본문으로 이동

일반 데이터 보호 규칙

위키백과, 우리 모두의 백과사전.
규정 (EU) 2016/679
유럽 연합 규정
EEA 관련 법안
제목Regulation on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (Data Protection Directive)
제정자유럽 의회유럽 연합 이사회
관보 참조L119, 4 May 2016, p. 1–88
역사
제정일2016년 4월 14일
시행일2018년 5월 25일
준비 문서
집행위원회 제안COM/2012/010 final – 2012/0010 (COD)
기타 법안
대체한 법안데이터 보호 지침

일반 데이터 보호 규칙(General Data Protection Regulation, Regulation (EU) 2016/679),[1] 줄여서 GDPR유럽 연합(EU)과 유럽 경제 지역(EEA) 내에서 정보 프라이버시에 관한 유럽 연합 규정이다. GDPR은 EU 프라이버시 법인권법의 중요한 구성 요소이며, 특히 유럽 연합 기본권 헌장 제8조(1)와 관련이 있다. 또한 EU 및 EEA 외부로의 개인정보 전송을 규율한다. GDPR의 목표는 개인의 개인정보에 대한 통제력과 권한을 강화하고, 국제 사업에 대한 규정을 간소화하는 것이다.[2] 이는 데이터 보호 지침 95/46/EC를 대체하며, 무엇보다도 용어를 간소화한다.

유럽 의회유럽 연합 이사회는 2016년 4월 14일 GDPR을 채택했으며, 2018년 5월 25일부터 발효된다. EU 규정으로서(지침 대신), GDPR은 직접적인 법적 효력을 가지며 국내법으로 이행할 필요가 없다. 그러나 개별 회원국이 일부 조항을 수정(위반)할 수 있는 유연성도 제공한다.

브뤼셀 효과의 한 예로, 이 규정은 브라질,[3] 일본, 싱가포르, 남아프리카 공화국, 대한민국, 스리랑카, 태국을 포함한 전 세계 여러 법률의 모델이 되었다.[4] 브렉시트 이후 영국은 GDPR과 동일한 "영국 GDPR"을 제정했다.[5] 2018년 6월 28일에 채택된 캘리포니아 소비자 프라이버시법(CCPA)은 GDPR과 많은 유사점을 가지고 있다.[6]

목차

[편집]

GDPR 2016은 일반 조항, 원칙, 정보 주체의 권리, 데이터 컨트롤러 또는 처리자의 의무, 제3국으로의 개인 데이터 전송, 감독 기관, 회원국 간 협력, 구제책, 권리 침해에 대한 책임 또는 벌칙, 특정 처리 상황 관련 조항, 기타 최종 조항에 관한 11개 장으로 구성된다. 서문 4는 '개인정보 처리의 목적은 인류에 봉사해야 한다'고 선언한다.

일반 조항

[편집]

이 규정은 데이터 컨트롤러(EU 내외를 불문하고 살아있는 사람에 대한 정보를 수집하는 조직) 또는 처리자(클라우드 서비스 제공자와 같이 데이터 컨트롤러를 대신하여 데이터를 처리하는 조직) 또는 정보 주체(개인)가 EU에 기반을 둔 경우에 적용된다. 특정 상황에서,[7] 이 규정은 EU 밖에 기반을 둔 조직이라도 EU 내 개인의 개인정보를 수집하거나 처리하는 경우에도 적용된다. 이 규정은 "순전히 개인적 또는 가구 활동과 관련하여 직업적 또는 상업적 활동과 무관하게" 개인의 데이터 처리에는 적용되지 않는다 (서문 18).

유럽 연합 집행위원회에 따르면, "개인정보는 식별되었거나 식별 가능한 개인과 관련된 정보이다. 해당 정보만으로는 개인을 직접 식별할 수 없는 경우, 해당 개인이 여전히 식별 가능한지 여부를 고려해야 한다. 당신이 처리하는 정보와 당신 또는 다른 사람이 해당 개인을 식별하기 위해 합리적으로 사용될 가능성이 있는 모든 수단을 고려해야 한다."[8] "개인정보", "처리", "정보 주체", "컨트롤러", "처리자"와 같은 용어의 정확한 정의는 제4조에 명시되어 있다.[1]:Art. 4

이 규정은 EU의 국가 안보 활동 또는 법 집행을 위한 개인정보 처리에는 적용되지 않는다. 그러나 법률 충돌 가능성에 대해 우려하는 산업 단체들은 제48조가 데이터 컨트롤러가 제3국 법률의 적용을 받는 경우 해당 국가의 법 집행, 사법 또는 국가 안보 당국의 법적 명령에 따라 EU 거주자의 개인정보를 해당 당국에 공개하는 것을 방지하기 위해 사용될 수 있는지 여부에 대해 의문을 제기했다. 데이터가 EU 내에 있든 외부에 있든 상관없이. 제48조는 법원의 판결이나 심판소의 판결, 제3국 행정 당국의 개인정보 전송 또는 공개를 요구하는 결정은 요청하는 제3국(비EU)과 EU 또는 회원국 사이에 유효한 상호 법률 지원 조약과 같은 국제 협정에 기반을 두지 않는 한 어떠한 방식으로도 인정되거나 집행될 수 없다고 명시한다. 데이터 보호 개혁 패키지에는 경찰 및 형사 사법 부문을 위한 별도의 데이터 보호 지침도 포함되어 있으며, 국가 차원, 연합 차원 및 국제 차원에서 개인정보 교환에 관한 규칙을 제공한다.[9]

모든 EU 회원국에 단일 규칙 세트가 적용된다. 각 회원국은 불만 사항을 접수하고 조사하며 행정 위반을 제재하는 등의 독립적인 감독 기관(SA)을 설립한다.[1]:Arts. 46–55 각 회원국의 SA는 다른 SA와 협력하여 상호 지원을 제공하고 공동 작전을 조직한다. 기업이 EU 내에 여러 사업장을 가지고 있는 경우, 주요 처리 활동이 이루어지는 "주요 사업장"의 위치에 따라 단일 SA를 "주요 기관"으로 지정해야 한다. 따라서 주요 기관은 해당 기업의 EU 전역의 모든 처리 활동을 감독하는 "원스톱 상점" 역할을 한다.[10][11] 유럽 데이터 보호 이사회(EDPB)는 SA를 조정한다. EDPB는 따라서 제29조 데이터 보호 실무 그룹을 대체한다. 고용 상황 또는 국가 안보에서 처리되는 데이터에는 여전히 개별 국가 규정이 적용될 수 있는 예외가 있다.[1]:Arts. 2(2)(a) & 88

원칙 및 합법적인 목적

[편집]

제5조는 개인정보 처리의 적법성에 관한 여섯 가지 원칙을 제시한다. 이 중 첫 번째 원칙은 데이터가 적법하고 공정하며 투명한 방식으로 처리되어야 함을 명시한다. 제6조는 개인정보가 처리될 법적 근거가 적어도 하나 이상 존재하지 않는 한 처리될 수 없다고 명시함으로써 이 원칙을 발전시킨다. 다른 원칙들은 "목적 제한", "데이터 최소화", "정확성", "저장 제한", "무결성 및 기밀성"을 언급한다.

제6조는 합법적인 목적을 다음과 같이 명시한다.

  • (a) 정보 주체가 자신의 개인정보 처리에 동의한 경우
  • (b) 정보 주체와의 계약상 의무를 이행하거나, 계약 체결 과정에 있는 정보 주체의 요청에 따른 작업을 수행하기 위함
  • (c) 데이터 컨트롤러의 법적 의무를 준수하기 위함
  • (d) 정보 주체 또는 다른 개인의 중요한 이익을 보호하기 위함
  • (e) 공익 또는 공적 권한 행사를 위한 작업을 수행하기 위함
  • (f) 데이터 컨트롤러 또는 제3자의 합법적인 이익을 위함. 단, 이러한 이익이 유럽 연합 기본권 헌장에 따른 정보 주체의 이익 또는 권리(특히 아동의 경우)보다 우선하지 않는 경우.

정보에 입각한 동의[1]:Art. 4(11)가 처리의 합법적인 근거로 사용되는 경우, 수집된 데이터 및 데이터가 사용되는 각 목적에 대해 동의는 명시적이어야 한다.[1]:Art. 7 동의는 정보 주체가 부여한 구체적이고 자유롭게 주어진 명확한 언어로 된 모호하지 않은 확인이어야 한다. 기본적으로 옵트아웃으로 설정된 동의 옵션이 있는 온라인 양식은 사용자에 의해 동의가 모호하게 확인되지 않았기 때문에 GDPR 위반이다. 또한, 여러 유형의 처리가 단일 확인 프롬프트로 "묶여"서는 안 된다. 이는 데이터의 각 사용에 특정하지 않으며 개별 권한이 자유롭게 주어지지 않기 때문이다 (서문 32).

정보 주체는 언제든지 이 동의를 철회할 수 있어야 하며, 철회 절차는 옵트인하는 것보다 더 어려워서는 안 된다.[1]:Art. 7(3) 데이터 컨트롤러는 서비스 이용에 엄격히 필요하지 않은 처리에 대한 동의를 거부하는 사용자에게 서비스를 거부할 수 없다.[1]:Art. 8 규정에서 16세 미만으로 정의된 아동(회원국은 개별적으로 13세까지 낮출 수 있는 옵션이 있음)에 대한 동의는 아동의 부모 또는 보호자가 부여해야 하며 확인 가능해야 한다.[12][13]

데이터 보호 지침에 따라 이미 처리에 대한 동의가 제공된 경우, 데이터 컨트롤러는 처리가 GDPR 요구 사항에 따라 문서화되고 획득되었다면 동의를 다시 받을 필요가 없다 (서문 171).[14][15]

정보 주체의 권리

[편집]

투명성 및 방식

[편집]

제12조는 데이터 컨트롤러가 "간결하고 투명하며 이해하기 쉽고 접근하기 쉬운 형식으로 명확하고 평이한 언어를 사용하여, 특히 아동에게 직접적으로 전달되는 정보에 대해 정보 주체에게 정보를 제공"하도록 요구한다.

정보 및 접근

[편집]

접근 권한(제15조)은 정보 주체의 권리이다.[16] 이는 개인에게 자신의 개인정보 및 이 개인정보가 어떻게 처리되고 있는지에 대한 정보에 접근할 권리를 부여한다. 데이터 컨트롤러는 요청 시 처리되는 데이터 범주의 개요[1]:Art. 15(1)(b)와 실제 데이터의 사본을 제공해야 한다.[1]:Art. 15(3) 또한, 데이터 컨트롤러는 정보 주체에게 처리 목적,[1]:Art. 15(1)(a) 누구와 데이터가 공유되는지,[1]:Art. 15(1)(c) 데이터를 어떻게 획득했는지 등 처리 세부 정보를 알려야 한다.[1]:Art. 15(1)(g)

정보 주체는 데이터 컨트롤러에 의해 방해받지 않고 한 전자 처리 시스템에서 다른 전자 처리 시스템으로 개인정보를 전송할 수 있어야 한다. 충분히 익명화된 데이터는 제외되지만, 관련 식별자를 제공함으로써 해당 개인과 연결될 수 있는 정도로만 식별이 해제된 데이터는 제외되지 않는다.[17] 그러나 실제로 이러한 식별자를 제공하는 것은 어려울 수 있다. 예를 들어, 애플의 Siri의 경우, 음성 및 전사 데이터가 제조업체가 접근을 제한하는 개인 식별자와 함께 저장되거나,[18] 기기 지문에 크게 의존하는 온라인 행동 타겟팅의 경우, 이를 캡처, 전송 및 확인하는 것이 어려울 수 있다.[19]

정보 주체가 '제공한' 데이터와 행동 등에 대해 '관찰된' 데이터가 모두 포함된다. 또한, 데이터는 컨트롤러에 의해 구조화되고 일반적으로 사용되는 표준 전자 형식으로 제공되어야 한다. 데이터 이동 권한은 제20조에 의해 제공된다.

