인사이트

글로벌 성장을 꿈꾸는 기업을 위한 GDPR 개념 정리

표지_GDPR

안녕하세요. 개인정보보호 파트너 캐치시큐입니다.

해외로 진출을 꿈꾸는 서비스라면 GDPR에 대해 들어본 적 있을 거예요.

GDPR은 EU(유럽연합)의 개인정보보호법을 말해요.

우리나라 개인정보보호법도 어렵게 느껴지는데, 유럽의 개인정보보호법까지 어떻게 대비해야 할지 걱정하는 곳이 많더라고요.

하지만! 2021년 12월 17일, GDPR 적정성이 결정으로 한층 대비가 수월해졌습니다.

GDPR 적정성 결정은 다른 국가의 개인정보보호 법령이 GDPR 수준의 개인정보보호를 보장한다는 것을 인정받았음을 의미해요.

즉, 한국의 개인정보 보호 법제가 EU 회원국과 동등한 수준으로, 유럽과의 법적 우위를 나란히 하게 되었기 때문에 미리 알고 준비한다면 시장 진출이 어렵지 않은데요.

글로벌 서비스로 도약하기 위해 꼭 알아야 하는 개념, GDPR에 대해 알아보겠습니다.

 

Check
  1. GDPR이란?
  2. 적정성 결정이란?
  3. GDPR 적정성 결정을 통해 달라진 것

 

1. GDPR이란?

 

GDPR(General Data Protection Regulation)이란, 2018년 5월 25일부터 시행되고 있는 EU(유럽연합)의 개인정보보호 법령입니다.

개인정보는 각 나라의 법령에 그대로 따라 과징금 등 행정 처분 부과의 기준을 삼습니다.

따라서 GDPR이 적용되는 대상에 포함되는지 반드시 짚고 넘어가야 하는데요.

GDPR의 적용 대상 및 범위는 아래와 같습니다.

적용 대상 및 범위
  • EU 내에 사업장을 운영하며 개인정보를 처리
  • EU 거주자에게 재화나 서비스를 제공
  • EU 거주자의 EU 내 행동 모니터링

EU 내 사업장이 없더라도, EU 거주자를 대상으로 사업을 하는 경우 GDPR의 적용 대상이 됩니다.

제정 과정
  • 2016년 5월 27일 채택, 2018년 5월 25일 시행 (2년의 유예)
  • 모든 EU 회원국에 직접적으로 적용됨
  • 회원국 간 통일된 법 적용 및 관련 규제 가능
  • 총 11장, 173개 전문, 99개의 본문으로 구성
  • 정보 주체의 권리 확대 : ① 동의 요건 강화, ② 데이터 이동권·잊힐 권리 등 도입
  • 기업의 책임성 강화 :
    ① DPO 지정,
    ② 개인정보 영향평가(DPIA)
    ③ Data Protection by Design and by Default
    ④ 처리 활동의 기록
    ⑤ 기술적 관리적 보호조치
    개인정보 유출 통지 신고제 등 도입

 

제정 과정에서 알 수 있듯이 GDPR은 기업의 개인정보 보호에 대한 책임을 강화하고, 정보주체의 권리를 강화하기 위해 제정된 법률입니다.

기존에는 한국 기업이 EU에 진출하게 될 경우 EU의 법률을 준수해야 하는 부담을 안고 있었는데요.

2021년 12월 GDPR 적정성 결정 이후, GDPR에 근거하는 대한민국의 법규를 준수한다면 EU 시민들의 개인정보를 EU의 역외로 이전할 수 있게 되었습니다.

 

▹ 한국 기업이 EU 시민들의 개인정보를 유럽연합(EU)의 역외로 이전하기 위한 GDPR 법적 근거 (GDPR 제5장, 제44조-제49조)
  • 적정성 결정에 따른 이전(Transfer on the basis of an adequacy decision) (제45조)
  • 적절한 보호조치(Appropriate safeguards)에 의한 이전 (제46조)
  • 특정 상황에 대한 예외 (제49조제1항)

 

2. GDPR 적정성 결정이란?

 

그렇다면, GDPR 적정성 결정이란 과연 무엇일까요?

GDPR 적정성 결정(Adequacy Decision)이란, EU의 집행위원회가 EU 유럽연합이 아닌 타 국가의 개인정보 보호 법령도 GDPR 수준으로 개인정보를 보호하고 있다고 보장하는 것을 말해요.

