Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
1
GDPR Survival Guide
for Korean Controllers & Processors
Any part of this material should not be copied or reproduced wit...
3
1. GDPR Overview
What’s buzzing in Korea? 4
What’s buzzing overseas?
Source: GDPR Compliance: We’re All Going To Be Fine(d) by aiim
5
What is GDPR?
공식 명칭 (Official Title)
REGULATION (EU) 2016/679 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 27 April 20...
What are the goals of GDPR?
Source: GDPR infographic by BALABIT
7
GDPR Timeline
2016. 04. 27. Adopted (채택)
2016. 05. 04. Published in OJ of EU
2016. 05. 24. Entered into force (시행)
---- 2 ...
Structure of GDPR
Recitals
GDPR Chapter 01 – General provisions (Article 01 – 04)
Chapter 02 – Principles (Article 05 – 11...
Myths regarding GDPR 10
참고) 6 BIG GDPR MYTHS
 우리 사업은 중소기업(SME - Small and Medium-sized Enterprise, comprising 99% of all ...
GDPR in one page is… not feasible. 11
Source: Teach Privacy (www.teachprivacy.com)
What are the key takeaways? 12
1
EU 내에 설립된 기관의 개인정보 처리 활동 외에 1) EU 밖에서 EU에 있는 정보주체에게 재화나 용역을 제
공하거나, 2) EU내에 있는 정보주체가 수행하는...
What are the key takeaways? 13
4
Data Protection Directive 95/46/EC 와는 달리 Data processor를 직접 규제하는 내용을 다수 포함. 프로세
서는 적절한 문서...
What are the key takeaways? 14
7
국외 전송 = 적정성 평가(Adequacy Decision) or [ⓒ, ⓟ “적절한 보호조치(appropriate safeguards)”제공
+ 정보주체 권리...
What are the key takeaways? 15
10 공공기관(public authorities)이거나, 컨트롤러나 프로세서의 핵심 활동이 1) 정보주체에 대한 대규모의 정
기적이고 체계적인 모니터링에 해당하거나...
Who does the GDPR apply to?
적용 범위 (Art.2 - 3)
① 물적 적용범위(Material Scope): 개인정보의 처리(the processing of personal data)에 적용됨
- ...
“Offering” goods or services to individuals in the EU?
Source: The General Data Protection Regulation: A Survival Guide (U...
Exclusions to “Who does the GDPR apply to?”
적용 예외(Exclusions)
① EU 법률의 적용범위를 벗어나는 활동
② EU 공통의 해외·안보 정책과 연관된 활동
③ 관할 감독기관(c...
GDPR application flowchart
Source: Getting Ready for the General Data Protection Regulation by Mason Hayes & Curran
19
개인정...
Facts to consider regarding GDPR
GDPR 고려사항
① GDPR과 비슷한 시기에 시행되는 것으로 “Criminal Law Enforcement Data Protection Directive (2...
21
2. Definitions
Important New Concepts
Source: The General Data Protection Regulation: A survival guide by Linklaters
22
가명 처리된
개인정보
가명 처리...
Personal data
 개인정보란 살아있는 자연인에 관한 정보로서 직접 또는 간접적으로 해당 정보주체를 식별하였거나 식별할 수 있는 일체의 정
보를 의미함. GDPR의 개인정보의 정의는 전 세계적으로 매우 보편적으...
Special categories of personal data
 “특별한 유형의 개인정보(special categories of personal data, Article 9(1))”는 통상 “민감 개인정보(sensi...
Processing & restriction of processing
① Processing
 (개인정보의) 처리는 개인정보를 대상으로 또는 개인정보를 가지고서 행해지는 대부분의 행위를 포함하는 매우 넓은 개념
 처...
Profiling
 프로파일링이란 자연인의 개인적 특성을 평가하기 위해 개인정보를 사용하는 개인정보의 자동화된 처리 형태를 의미함 (특히,
해당 자연인의 근무 성과, 경제적 상황, 건강, 개인적 선호, 관심, 신뢰성,...
Pseudonymisation
 가명처리는 추가적인 정보(소위 ‘key’)의 사용 없이는 특정 정보주체에게 귀속되는지 여부를 확인할 수 없는 방식으로 개인정보
를 처리하는 것을 의미. 단, ‘추가적인 정보’는 원래의 ...
Filing system
 파일링 시스템이란 특정 기준에 따라 접근할 수 있는 구조화된 개인정보의 집합체를 의미함. 기능적, 지역적 기반에 따라 중앙
화되었는지, 분산되어 있는지 여부는 무관함
 GDPR은 전체 또는...
Controller
 컨트롤러는 개인정보 처리의 수단과 목적을 단독 또는 공동으로(jointly) 결정하는 자 - 자연인, 법인, 공공기관, 에이전시, 기타
단체 – 를 의미함
 EU 또는 회원국 법률에 의해 개인정...
Processor
 프로세서는 컨트롤러를 대신하여 개인정보를 처리하는 자를 의미함
 기업에 소속된 한 임직원이 개인정보의 처리 목적과 수단을 결정하는 경우, 그는 컨트롤러에 해당함 (프로세서 아님)
 기존 Dire...
Recipient
 수령인이란 제3자(third party) 해당 여부와는 무관하게 개인정보를 제공받거나, 개인정보가 공개되는 대상이 되는 자를 의미함.
단, EU 또는 회원국의 법률에 따라 특정 문의나 조회를 처리하...
Third party
 제3자란 정보주체 / 컨트롤러 / 프로세서가 아니거나, 컨트롤러나 프로세서의 직접적인 권한에 따라 개인정보를 처리하도록 승
인 받은 사람들을 제외한 자(자연인, 법인, 공공기관, 에이전시 및 기...
Consent
 정보주체가 하나 또는 그 이상의 특정한 목적을 위한 개인정보의 처리에 동의를 제공하는 경우, 해당 개인정보처리는 ‘합법적
(lawful)’인 것으로 인정받을 수 있으며(Art.6 1(a)), 이러한 동...
Personal data breach
 개인정보 침해란 보안 침해를 원인으로 하여 전송, 저장, 또는 처리된 개인정보에 대한 의도하지 않은 또는 불법적 파괴, 손실,
변경, 승인되지 않은 공개나 접근 등이 발생한 경우...
Generic data, Biometric data, Health data
 유전정보(generic data), 바이오 정보(biometric data), 건강 정보(data concerning health)는 GDP...
Main establishment
 (a) 1개 이상의 EU 회원국에 사무소를 두고 있는 컨트롤러의 경우, 유럽연합에서 주요 행정 사무를 처리하는 장소. 단, 컨트롤러
의 다른 사무소가 개인정보 처리의 목적과 수단을 ...
What is an establishment in the context of EU laws?
사무소(establishment)의 이해
(GDPR에서) 컨트롤러나 프로세서의 establishment(사무소)는 ‘개인정보 ...
Representative
 대리인이란 유럽연합 내에 설립된 자연인 또는 법인으로서, GDPR Article 27에 따라 컨트롤러나 프로세서로부터 문서로 지정된
자를 의미함. GDPR에 따른 컨트롤러·프로세서의 의무와...
Enterprise, group of undertakings
 경제 활동에 참여하는 자연인 또는 법인을 “기업(enterprise)”이라 함. 법적 형태와는 무관하며, 정기적으로 경제활동에 참여하는
파트너십이나 연합(...
Binding corporate rules
 다국적 기업 그룹이 동일 그룹 내에서 개인정보를 적정한 보호수준을 제공하지 못하는 제3국으로 국제(역외) 전송하는 것과 관
련하여 정하는 ‘내부 글로벌 개인정보 보호정책’을...
Supervisory authority (concerned)
 Article 51에 의거하여, EU 회원국에 설립된 독립적 공공 당국을 ‘감독기관(supervisory authority)’이라 함
 ‘관련 감독기관(...
Cross-border processing
 (a) 컨트롤러나 프로세서가 복수의 EU 회원국에 설립되어 있고, 복수의 EU 회원국의 컨트롤러나 프로세서의 사무소의 활동 맥
락에서 개인정보 처리가 발생하는 경우, 또는
...
Relevant and reasoned objection
 GDPR 위반이 발생했는지 또는 컨트롤러나 프로세서와 관련하여 예상되는 조치(envisaged action)가 GDPR에 부합하는지에 대
한 가결정(draft...
Information society service
 통상 영리(remuneration)를 목적으로 서비스를 제공받는 자의 개별적 요청에 의해 원거리에서 전자적 수단을 통하여 제공되는
서비스를 ‘정보사회서비스(infor...
International organization
 국제 공법(public international law)에 규율 받는 기관 및 하위 구성기구 또는 2개 이상의 국가간 협약에 의해 설립된 단체를 ‘국
제 기구(inte...
Public authority
 공공기관은 그 법률적 형태와 무관하며 국가가 채택하는 조치에 따라 국가의 통제하에 공공 서비스를 제공하는 책임을 부여 받
은 기관이며, 이를 위해 사인간의 관계에 적용되는 일반적 규칙으...
47
3. Principles of Personal Data Processing
Principles relating to processing of personal data - Overview
개인정보 처리 원칙
개인정보는 반드시 ‘개인정보 처리 6대 원칙’에 따라 처리되어야 하며, 컨트롤러는 이를 ...
Principles relating to processing of personal data - Overview
책임성의 원칙
(Accountability)
적법성, 공정성, 투명성의 원칙
(lawfulness, fair...
Lawfulness of processing
개인정보 처리의 적법성 요건
개인정보의 처리는 개인정보처리 6대 원칙을 모두 준수해야 하며, 이에 더하여 <GDPR이 정한 6가지 적법성 요
건> 가운데 최소 1개 이상을 충...
Lawfulness of processing
개인정보 처리의 적법성 요건 (Art.6(1)(a) – (f))
① 정보주체의 동의
② 정보주체와의 계약이행 또는 계약체결을 위해 필요한 처리
- 정보주체가 계약 당사자인 계...
Lawfulness of processing for sensitive personal data
민감 개인정보 처리의 적법성 요건 (Art.9(2)(a) – (j))
① 정보주체의 ‘명시적’ 동의에 의한 처리
- 단, 유...
Why processing conditions really matter
개인정보 처리의 적법성 요건이 중요한 이유 (설명)
GDPR에서는 컨트롤러나 프로세서의 적법성 요건을 명확히 식별하고 이해하는 것이 매우 중요함, ...
Lawfulness of processing
추가 처리 (Further Processing)와 양립성 판단(Compatibility Test) (Art.6(4)(a) – (e))
최초 수집한 개인정보의 처리 목적과는 다...
Lawfulness of processing
동의 조건 (Conditions for Consent) (Art.7(1) – (4))
동의는 자신에 관한 개인정보의 처리에 대한 동의 의사를 진술 또는 성명(written o...
Lawfulness of processing
명시적 동의가 필요한 경우 (Explicit Consent)
① “특별한 유형의 개인정보(민감 개인정보)”를 처리할 때 (Article 9)
② “프로파일링 등 완전히 자동화...
Lawfulness of processing
아동의 동의 (Child’s Consent) (Art.8(1) – (3))
① 아동에게 제공을 목적으로 하는 정보사회서비스(information society services...
Lawfulness of processing
Source: Age of consent in the GDPR: updated mapping of recent national guidance and proposals (Au...
Lawfulness of processing
동의 관련 ePrivacy Directive의 추가 요건
① 전화, 이메일 또는 팩스로 마케팅 활동을 수행하는 경우 ePrivacy Directive는 추가적인 요건을 구비할...
GDPR-compliant consent overview
ICO가 주목하는 GDPR Consent의 주요 변화
① Unbundled: 동의 요청은 반드시 다른 서비스 이용 조건(약관)과는 구분되어야 함. 동의는 서비스 ...
GDPR-compliant consent examples (Unbundled)
Source: GDPR: 10 examples of best practices UX for obtaining marketing consent...
GDPR-compliant consent examples (Granular)
Source: GDPR: 10 examples of best practices UX for obtaining marketing consent ...
GDPR-compliant consent examples (Named)
Source: GDPR: 10 examples of best practices UX for obtaining marketing consent (Ju...
GDPR-compliant consent examples (Active Opt-in)
Source: GDPR: 10 examples of best practices UX for obtaining marketing con...
GDPR-compliant consent examples (Easy to Withdraw)
Source: GDPR: 10 examples of best practices UX for obtaining marketing ...
GDPR-compliant consent examples (Other Best Practice)
Source: GDPR: 10 examples of best practices UX for obtaining marketi...
Lawfulness of processing
정보주체 식별이 요구되지 않는 처리 (Art.11(1) – (2))
① 컨트롤러가 개인정보를 처리하는 목적에 있어 컨트롤러에 의한 정보주체의 식별이 요구되지 않거나, 앞으로
...
Lawfulness of processing
정당한 이익(legitimate interests)
① 컨트롤러 또는 제3자가 추구하는 ‘정당한 이익’을 요건으로 개인정보가 처리되는 경우 개인정보 처리의 적법
성 요건을 충...
69
4. Rights of the Data Subjects
Rights of the data subject - Overview 70
8 Rights
of data
subjects
Information
(Art. 13, 14)
Access
(Art. 15)
Rectificatio...
Transparent info., comm., and modalities
‘정보주체의 권리에 기반한 요청’에 대응하는 방식 (Art.12)
① 컨트롤러는 ‘정보를 제공받을 권리’(Art.13, 14) + ‘정보주체의 권...
Transparent info., comm., and modalities
‘정보주체의 권리에 기반한 요청’에 대응하는 방식 (Art.12)
④ 컨트롤러가 정보주체의 요청에 대응하지 않으려면, 컨트롤러는 지연 없이 요청 ...
Transparent info., comm., and modalities
‘정보주체의 권리에 기반한 요청’에 대응하는 방식 (Art.12)
⑦ ‘정보를 제공받을 권리’(Art.13-14)에 따라 정보주체에게 제공되는 정...
Right to be informed
정보를 제공받을 권리 (Art.13 – 14)
① 개인정보 처리의 공정성, 투명성 원칙에 따라 정보주체는 개인정보 처리활동의 존재와 목적에 대해 정보를
제공받을 권리를 가지며, 컨트...
EU GDPR Survival Guide for Korean Controllers & Processors
EU GDPR Survival Guide for Korean Controllers & Processors
EU GDPR Survival Guide for Korean Controllers & Processors
EU GDPR Survival Guide for Korean Controllers & Processors
EU GDPR Survival Guide for Korean Controllers & Processors
EU GDPR Survival Guide for Korean Controllers & Processors
EU GDPR Survival Guide for Korean Controllers & Processors
EU GDPR Survival Guide for Korean Controllers & Processors
EU GDPR Survival Guide for Korean Controllers & Processors
EU GDPR Survival Guide for Korean Controllers & Processors
EU GDPR Survival Guide for Korean Controllers & Processors
EU GDPR Survival Guide for Korean Controllers & Processors
EU GDPR Survival Guide for Korean Controllers & Processors
EU GDPR Survival Guide for Korean Controllers & Processors
EU GDPR Survival Guide for Korean Controllers & Processors
EU GDPR Survival Guide for Korean Controllers & Processors
EU GDPR Survival Guide for Korean Controllers & Processors
EU GDPR Survival Guide for Korean Controllers & Processors
EU GDPR Survival Guide for Korean Controllers & Processors
EU GDPR Survival Guide for Korean Controllers & Processors
EU GDPR Survival Guide for Korean Controllers & Processors
EU GDPR Survival Guide for Korean Controllers & Processors
EU GDPR Survival Guide for Korean Controllers & Processors
EU GDPR Survival Guide for Korean Controllers & Processors
EU GDPR Survival Guide for Korean Controllers & Processors
EU GDPR Survival Guide for Korean Controllers & Processors
EU GDPR Survival Guide for Korean Controllers & Processors
EU GDPR Survival Guide for Korean Controllers & Processors
EU GDPR Survival Guide for Korean Controllers & Processors
EU GDPR Survival Guide for Korean Controllers & Processors
EU GDPR Survival Guide for Korean Controllers & Processors
EU GDPR Survival Guide for Korean Controllers & Processors
EU GDPR Survival Guide for Korean Controllers & Processors
EU GDPR Survival Guide for Korean Controllers & Processors
EU GDPR Survival Guide for Korean Controllers & Processors
EU GDPR Survival Guide for Korean Controllers & Processors
EU GDPR Survival Guide for Korean Controllers & Processors
EU GDPR Survival Guide for Korean Controllers & Processors
EU GDPR Survival Guide for Korean Controllers & Processors
EU GDPR Survival Guide for Korean Controllers & Processors
EU GDPR Survival Guide for Korean Controllers & Processors
EU GDPR Survival Guide for Korean Controllers & Processors
EU GDPR Survival Guide for Korean Controllers & Processors
EU GDPR Survival Guide for Korean Controllers & Processors
EU GDPR Survival Guide for Korean Controllers & Processors
EU GDPR Survival Guide for Korean Controllers & Processors
EU GDPR Survival Guide for Korean Controllers & Processors
EU GDPR Survival Guide for Korean Controllers & Processors
EU GDPR Survival Guide for Korean Controllers & Processors
EU GDPR Survival Guide for Korean Controllers & Processors
EU GDPR Survival Guide for Korean Controllers & Processors
EU GDPR Survival Guide for Korean Controllers & Processors
EU GDPR Survival Guide for Korean Controllers & Processors
EU GDPR Survival Guide for Korean Controllers & Processors
EU GDPR Survival Guide for Korean Controllers & Processors
EU GDPR Survival Guide for Korean Controllers & Processors
EU GDPR Survival Guide for Korean Controllers & Processors
EU GDPR Survival Guide for Korean Controllers & Processors
EU GDPR Survival Guide for Korean Controllers & Processors
EU GDPR Survival Guide for Korean Controllers & Processors
EU GDPR Survival Guide for Korean Controllers & Processors
EU GDPR Survival Guide for Korean Controllers & Processors
EU GDPR Survival Guide for Korean Controllers & Processors
EU GDPR Survival Guide for Korean Controllers & Processors
EU GDPR Survival Guide for Korean Controllers & Processors
EU GDPR Survival Guide for Korean Controllers & Processors
EU GDPR Survival Guide for Korean Controllers & Processors
EU GDPR Survival Guide for Korean Controllers & Processors
EU GDPR Survival Guide for Korean Controllers & Processors
EU GDPR Survival Guide for Korean Controllers & Processors
EU GDPR Survival Guide for Korean Controllers & Processors
EU GDPR Survival Guide for Korean Controllers & Processors
EU GDPR Survival Guide for Korean Controllers & Processors
EU GDPR Survival Guide for Korean Controllers & Processors
EU GDPR Survival Guide for Korean Controllers & Processors
EU GDPR Survival Guide for Korean Controllers & Processors
EU GDPR Survival Guide for Korean Controllers & Processors
EU GDPR Survival Guide for Korean Controllers & Processors
EU GDPR Survival Guide for Korean Controllers & Processors
EU GDPR Survival Guide for Korean Controllers & Processors
EU GDPR Survival Guide for Korean Controllers & Processors
EU GDPR Survival Guide for Korean Controllers & Processors
EU GDPR Survival Guide for Korean Controllers & Processors
EU GDPR Survival Guide for Korean Controllers & Processors
EU GDPR Survival Guide for Korean Controllers & Processors
EU GDPR Survival Guide for Korean Controllers & Processors
EU GDPR Survival Guide for Korean Controllers & Processors
EU GDPR Survival Guide for Korean Controllers & Processors
EU GDPR Survival Guide for Korean Controllers & Processors
EU GDPR Survival Guide for Korean Controllers & Processors
EU GDPR Survival Guide for Korean Controllers & Processors
EU GDPR Survival Guide for Korean Controllers & Processors
EU GDPR Survival Guide for Korean Controllers & Processors
EU GDPR Survival Guide for Korean Controllers & Processors
EU GDPR Survival Guide for Korean Controllers & Processors
EU GDPR Survival Guide for Korean Controllers & Processors
EU GDPR Survival Guide for Korean Controllers & Processors
EU GDPR Survival Guide for Korean Controllers & Processors
EU GDPR Survival Guide for Korean Controllers & Processors
EU GDPR Survival Guide for Korean Controllers & Processors
EU GDPR Survival Guide for Korean Controllers & Processors
EU GDPR Survival Guide for Korean Controllers & Processors
EU GDPR Survival Guide for Korean Controllers & Processors
EU GDPR Survival Guide for Korean Controllers & Processors
EU GDPR Survival Guide for Korean Controllers & Processors
EU GDPR Survival Guide for Korean Controllers & Processors
EU GDPR Survival Guide for Korean Controllers & Processors
EU GDPR Survival Guide for Korean Controllers & Processors
EU GDPR Survival Guide for Korean Controllers & Processors
EU GDPR Survival Guide for Korean Controllers & Processors
EU GDPR Survival Guide for Korean Controllers & Processors
EU GDPR Survival Guide for Korean Controllers & Processors
EU GDPR Survival Guide for Korean Controllers & Processors
EU GDPR Survival Guide for Korean Controllers & Processors
EU GDPR Survival Guide for Korean Controllers & Processors
EU GDPR Survival Guide for Korean Controllers & Processors
EU GDPR Survival Guide for Korean Controllers & Processors
EU GDPR Survival Guide for Korean Controllers & Processors
EU GDPR Survival Guide for Korean Controllers & Processors
EU GDPR Survival Guide for Korean Controllers & Processors
EU GDPR Survival Guide for Korean Controllers & Processors
EU GDPR Survival Guide for Korean Controllers & Processors
EU GDPR Survival Guide for Korean Controllers & Processors
EU GDPR Survival Guide for Korean Controllers & Processors
EU GDPR Survival Guide for Korean Controllers & Processors
EU GDPR Survival Guide for Korean Controllers & Processors
EU GDPR Survival Guide for Korean Controllers & Processors
EU GDPR Survival Guide for Korean Controllers & Processors
EU GDPR Survival Guide for Korean Controllers & Processors
EU GDPR Survival Guide for Korean Controllers & Processors
EU GDPR Survival Guide for Korean Controllers & Processors
EU GDPR Survival Guide for Korean Controllers & Processors
EU GDPR Survival Guide for Korean Controllers & Processors
EU GDPR Survival Guide for Korean Controllers & Processors
EU GDPR Survival Guide for Korean Controllers & Processors
EU GDPR Survival Guide for Korean Controllers & Processors
EU GDPR Survival Guide for Korean Controllers & Processors
EU GDPR Survival Guide for Korean Controllers & Processors
EU GDPR Survival Guide for Korean Controllers & Processors
EU GDPR Survival Guide for Korean Controllers & Processors
EU GDPR Survival Guide for Korean Controllers & Processors
EU GDPR Survival Guide for Korean Controllers & Processors
EU GDPR Survival Guide for Korean Controllers & Processors
EU GDPR Survival Guide for Korean Controllers & Processors
EU GDPR Survival Guide for Korean Controllers & Processors
Upcoming SlideShare
Loading in …5
×
Upcoming SlideShare
모바일 프라이버시
Next
Download to read offline and view in fullscreen.