정정 및 삭제

[편집]

잊힐 권리는 유럽 의회가 2014년 3월에 채택한 GDPR 버전에서 보다 제한적인 삭제 권리로 대체되었다.[20][21] 제17조는 정보 주체가 여러 가지 이유로 자신과 관련된 개인정보의 삭제를 요청할 권리가 있음을 규정하며, 여기에는 제6조(1)(적법성) 위반이 포함된다. 이 중 (f)항은 컨트롤러의 정당한 이익이 정보 주체의 이익 또는 기본권과 자유에 의해 침해되어 개인정보 보호가 필요한 경우를 포함한다 (참조: Google Spain SL, Google Inc. v Agencia Española de Protección de Datos, Mario Costeja González 참조).[22]

이의 제기 권한 및 자동화된 결정

[편집]

GDPR 제21조는 개인이 마케팅 또는 서비스와 관련 없는 목적으로 개인정보 처리에 이의를 제기할 수 있도록 허용한다.[23] 이는 데이터 컨트롤러가 개인이 자신의 개인정보 처리를 중단하거나 방지할 권리를 허용해야 한다는 의미이다.

이러한 이의 제기가 적용되지 않는 몇 가지 경우가 있다. 예를 들어, 다음과 같은 경우:

  1. 법적 또는 공식적인 권한이 수행되는 경우
  2. "정당한 이익"으로, 조직이 정보 주체가 가입한 서비스를 제공하기 위해 데이터를 처리해야 하는 경우
  3. 공익을 위해 수행되는 작업.

GDPR은 또한 데이터 컨트롤러가 정보 주체와 첫 번째 통신 시부터 이의를 제기할 권리를 알려야 한다는 점을 명확히 한다. 이는 컨트롤러가 제공하는 다른 정보와 명확하고 분리되어야 하며, 데이터 처리에 이의를 제기하는 가장 좋은 방법에 대한 옵션을 제공해야 한다.

이의 제기 요청이 "명백히 근거 없거나" "과도한" 경우 컨트롤러가 요청을 거부할 수 있는 경우가 있으므로, 각 이의 제기 사례는 개별적으로 검토되어야 한다.[23] 캐나다[24]와 같은 다른 국가들도 GDPR을 따라 프라이버시 법률에 따라 자동화된 의사 결정을 규제하는 법률을 고려하고 있다. 그러나 이것이 AI를 규제하는 가장 좋은 방법인지에 대한 정책적 질문은 남아 있다.

보상 권리

[편집]

GDPR 제82조는 GDPR 위반으로 인해 물질적 또는 비물질적 손해를 입은 모든 사람은 컨트롤러 또는 처리자로부터 입은 손해에 대해 보상을 받을 권리가 있다고 규정한다.

오스트리아 포스트(Österreichische Post, C-300/21) 판결에서 유럽 연합 사법재판소는 보상 권리에 대한 해석을 제공했다.[25] GDPR 제82조(1)는 손해 배상금 지급을 위해 (i) GDPR 위반, (ii) (실제) 입은 손해, (iii) 위반과 입은 손해 사이의 인과 관계를 요구한다. 입은 손해가 특정 심각성 수준에 도달할 필요는 없다. 손해에 대한 유럽 연합의 정의된 개념은 없다. 보상은 국내법에 따라 국가적으로 결정된다. 동등성 및 효과 원칙을 고려해야 한다.[26] "동등성 원칙"은 EU 사건에 대한 절차가 국내 사건에 대한 절차와 동등해야 한다고 규정하며, "효과 원칙"은 절차가 법률을 기능적으로 비효율적으로 만들 수 없다고 요구한다.[a]

데이터 처리자는 GDPR에 의해 처리자에게 특별히 부과된 의무 위반으로 인한 손해, 또는 데이터 컨트롤러의 합법적인 지시를 벗어나거나 위반하는 처리로 인한 손해에 대해서만 책임이 있다.[28]

컨트롤러 및 처리자

[편집]

데이터 컨트롤러는 모든 데이터 수집을 명확히 공개하고, 데이터 처리의 합법적인 근거와 목적을 선언하며, 데이터 보유 기간과 제3자 또는 EEA 외부와 공유되는지 여부를 명시해야 한다. 기업은 직원, 소비자 또는 제3자의 데이터 프라이버시에 최소한의 간섭으로 필요한 데이터만 추출되도록 직원 및 소비자의 데이터를 보호할 의무가 있다. 기업은 감사, 내부 통제 및 운영과 같은 다양한 부서에 대한 내부 통제 및 규정을 갖추어야 한다. 정보 주체는 컨트롤러가 수집한 데이터의 이동 가능한 사본을 일반적인 형식으로 요청할 권리뿐만 아니라 특정 상황에서 자신의 데이터를 삭제할 권리를 갖는다. 공공 기관 및 개인정보의 정기적 또는 체계적인 처리를 핵심 활동으로 하는 기업은 GDPR 준수를 관리하는 데이터 보호 책임자(DPO)를 고용해야 한다. 데이터 컨트롤러는 사용자 프라이버시에 부정적인 영향을 미치는 경우 데이터 유출을 72시간 이내에 국가 감독 기관에 보고해야 한다. 경우에 따라 GDPR 위반자는 기업의 경우 최대 2천만 유로 또는 전년도 전 세계 연간 매출액의 4% 중 더 큰 금액의 벌금을 부과받을 수 있다.

GDPR 준수를 입증하기 위해 데이터 컨트롤러는 설계 및 기본값에 의한 데이터 보호 원칙을 충족하는 조치를 구현해야 한다. 제25조는 제품 및 서비스에 대한 비즈니스 프로세스 개발 시 데이터 보호 조치를 설계에 포함하도록 요구한다. 이러한 조치에는 컨트롤러가 개인 데이터를 가능한 한 빨리 가명화하는 것이 포함된다 (서문 78). 처리 활동이 데이터 처리자에 의해 컨트롤러를 대신하여 수행되는 경우에도 효과적인 조치를 구현하고 처리 활동의 준수를 입증할 책임과 의무는 데이터 컨트롤러에게 있다 (서문 74). 데이터가 수집될 때, 정보 주체는 데이터 수집의 범위, 개인 데이터 처리의 법적 근거, 데이터 보유 기간, 데이터가 제3자 및 EU 외부로 전송되는지 여부, 그리고 전적으로 알고리즘 기반으로 이루어지는 자동화된 의사 결정에 대해 명확히 고지받아야 한다. 정보 주체는 GDPR에 따른 프라이버시 권리, 즉 언제든지 데이터 처리 동의를 철회할 권리, 자신의 개인 데이터를 보고 처리 방식 개요에 접근할 권리, 저장된 데이터의 이동 가능한 사본을 얻을 권리, 특정 상황에서 자신의 데이터를 삭제할 권리, 전적으로 알고리즘 기반으로 이루어진 자동화된 의사 결정에 이의를 제기할 권리, 그리고 데이터 보호 기관에 불만을 제기할 권리를 고지받아야 한다. 따라서 정보 주체는 데이터 컨트롤러 및 해당되는 경우 지정된 데이터 보호 책임자의 연락처 정보도 제공받아야 한다.[29][30]

데이터 보호 영향 평가(제35조)는 정보 주체의 권리와 자유에 특정 위험이 발생할 때 수행되어야 한다. 위험 평가 및 완화가 필요하며, 높은 위험에 대해서는 데이터 보호 당국의 사전 승인이 필요하다.

제25조는 제품 및 서비스에 대한 비즈니스 프로세스 개발 시 데이터 보호가 설계에 포함되도록 요구한다. 따라서 개인정보 설정은 기본적으로 높은 수준으로 설정되어야 하며, 컨트롤러는 처리 전체 수명 주기 동안 규정을 준수하도록 기술적 및 절차적 조치를 취해야 한다. 컨트롤러는 또한 각 특정 목적에 필요하지 않은 한 개인정보가 처리되지 않도록 하는 메커니즘을 구현해야 한다. 이를 데이터 최소화라고 한다.

유럽 연합 네트워크 및 정보 보안 기관의 보고서[31]는 기본적으로 프라이버시 및 데이터 보호를 달성하기 위해 무엇을 해야 하는지 자세히 설명한다. 이는 암호화 및 복호화 작업이 원격 서비스가 아닌 로컬에서 수행되어야 한다고 명시한다. 왜냐하면 어떤 프라이버시라도 달성하려면 키와 데이터가 모두 데이터 소유자의 권한 아래에 있어야 하기 때문이다. 보고서는 원격 클라우드에 대한 외부 데이터 저장이 실용적이고 비교적 안전하다고 명시한다. 단, 데이터 소유자만이 복호화 키를 소유하고 클라우드 서비스는 소유하지 않아야 한다.

가명화

[편집]

GDPR에 따르면 가명화는 추가 정보 없이 특정 정보 주체에게 귀속될 수 없도록 개인 데이터를 변환하는 저장 데이터에 필요한 프로세스이다 (완전한 데이터 익명화의 다른 대안으로서).[32] 예로는 암호화가 있는데, 이는 올바른 복호화 키에 접근하지 않고는 되돌릴 수 없는 프로세스로 원본 데이터를 이해할 수 없게 만든다. GDPR은 추가 정보(예: 복호화 키)를 가명화된 데이터와 별도로 보관하도록 요구한다.

가명화의 또 다른 예는 토큰화인데, 이는 저장 중 데이터를 보호하기 위한 비수학적 접근 방식으로 민감한 데이터를 토큰이라고 하는 비민감한 대체물로 대체한다. 토큰은 외적인 또는 악용 가능한 의미나 가치가 없지만, 민감한 정보는 숨겨진 채로 특정 데이터를 처리 및 분석을 위해 완전히 또는 부분적으로 볼 수 있도록 한다. 토큰화는 데이터 유형이나 길이를 변경하지 않으므로 데이터 길이 및 유형에 민감할 수 있는 데이터베이스와 같은 레거시 시스템에서 처리할 수 있다. 또한 전통적으로 암호화된 데이터보다 처리하는 데 훨씬 적은 컴퓨팅 리소스와 데이터베이스에 더 적은 저장 공간이 필요하다.

가명화는 프라이버시 강화 기술이며, 관련 정보 주체에 대한 위험을 줄이고 컨트롤러 및 처리자가 데이터 보호 의무를 이행하는 데 도움이 되도록 권장된다 (서문 28).[33]

처리 활동 기록

[편집]

제30조에 따라 다음 기준 중 하나에 해당하는 모든 조직은 처리 활동 기록을 유지해야 한다.

  • 250명 이상의 직원을 고용하는 경우
  • 수행하는 처리가 정보 주체의 권리와 자유에 위험을 초래할 가능성이 있는 경우
  • 처리가 비정기적인 경우
  • 처리가 제9조(1)에 언급된 특별 범주 데이터 또는 제10조에 언급된 형사 유죄 판결 및 범죄 관련 개인 데이터를 포함하는 경우

이러한 요구 사항은 각 EU 국가에 의해 수정될 수 있다. 기록은 전자 형식으로 보관되어야 하며, 컨트롤러 또는 처리자 및 해당되는 경우 컨트롤러 또는 처리자의 대리인은 요청 시 감독 기관에 기록을 제공해야 한다.

컨트롤러의 기록에는 다음 모든 정보가 포함되어야 한다.

  • 컨트롤러의 이름 및 연락처 정보와 해당되는 경우 공동 컨트롤러,[b] 컨트롤러의 대리인 및 데이터 보호 책임자
  • 처리 목적
  • 정보 주체 범주 및 개인 데이터 범주에 대한 설명
  • 제3국 또는 국제기구의 수신자를 포함하여 개인 데이터가 공개되었거나 공개될 수신자 범주
  • 해당되는 경우, 제3국 또는 국제기구로의 개인 데이터 전송. 해당 제3국 또는 국제기구의 식별 및 제49조(1) 제2항에 언급된 전송의 경우 적절한 보호 장치의 문서화
  • 가능한 경우, 다른 범주 데이터의 삭제 예상 기간
  • 가능한 경우, 제32조(1)에 언급된 기술적 및 조직적 보안 조치에 대한 일반적인 설명

처리자의 기록에는 다음 모든 정보가 포함되어야 한다.

