GDPR 개요: 변경 사항은 무엇입니까?

게시 됨: 2018-02-15

새로운 유럽 ​​일반 데이터 보호 규정(GDPR) 은 2018년 5월 25일에 발효됩니다. 여기에는 개인 데이터 처리 방식의 근본적인 변경 사항이 포함되어 있습니다. 새로운 데이터 규정은 세계에서 가장 엄격한 데이터 개인 정보 보호법 중 하나가 될 것입니다. 인터넷을 통해 이 주제에 관한 풍부한 정보, 해석 및 진술이 있습니다. 여기에서 가장 중요한 사항을 요약했습니다.

1. 개인정보의 정의

GDPR은 개인 데이터의 개념을 재정의합니다. GDPR 에 따르면 다음 데이터는 개인 정보로 분류됩니다.

직접 개인 데이터

  • 성명
  • ID 또는 사회 보장 번호
  • 생체 데이터(예: 지문)
  • 이메일 주소
  • 주소
  • 전화 번호
  • 생신
  • 로그인 및 온라인 식별자

간접 개인 데이터

  • 경제 데이터(예: 계좌 번호, 신용 카드 번호 등)
  • IP 주소
  • 문화 및 사회적 데이터
  • 개인까지 추적할 수 있는 경우 물리적, 유전적, 정신적 데이터.
  • 잘못된 의사 익명 데이터
  • 지리적 위치 데이터

명백히 비개인적인 데이터는 경우에 따라 다른 데이터 소스와 결합하여 사람을 명확하게 식별할 수 있다는 점에 유의해야 합니다. 예를 들어, 성별과 우편번호의 조합은 개인이 고유하게 식별되도록 할 수 있습니다. 따라서 이러한 정보도 개인 데이터로 해석되어야 합니다.

2. 역할 정의

GDPR는 데이터 보호와 관련하여 다음 세 가지 역할을 정의합니다.

데이터 주제:

GDPR 은 개인 데이터에 대한 통제권을 소위 "데이터 주체"에게 되돌려줍니다. GDPR 의 경우 이는 자연인 또는 개인, 보다 정확하게는 유럽 시민입니다.

데이터 컨트롤러:

데이터 컨트롤러는 개인 데이터 수집 및 처리 목적을 단독으로 또는 다른 사람과 공동으로 결정하는 기관, 공공 기관 또는 기타 기관과 같은 자연인 또는 법인입니다. 웹사이트의 경우 웹사이트 운영자입니다.

데이터 프로세서:

데이터 프로세서는 데이터 컨트롤러를 대신하여 개인 데이터를 처리하는 자연인 또는 법인입니다. 예를 들어 서비스 제공자, 대행사, 마케팅 도구, 비즈니스 파트너 등입니다.

GDPR 의 새로운 특징은 데이터 프로세서와 데이터 컨트롤러가 모두 고려되어 법적으로 기소될 수 있다는 것입니다. GDPR 이 EU 시민의 개인 정보 수집 및 처리를 규제하지만 EU 시민에 대한 데이터를 수집하는 경우 EU 외부의 데이터 컨트롤러 및 데이터 처리자에게도 영향을 미친다는 점에 유의하는 것이 중요합니다.

3. 데이터 컨트롤러 및 데이터 프로세서의 주요 의무

  • 설계 및 기본적으로 개인 데이터 보호.
  • 개인 정보의 수집, 저장 및 처리는 명확하고 이해할 수 있는 방식으로 전달되어야 합니다.
  • 데이터 주체의 명시적 동의가 있는 경우에만 개인 데이터를 저장하고 처리할 의무.
  • 조작, 도난 및 무단 액세스로부터 개인 데이터를 보호할 의무.
  • 데이터 보호 책임자를 임명할 의무(EU에서의 비즈니스 활동용).
  • 데이터 유출을 당국에 보고하고 관련자에게 알릴 의무.
  • 요청 시 데이터 주체에 저장된 데이터에 대한 정보를 제공할 의무(최대 30일).
  • 요청 시 데이터를 완전히 삭제, 익명화 또는 파기할 수 있는지 확인할 의무.
  • 데이터베이스를 최신 상태로 유지해야 하는 의무(말하자면 자동 만료 날짜로 이어짐).
  • 매우 민감한 데이터에 대해 DPIA(데이터 보호 영향 평가)를 수행할 의무.
  • 데이터 침해가 발생한 경우 따라야 할 프로세스를 정의할 의무.
  • 다른 국가, 특히 EU 외부로의 데이터 전송에 대해 정보 주체에게 알릴 의무.
  • 데이터 주체가 동의한 목적으로만 데이터를 사용할 의무.
  • 모든 개인 데이터의 출처를 알아야 할 의무.

4. 정보주체의 권리

  • 개인 데이터 사용에 대한 투명한 정보 및 커뮤니케이션에 대한 권리
  • 개인 데이터가 수집 및 처리되는 시점을 알 권리
  • 저장된 데이터를 검사할 권리
  • 데이터를 수정할 권리
  • 데이터를 삭제할 권리(잊혀질 권리)
  • 데이터 처리/사용을 금지할 권리
  • 휴대용 형식으로 데이터를 받을 권리
  • 반대할 권리(예: 나중에)
  • 법적 결과가 있는 경우(예: 보험 가입 또는 신용 카드 신청 시) 동의 없이 데이터를 자동으로 처리하지 않을 권리.
  • 권리에 대한 제한: "상위법"이 있을 때마다 정보주체의 권리를 제한합니다. (예: 인보이스 및 계약서의 보관 기간, 국가 안보, 경찰 조사 등)

5. 전자 개인 정보 보호 지침(일명 쿠키법)

위에 언급된 의무와 권리가 GDPR에 따라 절대적으로 적용되는 경우 동의 없이 개인 데이터의 수집 및 처리가 금지됩니다. 이것은 또한 무엇보다도 쿠키를 금지합니다. 그러나 현재의 e-Privacy 2002 유럽 지침 (e-Privacy Directive, Cookie-Law)은 웹사이트 성능을 운영 및 측정하고 온라인 서비스를 개선하기 위해 쿠키를 사용하는 것이 매우 중요하다는 것을 인식하고 있습니다. 따라서 이 데이터 처리에 대한 묵시적 동의를 얻는 것이 허용됩니다. 이는 수년 동안 수많은 웹사이트의 "쿠키 배너"에 의해 고려되었습니다. GDPR은 기존 전자 개인 정보 보호 지침을 대체하지 않으므로 유효합니다. 그러나 현재 수정 중이며 2018년에 새 버전이 출시될 예정입니다. 콘텐츠 면에서 위에서 언급한 쿠키의 사용은 묵시적 ​​동의에 의해 계속 허용될 가능성이 있습니다. 단, 리타게팅에 사용할 수 있는 마케팅 쿠키에는 적용되지 않습니다.

보시다시피 GDPR 은 많은 새로운 개발, 의무 및 권리를 제공합니다. 심각한 벌금이 부과될 수 있으므로 웹사이트와 온라인 채널에서 GDPR 준수 여부를 확인하는 것이 좋습니다. GDPR 준수에 도달하도록 지원할 수 있습니다. 지금 GDPR 규정 준수 감사에 대한 개별 견적을 요청하십시오.

새로운 개인 정보 보호 정책에 대해 질문이 있는 경우 이메일을 보내주십시오.