Hayden

디지털 시대를 살아가는 우리에게 ‘개인정보 보호’는 더 이상 선택이 아닌 필수가 되었습니다. 오늘은 전 세계적으로 큰 영향을 미치고 있는 두 가지 중요한 개인정보보호 법률, 한국의 개인정보보호법EU의 일반 개인정보보호법(GDPR) 에 대해 함께 알아보려고 해요.

복잡한 법률 이야기라고 지레 겁먹지 마세요! 최대한 쉽고 재미있게 설명해드릴게요. 특히 금융기관에서 근무하시는 분들, 또는, 글로벌 비즈니스를 운영하시거나 계획 중이신 분들, 혹은 단순히 자신의 개인정보가 어떻게 보호받는지 궁금하신 분들께 도움이 되길 바랍니다. 😊

 

 

1. 개인정보보호법과 GDPR은 무엇인가요?

🇰🇷 한국 개인정보보호법

우리나라의 개인정보보호법은 2011년에 처음 제정되었어요. 그동안 여러 차례 개정을 거쳐 현재의 모습을 갖추게 되었죠. 이 법은 우리의 소중한 개인정보가 함부로 수집되거나 오용되지 않도록 보호하는 역할을 합니다.

“개인정보보호법은 개인정보의 수집·이용·제공 등에 관한 사항을 규정함으로써 개인의 자유와 권리를 보호하고, 나아가 개인의 존엄과 가치를 구현하기 위한 법률입니다.”

최근에는 디지털 환경의 변화에 맞춰 ‘데이터 3법’ 개정 등을 통해 산업에서의 데이터 활용과 개인정보 보호 사이의 균형을 찾고자 하는 움직임도 활발해지고 있어요.

🇪🇺 GDPR (General Data Protection Regulation)

GDPR은 2018년 5월 25일부터 시행된 EU의 개인정보보호 규정으로, 기존의 개인정보보호 지침(Directive)을 대체했습니다. 개인정보 보호에 관한 강력한 규정을 담고 있어 전 세계적으로 ‘개인정보 보호의 황금 기준(Gold Standard)’이라고 불리기도 해요.

GDPR은 단순히 정보 보호를 넘어 개인의 데이터에 대한 통제권을 강화하는 데 중점을 두고 있습니다. 디지털 시대에 개인이 자신의 정보에 대한 주도권을 가질 수 있도록 설계되었죠.

“GDPR의 핵심 철학은 ‘개인정보는 개인의 것’이라는 생각에서 출발합니다.”

 

2. 두 법률은 누구에게 적용될까요?

🇰🇷 한국 개인정보보호법의 적용 범위

한국 개인정보보호법은 기본적으로 대한민국 영토 내에서 이루어지는 개인정보 처리에 적용됩니다. 공공기관은 물론이고, 기업, 단체, 심지어 개인 블로그를 운영하는 분들도 모두 이 법의 적용을 받게 됩니다.

다만, 아래와 같은 경우에는 예외가 있어요:

  • 가족이나 친지 간의 개인정보 공유처럼 순전히 개인적이거나 가정적인 활동
  • 통계 작성이나 학술 연구를 위해 특정 개인을 알아볼 수 없는 형태로 처리하는 경우
  • 공중위생, 국가안보 등 특수한 목적을 위한 경우

🇪🇺 GDPR의 광범위한 적용 범위

GDPR은 한국 개인정보보호법보다 훨씬 더 넓은 범위에 적용됩니다. 놀랍게도 EU 밖에 있는 기업이라도 아래 조건에 해당한다면 GDPR을 준수해야 해요:

  1. EU 내에 사업장을 가지고 있는 경우
  2. EU 거주자에게 상품이나 서비스를 제공하는 경우
  3. EU 거주자의 행동을 모니터링하는 경우

이것이 바로 역외적용(extraterritorial effect) 이라는 GDPR의 가장 특징적인 부분입니다. 예를 들어, 서울에 있는 온라인 쇼핑몰이 EU 시민에게 상품을 판매한다면 GDPR을 준수해야 한다는 뜻이죠!

