보안 규정

GDPR이란 무엇입니까?

EU의 개인정보보호 규정(GDPR)

현재까지 가장 종합적인 데이터 개인정보보호 규정인 GDPR은 조직의 본사 위치에 관계없이 EU 시민의 개인 데이터를 처리하는 조직에 중대한 과제를 제시합니다.

2018년 5월부터 시행되는 EU의 개인정보보호 규정(GDPR)은 개인 데이터 보호를 개선하고 데이터 침해에 대한 조직의 책임을 강화하기 위해 고안되었습니다. 잠재적 벌금이 전 세계 매출의 최대 4% 또는 2천만 유로(둘 중 더 높은 금액)나 되는 개인정보보호 규정은 분명 강력하고 효과적입니다. 조직이 어디에 있든 EU 거주자의 개인 데이터를 처리하거나 제어하는 경우 개인정보보호 규정을 준수해야 합니다. 그렇지 않으면 상당한 벌금이 부과되며 영향을 받은 당사자에게 데이터 침해 사실을 알려야 합니다. 개인정보보호 규정 준수에 대해 자세히 알아보십시오.

GDPR은 광범위하며 다음과 같은 장과 조항을 포함합니다.

1장: 일반 조항

제1조: 주제 및 목표
제2조: 자료 범위 제3조: 영토 범위 제4조: 정의

2장: 원칙

제5조: 개인 데이터 처리 관련 원칙
제6조: 처리의 합법성
제7조: 동의 조건
제8조: 정보 사회 서비스 관련 아동의 동의에 적용되는 조건
제9조: 특수 범주의 개인 데이터 처리
제10조: 유죄 판결 및 범죄 관련 데이터 처리
제11조: 식별이 필요 없는 처리

3장: 데이터 주체의 권리

섹션 1: 투명성 및 양식

제12조: 데이터 주체의 권리 행사를 위한 투명한 정보, 커뮤니케이션 및 양식
섹션 2: 정보 및 데이터 액세스
제13조: 데이터 주체로부터 개인 데이터를 수집하는 경우 제공해야 하는 정보
제14조: 데이터 주체로부터 개인 데이터를 얻지 못한 경우 제공해야 하는 정보
제15조: 데이터 주체의 액세스 권리

섹션 3: 수정 및 삭제

제16조: 정정 요청 권리
제17조: 삭제 요청 권리('잊힐 권리')
제18조: 처리 제한 요청 권리
제19조: 개인정보의 정정 또는 삭제 또는 처리 제한에 관한 통지 의무
제20조: 데이터 이동 요청 권리

섹션 4: 거부할 권리 및 자동화된 개별 의사 결정

제21조: 거부 요청 권리
제22조: 자동화된 개별 의사 결정(프로파일링 포함)

섹션 5: 제한 사항

제23조: 제한 사항

4장: 통제자 및 처리자

섹션 1: 일반 의무

제24조: 데이터 통제자의 책임
제25조: 설계에 따른 기본 데이터 보호
제26조: 공동 데이터 통제자
제27조: 연합에 구축되지 않은 데이터 통제자 대표
제28조: 프로세서
제29조: 통제자 또는 처리자의 권한에 따른 처리
제30조: 처리 활동 기록
제31조: 감독 기관과의 협력

섹션 2: 개인 데이터 보안

제32조: 처리 보안
제33조: 감독 기관에 데이터 침해 통지
제34조: 개인 데이터 침해에 대한 데이터 주체와의 커뮤니케이션

섹션 3: 데이터 보호 영향 평가 및 사전 협의

제35조: 데이터 보호 영향 평가
제36조: 사전 협의

섹션 4: 데이터 보호 책임자

제37조: 데이터 보호 책임자의 지정
제38조: 데이터 보호 책임자의 지위
제39조: 데이터 보호 책임자의 임무

섹션 5: 행동 강령 및 인증

제40조: 행동 강령
제41조: 승인된 행동 강령 모니터링
제42조: 인증
제43조: 인증 기관

5장: 국제기구의 제3국으로 개인 데이터 이전

제44조: 이전에 대한 일반 원칙
제45조: 타당성 결정의 근거 이전
제46조: 적절한 보호 조치에 따른 이전
제47조: 구속력 있는 기업 규칙
제48조: 연합법에 의해 승인되지 않는 이전 또는 공개
제49조: 특정 상황에 대한 부분적 수정
제50조: 개인 데이터 보호를 위한 국제 협력

