• ▪ EU 개인정보보호법 발효 후 6개월이 지난 지금 각 국의 사전대비로 큰 혼란이나 변화는 보이지 않으나 그 효과가 서서히 구체화되어 가는 중
  • ▪ 국내 기업의 원활한 EU 진출과 EU 거주민 개인정보의 역외 이전을 위해선 EU가 실시하는 개인정보보호체계에 대한 적정성 평가를 통과해야 하지만, 다양한 의견을 고려해서 신중하게 진행해나갈 필요가 있음

1. GDPR 개요 및 현황

(1) GDPR의 개념

2018년 5월 25일 유럽연합(EU)의 개인정보보호법 (GDPR, General Data Protection Regulation)이 발효되었다. 이 법은 EU 회원국에 대해선 직접적으로 효력을 가지고, EU 역내에서 거주하는 주민들의 개인정보를 다루는 전 세계 모든 기업에 대해도 간접적으로 큰 영향을 미친다는 점에서 세계적으로 주목받고 있다.

기존 EU체제하에선 개인정보보호법의 기능을 1995년 10월에 제정된 개인정보관련지침(Directive 95/46/EC)이 해왔으나, 더욱 복잡해진 정보사회 환경에 발맞추어 정보주체의 권리를 강화하고 개인정보처리자에 대한 책임을 강화하는 것을 주된 내용으로 하여 2012년 1월 25일 새로운 개인정보보호 법안을 공표하였다. 동 법안에 대한 입법절차를 추진하여 기존의 정보보호 수준을 강화시킨 GDPR이 2016년 5월 제정되었고 2년 뒤 발효되었다.

<표 1> GDPR의 주요 특징
항목 주요 특징
적용범위 ▪ 설립지 무관, EU 역내 거주 자연인의 개인정보를 처리하는 컨트롤러(개인정보처리자, Controller)*·프로세서(수탁처리자, Processor)*
▪ 역외 기업의 경우 EU 역내 대리인 지정(의무사항)
보호 강화 ▪ IP 주소, 쿠키, RFID 등이 온라인 식별자에 포함
▪ 개인정보에 대한 동의, 접근, 프로파일링, 정보이동 등에 새로운 규제 적용
▪ 6가지 원칙 : 적법성·공정성·투명성, 목적 제한, 개인정보 최소화, 정확성, 저장 제한, 무결성·기밀성
원스톱 숍 ▪ 개인정보보호 강화를 위한 European Data Protection Board 설립
▪ 주사업장 또는 단일사업장의 선임감독기관이 컨트롤러*와 프로세서*를 감독
제재 강화 ▪ 심각한 위반 : [2천만 유로 이하 과징금] 또는 [직전 전 세계 매출액의 4% 이하 과징금] 중 큰 금액
▪ 일반적 위반 : [1천만 유로 이하 과징금] 또는 [직전 전 세계 매출액의 2% 이하 과징금] 중 큰 금액
정보주체의 권리 강화 ▪ 정보 유출에 따른 피해가 발생할 경우 보상청구 가능
▪ ‘잊혀질 권리(삭제권)’,‘처리제한권’,‘정보이전권’새롭게 도입
개인정보 유출 시 대응 ▪ 컨트롤러는 개인정보가 유출된 사실을 알게 된 시점으로부터 72시간 이내에 감독당국에 신고
▪ 정보주체에게 고위험이 예상되는 경우 지체 없이 정보주체에게도 고지

※ 출처 : KIEP, EU 개인정보보호법(GDPR) 발효 : 평가 및 대응방안(2018.5.25.)

