니다.

**(3) ** 데이터 전송 면제

많은 경우에 위에서 언급한 전송 메커니즘 없이 개인 데이터 전송을 수행할 수 있습니다. 이러한 경우는 제한적이며 다음 상황을 포함합니다.

1. 데이터 주체가 명시적으로 동의하는 경우;

2. 전송이 계약 체결 또는 이행에 필요한 경우;

3. 공익을 위한 중요한 이유가 있는 경우;

4. 법적 주장을 설정, 행사 또는 방어하는 데 필요한 경우;

5. 데이터 주체 또는 다른 사람의 중요한 이익에 필요한 경우;

6. 공공 등록 데이터와 관련된 경우;

또한 GDPR은 제한된 수의 데이터 주체를 포함하는 비반복 전송에 대한 새로운 제한, 즉 완화를 도입했습니다. 다른 법적 근거가 없는 경우, 데이터 수출자의 합법적인 이익을 위해 데이터 주체의 합법적인 이익과 수출자가 전송하는 데이터에 대한 충분한 보호 장치가 없는 경우 전송이 허용됩니다. 이 경우 수출자는 관련 데이터 보호 기관 및 데이터 주체에게 전송 상황을 알려야 합니다.