GDPR

GDPR은 무엇입니까?

The 일반 데이터 보호 규정 (GDPR) 는 25년 2018월 XNUMX일 유럽 연합(EU)이 제정한 포괄적인 데이터 보호법으로, EU 및 EEA 시민의 프라이버시와 개인 데이터를 보호하기 위해 제정되었습니다. 조직이 개인 데이터를 수집, 처리, 저장 및 전송하는 방법에 대한 엄격한 규정을 부과하여 개인이 개인 정보에 대한 더 큰 통제력을 얻고 데이터 프라이버시와 보안을 강화합니다.

GDPR 개요

• 법: 일반 데이터 보호 규정
• 지역: 유럽경제지역
• 서명됨: 14-04-2016
• 발효 일: 25-05-2018
• 업종: 기업은 EU 시민에게 제품이나 서비스를 제공합니다.

GDPR에 따른 개인 데이터

GDPR은 개인 데이터를 사람을 직접(이름, ID) 또는 간접적으로(위치 데이터, 온라인 식별자) 식별하는 정보로 정의합니다. 겉보기에 익명인 데이터조차도 다른 정보로 재식별될 수 있다면 개인 데이터가 될 수 있습니다.

직접 식별자: 이름, 주소, 전화번호, 이메일 주소, 식별 번호(예: 사회보장번호, 여권 번호).

간접 식별자: 위치 데이터(IP 주소, GPS 좌표), 온라인 식별자(사용자 이름, 쿠키), 건강 데이터, 유전 데이터, 생체 인식 데이터(지문, 얼굴 인식), 경제적, 문화적 또는 사회적 신원 정보 등.

The 일반 데이터 보호 규정 (GDPR) 포괄적인 데이터 보호 프레임워크의 기반을 형성하는 몇 가지 핵심 구성 요소로 구성됩니다. 이러한 구성 요소에는 다음이 포함됩니다.

• 처리를위한 법적 근거
• 데이터 주체 권리
• 책임과 거버넌스
• 데이터 보호 원칙
• 데이터 보안 조치
• 데이터 침해 알림
• 국경 간 데이터 전송
• 데이터 보호 영향 평가(DPIA)
• 감독 기관 및 집행

데이터 보호 원칙

이러한 원칙은 GDPR의 기초를 형성하며 개인 데이터를 처리하는 방법을 설명합니다.

• 합법성, 공정성 및 투명성: 데이터 처리에는 개인에 대한 합법성, 공정성, 투명성이 준수되어야 합니다.
• 목적 제한: 정보는 뚜렷하고 합법적인 의도에 따라 수집되어야 합니다.
• 데이터 최소화: 의도된 목적에 필요한 최소한의 개인 데이터만 수집할 수 있습니다.
• 정확도 : 데이터 정확성이 가장 중요하며, 해당되는 경우 정기적인 업데이트가 필수적입니다.
• 저장 용량 제한 : 데이터는 처리 목적으로 필요한 기간 이상으로는 데이터 주체를 식별할 수 있는 형태로 보관되어야 합니다.
• 무결성 및 기밀성: 데이터가 무단 또는 불법적인 처리 및 우발적인 손실, 파괴 또는 손상으로부터 보호되도록 적절한 기술적, 조직적 조치를 구현해야 합니다.
• 책임: 해당 조직은 모든 ​​GDPR 원칙을 준수합니다.

GDPR에 따른 권리

일반 데이터 보호 규정(GDPR)은 개인에게 여러 가지 개인 정보 보호 권리를 부여하여 데이터에 대한 더 큰 통제력을 부여합니다. 이러한 권리에는 다음이 포함됩니다.

• 접근 권한: 개인은 조직으로부터 자신의 데이터가 처리되고 있는지에 대한 확인을 받을 수 있으며, 처리되고 있다면 해당 데이터와 처리에 대한 관련 정보에 접근할 수 있습니다.
• 정정 권리: 개인은 조직이 보유한 부정확하거나 불완전한 개인 데이터의 수정을 요청하여 해당 정보가 최신 및 정확하게 유지되도록 할 수 있습니다.
• 삭제 권리(잊힐 권리): 개인은 데이터가 더 이상 원래 목적으로 필요하지 않거나 동의를 철회하는 등 특정한 상황에서 데이터 삭제를 요청할 수 있습니다.
• 데이터 이동성에 대한 권리: 개인은 구조화되고 일반적으로 사용되며 기계에서 읽을 수 있는 형식으로 한 조직에서 다른 조직으로 데이터를 전송해 달라고 요청할 수 있으며, 이를 통해 서비스 제공업체 간에 데이터를 보다 손쉽게 전송할 수 있습니다.
• 처리 제한 권리: 개인은 데이터의 정확성에 이의를 제기하거나 데이터 처리에 반대하는 등 특정 조건 하에서 자신의 데이터 처리를 제한할 권리가 있습니다.
• 반대할 권리: 개인은 조직이 자신의 이익이나 권리에 우선하는 설득력 있는 이유를 입증하지 않는 한, 합법적 이익을 근거로 직접 마케팅이나 처리와 같은 특정 목적을 위한 데이터 처리에 이의를 제기할 수 있습니다.
• 자동화된 의사결정 및 프로파일링에 대한 권리: 개인은 자동화된 처리 또는 프로파일링에만 근거한 결정을 피할 권리가 있습니다. 이러한 결정이 계약상의 의무 또는 명시적인 동의에 필요한 경우에는 예외가 있습니다.