14

Share

Download to read offline

EU GDPR Survival Guide for Korean Controllers & Processors

Download to read offline

유럽연합 개인정보보호 일반법(GDPR, General Data Protection Law)을 이해하기 위한 가이드 문서입니다. Bird&Bird, Linklaters, ICO, Article 29 Working Party Guideline 등 다양한 GDPR 자료를 기초로 작성하였습니다.

Related Audiobooks

Free with a 30 day trial from Scribd

See all

EU GDPR Survival Guide for Korean Controllers & Processors

  1. 1. 1 GDPR Survival Guide for Korean Controllers & Processors Any part of this material should not be copied or reproduced without the creator’s explicit permission. David Jinkyu Lee, CPO·CISO of NAVER Corp.
  2. 2. 3 1. GDPR Overview
  3. 3. What’s buzzing in Korea? 4
  4. 4. What’s buzzing overseas? Source: GDPR Compliance: We’re All Going To Be Fine(d) by aiim 5
  5. 5. What is GDPR? 공식 명칭 (Official Title) REGULATION (EU) 2016/679 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation) Source: Official Journal of the European Union (http://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32016R0679) 성격 및 도입 배경 (Background) ▶ 유럽연합 회원국에 동일하게 적용되는 <개인정보보호 일반법> 성격을 가지고 있음 ① To give people more control over how their personal data is used (정보주체에게 더 많은 통제권 부여) ② To give businesses a simpler, clearer legal environment in which to operate, making data protection law identical throughout the single market (유럽연합 디지털 단일 시장 활성화) 참고) Directive vs. Regulation - A "directive" is a legislative act that sets out a goal that all EU countries must achieve. However, it is up to the individual countries to devise their own laws on how to reach these goals. (유럽연합 회원국이 달성해야 할 목표로서, 이를 참고하여 개별 회원국이 법안을 마련) - A "regulation" is a binding legislative act. It must be applied in its entirety across the EU. (유럽연합 회원국에 동일하게 적용되는 구속력 있는 법률) 6
  6. 6. What are the goals of GDPR? Source: GDPR infographic by BALABIT 7
  7. 7. GDPR Timeline 2016. 04. 27. Adopted (채택) 2016. 05. 04. Published in OJ of EU 2016. 05. 24. Entered into force (시행) ---- 2 Years of Post-Adoption Grace Period ---- 2018. 05. 25. Applicable (적용) Source: EU General Data Protection Regulation – Background by DLA Piper & For more info. Visit bird&bird’s GDPR Timeline Interactive Website Data Protection Directive 95/46/EC (Since 1995. 10. 24.) 8 The so-called “Trilogue”
  8. 8. Structure of GDPR Recitals GDPR Chapter 01 – General provisions (Article 01 – 04) Chapter 02 – Principles (Article 05 – 11) Chapter 03 – Rights of the data subject (Article 12 – 23) Chapter 04 – Controller and processor (Article 24 – 43) Chapter 05 – Transfers of personal data to third countries or international organizations (Article 44 – 50) Chapter 06 – Independent supervisory authorities (Article 51 – 59) Chapter 07 – Cooperation and Consistency (Article 60 – 76) Chapter 08 – Remedies, liabilities and penalties (Article 77 – 84) Chapter 09 – Provisions relating to specific processing situations (Article 85 – 91) Chapter 10 – Delegated acts and implementing acts (Article 92 – 93) Chapter 11 – Final provisions (Article 94 – 99) 구성 전문(Recital) 173조 본문 (GDPR) 11장(Chapter) 99조(Article) Directive 95/46/EC 7장 34조 ※ 참고: Recitals는 법률의 배경(background), 의도(aim), 목적(objective)을 설명하는 텍스트로서 법률의 해석에 중요한 역할을 함 9
  9. 9. Myths regarding GDPR 10 참고) 6 BIG GDPR MYTHS  우리 사업은 중소기업(SME - Small and Medium-sized Enterprise, comprising 99% of all businesses in the EU)에 해당하여 GDPR이 적용되지 않음  GDPR은 보안에 대한 내용이 전부라서, 강력한 보안조치와 암호화만 적용하면 문제 없음  법에 정해진 과징금이 비록 막대하지만, 그대로 적용하진 않음. 또한, 처음에는 과징금이 아닌 ‘경고’부터 제공할 것임  유럽에 고객을 가지고 있지만, 우리 사업은 유럽연합에 위치하고 있는 것은 아니니 GDPR이 적용되진 않음  GDPR은 2018년 5월에 시행되기 때문에 아직은 이를 준수하기 위한 충분한 시간이 있음  우리 사업은 개인정보를 제공받아 처리하는 수탁사에 불과하기 때문에 GDPR 적용을 받지 않음 Source: GDPR Coalition (www.gdprcoalition.ie)
  10. 10. GDPR in one page is… not feasible. 11 Source: Teach Privacy (www.teachprivacy.com)
  11. 11. What are the key takeaways? 12 1 EU 내에 설립된 기관의 개인정보 처리 활동 외에 1) EU 밖에서 EU에 있는 정보주체에게 재화나 용역을 제 공하거나, 2) EU내에 있는 정보주체가 수행하는 활동을 감시(monitoring)하는 기관에 적용 ※참고: 1), 2)의 경우 (Article 27.에 의거, EU 회원국에 대리인을 지정하여야 함) 넓은 영토적 적용 범위 2 ‘사업체 그룹’ 매출 기반으로 과징금(Fines imposed by reference to the revenues of an undertaking)을 부 과하며 1) GDPR 규정의 심각한 위반의 경우 직전 회계연도의 전 세계 매출액의 4% 또는 2천만 유로 가운 데 더 큰 금액, 2) GDPR 규정의 일반적 위반의 경우 직전 회계연도의 전 세계 매출액의 2% 또는 1천만 유 로 가운데 더 큰 금액으로 정함 ※참고: 사업체 그룹은 동일한 사업(same undertaking)을 수행하는 것으로 이해됨 강력한 제재 3 IP address, cookie identifiers, RFID tags 등이 개인정보인 ‘온라인 식별자’의 예시로 제시됨(Recital 30). 위 치정보는 개인정보의 한 유형으로 소개됨. 또한, 민감한 성격의 개인정보를 “특별한 유형(special categories)”의 개인정보라고 정의하면서, 유전정보(generic data)와 바이오 정보(biometric data)를 포함시 킴. 개인정보의 가명처리(pseudonymisation) 개념을 도입하였고, 이를 적용하는 경우 privacy by design and by default의 이행 등 다양한 실익을 거둘 수 있게 하였음 ※참고: 가명화 = 추가정보 없이는 정보주체 식별 곤란 & 추가정보는 기술적·조직적 조치 확대된 개인정보의 정의 Source: EU GDPR – Key Changes (https://www.dlapiper.com/en/uk/focus/eu-data-protection-regulation/key-changes)
  12. 12. What are the key takeaways? 13 4 Data Protection Directive 95/46/EC 와는 달리 Data processor를 직접 규제하는 내용을 다수 포함. 프로세 서는 적절한 문서화 의무(Article 30), 적절한 보안 기준 적용(Article 32), 정기 개인정보영향평가 수행 (Article 32), 개인정보 국외전송 기준 준수(Chapter V), 국가 감독기관 협조의무(Article 31) 등의 의무를 부 담함. 또한, 프로세서는 제재의 직접적 적용대상이 되며(Article 83), GDPR 요구사항을 충족하지 못할 경우 정보주체로부터 배상을 요구 받을 수 있음(Article 79) 규정 다수를 프로세서에게도 직접 적용 5 개인정보의 (처리) 적법성, 공정성, 투명성 원칙에 따라 개인정보의 처리는 법률에서 허용한 어느 하나 이 상의 요건에 해당해야 적법 처리로 인정. 동의요건 상향&정당한 이익 축소 적법 처리 기준의 상향 6 개인정보를 처리하는 경우 1) (처리) 적법성, 공정성, 투명성 원칙, 2) (수집) 목적 제한의 원칙, 3) 개인정보 최소화 원칙, 4) 정확성 원칙, 5) 저장 제한 원칙, 6) 무결성 및 기밀성 원칙 (이상 Article 5) 등 6가지 원칙 을 모두 준수하여야 함. 컨트롤러는 이와 같은 원칙을 준수함을 증명(demonstrate compliance)해야 하는 의무(소위 “책임성 원칙 (accountability principle)”)를 부담함 개인정보 처리 원칙의 확립 Source: EU GDPR – Key Changes (https://www.dlapiper.com/en/uk/focus/eu-data-protection-regulation/key-changes)
  13. 13. What are the key takeaways? 14 7 국외 전송 = 적정성 평가(Adequacy Decision) or [ⓒ, ⓟ “적절한 보호조치(appropriate safeguards)”제공 + 정보주체 권리 행사 가능 +효과적인 법적 구제수단 존재]의 경우에만 가능 적절한 보호조치에는 Binding Corporate Rules, Standard Contractual Clauses 등이 있음. 기타, 1) (Approved) Code of Conduct, 2) (Approved) Certification mechanism이 에 새롭게 추가됨. Derogations(명시적 동의, 계약 이행 등)에 의한 국외 전송도 가능함 개인정보 국외전송 메카니즘 확립 8 컨트롤러는 개인정보 유출 사실을 알게 된 때로부터 가능한 경우 72시간 내에 감독 당국에 신고해야 하며, 정보주체의 자유와 권리에 고 위험(high risk)이 예상될 때에는 부당한 지연 없이 유출 사실을 정보주체에 게 통지해야 함. 프로세서는 개인정보 유출 사실을 알게 된 때엔 컨트롤러에게 그 사실을 부당한 지연 없 이 알려야 함 ※참고: data breach notification은 미국 47개 주에서 시행되고 있음 개인정보 유출통지 제도의 도입 9 컨트롤러의 투명성 의무 부담에 더하여, 정보주체는 Access rights(Article 15), Right to rectify(Article 16), Right to erasure(Article 17), Right to restriction of processing(Article 18), Right to data portability(Article 20), Right to object(Article 21), The right not to be subject to automated decision taking, including profiling(Article 22) 등의 권리를 가짐 정보주체의 권리 확대 Source: EU GDPR – Key Changes (https://www.dlapiper.com/en/uk/focus/eu-data-protection-regulation/key-changes)
  14. 14. What are the key takeaways? 15 10 공공기관(public authorities)이거나, 컨트롤러나 프로세서의 핵심 활동이 1) 정보주체에 대한 대규모의 정 기적이고 체계적인 모니터링에 해당하거나, 2) 민감정보나 범죄경력 및 범죄 행위에 대한 대규모 처리인 경우 DPO를 의무적으로 지정해야 함 Data Protection Officer(DPO)의 의무 지정 11 1) 처리 활동의 세부 기록 유지(Article 30), 2) 고 위험 처리에 대한 개인정보영향평가 수행(Article 35), 3) DPO 지정(Article 37), 4) 개인정보 유출 통지 및 종합적 기록 유지(Article 33, 34), 5) Data Protection by Design and by Default 이행(Article 25) 등 개인정보 처리에 대한 책임성 및 거버넌스를 강화 책임성과 거버넌스 강화 12 컨트롤러, 프로세서는 주된 또는 단일 사업장에 대한 소위 “lead supervisory authority”에 의해 규율됨 (Article 56(1)). 그러나, lead supervisory authority는 다른 연관된 기관과 협력해야 하며, 다른 기관이 특정 사안에 관여할 수도 있음 One-Stop-Shop의 도입 (partially broken) Source: EU GDPR – Key Changes (https://www.dlapiper.com/en/uk/focus/eu-data-protection-regulation/key-changes)
  15. 15. Who does the GDPR apply to? 적용 범위 (Art.2 - 3) ① 물적 적용범위(Material Scope): 개인정보의 처리(the processing of personal data)에 적용됨 - 해당 개인정보의 처리가 유럽연합 내 또는 유럽연합 외에서 발생하는지 여부는 무관함 - 특정 기준에 따라 구성되지 않은 물리적 파일이나 파일의 집합물에는 적용되지 않음 (does not apply to ad hoc paper records) - 익명처리된 정보(anonymous data)는 개인정보가 아니므로 적용되지 않음 ② 영토적 적용범위(Territorial Scope): 역내 or 역외 모두 적용 1) 역내: 유럽연합 컨트롤러·프로세서의 사무소(establishment)가 수행하는 활동에 적용됨 2) 역외: 유럽연합 역외에서 유럽연합 정보주체에게 재화나 용역을 제공(offering)하거나, 유럽연합 정보주체 가 유럽연합에서 수행하는 활동을 감시(monitoring)하는 경우에 적용됨 - 재화나 용역의 제공에 따른 정보주체의 대금지불(payment) 여부는 고려 대상이 아님 - ‘제공’에 해당하기 위해선 기구의 활동이 유럽연합 정보주체를 대상으로 하여 수행됨을 “예견(envisage)”할 수 있어야 하며, 여러 요소가 고려됨 - 기타, 유럽연합에 사무소를 두고 있지는 않지만, 국제공법에 의해 회원국의 법률이 적용되는 장소에서의 개인정보 처리에 대해서도 적용됨 ③ 인적 적용범위(Personal Scope): 자연인의 개인정보를 처리하는 컨트롤러와 프로세서에 적용됨 1) 자연인은 ‘살아있는 자연인’을 의미함. 단, 회원국이 망자의 개인정보를 보호하기 위한 별도 입법은 가능 2) 자연인의 국적(nationality)이나 거주지(habitual residence)는 무관함 3) 법인 명, 법인 형태, 법인 연락처 등 ‘법인의 (개인)정보’ 처리에 대해서는 적용되지 않음 - 법인소속의 자연인 연락처나 1인 기업에 관한 개인정보는 개인정보로 판단됨 Source: Article 3 - 4, Recital 14 & Material and Territorial Scope: GDPR Series Part 1 by Lexology 16