💡 현실적인 예로 생각해보면…
여러분이 운영하는 웹사이트에 프랑스나 독일에서 접속한 사람들의 데이터를 수집한다면, 그 순간 GDPR의 적용을 받게 됩니다. 전 세계 많은 웹사이트들이 EU 방문자에게 쿠키 동의를 요청하는 팝업을 보여주는 이유가 바로 이 때문이에요!

 

3. 닮은 점: 두 법률의 공통점

개인정보에 대한 폭넓은 정의

두 법률 모두 ‘개인정보’를 굉장히 넓게 정의하고 있어요. 이름, 주민등록번호와 같은 명백한 식별정보뿐만 아니라 위치 정보, IP 주소, 쿠키 ID와 같은 온라인 식별자까지도 개인정보로 보호하고 있습니다.

개인정보의 범위가 넓어질수록 우리의 디지털 프라이버시도 더 두텁게 보호받을 수 있겠죠?

정보주체의 든든한 권리 보장 : 두 법률은 모두 정보주체(개인)에게 다양한 권리를 부여합니다

권리 내용 실생활 예시
정보 접근권 자신의 개인정보가 어떻게 처리되고 있는지 알 권리 쇼핑몰에 “제 정보를 어떻게 사용하고 계신가요?” 라고 물어볼 수 있어요
정정권 잘못된 정보를 바로잡을 권리 “제 전화번호가 잘못 등록되어 있네요, 수정해주세요”
삭제권 더 이상 필요하지 않은 정보 삭제 요청 권리 “더 이상 서비스를 이용하지 않을 거예요, 제 정보를 삭제해주세요”
처리 제한권 특정 상황에서 정보 처리를 제한할 권리 “이 정보는 마케팅 목적으로 사용하지 말아주세요”

개인정보 처리의 기본 원칙

두 법률 모두 개인정보 처리에 관한 비슷한 원칙을 담고 있습니다:

🔹 적법성, 공정성, 투명성: 개인정보는 합법적이고 공정하며 투명한 방식으로 처리되어야 합니다.

🔹 목적 제한: 명확하고 구체적인 목적으로만 수집되어야 하고, 그 목적에 맞게만 사용되어야 합니다.

🔹 최소 수집: 꼭 필요한 최소한의 정보만 수집해야 합니다. 여러분이 온라인 쇼핑을 할 때 “이 정보는 왜 물어보는 거지?” 하고 의문이 든다면, 그건 이 원칙이 제대로 지켜지지 않고 있는 것일 수 있어요!

🔹 정확성: 개인정보는 정확하게 유지되어야 하며, 부정확한 정보는 즉시 수정되어야 합니다.

🔹 보관 제한: 개인정보는 필요한 기간 동안만 보관해야 합니다.

데이터 보안에 대한 강조

두 법률 모두 개인정보를 안전하게 보호하기 위한 기술적, 관리적 조치를 강조합니다. 쉽게 말해 “열쇠 잘 잠그고 관리 철저히 하세요”라는 의미죠! 기업들은 암호화, 접근 제어, 직원 교육 등 다양한 보안 조치를 취해야 합니다.

 

4. 다른 점: 핵심 차이점 살펴보기

개인정보 처리의 법적 근거

한국 개인정보보호법: 기본적으로 개인정보 처리를 위해서는 정보주체의 동의가 필요합니다. 물론 법률에 특별한 규정이 있거나 계약 이행을 위해 필요한 경우 등 일부 예외가 있지만, 동의가 가장 중요한 처리 근거입니다.