  • 처리자 또는 처리자들의 이름 및 연락처 정보와 처리자가 대신하여 활동하는 각 컨트롤러, 해당되는 경우 컨트롤러 또는 처리자의 대리인 및 데이터 보호 책임자
  • 각 컨트롤러를 대신하여 수행된 처리 범주
  • 해당되는 경우, 제3국 또는 국제기구로의 개인 데이터 전송. 해당 제3국 또는 국제기구의 식별 및 제49조(1) 제2항에 언급된 전송의 경우
  • 적절한 보호 장치의 문서화
  • 가능한 경우, 제32조(1)에 언급된 기술적 및 조직적 보안 조치에 대한 일반적인 설명

개인정보의 보안

[편집]

개인정보의 컨트롤러와 처리자는 데이터 보호 원칙을 이행하기 위해 적절한 기술적 및 조직적 조치를 마련해야 한다.[34] 개인정보를 처리하는 비즈니스 프로세스는 원칙을 고려하여 설계 및 구축되어야 하며 데이터를 보호하기 위한 안전장치를 제공해야 한다 (예: 적절한 경우 가명화 또는 완전한 데이터 익명화 사용).[35] 데이터 컨트롤러는 프라이버시를 염두에 두고 정보 시스템을 설계해야 한다. 예를 들어, 기본적으로 최고 수준의 프라이버시 설정을 사용하여 데이터 세트가 기본적으로 공개적으로 접근할 수 없으며 특정 주체를 식별하는 데 사용될 수 없도록 해야 한다. 이 처리가 규정에서 지정한 여섯 가지 합법적인 근거(동의, 계약, 공공 업무, 중대한 이익, 정당한 이익 또는 법적 요구 사항) 중 하나에 따라 수행되지 않는 한 어떠한 개인정보도 처리되어서는 안 된다. 처리가 동의에 기반하는 경우 정보 주체는 언제든지 이를 철회할 권리를 갖는다.[36]

제33조는 데이터 유출이 개인의 권리와 자유에 위험을 초래할 가능성이 없는 한, 데이터 컨트롤러가 불필요한 지체 없이 감독 기관에 통지할 법적 의무를 진다고 명시한다. 데이터 유출 사실을 인지한 후 보고 기한은 최대 72시간이다. 불리한 영향의 높은 위험이 결정되면 개인에게 통지해야 한다.[1]:Art. 34 또한, 데이터 처리자는 개인 데이터 유출 사실을 인지한 후 불필요한 지체 없이 컨트롤러에게 통지해야 한다.[1]:Art. 33 그러나 데이터 컨트롤러가 적절한 기술적 및 조직적 보호 조치를 구현하여 암호화와 같이 권한이 없는 사람이 개인 데이터를 이해할 수 없게 만드는 경우에는 정보 주체에게 통지할 필요가 없다.[1]:Art. 34

데이터 보호 책임자

[편집]

제37조는 데이터 보호 책임자(DPO)의 임명을 요구한다. 처리가 공공 기관(법원 또는 사법적 역할을 하는 독립 사법 기관 제외)에 의해 수행되거나, 처리 작업이 대규모로 정보 주체의 정기적이고 체계적인 모니터링을 포함하거나, 제9조 및 제10조에 언급된 특별 범주 데이터 및 형사 유죄 판결 및 범죄 관련 개인 데이터의 대규모 처리를 포함하는 경우, 데이터 보호 법률 및 관행에 대한 전문 지식을 가진 사람인 데이터 보호 책임자를 지정하여 컨트롤러 또는 처리자가 규정 준수를 모니터링하도록 지원해야 한다.

지정된 DPO는 컨트롤러 또는 처리자의 현직 직원일 수도 있고, 서비스 계약을 통해 외부인 또는 기관에 역할을 위탁할 수도 있다. 어떤 경우든, 처리 기관은 DPO가 맡을 수 있는 다른 역할이나 이익에 이해 충돌이 없도록 해야 한다. DPO의 연락처는 처리 기관이 (예: 개인정보 고지문에) 공개하고 감독 기관에 등록해야 한다.

DPO는 규정 준수 책임자와 유사하며, IT 프로세스, 데이터 보안(사이버 공격 처리 포함) 및 개인 및 민감한 데이터의 보유 및 처리와 관련된 기타 중요한 사업 연속성 문제를 관리하는 데 능숙해야 한다. 필요한 기술 세트는 데이터 보호 법률 및 규정 준수에 대한 이해를 넘어선다. DPO는 조직을 대신하여 수집 및 저장된 모든 데이터의 실시간 데이터 인벤토리를 유지해야 한다.[37] 데이터 보호 책임자의 기능과 역할에 대한 자세한 내용은 2016년 12월 13일(2017년 4월 5일 개정) 가이드라인 문서에 제시되었다.[38]

EU 외부에 기반을 둔 조직은 GDPR 의무에 대한 대표자 및 연락 창구로 EU 기반 개인을 임명해야 한다.[1]:Art. 27 이는 DPO와는 다른 역할이지만, 이 역할을 지정된 DPO가 맡을 수도 있음을 시사하는 책임의 중첩이 있다.[39]

GDPR 인증

[편집]

GDPR 제42조와 43조는 공식 GDPR 인증의 법적 근거를 제시한다. 이들은 두 가지 범주의 인증의 근거를 마련한다.[40]

  • 국가 인증 제도: 적용 범위가 단일 EU/EEA 국가로 제한됨
  • 유럽 데이터 보호 인장: 모든 EU 및 EEA 관할권에서 인정됨

GDPR 제42조에 따르면, 이 인증의 목적은 "컨트롤러 및 처리자의 처리 작업이 GDPR을 준수함을 입증하는 것"이다.[41] GDPR에는 다음을 포함하여 인증에 대한 70개 이상의 참조가 있다.[41]

  • 기술적 및 조직적 조치의 적절성
  • 데이터 처리자와의 데이터 공유
  • 설계 및 기본값에 의한 데이터 보호
  • 국제 데이터 전송

GDPR 인증은 또한 신청자와 인증된 데이터 처리 서비스를 사용하는 데이터 컨트롤러의 법적 및 재정적 위험을 줄이는 데 기여한다.[42]

유럽 데이터 보호 인장 채택은 유럽 데이터 보호 이사회(EDPB)의 책임이며 모든 EU 및 EEA 회원국에서 인정된다.[43]

2022년 10월, 유럽프라이버시(Europrivacy) 인증 기준은 유럽 데이터 보호 이사회(EDPB)에 의해 유럽 데이터 보호 인장으로 공식적으로 인정되었다.[44] 유럽프라이버시는 유럽 연구 프로그램에 의해 개발되었으며 룩셈부르크의 유럽 인증 및 프라이버시 센터(ECCP)에서 관리한다.

구제책, 책임 및 벌칙

[편집]

제83조 GDPR에 따른 국내법에 따른 형사 처벌 외에 다음과 같은 제재가 부과될 수 있다.

  • 최초 및 비의도적 불이행의 경우 서면 경고
  • 정기적인 데이터 보호 감사
  • 다음 조항을 위반한 경우, 기업의 경우 최대 1천만 유로 또는 전년도 전 세계 연간 매출액의 2% 중 더 큰 금액의 벌금 (제83조, 제4항):
    • 제8조, 11조, 25조부터 39조, 42조43조에 따른 컨트롤러 및 처리자의 의무
    • 제42조43조에 따른 인증 기관의 의무
    • 제41조(4)에 따른 모니터링 기관의 의무
  • 다음 조항을 위반한 경우, 기업의 경우 최대 2천만 유로 또는 전년도 전 세계 연간 매출액의 4% 중 더 큰 금액의 벌금 (제83조, 제5항 및 6항):
    • 제5조, 6조, 7조9조에 따른 동의 조건을 포함한 처리의 기본 원칙
    • 제12조부터 22조에 따른 정보 주체의 권리
    • 제44조부터 49조에 따른 제3국 또는 국제기구의 수신자로의 개인 데이터 전송
    • 제9장에 따라 채택된 회원국 법률에 따른 모든 의무
    • 제58조(2)에 따른 감독 기관의 명령 또는 임시적 또는 최종적인 처리 제한 또는 데이터 흐름 중단 미준수 또는 제58조(1) 위반 접근 거부

면제

[편집]

다음은 GDPR에서 특별히 다루지 않으므로 면제로 취급되는 몇 가지 경우이다.[45]

반대로, 어떤 주체, 또는 더 정확히 말해 "기업"은 GDPR의 적용을 받기 위해 "경제 활동"에 종사해야 한다.[c] 경제 활동은 유럽 연합 경쟁법에 따라 광범위하게 정의된다.[46]

유럽 연합 외부에서의 적용 가능성

[편집]

GDPR은 유럽 경제 지역(EEA) 외부의 데이터 컨트롤러 및 처리자에게도 적용된다. 이들이 EEA 내 정보 주체에게 "상품 또는 서비스 제공"(지불 여부와 관계없이)에 종사하거나 EEA 내 정보 주체의 행동을 모니터링하는 경우(제3조(2))에 해당한다. 이 규정은 처리가 어디에서 이루어지는지에 관계없이 적용된다.[47] 이는 EU에 소재하지 않은 사업장이 EU 내 사람들과 거래하거나 이들의 행동을 모니터링하는 경우 GDPR이 의도적으로 국외관할권을 부여한 것으로 해석된다. EU 또는 회원국이 EU에 사업장이 없는 조직에 대해 GDPR을 실제로 집행할 수 있을지는 의문이다.[48]

EU 대표자

[편집]

제27조에 따라 GDPR의 적용을 받는 비EU 사업장은 규정에 따른 의무에 대한 연락 창구 역할을 할 "EU 대표자"를 유럽 연합 내에 지정해야 한다. EU 대표자는 모든 처리 관련 사항에 있어 유럽 개인정보 감독관 및 정보 주체에 대한 컨트롤러 또는 처리자의 연락 담당자이며, GDPR 준수를 보장한다. 자연인(개인) 또는 법인(기업)이 EU 대표자 역할을 할 수 있다.[1]:Art. 27(4) 비EU 사업장은 특정 개인 또는 회사를 EU 대표자로 지정하는 적절하게 서명된 문서(인가서)를 발행해야 한다. 해당 지정은 서면으로만 이루어질 수 있다.[1]:Art. 27(1)

사업장이 EU 대표자를 지정하지 않으면 규정 및 관련 의무를 무시한 것으로 간주되며, 이는 GDPR 위반으로 간주되어 기업의 경우 최대 1천만 유로 또는 전년도 전 세계 연간 매출액의 2% 중 더 큰 금액의 벌금이 부과될 수 있다. 위반(EU 대표자 미지정)의 의도적이거나 태만한(고의적 맹목) 성격은 오히려 가중 사유가 될 수 있다.[1]:Arts. 83(1) & 83(2) & 83(4a)

사업장은 대규모로 GDPR 제9조(1)에 언급된 특별 범주 데이터 또는 제10조에 언급된 형사 유죄 판결 및 범죄 관련 개인 데이터 처리를 포함하지 않는 비정기적인 처리에만 종사하며, 이러한 처리가 처리의 성격, 맥락, 범위 및 목적을 고려할 때 자연인의 권리와 자유에 위험을 초래할 가능성이 없는 경우 EU 대표자를 지정할 필요가 없다. 비EU 공공 기관 및 단체도 마찬가지로 면제된다.[1]:Art. 27(2)

제3국

[편집]

GDPR 제5장은 EEA 외부 국가(제3국으로 알려짐)로의 EU 정보 주체의 개인정보 전송을 금지한다. 단, 적절한 보호 장치가 부과되거나 제3국의 데이터 보호 규정이 유럽 위원회에 의해 공식적으로 충분하다고 간주되는 경우(제45조)는 예외이다.[49][50] 구속적 기업 규칙, 데이터 처리 계약(DPA)에 의해 발행된 데이터 보호를 위한 표준 계약 조항, 또는 제3국에 위치한 데이터 컨트롤러 또는 처리자의 구속력 있고 집행 가능한 약속 제도가 그 예이다.[51]

영국 구현

[편집]
영국의 유럽 GDPR과의 분리에서 발생할 수 있는 결과에 대한 설명[52]

영국의 GDPR 적용 가능성은 브렉시트의 영향을 받는다. 영국은 2020년 1월 31일 유럽 연합에서 공식적으로 탈퇴했지만, 2020년 12월 31일 전환 기간이 끝날 때까지 GDPR을 포함한 EU 법률의 적용을 받았다.[49] 영국은 2018년 5월 23일 2018년 데이터 보호법재가를 부여했으며, 이는 국가법에 따라 결정될 규정의 측면과 데이터 컨트롤러의 동의 없이 개인정보를 고의로 또는 무모하게 획득, 재배포 또는 보유하는 행위에 대한 형사 처벌을 포함하여 GDPR을 보강했다.[53][54]