2021년 12월 GDPR 적정성 결정 발효출처 – KISA GDPR 대응지원 센터

 

이 결정은 3단계에 걸쳐서 진행되는데, 선정되기가 쉽지 않아요.

  • 1단계 : EU 집행위원회(European Commission)에서 초기결정 채택을 공식화
  • 2단계 : 결정서 초안 발표 및 EU 정보보호이사회의 의견을 수렴, 집행위 담당과 회원국 대표 간 협의 절차(커미톨로지 – Comitology) 진행
  • 3단계 : EU 집행위원회 전원의 회의를 거쳐 최종적으로 적정성 결정 여부 채택

 

우리나라는 2017년 1월부터 GDPR 적정성 채택을 위한 논의를 시작했고, 만 5년 만의 노력 끝에 2021년 드디어 결실을 보게 되었습니다.

이는 영국, 일본 다음으로 우리나라가 세 번째로 GDPR 적정성 선정을 받게 된 것입니다.

 

3. GDPR 적정성 결정을 통해 달라진 점?

 

그렇다면 적정성 결정을 통해 무엇이 달라졌을까요?

우리나라의 법을 적용받는 기업과 단체들이 EU에 속한 다른 국가들과 마찬가지로 별도의 절차 없이도 EU 시민들의 개인정보를 이전받아 처리할 수 있게 되었습니다.

한국이 EU 회원국에 준하는 지위를 부여받게 됨에 따라,
우리나라 기업이 EU 시민들의 개인정보를 역외로 이전하게 될 경우 기존에 필요했던 표준계약 등의 까다로운 절차가 면제되었어요.

즉, 기업이 개별적으로 대응할 필요 없이 안정적으로 유럽연합 시민들의 개인정보 데이터를 한국으로 이전할 수 있게 된 것입니다.

 

▹ GPDR 적정성 결정 발효의 결과

• 한국이 개인정보 국외 이전에 있어 EU 회원국에 준하는 지위 부여

• 개인정보 국외 이전을 하는 한국 기업의 경우 표준계약 등 기존의 까다로운 절차 면제

• 한국 기업들의 EU 진출 확장 가능

• EU 진출을 위해 개인정보 보호에 들여야 했던 시간 및 비용 대폭 절감

• 한국 – EU 간 데이터 교류·협력 강화 가능

 

다만, 아직 모든 영역이 통과된 것은 아니에요.

국내 기업 중 신용정보법에 의거하여 금융위원회가 감독하는 영역은 2021년 GDPR 적정성 결정 영역에서 제외되었습니다.

금융기관들은 계속해서 EU GDPR의 표준개인정보보호조항(Standard Contractual Clauses, SCCs)을 지켜야 해요.

EU 시민의 신용정보는 한국으로 이전이 불가하다는 적정성 결정이 내려졌기 때문에,
현재의 SCCs 기반 계약을 통해 EU 시민의 개인정보를 한국으로 이전하고 있는 금융기관들은 계속해서 SCCs를 준수해야 합니다.

따라서 4년 뒤 진행될 재협상 과정에서 GDPR 적정성 결정에 금융 분야를 포함하는 것에 대한 논의가 추가로 이루어져야 하는 상황입니다.

 

4. 마치며

이번 글에서는 GDPR이 무엇인지, 그리고 GDPR 적정성 결정이 무엇을 의미하는지 알아보았습니다.

저희 캐치시큐는 해외를 대상으로 하는 서비스에도 바로 적용할 수 있도록 영문 버전의 동의서와 처리방침도 제공하고 있어요.

 

영문 캐치시큐 동의서

캐치시큐 – 영문 버전 개인정보 수집이용 동의서

해외 이용자를 대상으로 하는 서비스도 GDPR을 완벽하게 준수할 수 있도록 만들어졌기 때문에, 한국어 버전과 영문 버전 문서를 언제든지 선택해 사용하면 돼요.

해외 진출도 함께하는 캐치시큐, 더 궁금한 게 있다면 무엇이든 물어보세요!

감사합니다.

 

           

 

# 인사이트

관련 최신글

표지_GDPR

안녕하세요. 개인정보보호 파트너 캐치시큐입니다.

해외로 진출을 꿈꾸는 서비스라면 GDPR에 대해 들어본 적 있을 거예요.

