GDPR이란? 개인정보보호법과의 비교 및 일본 기업이 인식해야 할 포인트 설명

EU 지역 내에서 사업을 전개할 때는 GDPR(일반 데이터 보호 규정)에 대해 포괄적으로 알고 있어야 합니다. EU 지역 내에 거점을 두지 않은 일본 기업에게도 GDPR이 적용될 수 있습니다. GDPR 및 개인정보 보호법에 대한 기초 지식을 습득하고, 적절한 데이터 관리를 실시합시다.

이 글에서는 GDPR에 대해, 일본의 개인정보 보호법과의 비교 및 일본 기업이 유의해야 할 포인트에 대해 설명합니다. “데이터 보호에 관한 규정을 변경할 필요가 있는지 검토하고 있는”, “EU로 사업을 전개하기 위해 대비해야 할 법률을 알고 싶은” 법무 담당자분들은 꼭 참고하시기 바랍니다.

GDPR(일반 데이터 보호 규정)이란

‘GDPR(General Data Protection Regulation)’은 일본에서 ‘일반 데이터 보호 규정’으로도 불리며, 유럽연합(EU)이 정한 개인 데이터 처리(개인정보 보호)에 관한 규칙입니다.

EU 영역 내에서 개인 데이터의 처리에 관해 엄격한 기준을 마련하고, 개인의 프라이버시 보호를 강화하는 것을 목적으로 합니다.

개인정보 보호라는 관점에서, 기업이나 조직이 어떻게 데이터를 처리해야 하는지, 그리고 개인이 자신의 정보를 어떻게 보호할 수 있는지에 대한 기준을 제공합니다.

참고: 개인정보 보호 위원회｜「일반 데이터 보호 규정(GDPR) 가제 일본어 번역[ja]」

GDPR의 기본 원칙은 다음과 같습니다.

• 적법성, 공정성, 투명성
• 목적의 제한
• 데이터의 최소화
• 정확성
• 기록 보존의 제한
• 완전성, 기밀성

각 기본 원칙에 대해 아래에서 설명하겠습니다.

적법성·공정성·투명성

GDPR의 기본 원칙 중 가장 먼저 언급되는 것은 적법성, 공정성, 그리고 투명성입니다.

사업자가 개인 데이터를 수집·처리할 때는 법적으로 정당한 근거가 있어야 하며, 당사자에게 그 처리 과정을 이해하기 쉽게 전달할 필요가 있습니다.

또한, 사업자는 개인정보 보호에 관한 정보를 명시적으로 제공하고, 당사자가 데이터가 어떻게 다루어지는지 이해하고 통제할 수 있도록 투명성을 유지하는 것이 중요시됩니다.

이용 목적의 제한

이용 목적의 제한이란, 데이터 수집 및 처리가 특정하고 명확한 목적을 위해서만 이루어져야 한다는 것을 의미합니다.

개인 데이터를 취득하는 사업자는 그 목적을 정확하고 구체적으로 당사자에게 명시하여, 명백한 동의를 얻어야 합니다. 또한, 사업자는 수집한 데이터를 데이터 주체로부터 동의받은 목적 이외의 용도로 사용하지 않도록 제한하고, 엄격히 관리할 책임이 있습니다.

개인 데이터의 최소화

개인 데이터 수집은 목적 달성을 위해 필요한 범위로 제한(최소화)되어야 합니다. 요구된 목적에 적합한 범위 내에서만 개인 데이터를 수집하고, 불필요한 개인 정보는 수집하지 않도록 합니다.

이를 통해 보유하고 있는 개인 데이터의 양이 최소한으로 줄어들며, 개인의 프라이버시가 보호됩니다.

정확성

일반 데이터 보호 규정(GDPR)의 기본 원칙으로, 개인 데이터는 정확해야 합니다. 부정확한 개인 데이터는 수정되어야 하며, 최신이면서 정확한 정보를 유지하기 위한 조치가 취해져야 합니다.

이를 통해 개인의 권리와 이익이 보호되며, 정확한 정보에 기반하여 개인 데이터 처리가 이루어집니다.

기록 보존의 제한

GDPR의 기본 원칙 중에는 ‘기록 보존의 제한’이라는 개념이 있습니다. 목적이 달성되어 불필요해진 개인 데이터는 신속하게 삭제되어야 합니다.

불필요한 개인 데이터를 보관하지 않음으로써, 개인 데이터의 적절한 관리와 프라이버시 보호를 실현합니다.

완전성 및 기밀성

개인 데이터는 완전하며 기밀성이 유지되어야 합니다. 개인 데이터는 변조나 손실로부터 보호되어야 하며, 부정 접근으로부터 보호하기 위한 적절한 조치가 취해져야 합니다.

이를 통해 개인 데이터의 신뢰성이 향상됩니다.