  16. 16. “Offering” goods or services to individuals in the EU? Source: The General Data Protection Regulation: A Survival Guide (Updated Oct, 2016) by Linklaters 참고) 유럽연합의 정보주체에게 재화나 서비스를 제공하는 것에 해당하는지에 대한 판단 ① 이 판단은 Brussels Regulation 및 the Rome I Regulation에서 소비자 계약과 관련하여 사용되는 “directed at(-를 주된 대상으로 하여 제공되는)”과 매우 유사함 - 유럽연합에 있는 정보주체가 단순히 웹사이트에 접속할 수 있다는 사실 또는 유럽연합 회원국 중 하나에서 사용되는 언어를 사용한다는 사실만으로 GDPR 의 적용 대상이 된다고 판단할 수는 없음. 그러나, 아래의 요소들은 유럽연합의 정보주체에게 재화나 서비스를 제공하는 것으로 강하게 판단될 수 있는 요 소(strong indication)이며, 그에 따라 GDPR이 적용되는 대상으로 판단될 수 있을 것임 a) 언어: 소재 또는 거주국가의 고객과 관련 없는 유럽연합 회원국의 언어 사용 (예: 미국 웹사이트가 헝가리어로 서비스를 제공) b) 통화: 소재 또는 거주 국가에서 일반적으로 사용하지 않는 유럽연합 회원국의 통화 사용 (예: Euro 단위로 가격을 제시) c) 도메인 네임: 웹사이트의 도메인 네임이 유럽연합 회원국의 최상위 도메인 네임을 가지고 있음 (예: .de, .fr 등) d) 유럽연합으로 배송: 물리적 상품을 유럽연합 회원국으로 배송함 e) 회원국 시민 언급: 재화나 서비스를 홍보하기 위해 유럽연합 회원국 시민을 언급함 (예: 스웨덴에 거주하는 시민에게 적합한 상품이라고 소개) f) 소비자 기반: 유럽연합 내에 큰 비율의(a large proportion of) 소비자를 보유하고 있음 g) 광고 타게팅: 유럽연합 회원국의 정보주체를 타게팅하여 광고를 제공함 (예: 유럽연합에서 발행되는 신문에 유료광고를 게시) ※ 참고: 유럽연합은 24개의 공식 언어가 있으며, 그 중 3종(영어, 프랑스어, 독일어)는 절차적 언어(procedural language)의 높은 지위를 가지고 있음 ② 상기의 내용과는 반대로, 아래의 요소들은 유럽연합의 정보주체에게 재화나 서비스를 제공하는 것으로 약하게 판단될 수 있는 요소(weaker indication)임 a) 유럽연합 내에 빌링 주소(billing address)를 두고 있는 신용카드 결제를 허용함 b) 유럽연합에 있을 수도 있는 정보주체에게 재화나 서비스를 전자적으로 제공함 c) 온라인 또는 이메일 광고가 유럽연합의 정보주체에게 제공되지는 않지만, 그들에 의해 보여질 수 있음 d) 웹사이트에 게시한 전화번호에 ‘국제번호’가 공개되어 있음 (예: +82-31-784-9876) ③ 감독당국의 조사가 발생하면, 이와 같은 객관적 요소 외에 기업의 내부 논의(‘우리가 유럽연합 시민에게 서비스 제공을 예견하였는가?’)가 고려 대상이 될 수 있음 17
  17. 17. Exclusions to “Who does the GDPR apply to?” 적용 예외(Exclusions) ① EU 법률의 적용범위를 벗어나는 활동 ② EU 공통의 해외·안보 정책과 연관된 활동 ③ 관할 감독기관(competent authorities)가 범죄 및 이와 관련한 사안의 예방, 수사, 탐지, 기소 등의 목적으로 수행하는 활동 - 예를 들어, Law Enforcement Agencies Directive(EU 2016/618)이 적용되는 활동 ④ 자연인이 수행하는 “순수한 개인 또는 가정 활동(purely personal or household activity) - 예를 들어, 서신의 교환이나 주소록을 보유하는 것 등 - (과거에는 다루어지지 않았던) 사회적, 가정사적 목적의 “온라인 소셜 네트워킹”도 해당될 것으로 예상 - Rynes (C-212/13) 판결에서, CJEU는 부분적으로 사적인(partly personal) 서신 – 일부는 사적인, 나머지는 업무에 관련된 내용 - 은 가정 활동의 예외 (household exemptions)에 해당하지 않는다고 결정함 ⑤ ‘지역사회 기관(community institutions)에 의해 처리되는 개인정보의 보호 및 자유로운 이동에 관한 법률 (Regulation 45/2001/EC)’이 적용되는 활동 Source: Recital 15 - 25 18
  18. 18. GDPR application flowchart Source: Getting Ready for the General Data Protection Regulation by Mason Hayes & Curran 19 개인정보를 처리하는가? EU 법의 예외가 적용되는가? 또는, 해당 개인정보의 처리가 범죄경력 or 해외 및 안보 정책과 관련된 것인가? 개인정보의 처리가 순수한 개인 또는 가정활동에 해당하는가? EU 내에 설립되었고, 해당 사무소의 맥락에서 개인정보가 처리되는가? EU에 재화나 서비스를 제공하는가? EU 거주자의 활동을 모니터링 하는가? 국제공법에 따라 EU법이 적용되는가?
  19. 19. Facts to consider regarding GDPR GDPR 고려사항 ① GDPR과 비슷한 시기에 시행되는 것으로 “Criminal Law Enforcement Data Protection Directive (2016/680)” 이 있음. 이것은 2018년 5월 6일까지 모든 회원국에 의해 실행되어야만 함 ② Risk-based, principle-based approach: flexible, adaptable and hard to circumvent, but inherently uncertain. ③ Recitals에 실질적인 의무가 포함(예: 동의 방법과 관련하여, pre-ticked box의 금지 및 계약 이행에 동의를 연 계하는 행위 금지. 또한, 유럽연합에 지명된 대리인에 대해 법 집행을 할 수 있다는 내용 등) 그러나, Recitals 는 원칙적으로 법적 강제력을 가지고 있지 않음 (Deutsches Milch-Kontor (C-136/04)) 따라서, Recitals에만 존재하는 실질적 의무의 요구가 어떻게 강제될 것인지에 대해 추이를 확인해야 함 ④ 범죄사실에 관한 정보(personal data relating criminal convictions and offences)은 오직 유럽연합 또는 회원 국 법률에 따라서만 처리될 수 있음. 또는 공식 기관(official authority)의 통제하에서만 처리 가능. 정보주체 의 동의조차 적법한 처리 근거가 될 수 없음 (Art.10) Source: Various Articles 20
  20. 20. 21 2. Definitions
  21. 21. Important New Concepts Source: The General Data Protection Regulation: A survival guide by Linklaters 22 가명 처리된 개인정보 가명 처리된 개인정보(pseudonymised data)는 추가적인 정보의 사용 없이는 특정 개인의 속성으로 더 이상 인정되지 않는 개인정보를 의미함. 단, 추가적인 정보는 별도로 안전하게 분리되어 관리되어야 함 가명 처리된 개인정보 역시 GDPR의 적용을 받지만, 이렇게 처리된 개인정보는 다른 목적으로 사용하는 것을 정당화 할 수 있으며 privacy by design & default를 적용하는 수단이 되기도 함 대규모의 개인 정보 처리 대규모의 개인정보 처리(large scale processing)가 무엇을 의미하는지 GDPR은 명확히 밝히고 있지 않지만, “지역적, 국가적 또는 초국가적 수준에서 상당한 양의 개인정보를 처리하고 큰 숫자의 정보주체에게 영향을 미치는 것을 의미”한다는 것을 제시하고 있음 대규모의 개인정보 처리는 GDPR의 의무를 촉발시키는 원인이 되는데, 1) 사업체는 민감 개인정보를 대규모 로 처리하거나 주요 활동이 대규모의 모니터링을 포함하는 경우 DPO를 지정해야 함. 2) 유럽연합 역외 기업 이 대규모의 민감 정보를 처리하는 경우 대리인을 반드시 지정해야 함. 3) 대규모로 민감 개인정보를 처리하 거나 공공 장소를 모니터링 하는 경우 개인정보 영향평가를 수행해야 함 (개인에 대한) 위험 - Risk - 개인정보의 처리가 신체적, 물질적 또는 비물질적 손해를 야기하는 경우 개인에게 ‘위험’이 있다고 함. 프로파 일링이나 개인정보의 처리가 차별, 신원 도용, 명성의 피해나 가명처리의 역전 등이 이에 해당함. 또한, ‘대규 모의’ 민감 개인정보의 처리나 아동 기타 취약한 사람들의 개인정보 처리를 포함하는 개념임 위험 개념은 매우 중요한데, 1) 개인에 대한 ‘위험’이 야기되지 않을 가망성이 있는 경우, 규제당국에 통지하지 않아도 됨. 2) 250명 이하의 임직원을 보유한 기업은 개인정보 처리가 개인에 대한 위험이 되지 않을 것 같은 경우 기록 유지 의무로부터 면제됨. 3) 개인에 대한 위험은 유럽연합 역외의 기업이 유럽연합 내에 대리인을 지정해야 하는 요인이 됨 (개인에 대한) 고 위험 - High Risk - 고 위험(high risk)이 무엇을 의미하는지 명확한 가이드는 (현재) 존재하지 않음. 개인정보 영향평가와 관련하 여, 개인정보의 처리가 정보주체가 자신의 권리를 행사하지 못하도록 하거나 서비스나 계약을 이용하지 못하 도록 하는 경우, 또는 개인정보의 처리가 대규모로 체계적으로 수행된다면 당해 개인정보의 처리는 고 위험 에 해당할 수 있음 1) 개인정보 침해가 고 위험에 해당하는 경우 정보주체는 이에 대해 통지 받아야 하며, 2) 개인정보의 처리가 개인에 대해 고 위험을 야기할 가능성이 높은 경우 개인정보 영향평가가 수행되어야 함
  22. 22. Personal data  개인정보란 살아있는 자연인에 관한 정보로서 직접 또는 간접적으로 해당 정보주체를 식별하였거나 식별할 수 있는 일체의 정 보를 의미함. GDPR의 개인정보의 정의는 전 세계적으로 매우 보편적으로 통용되는 개인정보의 개념과 특별히 다르지 않음  기존 Directive에 언급되지 않았던 location data, online identifiers, genetic data가 개인정보의 예시로 제시됨  Online identifiers의 예시로는 IP addresses, cookie identifiers, RFID tags 등이 제시되었는데, 이들 정보는 웹 서버가 제공하는 고유 식별자 및 다른 정보와 결합하는 경우 자취(traces)를 남기며, 프로파일을 형성하고, 자연인을 식별하는데 사용될 수도 있 다고 설명됨(Recital 30)  고정 IP 주소(static IP Address)는 개인정보이며, 유동 IP 주소(dynamic IP Address)는 1) ISP가 보유하고 있는 경우에는 개인정 보에 해당하며, 2) 개인을 식별하기 위해 합리적인 수준에서 사용되는 수단을 보유하고 있지 않은 당사자가 보유하고 있는 경우 개인정보 해당하지 않음 (2016년 10월 Patrick Breyer v Germany (C-582/14) CJEU 판결)  소위 <Directive’s test of “all means reasonably likely to be used” to identify>가 유지됨  “특별한 유형의 개인정보(special categories of personal data, Article 9(1))”는 통상 “민감 정보 or 민감 개인정보(sensitive data or sensitive personal data)”라 불리는데, 추가적인 보호조치의 대상이 되며 처리과정에서의 주의가 요구 됨 Source: Recital 15 - 25 Article 4(1) ‘Personal data’ means any information relating to an identified or identifiable natural person (‘data subject’); an identifiable natural person is one who can be identified, directly or indirectly, in particular by reference to an identifier such as a name, an identification number, location data, an online identifier or to one or more factors specific to the physical, physiological, genetic, mental, economic, cultural or social identity of that natural person; 23
  23. 23. Special categories of personal data  “특별한 유형의 개인정보(special categories of personal data, Article 9(1))”는 통상 “민감 개인정보(sensitive personal data)”라 고도 불리는데 이는 원칙적으로 처리가 금지됨. Article 9 외, Recital 10, 34, 35, 51 등에서 직접 또는 간접적으로 언급됨  기존 Directive에 언급되지 않았던 genetic data, biometric data가 민감 개인정보의 예시로 제시됨. 단, 범죄전과와 범행기록 (criminal conviction and offences)은 GDPR에서 민감 개인정보로 취급되지 않음  단순한 사진(정보)의 처리는 특별한 유형의 개인정보 처리에 해당하지 않는데, 이는 “자연인의 고유한 식별이나 인증을 가능하 게 하는 특정한 기술적 수단을 통해 처리될 때에만 바이오 정보(biometric data)에 해당”하기 때문임(Recital 51)  특별한 유형의 개인정보는 명시적 동의 및 기타 합법적 근거에 따라 처리 가능함 (Art.9(2)(a) – (j))  회원국은 유전, 바이오, 건강 정보의 처리에 대해서는 추가적인 조건이나 제한을 둘 수 있음 (Art.9(4)) Source: Sensitive data and lawful processing by bird & bird LLP Article 9(1) Processing of personal data revealing racial or ethnic origin, political opinions, religious or philosophical beliefs, or trade union membership, and the processing of genetic data, biometric data for the purpose of uniquely identifying a natural person, data concerning health or data concerning a natural person’s sex life or sexual orientation shall be prohibited. 24
  24. 24. Processing & restriction of processing ① Processing  (개인정보의) 처리는 개인정보를 대상으로 또는 개인정보를 가지고서 행해지는 대부분의 행위를 포함하는 매우 넓은 개념  처리의 수단이 반드시 자동화된 수단일 필요는 없음  처리는 반드시 ‘적법’해야 하며, 세부 기준은 Article 6(1)에서 제시함 ② Restriction of processing  처리의 제한은 장래 처리를 제한할 목적으로 저장된 개인정보에 표식을 하는 것(marking)을 의미함 Source: Article 4(2), (3) Article 4(2) ‘Processing’ means any operation or set of operations which is performed on personal data or on sets of personal data, whether or not by automated means, such as collection, recording, organisation, structuring, storage, adaptation or alteration, retrieval, consultation, use, disclosure by transmission, dissemination or otherwise making available, alignment or combination, restriction, erasure or destruction; Article 4(3) ‘Restriction of processing’ means the marking of stored personal data with the aim of limiting their processing in the future; 25
