표제지
목차
Ⅰ. 개요 10
1. 가이드북 발간 배경과 목적 11
1.1. 발간 배경 11
1.2. 발간 목적 12
2. GDPR 시행에 따른 주요 변화 13
2.1. 적용 범위의 확립 13
2.2. 개인정보 정의의 확립 13
2.3. 개인정보 기본 처리 원칙의 확립 14
2.4. 아동 개인정보 동의 원칙의 확립 14
2.5. 적법 처리 기준의 상향 14
2.6. one-stop-shop 메커니즘의 도입 15
2.7. 프로세서에게도 다수의 규정이 직접 적용 15
2.8. 정보주체의 권리 확대 16
2.9. 책임성과 거버넌스 강화 16
2.10. DPO(Data Protection Officer) 의무 지정 17
2.11. 개인정보 역외 이전 메커니즘 확립 17
2.12. 개인정보 침해 통지 제도의 확대 17
2.13. 제재 규정의 강화 18
2.14. 인증제도 및 인증기관에 대한 인정 규정 18
3. GDPR 내 주요 용어 20
3.1. 주요 용어의 표기 20
3.2. 주요 용어의 정의(제4조) 21
Ⅱ. GDPR 인식 제고와 준비 32
1. 제정 목적과 법적 성격 33
1.1. 제정 목적과 의의 33
1.2. 법적 효력 33
1.3. GDPR 시행이 미치는 영향 35
2. GDPR의 구성 체계 36
3. 적용 대상과 범위 37
3.1. 적용 대상(제1조) 37
3.2. 적용 범위 38
3.3. 적용 예외(National derogations)(제2조제2항) 39
Ⅲ. 주요 원칙 41
1. 개인정보 처리 원칙(Principles)(제5조) 42
1.1. 적법성ㆍ공정성ㆍ투명성의 원칙(Lawfulness, fairness and transparency) 42
1.2. 목적 제한의 원칙(Purpose limitation) 42
1.3. 개인정보 처리의 최소화(Data minimisation) 43
1.4. 정확성의 원칙(Accuracy) 43
1.5. 보유 기간 제한의 원칙(Storage limitation) 43
1.6. 무결성과 기밀성의 원칙(Integrity and confidentiality) 43
1.7. 책임성의 원칙(Accountability) 44
2. 처리의 적법성(Lawfulness of processing)(제6조) 45
3. 동의(Consent)(제7조) 47
3.1. 동의의 정의 47
3.2. 동의의 유효 조건(Valid consent) 48
3.3. 명시적 동의(Explicit consent)가 필요한 경우 52
3.4. 동의의 철회(Withdrawal of consent) 53
4. 아동 개인정보(Children's personal data)(제8조) 55
4.1. 아동에 대한 특별한 보호 필요성 55
4.2. 아동에게 제공되는 온라인 서비스 및 친권자 동의 55
4.3. 아동에 대한 통지 57
5. 민감정보 및 범죄행위 관련 정보(Special categories of personal data& Personal data relating to criminal convictions and offences)(제9, 10조) 59
5.1. 민감정보 처리 금지의 원칙(제9조제1항) 59
5.2. 민감정보 처리가 가능한 경우(제9조제2항) 59
5.3. 유전정보, 생체 인식 정보 또는 의료 정보 60
5.4. 범죄경력(전과) 및 범죄행위 관련 정보(Criminal convictions and offences)(제10조) 61
Ⅳ. 컨트롤러ㆍ프로세서의 역할 66
1. 컨트롤러(Controller)(제24, 26조) 67
1.1. 컨트롤러의 책임(Responsibility)(제24조) 67
1.2. 공동 컨트롤러(Joint controller)(제26조) 67
2. 대리인(Representatives)(제27조) 69
2.1. 대리인 서면 지정 의무(제27조제1항) 69
2.2. 적용 예외(제2항) 69
2.3. 대리인의 설립(제3항) 70
2.4. 대리인의 권한(제4항) 70
3. 프로세서(Processor)(제28, 29조) 71
3.1. (컨트롤러의 서면 승인을 통한) 프로세서의 역할(제28조제1~2항) 71
3.2. 프로세서의 의무(제28조제3항) 71
3.3. 프로세서 의무 위반(제28조제10항) 72
3.4. 프로세서가 컨트롤러를 대신하여 다른 프로세서와 함께 일하는 경우(제28조제4항) 73
3.5. 컨트롤러ㆍ프로세서의 권한에 따른 처리(제29조) 73
Ⅴ. 정보주체 권리 강화 75
1. 개요 76
2. 정보를 제공받을 권리(Right to be informed) 77
2.1. 주요 내용 77
2.2. 의무적으로 제공하여야 하는 정보(제13~14조) 77
2.3. 정보주체가 요청한 정보(Request of data subject)(제12조제3항) 78
2.4. 정보 제공 방법 79
2.5. 추가 처리(Further processing) 80
3. 정보주체의 열람권(Right of access by the data subject) 81
3.1. 주요 내용(제15조제1항) 81
3.2. 열람 요구 시 조치 사항(제15조제3항) 82
4. 정정권(Right to rectification) 84
4.1. 주요 내용(제16조) 84
4.2. 정정 요구 시 조치 사항 84
5. 삭제권('잊힐 권리')[Right to erasure('Right to be forgotten')] 86
5.1. 주요 내용(제17조제1항) 86
5.2. 삭제 거부가 가능한 경우(제17조제3항) 87
5.3. 공개된 정보(제17조제2항) 87
6. 처리 제한권(Right to restriction of processing) 88
6.1. 주요 내용(제18조) 88
6.2. 처리가 가능한 경우 89
6.3. 처리 제한 해제 시 89
7. 개인정보 이동권(Right to data portability) 91