2018년 유럽 연합 (탈퇴) 법에 따라 기존의 관련 EU 법률은 전환이 완료되면 영국 법률로 이행되었으며, GDPR은 법정 문서에 의해 영국이 EU 회원이 아니라는 이유로 더 이상 필요하지 않은 특정 조항을 제거하기 위해 수정되었다. 이후 이 규정은 "영국 GDPR"로 불린다.[55][50][49] 영국은 영국 GDPR에 따라 EEA 내 국가로의 개인 데이터 전송을 제한하지 않는다. 그러나 영국은 EU GDPR에 따른 제3국이므로, 적절한 보호 장치가 부과되거나 유럽 위원회가 영국 데이터 보호 법률의 적절성에 대한 적절성 결정을 내리지 않는 한 EU 회원국에서 영국으로 개인 데이터가 전송될 수 없다 (제5장). 브렉시트 탈퇴 협정의 일환으로 유럽 위원회는 적절성 평가를 수행하기로 약속했다.[49][50] 2021년 6월 28일, 위원회는 영국 GDPR의 적절성을 4년 동안 확인했다.[56] 이는 2025년 6월 27일에 만료될 예정이었으나, 위원회가 2025년 데이터 (사용 및 접근) 법의 영향을 평가할 시간을 주기 위해 6개월 연장되었다.[57]

2019년 4월, 영국 정보 위원회(ICO)는 미성년자가 소셜 네트워킹 서비스를 사용할 때를 위한 아동 행동 강령을 GDPR에 따라 시행하도록 발표했다. 여기에는 소셜 미디어 중독을 막기 위해 "좋아요" 및 "스트릭" 메커니즘에 대한 제한과 관심 처리에 이 데이터를 사용하는 것에 대한 제한도 포함된다.[58][59]

2021년 3월, 영국 디지털, 문화, 미디어 및 스포츠 장관 올리버 다우든은 영국이 EU GDPR과의 차별화를 모색하고 있으며, 이는 "개별 기업에 부과되는 규제의 부담을 줄이고 우리가 원하는 결과에 더 집중하기 위함"이라고 밝혔다.[60]

오해

[편집]

GDPR에 대한 몇 가지 일반적인 오해는 다음과 같다.

  • 모든 개인정보 처리는 정보 주체의 동의를 필요로 한다.
    • 실제로, 데이터는 처리의 다른 다섯 가지 합법적인 근거 중 하나가 적용되면 동의 없이 처리될 수 있으며, 동의를 얻는 것이 종종 부적절할 수 있다.[61]
  • 개인은 자신의 데이터를 삭제할 절대적인 권리(잊힐 권리)를 갖는다.
    • 직접 마케팅을 거부할 절대적인 권리가 있지만, 데이터 컨트롤러는 데이터가 원래 수집된 목적에 필요한 한, 데이터를 처리할 합법적인 근거가 있는 경우 개인정보를 계속 처리할 수 있다.[62]
  • 기록에서 개인의 이름을 제거하면 GDPR 적용 범위에서 벗어난다.
    • 개인이 숫자로 식별되는 "가명" 데이터는 데이터 컨트롤러가 해당 데이터를 다른 방식으로 개인과 연결할 수 있는 경우 여전히 개인 데이터일 수 있다.[63]
  • GDPR은 전 세계 어디에서나 EU 시민의 개인정보를 처리하는 모든 사람에게 적용된다.
    • 실제로, EU에 설립되지 않은 조직에는 EU에 위치한 정보 주체(시민권과 무관하게)의 데이터를 처리하는 경우에만 적용되며, 이는 해당 정보 주체에게 상품 또는 서비스를 제공하거나 그들의 행동을 모니터링할 때만 적용된다.[64]

반응

[편집]

2018년 딜로이트가 실시한 연구에 따르면, 기업의 92%는 장기적으로 GDPR을 준수할 수 있다고 믿고 있다.[65]

EU 외부에 진출한 기업들은 GDPR에 맞춰 비즈니스 관행을 조정하기 위해 많은 투자를 해왔다. GDPR 동의 영역은 통화를 녹음하는 기업에게 여러 가지 의미를 지닌다. 일반적인 면책 조항은 통화 녹음에 대한 묵시적 동의를 얻기에 충분하다고 간주되지 않는다. 또한, 녹음이 시작된 후 발신자가 동의를 철회하면 전화를 받는 상담원은 이전에 시작된 녹음을 중지하고 녹음이 저장되지 않도록 해야 한다.[66]

IT 전문가들은 GDPR 준수가 전반적으로 추가 투자를 필요로 할 것으로 예상한다. 설문 조사에 참여한 사람들 중 80% 이상이 GDPR 관련 지출이 최소 10만 달러에 달할 것으로 예상했다.[67] 베이커 & 맥킨지 법률 사무소의 의뢰로 작성된 보고서에서도 이러한 우려가 확인되었다. 이 보고서는 "응답자의 약 70%가 조직이 GDPR에 따른 동의, 데이터 매핑 및 국경 간 데이터 전송 요구 사항을 준수하기 위해 추가 예산/노력을 투자해야 한다고 믿는다"고 밝혔다.[68] EU 기업의 총 비용은 2천억 유로로 추정되며, 미국 기업의 경우 417억 달러로 추정된다.[69] 이 규정이 우선적으로 페이스북구글과 같은 대형 국제 기술 기업을 겨냥하고 있음에도 불구하고, 소규모 기업과 스타트업은 GDPR을 적절히 준수할 재정적 자원이 없을 수 있다는 주장이 제기되었다.[70][71] 규정 채택 전에는 규정에 대한 지식과 이해 부족 또한 우려 사항이었다.[72] 이에 대한 반론은 기업들이 발효 2년 전부터 이러한 변화를 인지하고 있었으며, 준비할 충분한 시간이 있었다는 것이다.[73]

기업이 데이터 보호 책임자를 두어야 하는지 여부를 포함한 규정은 잠재적인 행정적 부담과 불분명한 준수 요구 사항으로 비판을 받아왔다.[74] 데이터 최소화는 가명화가 가능한 수단 중 하나인 요구 사항이지만, 이 규정은 효과적인 데이터 비식별화 체계의 방법이나 구성 요소에 대한 지침을 제공하지 않아, 부적절한 가명화가 5조 집행 조치의 대상이 될 수 있는 회색 영역이 존재한다.[33][75][76] 또한 블록체인 시스템에서의 GDPR 구현에 대한 우려도 있다. 블록체인 거래의 투명하고 고정된 기록이 GDPR의 본질과 상충되기 때문이다.[77] 많은 언론 매체들은 알고리즘 결정에 대한 "설명할 권리"의 도입에 대해 언급했지만,[78][79] 법률 학자들은 그러한 권리의 존재가 사법적 검증 없이는 매우 불분명하며, 기껏해야 제한적이라고 주장했다.[80][81]

GDPR은 데이터 관리를 개선할 기회로 여기는 기업들로부터 지지를 얻었다.[82][83] 마크 저커버그 또한 이를 "인터넷을 위한 매우 긍정적인 단계"라고 칭하며,[84] 미국에서도 GDPR과 유사한 법률이 채택될 것을 촉구했다.[85] 유럽 소비자 기구와 같은 소비자 권리 단체들은 이 법안의 가장 큰 지지자들 중 하나이다.[86] 다른 지지자들은 이 법안의 통과를 에드워드 스노든과 같은 내부 고발자의 공으로 돌렸다.[87] 자유 소프트웨어 지지자 리처드 스톨먼은 GDPR의 일부 측면을 칭찬했지만, 기술 기업들이 "동의를 조작하는" 것을 막기 위한 추가적인 안전 장치를 요구했다.[88]

영향

[편집]

GDPR 제정에 참여한 학계 전문가들은 이 법이 "한 세대에 걸쳐 정보 정책에서 가장 중요한 규제 발전이다. GDPR은 개인정보를 복잡하고 보호적인 규제 체제 안으로 가져온다"고 썼다.[89]

최소 2년의 준비 기간이 있었음에도 불구하고, 많은 기업과 웹사이트는 GDPR 시행 직전에 전 세계적으로 개인정보처리방침과 기능을 변경했으며, 이러한 변경 사항을 논의하는 이메일 및 기타 알림을 관례적으로 제공했다. 이는 피로감을 주는 수많은 통신을 초래했다는 비판을 받았으며, 전문가들은 일부 알림 이메일이 GDPR 발효 시점에 데이터 처리에 대한 새로운 동의를 받아야 한다고 잘못 주장했다고 지적했다(이전에 얻은 처리 동의는 규정의 요구 사항을 충족하는 한 유효하다). 피싱 사기도 GDPR 관련 이메일의 위조 버전을 사용하여 나타났으며, 일부 GDPR 알림 이메일이 실제로는 스팸 방지 법률을 위반하여 전송되었을 수도 있다는 주장도 제기되었다.[90][14] 2019년 3월, 규정 준수 소프트웨어 제공업체는 EU 회원국 정부가 운영하는 많은 웹사이트에 광고 기술 제공업체의 임베디드 추적이 포함되어 있음을 발견했다.[91][92]

GDPR 관련 알림의 홍수 또한 인터넷 밈을 만들었다. 여기에는 비정형적인 수단(예: 위저보드 또는 스타워즈 오프닝 크롤)으로 전달되는 개인정보처리방침 알림, 산타클로스의 "말썽꾸러기 또는 착한 아이" 목록이 위반이라는 주장, 그리고 전 BBC 라디오 4 시핑 포카스트 아나운서가 규정 발췌를 녹음한 것 등이 포함되었다. GDPR Hall of Shame이라는 블로그도 만들어져 GDPR 알림의 특이한 전달 방식과 규정 요구 사항에 대한 심각한 위반이 포함된 준수 시도를 보여주었다. 그 저자는 이 규정이 "많은 세부 사항은 있지만, 준수 방법에 대한 정보는 많지 않다"고 언급했지만, 기업들이 준수할 2년의 시간이 있었음을 인정하며 일부 대응이 정당화되지 않았음을 시사했다.[93][94][95][96][97]

연구에 따르면 소프트웨어 취약점의 약 25%가 GDPR과 관련이 있다.[98] 제33조가 버그가 아닌 침해를 강조하므로, 보안 전문가들은 기업들이 협력적 취약점 공개 프로세스를 포함하여 취약점이 악용되기 전에 식별할 수 있는 프로세스와 역량에 투자할 것을 권고한다.[99][100] 안드로이드 앱의 개인정보처리방침, 데이터 접근 기능 및 데이터 접근 행동에 대한 조사는 많은 앱이 GDPR 시행 이후 다소 프라이버시에 더 친화적인 행동을 보였지만, 여전히 코드에 대부분의 데이터 접근 권한을 유지하고 있음을 보여주었다.[101][102] 노르웨이 소비자 위원회가 GDPR 이후 소셜 미디어 플랫폼(예: 구글 대시보드)의 정보 주체 대시보드에 대해 조사한 결과, 대형 소셜 미디어 기업들이 고객이 개인정보 설정을 강화하는 것을 막기 위해 기만적인 전술을 사용한다는 결론을 내렸다.[103]

효과적인 날짜에 일부 웹사이트는 EU 국가 방문객을 완전히 차단하기 시작했다(인스타페이퍼,[104] 언롤미(Unroll.me),[105] 그리고 트리뷴 퍼블리싱 소유 신문인 시카고 트리뷴로스앤젤레스 타임스) 또는 기능을 제한하고/하거나 광고 없이 서비스를 간소화한 버전으로 리디렉션하여 책임을 피했다(내셔널 퍼블릭 라디오USA 투데이의 경우).[106][107][108][109] 클라우트 및 여러 온라인 비디오 게임과 같은 일부 기업은 GDPR이 특히 전자의 비즈니스 모델 때문에 지속적인 운영에 부담을 준다는 이유로 시행과 동시에 운영을 완전히 중단했다.[110][111][112] 2018년 5월 25일, 유럽에서 온라인 행동 광고 게재는 25~40% 감소했다.[113][114]

GDPR 시행 2년 후인 2020년, 유럽 집행위원회는 EU 전역의 사용자들이 자신들의 권리에 대한 지식을 높였다고 평가하며 "EU의 16세 이상 인구 중 69%가 GDPR에 대해 들어봤고, 71%가 자국 데이터 보호 기관에 대해 들어봤다"고 밝혔다.[115][116] 위원회는 또한 프라이버시가 소비자들이 의사 결정 과정에서 고려하는 경쟁력 있는 요소가 되었다는 점을 발견했다.[115]

집행 및 불일치

[편집]