  25. 25. Profiling  프로파일링이란 자연인의 개인적 특성을 평가하기 위해 개인정보를 사용하는 개인정보의 자동화된 처리 형태를 의미함 (특히, 해당 자연인의 근무 성과, 경제적 상황, 건강, 개인적 선호, 관심, 신뢰성, 행태, 위치나 움직임(이동) 등에 관한 측면을 분석하거 나 예측하기 위한 경우)  프로파일링은 1) 자동화된 처리를 전제로 하며(excluding human intervention), 2) 개인적 특성을 평가하려는 목적을 필요로 함  유럽연합이사회(The Council of The European Union)는 개인을 프로파일링하는 경우, 해당 개인이 특정한 재화나 서비스에 접 근하는 것을 부당하게 제외할 수 있어 차별금지의 원칙(the principle of non-discrimination)을 위배하는 결과를 야기할 수 있다 고 경고한 바 있음. 한편, 적절히 수행되는 경우에는 프로파일링이 가져다 줄 것으로 예상되는 이익도 분명히 존재하는데, 여기 에서 말하는 적절한 수행의 조건은 1) 충분한 투명성의 확보, 2) 개인의 정당한 이익을 보호할 수 있는 조치의 시행 등이 있음  프로파일링이 주로 활용될 것으로 예상되는 분야에는 E-Recruitment, Credit or Insurance Risk Assessment, Ad Targeting 등이 있음  프로파일링에 대한 설명을 담고 있는 Recital 71은 “(전략)… Such measure should not concern a child.”라고 표현하고 있는데, 이에 대해 아동의 개인정보는 프로파일의 대상이 될 수 없다는 해석(Linklaters)과 아동 개인정보는 프로파일링 목적으로 처리가 제한되므로 이에 대한 전문가의 조언을 구해야 한다는 해석(bird&bird)이 제기되므로 향후 이를 주목하여 볼 필요가 있음 Source: GDPR Profiling by PWC (https://www.pwc.lu/en/general-data-protection/docs/pwc-gdpr-profiling.pdf) Article 4(4) ‘Profiling’ means any form of automated processing of personal data consisting of the use of personal data to evaluate certain personal aspects relating to a natural person, in particular to analyse or predict aspects concerning that natural person’s performance at work, economic situation, health, personal preferences, interests, reliability, behaviour, location or movements; 26
  26. 26. Pseudonymisation  가명처리는 추가적인 정보(소위 ‘key’)의 사용 없이는 특정 정보주체에게 귀속되는지 여부를 확인할 수 없는 방식으로 개인정보 를 처리하는 것을 의미. 단, ‘추가적인 정보’는 원래의 개인정보와 분리하여 보관되어야 하며 식별되었거나 식별 가능한 자연인 에게 귀속되지 않는다는 것을 보장하기 위한 기술적·조직적 조치가 취해져야 함  가명처리를 거친 개인정보는 ‘추가적인 정보’의 사용으로 자연인에게 귀속될 수 있으므로 이는 식별 가능한 자연인에 대한 정보 로서 고려되어야 함(Recital 26)  가명화는 1) 기관이 “Privacy by design and by default” 의무를 준수할 수 있도록 도움을 주며, 2) 개인정보가 당초 수집되었던 당시의 목적과 불일치(incompatible)하는 것으로 여겨지는 처리 목적을 정당화할 수 있게 하며, 3) 개인정보에 대한 보호조치 (security measures)로서 권유됨 Source: Chapter 5: Key definitions – Unlocking the EU GDPR by White & Case Article 4(5) ‘Pseudonymisation’ means the processing of personal data in such a manner that the personal data can no longer be attributed to a specific data subject without the use of additional information, provided that such additional information is kept separately and is subject to technical and organisational measures to ensure that the personal data are not attributed to an identified or identifiable natural person; 27
  27. 27. Filing system  파일링 시스템이란 특정 기준에 따라 접근할 수 있는 구조화된 개인정보의 집합체를 의미함. 기능적, 지역적 기반에 따라 중앙 화되었는지, 분산되어 있는지 여부는 무관함  GDPR은 전체 또는 일부가 자동화된 수단에 의한 개인정보의 처리에 적용됨. 또한, 파일링 시스템의 일부를 구성하거나, 파일링 시스템의 일부를 구성하도록 의도된 개인정보를 비(非)자동화된 방식으로 처리하는 것에도 적용됨(Art.2(1)). 이에 대해, 영국 ICO는 “GDPR은 개인정보가 특정한 기준에 따라 접근 가능한 경우, 자동화된 개인정보와 수기 파일링 시스템 모두에 적용된다.” 고 설명하면서, 이 적용범위는 영국 개인정보보호법의 적용범위보다 넓으며 개인정보를 포함하는 시간순으로 정렬된 수기 기록 도 포함하는 개념이 될 수 있다고 안내함 Source: Chapter 5: Key definitions – Unlocking the EU GDPR by White & Case & Overview of GDPR > Introduction by ico Article 4(6) ‘Filing system’ means any structured set of personal data which are accessible according to specific criteria, whether centralised, decentralised or dispersed on a functional or geographical basis; 28
  28. 28. Controller  컨트롤러는 개인정보 처리의 수단과 목적을 단독 또는 공동으로(jointly) 결정하는 자 - 자연인, 법인, 공공기관, 에이전시, 기타 단체 – 를 의미함  EU 또는 회원국 법률에 의해 개인정보 처리의 목적과 수단이 결정되는 경우, 해당 법률에 의해 컨트롤러나 컨트롤러의 지명을 위한 특정 기준이 제시될 수 있음  컨트롤러가 개인정보 처리의 목적과 수단을 규정하는 동시에 직접 개인정보를 처리하는 경우 프로세서의 지위도 해당. 단, 동일 한 개인정보 처리활동에 대해 하나의 주체가 컨트롤러인 동시에 프로세서가 될 수는 없음  컨트롤러와 프로세서의 정의 및 구분은 기존 Directive와 거의 동일하기 때문에, 이에 대해서는 Article29 Data Protection Working Party가 지난 2010년에 채택한 “Opinion 1/2010 on the concepts of “controller” and “processor” (Adopted on 16 February 2010)”를 참고할 수 있음 Source: Chapter 5: Key definitions – Unlocking the EU GDPR by White & Case & Overview of GDPR > Introduction by ico Article 4(7) ‘controller’ means the natural or legal person, public authority, agency or other body which, alone or jointly with others, determines the purposes and means of the processing of personal data; where the purposes and means of such processing are determined by Union or Member State law, the controller or the specific criteria for its nomination may be provided for by Union or Member State law; 29
  29. 29. Processor  프로세서는 컨트롤러를 대신하여 개인정보를 처리하는 자를 의미함  기업에 소속된 한 임직원이 개인정보의 처리 목적과 수단을 결정하는 경우, 그는 컨트롤러에 해당함 (프로세서 아님)  기존 Directive에서는 오직 컨트롤러만이 개인정보보호 법령준수 의무(data protection compliance)를 부담하였으나, GDPR 체 계 하에서는 프로세서도 상당 부분 관련 의무를 준수해야 함 Source: Data controllers and data processors: what the difference is and what the governance implications are (2014, ico) Article 4(8) ‘Processor’ means a natural or legal person, public authority, agency or other body which processes personal data on behalf of the controller; Controller Processor (*컨트롤러와의 계약 조건에 따라)  개인정보의 수집 여부 및 수집의 법적 근거 결정  어떤 개인정보 항목을 수집할지 결정  개인정보의 이용 목적을 결정  누구에 관한 개인정보를 수집할 것인지 결정  개인정보를 공개 또는 제공할지, (만약 한다면) 누구에게 공개할지 결정  정보주체의 접근권 또는 다른 개인들의 권리가 적용되는지 여부를 결정  개인정보의 보유 기간 또는 비정기적 업데이트를 진행할지 여부를 결정  개인정보를 수집하기 위해 어떤 IT 시스템이나 방법을 사용할지 결정  개인정보를 어떻게 저장할지 결정  개인정보와 연관된 보호조치의 상세를 결정  한 기관에서 다른 기관으로 개인정보를 전송하는 수단을 결정  특정 개인에 대한 개인정보를 검색하기 위한 수단을 결정  개인정보 보존 연한이 잘 준수되고 있는지 확인할 수 있는 방법을 결정  개인정보를 삭제하거나 파기하는데 사용되는 수단을 결정 30
  30. 30. Recipient  수령인이란 제3자(third party) 해당 여부와는 무관하게 개인정보를 제공받거나, 개인정보가 공개되는 대상이 되는 자를 의미함. 단, EU 또는 회원국의 법률에 따라 특정 문의나 조회를 처리하기 위해 개인정보를 제공받는 경우는 수령인으로 취급되지 않음 (예를 들어, EU 또는 회원국 법률에 따라 국세청, 관세청, 금융당국 등이 공공의 이익과 관련한 특정 문의나 조회(a particular inquiry)를 처리하기 위하여 개인정보를 수령하는 경우)  수령인은 그 자체로 GDPR 체계에서 능동적 역할을 수행하지는 않지만, 정보주체 이외로부터 개인정보를 획득한 경우, 컨트롤 러나 프로세서는 개인정보가 제공되거나 공개된 수령인에 대한 정보를 정보주체에게 알려야 하는 의무를 부담하며(Art.14(1)(e), (f)), 정보주체의 개인정보 접근·열람권의 대상으로 수령인이 포함되며(Art.15(1)(c)), 컨트롤러는 Art.16, Art17(1), Art.18에 따라 정정, 삭제, 제한한 경우 개인정보를 제공받거나 공개 대상이 된 수령인에게 이를 알려야 하며(Art.19), 개인정보 처리기록 활동 이 발생하는 경우 처리기록의 대상이 되는(Art.30(1)(d)) 등 GDPR 체계에서 일정한 역할을 수행하는 것으로 평가됨  경우에 따라, 수령인이 컨트롤러나 프로세서의 지위를 갖게 될 수도 있으며, 이러한 경우 GDPR의 직접적 적용 대상이 됨 Source: GDPR series: Part 2-the GDPR’s main players by lexology Article 4(9) ‘Recipient’ means a natural or legal person, public authority, agency or another body, to which the personal data are disclosed, whether a third party or not. However, public authorities which may receive personal data in the framework of a particular inquiry in accordance with Union or Member State law shall not be regarded as recipients; the processing of those data by those public authorities shall be in compliance with the applicable data protection rules according to the purposes of the processing; 31
  31. 31. Third party  제3자란 정보주체 / 컨트롤러 / 프로세서가 아니거나, 컨트롤러나 프로세서의 직접적인 권한에 따라 개인정보를 처리하도록 승 인 받은 사람들을 제외한 자(자연인, 법인, 공공기관, 에이전시 및 기타 기관)를 의미함  제3자는 마케팅 대행사, 외주 법무법인, 외주 개발자 등 매우 다양 Source: GDPR series: Part 2-the GDPR’s main players by lexology Article 4(10) ‘Third party’ means a natural or legal person, public authority, agency or body other than the data subject, controller, processor and persons who, under the direct authority of the controller or processor, are authorised to process personal data; 32
  32. 32. Consent  정보주체가 하나 또는 그 이상의 특정한 목적을 위한 개인정보의 처리에 동의를 제공하는 경우, 해당 개인정보처리는 ‘합법적 (lawful)’인 것으로 인정받을 수 있으며(Art.6 1(a)), 이러한 동의는 개인정보 처리에 대한 동의 의사를 나타내기 위한 성명 (statement) 또는 명시적인 적극적 행동(clear affirmative action)으로 확인할 수 있어야 하며, 반드시 1) 정보주체의 자유의지에 의해 제공되어야 하며(freely given), 2) 특정한 사안이나 목적에 대한 것이어야 하며(specific), 3) 정보주체가 동의 의사를 결정하 기 위해 충분한 정보가 제공된 상태여야 하며(informed), 4) 정보주체가 명확한 의사를 표시하는 것이어야 함(unambiguous)  명시적 동의(explicit consent)는 1) 민감정보의 처리, 2) 개인정보의 해외 전송, 3) 개인에 대한 자동화된 의사결정 등의 경우에 있어 합법적 처리 근거로 사용됨  Directive에 근거하여 받은 동의는 GDPR의 동의 원칙에 부합하는 경우 여전히 유효함  GDPR은 정보사회서비스(information society services)가 아동에게 제공되는 경우 부모의 동의를 요구함  동의는 개인정보 처리의 적법성 요건 가운데 하나임 Source: GDPR series: Part 2-the GDPR’s main players by lexology Article 4(11) ‘Consent’ of the data subject means any freely given, specific, informed and unambiguous indication of the data subject’s wishes by which he or she, by a statement or by a clear affirmative action, signifies agreement to the processing of personal data relating to him or her; 33