EU 영역 내 기업만이 아니다? GDPR 적용 범위

GDPR이 적용되는 것은 EU 영역 내 기업만이 아닙니다. 일본 기업도 적용 대상이 될 수 있습니다. GDPR이 적용되는 기업의 대상으로, 다음의 4가지를 설명합니다.

GDPR이 적용되는 기업은 데이터의 적법하고 투명한 처리, 안전성의 확보, 그리고 GDPR 기준에의 준수를 요구받습니다.

관련 기사：GDPR이 영역 외 적용되는 경우는? 대응 방법을 설명[ja]

GDPR에서의 개인 데이터 처리

GDPR은 개인 데이터 처리에 대해 프라이버시 보호와 데이터 유통의 틀을 제공합니다.

GDPR은 개인 데이터의 통제와 존중을 보호하면서 데이터 유통을 촉진하고 적절한 관리로 신뢰성을 확보합니다.

이를 위해 데이터 처리의 투명성과 기업의 책임감이 중요하며, 기업은 규정에 따라 데이터를 적절히 다루어야 합니다.

GDPR에는 다음과 같은 조항도 있습니다.

또한, 본인의 동의 없이도 개인 데이터 ‘처리’가 허용되는 경우가 있습니다. 구체적인 예는 다음과 같습니다.

• 본인이 계약 당사자가 되어 있는 계약의 이행에 필요한 경우
• 본인과의 계약 체결 전에, 본인의 요청에 따라 조치를 취하기 위해 필요한 경우
• 관리자가 법적 의무를 준수하기 위해 필요한 경우
• 본인 또는 타인의 생명에 관한 이익을 보호하기 위해 필요한 경우
• 공공의 이익을 위하거나 공적인 직무의 수행을 위해 필요한 경우
• 관리자나 제3자의 정당한 이익을 위한 목적으로 필요한 경우(본인의 권리·이익·자유와의 비교 고려가 필요)

GDPR에서 개인 데이터에 관한 주요 권리

GDPR에서는 개인 데이터의 주체에게 주로 다음과 같은 권리가 부여됩니다.

• 개인 데이터에 접근할 권리
• 개인 데이터의 정정이나 삭제를 요구할 권리
• 개인 데이터의 이용 제한을 요구할 권리
• 개인 데이터 처리에 이의를 제기할 권리

개인 데이터의 주체는 자신의 정보가 제공자에 의해 어떻게 사용되고 있는지를 이해할 권리가 있습니다. 정보가 부정확하거나 부적절하게 사용되고 있다고 느낄 경우, 정정이나 삭제를 요구할 수 있으며, 사용의 일시적 중지나 이의 제기가 가능합니다.

GDPR에서 개인 데이터에 관한 주요 책임

개인 데이터 주체에게 위와 같은 권리가 인정되는 한편, 개인 데이터를 수집·처리하는 기업은 주로 다음과 같은 책임을 집니다.

• GDPR에 따른 개인 데이터 처리 시스템 및 인적 체계를 갖추는 책임
• 개인 데이터 처리에 관한 기록을 남기는 책임
• 개인 데이터 침해 시 대응하는 책임

개인 데이터가 적절히 보호되기 위해서는 기업이 부담하는 이러한 책임이 중요합니다.

또한, 개인 데이터와 관련하여 모든 데이터 처리 활동이 적절히 기록되는 것은 필요한 경우 리뷰를 진행하기 위해서도 필수적입니다.

개인 데이터의 침해가 발생한 경우, 기업은 적절한 조치를 취하고 관계자에게 통지하는 책임이 있습니다.

GDPR 위반 시

관리자나 처리자가 GDPR을 위반하여 데이터 주체에게 손해를 입혔을 경우, 손해배상을 청구당할 수 있습니다(GDPR 제82조 제1항).

또한, GDPR 위반은 엄중한 결과를 초래할 수 있습니다. 예를 들어, 위반 행위에 대해서는 GDPR 제83조에 근거한 조치로서 EU로부터 과징금이 부과될 수 있습니다(GDPR 제83조).

GDPR과 개인정보보호법의 차이점

GDPR과 개인정보보호법의 차이점은 주로 다음과 같습니다.

• 보호 대상
• 개인 데이터가 침해당했을 때의 대응
• 대리인의 설정에 대하여
• 위반했을 경우의 처벌

아래에서 자세히 설명하겠습니다.

보호 대상

GDPR과 개인정보보호법은 보호 대상이 되는 데이터가 다릅니다. GDPR은 EU 영역 내에서 처리되는 개인 데이터를 광범위하게 보호합니다. EU 영역 내에 기반을 둔 기업뿐만 아니라, EU 영역 내의 개인에게 상품이나 서비스를 제공하는 기업도 대상입니다.