GDPR: 조금 더 유연한 접근 방식을 취합니다. GDPR에서는 개인정보 처리를 위한 6가지 합법적 근거를 제시하고 있어요:

  1. 동의 – “이 정보를 수집해도 될까요?”
  2. 계약 이행 – “주문하신 상품을 배송하려면 주소가 필요해요”
  3. 법적 의무 – “세금 신고를 위해 이 정보를 보관해야 해요”
  4. 중대한 이익 보호 – “응급 상황에서 연락처가 필요해요”
  5. 공익적 업무 – “공중 보건을 위한 연구에 활용됩니다”
  6. 정당한 이익 – “서비스 개선을 위해 사용자 행동을 분석합니다”

🔍 재미있는 비교:
한국에서는 온라인 서비스에 가입할 때 대부분 “개인정보 수집에 동의합니다”라는 체크박스를 많이 보게 되죠? 반면 EU에서는 “우리는 당신과의 계약을 이행하기 위해 이 정보를 처리합니다”와 같은 안내를 더 자주 볼 수 있어요.

데이터 보호 책임자

한국 개인정보보호법: 공공기관이나 5만 명 이상의 정보를 처리하는 사업자 등 일정 규모 이상의 개인정보처리자는 **개인정보 보호책임자(CPO)**를 의무적으로 지정해야 합니다.

GDPR: 세 가지 경우에 **데이터 보호 책임자(DPO)**를 의무적으로 지정해야 합니다:

  • 공공기관
  • 대규모로 정기적이고 체계적인 모니터링을 수행하는 경우
  • 특별 범주의 데이터(민감정보)를 대규모로 처리하는 경우

개인정보 보호책임자와 데이터 보호 책임자는 비슷한 역할을 하지만, GDPR의 DPO는 더 독립적인 지위를 가지며 직접 최고 경영진에게 보고할 수 있는 권한을 가집니다.

개인정보 영향평가

한국 개인정보보호법: 주로 공공기관을 대상으로 개인정보 영향평가를 의무화하고 있습니다.

GDPR: 민간기업을 포함해 개인의 권리와 자유에 높은 위험을 초래할 수 있는 처리 활동을 수행하는 모든 기관에게 데이터 보호 영향평가(DPIA)를 의무화합니다.

예를 들면, 새로운 기술을 도입하거나 민감한 정보를 대규모로 처리할 때는 “이것이 사람들의 프라이버시에 어떤 영향을 미칠까요?”라는 질문을 미리 검토해야 한다는 거죠.

‘잊힐 권리’의 차이

한국 개인정보보호법: 명시적인 ‘잊힐 권리’ 조항은 없지만, 정보주체의 요청에 따라 개인정보를 파기해야 하는 규정이 있습니다.

GDPR: 제17조에 명시적으로 ‘잊힐 권리(Right to be forgotten)‘를 규정하고 있습니다. 이는 단순한 정보 삭제를 넘어 검색 결과에서의 링크 삭제까지 포함하는 더 넓은 개념이에요.

기억나세요? 몇 년 전 “구글에서 내 이름을 검색하면 나오는 오래된 기사를 지워달라”는 요청이 유럽 법원에서 받아들여진 적이 있었죠? 바로 이 권리 때문입니다!

국외 이전 규제

한국 개인정보보호법: 2023년 개정을 통해 국외 이전 규제를 강화했습니다. 기본적으로 정보주체의 별도 동의가 필요하며, 이전되는 국가, 이전받는 자, 이전 목적 등을 명확히 알려야 합니다.

GDPR: 좀 더 다양한 국외 이전 메커니즘을 제공합니다:

  • 적정성 결정: EU 집행위원회가 해당 국가의 개인정보보호 수준이 적절하다고 인정
  • 표준계약조항(SCC): EU가 승인한 계약 조항 사용
  • 구속력 있는 기업규칙(BCR): 다국적 기업 그룹 내부의 데이터 이전 규칙
  • 행동강령 및 인증: 업계 행동강령이나 인증 체계 준수

 

5. 위반하면 어떻게 될까요?

🇰🇷 한국 개인정보보호법의 제재

과징금: 위반 행위에 따라 매출액의 **최대 3%**까지 부과 가능합니다.

형사처벌: 위반 행위의 종류에 따라 최대 5년 이하의 징역 또는 5천만원 이하의 벌금이 부과될 수 있어요.

징벌적 손해배상: 고의나 중과실로 인한 개인정보 유출 시 실제 손해액의 3배까지 손해배상 책임을 질 수 있습니다.