  33. 33. Personal data breach  개인정보 침해란 보안 침해를 원인으로 하여 전송, 저장, 또는 처리된 개인정보에 대한 의도하지 않은 또는 불법적 파괴, 손실, 변경, 승인되지 않은 공개나 접근 등이 발생한 경우를 의미함. 해킹, 노트북이나 USB 메모리 스틱의 분실 또는 도난, 승인되지 않은 제3자에 의한 접근 등이 이에 해당할 수 있음  개인정보 침해의 정의는 미국과 비교하여 그 범위가 상당히 넓은 것으로 이해됨. 예를 들어, 미국 개별 주의 개인정보 침해 관련 법령에서는 ‘사기나 신원 도용에 이를 수 있는 정보의 노출’을 개인정보 침해로 정의하는 경우가 많음  Directive는 컨트롤러에게 의도하지 않거나 불법적인 파괴, 의도하지 않은 분실, 변경, 승인되지 않은 공개나 접근, 기타 모든 불 법적 형태의 개인정보 처리로 부터 개인정보를 보호해야 한다는 의무를 부과(Art. 17(1))하였으나, 개인정보 침해 통지를 명시적 으로 규정하지는 않았음. 따라서, 개인정보 침해 통지는 GDPR에 새롭게 도입된 개념으로 보아야 함  개인정보 침해가 발생하는 경우, 1) 컨트롤러는 “Article 55에 의거하여 ‘관할(competent)’ 감독 당국”에게 가능한 72시간 내에 그 사실을 알려야 함 2) 프로세서가 개인정보 침해를 알게 된 경우 컨트롤러에 이를 부당한 지연 없이(without undue delay) 알려야 함 3) 컨트롤러는 정보주체에게 개인정보 침해 사실을 부당한 지연 없이 알려야 함 - 단, 3)은 개인의 권리와 자유에 고 위험(a high risk)을 초래할 가능성이 있는 것으로 여겨지는 개인정보 침해 사안에 한정  개인정보 침해에 대한 통지 결정은 위험에 기반한 것으로 사소한 침해 사고까지 보고해야 하는 것은 아님  참고로, 고 위험(a high risk)이 의미하는 것은 개인(정보주체)에게 통지하는 임계치가(threshold)가 관계당국에 통지하는 것 보 다 더 높다는 것이라고 함(ico). 컨트롤러가 이를 판단하지만, 권한 있는 감독 당국은 이 판단을 뒤집을 수 있어 주의 요망됨 Source: Top 10 operational impacts of the GDPR: Part 1 – data security and breach notification by iapp Article 4(12) ‘Personal data breach’ means a breach of security leading to the accidental or unlawful destruction, loss, alteration, unauthorised disclosure of, or access to, personal data transmitted, stored or otherwise processed; 34
  34. 34. Generic data, Biometric data, Health data  유전정보(generic data), 바이오 정보(biometric data), 건강 정보(data concerning health)는 GDPR이 정하는 특별한 유형의 개인 정보로 소위 ‘민감 개인정보(sensitive personal data)’에 해당함 (Art.9(1))  GDPR은 바이오 정보를 개인의 신체, 생리, 행태적 특징에 대한 특정한 기술적 처리의 결과로 얻어지는 개인정보로서 안면 이미 지나 지문정보와 같이 개인을 식별하는데 사용될 수 있는 정보라고 정의함  GDPR은 건강 정보를 신체적 건강 뿐 아니라 정신적 건강을 포함하는 개념으로 정의하는데, 건강 관리 서비스의 제공 내역과 같 이 개인의 건강 상태를 드러낼 수 있는 정보까지 포함하였음 Source: Article 4(13) - (15) Article 4(13) - (15) ‘Genetic data’ means personal data relating to the inherited or acquired genetic characteristics of a natural person which give unique information about the physiology or the health of that natural person and which result, in particular, from an analysis of a biological sample from the natural person in question; ‘Biometric data’ means personal data resulting from specific technical processing relating to the physical, physiological or behavioural characteristics of a natural person, which allow or confirm the unique identification of that natural person, such as facial images or dactyloscopic data; ‘Data concerning health’ means personal data related to the physical or mental health of a natural person, including the provision of health care services, which reveal information about his or her health status; 35
  35. 35. Main establishment  (a) 1개 이상의 EU 회원국에 사무소를 두고 있는 컨트롤러의 경우, 유럽연합에서 주요 행정 사무를 처리하는 장소. 단, 컨트롤러 의 다른 사무소가 개인정보 처리의 목적과 수단을 결정하고, 그와 같은 결정을 실행하는 경우라면 해당 사무소가 주된 사무소 (main establishment)가 됨  (b) 1개 이상의 EU 회원국에 사무소를 두고 있는 프로세서의 경우, 유럽연합에서 주요 행정 사무를 처리하는 장소. 만약 프로세 서가 그와 같은 주요 행정 사무를 유럽연합에서 처리하지 않는다면, 프로세서의 사무소 활동 맥락에서 주된 처리 활동이 발생하 는 유럽연합 내 프로세서의 사무소가 주된 사무소가 됨  유럽연합 집행위원회는 “One Stop Shop”을 제안하여, 복수의 유럽연합 회원국에서 사업을 수행하는 기업이 단일 규제 창구와 소통하는 방안을 주장하였으나, 반대에 부딪혀 일부 내용만 반영되었음. 이에 따라, 유럽연합 내 여러 사무소를 두거나 국경간 개인정보 처리를 하는 경우 주된 사무소가 위치한 회원국의 감독 당국뿐 아니라 다른 회원국의 감독 당국의 조사를 받을 수도 있음 Source: Co-operation and consistency between supervisory authorities bird & bird LLP Article 4(16) ‘Main establishment’ means: (a) as regards a controller with establishments in more than one Member State, the place of its central administration in the Union, unless the decisions on the purposes and means of the processing of personal data are taken in another establishment of the controller in the Union and the latter establishment has the power to have such decisions implemented, in which case the establishment having taken such decisions is to be considered to be the main establishment; (b) as regards a processor with establishments in more than one Member State, the place of its central administration in the Union, or, if the processor has no central administration in the Union, the establishment of the processor in the Union where the main processing activities in the context of the activities of an establishment of the processor take place to the extent that the processor is subject to specific obligations under this Regulation; 36
  36. 36. What is an establishment in the context of EU laws? 사무소(establishment)의 이해 (GDPR에서) 컨트롤러나 프로세서의 establishment(사무소)는 ‘개인정보 보호의 관점에서 특정 기업이 어느 EU 회원국의 사법권(jurisdiction)의 영향에 놓이게 되는지’를 결정하는 개념으로, ① GDPR에 따른 정보주체의 권리 를 어느 국가에서 행사하는지, ② 법 집행 활동에 있어 어느 감독 당국이 관여하는지, ③ 사법 절차가 어느 국가에 서 진행되는지 등에 영향을 미침. Source: Rules of establishment for European data controllers and data processors by Safe Data Matters, Material and territorial scope by bird & bird LLP 참고) Establishment에 대한 유럽연합사법법원의 판단 유럽연합사법법원(CJEU, The Court of Justice of the European Union)은 2015년 Weltimmo v NAIH (C-230/14) 판결에서 “Establishment”에 대한 의견을 제시 하였음. CJEU는 establishment는 법률적 형태에 구속되지 않는 폭넓고 유연한 표현이라 하였음. 유럽연합 내에서 고정적인 사무소(stable establishments)를 통해 “(아무리 작은 것이라 할지라도) 실질적이고 효과적인 활동”을 수행하는 경우 특정 기구(organisation)가 설립된(established) 것으로 보아야 하며, 단독 대 리인의 존재만으로도 충분하다 의견을 제시하였음. [참고: ‘even a minimal’ – “de minimis threshold”가 GDPR에서도 유효할지 여부는 지켜보아야 함] 본 판결에서, CJEU는 Weltimmo가 헝가리에 ‘설립된’ 것으로 보아야 한다고 판단하였는데, 비록 Weltimmo가 슬로바키아에 기반하였지만 i) 헝가리어로 웹사 이트를 운영하면서 헝가리 부동산을 광고하였고(그 결과 “주로 또는 전적으로 EU 회원국을 대상으로 삼았다”고 판단되었음), ii) 지역 대리인을 사용하였고(해 당 지역의 채무를 수집하는 책임을 맡았고 행정 및 사법 절차에 있어 대리인으로 활동하였음), ii) 사업 목적으로 헝가리 우편 주소와 은행 계좌를 사용하였음 을 이유로 들었음 GDPR은 establishment를 별도로 정의하고 있지 않음. 일반적으로 지점이나 자회사(branch or subsidiary)는 establishment로 인정될 것이지만, 이동 판매상 (travelling salesperson)은 그렇지 않다고 여겨짐 (explained by White & Case) 37
  37. 37. Representative  대리인이란 유럽연합 내에 설립된 자연인 또는 법인으로서, GDPR Article 27에 따라 컨트롤러나 프로세서로부터 문서로 지정된 자를 의미함. GDPR에 따른 컨트롤러·프로세서의 의무와 관련하여 컨트롤러 또는 프로세서를 대리(대표)함. 컨트롤러나 프로세 서의 GDPR준수를 보장하기 위한 목적이며, 이의 준수와 관련한 감독기관의 집행력 확보 및 정보주체의 권리행사를 용이하게 하려는 목적도 있음  Article 3(2)가 적용되는 경우 – 유럽연합 역외에서 재화나 용역을 유럽연합 내의 정보주체에게 제공하거나, 유럽연합 내에서 발 생하는 정보주체의 행태를 감시 – 컨트롤러나 프로세서는 유럽연합 내에 대리인을 서면으로 지정해야 함(Art.27(1)).  단, 1) 개인정보의 처리가 간헐적이며, Art.9(1)에서 언급된 대량의 특수한 유형의 개인정보 처리를 포함하지 않고, Art.10에 규정 된 범죄경력 관련 개인정보를 처리를 포함하지 않는 경우에 해당하는 동시에 해당 개인정보 처리의 목적, 범위, 맥락, 성격 등을 고려하여 자연인의 권리와 자유에 위험을 초래하지 않는 경우, 또는 2) 공공 기관에 해당하는 경우 대리인 지정 의무 적용이 배 제됨 (Art.27(2)(a), (b))  대리인은 재화나 용역이 제공되는 정보주체가 위치하거나 그의 행태가 감시되는 유럽연합 회원국에 설립되어야 함(Art.27(3))  대리인은 GDPR의 준수를 보증하기 위한 목적으로, 정보주체의 개인정보 처리와 관련한 모든 이슈에 있어 컨트롤러나 프로세서 를 대신하여 해당 이슈에 관여(대응)하도록 위임을 받아야 하며, 권한 있는 감독기관과 협조해야 함(Art.27(4)), 이와 같은 대리인 의 지정이 컨트롤러나 프로세서에게 취해질 수 있는 법적 조치의 적용을 배제하는 것은 아님(Art.27(5))  컨트롤러가 GDPR을 준수하지 못하는 경우, 대리인은 이에 대해 책임을 져야 할 수 있음(Recital 80). 따라서, 강력한 계약상의 면책(조항)을 확보하지 않은 상태에서 대리인으로 지정되어 활동하는 것은 지양하여야 함 Source: Chapter 10: Obligations of controllers – Unlocking the EU General Data Protection Regulation by White & Case Article 4(17) ‘Representative’ means a natural or legal person established in the Union who, designated by the controller or processor in writing pursuant to Article 27, represents the controller or processor with regard to their respective obligations under this Regulation; 38
  38. 38. Enterprise, group of undertakings  경제 활동에 참여하는 자연인 또는 법인을 “기업(enterprise)”이라 함. 법적 형태와는 무관하며, 정기적으로 경제활동에 참여하는 파트너십이나 연합(partnerships or associations)을 포함하는 개념임  통제권을 가지고 있는 사업체와 그에 의해 통제를 받는 사업체들을 묶어 “사업체 그룹(a group of undertakings)”이라 함  GDPR은 일부 조항에서 “기업 그룹(group of enterprise)”이라는 표현을 사업체 그룹과 함께 언급하고 있음  공동 경제 활동(joint economic activity)에 참여하는 사업체 그룹이나 기업 그룹은 관할 감독기관으로부터 ‘구속력 있는 기업 규 칙(BCRs, Binding Corporate Rules)’을 승인 받는 경우, 구성원간 개인정보를 전송할 수 있음(Art.47)  사업체 그룹은 개별 사업소로부터 DPO에 대한 용이한 접근이 가능하다는 조건(easily accessible)을 충족하는 경우, 단일 개인정 보 보호책임자(DPO)를 지정할 수 있음(art.37(2))  EU 회원국은 법이나 단체 협약에 의거하여 고용관계 맥락에서의 임직원 개인정보 처리와 관련하여 보다 구체적인 규칙을 정할 수 있는데(Art.88(1)), 이와 같은 규칙은 개인정보 처리의 투명성, 사업체 그룹 또는 기업 그룹 내에서의 개인정보 전송, 직장에서 의 감시 시스템 등과 관련하여 정보주체의 인간으로서의 존엄성과 적법한 이익을 보호할 수 있는 적절하고 구체적인 조치를 포 함해야 함(Art.88(2)) Source: GDPR Article 4(18), (19) Article 4(18) - (19) ‘Enterprise’ means a natural or legal person engaged in an economic activity, irrespective of its legal form, including partnerships or associations regularly engaged in an economic activity; ‘Group of undertakings’ means a controlling undertaking and its controlled undertakings; 39
