표제지
목차
01. 개요 14
1. GDPR의 제정 의미와 효력 16
1.1. GDPR 제정 목적과 의의 16
1.2. GDPR의 구성 17
1.3. GDPR의 법적 효력 17
2. GDPR 시행에 따라 유의해야 할 주요 사항 19
2.1. EU 역내 및 역외 적용 19
2.2. 개인정보 정의와 적용대상 범위 19
2.3. 개인정보 기본 처리 원칙 20
2.4. 동의 요건의 강화 및 아동 개인정보 처리에 대한 동의 원칙 20
2.5. 개인정보의 합법 처리 기준 20
2.6. One Stop Shop 메커니즘의 도입 21
2.7. 프로세서에 대한 적용 21
2.8. 정보주체의 권리 22
2.9. 책임성과 거버넌스 22
2.10. DPO 지정 의무 22
2.11. 개인정보 역외 이전 메커니즘 23
2.12. 개인정보 침해 시 통지의무 23
2.13. 제재 24
2.14. 인증제도 및 인증기관에 대한 인정 24
3. GDPR 내 주요 용어 25
3.1. 주요 용어의 표기 25
3.2. 주요 용어의 정의 26
4. GDPR의 적용 대상과 범위 36
4.1. 적용 대상(제1조) 36
4.2. 적용 범위 39
4.3. 적용 예외(National derogations)(제2조제2항) 41
02. 개인정보 처리기준 42
1. 개인정보 처리 원칙 44
1.1. 합법성ㆍ공정성ㆍ투명성의 원칙 45
1.2. 목적 제한의 원칙 47
1.3. 개인정보 최소처리 원칙 51
1.4. 정확성 원칙 55
1.5. 보유기간 제한의 원칙 61
1.6. 무결성ㆍ기밀성의 원칙 67
1.7. 책임성의 원칙 69
2. 처리의 합법성 72
2.1. 합법처리의 근거 73
2.2. 동의 79
2.3. 계약 81
2.4. 법적 의무 준수 88
2.5. 중대한 이익 91
2.6. 공적 업무 수행 93
2.7. 적법한 이익 추구 96
3. 동의 102
3.1. 동의의 정의 103
3.2. 동의의 유효 요건 103
3.3. 명시적 동의가 필요한 경우 107
3.4. 동의의 철회 108
4. 아동 개인정보 110
4.1. 개요 110
4.2. 아동에게 제공되는 온라인 서비스 111
4.3. 친권자 동의 111
4.4. 친권자의 동의를 확인하는 방법 113
4.5. 아동에 대한 통지 114
5. 민감정보 및 범죄정보 115
5.1. 민감정보의 처리 제한 115
5.2. 범죄정보의 처리 금지 117
03. 정보주체의 권리 보장 119
1. 개요 121
2. 정보를 제공받을 권리(Right to be informed) 122
2.1. 주요 내용 122
2.2. 개인정보의 수집 시 정보 제공 의무 123
2.3. 정보주체의 요청 시 정보제공 의무 126
2.4. 정보 제공 방법 127
2.5. 추가 처리 130
2.6. 적용 예외 131
2.7. 최근 과징금 사례 131
3. 정보주체의 접근권(Right of access) 133
3.1. 주요 내용 133
3.2. 국외 이전 시 134
3.3. 접근 요구 시 조치 사항 134
4. 정정권(Right to rectification) 136
4.1. 주요 내용 136
4.2. 정정 요구 시 조치 사항 137
4.3. 정정 요구를 거절할 수 있는 사유 137
5. 삭제권('잊힐 권리')[Right to erasure('Right to be forgotten')] 139
5.1. 주요 내용 139
5.2. 개인정보가 공개된 경우 141
5.3. 삭제 거부가 가능한 경우 141
5.4. 최근 사례 141
6. 처리 제한권(Right to restriction of processing) 143
6.1. 주요 내용 143
6.2. 처리가 가능한 경우 144
6.3. 처리 제한 해제 시 144
7. 개인정보 이동권(Right to data portability) 146
7.1. 주요 내용 146
7.2. 이동권 요구 시 조치 사항 148
8. 반대권(Right to object) 150
8.1. 주요 내용 150
8.2. 반대권 요구 시 조치 사항 151
8.3. 온라인 서비스의 경우: 자동화된 방식으로 이의 제기가 가능해야 함 152
9. 프로파일링을 포함한 자동화된 의사결정(Automated individual decision-making, including profiling) 153
9.1. 프로파일링 및 자동화된 의사결정의 개념 153