🇪🇺 GDPR의 강력한 벌금 체계

GDPR은 훨씬 더 강력한 제재를 가합니다:

과징금: 위반의 성격에 따라 두 가지 수준으로 나뉩니다:

  • 중대한 위반: 2천만 유로 또는 전 세계 연간 매출액의 4% 중 높은 금액
  • 일반 위반: 1천만 유로 또는 전 세계 연간 매출액의 2% 중 높은 금액

이 금액이 얼마나 큰지 감이 오시나요? 예를 들어, 메타(Facebook)는 2023년에 무려 13억 유로(약 1조 9천억원)의 과징금을 부과받았습니다. 이는 한국 기업들이 GDPR을 주의 깊게 살펴봐야 하는 이유 중 하나입니다.

⚠️ 현실적인 조언:
중소기업이라고 안심하지 마세요! GDPR 위반에 대한 과징금은 기업 규모와 상관없이 부과될 수 있습니다. 다만 감독기관은 과징금 결정 시 기업의 규모와 경제적 상황을 고려하기도 합니다.

 

6. 기업이 알아두면 좋을 실천 사항

모든 기업이 알아둘 기본 사항

두 법률을 모두 준수하기 위한 기본적인 조치들을 알아볼까요?

1️⃣ 투명한 개인정보 처리방침 마련하기

여러분의 웹사이트나 앱에 명확하고 이해하기 쉬운 개인정보 처리방침을 제공하세요. 이 문서는 다음 내용을 포함해야 합니다:

  • 어떤 정보를 수집하는지
  • 왜 수집하는지
  • 어떻게 사용하는지
  • 누구와 공유하는지
  • 얼마나 오래 보관하는지
  • 정보주체의 권리는 무엇인지

2️⃣ 개인정보 처리 기록 관리하기

GDPR은 명시적으로 처리 활동의 기록을 유지하도록 요구합니다. 한국 개인정보보호법에서도 개인정보의 처리에 관한 사항을 기록하고 보관할 것을 권장합니다.

실천 팁: 간단한 스프레드시트라도 좋으니, 어떤 개인정보를 왜, 어떻게, 얼마나 오래 처리하는지 기록해두세요.

3️⃣ 개인정보 보호를 설계에 반영하기

두 법률 모두 개인정보 보호 중심 설계(Privacy by Design) 원칙을 반영하고 있습니다. 새로운 서비스나 제품을 개발할 때 처음부터 개인정보 보호를 고려하세요.

실천 팁: 신규 서비스 기획 단계에서 “이 서비스에 정말 이 정보가 필요한가?”, “더 적은 정보로 같은 서비스를 제공할 수 있을까?” 라는 질문을 항상 던져보세요.

4️⃣ 보안 조치 강화하기

개인정보를 안전하게 보호하기 위한 기술적, 관리적 조치를 취하세요:

  • 암호화와 가명화
  • 접근 통제 및 권한 관리
  • 정기적인 보안 점검
  • 직원 교육 및 인식 제고

5️⃣ 개인정보 유출 대응 계획 마련하기

만약의 상황에 대비한 개인정보 유출 대응 계획을 미리 마련해두세요:

  • 한국: 24시간 이내 신고
  • GDPR: 72시간 이내 신고

한국 기업이 GDPR을 준수하기 위한 추가 조치

만약 여러분의 회사가 EU 시민들을 대상으로 서비스를 제공한다면, 다음과 같은 추가 조치가 필요합니다:

1️⃣ EU 내 대리인 지정하기

EU에 사업장이 없다면, EU 내에 **대리인(Representative)**을 지정해야 합니다. 이 대리인은 GDPR 관련 문제에 대해 감독기관과 정보주체의 연락창구 역할을 합니다.