누가 GDPR을 준수해야 합니까?

일반 데이터 보호 규정(GDPR)은 규모, 위치 또는 부문에 관계없이 개인 데이터를 처리하는 광범위한 조직에 적용되지만 모든 사람에게 적용되는 것은 아닙니다. 구현 사례는 의료, 금융 및 은행, 소매 및 전자 상거래, 기술 및 서비스, 통신, 마케팅 및 광고, 교육, 정부 및 공공 부문, 제조 및 산업, 운송 및 물류 등 다양한 산업 및 부문에 걸쳐 있습니다. 일반적으로 다음에 적용됩니다.

• EU/EEA에 설립된 조직
• EU/EEA 데이터를 처리하는 비 EU 조직.

예외

GDPR 적용에는 몇 가지 예외가 있는데, 여기에는 개인 또는 가정 활동을 위한 개인 데이터 처리가 포함됩니다. 그러나 이러한 예외는 좁게 정의되어 있으며, 특정 상황에 대해서는 법률 고문과 상의하는 것이 가장 좋습니다.

규제 위험

GDPR은 위반의 심각성에 따라 두 가지 단계의 벌금을 명시합니다.

1단계: 이전 회계연도의 글로벌 연간 수익의 10% 또는 최대 2만 유로(어느 쪽이 더 높은지)까지 위반 행위에 대해

• 처리 활동에 대한 적절한 기록을 유지하지 못함.
• 데이터 보안을 보장하기 위한 적절한 기술적, 조직적 조치를 구현하지 못했습니다.
• 필요한 경우 데이터 보호 책임자를 임명하지 않음.
• 데이터 보호 영향 평가를 실시하지 못함(필요한 경우).
• 감독 기관이나 데이터 주체에게 데이터 침해 사실을 통보하지 못한 경우.

2등급: 이전 회계연도의 글로벌 연간 수익의 20% 또는 최대 4만 유로(어느 쪽이 더 높은가)까지, 다음을 포함한 더 심각한 위반의 경우:

• 데이터 처리의 핵심 원칙을 위반하는 행위로는 처리를 위한 법적 근거가 없는 경우, 동의를 얻지 못하는 경우, 지정된 목적을 넘어서 데이터를 처리하는 경우 등이 있습니다.
• 적절한 보호 장치나 동의 없이 민감한 개인 데이터를 처리하는 경우.
• 접근, 정정, 삭제 또는 데이터 이동성과 같은 데이터 주체 권리 요청을 준수하지 못하는 경우.
• 적절한 안전장치 또는 법적 근거 없이 개인 데이터를 제3국이나 국제기구로 이전하는 경우.
• 데이터 처리에 대한 유효한 동의를 얻기 위한 조건을 위반합니다.
• 감독 기관의 명령이나 제재를 무시하는 경우.

GDPR 준수 기관:

일반 데이터 보호 규정(GDPR)에 대한 준수 권한은 주로 각 유럽 연합(EU) 또는 유럽 경제 지역(EEA) 회원국의 감독 기관에 있습니다. 감독 기관의 예는 다음과 같습니다.

• 정보 위원회 사무소(ICO) – 영국
• 프랑스 데이터 보호 기관(CNIL)
• 아일랜드의 데이터 보호 위원회(DPC)
• 네덜란드의 Autoriteit Persoonsgegevens(AP)
• 독일 연방 데이터 보호 및 정보 자유 위원회(BfDI)

또한, 유럽 데이터 보호 위원회(EDPB)는 EU/EEA 전역에서 법률의 일관된 적용을 보장합니다. EDPB는 지침을 제공하고, 의견과 권장 사항을 발표하며, 감독 기관 간의 분쟁을 해결합니다.

GDPR 벌금을 피하는 방법은?

조직은 GDPR 준수를 위한 사전 조치를 취함으로써 엄청난 벌금 위험을 최소화할 수 있습니다.

• 데이터 매핑 및 갭 분석 수행
• 데이터 마스킹과 같은 적절한 기술적 및 보안 조치 구현
• 데이터 처리에 대한 명시적 동의 얻기
• 데이터 주체의 요청을 신속하고 효율적으로 처리합니다.
• 규정된 기간 내에 데이터 침해 보고
• 데이터 개인정보 보호 규정에 대한 지침을 위한 법률 자문을 구함

결론적으로, 일반 데이터 보호 규정(GDPR)에 대한 준수 권한은 각 유럽 연합(EU) 또는 유럽 경제 지역(EEA) 회원국의 감독 기관에 있습니다. 이러한 기관은 관할권 내에서 GDPR 준수를 모니터링하고 시행하여 개인 데이터 보호를 보장하는 데 중요한 역할을 합니다. 감독 기관이 시행에 대한 주요 책임을 지고 있지만, 조직은 데이터 보호 표준을 유지하고, 벌금을 피하고, 이해 관계자의 신뢰를 유지하기 위해 내부 준수 노력을 우선시해야 합니다.

자주 묻는 질문