페이스북과 자회사인 WhatsApp인스타그램, 그리고 구글 LLC(안드로이드를 겨냥한)는 2018년 5월 25일 자정 직후 막스 슈렘스의 비영리 단체 NOYB에 의해 "강제 동의" 사용으로 즉시 고소당했다. 슈렘스는 두 회사 모두 데이터 데이터 처리 동의를 개별적으로 제시하지 않고, 사용자들이 모든 데이터 처리 활동(엄격히 필요하지 않은 활동 포함)에 동의하거나 서비스 이용이 금지될 것이라는 이유로 제7조(4)를 위반했다고 주장했다.[117][118][119][120][121] 2019년 1월 21일, 프랑스 DPA는 구글에 행동 광고를 위한 개인정보 사용에 대한 통제, 동의, 투명성이 불충분하다는 이유로 5천만 유로의 벌금을 부과했다.[122][123] 2018년 11월, 리비우 드라그네아에 대한 언론 조사 후, 루마니아 DPA(ANSPDCP)는 GDPR 요청을 사용하여 라이즈 프로젝트의 정보 출처에 대한 정보를 요구했다.[124][125]

2019년 7월, 영국 정보 위원회는 2018년 웹 스키밍 공격으로 약 38만 건의 거래에 영향을 미친 부실한 보안 조치에 대해 영국항공에 기록적인 1억 8,300만 파운드(매출액의 1.5%)의 벌금을 부과할 의향을 발표했다.[126][127][128][129][130] 영국항공은 결국 2천만 파운드로 감액된 벌금을 부과받았는데, ICO는 "BA의 진술과 COVID-19가 BA 사업에 미친 경제적 영향을 모두 고려하여 최종 벌금을 결정했다"고 밝혔다.[131]

2019년 12월, 폴리티코는 조세 피난처로 명성을 얻고 (특히 아일랜드의 경우) 미국 빅테크 기업의 유럽 자회사 기지로 활용되었던 아일랜드와 룩셈부르크라는 두 소규모 EU 국가가 GDPR에 따른 주요 외국 기업 조사에서 상당한 업무 적체를 겪고 있다고 보도했다. 아일랜드는 규정의 복잡성을 한 가지 요인으로 꼽았다. 폴리티코가 인터뷰한 비평가들은 또한 회원국 간의 다양한 해석, 일부 당국의 집행보다 지침 우선주의, 그리고 회원국 간 협력 부족으로 인해 집행이 방해받고 있다고 주장했다.[132]

2021년 11월, 아일랜드 시민 자유 협의회는 집행위원회가 아일랜드의 GDPR 적용 방식을 신중하게 모니터링할 EU 법률상 의무를 위반했다고 공식적으로 불만을 제기했다.[133] 2023년 1월까지 위원회는 ICCL의 불만에 기반한 새로운 약속을 발표했다.[133] 기업들은 이제 법적 의무를 지게 되었지만, GDPR의 실제적, 기술적 구현에는 여전히 다양한 불일치가 존재한다.[134] 예를 들어, GDPR의 접근권에 따르면 기업은 정보 주체에 대해 수집한 데이터를 제공할 의무가 있다. 그러나 독일의 로열티 카드에 대한 연구에서 기업들은 구매한 품목에 대한 정확한 정보를 정보 주체에게 제공하지 않았다.[135] 이러한 기업들이 구매한 품목 정보를 수집하지 않는다고 주장할 수도 있지만, 이는 그들의 비즈니스 모델과 일치하지 않는다. 따라서 정보 주체들은 이를 GDPR 위반으로 간주하는 경향이 있다. 결과적으로 연구에서는 당국을 통한 더 나은 통제를 제안했다.[136][135] GDPR에 따르면 최종 사용자의 승낙은 유효하고, 자유롭게 부여되었으며, 구체적이고, 정보에 입각했으며, 적극적이어야 한다.[137][138] 그러나 합법적인 동의 획득에 대한 집행 가능성 부족은 과제로 남아 있다. 예를 들어, 2020년 연구에 따르면 빅테크, 즉 구글, 아마존, 페이스북, 애플, 마이크로소프트 (GAFAM)는 동의 획득 메커니즘에 다크패턴을 사용하여 획득된 동의의 적법성에 의문을 제기하고 있다.[138] 2021년 3월, 프랑스가 주도하는 EU 회원국들이 국가 안보 기관을 면제하여 유럽에서 개인정보 규정의 영향을 수정하려고 시도하고 있다고 보도되었다.[139] 2020년에 약 1억 6천만 유로의 GDPR 벌금이 부과된 후, 2021년에는 이미 10억 유로를 넘어섰다.[140]

2024년과 2025년 초에 GDPR 집행 조치가 강화되었다. 아일랜드 데이터 보호 위원회(DPC)는 틱톡에 아동 데이터 프라이버시 위반 및 어린 사용자 보호 조치 미흡으로 3억 4,500만 유로의 벌금을 부과했다.[141] 2025년 1월, 메타는 EU와 미국 간의 불법적인 데이터 전송으로 12억 유로의 벌금을 부과받았는데, 이는 현재까지 가장 큰 GDPR 벌금 중 하나이다.[142] 2025년 2월 12일, 유럽 위원회는 강력한 로비와 EU 입법부 간의 합의 부족으로 기술 특허, AI 책임, 메시징 앱 개인정보 보호에 대한 제안된 규정을 철회했으며, 주요 기술 기업들은 변경에 반대했다.[143]

해외 법률에 미치는 영향

[편집]

다국적 기업들이 이러한 새로운 프라이버시 표준을 대규모로 채택한 것은 유럽 법률 및 규정이 그 중요성으로 인해 기준선으로 사용되는 현상인 "브뤼셀 효과"의 한 예로 인용되었다.[144]

미국 캘리포니아주는 2018년 6월 28일 캘리포니아 소비자 프라이버시법을 통과시켰고, 이는 2020년 1월 1일부터 발효되었다. 이 법은 GDPR과 유사한 방식으로 기업의 개인정보 수집에 대한 투명성 및 통제권을 부여한다. 비평가들은 이러한 법률이 효과적이려면 연방 차원에서 시행되어야 한다고 주장했다. 왜냐하면 주 단위 법률의 집합은 다양한 기준을 가져와 준수를 복잡하게 만들 것이기 때문이다.[145][146][147] 두 개의 다른 미국 주에서는 이후 유사한 법률을 제정했다. 버지니아주는 2021년 3월 2일 소비자 데이터 프라이버시 법을 통과시켰고,[148] 콜로라도주는 2021년 7월 8일 콜로라도 프라이버시 법을 제정했다.[149]

튀르키예 공화국, 유럽 연합 회원 후보국EU 아키를 준수하여 2016년 3월 24일 개인정보 보호법을 채택했다.[150] 중국의 2021년 중화인민공화국 개인정보 보호법은 개인 데이터 권리에 대한 중국 최초의 포괄적인 법률이며 GDPR을 모델로 한다.[151]:131 스위스도 EU의 GDPR을 대체로 따르는 새로운 데이터 보호법을 채택할 것이다.[152] 유럽 연합의 해외 지역이 카리브 지역의 동카리브 국가 기구와 같은 비정부 조직(NGO)에 가입하면서, GDPR 규칙은 해당 지역의 프라이버시 권리에 대한 현재 법률이 없고 해당 외부 지역의 법률 준수를 유지해야 한다는 점을 고려할 때 필수적인 요소가 되었다.[153] 2018년에 제정된 클라우드 법유럽 데이터 보호 감독관(EDPS)에 의해 GDPR과 충돌할 수 있는 법률로 간주된다.[154][155][156]

웹사이트 조회수 및 수익

[편집]

2024년 연구에 따르면 GDPR은 EU 사용자 웹사이트 페이지 조회수와 웹사이트 수익을 모두 12% 감소시켰다.[157]

타임라인

[편집]
  • 2012년 1월 25일: GDPR 제안이 공개되었다.[11]
  • 2013년 10월 21일: 유럽 의회 시민 자유, 사법 및 내무 위원회(LIBE)가 방향 투표를 했다.
  • 2015년 12월 15일: 유럽 의회, 이사회집행위원회 간의 협상(공식 3자 회의)에서 공동 제안이 도출되었다.
  • 2015년 12월 17일: 유럽 의회 LIBE 위원회가 세 당사자 간의 협상에 투표했다.
  • 2016년 4월 8일: 유럽 연합 이사회에 의해 채택되었다.[158] 반대 투표를 한 유일한 회원국은 오스트리아였다. 오스트리아는 일부 측면에서 데이터 보호 수준이 1995년 지침에 비해 미흡하다고 주장했다.[159][160]
  • 2016년 4월 14일: 유럽 의회에 의해 채택되었다.[161]
  • 2016년 5월 24일: 이 규정은 유럽 연합 관보에 게재된 지 20일 후 발효되었다.[16]
  • 2018년 5월 6일: 경찰 및 사법 부문에 대한 데이터 보호 지침이 이날부터 적용되는 국내 법률로 제정되었다.[162]
  • 2018년 5월 25일: 이 규정은 발효된 지 2년 후 모든 회원국에서 직접 적용 가능하게 되었다.[16]
  • 2018년 7월 20일: EEA 공동 위원회와 세 국가가 규정을 따르기로 합의한 후, GDPR은 EEA 국가(아이슬란드, 리히텐슈타인, 노르웨이)에서 유효하게 되었다.[163][164]

EU 디지털 단일 시장

[편집]

EU 디지털 단일 시장 전략은 EU 내 기업과 사람들과 관련된 "디지털 경제" 활동과 관련이 있다.[165] 이 전략의 일환으로 GDPR 및 NIS 지침은 모두 2018년 5월 25일부터 적용된다. 제안된 전자 프라이버시 규정도 2018년 5월 25일부터 적용될 예정이었으나, 몇 달 연기될 예정이다.[166] EIDAS 규정도 이 전략의 일부이다.

초기 평가에서 유럽 이사회는 GDPR이 "미래 디지털 정책 이니셔티브 개발의 전제 조건"으로 간주되어야 한다고 밝혔다.[167]

같이 보기

[편집]