GDPR은 EU(유럽연합)의 개인정보보호법을 말해요.

우리나라 개인정보보호법도 어렵게 느껴지는데, 유럽의 개인정보보호법까지 어떻게 대비해야 할지 걱정하는 곳이 많더라고요.

하지만! 2021년 12월 17일, GDPR 적정성이 결정으로 한층 대비가 수월해졌습니다.

GDPR 적정성 결정은 다른 국가의 개인정보보호 법령이 GDPR 수준의 개인정보보호를 보장한다는 것을 인정받았음을 의미해요.

즉, 한국의 개인정보 보호 법제가 EU 회원국과 동등한 수준으로, 유럽과의 법적 우위를 나란히 하게 되었기 때문에 미리 알고 준비한다면 시장 진출이 어렵지 않은데요.

글로벌 서비스로 도약하기 위해 꼭 알아야 하는 개념, GDPR에 대해 알아보겠습니다.

 

Check
  1. GDPR이란?
  2. 적정성 결정이란?
  3. GDPR 적정성 결정을 통해 달라진 것

 

1. GDPR이란?

 

GDPR(General Data Protection Regulation)이란, 2018년 5월 25일부터 시행되고 있는 EU(유럽연합)의 개인정보보호 법령입니다.

개인정보는 각 나라의 법령에 그대로 따라 과징금 등 행정 처분 부과의 기준을 삼습니다.

따라서 GDPR이 적용되는 대상에 포함되는지 반드시 짚고 넘어가야 하는데요.

GDPR의 적용 대상 및 범위는 아래와 같습니다.

적용 대상 및 범위
  • EU 내에 사업장을 운영하며 개인정보를 처리
  • EU 거주자에게 재화나 서비스를 제공
  • EU 거주자의 EU 내 행동 모니터링

EU 내 사업장이 없더라도, EU 거주자를 대상으로 사업을 하는 경우 GDPR의 적용 대상이 됩니다.

제정 과정
  • 2016년 5월 27일 채택, 2018년 5월 25일 시행 (2년의 유예)
  • 모든 EU 회원국에 직접적으로 적용됨
  • 회원국 간 통일된 법 적용 및 관련 규제 가능
  • 총 11장, 173개 전문, 99개의 본문으로 구성
  • 정보 주체의 권리 확대 : ① 동의 요건 강화, ② 데이터 이동권·잊힐 권리 등 도입
  • 기업의 책임성 강화 :
    ① DPO 지정,
    ② 개인정보 영향평가(DPIA)
    ③ Data Protection by Design and by Default
    ④ 처리 활동의 기록
    ⑤ 기술적 관리적 보호조치
    개인정보 유출 통지 신고제 등 도입

 

제정 과정에서 알 수 있듯이 GDPR은 기업의 개인정보 보호에 대한 책임을 강화하고, 정보주체의 권리를 강화하기 위해 제정된 법률입니다.

기존에는 한국 기업이 EU에 진출하게 될 경우 EU의 법률을 준수해야 하는 부담을 안고 있었는데요.

2021년 12월 GDPR 적정성 결정 이후, GDPR에 근거하는 대한민국의 법규를 준수한다면 EU 시민들의 개인정보를 EU의 역외로 이전할 수 있게 되었습니다.

 

▹ 한국 기업이 EU 시민들의 개인정보를 유럽연합(EU)의 역외로 이전하기 위한 GDPR 법적 근거 (GDPR 제5장, 제44조-제49조)
  • 적정성 결정에 따른 이전(Transfer on the basis of an adequacy decision) (제45조)
  • 적절한 보호조치(Appropriate safeguards)에 의한 이전 (제46조)
  • 특정 상황에 대한 예외 (제49조제1항)

 

2. GDPR 적정성 결정이란?

 

그렇다면, GDPR 적정성 결정이란 과연 무엇일까요?

GDPR 적정성 결정(Adequacy Decision)이란, EU의 집행위원회가 EU 유럽연합이 아닌 타 국가의 개인정보 보호 법령도 GDPR 수준으로 개인정보를 보호하고 있다고 보장하는 것을 말해요.

2021년 12월 GDPR 적정성 결정 발효출처 – KISA GDPR 대응지원 센터

 

이 결정은 3단계에 걸쳐서 진행되는데, 선정되기가 쉽지 않아요.

