'GDPR'

GDPR

GDPR 정의

GDPR은 General Data Protection Regulation의 약자입니다. 이는 유럽연합(EU) 및 유럽경제지역(EEA) 내 개인의 개인 데이터를 회사와 조직이 어떻게 처리하는지를 규제하기 위해 2018년 5월 25일에 시행된 포괄적인 데이터 개인정보 보호법입니다. GDPR의 주요 목표는 개인에게 자신의 개인 데이터에 대한 통제권을 부여하고 EU 및 EEA 내에서 운영되는 기업에 대한 규제 환경을 간소화하는 것입니다.

주요 개념 및 요구사항

GDPR에는 조직이 준수를 보장하기 위해 따라야 하는 여러 주요 개념과 요구사항이 포함되어 있습니다. 그 중 일부는 다음과 같습니다:

합법적이고 투명하며 명확한 목적

GDPR에 따르면, 개인 데이터는 합법적이고 투명하며 명확한 목적으로만 처리될 수 있습니다. 조직은 계약 이행의 필요성, 법적 의무 준수, 중요한 이해 보호, 동의, 공익 및 공식 권한 행사에 따른 업무 수행, 혹은 데이터 관리자나 제3자가 추구하는 정당한 이익 등의 법적 근거를 갖고 개인 데이터를 처리해야 합니다.

동의

동의는 GDPR의 중요한 측면입니다. 조직은 개인 데이터 수집 전에 명확하고 명시적인 동의를 개인에게 받아야 합니다. 동의는 자유롭게, 구체적이며, 알림을 받은 후 명확하게 주어져야 합니다. 개인은 데이터 처리 목적, 개인 데이터의 범주, 데이터의 수신자, 보유 기간, 데이터와 관련된 권리에 대한 명확한 정보를 제공받아야 합니다. 동의 철회는 동의를 주는 것만큼 쉽게 할 수 있어야 합니다.

개인의 권리

GDPR은 개인에게 개인 데이터와 관련된 다양한 권리를 부여합니다. 이러한 권리 중 일부는 다음과 같습니다:

  • 데이터 접근 권리: 개인은 자신에 대해 조직이 보유한 개인 데이터에 대한 접근을 요청할 권리가 있습니다.
  • 데이터 이동성 권리: 개인은 자신의 데이터를 구조화되고, 일반적으로 사용되며, 기계적으로 읽을 수 있는 형식으로 받고 다른 조직에 전달할 권리가 있습니다.
  • 소거 권리: "잊혀질 권리"라고도 하며, 데이터 수집 목적이 더 이상 필요하지 않거나, 개인이 동의를 철회했거나, 데이터 처리가 불법인 경우 개인 데이터의 소거를 요청할 권리가 있습니다.
  • 정정 권리: 개인은 부정확하거나 불완전한 개인 데이터를 정정할 권리를 가지고 있습니다.

데이터 침해 통지

GDPR은 조직이 데이터 침해를 인지한 후 지연 없이, 가능하면 72시간 이내에 감독 당국에 통지할 것을 요구합니다. 침해가 개인의 권리와 자유에 높은 위험을 초래할 가능성이 있는 경우, 조직은 해당 개인에게도 직접 통지해야 합니다.

준수 및 집행

GDPR의 적용을 받는 조직은 벌금과 잠재적인 평판 손상을 피하기 위해 규정을 준수해야 합니다. GDPR 준수를 보장하기 위해 조직이 취할 수 있는 단계는 다음과 같습니다:

  • 요구사항 이해: 조직은 GDPR의 요구사항에 대해 잘 알고 자신의 특정 상황에 어떻게 적용되는지 평가해야 합니다. 이는 데이터 인벤토리 작성, 데이터 처리 활동 평가, 필요한 정책 및 절차 구현을 포함할 수 있습니다.
  • 동의 획득: 조직은 개인의 데이터를 수집하기 전에 명확한 동의를 확보해야 합니다. 동의는 쉽게 이해할 수 있는 방식으로, 다른 약관 및 조건과 분리되어 얻어져야 합니다.
  • 데이터 보호 책임자(DPO): 데이터 보호 책임자를 임명하면 GDPR 준수에 도움이 될 수 있습니다. DPO는 조직 내에서 데이터 보호 활동을 감독하고 데이터 주체와 감독 당국에 대한 연락 담당자로서 역할을 하는 지정된 사람입니다.
  • 프라이버시 설계: 조직은 프로세스와 시스템에 프라이버시 설계 원칙을 고려해야 합니다. 이는 제품, 서비스 및 비즈니스 관행의 설계 및 개발 초기 단계부터 개인정보 및 데이터 보호를 고려하는 것을 포함합니다.
  • 강력한 보안 조치: 암호화, 접근 제어, 정기 보안 감사와 같은 강력한 보안 조치를 구현하면 개인 데이터를 무단 접근, 공개 및 파괴로부터 보호하는 데 도움이 될 수 있습니다.

최신 동향과 논란

시행 이후 GDPR은 데이터 개인정보 보호에 큰 영향을 미쳤습니다. 규제는 미국의 California Consumer Privacy Act (CCPA)와 같은 유사한 법률을 여러 국가 및 지역이 도입하도록 영감을 주었습니다.

GDPR과 관련하여 지속적인 주요 논란 중 하나는 어떻게 집행되는지와 비준수에 대한 처벌입니다. GDPR은 심각한 위반에 대해 전년도 전 세계 매출의 4% 또는 최대 €20백만 중 높은 금액의 벌금을 부과할 수 있도록 허용합니다. 그러나 일부 비평가들은 벌금이 주로 소규모 기업에 대해 불균형적으로 적용되었다고 주장합니다.

다른 논쟁 분야는 데이터 개인정보와 혁신 사이의 균형입니다. 일부는 GDPR이 혁신을 저해하고 기업에 부담스러운 준수 요구를 부과한다고 주장하는 반면, 다른 이들은 개인의 기본 권리를 보호하고 디지털 경제에 대한 신뢰를 유지하기 위해 필요하다고 주장합니다.

관련 용어

  • Data Protection Officer (DPO): 조직 내에서 GDPR 준수를 감독하기 위해 임명된 개인.
  • Privacy by Design: IT 시스템 및 비즈니스 관행 설계 및 운영에 개인정보 보호 및 데이터 보호 고려 사항을 포함하는 원칙.

Get VPN Unlimited now!