6장: 독립 감독 기관

섹션 1: 독립 상태

제51조: 감독 기관
제52조: 독립
제53조: 감독 기관 구성원에 대한 일반 조건
제54조: 감독 기관 설립에 관한 규칙

섹션 2: 역량, 작업 및 권한

제55조: 권한
제56조: 선임 감독 기관의 권한
제57조: 임무
제58조: 권력
제59조: 활동 보고서

7장: 협력 및 일관성

섹션 1: 협력

제60조: 선임 감독 기관과 관련된 기타 감독 기관 간의 협력
제61조: 상호 지원
제62조: 감독 기관의 공동 운영

섹션 2: 일관성

제63조: 일관성 메커니즘
제64조: 이사회 의견
제65조: 이사회의 분쟁 해결
제66조: 긴급 절차
제67조: 정보 교환

섹션 3: 유럽 데이터 보호 위원회

제68조: 유럽 데이터 보호 위원회
제69조: 독립
제70조: 이사회의 임무
제71조: 보고서
제72조: 절차
제73조: 의장
제74조: 의장의 임무
제75조: 사무국
제76조: 기밀성

8장: 구제, 책임 및 제재

제77조: 감독 기관에 제소할 권리
제78조: 감독 기관에 대한 효과적인 사법 구제를 받을 권리
제79조: 통제자 또는 처리자에 대해 효과적인 사법 구제를 받을 권리
제80조: 데이터 주체의 진정
제81조: 절차의 중단
제82조: 보상 및 책임에 대한 권리
제83조: 행정 벌금 부과에 대한 일반 조건
제84조: 처벌

9장: 특정 데이터 처리 상황 관련 조항

제85조: 표현 및 정보의 자유 및 처리
제86조: 공식 문서 처리 및 공개 액세스
제87조: 주민등록번호 처리
제88조: 고용 맥락에서의 처리
제89조: 공익, 과학적 또는 역사적 연구 목적 또는 통계적 목적의 보관 및 처리와 관련된 보호 및 부분적 수정
제90조: 비밀의 의무
제91조: 교회 및 종교 단체의 기존 데이터 보호 규칙

10장: 위임법 및 시행법

제92조: 위임의 행사
제93조: 위원회 절차

11장: 최종 조항

제94조: 지침 95/46/EC 폐지
제95조: 지침 2002/58/EC와의 관계
제96조: 이전에 체결된 계약과의 관계
제97조: 위원회 보고서
제98조: 데이터 보호에 대한 기타 조합법 검토
제99조: 항목 도입 강제 및 적용

제32조의 주요 조항

GDPR의 주요 조항 중 하나인 제32조는 다음을 요구합니다.

a. 개인 데이터의 익명화 및 암호화, b. 처리 시스템 및 서비스의 지속적인 기밀성, 무결성, 가용성 및 복원력을 보장하는 능력, c. 물리적 또는 기술적 사고 발생 시 개인 데이터에 대한 가용성 및 액세스를 적시에 복원할 수 있는 능력, d. 데이터 처리 보안을 보장하기 위한 기술적 및 조직적 조치의 효과를 정기적으로 테스트 및 평가하는 프로세스입니다.

제34조의 주요 조항

규정 제34조에는 데이터 침해 시 주체에게 통보하지 않기 위해 조직이 취해야 할 조치가 자세하게 명시되어 있습니다.
개인 데이터 침해로 인해 자연인의 권리와 자유에 큰 위험이 발생할 수 있는 경우, 데이터 통제자는 개인 데이터 침해 사실을 지나친 지체 없이 데이터 주체에게 알려야 합니다.
본 조항 제1항에 언급된 데이터 주체와의 커뮤니케이션에서는 개인 데이터 침해의 성격을 명확하고 알기 쉽게 설명하고 있습니다.
다음 각 호의 어느 하나라도 해당하는 경우에는 제1항에 언급된 데이터 주체와의 커뮤니케이션이 요구되지 않습니다.

a. 정보 통제자는 적절한 기술적 및 조직적 보호 조치를 구현했으며, 이러한 조치는 개인 데이터 침해로 인해 영향을 받는 개인 데이터, 특히 암호화와 같이 개인 데이터에 액세스할 권한이 없는 사람이 개인 데이터를 인식하지 못하게 만드는 조치가 적용되었습니다. b. 정보 통제자는 제1항에 언급된 데이터 주체의 권리 및 자유에 더 이상 큰 위험이 발생하지 않도록 보장하는 후속 조치를 취했습니다. c. 필요 이상의 노력이 수반됩니다. 이러한 경우, 대신 데이터 주체에게 동등하게 효과적인 방식으로 정보를 제공하는 공개적인 커뮤니케이션 또는 유사한 조치가 있어야 합니다.