*컨트롤러와 프로세서 개념 설명
  • ▪ 컨트롤러 : 개인정보의 처리 목적 및 수단을 결정하는 주체. 단독 또는 제3자와 공동으로 결정할 수 있고 자연인, 법인, 공공 기관(public authority, 대리인(agency), 기타 단체(other body))가 컨트롤러가 될 수 있음
  • ▪ 프로세서 : 컨트롤러를 대신하여 개인정보를 처리하는 자연인, 법인, 공공기관, 대리인, 기타단체가 프로세서가 될 수 있음. 컨트롤러는 반드시 구속력 있는 서면 계약에 따라 프로세서를 지정해야 함

※ 출처 : KISA

GDPR은 적용범위 확대뿐만 아니라‘잊혀질 권리(삭제권)’, ‘개인정보 이전권’등 개인정보 주체의 권리를 강화하는 내용을 많이 담았고, 이를 위반한 자에 대해서 막대한 과징금을 부과할 수 있도록 하고 있어 전 세계적으로 큰 반향을 불러 일으켰다.

(2) EU의 개인정보 역외 이전(移轉)

EU는 GDPR 이전 1995년 개인정보관련지침 체제에서부터 EU 역내의 개인정보를 EU 역외 제3국으로 이전시키기 위해선 해당국에서 적정한 수준의 개인정보보호를 보장할 경우에만 이전을 허가해왔다. 제3국이 지침에서 요구하는 수준으로 개인정보보호가 이루어지고 있는지를 평가하는 절차가‘적정성 평가’절차인데 이를 통과할 경우 해당 제3국으로 EU 역내 개인정보의 이전이 허용된다.

위와 같은 개인정보 역외 이전 금지는 GDPR체계에 큰 변동없이 수용되었으나 GDPR체제하에서 개인정보보호의 수준이 강화되었고 규정 위반에 따른 과징금이 강화되어 결국 GDPR체제 아래선 EU 개인정보 유통을 위해 적정성 평가의 중요성이 높아졌다.

이 글에서는 2018년 5월 GDPR 발효 이후 EU 각국의 동향을 통해 GDPR의 쟁점들을 살펴보고 EU 적정성 평가와 관련하여 한국과 일본의 사례를 통해 앞으로 나아가야할 방향을 살펴본다.

2. GDPR 발효 후 유럽 각국 동향

(1) 독일 - GDPR 위반에 대한 독일 국내 첫 과징금 사례

2018년 11월 21일 독일 내 첫 GDPR 위반에 관한 첫 과징금 사례가 나왔다. 독일의 채팅 앱인 크누델스(Knuddels)에서 해커의 공격으로 인한 개인정보유출사고가 발생하였고 이 과정에서 크누델스 측이 이용자들의 정보를 암호화된 문서가 아닌 단순 텍스트 형식의 문서로 저장해둔 사실이 문제되었다.

German Spiegel Online보도에 따르면 이번 사건으로 80만 개의 이메일 주소와 180만 개가 넘는 비밀번호가 유출됐을 것으로 추정하고 있다. 크누델스 측은 자신들의 잘못을 인정하고 독일 개인정보보호위원회의 조사에 적극적으로 협조하였다. 이에 독일 개인정보보호 위원회는 크누델스의 정보보안을 위한 그동안의 노력과 재발방지를 위한 약속을 고려하여 2만 유로(한화 약 2,500만 원)의 가벼운 과징금을 부과하였다.1

외신들은 크누델스가 사고 발생 직후 이를 관계 기관에 신고하고 조사에 적극 협조하였기에 가벼운 벌금형이 내려진 것으로 분석하고 있다.2 이번 선례는 정보유출사고 혹은 GDPR 위반사항에 대해서 기업의 정보보호 담당자들이 어떻게 사후대응을 해야 하는지에 관해 중요한 의미를 가질 것으로 보인다. 물론 GDPR 발효 초기에 이뤄진 사건이고 대형 다국적 IT 기업에 비해선 상대적으로 소규모 기업의 사건이었던 점도 고려되었을 것으로 보인다.

(2) 프랑스 - GDPR 체제를 위한 개인정보보호법 개정

프랑스는 2018년 6월 28일 자국 개인정보보호법을 GDPR 체제에 맞추어 개정하였다. 주된 개정 내용은 EU가입국인 프랑스에 직접 효력을 가지는 GDPR을 고려하여 기존 자국법 상 GDPR과 충돌되는 내용을 삭제하고 정보보호를 강화하는 것을 주 내용으로 하였다.

