본문 바로가기
IT 와 Social 이야기

[NIA] 데이터 주권 시대의 새로운 흐름 - EU GDPR의 의미와 시사점 - GDPR 사례

by manga0713 2018. 4. 20.

 

[GDPR의 주요 내용]

 

 

 

*** 출처: [NIA} 데이터 주권 시대의 새로운 흐름 - EU GDPR의 의미와 시사점

*** 문서:

7.데이터_주권_시대의_새로운_흐름-EU_GDPR의_의미와_시사점_180412.pdf

 

 

 

 

 

■ GDPR 주요 용어의 개념

 

 

○ 정보주체(Data Subject) : 개인정보를 생성하고, 자신이 생성한 개인정보에 대한 권리를 가지는 ‘살아있는 자연인’을 의미

 

○ 컨트롤러 : 개인정보 처리의 목적과 수단을 결정하는 주체로 개인정보 처리 목적에 따라 구분되며, 개인정보 처리에 책임을 짐. 같은 데이터를 활용하더라도, 데이터 처리 목적이 다른 경우엔 목적에 따라 처리 주체를 각각 별도의 컨트롤러로 구분

 

○ 프로세서 : 컨트롤러를 대신하여 개인정보의 처리를 위임받은 개인 또는 법인, 공공기관, 에이전시 등을 의미

 

 

▶ 예시를 통한 컨트롤러와 프로세서 구분

 

 

- [예시 1] A기업이 신규 판매 상품의 이메일 마케팅을 위해 홍보대행 회사 B, C, D에게 고객 이메일 주소를 제공하고, 자사 마케팅 목적으로만 해당 개인정보를 사용한다는 계약을 체결, 준수여부를 관리·감독

 

→ 컨트롤러 : A, 프로세서 : B, C, D

 

 

- [예시 2] 여행사 E가 고객 정보를 항공사 F, 호텔 G에게 전달하여 예약을 완료하고 고객에게 여행상품 안내서류와 예약확인증 발급

 

→ 컨트롤러 : E, F, G

 

 

- 컨트롤러와 프로세서가 가지는 권한 비교

 

 

 

 

 

 

○ 개인정보 : 직․간접적으로 ‘개인’을 ‘식별’할 수 있는 데이터 (예 : 이름, 주소 등)로, 온라인 식별정보(예 : IP주소, 쿠키 등)까지 포함

 

- 개인정보는 명확하고, 명시적이고, 적법한 목적을 위해 수집 되어야 하고, 수집 목적과 불일치하는 추가적인 처리는 불가

 

 

○ 가명화(Pseudonymisation) : 추가적인 데이터 없이는 개인을 특정할 수 없도록 개인정보를 분리하고 가공하는 것

 

- 특정 개인을 식별할 수 있는 추가 데이터는 별도 관리가 필요하며, 가명화된 데이터는 학술․연구 등의 공익 목적에 한해 활용 가능

 

 

○ 프로파일링 : 개인의 특성(예 : 관심사, 선호)을 분석하고, 예측·평가하는 모든 형태의 ‘자동화된’ 개인정보의 처리를 의미

 

- 개인정보 처리 과정에 인적개입(Human Intervention)이 발생하거나, 개인의 특성을 예측·평가하려는 목적이 아니라면 프로파일링에서 제외

 

 

○ 정보사회서비스 : 영리적 목적을 위해 전자적 수단으로 제공되는 서비스로, 상업적으로 운영되는 모든 웹사이트를 포함

 

 

 

▶ 가명정보의 정의 및 의의

 

 

- GDPR에서는 개인정보, 가명정보 및 익명정보를 구분하고 있으며, 가명정보의 추가 처리는 허용하여 개인의 프라이버시 보호와 개인정보 활용을 모두 추구하고 있다는 점에서 의의가 있음

 

- 가명정보와 익명정보의 비교

 

 

 

 

 

 

 

■ GDPR과 개인(Individual)의 권리

 

 

○ 삭제권

 

- 정보주체는 컨트롤러가 수집한 데이터와 컨트롤러를 통해 3자에게 공개된 개인정보에 대해 삭제 요청 가능

 

- 컨트롤러와 프로세서는 개인이 쉽게 개인정보의 삭제를 요청할 수 있도록 다양한 방법을 제공할 의무가 있음

 

- 단, 삭제요구의 근거가 GDPR이 명시하는 근거에 해당할 경우에만 삭제 할 의무가 있으며, 공익적 목적을 위해서는 삭제 요청 거부 가능

 

 

 

○ 이동권

 

- 정보주체가 조직에게 제공한 개인정보를 제공받거나, 다른 조직에게 전송해줄 것을 요구할 수 있는 권리

 

- 컨트롤러는 정보주체와 다른 조직에게 ‘기계 판독이 가능한 형식’으로, 무료로 데이터를 제공해야 함

 

 

○ 설명을 요구할 권리

 

- GDPR에 명시되지 않았지만, 프로파일링에 대한 정보주체의 통제가능성을 유추할 수 있는 조항 포함

 

- 정보를 제공받을 권리(13, 14조), 개인정보에 대한 접근(Access) 권리(15조)를 통해 정보주체는 자동화된 의사결정에 관여 가능

 

 

○ 결정을 제한할 권리

 

- 정보주체는 본인에게 중대한 영향이 있는 사항에 대하여 ‘자동화된 처리’에 근거한 결정을 거부 가능

 

- 예를 들어 자동화된 처리에만 근거한 온라인 신용평가 또는 전자채용 등의 결과를 거부할 권리가 있음

 

 

 

■ GDPR과 조직(Organization)의 책임

 

 

- 개인정보 영향 평가

 

- 정보보호 책임자 임명

 

- 개인정보보호 중심설계(Data Protection by Design)

 

 

 

 

■ 국내외 기업의 GDPR 준비 사례

 

 

○ 구글 : SAP와 데이터 보호 솔루션 공동개발

 

- 클라우드 활용 기업이 GDPR을 준수할 수 있도록 지원하는 데이터 보호 솔루션인 데이터 커스터디안(Data Custodian)을 개발(2017년)

 

- 클라우드 사용자(개인)가 자신의 데이터가 어떻게 보관되고 활용되는지 확인할 수 있도록 지원

 

- 구글의 클라우드용 데이터 커스터디안의 사용 화면

 

 

 

 

 

 

 

○ 카카오 ‘멜론’ : 로그인 보안정책 강화

 

- GDPR 대응 및 개인정보 강화를 위해 로그인 보안 절차를 개선·보완

 

- 평소에 사용하지 않는 기기, 브라우저, IP주소 등으로 로그인이 시도될 때 알려주는 ‘로그인 알림’과 일회용 인증번호를 추가 로그인 수단으로 사용할 수 있는 ‘이중인증’ 서비스 제공