본문 바로가기
CPPG

EU 개인정보보호 규정 GDPR(General Data Protection Regulation) 가이드라인 스터디 : 컨트롤러와 프로세서 DPO

by pharmerci 2021. 11. 17.
728x90

저 그냥 cppg 보려고 합니다 ㅋㅋㅋㅋㅋㅋ 일단 한번 해보자는 마인드(?)

 

아직 접수는 못했고(오늘 퇴근하고 할거임) 가이드 나오기 전에 오늘은 GDPR 쓱 보려구요!

처음에 239p 인줄 알고 하루종일 봐야겠다ㅡ,ㅡ 싶었는데 다행히 70p정도로 짧았고 뒷쪽은 원문이었다는 ㅎㅎ

 

201705101555446057.pdf (kisa.or.kr)

 

이거 봤습니당^_%

 

저는 모르거나 헷갈릴만한것만 써두면서 공부할 거니까 저랑 같이 공부해요!~!

 

 

Controller : 개인정보 처리목적, 수단을 단독 또는 제3자와 결정하는 자연인, 법인, 공공기관, 에이전시, 기타 단체를 의미함

Processor : 컨트롤러를 대신하여 개인정보를 처리하는 자연인, 법인, 공공기관, 에이전시, 기타 단체를 의미함

 

컨트롤러는 구속력있는 계약에 의해 프로세서를 지정해야 함!

 

위탁자, 수탁자 개념과는 다르다.

우리나라의 위탁자는 직접 수집한 개인정보를 수탁자에 제공

컨트롤러는 개인정보 처리의 목적, 수단만 규정하면 되고 개인정보를 직접 수집해서 프로세서에 제공할 필요 없음

 

동일 개인정보 처리활동에 대해서는 컨트롤러가 동시에 프로세서가 될 수는 없지만, 컨트롤러가 어떤 개인정보에 대해서는 목적과 수단을 규정하면서 다른 개인정보를 처리하면 컨트롤러이면서 프로세서가 될 수 있다.

 

제3자 : 정보주체, 컨트롤러, 프로세서, 프로세서 권한에 따라 개인정보 처리하는 자 제외한 모든 자연인, 법인, 공공기관, 에이전시 등

 

프로파일링 : 자연인의 개인적 측면 평가를 위해 행해지는 자동화된 개인정보의 처리(인적 개입이 발생하면 안됨)

 

정보사회서비스 : 서비스 제공받는 자의 개별적 요청에 의해, 원격에서, 전자적 수단을 통하여, 영리를 목적으로 제고오디는 서비스

 

GDPR은 개인정보처리와 관련된 전체적 또는 부분적인 자동화 수단에 의핸 개인정보 처리에 적용됨(수기처리는 관련성 있는 시스템의 일부 구성하는 경우만 인정)

 

 

개인정보 처리 원칙

  1. 적법성 공정성 투명성의 원칙
  2. 목적 제한의 원칙
  3. 개인정보처리의 최소화
  4. 정확성의 원칙
  5. 보관기간 제한의 원칙
  6. 무결성 및 기밀성의 원칙
  7. 책임성의 원칙

 

동의 : 정보주체가 진술 또는 적극적 행동을 통해 자신의 개인정보 처리에 대한 긍정의 의사를 표현하는 것

동의 의무 위반 시 연간 매출액의 4% 또는 2천만 유로 이하의 과징금

 

 

유효한 동의란?