2️⃣ 적법한 국외 이전 근거 마련하기

EU에서 한국으로 개인정보를 이전할 때는 적절한 안전조치가 필요합니다:

  • 한국이 적정성 결정을 받는다면 가장 좋겠지만, 현재는 진행 중인 상태
  • 그 전까지는 표준계약조항(SCC)과 같은 적절한 안전조치 활용

3️⃣ 동의 메커니즘 개선하기

GDPR의 동의 요건은 더 엄격합니다:

  • 명시적(Explicit): 분명하고 확실한 동의
  • 자유로운(Freely given): 강제성 없는 동의
  • 정보에 기반한(Informed): 충분한 정보 제공 후 동의
  • 구체적(Specific): 각 처리 목적별 개별 동의
  • 명확한 적극적 행위(Unambiguous affirmative action): 미리 체크된 박스는 안 됨!

 

7. 최신 동향: 법률 변화와 개정 사항

🇰🇷 한국 개인정보보호법의 최근 변화

데이터 3법 개정 (2020년)

2020년 1월, 이른바 ‘데이터 3법‘(개인정보보호법, 정보통신망법, 신용정보법)이 개정되었습니다. 주요 변화는:

  • 가명정보 개념 도입: 추가 정보 없이는 특정 개인을 식별할 수 없도록 처리한 정보
  • 가명정보 활용 확대: 통계 작성, 과학적 연구, 공익적 기록 보존 등의 목적으로 정보주체 동의 없이 활용 가능
  • 개인정보보호위원회 위상 강화: 국무총리 소속 중앙행정기관으로 격상
  • 데이터 결합 제도화: 서로 다른 기관이 보유한 가명정보의 결합 허용

2023년 개정안의 주요 내용

2023년 개정에서는 다음과 같은 변화가 있었습니다:

  • 국외 이전 규제 강화: 개인정보의 국외 이전 시 필요한 조치와 절차 명확화
  • 동의 없는 처리 근거 확대: 개인정보처리자의 정당한 이익을 위한 경우 등
  • 아동 보호 강화: 만 14세 미만 아동 대상 서비스 제공자의 의무 강화

💡 실용적 팁:
개인정보보호위원회 웹사이트(pipc.go.kr)에서 최신 개정 내용과 가이드라인을 정기적으로 확인하세요. 특히 중소기업을 위한 실무 가이드도 제공됩니다!

🇪🇺 GDPR 관련 최신 동향

한국의 적정성 결정 진행 상황

EU 집행위원회는 현재 한국에 대한 적정성 결정을 검토 중입니다. 이 결정이 이루어지면 EU에서 한국으로의 개인정보 이전이 훨씬 수월해질 것입니다.

적정성 결정은 이미 일본, 영국, 캐나다 등 여러 국가에 부여되었으며, 한국도 이에 합류할 가능성이 높습니다. 이는 한국 기업들에게 큰 기회가 될 수 있어요!

새로운 표준계약조항(SCC) 도입

2021년 6월, EU 집행위원회는 개정된 **표준계약조항(SCC)**을 발표했습니다. 모든 기업은 2022년 12월까지 기존의 SCC를 새로운 버전으로 교체해야 했습니다. 새 SCC는 Schrems II 판결을 반영하여 더 강화된 데이터 보호 의무를 담고 있어요.

Schrems II 판결과 그 영향

2020년 7월, 유럽사법재판소(CJEU)는 ‘Schrems II‘ 사건에서 EU-미국 프라이버시 실드(Privacy Shield)를 무효화하는 판결을 내렸습니다. 이 판결은 국제 데이터 이전, 특히 미국으로의 데이터 이전에 큰 영향을 미쳤죠.

이 판결 이후, 기업들은 제3국으로 데이터를 이전할 때 해당 국가의 법률과 관행이 EU 수준의 데이터 보호를 보장하는지 더 철저히 평가해야 합니다. 필요하다면 추가적인 보호 조치도 취해야 하고요.

AI 규제와 데이터 보호의 관계

최근 EU에서는 인공지능 규제(AI Act)가 제정되었습니다. 이는 GDPR과 밀접하게 연관되어 있어요. AI 시스템이 개인정보를 처리할 때는 GDPR의 원칙을 준수해야 하기 때문입니다.