  • 1단계 : EU 집행위원회(European Commission)에서 초기결정 채택을 공식화
  • 2단계 : 결정서 초안 발표 및 EU 정보보호이사회의 의견을 수렴, 집행위 담당과 회원국 대표 간 협의 절차(커미톨로지 – Comitology) 진행
  • 3단계 : EU 집행위원회 전원의 회의를 거쳐 최종적으로 적정성 결정 여부 채택

 

우리나라는 2017년 1월부터 GDPR 적정성 채택을 위한 논의를 시작했고, 만 5년 만의 노력 끝에 2021년 드디어 결실을 보게 되었습니다.

이는 영국, 일본 다음으로 우리나라가 세 번째로 GDPR 적정성 선정을 받게 된 것입니다.

 

3. GDPR 적정성 결정을 통해 달라진 점?

 

그렇다면 적정성 결정을 통해 무엇이 달라졌을까요?

우리나라의 법을 적용받는 기업과 단체들이 EU에 속한 다른 국가들과 마찬가지로 별도의 절차 없이도 EU 시민들의 개인정보를 이전받아 처리할 수 있게 되었습니다.

한국이 EU 회원국에 준하는 지위를 부여받게 됨에 따라,
우리나라 기업이 EU 시민들의 개인정보를 역외로 이전하게 될 경우 기존에 필요했던 표준계약 등의 까다로운 절차가 면제되었어요.

즉, 기업이 개별적으로 대응할 필요 없이 안정적으로 유럽연합 시민들의 개인정보 데이터를 한국으로 이전할 수 있게 된 것입니다.

 

▹ GPDR 적정성 결정 발효의 결과

• 한국이 개인정보 국외 이전에 있어 EU 회원국에 준하는 지위 부여

• 개인정보 국외 이전을 하는 한국 기업의 경우 표준계약 등 기존의 까다로운 절차 면제

• 한국 기업들의 EU 진출 확장 가능

• EU 진출을 위해 개인정보 보호에 들여야 했던 시간 및 비용 대폭 절감

• 한국 – EU 간 데이터 교류·협력 강화 가능

 

다만, 아직 모든 영역이 통과된 것은 아니에요.

국내 기업 중 신용정보법에 의거하여 금융위원회가 감독하는 영역은 2021년 GDPR 적정성 결정 영역에서 제외되었습니다.

금융기관들은 계속해서 EU GDPR의 표준개인정보보호조항(Standard Contractual Clauses, SCCs)을 지켜야 해요.

EU 시민의 신용정보는 한국으로 이전이 불가하다는 적정성 결정이 내려졌기 때문에,
현재의 SCCs 기반 계약을 통해 EU 시민의 개인정보를 한국으로 이전하고 있는 금융기관들은 계속해서 SCCs를 준수해야 합니다.

따라서 4년 뒤 진행될 재협상 과정에서 GDPR 적정성 결정에 금융 분야를 포함하는 것에 대한 논의가 추가로 이루어져야 하는 상황입니다.

 

4. 마치며

이번 글에서는 GDPR이 무엇인지, 그리고 GDPR 적정성 결정이 무엇을 의미하는지 알아보았습니다.

저희 캐치시큐는 해외를 대상으로 하는 서비스에도 바로 적용할 수 있도록 영문 버전의 동의서와 처리방침도 제공하고 있어요.

 

영문 캐치시큐 동의서

캐치시큐 – 영문 버전 개인정보 수집이용 동의서

해외 이용자를 대상으로 하는 서비스도 GDPR을 완벽하게 준수할 수 있도록 만들어졌기 때문에, 한국어 버전과 영문 버전 문서를 언제든지 선택해 사용하면 돼요.

해외 진출도 함께하는 캐치시큐, 더 궁금한 게 있다면 무엇이든 물어보세요!

감사합니다.

 

           

 

# 인사이트
관련 최신글
인기글
유튜브 구독자 이벤트에서 챙겨야 할 ‘개인정보’ 규제 5가지!
가명정보와 익명정보 차이점 알아보기

개인정보관리는 캐치시큐

지금 바로 시작하세요!

개인정보보호에 고민이 있으신가요? 언제든지 문의주세요!
개인정보관리는 캐치시큐

지금 바로 시작하세요!

개인정보보호에 고민이 있으신 가요? 언제든지 문의주세요!
메뉴
error: 컨덴츠는 보호됩니다.