  39. 39. Binding corporate rules  다국적 기업 그룹이 동일 그룹 내에서 개인정보를 적정한 보호수준을 제공하지 못하는 제3국으로 국제(역외) 전송하는 것과 관 련하여 정하는 ‘내부 글로벌 개인정보 보호정책’을 ‘구속력 있는 기업 규칙(BCRs, Binding Corporate Rules)’이라 함  BCRs의 정의규정에서 ‘공동 경제 활동에 참여하는 기업 그룹’을 명시적으로 포함한 것은 사업 파트너에게까지 BCRs이 적용될 수 있음을 의미한다는 견해가 있음  관할 감독기관은 Art.63에서 언급한 일관성 메커니즘에 합치하는 BCRs이 1) 임직원을 포함하여, 사업체 그룹 또는 연계 경제 활 동에 참여하는 기업 그룹의 구성원에게 법적 강제성을 갖고 적용되며, 2) 정보주체의 개인정보 처리와 관련하여 집행 가능한 권 리를 정보주체에게 명시적으로 부여하고, 3) BCRs의 최소 요건으로 규정된 Art.47(2)(a) - (n)의 내용을 충족하는 경우 BCRs를 승 인해주어야 함 (Art.47(1))  BCRs는 Art.47(2)(a) - (n)에 규정된 내용을 BCRs의 최소 요건으로 포함해야 함. 주요 요건으로는, 1) 개인정보 전송의 목적과 그 로 인해 영향 받는 개인정보의 범주를 명시해야 함, 2) GDPR의 요구사항을 반영해야 함, 3) EU 기반의 개인정보 전송 당사자가 전체 그룹을 대신하여 책임을 부담하는 것을 확인해야 함, 4) 이의 제기 절차를 설명해야 함, 5) 감사(audits) 등, 컴플라이언스를 확보하기 위한 메커니즘을 제공해야 함  기존 Directive에 따라 생성, 승인된 BCRs은 GDPR에 따라 개정, 대체, 폐기되기 전까지는 유효함 Source: Recital 110, Overview on Binding Corporate Rules by European Commission Article 4(20) ‘Binding corporate rules’ means personal data protection policies which are adhered to by a controller or processor established on the territory of a Member State for transfers or a set of transfers of personal data to a controller or processor in one or more third countries within a group of undertakings, or group of enterprises engaged in a joint economic activity; 40
  40. 40. Supervisory authority (concerned)  Article 51에 의거하여, EU 회원국에 설립된 독립적 공공 당국을 ‘감독기관(supervisory authority)’이라 함  ‘관련 감독기관(supervisory authority concerned)’은 다음의 사유로 개인정보 처리에 연관된 감독기관을 의미함 – 1) 컨트롤러 나 프로세서가 해당 감독기관이 소속된 EU 회원국 영토에 설립되어 있거나, 2) 해당 감독기관이 소속된 EU 회원에 거주하고 있 는 정보 주체가 개인정보의 처리로 인해 상당한 영향을 받았거나 그러한 가능성이 있는 경우, 또는 3) 해당 감독기관에 민원 (complaint)이 제기된 경우  컨트롤러나 프로세서가 복수의 EU 회원국에 설립되어 있거나, 1개의 EU 회원국에 설립된 컨트롤러나 프로세서의 처리활동이 복수의 회원국에 위치한 정보주체에게 상당한 영향을 미치는 경우, 주된 사업장의 감독기관 또는 단일 컨트롤러나 프로세서가 설립된 국가의 감독기관이 ‘선임 (감독)기관(lead authority)’이 되며, 선임 (감독)기관은 다른 관련 감독기관과 협조해야 함 (Recital 124) Source: Recital 124 Article 4(21) - (22) ‘Supervisory authority’ means an independent public authority which is established by a Member State pursuant to Article 51; ‘Supervisory authority concerned’ means a supervisory authority which is concerned by the processing of personal data because: the controller or processor is established on the territory of the Member State of that supervisory authority; data subjects residing in the Member State of that supervisory authority are substantially affected or likely to be substantially affected by the processing; or a complaint has been lodged with that supervisory authority; 41
  41. 41. Cross-border processing  (a) 컨트롤러나 프로세서가 복수의 EU 회원국에 설립되어 있고, 복수의 EU 회원국의 컨트롤러나 프로세서의 사무소의 활동 맥 락에서 개인정보 처리가 발생하는 경우, 또는  (b) EU 의 단일 컨트롤러 또는 프로세서의 단일 사무소의 활동 맥락에서 개인정보 처리가 발생하면서, 그러한 개인정보의 처리 가 복수의 EU 회원국에 위치한 정보주체에게 상당한 영향을 미치거나 미칠 가능성이 있는 경우를 ‘국경간 개인정보 처리(cross- border processing)’라고 함 Source: Article 4(23) Article 4(23) ‘Cross-border processing’ means either: (a) processing of personal data which takes place in the context of the activities of establishments in more than one Member State of a controller or processor in the Union where the controller or processor is established in more than one Member State; or (b) processing of personal data which takes place in the context of the activities of a single establishment of a controller or processor in the Union but which substantially affects or is likely to substantially affect data subjects in more than one Member State affected or likely to be substantially affected by the processing; or a complaint has been lodged with that supervisory authority; 42
  42. 42. Relevant and reasoned objection  GDPR 위반이 발생했는지 또는 컨트롤러나 프로세서와 관련하여 예상되는 조치(envisaged action)가 GDPR에 부합하는지에 대 한 가결정(draft decision)에 대해 제기되는 반대를 ‘연관성 있고 합리적인 이의제기(relevant and reasoned objection)’라고 하며, 이는 정보주체의 기본권과 자유, 그리고 (적용되는 경우) 유럽연합 내에서의 개인정보의 자유로운 이동에 대한 가결정으로 인해 초래될 수 있는 위험의 중대성을 명시적으로 보여주는 것임 Source: Relevant and reasoned objection (Definitions, GDPR) by Lewik Article 4(24) ‘relevant and reasoned objection’ means an objection to a draft decision as to whether there is an infringement of this Regulation, or whether envisaged action in relation to the controller or processor complies with this Regulation, which clearly demonstrates the significance of the risks posed by the draft decision as regards the fundamental rights and freedoms of data subjects and, where applicable, the free flow of personal data within the Union; 43
  43. 43. Information society service  통상 영리(remuneration)를 목적으로 서비스를 제공받는 자의 개별적 요청에 의해 원거리에서 전자적 수단을 통하여 제공되는 서비스를 ‘정보사회서비스(information society service)’라 함. 이는 Directive (EU) 2015/1535 of the European Parliament and of the Council of 9 September 2015 laying down a procedure for the provision of information in the field of technical regulations and of rules on Information Society services (codification)의 Article 1(1)(b)에서 정의된 개념임  ‘원거리(at a distance)’는 서비스 제공자와 해당 서비스를 제공받는 자가 물리적으로 동시에 같은 장소에 있을 것을 요구하지 않 는다는 것을 의미하며, ‘전자적 수단을 통하여(by electronic means)’는 전자적 장비로 데이터를 처리하여 서비스를 제공하는 것 을 의미하고, ‘서비스를 제공받는 자의 개별적 요청에 따라(at the individual request of a recipient of services)’는 개별적 요청 에 기반한 데이터 전송에 의해 서비스가 제공되는 것을 의미함  정보사회서비스는 전자상거래 서비스와 같이 온라인에서 재화와 용역을 사고파는 서비스에 한정되지 않음. 상업적 목적으로 운 영되는 모든 웹사이트가 정보사회서비스에 해당할 수 있음. 예를 들어, 온라인 광고를 통해 수익을 창출하는 미디어 사이트나 검색 광고를 통해 영리를 추구하는 검색엔진 등이 이에 해당함 Source: 우리 기업을 위한 <유럽 일반 개인정보 보호법> 안내서 (2017. 4) Article 4(25) ‘Information society service’ means a service as defined in point (b) of Article 1(1) of Directive (EU) 2015/1535 of the European Parliament and of the Council; 44
  44. 44. International organization  국제 공법(public international law)에 규율 받는 기관 및 하위 구성기구 또는 2개 이상의 국가간 협약에 의해 설립된 단체를 ‘국 제 기구(international organization)’라고 함  국제 기구는 개인정보의 국외 전송 및 그에 관한 정보주체의 권리 행사와 관련하여 GDPR에서 다루어 짐 Source: Article 4 Article 4(26) ‘International organisation’ means an organisation and its subordinate bodies governed by public international law, or any other body which is set up by, or on the basis of, an agreement between two or more countries. 45
  45. 45. Public authority  공공기관은 그 법률적 형태와 무관하며 국가가 채택하는 조치에 따라 국가의 통제하에 공공 서비스를 제공하는 책임을 부여 받 은 기관이며, 이를 위해 사인간의 관계에 적용되는 일반적 규칙으로부터 도출되는 권한을 넘어서는 특별한 권한을 보유함  따라서, 국가의 전통적인 기능을 수행하는 기관뿐만 아니라 전기, 도시가스, 수도, 전화 등을 제공하는 공익기업(utility company) 도 공공기관의 정의에 포섭될 수 있음  민간기관이 공적인 책무를 수행하거나 공적인 권한을 행사하는 경우 DPO를 지정하도록 권고됨 (Ireland DPC)  공공기관은 GDPR에 따라 몇 가지 특별한 규정을 적용 받는데, 대표적으로 DPO의 의무 지정과 개인정보 처리의 조건으로 ‘정당 한 이익’에 기반할 수 없다는 점이 있음 Source: The General Data Protection Regulation: A Survival Guide by Linklater & GDPR and You by DPCIreland Present in the GDPR ‘Public authority’ is a body, whatever its legal form, which has been made responsible, pursuant to a measure adopted by the State, for providing a public service under the control of the State and has for that purpose special powers beyond those which result from the normal rules applicable in relations between individuals. (Foster and others v British Gas (C-188/89)) 46
  46. 46. 47 3. Principles of Personal Data Processing
  47. 47. Principles relating to processing of personal data - Overview 개인정보 처리 원칙 개인정보는 반드시 ‘개인정보 처리 6대 원칙’에 따라 처리되어야 하며, 컨트롤러는 이를 준수함을 증명할 수 있어 야 함. 특히, 후자를 ‘책임성의 원칙(accountability)’이라고 함 (Article 5, Recital 39) Source: Six privacy principles for General Data Protection Regulation compliance by Consultancy.uk (June, 2017) 적법성, 공정성, 투명성의 원칙 목적 제한의 원칙 무결성, 기밀성의 원칙 개인정보 최소화의 원칙 보관기간 제한의 원칙 정확성의 원칙 48
  48. 48. Principles relating to processing of personal data - Overview 책임성의 원칙 (Accountability) 적법성, 공정성, 투명성의 원칙 (lawfulness, fairness and transparency) 개인정보는 ‘정보주체와 관련하여(in relation to the data subject)’ 적법하고, 공정하며, 투명한 방식으로 처리되어야 함 목적 제한의 원칙 (purpose limitation) 개인정보는 구체적이고 명시적이며 합법적 목적을 위해 수집되어 야 하며, 해당 목적과 부합하지 않는(incompatible) 방식으로 추가 적 처리(further processing)가 되어서는 안됨 단, 공익을 위한 보관(archiving) 목적, 과학 또는 역사적 연구 목적, 통계 목적을 위한 추가 처리는 최초 수집 목적과 부합하지 않는 것 (incompatible with)으로 보지 않음. 이러한 경우, Art.89(1)에서 규 정하고 있는 ‘GDPR에 부합하는 적절한 보호조치’를 준수해야 함 개인정보 최소화의 원칙 (data minimisation) 개인정보는 처리 목적과 관련하여 필요 최소한으로 제한되어야 하 며, 적절하고, 연관성 있어야 함(“not excessive” under the Directive to “limited to what is necessary” under the GDPR) 정확성의 원칙 (accuracy) 개인정보는 정확해야 하며, (필요한 경우) 최신으로 유지되어야 함 이에, 처리 목적에 비추어 부정확한 정보는 지연 없이 삭제 또는 정 정되어야 하며, 이를 위한 모든 합리적 조치가 수행되어야 함 보관기간 제한의 원칙 (storage limitation) 개인정보 처리목적에 비추어 더 이상 필요하지 않은 경우, 정보주 체를 식별할 수 있는 형태로 보관되어서는 안됨 단, Art.89(1)에서 규정하고 있는 ‘GDPR에 부합하는 적절한 보호조 치’를 준수하는 경우, 공익을 위한 보관(archiving) 목적, 과학 또는 역사적 연구 목적, 통계 목적을 위해 처리되는 한, 연장 보관될 수 있음 무결성, 기밀성의 원칙 (integrity and confidentiality) 개인정보는 적절한 기술적·조직적 조치(technical and organizational measures)를 통하여 권한 없는 처리, 불법적 처리 및 사고로 인한 멸실, 파괴 또는 손상에 대비한 보호 등 적절한 보 안을 보장하는 방식으로 처리되어야 함 49
  49. 49. Lawfulness of processing 개인정보 처리의 적법성 요건 개인정보의 처리는 개인정보처리 6대 원칙을 모두 준수해야 하며, 이에 더하여 <GDPR이 정한 6가지 적법성 요 건> 가운데 최소 1개 이상을 충족해야 적법한 것으로 인정받을 수 있음 (Art. 6(1), Recital 39-41). 또한, 원래 수집 한 목적과 다른 목적으로 추가 처리(further processing)를 하려면 최초 수집 당시의 목적과 양립 가능성 (compatibility)을 확인해야 함 (Article 6(4), Recital 50) Source: Lawful Processing of Personal Data in the Private Sector by Law Infographic (June, 2017) 50 ① 정보주체의 동의 ③ 법률의무 준수 ⑤ 공익 내지 공공기관 ② 계약의 이행 ④ 중대한 이익 보호 ⑥ 정당한 이익