7.1. 주요 내용(제20조제1~2항) 91
7.2. 이동권 요구 시 조치 사항 91
8. 반대권(Right to object) 94
8.1. 주요 내용(제21조) 94
8.2. 반대권 요구 시 조치 사항 94
8.3. 온라인 서비스의 경우: 자동화된 방식으로 이의 제기가 가능해야 함 95
9. 프로파일링을 포함한 자동화된 의사결정(Automated individual decision making, including profiling) 97
9.1. 주요 내용 97
9.2. 적용 예외(제22조제2항) 99
9.3. 자동화된 의사결정 수행 시 조치 사항 100
Ⅵ. 기업의 책임성 강화 105
1. 개요 106
2. 개인정보 처리 활동의 기록(Records of processing activities) 107
2.1. 처리 활동 기록이 필요한 경우(제30조제5항) 107
2.2. 문서화 내용(제30조제1~2항) 108
3. Data protection by design and by default 109
4. 개인정보 영향평가(Data protection impact assessment) 111
4.1. 일반적으로 개인정보 영향평가가 필요한 경우(제35조제1항) 111
4.2. 개인정보 영향평가를 의무적으로 수행하여야 하는 경우(제35조제3항) 112
4.3. 개인정보 영향평가 포함 내용(제35조제7항) 112
4.4. 개인정보 영향평가의 수행 시기 113
4.5. 영향평가 결과의 공개 113
4.6. DPO와 협의가 필요한 경우 114
4.7. 행동규약의 준수 114
4.8. 감독기구와 사전협의가 필요한 경우(제36조) 114
5. DPO(Data Protection Officer) 지정 117
5.1. DPO 지정 117
5.2. DPO의 자질(제37조제5항) 119
5.3. DPO의 업무(제39조) 119
5.4. DPO의 지위(제38조) 120
5.5. 고용주(employer)의 의무 120
5.6. DPO의 책임 여부 121
6. 행동규약과 인증(Codes of conduct and certification) 122
6.1. 행동규약과 인증제도 권장 122
6.2. 행동규약의 작성(제40조) 122
6.3. 행동규약 준수에 대한 모니터링(제41조) 123
6.4. 인증제도(제42조) 124
6.5. 인증기관(제43조) 124
Ⅶ. 개인정보 역외 이전 134
1. 개인정보 역외 이전(Transfer of personal data to third countries or international organizations ) 135
1.1. 개인정보 역외 이전에 관한 총칙 135
1.2. EU 밖으로 개인정보 이전이 가능한 경우 136
1.3. 특정 상황에 대한 예외 138
Ⅷ. 개인정보 침해 발생 시 조치 사항 147
1. 개인정보 침해(Personal data breach) 148
1.1. 개인정보 침해의 개념 148
1.2. 개인정보 침해의 유형 148
1.3. 개인정보 침해의 위험성 149
1.4. 개인정보 침해의 인지 149
2. 개인정보 침해 통지(Data breach notification) 151
2.1. 감독기구에 대한 통지 의무(제33조) 151
2.2. 정보주체에 대한 통지 의무(제34조) 153
2.3. 위반 시 과징금 154
Ⅸ. 피해 구제 및 제재 규정 159
1. 구제 제도(Remedies)(제77~79조) 160
1.1. 감독기구에 민원을 제기할 권리(Right to lodge a complaint with a supervisory authority)(제77조) 160
1.2. 감독기구의 결정에 관한 사법 구제(Judicial remedies against decisions of supervisory authorities)(제78조) 160
1.3. 컨트롤러 또는 프로세서에 대한 유효한 사법 구제권(Right to an effective judicial remedy against a controller or processor)(제79조) 161
2. 손해배상권 및 책임(Right to compensation and liability)(제82조) 162
2.1. 컨트롤러와 프로세서의 손해배상 의무 162
2.2. 프로세서의 손해배상 의무 163
2.3. 책임 면제 163
3. 과징금(Administrative fines)(제83조) 164
3.1. 원칙 164
3.2. 최대 과징금 164
4. 벌칙(Penalties)(제84조) 166
Ⅹ. 참고 자료 172
1. GDPR 적용 대상 국가의 감독기구 현황 173
2. 주요 질의 및 답변(Q&A) 178
3. 사업자를 위한 EU 집행위원회의 7단계 체크리스트 186
판권기 192
[표 1] 제29조 작업반 발표 보고서 12
[표 2] 개인정보와 개인정보가 아닌 정보 22
[표 3] GDPR의 구성 체계 36
[표 4] EU 회원국의 친권자 동의가 필요한 아동 연령 56
[표 5] 정보주체의 권리 강화에 대한 내용 및 관련 주요 조문 76
[표 6] 기업의 책임성 강화와 관련한 내용 및 조문 106
[표 7] 개인정보 처리 활동의 기록 내용 108
[표 8] 적정성 평가 절차 137
[표 9] 개인정보 침해 유형과 사례 149
[표 10] 개인정보 침해에 대한 감독기구 통지 필요 여부 판단 예시 157
[표 11] 개인정보 침해에 대한 정보주체 통지 불필요 예시 157
[그림 1] EU의 법 체계 34
[그림 2] GDPR의 개인정보 영향평가 수행 단계 흐름도 115
[그림 3] DPO 지정 시 고려사항 126
[그림 4] 개인정보 처리 시 높은 위험의 판단 기준 130
[그림 5] 개인정보 역외 이전 메커니즘 136
[그림 6] 개인정보 역외 이전 흐름도 140
[그림 7] 개인정보 침해 통지 흐름도 155