특히 프랑스 개인정보보호기관인 CNIL(Commission nationale de l’informatique et deslibertés)의 권한을 강화하는 내용이 상당수 포함되었는데 업무영역 확대, 조사 권한 강화, 과징금부과 권한 보유 등 CNIL이 GDPR의 집행을 위해 충분한 권한을 가질 수 있도록 하는 내용이 포함되었다.

GDPR 제57조, 제58조3에는 개인정보보호를 위한 독립감독기구의 설치, 임무, 권한 등에 대한 규정을 명시하고 있고, 그 내용으로 정보제공 명령 등 조사권한, 과징금·금지처분 등 시정 권한 등을 독립감독기구가 가지도록 규정하고 있다. 이번 개정 법률은 이러한 GDPR의 규정에 근거하여 마련된 것이다.

또한 생체 정보와 유전적 정보가 민감정보에 포함되었고, 개인정보처리를 위한 정보 주체에 대한 통지 및 승낙 절차를 제외한 다른 사전절차를 대부분 폐지하고 대신 개인정보 영향평가를 수행하도록 변경하였다. 그리고 개인정보 유출사고를 대상으로 하는 집단 소송에 관한 규정도 추가되었다.4

한편 개정법에선 이 법률의 보호대상을 프랑스에 거주하는 모든 정보 주체로 한정하고 개인정보를 보유한 주체의 프랑스 내 컨트롤러 설립여부는 불문으로 함을 명시하여 동 법의 적용범위를 명확히 하였다.

프랑스의 이번 개정 내용을 보면 GDPR체제에선 독립적이고 집행력 있는 정보감독기관의 존재와 정보침해에 대한 충분한 보호 및 구제절차 등의 확보가 매우 중요함을 알 수 있다.

(3) 영국 - 브렉시트와 GDPR

2017년 3월 28일 EU 탈퇴 서한에 서명한 영국은 2년 뒤인 2019년 3월 29일 이후에는 EU의 회원국 지위를 상실하게 되어 GDPR의 직접적인 적용에서 벗어나게 된다. 따라서 이 시점 이후 영국 의회는 원칙적으로 자국 개인정보보호법을 자유롭게 수정할 수 있다. 그러나 영국과 EU는 밀접한 관계를 가지고 있고, 영국법과 EU법의 충돌을 가져와 정보보호체계를 복잡하게 만들 우려가 높아 영국이 자의적으로 개인정보보호법을 수정하는 것은 쉽지 않다.

영국 소재 기업들은 EU 역내 거주자들의 개인정보를 처리하고 있는 경우가 많고, EU와의 원활한 정보유통을 위해 적정성 평가를 받아야 할 필요가 있어 영국에 대한 GDPR의 영향력은 여전할 것으로 예측된다. 반면 영국은 유럽사법재판소(ECJ, European Court of Justice)와 유럽정보보호위원회(EDPB, European Data Protection Board)의 구속을 받지 않게 되고 영국 개인정보보호기관인 ICO(Information Commissioner’s Office)도 EDPB에 참여하지 않게 되므로 영국이 EU 개인정보법 해석에 미치는 영향력은 줄어들 것이라 외신은 평가하고 있다.5

영국과 GDPR관계에 있어서 변수는 EU와 영국 사이에서 브렉시트 이후의 관계모델에 대한 협상이 아직 지속 중이라는 점이다. 이 부분에 있어선 아직 다양한 논의가 지속되고 있고, 협상 결과에 따라 GDPR의 적용이나 영국 개인정보보호법의 방향에 대해 의미 있는 변화가 있을 수 있다.