  50. 50. Lawfulness of processing 개인정보 처리의 적법성 요건 (Art.6(1)(a) – (f)) ① 정보주체의 동의 ② 정보주체와의 계약이행 또는 계약체결을 위해 필요한 처리 - 정보주체가 계약 당사자인 계약의 이행 또는 계약을 체결하기 전, 정보주체의 요청에 따른 조치를 이행하기 위하여 개인정보를 처리하는 경우 ③ 정보주체의 법적 의무 이행을 위해 필요한 처리 - 오직 유럽연합 또는 회원국 법령에 의한 경우에만. 단, 관습법상의 의무 이행(common law obligations)을 위한 경우도 이에 해당함 (Linklaters) ④ 정보주체 또는 다른 자연인의 중대한 이익(vital interests)을 보호하기 위해 필요한 처리 ⑤ 공익 목적의 임무 수행 또는 컨트롤러에게 부여된 공적 권한의 행사를 위해 필요한 처리 ⑥ 컨트롤러 또는 제3자의 정당한 이익 추구목적으로 필요한 처리 - 단, 개인정보 보호를 요구하는 정보주체의 이익, 기본권, 자유를 보장하는 이익이 컨트롤러나 제3자의 이익보다 큰 경우 적용되지 않음. 특히, (정보주 체가 아동인 경우에는 더욱 그러함) - 공공기관이 자신의 책무를 수행하는 과정에 필요한 개인정보의 처리는 ‘정당한 이익’을 근거로 할 수 없음 ※ 위 ③, ⑤의 경우, EU 회원국은 보다 구체적인 규율을 자국 법률에 규정할 수 있음 (Art.6(2) - (3)) Source: Article 6 51
  51. 51. Lawfulness of processing for sensitive personal data 민감 개인정보 처리의 적법성 요건 (Art.9(2)(a) – (j)) ① 정보주체의 ‘명시적’ 동의에 의한 처리 - 단, 유럽연합 또는 회원국 법이 이와 같은 민감 개인정보 처리에 대한 동의를 제한하는 경우는 제외 ② 고용, 사회보장 및 보호와 관련한 법적 의무의 이행(컨트롤러)이나 권리의 행사(정보주체)를 위한 처리 ③ 정보주체 또는 다른 자연인의 중대한 이익(vital interests)을 보호하기 위해 필요한 처리 ④ 비영리단체(not-for-profit bodies)의 적법한 활동 과정에서 처리되며 오직 구성원 및 관계자에게만 관련되고 개인정보가 동의 없이 당해 기관 외로 제공, 공개되지 않는 경우의 처리 ⑤ 정보주체에 의해 명시적으로 공개된 개인정보와 관련한 처리 ⑥ 법적 청구의 성립, 행사 또는 방어를 위해 필요한 경우 또는 법원이 사법적 권한 범위 내에서 활동하는 경우 의 처리 ⑦ 유럽연합 또는 회원국 법률에 근거하여 상당한 공익적 사유로 필요한 처리 ⑧ 공중보건 목적의 유럽연합 또는 회원국 법률에 근거한 처리 ⑨ 기록보존(archiving), 과학, 역사적 연구 또는 통계적 목적으로 유럽연합 또는 회원국 법률에 근거한 ※ 회원국은 건강, 유전자 또는 바이오 정보의 처리에 관하여서는 추가적인 조건을 도입할 수 있음(Art.9(4)) Source: Article 9(2) 52
  52. 52. Why processing conditions really matter 개인정보 처리의 적법성 요건이 중요한 이유 (설명) GDPR에서는 컨트롤러나 프로세서의 적법성 요건을 명확히 식별하고 이해하는 것이 매우 중요함, 예를 들면; ① [Privacy Notices] 컨트롤러는 정보주체로부터 개인정보를 직접 수집하는 경우, 개인정보 처리의 목적 및 처 리에 대한 법적 근거를 수집 시점에 제공해야 함 (Art.13(1)(c)). - 예를 들어, 개인정보 처리의 근거가 ‘정당한 이익의 추구’에 해당하는 경우, 이에 대한 세부 내용을 Privacy Notices에 포함하여야 함. 만약, 정보주체의 ‘동의’에 의존하는 경우, 동의를 철회할 수 있는 권리가 있다는 사실을 정보주체에게 알려야 함 (Art.13(2)(c)) 정보주체 이외로부터 개인정보를 수집하는 경우에도 마찬가지임 (Art.14(1)(c), (2)(c), (2)(d)) ② [Individual Rights] 개인정보 처리의 요건(조건)은 정보주체에게 보장된 개인정보에 대해 ‘가용한 권리’가 무 엇인지 영향을 미침. 예를 들어, 개인정보 처리에 반대할 권리(Art.21)나 개인정보 이동권(Art.20)을 행사할 수 있는지가 이에 해당됨 - 개인정보 이동권은 1) 개인정보의 처리가 정보주체의 동의(Art.6(1), 9(2)(a)) 또는 계약의 이행을 위한(6(1)(b)) 경우에 해당하며, 2) 개인정보의 처리가 자동화된 수단에 의해 이행되는 경우에 행사 가능 - 반대할 권리는 1) 정당한 이익에 기반한 개인정보의 처리 또는, 공익을 위한 사무이거나 공적 권한의 행사에 해당하는 경우, 2) 직접 마케팅 (1), 2)의 경 우, 프로파일링 포함), 3) 과학적 또는 역사적 연구와 통계 목적의 개인정보 처리에 해당하는 경우 ③ [Jurisdiction] 소위 ‘one stop shop’ 메커니즘은 개인정보의 처리가 ‘법적 의무 또는 공적 기능’ 조건(on the basis of the legal obligation or public functions condition)에 기반한 경우 적용되지 않음 Source: The General Data Protection Regulation: A Survival Guide by Linklaters 53
  53. 53. Lawfulness of processing 추가 처리 (Further Processing)와 양립성 판단(Compatibility Test) (Art.6(4)(a) – (e)) 최초 수집한 개인정보의 처리 목적과는 다른 목적을 위한 개인정보 처리 사안이 1) 정보주체의 동의에 기반하지 않았거나, 2) Art.23(1)<restrictions>에 명시된 목적을 보호하기 위한 민주사회에서의 필요하고 비례적 수단을 구성하 는 유럽연합 또는 회원국 법률에 근거하지 않는 경우, 컨트롤러는 새로운 처리 목적이 수집 당시의 처리 목적과 양립하는지 여부를 확인하기 위해 최소한(‘inter alia’ = among other things) 다음 사항을 고려해야 함 ① 최초 수집 목적과 제시된 새로운 개인정보 처리목적 사이의 일정한 연관성(any link) ② 개인정보가 수집된 맥락, 특히 정보주체와 컨트롤러의 관계와 관련된 맥락 ③ 개인정보의 성격, 특히 Art.9에 따른 특별한 유형의 개인정보가 처리되거나 Art.10에 따른 범죄 경력과 관련 된 개인정보가 처리되는 경우 ④ 의도된 추가 개인정보 처리로 인해 정보 주체에게 발생 가능한 결과 ⑤ 적절한 보호조치의 존재 여부, 여기에는 암호화나 익명화를 포함할 수 있음 공익을 위한 보관(archiving) 목적, 과학 또는 역사적 연구 목적, 통계 목적을 위한 추가 처리의 경우 적법한 처리 와 양립하는 것으로 인정됨. 또한, 공익 목적의 임무 수행 또는 컨트롤러에게 부여된 공적 권한의 행사를 위해 필 요한 개인정보의 처리의 경우, 유럽엽합 또는 회원국 법령에서 추가 처리가 합법적이고 원래의 목적과 부합하는 것으로 인정받기 위한 책무와 목적을 명시할 수 있음 Source: Article 6(4), Recital 50 54
  54. 54. Lawfulness of processing 동의 조건 (Conditions for Consent) (Art.7(1) – (4)) 동의는 자신에 관한 개인정보의 처리에 대한 동의 의사를 진술 또는 성명(written or oral statement)이나 명확한 적극적 행동(clear affirmative action)으로 표시하는 것으로, 1) 자유롭게 제시되어야 하며(freely given), 2) 특정되 어야 하며(specific), 3) 동의에 필요한 정보가 제공되어야 하며(informed), 4) 모호하지 않아야 함(unambiguous) Source: Article 7, Recital 32 - 33, 42 - 43 참고) 동의 조건 관련 추가 고려사항 - 개인정보의 처리가 동의에 기반한 경우, 컨트롤러는 정보주체가 동의하였음을 입증할 수 있어야 함 - 정보주체의 동의가 다른 사안을 포함하는 문서의 맥락에서 제공된 경우, 동의 요구는 1) 다른 사안들과 명확히 구분되는 방식으로 제시되어야 하고, 2) 명확 하고 쉬운 언어를 사용하여 읽을 수 있고 쉽게 접근 가능한 형식으로 제공되어야 함. GDPR을 위반하는 내용을 포함하는 문서는 구속력을 갖지 아니함 - 정보주체는 언제라도 동의를 철회할 수 있는 권리를 가짐. 동의를 철회한 경우, 철회 시점 이전의 동의 기반 개인정보 처리는 적법성 판단에 영향을 미치지 않음. 동의 전, 동의와 관련한 충분한 정보가 제공되어야 하며, 동의의 철회는 동의의 제공과 동일한 수준으로 용이(in practice, the same medium)해야 함 - 동의는 개인정보 처리 목적(들)을 위해 수행되는 모든 처리활동을 포괄(cover)해야 하며, 개인정보의 처리활동이 복수의 목적을 갖는 경우, 해당 목적 전체 에 대한 동의를 제공받아야 함 - 전자적 수단을 활용한 요구에 따라 정보주체의 동의가 제공되는 경우, 이러한 요구는 반드시 명확하고, 간략해야 하며, 제공되는 서비스의 이용에 불필요한 중단을 야기해서는 안됨 (not unnecessarily disruptive) - 동의가 ‘freely given’ 요건을 갖추려면 최소한(inter alia), 서비스 제공을 포함하는 계약의 이행 여부가 계약의 이행을 위해 필요하지 않은 개인정보의 처리 에 대한 동의에 기반하고 있지는 않은지 전적으로 고려되어야 함. 컨트롤러와 정보주체의 불균형(특히, 공공 기관)과 동의의 상황도 고려되어야 함. 복수의 개인정보 처리에 대한 포괄 동의는 freely given 요건을 충족하지 못한 것으로 간주됨. 동의가 ‘informed’ 요건을 갖추려면, 정보주체가 최소한 컨트롤러의 신원과 의도된 개인정보의 처리 목적을 인식해야 함 - 사전에 체크가 된 체크박스(pre-ticked boxes), 침묵(silence), 동의 간주(inactivity) 등은 동의에 해당하지 않음 - 과학 연구 목적의 개인정보 처리에 대해 동의를 받을 땐, 정보주체에게 연구의 일부분이나 일부 영역에 동의할 수 있는 기회를 제공해야 함 55
  55. 55. Lawfulness of processing 명시적 동의가 필요한 경우 (Explicit Consent) ① “특별한 유형의 개인정보(민감 개인정보)”를 처리할 때 (Article 9) ② “프로파일링 등 완전히 자동화된 개인정보의 처리에 기반하여” 정보주체에 대한 결정을 내릴 때 (Article 22) ③ 개인정보의 해외 전송 시, 다른 전송 메커니즘이 존재하지 않는 상황에서 적절한 보호 수준을 제공하지 않는 국가로 개인정보를 전송하는 것을 승인할 때 (Article 49) Source: Opinion 15/2011 on the definition of consent, Adopted on 13 July 2011 by Article 29 Data Protection Working Party 참고) 명시적 동의의 요건 - GDPR은 위와 같이 3가지 경우 정보주체로부터 명시적 동의를 받도록 규정하고 있으나, ‘무엇이 명시적 동의인가?’에 대해 언급하지 않음 - Directive 8(2)(a)에 의하는 경우, 특별한 유형의 개인정보 처리 금지는 정보주체가 해당 개인정보 처리에 대해 ‘명시적 동의’를 제공한 경우 적용되지 않음. 이에 대해 Article 29WP는 동의의 정의에 대한 의견서를 통해 다음과 같은 설명을 제시하고 있음. “법률 용어로 사용되는 명시적 동의(explicit consent)는 명확한 동의(express consent)와 같은 의미를 갖는 것으로 이해된다… (중략)… 통상적으로, 명시적 또는 명확한 동의는 정보주체가 수기 서명과 함께 동의를 필기하여 제공하는 형태이다. 예를 들어, 컨트롤러가 개인정보를 수집하고 처리하는 사유를 명확 하게 기재한 동의 양식에 정보주체가 서명하는 경우 명시적 동의가 제공된 것이다. 동의는 전통적으로 서면의 형태(종이 또는 전자적)로 제공되었지만, 구 두에 의한 것도 가능하다…. (중략) ‘전자 건강 정보’에 대한 Article 29WP의 의견서에 의하면 옵트아웃은 ‘명시적(explicit)’에 해당하는 요건을 충족하지 못한 다.” “… 온라인 환경에서 명시적 동의는 전자 또는 디지털 서명을 통해 제공될 수 있다. 그러나, 맥락에 따라서는 클릭가능한 버튼이나, 동의를 나타내는 이메일, 또는 아이콘 클릭을 통해서도 제공 가능하다.” 56
  56. 56. Lawfulness of processing 아동의 동의 (Child’s Consent) (Art.8(1) – (3)) ① 아동에게 제공을 목적으로 하는 정보사회서비스(information society services directly to a child)와 관련하여 적법성 근거로 동의에 기반한 개인정보 처리를 할 때, 아동 개인정보의 처리가 합법적인 것으로 인정받기 위 해서는 해당 아동이 최소 16세가 되어야 함 ② 아동이 16세 미만(below the age of 16)인 경우, 해당 아동에 관해 부모의 책임을 보유한 자(parental responsibility)에 의한 동의가 제공 및 승인되는 경우에 한하여 개인정보의 처리가 합법적인 것으로 인정됨. 단, EU 회원국은 회원국 법령에 아동의 연령을 별도로 규정할 수 있으나, 이를 13세 미만으로 낮추어서는 안 됨. 컨트롤러는 부모의 책임을 보유한 자에 의해 동의가 제공 및 승인되는 경우, 이용 가능한 기술을 고려하 여 합리적인 노력을 통해 그러한 사실을 검증해야 함 Source: Article 8, Recital 38 & Getting Ready for the General Data Protection Regulation by Mason Jayes & Curran 참고) 아동 개인정보에 대한 특별한 보호 - 아동은 그들의 개인정보와 관련하여 특별한 보호의 대상이 됨. 이는 아동이 개인정보의 처리와 관련된 위험, 결과, 관련 보호조치, 정보주체의 권리 등을 명 확하게 인식하지 못할 여지가 있기 때문임. 특히, 마케팅, 성격의 형성 또는 이용자 프로파일링 등의 목적으로 개인정보를 이용하는 경우 특별한 보호가 적 용되며, 아동에게 제공되는 것을 목적으로 하는 서비스에서의 이용을 위해 아동 개인정보를 수집하는 경우에도 마찬가지임. 특히, 아동 개인정보 처리의 적 법 요건으로 정당한 이익(legitimate interests)을 제시하는 것은 상황에 비추어 제한될 가능성이 높음(Art.6(1)(f)) - 아동에게 직접적으로 제공되는 예방적 또는 상담 서비스(preventive or counselling services)의 맥락에서는 부모의 책임을 보유한 자의 동의가 반드시 요구 되지는 않음 - GDPR의 아동 연령제한 도입은 아동과 관련한 계약의 성립, 유효성, 효과 등에 대한 계약법상의 규칙에 영향을 미치진 않음 57
  57. 57. Lawfulness of processing Source: Age of consent in the GDPR: updated mapping of recent national guidance and proposals (Aug. 2017) by Better Internet for Kids 58 아동의 동의 (Child’s Consent) ③ 복수의 회원국을 대상으로 정보사회서비스(information society services)를 제공하는 사업자는, 회원국 법률 이 정하는 다양한 아동 연령 기준을 고려하여야 함. 만 16세 미만 아동에 대해 일괄 부모의 동의를 구하는 것 으로 아동의 동의관련 의무를 준수할 수 있을지는 차후 가이드를 확인해봐야 함. EU회원국의 다양한 아동 연령 기준 (as of Aug. 16, 2017)
  58. 58. Lawfulness of processing 동의 관련 ePrivacy Directive의 추가 요건 ① 전화, 이메일 또는 팩스로 마케팅 활동을 수행하는 경우 ePrivacy Directive는 추가적인 요건을 구비할 것을 요구함. 예를 들어, 이메일로 개인에게 다이렉트 마케팅을 하는 경우, 1) 개인의 동의를 획득한 경우 또는, 2) 소위 ‘유사 상품 및 서비스에 대한 예외(similar products and services exemption)’에 해당하는 ‘기존의 관계 (existing relationship)’가 형성되어 있어야 함 ② ePrivacy Directive는 동의와 관련한 사항을 Data Protection Directive의 내용을 준용하고 있어, 이는 자동적 으로 2018년 5월에 GDPR에 대한 준용으로 전환됨. 이에 따라 마케팅에 대한 동의 획득이 기존보다 어려워질 것으로 예상됨(GDPR의 동의 엄격성 때문) Source: The General Data Protection Regulation: A Survival Guide by Linklaters 59