특히 AI 시스템이 자동화된 의사결정을 할 때(예: 대출 승인, 채용 등) GDPR 제22조에 따라 정보주체는 그러한 결정에 이의를 제기할 권리가 있습니다.

 

8. 실제 사례로 알아보는 법 적용

법률 내용만 보면 조금 추상적일 수 있죠? 실제 사례를 통해 이 법률들이 어떻게 적용되는지 살펴보겠습니다.

한국 개인정보보호법 위반 사례

🔴 사례 1: N 쇼핑몰의 고객정보 유출 사건 (2022)

상황: N 쇼핑몰은 해킹으로 인해 약 10만 명의 고객 정보(이름, 연락처, 주소 등)가 유출되었습니다. 조사 결과, 쇼핑몰은 적절한 보안 조치를 취하지 않았으며, 유출 사실을 인지하고도 신고를 지연했습니다.

결과:

  • 과징금 3억원 부과
  • 시정명령(보안 강화 조치 이행)
  • 징벌적 손해배상 소송 제기(고객들로부터)

교훈: 개인정보 보안에 대한 기술적, 관리적 조치를 철저히 하고, 유출 사고 발생 시 24시간 이내에 신속하게 신고해야 합니다.

🔴 사례 2: P 교육기관의 동의 없는 마케팅 메시지 발송 (2023)

상황: P 교육기관은 학부모들에게 마케팅 메시지를 발송했는데, 이 과정에서 명시적 동의를 받지 않은 사람들에게도 메시지를 보냈습니다.

결과:

  • 과태료 2천만원 부과
  • 시정명령(동의 관리 체계 개선)

교훈: 마케팅 목적의 개인정보 이용은 반드시 별도의 명시적 동의가 필요합니다. 동의 여부를 철저히 관리해야 합니다.

GDPR 위반 사례

🔵 사례 1: Meta(Facebook)의 개인정보 불법 처리 (2023)

상황: Meta는 EU 사용자들에게 타겟 광고를 위한 개인정보 처리에 대해 적절한 법적 근거 없이 “서비스 이용 약관에 동의하면 광고를 위한 데이터 처리에도 동의하는 것”이라는 접근 방식을 취했습니다.

결과: 아일랜드 데이터보호위원회(DPC)가 13억 유로(약 1조 9천억원)의 과징금을 부과했습니다.

교훈: GDPR에서는 동의가 자유롭고, 구체적이며, 충분한 정보에 기반해야 합니다. 서비스 이용과 마케팅 동의를 묶는 것은 ‘자유로운 동의’로 인정받기 어렵습니다.

🔵 사례 2: H&M의 직원 모니터링 (2020)

상황: H&M 독일 지사는 직원들의 휴가 후 면담 내용을 상세히 기록하고, 이를 관리자들과 공유했습니다. 여기에는 건강 상태, 가족 문제, 종교적 신념과 같은 민감한 정보도 포함되어 있었습니다.

결과: 함부르크 데이터보호 감독기관이 3,530만 유로의 과징금을 부과했습니다.

교훈: 직원의 개인정보도 GDPR의 보호를 받으며, 특히 민감정보 처리에는 더욱 주의해야 합니다. 불필요한 정보 수집과 과도한 모니터링은 피해야 합니다.

💡 실질적인 조언:
이런 고액 과징금 사례를 보면 두려울 수 있지만, 감독기관들은 일반적으로 기업 규모와 위반의 심각성, 고의성 등을 고려합니다. 진정성 있게 법 준수를 위해 노력하고, 문제 발생 시 적극적으로 협조하는 태도를 보이는 것이 중요합니다.

 

9. 자주 묻는 질문

Q1: 한국 기업이 GDPR을 준수해야 하는 경우는 언제인가요?

