유럽연합(EU)의 일반 개인정보 보호법(GDPR) 1

EU의 GDPR

 

개인정보 보호에 대한 유럽연합(EU)의 공통적인 개인정보 보호에 관한 규정이 GDPR이다. GDPR에는 7가지 개인정보 처리 원칙과 더불어 8가지 정보주체의 권리 보장을 권고한다.

 

1. 개인정보 처리 원칙

일반 개인정보 보호법(General Data Protection Regulation)은 유럽연합(EU)이 2016년 5월에 제정하였고 2018년 5월 25일부터 시행되고 있다. GDPR은 EU 회원국들 그리고 EU 회원국들과 거래하는 기업들에게 개인정보를 처리할 때 다음 7가지 원칙을 모두 준수할 것을 요구한다.

적법성/공정성/투명성(Lawfulness, Fairness,  Transparency)
• 적법성: 정보 주체의 동의나 요청 또는 다른 적법한 근거가 있다.
• 공정성: 개인정보는 사람들이 합리적으로 기대할 수 있는 방식으로 처리하고 정보 주체에게 부당한 영향을 주지 않는다.
• 투명성: 누가 왜 어떤 정보를 어떻게 처리하는지 명료하게 알린다.

목적 제한(Purpose Limitation)
• 개인정보는 적법한 목적으로 수집해야 하고 수집할 때부터 정보 처리 목적을 구체적이고 명시적으로 제시한다.
• 수집 목적과 부합하지 않는 방식으로 처리하지 않는다.

처리 최소화(Data Minimisation)
• 개인정보는 처리 목적과 합리적으로 관련이 있고 이를 달성하는 데 필요한 최소한의 범위에서 처리한다.
• 정보 주체가 요구할 경우 개인정보를 보완·정정·삭제한다.

정확성(Accuracy)
• 개인정보는 정확하게 처리하고 필요시 최신 상태로 유지한다.
• 부정확하거나 오해의 소지가 있는 개인정보는 즉시 삭제하거나 정정하기 위한 합리적 조치를 취한다.

보유 기간 제한(Storage Limitation)
• 합법적으로 수집하여 이용 중인 개인정보라도 실제 필요한 기간보다 오래 보유하지 않는다.
☞ 처리 최소화, 정확성, 보유 기간 제한은 서로 밀접한 관계가 있는 원칙들로서 개인정보 처리 표준이라고도 한다.

무결성/기밀성 (Integrity and Confidentiality)
• 개인정보가 승인 없이 또는 불법적인 방법으로 처리되거나 우발적으로 손상 또는 훼손되지 않도록 적절히 보호한다.
☞ 이를 보안성(security) 원칙이라고도 한다.

책임추적성(Accountability)
• 조직화되고 예방적 방법으로 GDPR을 준수하고 이를 입증한다.
• 필요한 기술적·관리적·물리적 조치를 취하고 관련 기록을 남긴다.

2. 정보 주체의 권리

정보 주체는 다음 8가지 권리를 가지며 컨트롤러 또는 개인정보 처리자는 관련 서비스를 무료로 제공해야 한다. 

통지 수령권(Right to be Informed)
• 자신의 개인정보를 누가, 왜, 어떻게 처리하는지 통지받을 권리
• 통지 방식은 간결·명확하고 이해와 접근이 쉬워야 한다.
• 간결·명확한 통보는 개인정보 처리 원칙 중 ‘투명성’과 관련 있다.
☞ 복잡·과다 정보로 인한 피로(information fatigue) 방지 목적

열람권(Right of Access)
• 자신의 개인정보를 누가, 왜, 어떻게 처리하는지 열람할 수 있는 권리
• 통지 수령권은 컨트롤러에게 정보 주체의 열람 요청이 없어도 통지 의무를 부과하는 반면, 열람권은 열람 요청 시에만 부과한다.

정정권(Right to Rectification)
• 자신의 개인정보 중 부정확한 부분을 정정하도록 요구할 수 있는 권리
• 단, 정보 주체가 해당 정보의 부정확성을 입증해야 하는 경우도 있다.
• 적접한 거부 사유가 없다면 정정은 부당한 지체 없이 이루어져야 한다.

삭제권(Right to Erasure)
• 자신의 개인정보를 삭제하도록 요구할 수 있는 권리
☞ 잊혀질 권리(Right to be forgotten)이라고도 한다.
• 적접한 거부 사유가 없다면 삭제는 부당한 지체 없이 이루어져야 한다.

처리 제한권(Right to Restrict Processing)
• 자신의 개인정보 처리를 중단하거나 제한할 수 있는 권리
☞ 개인정보의 정확성, 처리의 합법성 등에 대한 다툼이나 소송이 진행되는 중에는 해당 정보를 보존하되 정보 이용과 처리만 제한한다.
• 처리 제한의 해제 결정이 내려진 경우, 정보 주체에 통지해야 한다.

정보 이동권(Right to Data Portability)
• 특정한 컨트롤러가 자신의 개인정보 처리한 결과를 정보 주체 자신이나 다른 컨트롤러에게 제공하도록 요청할 수 있는 권리
• 제공되는 정보는 보편적인 방식으로 기계 판독이 가능해야 한다.

거부권(Right to Object)
• 자신의 개인정보 처리를 반대할 수 있는 권리
• 거부권은 (1) 직접 마케팅 (2) 컨트롤러의 이익이나 공익(계약·법규에 의하거나 안전 목적 아님) (3) 연구·통계 목적의 처리에 국한한다.

프로파일링 등 자동화된 의사결정 관련 권리(Rights related to Automated Decision Making including Profiling)
• 프로파일링 등 100% 자동화 방법에 의한 평가를 받지 않을 권리
예) 프로그램에 의한 직무 성과, 경제 상황, 건강, 개인 취향 등의 분석