9.2. 정보 주체의 권리 155
9.3. 적용 예외 156
9.4. 자동화된 의사결정 수행 시 조치 사항 157
04. 기업의 책임성 강화 162
1. 개요 164
2. 개인정보 처리 활동의 기록 165
2.1. 처리 활동 기록이 필요한 경우 166
2.2. 처리 활동 기록 대상 166
3. Data protection by design and by default 168
3.1. 'Data protection by design and by default'의 의미 168
4. 개인정보 영향평가 171
4.1. 개요 171
4.2. 개인정보 영향평가 대상 172
4.3. 개인정보 영향평가 수행 절차 174
4.4. 개인정보 영향평가 관련 내ㆍ외부 협의 체계 175
5. DPO(Data Protection Officer) 지정 180
5.1. DPO 지정 181
5.2. DPO의 자질 184
5.3. DPO의 업무 185
5.4. DPO의 지위 186
5.5. 고용주(Employer)의 의무 187
5.6. DPO의 책임 여부 187
6. 행동규약과 인증 188
6.1. 행동규약과 인증제도 권장 188
6.2. 행동규약의 작성 190
6.3. 행동규약 준수에 대한 모니터링 191
6.4. 인증제도(제42조) 191
6.5. 인증기관 193
05. 개인정보의 역외 이전 202
1. 개인정보 역외 이전에 관한 총칙(제5장) 204
2. EU 역외로 개인정보 이전이 가능한 경우(제45조~제47조) 208
2.1. 적정성 결정에 따른 이전(Transfer on the basis of an adequacy decision) 209
2.2. 적절한 보호조치(Appropriate safeguards)에 의한 이전 210
3. EU 역외로 개인정보 이전이 가능한 예외적인 특정 상황(제48조 및 제49조) 213
06. 개인정보 침해 발생 시 조치 사항 222
1. 개인정보 침해 224
1.1. 개인정보 침해의 개념 224
1.2. 개인정보 침해 사고의 인지 226
2. 개인정보 침해 통지 228
2.1. 감독기구에 대한 통지 의무 228
2.2. 정보주체에 대한 통지 의무 230
2.3. 위반 시 과징금 232
07. 피해 구제 및 제재 238
1. 구제수단 240
1.1. 감독기구에 민원을 제기할 권리 240
1.2. 감독기구의 결정에 관한 사법적 구제 수단 240
1.3. 컨트롤러 또는 프로세서에 대한 효과적인 사법적 구제 수단에 관한 권리 241
2. 손해배상청구권 및 책임 242
2.1. 컨트롤러와 프로세서의 손해배상 의무 242
2.2. 프로세서의 손해배상 의무 243
2.3. 책임 면제 243
3. 과징금 244
3.1. 원칙 244
3.2. 최대 과징금 244
4. 벌칙 247
08. 참고자료 254
1. GDPR 적용 대상 국가의 감독기구 현황 256
2. 주요 질의 및 답변(Q&A) 262
3. 사업자를 위한 EU 집행위원회의 7단계 체크리스트 272
4. ICO 컨트롤러-컨트롤러간 SCC(표준개인정보보호조항) 번역 275
5. 해외 GDPR 관련 가이드 발간 현황 284
판권기 292
표 1. GDPR의 구성 체계 17
표 2. 개인정보와 개인정보가 아닌 정보 27
표 3. EU 회원국의 친권자 동의가 필요한 아동 연령 111
표 4. 정보주체의 권리 강화에 대한 내용 및 관련 주요 조문 121
표 5. 기업의 책임성 강화와 관련한 내용 및 조문 164
표 6. 개인정보 처리 활동의 기록 내용 167
표 7. ICO 개인정보 영향평가 양식 예시 179
표 8. EU 적정성 결정 절차 210
표 9. 표준 개인정보보호 조항의 종류 211
표 10. 개인정보 침해에 대한 감독기구 통지 필요 여부 판단 예시 235
표 11. 개인정보 침해에 대한 정보주체 통지 불필요 예시 236
표 12. 주요 과징금 부과 사례 246
그림 1. EU의 법체계 18
그림 2. ICO 개인정보 영향평가 절차 178
그림 3. DPO 지정 의사결정 절차 183
그림 4. DPO 지정 시 고려사항 194
그림 5. 개인정보 처리 시 높은 위험의 판단 기준 198
그림 6. 개인정보 역외 이전 메커니즘 205
그림 7. 개인정보 역외 이전 흐름도 206
그림 8. 개인정보 침해 통지 흐름도 233