A: 다음 중 하나라도 해당된다면 GDPR을 준수해야 합니다:

  • EU에 지사나 사무소를 운영하는 경우
  • EU 시민에게 상품이나 서비스를 제공하는 경우 (한국어 사이트여도 EU 통화로 결제가 가능하거나, EU 시민을 대상으로 한 마케팅을 한다면 해당될 수 있어요)
  • EU 시민의 행동을 모니터링하는 경우 (EU 방문자의 웹사이트 행동을 추적하는 경우 포함)

단, 우연히 또는 일시적으로 EU 시민이 서비스를 이용하는 경우까지 모두 GDPR 적용 대상이 되는 것은 아닙니다. 중요한 것은 EU 시민을 ‘의도적으로 타겟팅’하는지 여부입니다.

Q2: 개인정보 유출이 발생했을 때 신고 기한의 차이는?

A: 두 법률 간에 신고 기한이 다릅니다:

  • 한국 개인정보보호법: 유출 사실을 안 때부터 24시간 이내에 개인정보보호위원회 또는 한국인터넷진흥원(KISA)에 신고
  • GDPR: 유출 인지 후 72시간 이내에 관할 감독기관에 신고

신고 내용도 차이가 있는데, 두 경우 모두 유출된 개인정보의 항목, 유출 시점과 경위, 피해 최소화 조치 등의 정보를 포함해야 합니다.

Q3: 가명정보와 익명정보의 차이점은?

A: 두 개념은 완전히 다른 법적 지위를 가집니다:

가명정보:

  • 추가 정보 없이는 특정 개인을 식별할 수 없도록 처리한 정보
  • 예: 이름 대신 고유 코드를 사용하는 경우
  • 법적 지위: 두 법률 모두에서 여전히 개인정보로 보호
  • 다만, 일부 조건(통계, 연구 등)에서는 정보주체 동의 없이 활용 가능

익명정보:

  • 더 이상 개인을 식별할 수 없도록 처리된 정보
  • 예: 완전히 집계된 통계 데이터
  • 법적 지위: 두 법률 모두에서 개인정보로 보지 않음 (규제 대상 아님)

Q4: EU의 적정성 결정이란 무엇인가요?

A: EU 집행위원회가 특정 국가의 개인정보보호 수준이 EU와 동등하다고 공식적으로 인정하는 결정입니다.

적정성 결정을 받은 국가로는 개인정보를 이전할 때 별도의 안전조치(SCC 등) 없이도 자유롭게 이전할 수 있습니다. 현재 한국은 적정성 결정을 받기 위한 협의를 진행 중이며, 이 결정이 이루어지면 한-EU 간 데이터 이전이 훨씬 수월해질 것입니다.

현재 적정성 결정을 받은 국가로는 일본, 영국, 캐나다, 뉴질랜드, 스위스 등이 있습니다.

Q5: 두 법률 모두에서 ‘동의’가 중요한데, 유효한 동의의 조건은 무엇인가요?

A: 유효한 동의는 두 법률 모두에서 다음 요건을 충족해야 합니다:

  • 자발적: 강제나 불이익 없이 자유롭게 선택할 수 있어야 함
  • 구체적: 포괄적 동의가 아닌, 특정 목적에 대한 동의여야 함
  • 정보에 근거: 충분한 정보를 제공받은 후의 동의여야 함
  • 명확한 의사표시: 적극적인 행동으로 동의 의사를 표시해야 함

GDPR은 특히 동의 철회가 동의만큼 쉬워야 한다는 점을 강조합니다. “원클릭으로 동의했다면, 원클릭으로 철회할 수 있어야 한다”는 원칙이죠.

 

이상으로 개인정보보호법과 GDPR의 차이점과 공통점을 단계적으로 알아봤습니다. 개인정보보호법과 GDPR은 계속해서 변화하고 있습니다. 최신 정보를 계속 확인하고, 필요할 때는 전문가의 도움을 받는 것이 중요합니다. 글로벌 비즈니스를 준비하는 기업이라면, 두 법률의 차이점을 이해하고 각각의 요건을 충족할 수 있는 전략을 마련해야 합니다. 이 글이 우리나라 개인정보보호법과 GDPR을 이해하는 데 도움이 되셨기를 바라며, 추가 질문이 있으시면 언제든지 댓글로 남겨주세요. 🙂

 

댓글 남기기