  1. 자유롭게 부여 : 개인정보 처리에 관해 실질적인 선택권, 통제권 부여
  2. 구체적이고 명확
  3. 모호하지 않은 의사 표시
  4. 동의의 언어 및 기록
  5. 아동, 민감정보, 프로파일링 포함한 자동화된 결정 (GDPR에서는 명시 규정은 안해둠)

 

 

아동 : 만16세 미만(만 13세까지 낮추기 가능)

 

 

정보주체 권리 보장을 위한 조치사항

  1. 정보를 제공받을 권리 : 컨트롤러는 정보주체에게 처리에 관한 정보를 제공해야 함
  2. 정보주체의 열람권 : 본인 정보가 처리되고 있다는 사실 확인, 본인 개인정보에 대한 접근 가능
  3. 정정권 : 개인정보가 부정확하거나 불완전하면 정정을 요구할 권리 있음
  4. 삭제권 : 본인의 정보 삭제를 컨트롤러에게 요구할 권리, 단 거부가 가능한 조건이 있음
  5. 처리에 대한 제한권 : 정보주체가 프로세서에게 정보처리 제한을 요구하면 특별한 경우를 제외하고는 개인정보를 처리할 수 없음
  6. 개인정보 이동권 : 개인정보를 다른 서비스에도 재사용할 수 있도록 개인정보 이동을 요구할 수 있는 권리를 가짐
  7. 반대할 권리 : 직접 마케팅(프로파일링), 컨트롤러의 정당한 이익 또는 직무권한 행사에 근거한 개인정보처리, 통계 목적 처리일 때 정보주체가 반대할 권리를 보장함
  8. 자동화된 결정 및 프로파일링 관련 권리 : 자동화된 처리에만 근거해서 결정한 것을 적용 받지 않을 권리, 아동정보나 민감정보는 자동화된 결정에 관련되면 안된다.

 

 

EU 내에 컨트롤러나 프로세서가 설립되지 않으면 대리인을 서면으로 지정해야 한다. 만약 해당 처리가 간헐적이고 대규모가 아니면서 형사범죄에 관련된 개인정보 처리가 아니거나 공공기관인 경우에는 대리인 지정의 의무가 없다.

 

프로세서의 의무

  1. 컨트롤러의 문서화된 지시사항에 의해서만 처리해야 함
  2. 개인정보 처리자에게 기밀준수 약속
  3. 개인정보 처리 보안을 위해 모든 조치
  4. 다른 프로세서 지정과 관련한 규정 준수
  5. 정보주체의 권리 보장을 위해 필요한 지원 활동 해야함
  6. 컨트롤러의 활동 지원
  7. 컨트롤러와의 관계 종료 시 개인정보 반환 또는 파기
  8. GDPR 준수 입증을 위한 정보를 컨트롤러에게 제공

 

 

개인정보 처리활동 기록 문서화 의무인 경우

- 기업 종업원>=250

- 정보주체의 권리, 자유에 위험 초래 가능성이 있는 경우

- 민감정보 처리

- 범죄 행위 관련 정보 처리

 

 

Data protection by design and by default

컨트롤러는 개인의 권리와 자유에 대해 발생할 수 있는 변경 가능성, 중대성 및 위험성을 고려하여 적절한 조치를 실시해야 한다.

개인정보처리 최소화, 보호조치, 가명화

 

 

개인정보 영향평가가 요구되는 경우

  1. 고위험을 초래할 가능성이 있는 경우
  2. 프로파일링을 포함한 자동화된 처리에 근거해 법적 효력을 미치거나 중대한 영향을 미치는 ㄱ여우
  3. 형사범죄에 대한 대규모 처리를 하는 경우
  4. 공개적으로 접근 가능한 장소에 대한 체계적 모니터링

 

 

DPO(Data Protection Officer)

  • 공공기관인 경우, 정보주체에 대한 대규모이고 정기적인 모니터링인 경우, 범죄행위에 대한 대규모의 처리인 경우 필수 지정
  • 임직원에게 GDPR 준수 의무 알리고 자문
  • 법규 이행상황 모니터링
  • 조언 및 권고사항 제시
  • 개인정보 영향평가 자문 및 평가 이행 감시

 

행동강령, 인증제도는 의무가 아닌 권장

유효기간은 최대 3년

 

 

