본문 바로가기

정책/정보센터이용자정책

위원회 회의
  • 정책/정보센터
  • 정책과제
  • 이용자정책
본문 시작

이용자정책

더 좋은 서비스 문화를 만들어가기 위한 공간입니다.방송과 통신에 대한 사용자의 권익증진과 인터넷 등 네트워크 환경에서 올바른 여론형성을 위해 기반을 마련하는 정책입니다.

EU의 개인정보보호 강화 대비, 기업준비사항 안내에 정부부처 한마음
제목 EU의 개인정보보호 강화 대비, 기업준비사항 안내에 정부부처 한마음 담당부서 개인정보보호협력팀
작성자 이정수 연락처 02-2110-1538
첨부파일 등록일 2018-05-10
□ 이달 25일 유럽연합(이하 EU)에서 개인정보보호법(이하 GDPR)*이 시행됨에 따라 EU에 진출하려는 기업이라면 새로운 규정에 맞춘 대비가 필요하다고 전문가들이 입을 모으고 있다.
* GDPR : General Data Protection Regulation


[EU GDPR과 한국 개인정보보호법제 비교]

◇ (적용범위) GDPR은 사업체가 EU 지역에 있지 않더라도 인터넷홈페이지를 통해 재화·서비스를 제공하거나 EU 시민의 개인정보를 모니터링할 때에도 적용됨을 명시적으로 규정하고 있으나, 우리법은 명시적인 규정이 없음
◇ (정보주체의 권리) GDPR은 열람청구권·정정·삭제권 등 우리법상의 권리 외에 다른 서비스로의 자신의 개인정보이동요청(정보이동권) 등 추가규정
◇ (기업의 책임성) GDPR과 우리법 모두 개인정보보호책임자(DPO/CPO) 지정, 영향평가 실시, 유출신고통지 등 유사한 내용을 규정
◇ (역외이전) GDPR은 EU 시민의 개인정보를 한국으로 이전하려면 개별기업 차원에서 이전계약, 개인정보보호 기업규칙 등 별도의 보호조치나 국가차원의 협의가 필요한 반면, 우리법은 원칙적으로 정보주체의 동의 하에서 이전가능

○ 이윤숙 행정안전부 개인정보보호협력과장은 “한국의 개인정보보호법이 유럽 모델을 참고로 해서 만들어졌기 때문에 국내 법률을 성실히 준수해 온 기업이라면 이번 GDPR에서 바뀐 규정을 중심으로 대비하면 될 것“이라고 말했다.
* EU GDPR 가이드라인 : 총 12종 중 9종 발표

□ EU GDPR 시행을 맞아 정부는 관계부처 합동체계를 구축하여 대응하고 있다.

○ 그간에는 행정안전부와 한국인터넷진흥원을 중심으로 국내 및 EU 현지에서 기업설명회*를 개최(10회)하고 EU GDPR 주요내용 안내를 위한 다양한 교육자료*를 제작·배포해 왔다.

* 국내 세미나 : ‘17년 4회(‘17. 5, 10, 12월, ’18.4월), ‘18년 한국인터넷진흥원 세미나 3회(‘18. 4/27, 5/4, 5/10) 등 2,000여명 안내
EU 현지 세미나 : 3회(‘17.11월/‘18.4월, 브뤼셀; ‘18.2월, 헤이그)
** EU GDPR 원문·번역본, 해설서, 기업 준비사항 체크리스트 등 10여종 콘텐츠 제공

○ 이를 통해 많은 기업들의 GDPR에 대한 이해도가 높아졌으나 아직 상당수 기업들의 준비가 시급한 상황으로, 정부는 5~6월에 관계부처 합동으로 기업안내를 대폭 강화한다는 방침이다. 강기성 중소벤처기업부 국제협력담당관은 “기업 인식제고, 교육상담 등 국내 중소기업의 대응역량강화를 적극 지원할 것”이라고 밝혔다.
○ 무역협회, KOTRA, 중소기업중앙회 등 기업협회·단체와의 협력을 통해 기업설명회*를 집중 개최하고, 참석이 어려운 기업을 위해서는 온라인 교육콘텐츠를 제공하는 동시에, 구체적인 상담이 필요한 기업을 위한 애로사항 접수 및 상담도 실시할 계획이다.
* 기업설명회 : 중견기업연합회(5.18.), KOTRA·무역협회(5.28.), 온라인쇼핑·백화점 등 유통협회(5.29.), 대(對) EU수출 및 준비 중소기업(5.23/5.24/5.30.), PIS FAIR(6.1.)

