유럽 연합 일반 데이터 보호 규칙

위키백과, 우리 모두의 백과사전.
둘러보기로 가기 검색하러 가기

유럽 일반 개인정보보호법(General Data Protection Regulation, GDPR)은 유럽연합의 법으로써 유럽연합에 속해있거나 유럽경제지역(EEA)에 속해있는 모든 인구들의 사생활 보호와 개인정보들을 보호해주는 규제이다. 이 법은 유럽연합과 유럽경제지역 이외 지역의 개인정보의 침해 또한 적용이 가능하다. GDPR의 목표는 개인정보를 자유롭게 쓸 수 있게 하며 유럽내 보안관련 제도들을 통합시킴으로써 규제력이 짙은 국제 비즈니스 환경을 단순화 함을 목표로 한다. 정보보호이행지침 (95/46/EC)을 대체하는 이 규제는 유럽경제지역내 개인정보와 관련한 사건들을 처리하며, 그 기업의 위치나 정보주체의 시민의식과는 상관없이 유럽경제지역내 설립된 기업또는 경제지역내 정보주체의 개인정보 처리에 적용된다.


개인정보의 제어장치는 정보보호 규제를 충족시키기 위해서는 적절하게 조직적으로 배치되어야 한다.

개인정보를 다루는 사업과정은 규제에 어긋남 없이 이루어져야하며 정보보호를 위한 방어수단을 제공해야한다.

또한 항상 사생활보호 상태를 유지함으로써 정보는 명백한 확증없이는 공개적으로 이용될 수 없고, 동의가 수반되어야 하며, 이 정보가 누구의 것인지 등을 파악하기 위하여 사용될 수 없다.

개인 데이터는 규정에 명시된 법적 기준에 따라 수행되거나 정보 컨트롤러 또는 프로세서가 정보주체로부터 명확하고 개별화된 동의의 확인을 받지 않는 한 처리될 수 없다.

정보주체는 언제든지 이 동의를 취소할 권리가 있다.


개인정보 프로세서는 명백히 모든 데이터 수집본들을 공개해야하고, 법적근거와 데이터 프로세서의 목적을 밝혀야 하고,

얼마나 정보를 가지고 있을것인지, 제3자나 유럽경제지역외부로 유출이 되는지 여부를 밝혀야 한다.

정보주체는 일반적으로 프로세서에 의해 수집된 정보의 저작권을 요구할 권리가 있고, 특정 상황아래에서 그 정보들을 지워버릴 권한또한 있다. 공공단체, 그리고 정기적이고 체계적인 개인정보처리를 중심으로 핵심활동을 수행하는 기업은 GDPR의 준수를 관리하는 정보보호책임자(DPO)를 고용해야 한다.

기업은 자신들이 사용자 사생활에 악영향을 미친다면 모든 정보의 침해를 72시간안에 보고해야한다.

어떤 경우, GDPR의 위반자는 기업의 경우 2000만유로나 전년도 매출의 4퍼센트중 더 큰 금액의 벌금을 부과당할수도 있다.

GDPR은 2016일 4월 14일에 채택되었고, 실효성은 2018년 5월 25일부터 생겼다. GDPR은 지령이 아닌 규정이므로, 직접적인 강제력이 있고, 적용이 가능하다.

제정 배경[편집]

GDPR은 1995년 제정된 기존 EU의 데이터 보호 지침(Directive 95 / 46 / EC)를 대체하여, 시민과 거주자가 자신의 개인 정보를 제어할 수 있는 권리를 되찾고 EU 역내의 규칙을 통합하여 국제 비즈니스를위한 규제 환경을 단순화하려는 목적으로 제정되었다.

시행[편집]

GDPR은 2016년 4월 27일에 채택 된 2년간의 이행 기간 후, 2018년 5월 25일부터 27개 회원국에 통일적으로 적용된다. 1995년 데이터 보호 지침이 EU 국가의 데이터 보호 조각화를 초래 한 점(비고 (Recital) 9)과 달리, GDPR에 대해서는 EU 각국 정부가 특별히 규정을 채택 할 필요가 없다. 그러나 EU 각국이 특정 데이터 처리에 대한보다 구체적인 국내법의 제정을 방해하는 것은 아니다(비고 (Recital) 10).

참고 링크[편집]

GDPR 및 GDPR 가이드라인, 의견서(해석기준)은 개인정보보호위원회 GDPR 자료실(http://pipc.go.kr/cmt/not/ntc/selectBoardList.do?bbsId=BBSMSTR_000000000121)을 통해 확인할 수 있다.