반면, 개인정보보호법의 보호 대상은 국가나 지역에 따라 다릅니다.

예를 들어, 일본의 개인정보보호법은 국내에서 처리되는 개인정보를 대상으로 하며, 보호 대상은 기본적으로 국내에 한정됩니다.

개인 데이터가 침해당했을 때의 대응

GDPR과 개인정보보호법은 개인 데이터가 침해당했을 때의 대응에서 차이가 있습니다.

GDPR에서는 데이터 침해가 발생한 경우, 기업은 72시간 이내에 감독 기관에 통보할 의무가 있습니다. 또한, 개인 데이터의 주체에게도 신속하고 명확하게 통지할 책임이 있습니다.

개인정보보호법에서도 데이터 침해가 발생했을 때는 신속히 통지하는 것이 요구되지만, 보고 의무의 기한이나 통지 내용은 국가나 지역에 따라 다릅니다.

대리인의 설정에 대하여

GDPR과 개인정보보호법은 대리인의 설정에 관한 규칙이 다릅니다.

GDPR에서는 아동의 개인 데이터 처리에 있어서, 부모나 법정 대리인의 동의가 필요합니다. 또한, 온라인 서비스를 제공하는 기업이 16세 미만의 아동의 개인 데이터를 다룰 때에는 부모의 동의가 필요합니다.

개인정보보호법도 마찬가지로, 아동의 개인정보 처리에는 법정 대리인의 동의가 필요하지만, 나이의 설정이나 동의의 취득 방법은 법령에 따라 다릅니다.

위반했을 경우의 처벌

GDPR과 개인정보보호법의 차이점으로, 위반했을 경우의 처벌의 차이도 들 수 있습니다.

GDPR에서는 위반 행위에 대하여, 최대로 기업 전체의 연간 매출액의 4% 또는 2천만 유로의 제재금이 부과될 가능성이 있습니다.

개인정보보호법의 처벌은 국가나 지역에 따라 다르지만, 일반적으로는 벌금이나 법적 책임이 부과되는 것이 특징입니다. 벌금의 액수는, 위반의 내용이나 중대성에 따라 변동됩니다.

일본 기업이 GDPR에 대응하기 위해 취해야 할 조치

다음에 해당하는 기업은 GDPR 대응이 필요합니다.

• EU 지역 내에 자회사나 지점, 영업소를 두고 있는 기업
• 일본에서 EU 지역 내에 상품이나 서비스를 제공하는 기업
• EU 지역 내의 기업 등으로부터 개인 데이터 처리를 위탁받은 기업

기업에서 구체적으로 시행해야 할 조치의 예로, GDPR 제32조 및 서문(83)에서는 데이터 보호 기술의 하나로 암호화를 권장하고 있습니다.

따라서, 클라이언트 PC나 HDD, USB 메모리 등의 기록 매체, 공유 폴더 등에 저장된 개인 데이터의 암호화가 필요합니다.

이 외에도, 프라이버시 정책을 GDPR에 맞게 변경해야 할 필요가 있습니다. GDPR에 대응한 프라이버시 정책에 대해서는 아래 기사에서 자세히 설명하고 있습니다.

관련 기사: GDPR에 대응한 프라이버시 정책을 작성할 때의 주요 포인트를 설명[ja]

요약: GDPR 대응은 전문가와 상담하세요

GDPR은 EU 지역 내에서 처리되는 개인 데이터를 광범위하게 보호하며, 데이터의 적법하고 투명한 처리와 안전성 확보를 요구합니다. GDPR과 개인정보보호법의 차이점에는 보호 대상, 개인 데이터 침해 시의 대응, 대리인의 설정, 위반 시의 처벌 등이 있습니다.

주로 EU 지역 내에 기반을 둔 기업, EU 지역 내의 개인에게 상품이나 서비스를 제공하는 기업, EU 지역의 기업 등으로부터 개인 데이터 처리를 위탁받은 기업 등이 GDPR 적용 대상이 됩니다. GDPR을 위반할 경우 손해배상 청구나 제재금이 부과될 가능성이 있으므로 충분히 주의해야 합니다.

회사의 데이터 보호 규정을 GDPR에 맞추어 변경할 필요가 있는지에 대해서는 전문가와 상담하는 것이 좋습니다.

당사의 대책 안내

모노리스 법률사무소는 IT, 특히 인터넷과 법률 분야에서 풍부한 경험을 가진 법률사무소입니다. 최근 글로벌 비즈니스는 점점 확대되고 있으며, 전문가에 의한 리걸 체크의 필요성은 더욱 증가하고 있습니다. 당사는 국제법무에 관한 솔루션을 제공하고 있습니다.

모노리스 법률사무소의 분야: 국제법무 및 해외사업[ja]