○ 정부가 제작·배포하는 안내서와 해설서 등 교육자료는 한국인터넷진흥원 내 온라인 GDPR 전담창구*에서 내려받을 수 있고, 5월 중 EU집행위원회가 세부 지침을 발표하면 이를 반영한 지침서도 새롭게 제작할 예정이다(5월 말 예정).
* 온라인 GDPR 전담창구 : http://gdpr.kisa.or.kr / ☎ 061-820-1805 (5.11. 개설 예정)

○ GDPR에 관한 문의사항은 무역협회·KOTRA, 전국 14개 중소기업수출지원센터, 중소기업중앙회 등에서 운영하는 애로사항 접수창구를 이용할 수 있고 전문적인 상담은 한국인터넷진흥원에서 제공하는 상담서비스를 활용하면 된다.

□ 기업의 주요 관심사항인 개인정보 해외이전에 대해서는 가장 시급한 온라인사업 분야부터 국가 차원에서 EU 집행위원회와 일괄적인 협의(적정성 결정*)를 진행 중이며 앞으로 온라인분야 외에도 제조업을 포함한 모든 교역부문에서 추가 협의도 추진할 계획이다
* 적정성 결정(adequacy decision) : 개인정보보호 수준이 EU와 동등한 수준으로 인정될 경우 기업이 별도의 조치 없이 개인정보 이전이 가능하다는 EU 집행위원회의 결정

○ 협의가 완료되면 매번 EU 회원국의 승인 등을 거치지 않고도 EU에서 한국으로 개인정보를 이전할 수 있어 한-EU간 전자상거래 활성화에 기여할 것으로 기대된다.

□ 정부관계자는 “유럽에서 사업을 하려는 기업은 EU 현지의 법률을 준수하여 불이익을 받지 않도록 각별한 관심을 가질 것”을 당부하면서, “지금 진행 중인 협의를 신속히 완료하여 기업의 부담이 감소될 수 있도록 노력하겠다.”고 밝혔다.

참고1

기업 GDPR 대응 주요 업종별 교육일정 계획



교육 대상
주요 내용
예상
규모
일시
장소
주관단체
(연락처)
對EU
진출?수출
기업
EU GDPR 대응 설명회
200명
5.28.(월)
오후
IK 대회의실
(서울 양재시민의숲역)
무역협회?코트라
(02-6000-4245, 02-3460-7593)
중견기업
EU 개인정보보호법 및 국내 개인정보보호법 설명회
100명
5.18.(금)
시간 미정
한국상장사협의회
중견기업연합회
(02-3275-3094)
유통업계
유통업체 대상
EU 개인정보보호법 대응
설명회
100명
5.29.(화)
14~17시
대한상의 중회의실
(서울시청역)
대한상의
(02-6050-1509)
對EU
수출?준비
중소기업
EU GDPR 안내 및 대응
설명회
70명
5.23.(수)
오후
전자부품연구원
(광주 북구
첨단과기로 226)
중소기업중앙회?한국화학융합
시험연구원
(02-2124-3163, 02-2164-1421)
對EU
수출?준비
중소기업
EU GDPR 안내 및 대응
설명회
100명
5.24.(목)
오후
대전지방
중소벤처기업청
중소기업중앙회?한국화학융합
시험연구원
(02-2124-3163, 02-2164-1421)
對EU
수출?준비
중소기업
EU GDPR 안내 및 대응
설명회
100명
5.30.(수)
오후
KTX 서울역 대회의실
중소기업중앙회?한국화학융합
시험연구원
(02-2124-3163, 02-2164-1421)
IT기업
우리 기업을 위한
GDPR 대응 세미나
250명
5.11.(금)
14~18시
한국인터넷진흥원
서울청사
(서울 경찰병원역)
한국인터넷진흥원
(061-820-1804)
IT기업
「우리 기업을 위한 유럽 GDPR 가이드북」
북 콘서트
300명
5.25.(금)
14~17시
교보빌딩 컨벤션홀
(서울 광화문역)
한국인터넷진흥원
(061-820-1804)


참고2

EU 지침(Directive 95/46/EC)과 GDPR 비교


o 지침이 사전인가(pre-authorisation)와 사전통보(pre-notification)를 기반으로 해서 불필요한 요식행위로 인한 비용을 초래하였다면, GDPR은 책임성(accountability)을 기반으로 하고 있어 기업 스스로가 개인정보보호 방식 및 수단에 있어 더 큰 자율성을 가질 수 있고 이로 인해 비용절감도 가능

- 기존 지침과 GDPR은 실질 내용(substance)에 있어서는 근본적인 변화는 없으며 개인정보보호 그 자체는 기업에게 무엇을 금지하거나 허용하는 것이 아니며, 다만 개인정보보호 방식에 대한 올바른 법적인 근거를 수립하고 적절한 보호조치를 취할 것을 요구

[지침(Directive 95/46/EC)에서 GDPR로의 주된 변경사항]

【EU 지침(95/46/EC)】 (~‘18.5.24일)