(4) 기타 - 개별 국가 내 GDPR 위반 사례

현재 EU에 소속된 개별국가 내에선 GDPR 위반을 이유로 한 강제조치 사례들이 하나둘씩 나오고 있다. 오스트리아에선 2018년 10월, 소매점에 설치된 외부 감시카메라가 공공장소인 인도를 촬영하며 그 앞을 지나가는 행인들의 정보를 과도하게 수집하고 있어, 적절한 고지와 투명성을 갖추지 못했음을 이유로 소매점에 4,800 유로의 과징금을 부과하였다.6

영국에선 2018년 7월 6일 영국 및 EU 거주민의 개인정보를 정치집단들로부터 넘겨받아 이를 처리·분석하여 제공한 캐나다 데이터 분석 기업 AggregateIQ Data Services(AIQ)에 대하여 해당 정보에 대한 정치적·홍보적 목적의 정보처리를 금지시키는 집행조치(Enforcement Action)를 실시하였다.7 이러한 조치는 AIQ가 개인정보를 처리함에 있어 개인정보의 주체가 예상하지 못했던 목적을 위해 정보를 처리하였음을 이유로 행해졌다.8

위 두 가지 사례는 모두 GDPR 위반에 대한 첫 집행조치 사례이다. 앞으로 위반사례가 계속 축적되어 나갈 것인데, 이러한 개개의 사례들을 통해 GDPR이 가지고 올 변화와 위반에 대한 제재를 가늠해볼 수 있을 것이다.

3. 적정성 평가를 위한 한국과 일본의 노력

(1) 적정성 평가의 개념

적정성 평가란 EU 역내 거주민의 개인정보를 EU 역외 제3국으로 이전시키기 위해 제3국의 개인정보보호 수준이 GDPR에서 요구하는 수준에 부합하는지를 평가하는 절차이다. 이를 통해 제3국이 적정성 결정(Adequacy Decision)을 받게 되면 EU 역내 개인정보를 해당 국가로 이전할 수 있다.

GDPR 제정 전부터 EU 역내의 개인정보를 제3국으로 이전하기 위해선 개인정보관련지침에 따라 사전에 EU 집행위원회의 까다로운 허가절차를 거쳐야 했다. 지침에 규정된 역외 이전 허가 사유는 ① 적정성 결정을 받은 국가로 정보를 이전하는 경우 ② 적절한 보호조치(Appropriate Safeguards)를 제공하는 경우 ③ 정보주체의 명시적 동의, 계약상 필요, 중요한 공익상 이유 등 예외적 사유가 있는 경우 등 으로 한정하고 있다. GDPR에서도 지침의 역외 이전 사유들을 그대로 승계하였으나, 이를 위반하여 정보를 역외로 이전한 경우 과징금이 훨씬 중해져 불법적인 역외 이전에 더욱 주의해야 한다.9

위 역외 이전 사유 중 적절한 보호조치를 제공하는 경우와 예외적 사유의 경우 특정 기업이나 특정 정보에 한정하여 효력이 있으므로 국가 간 데이터의 자유로운 유통을 위해선 적정성 결정을 받는 것이 필요하다. 특히 대기업의 경우 적절한 보호조치를 통해 개별 기업수준에서 GDPR에 대응하는 것이 가능하나 국내 중소기업의 경우 이러한 대응이 어렵다는 점을 고려하여야 한다.

EU 개인정보보호 적정성 평가의 기준은 아래와 같다.