  59. 59. GDPR-compliant consent overview ICO가 주목하는 GDPR Consent의 주요 변화 ① Unbundled: 동의 요청은 반드시 다른 서비스 이용 조건(약관)과는 구분되어야 함. 동의는 서비스 이용에 필 요하지 않은 경우를 제외하고, 서비스 가입의 선결 조건으로 제시되어서는 안됨 ② Active opt-in: 사전에 체크가 되어 있는 동의 상자는 유효하지 않음 – 체크가 되어 있지 않은 동의 상자를 사 용하거나, 또는 이와 유사한 ‘적극적인 옵트인 방식’을 제시해야 함. 예) 2개의 선택지가 동등한 시인성 (equivalent prominence)을 갖추어 제시됨 ③ Granular: 적절한 경우, 상이한 개인정보 처리 유형마다 분리된 세부적 동의 옵션을 제공해야 함 ④ Named: 개인정보를 수집하는 주체 또는 제공받는 제3자의 신원을 명확히 밝혀야 함. (Even precisely defined categories of third-party organisations will not be acceptable under the GDPR.) ⑤ Easy to withdraw: 정보주체에게 언제든지 동의를 철회할 권한을 가지고 있는 사실과, 철회하는 방법을 안 내해야 함. 동의의 철회는 동의의 제공과 동등한 수준으로 용이해야 함(동의 철회 메커니즘의 제공 필요). Source: GDPR: 10 examples of best practices UX for obtaining marketing consent (July, 2017) by Ben Davis @Econsultancy 60
  60. 60. GDPR-compliant consent examples (Unbundled) Source: GDPR: 10 examples of best practices UX for obtaining marketing consent (July, 2017) by Ben Davis @Econsultancy 61
  61. 61. GDPR-compliant consent examples (Granular) Source: GDPR: 10 examples of best practices UX for obtaining marketing consent (July, 2017) by Ben Davis @Econsultancy 62
  62. 62. GDPR-compliant consent examples (Named) Source: GDPR: 10 examples of best practices UX for obtaining marketing consent (July, 2017) by Ben Davis @Econsultancy 63
  63. 63. GDPR-compliant consent examples (Active Opt-in) Source: GDPR: 10 examples of best practices UX for obtaining marketing consent (July, 2017) by Ben Davis @Econsultancy 64
  64. 64. GDPR-compliant consent examples (Easy to Withdraw) Source: GDPR: 10 examples of best practices UX for obtaining marketing consent (July, 2017) by Ben Davis @Econsultancy 65
  65. 65. GDPR-compliant consent examples (Other Best Practice) Source: GDPR: 10 examples of best practices UX for obtaining marketing consent (July, 2017) by Ben Davis @Econsultancy 66
  66. 66. Lawfulness of processing 정보주체 식별이 요구되지 않는 처리 (Art.11(1) – (2)) ① 컨트롤러가 개인정보를 처리하는 목적에 있어 컨트롤러에 의한 정보주체의 식별이 요구되지 않거나, 앞으로 요구되지 않을 경우, 컨트롤러는 오직 GDPR을 준수하기 위한 목적만으로 정보주체를 식별하기 위하여 추가 적인 정보를 유지/취득/처리하지 않아도 됨 (shall not be obliged to) ② 위와 같은 상황에서 컨트롤러가 정보주체를 식별할 수 있는 위치(지위)에 있지 않음을 입증할 수 있다면, 가 능한 경우에는 정보주체에게 그와 같은 사실을 적절히 알려야 함. 또한, 이러한 경우 정보주체가 GDPR의 정 보주체 권리를 행사하기 위해 그의 식별을 가능하게 하는 추가적인 정보를 제공하지 않는 한, GDPR Article 15 - 20에 규정된 정보주체의 권리가 적용되지 않음 - 정보주체가 자신의 권리를 행사하기 위해 그의 식별을 가능하게 하는 추가 정보를 제공하는 경우, 컨트롤러는 이의 수취를 거절할 수 없음 (Recital 57) - 여기에서의 식별(identification)이란 컨트롤러가 제공하는 온라인 서비스에 정보주체가 로그인할 때 사용하는 것과 동일한 자격증명 정보(credentials) 를 활용하여 정보주체를 식별하는 (디지털 식별) 인증 메커니즘을 포함하는 개념임 (Recital 57) Source: Article 11, Recital 57 67
  67. 67. Lawfulness of processing 정당한 이익(legitimate interests) ① 컨트롤러 또는 제3자가 추구하는 ‘정당한 이익’을 요건으로 개인정보가 처리되는 경우 개인정보 처리의 적법 성 요건을 충족함. 단, 그와 같은 정당한 이익은 개인정보의 보호를 요구하는 정보주체의 이익 또는 근본적 권리와 자유보다 커야 함(not overridden). - 특히 정보주체가 아동인 경우, 위의 규정은 더욱 엄격히 적용되어야 함 (Art.6(1)(f)). 실무적으로, 아동과 관련한 개인정보 처리의 결정이 정당한 이익에 근거한 경우 1) 이를 유심히 문서화 해야 하며, 2) 그와 관련한 위험 평가가 수행되어야 함을 의미함 (bird&bird) - 또한, ‘정당한 이익’은 공공기관이 그들의 책무를 수행하는 것에 대한 적법성 근거로 사용될 수 없음 (Art.6(1)(f) 단서) ② 컨트롤러의 ‘정당한 이익’에 해당될 수 있는 사례는 아래와 같음 1) 다이렉트 마케팅 목적 또는 부정행위(사기) 예방을 위해 개인정보를 처리 (Recital 47) 2) 고객이나 임직원 정보 등 개인정보를 사업체 그룹 내에서 내부 행정처리 목적으로 전송 (Recital 48) 3) 전기통신네트워크에 대한 승인 없는 접속의 방지 및 전기통신시스템에 대한 침해의 중단 등 네트워크 및 정보 보안을 확보하기 위한 목적 (Recital 49) 4) 공공의 안전에 대한 위협이나 발생 가능한 범죄 행위를 관할 당국에 신고하기 위한 경우 (Recital 50) ③ 특정 개인정보 처리의 적법성 근거가 ‘정당한 이익’인 경우, 이는 정보주체에게 적절히 안내되어야 함 - Art.13(1)(d), Art14(2)(b) 등 정보주체에게 제공되어야 할 정보(소위 ‘privacy notice’)와 관련한 컨트롤러의 의무 및 정보주체의 알 권리에 기반 ④ 정보주체는 정당한 이익에 기반한 개인정보의 처리에 반대할 권리를 가짐. 이 때, 당해 처리를 계속 할 수 있 다는 ‘설득력 있는(compelling)’ 근거가 있다면 컨트롤러가 이를 제시해야 함 Source: Article 6, Recital 47 - 50 68
  68. 68. 69 4. Rights of the Data Subjects
  69. 69. Rights of the data subject - Overview 70 8 Rights of data subjects Information (Art. 13, 14) Access (Art. 15) Rectification (Art. 16) Erasure (Art. 17) Restriction of Processing (Art. 18) Data Portability (Art. 20) Object (Art 21) Automated Decision Making/Profiling (Art 22) 정보를 제공받을 권리 정보주체의 열람권자동화된 결정 및 프로파일링 관련 권리 반대할 권리 정정권 개인정보 이동권 삭제권(‘잊힐 권리’) 처리 제한권
  70. 70. Transparent info., comm., and modalities ‘정보주체의 권리에 기반한 요청’에 대응하는 방식 (Art.12) ① 컨트롤러는 ‘정보를 제공받을 권리’(Art.13, 14) + ‘정보주체의 권리’(Art.15-22) + ‘개인정보 침해 통지’(Art.34) 에서 언급된 정보를 정보주체에게 제공하기 위해 필요한 적절한 조치를 수행해야 함 (Art.12(1)) - 명확하고 쉬운 언어를 사용하여 간결하고, 투명하며, 이해할 수 있고, 쉽게 접근 가능한 형태로 제공해야 함 - 특히, 아동에게 제공되는 정보의 경우에는 더욱 그러함 (in particular for any information addressed specifically to a child) - 이와 같은 정보는 웹사이트를 통해 전자적 형태로 제공될 수 있으며, 적절할 경우 시각적 도구의 사용도 가능함 (Recital 58) ② 컨트롤러는 정보주체의 권리 행사를 용이하게(facilitate)해야 하며, 정보주체를 식별할 수 있는 위치에 있지 않다는 것을 입증하지 않는 이상 정보주체의 권리행사 요구를 거절해서는 안됨 (Art.12(2)) - 컨트롤러는 정보주체가 권리를 행사하기 용이하도록 하는 수단이나 방법(modalities)을 제공해야 함 (적용 가능한 경우엔 무료로) - 특히 개인정보가 전자적 수단에 의해 처리되는 경우, 컨트롤러는 전자적 수단으로 권리행사를 요청할 수 있도록 해야 함 (Recital 59) ③ 정보주체의 권리 요청을 접수한 경우, 부당한 지연 없이 요청 접수 1개월 이내에 컨트롤러가 취한 행동에 관 한 정보를 정보주체에게 제공해야 함. 요구의 난이도나 요청의 개수를 고려하여 2개월 추가 연장될 수 있음. 연장이 필요한 경우, 요청접수 1개월 이내에 지연 사유와 함께 연장사실을 정보주체에게 알려야 함. 정보주 체가 전자적 수단으로 요청을 하는 경우, 정보주체가 달리 요구하지 않는 이상 정보는 (가능하면) 전자적 수 단으로 제공되어야 함 (Art.12(3)) Source: Article 12, Recital 58 - 60 71
  71. 71. Transparent info., comm., and modalities ‘정보주체의 권리에 기반한 요청’에 대응하는 방식 (Art.12) ④ 컨트롤러가 정보주체의 요청에 대응하지 않으려면, 컨트롤러는 지연 없이 요청 접수 1개월 이내에 1) 요청에 대응하지 않는 사유, 2) 감독 기구에 이의(complaint) 제기가 가능하다는 점, 3) 사법적 구제를 구할 수 있다 는 점을 정보주체에게 알려야 함 (Art.12(4)) - 명확하고 쉬운 언어를 사용하여 간결하고, 투명하며, 이해할 수 있고, 쉽게 접근 가능한 형태로 제공해야 함 - 특히, 아동에게 제공되는 정보의 경우에는 더욱 그러함 (in particular for any information addressed specifically to a child) - 이와 같은 정보는 웹사이트를 통해 전자적 형태로 제공될 수 있으며, 적절할 경우 시각적 도구의 사용도 가능함 (Recital 58) ⑤ ‘정보를 제공받을 권리’(Art.13, 14) + ‘정보주체의 권리’(Art.15-22) + ‘개인정보 침해 통지’(Art.34)에 따라 제 공되는 정보는 무료여야 함. 정보주체의 요청이 명백히 근거가 없거나 과도한 경우(특히, 반복적 성격으로), 컨트롤러는 1) 처리 및 대응 비용을 고려하여 합리적인 요금을 부과하거나, 2) 요청을 거부할 수 있음. 이 경 우, 컨트롤러는 그러한 요청이 명백히 근거가 없다거나 과도하단 점을 입증해야 할 책임을 부담함 (Art.12(5)) - 컨트롤러는 정보주체가 권리를 행사하기 용이하도록 하는 수단이나 방법(modalities)을 제공해야 함 (적용 가능한 경우엔 무료로) - 특히 개인정보가 전자적 수단에 의해 처리되는 경우, 컨트롤러는 전자적 수단으로 권리행사를 요청할 수 있도록 해야 함 (Recital 59) ⑥ (Article 11<Processing which does not require identification>을 침해하지 않고), 정보주체의 권리 요청을 하는 자연인의 신원에 대해 컨트롤러가 합리적인 의심(reasonable doubts)을 갖는 경우, 컨트롤러는 정보주체의 신원을 확 인하는데 필요한 추가 정보의 제공을 요청할 수 있음 (Art.12(6)) Source: Article 12, Recital 58 - 60 72
  72. 72. Transparent info., comm., and modalities ‘정보주체의 권리에 기반한 요청’에 대응하는 방식 (Art.12) ⑦ ‘정보를 제공받을 권리’(Art.13-14)에 따라 정보주체에게 제공되는 정보는 의도된 개인정보의 처리에 대한 의 미 있는 개관(meaningful overview)을 제공하기 위해 표준화된 아이콘과 함께 제공될 수 있음. 이는 눈에 잘 띄고, 이해하기 쉬워야 하며, 가독성이 높은 방식으로 제공되어야 함. 또한, 아이콘이 전자적 방식으로 제공되 는 경우 기계판독이 가능(machine-readable)해야 함 (Art.12(7)) ⑧ 유럽연합 집행위원회는 아이콘에 의해 제시될 수 있는 정보와 표준화된 아이콘을 제공하기 위한 절차를 결 정하기 위한 목적으로 Article 92에 따라 위임법률을 채택할 권한을 부여 받음 (Art.12(8)) Source: Article 12, Recital 58 - 60 73
  73. 73. Right to be informed 정보를 제공받을 권리 (Art.13 – 14) ① 개인정보 처리의 공정성, 투명성 원칙에 따라 정보주체는 개인정보 처리활동의 존재와 목적에 대해 정보를 제공받을 권리를 가지며, 컨트롤러는 개인정보가 처리되는 상황과 맥락에 따라 이런 원칙을 확립하기 위해 필요한 정보를 제공해야 함. 특히, 프로파일링의 존재와 그 결과에 대한 정보는 반드시 제공되어야 함 ② 정보주체로부터 개인정보를 직접 수집하는 과정에서 정보주체가 개인정보를 제공하지 않는 경우, 정보주체 는 개인정보를 제공해야 하는 의무가 존재하는지 그리고 그 결과는 무엇인지에 대한 정보를 제공받아야 함 - 이 정보는 표준화된 아이콘과 함께 제공될 수 있으며, 전자적으로 제시될 때엔 기계 판독이 가능해야 함 ③ 컨트롤러가 당초 수집한 목적 외로 개인정보를 추가 처리하려는 경우, 추가 처리 전에 정보주체에게 추가 처 리의 목적 및 여타 필요한 정보를 제공해야 함. 또한, 개인정보 수집 출처가 다수여서 정보주체에게 개인정보 수집 출처를 알려줄 수 없는 경우, 일반적인 정보(general information)가 제공되어야 함 ④ 1) 정보주체가 이미 정보를 보유하고 있거나, 2) 법에 개인정보의 기록이나 제공이 규정되어 있거나, 또는 3) 정보주체에게 개인정보를 제공하는 것이 불가능한 것으로 입증되거나 또는 불합리한 수준의 노력을 요할 때, 컨트롤러는 정보제공 의무를 부담하지 않음 - 3)의 경우 정보주체의 수, 개인정보의 연한(age)과 적용된 적절한 보호조치 등이 고려됨 Source: Recital 60 - 62 74
  • lirapark11

    Jul. 3, 2018
  • gwangwhoonjang

    May. 31, 2018
  • ssuserc60652

    May. 23, 2018
  • MinsuKim15

    May. 10, 2018
  • SooHyunKong

    May. 10, 2018
  • ezgoin

    Apr. 5, 2018
  • hongminpark9

    Mar. 1, 2018
  • kdlove77

    Feb. 8, 2018
  • jaehojang2

    Jan. 5, 2018
  • bluemusso

    Oct. 13, 2017
  • YoungilKim28

    Oct. 10, 2017
  • SohyunPark54

    Sep. 28, 2017
  • ssusera98f73

    Sep. 26, 2017
  • johahseong

    Sep. 26, 2017

유럽연합 개인정보보호 일반법(GDPR, General Data Protection Law)을 이해하기 위한 가이드 문서입니다. Bird&Bird, Linklaters, ICO, Article 29 Working Party Guideline 등 다양한 GDPR 자료를 기초로 작성하였습니다.

Views

Total views

4,060

On Slideshare

0

From embeds

0

Number of embeds

0

Actions

Downloads

277

Shares

0

Comments

0

Likes

14

×