【EU GDPR】 (‘18.5.25일~ )

- 총 72개 전문, 7장 34개 본문

- 개보법은 회원국마다 크게 다름

- 제29조 작업반이 특정이슈에 대해 공통의
해석과 분석을 제공함으로써 EU회원국의 정보보호법의 해석에 어느 정도 조화를 가져옴

※ 제29조 작업반(Working Party): 회원각국 감독기관 대표, EU사법총국정보보호과 대표, EU정보보호감찰기관(EDPS) 대표로 구성

- 한정된 법집행과 재재 미미



- 총 173개 전문, 11장 99개 본문

- 회원 각국의 개보법은 폐지
※ 단, 일정사항(고용, 저널리즘, 연구 등)에 대해서는 회원국 별 개별입법이 가능하므로 유의할 필요가 있음

- 지침보다도 범위를 확대
ㆍ회원국 간 조화를 증대
ㆍ기업에 대해 새로운 설명책임 도입

- 개인의 권리를 강화

- 제재와 집행을 증대

- 제29조 작업반은 EDPB(EU 개인정보보호위원회)로 격상


※ EDPB (EU 개인정보보호위원회, European Data Protection Board)
- 자문기관 및 상급위원회의 역할을 수행
- 자문기구로서 다음의 경우 의견을 제공
ㆍ개인정보보호 영향평가를 위한 요건의 대상이 되는 처리업무의 리스트를 채용하는 경우
ㆍ다수 회원국에서 처리활동에 관련되는 행동규범을 승인하는 경우
ㆍ표준계약조항(SCC)을 결정하는 경우
ㆍ구속력 있는 기업규칙(BCR)을 승인하는 경우
[지침(Directive 95/46/EC)과 GDPR 비교표]


구 분
지침(Directive/95/46/EC)
일반개인정보보호법(GDPR)
개인정보의
범위
· 식별되었거나 식별될 수 있는
자연인에 관한 모든 정보
· 민감정보의 처리 금지
· 식별되었거나 식별될 수 있는
자연인에 관한 모든 정보
· 가명화 정보, 프로파일링 정보 추가
· 민감정보에 유전정보와 전과 또는 관련 안전조치 추가
적용범위 및 역외적용
· 자동처리 되는 개인정보 및 파일링
시스템을 구성하는 개인정보
· 좌동
· 처리가 회원국의 역내에 설치된 처리자의 활동에 관련해서 이루어지는 경우와, 역내에 설치된 설비로 이용해서 정보처리되는 경우의 역외적용
· 역외적용 범위를 지침 이상으로 확대 (역내 설비가 없어도 역내정보주체에게 재화, 서비스 등을 제공하거나 행동을 모니터링 하는 경우에 적용)
정보주체의
권리
· 정보주체의 동의(자유롭고 충분하게 정보를 제공되는 가운데 의사표시)

· 정보주체의 정정, 삭제, 반대권
· 정보주체의 동의(자유롭고 특정적 정보를 받은 상태에서 명확한 의사표시)와 관리자의 동의취득 입증책임, 정보주체의 동의 철회권

· 개인정보의 삭제 및 확산을 정지
시킬 권리(삭제권)

· 프로파일링 반대권 추가
사업자의
의무
· 관리자 및 처리자의 일반적 의무
· 행동규범의 책정 촉진
· 좌동
· 행동규범의 책정촉진(고려규범에 소비자의 권리존중을 추가)
· 정보보호책임자(DPO)의 지명
(중소기업의 면제요건)
· 정보 침해통지 의무
· 인증제도 장려(EU정보보호인장)
· PbD와 영향평가 도입
정보이전
· EU역외 제3국으로의 개인정보
이전을 금지(원칙)
· 적정성 평가, 구속적 기업규칙,
표준보호조항 등 적절한 안전보호
조치를 취한 후 이전 가능
· 기타 예외(정보주체의 동의 등)
· 좌동
· 역시 적절한 안전 보호조치를 취한 후 정보이전 가능 (적절한 보호조치 근거로 행동 강령, 인증제도 등 신설)
· 기타 예외(정보주체의 동의 등)
감독기관
· 1개 또는 복수 기관의 감독책임과
그의 독립성의 담보
· 감독기관의 권한(조사, 중재권한 등)
· 벌칙과 구제(사법적 구제와 벌칙을 국내법으로 규정)
· 감독기관의 완전독립성과 공평성 조건
· 감독기관의 집행권한을 강화해
집행력 있는 제제권한을 부여
· 정보주체의 감독기구에 민원신청
및 사법구제권 명기
· 최대 2천만 유로 또는 전세계
연매출액의 4% 과징금 부과 가능




