일반 데이터 보호 규정(GDPR)이란?

일반 데이터 보호 규정(GDPR)은 유럽연합(EU)에서 통과시킨 포괄적인 데이터 보호법입니다.

학습 목표

이 글을 읽은 후에 다음을 할 수 있습니다:

  • 일반 데이터 보호 규정(GDPR)의 주요 요건 설명
  • GDPR에 따라 개인이 갖는 권리 설명
  • 데이터 개인정보 보호에 대한 GDPR의 중요성 이해

관련 콘텐츠


계속 알아보시겠어요?

인터넷에서 가장 인기 있는 인사이트를 한 달에 한 번 정리하는 Cloudflare의 월간 요약본 theNET를 구독하세요!

Cloudflare가 개인 데이터를 수집하고 처리하는 방법은 Cloudflare의 개인정보 취급방침을 참조하세요.

글 링크 복사

일반 데이터 보호 규정(GDPR)이란?

2018년 5월 25일부터 시행된 일반 데이터 보호 규정(GDPR)은 개인 데이터의 수집, 처리, 저장, 전송에 대한 프레임워크를 확립하는 포괄적인 데이터 개인정보 보호법입니다. 이 규정에서는 모든 개인 데이터를 안전한 방식으로 처리할 것을 요구하며, 이러한 요구 사항을 준수하지 않는 기업에 대한 벌금 부과와 처벌이 포함되어 있습니다. 또한 개인에게 개인 데이터와 관련된 다양한 권리를 제공합니다.

기술이 발전하고 데이터 수집이 보편화됨에 따라 데이터 개인정보 보호가 주목받고 있습니다. GDPR은 통과될 당시에는 가장 포괄적인 데이터 개인정보 보호 규정이었습니다. GDPR은 유럽연합(EU) 전역의 개별 데이터 보호 규정을 통합했습니다. 또한 EU에서 수집한 개인 데이터를 처리하는 경우 해당 규정의 적용 범위를 EU 외의 조직까지로 확대했습니다.

GDPR은 회사 또는 조직이 EU 내 사람들에게 상품과 서비스를 제공하거나 EU 내에서 이들의 행동을 모니터링하는 경우 지리적 위치와 관계없이 모든 회사 또는 조직에 적용됩니다.

GDPR에서는 '개인 데이터'를 어떻게 정의할까요?

GDPR은 개인 데이터로 간주되는 범위를 넓혀 자연 식별 가능한 개인과 관련된 모든 정보를 포함하도록 했습니다. 여기에는 이름, 주소 등 명백히 개인 정보인 세부 정보뿐만 아니라 IP 주소 및 웹 브라우징 세션과 관련된 특정 쿠키 식별자 등 개인을 식별하는 데 사용될 수 있는 기타 정보도 포함됩니다.

데이터 컨트롤러 및 데이터 처리자에 대한 GDPR 요건은?

GDPR은 데이터 컨트롤러를 개인 데이터의 수집 및 처리 수단과 목적에 대한 결정을 내리는 주체로 정의하고, 데이터 처리자를 일반적으로 데이터 컨트롤러를 대신하여 개인 데이터를 처리하는 주체로 정의합니다.

GDPR에서는 데이터 컨트롤러와 처리자가 개인 데이터를 처리하는 방법에 대한 주요 원칙 7가지도 제시합니다.

  • 적법성, 공정성, 투명성
  • 목적 제한
  • 데이터 최소화
  • 정확도
  • 저장 용량 제한
  • 무결성 및 기밀성(보안)
  • 책임성

이러한 원칙을 자세히 설명하는 것 외에도 GDPR에서는 데이터 컨트롤러와 처리자가 취해야 할 몇 가지 구체적인 조치를 요구합니다. 여기에는 다음이 포함됩니다.