  • 컨트롤러는 개인정보 침해 인지 후 72시간 이내에 감독기구에 통지해야 한다.
  • 단, 개인의 자유와 권리 위험을 초래할 가능성이 낮다고 입증할 수 있으면 예외
  • 72시간 이내에 통지가 이루어지지 않으면 지체된 이유를 통지 내용과 제공해야 함
  • 문서화 의무
  • 컨트롤러는 개인정보 침해 인지 후 침해 당시 피해 정보주체에게 기술적 조직적 보호조치가 이행된 경우, 컨트롤러가 정보주체 권리와 자유에 높은 위험을 초래할 가능성이 없게 조치를 취한경우, 통지에 과도한 노력이 수반되는 경우 제외 지체없이 알려야 한다.
  • 통지의무 위반 시 매출액의 2%, 최대 1천만 유로

 

 

모든 정보주체는 감독기구에 민원 제기 가능

GDPR 규정 위반으로 물질적 비물질적 피해를 입은 자는 손해배상을 받을권리가 있음

프로세서의 손해배상 의무

  1. GDPR의 프로세서 의무 미준수
  2. 컨트롤러의 합법적인 지시에 반한 경우
  3. 컨트롤러의 합법적인 지시의 범위를 벗어난 경우

 

 

심각한 위반 시 연간 매출액 4% or 2천만 유로 중 높은 금액

① ‘동의’를 비롯한 정보처리의 기본 원칙을 위반한 경우 (제5조, 제6조, 제7조 및 제9조 위반) ② 정보주체의 권리를 보장하지 않는 경우 (제12조 부터 제22조 위반) ③ 제3국이나 국제기구의 수령인에게로 개인정보를 이전할 때 준수해야 할 규정을 위반한 경우 (제44조 부터 제49조 위반) ④ 제9장에 따라 채택된 회원국 법률에 따른 의무를 위반한 경우 ⑤ 제58조제2항에 따라 감독기구가 내린 명령 또는 정보처리의 임시적 또는 확정적 제한(temporary or definitive limitation), 또는 개인정보 이동의 중지를 준수하지 않거나 열람 기회를 제공하지 않아 제58조제1항을 위반한 경우

 

이외 연간 매출액 2% or 1천만 유로 중 높은 금액

① 컨트롤러, 프로세서의 의무를 위반한 경우 (제8조, 제11조, 제25조 내지 제39조, 제42조, 제43조 위반) ② 인증 기구의 의무를 위반한 경우 (제42조, 제43조 위반) ③ 모니터링 기구의 의무를 위반한 경우 (제41조제4항 위반) ④ 제9장에 따라 채택된 회원국 법률에 따른 의무를 위반한 경우 ⑤ 제58조제2항에 따라 감독기구가 내린 명령 또는 정보처리의 임시적 또는 확정적 제한(temporary or definitive limitation), 또는 개인정보 이동의 중지를 준수하지 않거나 열람 기회를 제공하지 않아 제58조제1항을 위반한 경우

 

 

 

 

 

 

 

728x90
저작자표시 (새창열림)

'CPPG' 카테고리의 다른 글

개인정보보호법 스터디(4) : 개인정보 안전조치, 영향평가, 과징금, 개인정보 열람, 처리정지, 파기 등  (0) 2021.11.18
개인정보보호법 스터디(3) : 민감정보, 고유식별정보, 가명정보 처리 / 영업위탁과 양도에 대한 개인정보 관리  (0) 2021.11.17
개인정보보호법 스터디(2) : 개인정보 기본계획, 시행계획, 개인정보 수집 동의, 제한, 제3자 제공 등  (0) 2021.11.16
전자서명법 스터디 (2) : 전자서명인증업무준칙, 전자서명법과태료, 전자서명법 양벌규정  (0) 2021.11.11
전자서명법 스터디 (1) : 인정기관과 평가기관, 가입자와 이용자, 국제통용평가  (0) 2021.11.11

관련글

티스토리툴바