참고3

EU에서 제3국으로 개인정보 이전방법


⑴ 현행 EU개인정보보호 지침(Directive/95/46/EC)의 규정

☞ 아래의 경우에 EU역내의 관리자로부터 제3국의 관리자(또는 처리자)에게로 정보이전이 가능

① 적정성 인정 : EU집행위가 적정한 수준의 개인정보보호를 보증하고 있다고 인정한 국가 등(제25조)
※ 「개인정보의 제3국 이전: EU개인정보보호 지침 제25조 및 제26조의 적용(WP12 5025/98)」('98.7.24)을 근거로 평가

② 미국은 특례로서 Safe harbor 협정 (2015년 무효판결, 2016년부터 privacy shield)
- EU집행위는 2000년에 세이프 하버원칙을 준수한다고 자율선언을 하는 미국기업에 대해서 개인정보의 「적정한 수준의 보호」를 하고 있다고 인정하는 결정을 실시 (세이프 하버 결정)
- 자율선언을 한 기업은 미국상무성 사이트(Safe harbor List)에 게재(2015년 10월기준으로 약 4,500개사) ex) Google, Amazon, Facebook, Microsoft, Apple 등
- 세이프 하버 7원칙: 통지, 선택, 제3자제공, 안전성, 정보의 완전성, 열람, 집행

③ 예외규정으로서
- 표준계약조항(Standard Contractual Clauses: SCC) (제26조제4항) :
EU집행위가 책정, 2001년 양식, 2004년 양식, 2010년 양식이 있음

- 구속력 있는 기업규칙(Binding Corporate Rules: BCR) (제26조제2항) :
다국적기업, 기업그룹내부에서의 개인정보 이전을 대상. 감독기관이 승인

- 기타, 정보주체가 명확한 동의를 부여한 경우나 정보주체 및 관리자 간의 계약이행을 위하여 필요한 경우 등 (제26조제1항)
⑵ GDPR의 규정

☞ 아래의 경우에 EU역내의 관리자로부터 제3국의 관리자(또는 처리자)에게로 정보이전이 가능

① 적정성 인정 : EU집행위가 적정한 수준의 개인정보보호를 보증하고 있다고 인정한 국가 등(제45조)
※ 「개인정보의 제3국 이전: EU개인정보보호 지침 제25조 및 제26조의 적용(WP12 5025/98)」('98.7.24)을 근거로 평가, (2017년 11월에 WP12를 갱신한 WP254 발표)

② 미국은 특례로서 Safe harbor 협정 (2015년 무효판결, 2016년부터 privacy shield)
- EU집행위는 2000년에 세이프 하버원칙을 준수한다고 자율선언을 하는 미국기업에 대해서 개인정보의 「적정한 수준의 보호」를 하고 있다고 인정하는 결정을 실시 (세이프 하버 결정) ※ 형식상으로 「적정성 인정」의 하나
- 2015년 10월에 EU사법재판소(EcJ)가 무효판결 결정, 2016년부터 후속 Privacy Shield 개시

③ 적정성 인정이 없는 경우는 아래의 「적절한 안전관리조치」가 필요
- 표준데이터보호조항(Standard Data Protection Clauses: SDPC, 舊 SCC) (제46조제2항c) : EU집행위가 책정, EU지침 시기의 SCC는 2001년 양식, 2004년 양식, 2010년 양식이 있음
- 구속력 있는 기업규칙(Binding Corporate Rules: BCR) (제47조) :
다국적기업, 기업그룹내부에서의 개인정보 이전을 대상. 감독기관이 승인
- 나아가 GDPR에서는「인증제도」,「행동규범」에 의한 이전수단이 추가됨

④ 적정성 인정도, 적절한 안전관리조치도 없는 경우에는 다음의 예외조치가 존재
- 본인이 명시적인 동의를 부여한 경우나 정보주체 및 관리자 간의 계약이행을 위하여 필요한 경우 등 (제49조)
? 한국기업은 주로 (1) SCC 또는 (2)본인동의를 이용해서 EU역내에서 개인정보이전

목록

이전글, 다음글
이전글 방통위, 빛고을 광주에 「아름다운 인터넷세상」문을 열다!2018-05-04
다음글 ◆ 지난 9일부터 ‘우리민족끼리’ 등 북한이 해외에서 개설한 웹사이트의 접속차단이 일제히 해제되었다고 보도된 내용에 대해 아래와 같이 설명 드립니다.2018-05-11
  • 만족도평가
  • 지금 보고 계시는 화면의 정보와 사용 편의성에 만족하십니까?

항목관리자 이용자정책총괄과  02-2110-1512 , 확인날짜 : 2019-07-02
13809 경기도 과천시 관문로 47, 2동

민원안내 : 02-500-9000(평일 09:00~18:00), 팩스 : 02-2110-0153

Copyright © Korea Communications Commission. All Rights reserved.