각주

[편집]
  1. 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation)
  2. Presidency of the Council: 'Compromise text. Several partial general approaches have been instrumental in converging views in Council on the proposal for a General Data Protection Regulation in its entirety. The text on the Regulation which the Presidency submits for approval as a General Approach appears in annex,' 201 pages, 11 June 2015, PDF. 2015년 12월 25일에 원본 문서에서 보존된 문서. 2015년 12월 30일에 확인함.
  3. Koch, Richie (2019년 7월 31일). What is the LGPD? Brazil’s version of the GDPR (미국 영어). GDPR.eu. 2025년 11월 16일에 확인함.
  4. Ryngaert, C & Taylor, M 2020, ‘The GDPR as Global Data Protection Regulation?’, AJIL unbound, vol. 114, pp. 5–9.
  5. The UK GDPR. 정보 위원회 ico.. 2021년 6월 28일. 2025년 12월 15일에 원본 문서에서 보존된 문서. 2024년 5월 3일에 확인함.
  6. Francesca, Lucarini. GDPR vs CCPA: What are the main differences? (미국 영어). EUGDPRAcademy. 2020년 7월 12일에 원본 문서에서 보존된 문서. 2025년 11월 16일에 확인함.
  7. 제3조(2): 이 규정은 다음 중 어느 하나에 해당하는 경우, EU에 설립되지 않은 컨트롤러 또는 처리자에 의한 EU 내 정보 주체의 개인정보 처리에 적용된다. (a) 정보 주체에게 상품 또는 서비스를 제공하는 활동. 정보 주체의 지불이 요구되는지 여부는 불문한다. (b) 정보 주체의 행동이 EU 내에서 발생하는 경우, 그 행동을 모니터링하는 활동.
  8. What is personal data? (영어). ico.org.uk. 2019년 4월 24일. 2019년 7월 24일에 원본 문서에서 보존된 문서. 2025년 11월 16일에 확인함.
  9. Directive (EU) 2016/680 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data by competent authorities for the purposes of the prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, and on the free movement of such data, and repealing Council Framework Decision 2008/977/JHA
  10. The Proposed EU General Data Protection Regulation. A guide for in-house lawyers, Hunton & Williams LLP, June 2015, p. 14
  11. 1 2 Procedure 2012/0011/COD Procedure for the proposed revised legal framework (General Data Protection Regulation)
  12. Age of consent in the GDPR: updated mapping. iapp.org. 2018년 5월 27일에 원본 문서에서 보존된 문서. 2025년 11월 16일에 확인함.
  13. How the Proposed EU Data Protection Regulation Is Creating a Ripple Effect Worldwide (PDF). iapp.org. 2021년 2월 17일에 원본 문서 (PDF)에서 보존된 문서. 2025년 11월 16일에 확인함.
  14. 1 2 Hern, Alex (2018년 5월 21일). Most GDPR emails unnecessary and some illegal, say experts. The Guardian. 2018년 5월 28일에 원본 문서에서 보존된 문서. 2018년 5월 28일에 확인함.
  15. Kamleitner, Bernadette; Mitchell, Vince (2019년 10월 1일). Your Data Is My Data: A Framework for Addressing Interdependent Privacy Infringements (영어). Journal of Public Policy & Marketing 38. 433–450쪽. doi:10.1177/0743915619858924. ISSN 0743-9156. S2CID 201343307.
  16. 1 2 3 Official Journal L 119/2016. eur-lex.europa.eu. 2018년 11월 22일에 원본 문서에서 보존된 문서. 2018년 5월 26일에 확인함.
  17. Guidelines on the right to data portability under Regulation 2016/679. ec.europa.eu. 2017년 6월 29일에 원본 문서에서 보존된 문서. 2025년 11월 16일에 확인함.
  18. Veale, Michael; Binns, Reuben; Ausloos, Jef (2018). When data protection by design and data subject rights clash. International Data Privacy Law 8. 105–123쪽. doi:10.1093/idpl/ipy002.
  19. Zuiderveen Borgesius, Frederik J. (April 2016). Singling out people without knowing their names – Behavioural targeting, pseudonymous data, and the new Data Protection Regulation. Computer Law & Security Review 32. 256–271쪽. arXiv:2511.07307. doi:10.1016/j.clsr.2015.12.013. ISSN 0267-3649.
  20. Baldry, Tony; Hyams, Oliver (2014년 5월 15일). The Right to Be Forgotten. 1 Essex Court. 2017년 10월 19일에 원본 문서에서 보존된 문서. 2014년 6월 1일에 확인함.
  21. P7_TA(2014)0212 Protection of individuals with regard to the processing of personal data ***I European Parliament legislative resolution of 12 March 2014 on the proposal for a regulation of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation) (COM(2012)0011 — C7-0025/2012 — 2012/0011(COD)) P7_TC1-COD(2012)0011 Position of the European Parliament adopted at first reading on 12 March 2014 with a view to the adoption of Regulation (EU) No …/2014 of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation)
  22. Practical Data Privacy | Books by Thoughtworkers (영어). Thoughtworks. 2025년 11월 16일에 확인함.
  23. 1 2 Right to object (영어). ico.org.uk. 2019년 8월 30일. 2019년 12월 2일에 원본 문서에서 보존된 문서. 2025년 11월 16일에 확인함.
  24. Sookman, Barry; Charles Morgan; Adam Goldenberg (2021년 4월 30일). Using privacy laws to regulate automated decision making (미국 영어). Barry Sookman. 2021년 5월 24일에 원본 문서에서 보존된 문서. 2021년 5월 24일에 확인함.
  25. Judgment of the Court (Third Chamber) of 4 May 2023. UI v Österreichische Post AG. Request for a preliminary ruling from the Oberster Gerichtshof. Case C-300/21, ECLI:EU:C:2023:370: Reference for a preliminary ruling – Protection of natural persons with regard to the processing of personal data – Regulation (EU) 2016/679 - Article 82(1) - Right to compensation for damage caused by data processing that infringes that regulation - Conditions governing the right to compensation – Mere infringement of that regulation not sufficient - Need for damage caused by that infringement - Compensation for non-material damage resulting from such processing - Incompatibility of a national rule making compensation for such damage subject to the exceeding of a threshold of seriousness - Rules for the determination of damages by national courts.
  26. Österreichische Post (C-300/21), sub 54.
  27. Opinion of Advocate General Campos Sánchez-Bordona delivered on 25 May 2023. ZQ v Medizinischer Dienst der Krankenversicherung Nordrhein, Körperschaft des öffentlichen Rechts. Case C‑667/21, ECLI:EU:C:2023:433 (Provisional text)
  28. Bird & Bird, Bird & Bird Guide to the General Data Protection Regulation, published in May 2020, accessed on 5 October 2025
  29. Website maintenance. ico.org.uk. 2018년 5월 23일에 원본 문서에서 보존된 문서. 2025년 11월 16일에 확인함.
  30. What information must be given to individuals whose data is collected? (영어). European Commission - European Commission. 2018년 5월 23일에 원본 문서에서 보존된 문서. 2025년 11월 16일에 확인함.
  31. Privacy and Data Protection by Design — ENISA (영국 영어). www.enisa.europa.eu. 2017년 4월 5일에 원본 문서에서 보존된 문서. 2025년 11월 16일에 확인함.
  32. Data science under GDPR with pseudonymization in the data pipeline (영어). www.dativa.com. 2018년 4월 18일에 원본 문서에서 보존된 문서. 2025년 11월 16일에 확인함.
  33. 1 2 Wes, Matt (2017년 4월 25일). Looking to comply with GDPR? Here's a primer on anonymization and pseudonymization. IAPP. 2018년 2월 19일에 원본 문서에서 보존된 문서. 2018년 2월 19일에 확인함.
  34. Secure personal data | European Data Protection Board. www.edpb.europa.eu. 2024년 5월 16일에 확인함.
  35. Data protection by design and default (영어). ico.org.uk. 2023년 7월 1일. 2024년 5월 16일에 확인함.
  36. What if somebody withdraws their consent? - European Commission (영어). commission.europa.eu. 2025년 11월 16일에 확인함.
  37. TrueVault. Explaining GDPR Data Subject Requests - TrueVault (영어). www.truevault.com. 2019년 2월 20일에 원본 문서에서 보존된 문서. 2025년 11월 16일에 확인함.
  38. Guidelines on Data Protection Officers ('DPOs'). ec.europa.eu. 2017년 6월 29일에 원본 문서에서 보존된 문서. 2025년 11월 16일에 확인함.
  39. Jankowski, Piper-Meredith (2017년 6월 21일). reach of the GDPR: What is at stake?. Lexology. 2018년 5월 26일에 원본 문서에서 보존된 문서. 2018년 5월 25일에 확인함.
  40. EDPB Document on the procedure for the adoption of the EDPB opinions regarding national criteria for certification and European Data Protection Seals | European Data Protection Board. www.edpb.europa.eu. 2024년 10월 30일에 확인함.
  41. 1 2 Art. 42 GDPR – Certification (미국 영어). General Data Protection Regulation (GDPR). 2024년 10월 30일에 확인함.
  42. Europrivacy: the first certification mechanism to ensure compliance with GDPR | Shaping Europe's digital future (영어). digital-strategy.ec.europa.eu. 2022년 10월 17일. 2024년 10월 30일에 확인함.
  43. EDPB document on the procedure for the approval of certification criteria by the EDPB resulting in a common certification, the European Data Protection Seal | European Data Protection Board. www.edpb.europa.eu. 2024년 11월 3일에 확인함.
  44. Europrivacy | European Data Protection Board. www.edpb.europa.eu. 2025년 11월 16일에 확인함.
  45. Exemptions (영어). ico.org.uk. 2020년 7월 20일. 2020년 11월 11일에 원본 문서에서 보존된 문서. 2020년 11월 11일에 확인함.
  46. Wehlander, Caroline (2016). "Economic Activity": Criteria and Relevance in the Fields of EU Internal Market Law, Competition Law and Procurement Law (PDF). Wehlander, Caroline (편집). Services of General Economic Interest as a Constitutional Concept of EU Law. The Hague, Netherlands: TMC Asser Press. 35–65쪽. doi:10.1007/978-94-6265-117-3_2. ISBN 978-94-6265-116-6. 26 May 2018에 원본 문서 (PDF)에서 보존된 문서. 23 May 2018에 확인함.
  47. The (Extra) Territorial Scope of the GDPR: The Right to Be Forgotten (영어). www.fasken.com. 2020년 2월 21일에 원본 문서에서 보존된 문서. 2025년 11월 16일에 확인함.
  48. Extraterritorial Scope of GDPR: Do Businesses Outside the EU Need to Comply? (영어). American Bar Association. 2020년 2월 21일에 원본 문서에서 보존된 문서. 2020년 2월 21일에 확인함.
  49. 1 2 3 4 UK: Understanding the full impact of Brexit on UK: EU data flows (미국 영어). Privacy Matters. DLA 파이퍼. 2019년 9월 23일. 2020년 2월 20일에 원본 문서에서 보존된 문서. 2020년 2월 20일에 확인함.
  50. 1 2 3 Palmer, Danny. On data protection, the UK says it will go it alone. It probably won't. (영어). ZDNet. 2020년 2월 16일에 원본 문서에서 보존된 문서. 2020년 2월 20일에 확인함.
  51. Donnelly, Conor (2018년 1월 18일). How to transfer data to a 'third country' under the GDPR (영국 영어). IT Governance Blog En. 2020년 2월 21일에 원본 문서에서 보존된 문서. 2020년 2월 21일에 확인함.
  52. Digital Rights post-Brexit. Youtube. 오픈 라이츠 그룹. 2022년 11월 2일. 2022년 11월 22일에 원본 문서에서 보존된 문서. 2022년 11월 27일에 확인함. 오픈 라이츠 그룹에서 영국의 제안을 설명하기 위해 개발한 영상
  53. New Data Protection Act finalised in the UK (영어). www.out-law.com. 2018년 5월 25일에 원본 문서에서 보존된 문서. 2025년 11월 16일에 확인함.
  54. Ashford, Warwick (2018년 5월 24일). New UK Data Protection Act not welcomed by all. Computer Weekly. 2018년 5월 24일에 원본 문서에서 보존된 문서. 2018년 5월 25일에 확인함.