  • 기록 보관: 데이터 프로세서는 처리 활동에 대한 기록을 보관해야 합니다.
  • 보안 조치: 데이터 컨트롤러 및 프로세서는 수집하고 처리하는 데이터를 보호하기 위해 적절한 보안 조치를 정기적으로 시행하고 테스트해야 합니다.
  • 데이터 유출 알림: 개인 데이터 유출 문제를 해결해야 하는 데이터 컨트롤러는 일부 예외를 제외하고 72시간 이내에 해당 당국에 알려야 합니다. 일반적으로 유출로 인해 개인 데이터가 영향을 받은 개인에게도 알려야 합니다.
  • 데이터 보호 책임자(DPO): 데이터를 처리하는 회사에서는 데이터 보호 책임자(DPO)를 고용해야 할 수 있습니다.DPO는 모든 GDPR 준수 노력을 주도하고 감독합니다.

데이터 컨트롤러 및 프로세서에 대한 전체 요구 사항은 GDPR에 설명되어 있습니다.

GDPR에 따라 데이터 주체는 어떤 권리를 가질까요?

GDPR에서는 데이터 주체를 "신원이 확인되거나 확인 가능한 자연인"으로 정의합니다. 데이터 주체는 다음과 같은 권리를 가집니다.

  • 알 권리: 정보 주체는 자신의 개인 데이터가 수집 및 처리되는 방식에 대해 이해하기 쉬운 정보를 제공받아야 합니다.
  • 데이터 이동성 권리: 정보 주체는 한 데이터 컨트롤러에서 다른 데이터 컨트롤러로 데이터를 전송할 수 있습니다.
  • 액세스 권한: 데이터 주체는 수집된 개인 데이터의 사본을 받을 권리가 있습니다.
  • 정정권: 정보 주체는 자신에 대한 부정확한 데이터를 수정할 수 있습니다.
  • 삭제 청구권: 정보 주체는 자신의 데이터 삭제를 요청할 수 있습니다(잊혀질 권리라고도 합니다).
  • 처리 제한권: 특정 상황에서 데이터 주체는 자신의 개인 데이터가 처리되는 방식을 제한할 수 있습니다.
  • 이의 제기권: 데이터 주체는 자신의 개인 데이터 처리에 이의를 제기할 권리가 있으며, 특정 상황에서 데이터 관리자 또는 데이터 처리자는 데이터 주체의 이의 제기에 따라야 할 의무가 있습니다.
  • 자동 처리에 이의를 제기할 권리: 정보 주체는 자동화된 데이터 처리만을 기반으로 하는, 자신에게 법적으로 영향을 미치는 결정에 대해 이의를 제기할 수 있습니다.

GDPR을 위반하면 어떤 처벌을 받을까요?

GDPR에서는 정책을 위반하는 기업에 부과되는 벌금에 대해 설명합니다.

GDPR에는 두 가지 단계의 벌금이 있으며, 각 단계는 다른 위반 범주에 해당합니다.

  • 1단계: 위반 시 최대 1,000만 유로 또는 해당 기업의 전 세계 연간 매출의 2% 중 높은 금액의 벌금이 부과됩니다.
  • 두 번째 단계: 위반 시 최대 2,000만 유로 또는 해당 기업의 전 세계 연간 매출의 4% 중 더 높은 금액의 벌금이 부과됩니다.

이러한 벌금 외에도 데이터 주체는 기업에서 GDPR을 위반할 경우 손해배상을 청구할 수 있습니다.

Cloudflare와 데이터 개인 정보 보호

Cloudflare의 사명은 더 나은 인터넷을 구축하는 것이며, 데이터 개인정보 보호는 이러한 사명의 핵심입니다. Cloudflare는 "설계상 개인정보 보호" 개념으로 제품을 개발하며, 사용자 개인정보 보호를 강화하기 위해 다양한 서비스를 출시했습니다(Cloudflare 데이터 현지화 제품군 포함). Cloudflare는 또한 EU가 공식적으로 인정한 첫 번째 GDPR 행동 강령인 EU 행동 강령 개인정보 보호 인증을 획득했습니다. Cloudflare와 GDPR에 대해 알아보세요.