<표 2> 적정성 평가기준
평가기준 내용
기본 원칙 목적 제한의 원칙 데이터는 특정한 목적에 따라 처리되고 목적 범위 내에서 이용·제공 되어야 함
정보의 질 확보 및 비례성 원칙 데이터는 정확해야 하고 필요한 경우 최신으로 업데이트되어야 함. 또한, 데이터는 이전 또는 처리되는 목적에 적합하고 관련성이 있어야 하며 목적에 비해 과도해서는 안 됨
투명성 원칙 개인은 처리목적, 처리자 등 공정성을 위해 필요한 정보들을 투명하게 제공받아야 함
안정성 원칙 개인정보처리자는 적정한 기술적·관리적 보안조치를 해야 함
열람·정정 및 반대할 권리 정보주체는 처리 중인 자신에 관한 데이터의 사본을 받아볼 수 있고 부정확한 정보를 수정할 수 있으며, 자신에 관한 정보 처리를 반대할 권리를 가져야 함
개인정보의 재이전 제한 일차적으로 개인정보를 제공받은 자가 다시 개인정보를 재이전하는 것은 재이전 받는 자가 적정한 보호수준을 보장하는 규칙의 적용을 받는 경우에만 허용됨
추가 원칙 민감정보 처리 제한 민감한 정보로 분류되는 데이터는 정보 처리에 대한 정보주체의 명백한 동의 등 추가적인 안전조치를 확보해야 함
다이렉트 마케팅 제한 데이터가 다이렉트 마케팅 목적으로 이전되는 경우, 정보주체는 opt-out을 할 수 있어야 함
개인에 대한 자동화된 결정 제한 자동 처리되는 개인정보 이전의 경우, 정보주체에게는 그러한 의사결정에 사용되는 로직을 알 권리가 있으며, 합법적인 이익을 보호하기 위한 추가적인 조치가 취해져야 함
절차적 기준 보호원칙이 잘 준수되는 체계의 확보 개인정보처리자가 자신들의 의무를 뚜렷이 인식하고, 정보주체가 자신들의 권리 및 행사방법을 잘 알 수 있는 보호체계를 만들고, 효과적이고 억제력이 강한 제재수단을 통해 보호원칙을 확보
정보주체의 권리행사를 지원하고 도와주는 보호체계 개인이 신속하고 효과적으로, 과도한 비용 부담 없이 자신들의 권리를 행사할 수 있어야 함. 이를 위해 민원·고충에 대한 독립적 조사가 보장되는 제도적 매커니즘
보호원칙 미준수로 피해를 입은 자에 대한 적정한 구제조치 필요 손해배상이나 적정한 제재조치가 가능한 독립적 조정 또는 중재 시스템

※출처 : KISA

(2) 일본의 적정성 결정

EU는 GDPR 적정성 평가 우선 검토 대상국으로 동아시아에선 한국과 일본을 지정하였다. 이에 따라 한국과 일본은 적정성 평가를 통과하기 위해 많은 노력을 하였고, 현재 일본은 적정성 결정 대상국에 포함되었으나 한국은 협의가 진행 중인 상황이다.

일본은 2014년부터 적정성 결정을 위해 EU와 협상을 추진해왔고 2015년 9월 GDPR의 요건에 상응하는 수준의 규제조치를 도입하여 개인정보보호법을 개정하였다. 또한 일본은 위 개정과는 별개로 법령을 개정하지 않고 EU의 데이터 보호기준을 따르기 위해 다양한 보호장치를 도입하겠다는 내용의 지침(Guideline, 2018년 2월, 4월)을 발표하였고, 추가적으로 보충적 규정(2018년 9월, 補充的ルール)도 공표하였다. 지침은 관련된 법령을 해석·적용함에 있어 보충적으로 기능하게 되는데 아래의 표는 위 지침의 내용을 요약한 것이다.

<표 3> 지침에 따른 일본 정부의 추가 조치
항목 해당법령 수정 내용
필요배려 개인 정보 2조 3항 필요배려 개인정보(민감정보)의 범위 확대
▪ GDPR에서 특별한 유형의 개인정보(Special Categories of Personal Data)로 정의되는 성적 취향, 노동조합 등에 대한 정보 도 필요배려 개인정보와 마찬가지로 취급
보유 개인데이터 2조 7항 보유 개인데이터 범위 확대(기간한정 예외조항 삭제)
▪ EU에서 이전된 개인데이터에 대해서는 각주의 ①의 경우에 해당 하지 않는 한 기간에 관계없이 보유 개인데이터로 취급
이용목적 특정 15조1항, 16조1항, 26조1·3항 데이터 취득 시 이용목적을 확인·기록하여 그 범위 내에서 이용하도록 조치
▪ EU에서 이전된 개인데이터에 대해서는, 취득 시 확인한 이용목적의 범위 내로 그 목적을 제한하여, 그 범위 내에서 해당 개인데이터를 이용하도록 함
역외 제3자에게 정보제공 제한 24조·규칙 11조의2 일본에서 EU 외 제3국으로 개인데이터가 재이전하는 경우의 보호수준 강화
▪ EU에서 이전된 개인데이터에 대해 본인 동의에 따라 재이전하는 경우 본인이 동의하는데 필요한 (데이터의) 목적지 상황에 대한 정보를 제공하고, 개인정보보호법과 동일한 수준의 보호조치를 시행하도록 함
익명가공정보 2조 9항·36조 1·2항 개인데이터의 익명가공처리방식에 대한 정보 제거
▪ EU에서 이전된 개인데이터를 개인정보보호법상의 익명가공처리하는 경우, 가공방법에 대한 정보를 삭제하고 재확인이 불가능하도록 조치
▪ EU에서는 가공방법에 대한 정보가 남아 있을 경우, 안전하게 분리하여 보관할 경우에도 재식별의 가능성이 있다고 판단, 익명화되었다고 간주하지 않음