  55. Porter, Jon (2020년 2월 20일). Google shifts authority over UK user data to the US in wake of Brexit (영어). The Verge. 2020년 2월 20일에 원본 문서에서 보존된 문서. 2020년 2월 20일에 확인함.
  56. Wynn, Kathryn (2021년 6월 18일). UK data protection 'adequacy' gets EU governments' sign-off. Pinsent Masons. 2025년 12월 8일에 확인함.
  57. Mackie, Sheilah; Kimble, Andrew; Daun, Sarah; Ferguson, Victoria (2025년 11월 18일). EU–UK adequacy decisions approved by the EDPB: EDPB calls for effective monitoring. Womble Bond Dickinson. 2025년 12월 8일에 확인함.
  58. Under-18s face 'like' and 'streaks' limits (영국 영어). BBC News. 2019년 4월 15일에 원본 문서에서 보존된 문서. 2025년 11월 16일에 확인함.
  59. Greenfield, Patrick (2019년 4월 15일). Facebook urged to disable 'like' feature for child users. The Guardian. ISSN 0261-3077. 2019년 4월 15일에 원본 문서에서 보존된 문서. 2019년 4월 15일에 확인함.
  60. Afifi-Sabet, Keumars (2021년 3월 12일). UK seeks divergence from GDPR to 'fuel growth' (영어). IT PRO. 2021년 3월 13일에 원본 문서에서 보존된 문서. 2021년 3월 12일에 확인함.
  61. Data sharing myths busted. Information Commissioner's Office. 2023년 5월 19일. 2023년 10월 19일에 확인함.
  62. Top nine GDPR myths busted. WS Law. 2019년 1월 22일. 2023년 10월 19일에 확인함.
  63. Five GDPR myth-busters. Field Fisher. 2023년 5월 11일. 2023년 10월 19일에 확인함.
  64. Article 3 (2) of the GDPR
  65. Gooch, Peter (2018). A new era for privacy - GDPR six months on (PDF). Deloitte UK. 2020년 10월 12일에 원본 문서 (PDF)에서 보존된 문서. 2020년 11월 26일에 확인함.
  66. How Smart Businesses Can Avoid GDPR Penalties When Recording Calls. xewave.io. 2018년 4월 14일에 원본 문서에서 보존된 문서. 2018년 4월 13일에 확인함.
  67. Babel, Chris (2017년 7월 11일). The High Costs of GDPR Compliance. InformationWeek. UBM Technology Group. 2017년 10월 5일에 원본 문서에서 보존된 문서. 2017년 10월 4일에 확인함.
  68. Preparing for New Privacy Regimes: Privacy Professionals' Views on the General Data Protection Regulation and Privacy Shield (PDF). bakermckenzie.com. Baker & McKenzie. 2016년 5월 4일. 2018년 8월 31일에 원본 문서 (PDF)에서 보존된 문서. 2017년 10월 4일에 확인함.
  69. Georgiev, Georgi. GDPR Compliance Cost Calculator. GIGAcalculator.com. 2018년 5월 16일에 원본 문서에서 보존된 문서. 2018년 5월 16일에 확인함.
  70. Solon, Olivia (2018년 4월 19일). How Europe's 'breakthrough' privacy law takes on Facebook and Google. The Guardian. 2018년 5월 26일에 원본 문서에서 보존된 문서. 2018년 5월 25일에 확인함.
  71. Europe’s new privacy rules are no silver bullet (미국 영어). POLITICO. 2018년 4월 22일. 2018년 5월 26일에 원본 문서에서 보존된 문서. 2025년 11월 16일에 확인함.
  72. Lack of GDPR knowledge is a danger and an opportunity (영국 영어). MicroscopeUK. 2018년 5월 26일에 원본 문서에서 보존된 문서. 2025년 11월 16일에 확인함.
  73. Jeong, Sarah (2018년 5월 22일). No one's ready for GDPR. The Verge. 2018년 5월 28일에 원본 문서에서 보존된 문서. 2018년 6월 1일에 확인함.
  74. Edwards, Elaine (2018년 2월 22일). New rules on data protection pose compliance issues for firms. The Irish Times. 2018년 5월 26일에 원본 문서에서 보존된 문서. 2018년 5월 25일에 확인함.
  75. Chassang, Gauthier (2017). The impact of the EU general data protection regulation on scientific research. ecancermedicalscience 11. 709쪽. doi:10.3332/ecancer.2017.709. ISSN 1754-6605. PMC 5243137. PMID 28144283.
  76. Tarhonen, Laura (2017). Pseudonymisation of Personal Data According to the General Data Protection Regulation. 2018년 2월 19일에 원본 문서에서 보존된 문서. 2018년 2월 19일에 확인함.
  77. A recent report issued by the Blockchain Association of Ireland has found there are many more questions than answers when it comes to GDPR. siliconrepublic.com. 2017년 11월 23일. 2018년 3월 5일에 원본 문서에서 보존된 문서. 2018년 3월 5일에 확인함.
  78. Sample, Ian (2017년 1월 27일). AI watchdog needed to regulate automated decision-making, say experts. The Guardian. ISSN 0261-3077. 2017년 6월 18일에 원본 문서에서 보존된 문서. 2017년 7월 15일에 확인함.
  79. EU's Right to Explanation: A Harmful Restriction on Artificial Intelligence (영어). www.techzone360.com. 2017년 8월 4일에 원본 문서에서 보존된 문서. 2025년 11월 16일에 확인함.
  80. Wachter, Sandra; Mittelstadt, Brent; Floridi, Luciano (2016년 12월 28일). Why a Right to Explanation of Automated Decision-Making Does Not Exist in the General Data Protection Regulation. International Data Privacy Law. SSRN 2903469.
  81. Edwards, Lilian; Veale, Michael (2017). Slave to the algorithm? Why a "right to an explanation" is probably not the remedy you are looking for. Duke Law and Technology Review. doi:10.2139/ssrn.2972855. SSRN 2972855.
  82. Frimin, Michael (2018년 3월 29일). Five benefits GDPR compliance will bring to your business. Forbes. 2018년 9월 12일에 원본 문서에서 보존된 문서. 2018년 9월 11일에 확인함.
  83. Butterworth, Trevor (2018년 5월 23일). Europe's tough new digital privacy law should be a model for US policymakers. Vox. 2018년 9월 12일에 원본 문서에서 보존된 문서. 2018년 9월 11일에 확인함.
  84. Jaffe, Justin; Hautala, Laura (2018년 5월 25일). What the GDPR means for Facebook, the EU and you. CNET. 2018년 9월 12일에 원본 문서에서 보존된 문서. 2018년 9월 11일에 확인함.
  85. Schulze, Elizabeth (2019년 4월 1일). Zuckerberg says he wants strict European-style privacy laws — but some experts question his motives. CNBC. 2019년 4월 4일에 원본 문서에서 보존된 문서. 2025년 11월 16일에 확인함.
  86. Tiku, Nitasha (2018년 3월 19일). Europe's new privacy law will change the web, and more. Wired. 2018년 10월 15일에 원본 문서에서 보존된 문서. 2018년 9월 11일에 확인함.
  87. Kalyanpur, Nikhil; Newman, Abraham (2018년 5월 25일). Today, a new E.U. law transforms privacy rights for everyone. Without Edward Snowden, it might never have happened.. The Washington Post. 2018년 10월 11일에 원본 문서에서 보존된 문서. 2018년 9월 11일에 확인함.
  88. Stallman, Richard (2018년 4월 3일). A radical proposal to keep your personal data safe. The Guardian. 2018년 9월 12일에 원본 문서에서 보존된 문서. 2018년 9월 11일에 확인함.
  89. Hoofnagle, Chris Jay; van der Sloot, Bart; Borgesius, Frederik Zuiderveen (2019년 2월 10일). The European Union general data protection regulation: what it is and what it means. Information & Communications Technology Law 28. 65–98쪽. arXiv:2510.02861. doi:10.1080/13600834.2019.1573501. hdl:2066/204503.
  90. Afifi-Sabet, Keumars (2018년 5월 3일). Scammers are using GDPR email alerts to conduct phishing attacks. IT PRO. 2018년 5월 26일에 원본 문서에서 보존된 문서. 2018년 5월 25일에 확인함.
  91. EU gov't and public health sites are lousy with adtech, study finds. TechCrunch. 2019년 3월 18일. 2021년 4월 10일에 원본 문서에서 보존된 문서. 2019년 3월 18일에 확인함.
  92. EU citizens being tracked on sensitive government websites. Financial Times. 2019년 3월 18일. 2019년 3월 19일에 원본 문서에서 보존된 문서. 2019년 3월 18일에 확인함.
  93. Fall asleep in seconds by listening to a soothing voice read the EU's new GDPR legislation. The Verge. 2018년 6월 17일에 원본 문서에서 보존된 문서. 2018년 6월 16일에 확인함.
  94. How Europe's GDPR Regulations Became a Meme. Wired. 2018년 6월 18일에 원본 문서에서 보존된 문서. 2018년 6월 17일에 확인함.
  95. The Internet Created a GDPR-Inspired Meme Using Privacy Policies. Adweek. 2018년 6월 17일에 원본 문서에서 보존된 문서. 2018년 6월 17일에 확인함.
  96. Burgess, Matt. Help, my lightbulbs are dead! How GDPR became bigger than Beyonce. Wired.co.uk. 2018년 6월 19일에 원본 문서에서 보존된 문서. 2018년 6월 17일에 확인함.
  97. Here Are Some of the Worst Attempts At Complying with GDPR. Motherboard. 2018년 5월 25일. 2018년 6월 18일에 원본 문서에서 보존된 문서. 2018년 6월 17일에 확인함.
  98. What Percentage of Your Software Vulnerabilities Have GDPR Implications? (PDF). HackerOne. 2018년 1월 16일. 2018년 7월 6일에 원본 문서 (PDF)에서 보존된 문서. 2018년 7월 6일에 확인함.
  99. The Data Protection Officer (DPO): Everything You Need to Know. Cranium and HackerOne. 2018년 3월 20일. 2018년 8월 31일에 원본 문서에서 보존된 문서. 2018년 7월 6일에 확인함.
  100. What might bug bounty programs look like under the GDPR?. The International Association of Privacy Professionals (IAPP). 2018년 3월 27일. 2018년 7월 6일에 원본 문서에서 보존된 문서. 2018년 7월 6일에 확인함.
  101. Momen, N.; Hatamian, M.; Fritsch, L. (November 2019). Did App Privacy Improve After the GDPR?. IEEE Security & Privacy 17. 10–20쪽. doi:10.1109/MSEC.2019.2938445. ISSN 1558-4046. S2CID 203699369.
  102. Hatamian, Majid; Momen, Nurul; Fritsch, Lothar; Rannenberg, Kai (2019), Naldi, Maurizio; Italiano, Giuseppe F.; Rannenberg, Kai; Medina, Manel (편집), A Multilateral Privacy Impact Analysis Method for Android Apps, Privacy Technologies and Policy, Lecture Notes in Computer Science (Springer International Publishing), 11498, 87–106쪽, doi:10.1007/978-3-030-21752-5_7, ISBN 978-3-030-21751-8, S2CID 184483219, 2020년 7월 12일에 원본 문서에서 보존된 문서, 2020년 6월 3일에 확인함
  103. Moen, Gro Mette, Ailo Krogh Ravna, and Finn Myrstad. "Deceived by design - How tech companies use dark patterns to discourage us from exercising our rights to privacy" 보관됨 20 12월 2019 - 웨이백 머신. 2018. Report by the Norwegian Consumer Council.
  104. Instapaper is temporarily shutting off access for European users due to GDPR. The Verge. 2018년 5월 24일에 원본 문서에서 보존된 문서. 2018년 5월 24일에 확인함.
  105. Unroll.me to close to EU users saying it can't comply with GDPR. TechCrunch. 2018년 5월 5일. 2018년 5월 30일에 원본 문서에서 보존된 문서. 2018년 5월 29일에 확인함.
  106. Hern, Alex; Waterson, Jim (2018년 5월 24일). Sites block users, shut down activities and flood inboxes as GDPR rules loom. The Guardian. 2018년 5월 24일에 원본 문서에서 보존된 문서. 2018년 5월 25일에 확인함.
  107. Blocking 500 Million Users Is Easier Than Complying With Europe's New Rules. Bloomberg L.P. 2018년 5월 25일. 2018년 5월 25일에 원본 문서에서 보존된 문서. 2018년 5월 26일에 확인함.
  108. U.S. News Outlets Block European Readers Over New Privacy Rules. The New York Times. 2018년 5월 25일. ISSN 0362-4331. 2018년 5월 26일에 원본 문서에서 보존된 문서. 2018년 5월 26일에 확인함.
  109. Look: Here's what EU citizens see now that GDPR has landed. Advertising Age. 2018년 5월 25일에 원본 문서에서 보존된 문서. 2018년 5월 26일에 확인함.
  110. Tiku, Nitasha (2018년 5월 24일). Why Your Inbox Is Crammed Full of Privacy Policies. Wired. 2018년 5월 24일에 원본 문서에서 보존된 문서. 2018년 5월 25일에 확인함.
  111. Chen, Brian X. (2018년 5월 23일). Getting a Flood of G.D.P.R.-Related Privacy Policy Updates? Read Them. The New York Times. ISSN 0362-4331. 2018년 5월 24일에 원본 문서에서 보존된 문서. 2018년 5월 25일에 확인함.
  112. Lanxon, Nate (2018년 5월 25일). Blocking 500 Million Users Is Easier Than Complying With Europe's New Rules. Bloomberg. 2018년 5월 25일에 원본 문서에서 보존된 문서. 2018년 5월 25일에 확인함.