※출처 : KIEP, EU일반개인정보보호법(GDPR)에 대한 일본 정부의 대응 및 평가(2018. 09)

2018년 7월 17일 일본은 EU와 상호 간에 개인정보보호체계가 동등한 수준임을 인정하는 합의를 체결하였다. 이는 일본의 노력뿐만 아니라 일본이 EU에서 차지하는 경제적 영향력도 고려한 결과로 보인다.

위 합의에 따라 2018년 9월 5일 일본의 개인정보보호 적정성을 승인하는 EU 내부절차가 개시되었다. 여기선 EDPB의 의견을 듣고 EU 가입국 대표자 회의를 거쳐 적정성 결정을 내리게된다.10

다만 적정성 결정을 통해 허용되는 것은 개인정보 역외 이전에 한하고 이를 처리하는 일본 기업은 계속해서 GDPR에 기반을 둔 의무를 지켜야 한다. 또한 일본 기업이 개인정보를 취득했다고 하더라도 다시 이를 제3국에 이전할 수 있는 것은 금지된다.11

(3) 한국의 적정성 평가 진행

우리나라는 2015년 12월에 개인정보 담당기관으로 당시 행자부 산하의 개인정보보호 위원회를 지정하여 EU 집행위원회에 적정성 결정을 신청하였다. 그러나 EU는 개인정보보호 위원회의 경우 기관의 독립성이 충분히 보장되지 않는다고 판단하여 이를 거부하였다.

이후 독립기관인 방통위가 개인정보관련법 중 정보통신망법을 관할하고 있는 것을 근거로, 동법을 대상으로 한 부분적인 적정성 결정을 시도하였는데12 이는 정보통신망법의 관할 영역인 온라인 서비스 영역에 한정하여 EU 개인정보 역외 이전을 허용하는 부분적 적정성 평가를 받으려는 시도였다.

하지만 이에 대해 개인정보보호위원회는 정보통신망법은 그 적용범위가 온라인 서비스 제공 목적 개인정보수집에 한하고 있어 실효성이 불분명하고13 개인정보에 관한 일반법은‘개인정보보호법’이라는 점을 들어 문제를 제기하였다. 결국 핵심은 개인정보보호 위원회의 독립성 확보와 개인정보보호법의 체계 개선이 우선이고 이를 바탕으로 완전한 적격성 결정 절차를 진행해야 한다는 것이다. 방통위는 이에 대해 기업 활동을 위해 필요성이 있고, 개인정보 이슈가 온라인 중심이어서 개인정보보호법과의 충돌문제는 우려하지 않아도 된다고 하였으나, 끝내 EU에선 부분적 적정성 평가를 받아들이지 않았다.14

적정성 결정을 받게 되면 이후 국내의 개인정보보호 수준이 GDPR에 상응하는 수준으로 유지돼야 하기 때문에 결국 기업 활동에 대한 규제가 될 수 있다는 우려의 목소리가 존재한다. 그러한 주장의 근거는 개인정보 역외 이전 허가 사유 중‘적절한 보호조치’에 관한 규정을 적용하거나, 예외적인 사유를 들어 이전하는 것이 가능하기에 적정성 결정에 따른 국내 영향을 우선 검토하고 진행을 해야 한다는 것이다. 그러나 실제 적절한 보호조치와 같은 사유로 역외 이전 허가를 받는 데는 1년 이상의 상당한 시간이 걸리고, 대기업과는 달리 중소기업의 경우 이를 대비하기 위한 인적·물적 자원이 부족하다는 점에서 적정성 평가는 국내 기업의 EU 진출을 돕기 위해 거쳐가야 할 과제로 보인다.

다만 위와 같은 주장도 존재하는 만큼 GDPR이 기업에 미치는 부작용에 대해선 충분한 관찰과 분석이 선행되어야 하고 국내 개인정보보호법 체계 정비 과정에서 부작용 완화를 반드시 검토해야 한다. 현재 부분적 적정성 평가가 수용되지 않아 결국 국내 개인정보에 관한 여러 제도를 보완하여 전체 적정성 평가로 추진해야 하는 상황에 온 이상 GDPR 적정성 평가에 따른 영향을 주의깊게 분석하여 이를 추진해나가야 한다.

4. 시사점

GDPR 발효에 앞서 EU와 관계가 깊은 주요 국가들은 미리 영향을 예측하고 준비를 해왔기에 발효 후 6개월 정도가 지난 현재 시점에서 큰 혼란이나 눈에 띄는 분쟁사례가 보이진 않는다. 다만 GDPR의 목적이나 집행 방식이 조금씩 구체화 되어가면서 그 효과가 점점 드러나고 있는 것으로 보인다. 특히 구글, 페이스북과 같은 대형 IT 기업에 대해 GDPR 위반 신고가 제기15되었는데 설립지가 EU가 아닌 대형 IT 기업에 대한 정보 규제가 앞으로 어떻게 이뤄질 것인지를 주의 깊게 살펴보아야 한다.

개인 정보보호 강화의 움직임은 세계적인 추세다. 우리나라 역시 GDPR의 적정성 평가는 제외하더라도 다른 선진국들의 개인정보보호 수준을 고려할 때 앞으로 GDPR에 상응하는 수준의 개인정보보호체계를 구축하게 될 것이다. 이러한 가운데 EU의 GDPR 발효에 따른 다양한 변화는 눈여겨 지켜볼 필요가 있다.

  • 1 Security Affairs,“Chat app Knuddels fined €20k under GDPR regulation”(2018. 11. 24.).
  • 2 보안뉴스,“독일의 첫 GDPR 위반 사례, 비교적 훈훈하게 결론나다”(2018. 11. 28.).
  • 3 GDPR Art. 57, 58.
  • 4 IAPP,“Analysis: France’s GDPR implementation law”(2018. 8. 1.).
  • 5 ITPRO,“GDPR and Brexit: how will one affect the other?”(2018. 8. 29.).
  • 6 Lexology,“First GDPR fine issued by Austrian data protection regulator”(2018. 10. 5.).
  • 7 Mondaq,“First UK Enforcement Action Under GDPR And The New Data Protection Act”(2018. 9. 21.).
  • 8 GDPR 제5조 (a), (b), (c)항 위반.
  • 9 LG CNS,“독일의 데이터 보호법을 통해 알아보는 GDPR 이해”(2018. 2. 5.).
  • 10 ZDNet Japan,“EUと日本、個人データの相互移転で最終合意”(2018. 7. 19.).
  • 11 日本経済新聞,“EU個人データ、域外移転の禁止 日本は例外に”(2018. 9. 6.).
  • 12 경향신문,“외교전 뺨치는 EU GDPR 적정성 평가”(2018. 7. 22.).
  • 13 개인정보보호위원회, 제2017-25-198호 결정(2017. 11. 13.).
  • 14 미디어오늘“방통위 밀어붙인 개인정보 평가, EU에서‘퇴짜’”(2018. 11. 02.).
  • 15 ZDNet Korea,“구글-페북은 왜 GDPR 첫날 제소당했나”(2018. 5. 29.).

EU 개인정보보호법 동향 월간SW중심사회 2018년 12월호