  113. GDPR mayhem: Programmatic ad buying plummets in Europe. 디지데이. 2018년 5월 25일. 2018년 5월 25일에 원본 문서에서 보존된 문서. 2018년 5월 26일에 확인함.
  114. Skiera, Bernd; Miller, Klaus Matthias; Jin, Yuxi; Kraft, Lennart; Laub, René; Schmitt, Julia (2022년 7월 5일). The impact of the GDPR on the online advertising market. Frankfurt am Main: Bernd Skiera. ISBN 978-3-9824173-0-1. OCLC 1322186902.
  115. 1 2 Press corner (영어). European Commission - European Commission. 2020년 12월 27일에 원본 문서에서 보존된 문서. 2020년 9월 18일에 확인함.
  116. Your rights matter: Data protection and privacy - Fundamental Rights Survey (영어). European Union Agency for Fundamental Rights. 2020년 6월 12일. 2020년 9월 25일에 원본 문서에서 보존된 문서. 2020년 9월 18일에 확인함.
  117. GDPR: noyb.eu filed four complaints over 'forced consent' against Google, Instagram, WhatsApp and Facebook (PDF). NOYB.eu. 2018년 5월 25일. 2018년 5월 25일에 원본 문서 (PDF)에서 보존된 문서. 2018년 5월 26일에 확인함.
  118. Facebook and Google hit with $8.8 billion in lawsuits on day one of GDPR. The Verge. 2018년 5월 25일에 원본 문서에서 보존된 문서. 2018년 5월 26일에 확인함.
  119. Max Schrems files first cases under GDPR against Facebook and Google. The Irish Times. 2018년 5월 25일에 원본 문서에서 보존된 문서. 2018년 5월 26일에 확인함.
  120. Facebook, Google face first GDPR complaints over 'forced consent'. TechCrunch. 2018년 5월 25일. 2018년 5월 26일에 원본 문서에서 보존된 문서. 2018년 5월 26일에 확인함.
  121. Meyer, David. Google, Facebook hit with serious GDPR complaints: Others will be soon. ZDNet. 2018년 5월 28일에 원본 문서에서 보존된 문서. 2018년 5월 26일에 확인함.
  122. Fox, Chris (2019년 1월 21일). Google hit with £44m GDPR fine. BBC News. 2019년 1월 21일에 원본 문서에서 보존된 문서. 2019년 6월 14일에 확인함.
  123. Porter, Jon (2019년 1월 21일). Google fined €50 million for GDPR violation in France. The Verge. 2019년 6월 10일에 원본 문서에서 보존된 문서. 2019년 6월 14일에 확인함.
  124. Masnick, Mike (2018년 11월 19일). Yet Another GDPR Disaster: Journalists Ordered To Hand Over Secret Sources Under 'Data Protection' Law. 2018년 11월 20일에 원본 문서에서 보존된 문서. 2018년 11월 20일에 확인함.
  125. Bălăiți, George (2018년 11월 9일). English Translation of the Letter from the Romanian Data Protection Authority to RISE Project. 조직 범죄 및 부패 보고 프로젝트. 2018년 11월 9일에 원본 문서에서 보존된 문서. 2018년 11월 20일에 확인함.
  126. Intention to fine British Airways £183.39m under GDPR for data breach. ICO. 2019년 7월 8일. 2020년 12월 6일에 원본 문서에서 보존된 문서. 2020년 12월 22일에 확인함.
  127. Whittaker, Zack (2018년 9월 11일). British Airways breach caused by credit card skimming malware, researchers say. TechCrunch. 2018년 12월 10일에 원본 문서에서 보존된 문서. 2018년 12월 9일에 확인함.
  128. British Airways boss apologises for 'malicious' data breach. BBC News. 2018년 9월 7일. 2018년 10월 15일에 원본 문서에서 보존된 문서. 2018년 9월 7일에 확인함.
  129. Sweney, Mark (2019년 7월 8일). BA faces £183m fine over passenger data breach (영국 영어). The Guardian. ISSN 0261-3077. 2019년 7월 8일에 원본 문서에서 보존된 문서. 2019년 7월 8일에 확인함.
  130. British Airways faces record £183m fine for data breach (영국 영어). BBC News. 2019년 7월 8일. 2019년 7월 8일에 원본 문서에서 보존된 문서. 2019년 7월 8일에 확인함.
  131. ICO fines British Airways £20m for data breach affecting more than 400,000 customers. ICO. 2020년 10월 16일. 2020년 10월 16일에 원본 문서에서 보존된 문서. 2020년 12월 22일에 확인함.
  132. Vinocur, Nicholas (2019년 12월 27일). 'We have a huge problem': European regulator despairs over lack of enforcement. Politico. 2019년 12월 28일에 원본 문서에서 보존된 문서. 2020년 5월 6일에 확인함.
  133. 1 2 Ryan, Johnny (2023년 1월 31일). Europe-wide overhaul of GDPR monitoring triggered by ICCL (영국 영어). Irish Council for Civil Liberties. 2023년 4월 6일에 원본 문서에서 보존된 문서. 2025년 11월 16일에 확인함.
  134. Alizadeh, Fatemeh; Jakobi, Timo; Boldt, Jens; Stevens, Gunnar (2019). GDPR-Reality Check on the Right to Access Data. Proceedings of Mensch und Computer 2019. New York: ACM Press. 811–814쪽. doi:10.1145/3340764.3344913. ISBN 978-1-4503-7198-8. S2CID 202159324.
  135. 1 2 Alizadeh, Fatemeh; Jakobi, Timo; Boden, Alexander; Stevens, Gunnar; Boldt, Jens (2020). GDPR Reality Check–Claiming and Investigating Personally Identifiable Data from Companies (PDF). EuroUSEC. 2020년 6월 17일에 원본 문서 (PDF)에서 보존된 문서. 2020년 6월 17일에 확인함.
  136. Smirnova, Yelena; Travieso-Morales, Victoriano (2024년 4월 4일). Understanding challenges of GDPR implementation in business enterprises: a systematic literature review (영어). International Journal of Law and Management 66. 326–344쪽. doi:10.1108/IJLMA-08-2023-0170. ISSN 1754-243X.
  137. DPO.VN – Chuyên gia bảo vệ dữ liệu cá nhân (영어). dpo.vn. 2025년 4월 21일. 2025년 11월 16일에 확인함.
  138. 1 2 Human, Soheil; Cech, Florian (2021). A Human-Centric Perspective on Digital Consenting: The Case of GAFAM (PDF) (영어). Zimmermann, Alfred; Howlett, Robert J.; Jain, Lakhmi C. (편집). Human Centred Intelligent Systems. Smart Innovation, Systems and Technologies 189. Singapore: Springer. 139–159쪽. doi:10.1007/978-981-15-5784-2_12. ISBN 978-981-15-5784-2. S2CID 214699040. 2021년 4월 14일에 원본 문서 (PDF)에서 보존된 문서. 2020년 8월 23일에 확인함.
  139. Christakis and Propp, Theodore and Kenneth (2021년 3월 8일). How Europe's Intelligence Services Aim to Avoid the EU's Highest Court—and What It Means for the United States. Lawfare. 2023년 9월 23일에 원본 문서에서 보존된 문서. 2021년 3월 13일에 확인함.
  140. Browne, Ryan (2022년 1월 18일). Fines for breaches of EU privacy law spike sevenfold to $1.2 billion, as Big Tech bears the brunt (영어). CNBC. 2022년 2월 9일에 원본 문서에서 보존된 문서. 2025년 11월 16일에 확인함.
  141. TikTok fined €345 million for GDPR violations on children's privacy. BBC News. 2024년 9월 15일. 2025년 2월 20일에 확인함.
  142. Meta hit with record €1.2 billion GDPR fine over US data transfers. The Verge. 2025년 1월 10일. 2025년 2월 20일에 확인함.
  143. Chee Foo, Yun (2025년 2월 12일). EU ditches plans to regulate tech patents, AI liability, online privacy. Reuters. 2025년 2월 13일에 확인함.
  144. Roberts, Jeff John (2018년 5월 25일). The GDPR Is in Effect: Should U.S. Companies Be Afraid?. 2018년 5월 28일에 원본 문서에서 보존된 문서. 2018년 5월 28일에 확인함.
  145. Commentary: California’s New Data Privacy Law Could Begin a Regulatory Disaster (영어). Fortune. 2019년 4월 10일에 원본 문서에서 보존된 문서. 2025년 11월 16일에 확인함.
  146. California Unanimously Passes Historic Privacy Bill (미국 영어). WIRED. 2018년 6월 29일에 원본 문서에서 보존된 문서. 2025년 11월 16일에 확인함.
  147. Marketers and tech companies confront California's version of GDPR (영어). 2018년 6월 29일에 원본 문서에서 보존된 문서. 2025년 11월 16일에 확인함.
  148. Virginia passes the Consumer Data Protection Act. International Association of Privacy Professionals. 2021년 3월 3일. 2025년 12월 5일에 원본 문서에서 보존된 문서. 2021년 8월 26일에 확인함.
  149. Colorado Privacy Act becomes law. International Association of Privacy Professionals. 2021년 7월 8일. 2021년 8월 26일에 원본 문서에서 보존된 문서. 2021년 8월 26일에 확인함.
  150. KİŞİSEL VERİLERİ KORUMA KURUMU | KVKK | History. www.kvkk.gov.tr. 2020년 12월 19일에 확인함.
  151. Zhang, Angela Huyue (2024). High Wire: How China Regulates Big Tech and Governs Its Economy. 옥스퍼드 대학교 출판부. ISBN 9780197682258.
  152. Portal, S. M. E. New Federal Act on Data Protection (nFADP) (영어). www.kmu.admin.ch. 2023년 3월 25일에 원본 문서에서 보존된 문서. 2023년 3월 25일에 확인함.
  153. Staff writer (2020년 1월 23일). The European Union (EU) General Data Protection Regulation (GDPR) in the Caribbean Context (Press Release). www.carib-export.com. Carib-Export. 2025년 1월 12일에 확인함.
  154. European Data Protection Supervisor (2019년 7월 10일). EDPB-EDPS Joint Response on the US Cloud Act (PDF).
  155. Christakis, Theodore (2019년 10월 17일). 21 Thoughts and Questions about the UK-US CLOUD Act Agreement: (and an Explanation of How it Works – with Charts). blog. 2020년 7월 21일에 원본 문서에서 보존된 문서. 2020년 7월 20일에 확인함.
  156. Whitworth, Martin (2018). Don't Get Spooked by the CLOUD Act (PDF). International Data Corporation.
  157. Goldberg, Samuel G.; Johnson, Garrett A.; Shriver, Scott K. (2024). Regulating Privacy Online: An Economic Evaluation of the GDPR (영어). American Economic Journal: Economic Policy 16. 325–358쪽. doi:10.1257/pol.20210309. ISSN 1945-7731.
  158. Data protection reform: Council adopts position at first reading - Consilium (영어). www.consilium.europa.eu. 2017년 10월 6일에 원본 문서에서 보존된 문서. 2025년 11월 16일에 확인함.
  159. Regulation of the European Parliament and of the Council on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation) - first reading, Adoption of the Council's position at first reading - VoteWatch Europe. www.votewatch.eu. 2017년 11월 25일에 원본 문서에서 보존된 문서. 2025년 11월 16일에 확인함.
  160. Wayback Machine. www.europarl.europa.eu. 2017년 12월 1일에 원본 문서에서 보존된 문서. 2025년 11월 16일에 확인함.
  161. Data protection reform – Parliament approves new rules fit for the digital era – News – European Parliament. 2016년 4월 14일. 2016년 4월 17일에 원본 문서에서 보존된 문서. 2016년 4월 14일에 확인함.
  162. The History of the General Data Protection Regulation | European Data Protection Supervisor (영어). edps.europa.eu. 2018년 5월 25일. 2024년 2월 2일에 확인함.
  163. General Data Protection Regulation (GDPR) entered into force in the EEA. EFTA. 2018년 7월 20일. 2018년 10월 1일에 원본 문서에서 보존된 문서. 2018년 9월 30일에 확인함.
  164. Kolsrud, Kjetil (2018년 7월 10일). GDPR – 20. juli er datoen!. Rett24. 2018년 7월 13일에 원본 문서에서 보존된 문서. 2018년 7월 13일에 확인함.
  165. Digital Single Market (영어). Digital Single Market. 2017년 10월 8일에 원본 문서에서 보존된 문서. 2025년 11월 16일에 확인함.
  166. What does the ePrivacy Regulation mean for the online industry? - ePrivacy (독일어). www.eprivacy.eu. 2018년 5월 22일에 원본 문서에서 보존된 문서. 2025년 11월 16일에 확인함.
  167. Council position and findings on the application of the General Data Protection Regulation (GDPR), 19 December 2019. Consilium. 2019년 12월 23일에 원본 문서에서 보존된 문서. 2019년 12월 23일에 확인함.
내용주
  1. 참조: 크랑켄페어지헤룽 노르트라인(Krankenversicherung Nordrhein, C-667/21) 사건의 법무관 의견.[27]
  2. 공동 통제는 "두 명 이상의 컨트롤러가 데이터 처리의 목적과 수단을 공동으로 결정하는 경우" 발생한다. 이들은 각자의 책임을 "투명한" 방식으로 합의하고 "합의의 본질"을 정보 주체에게 전달해야 한다.[1]:Art. 26
  3. GDPR 제4조(18) 참조: '기업'이란 법적 형태에 관계없이 경제 활동에 종사하는 자연인 또는 법인을 의미하며, 정기적으로 경제 활동에 종사하는 파트너십 또는 협회를 포함한다.[1]:Art. 30

외부 링크

[편집]
원본 주소 "https://ko.wikipedia.org/w/index.php?title=일반_데이터_보호_규칙&oldid=41400205"