GDPR이란? 개인정보보호법과의 차이점과 기업이 취해야 할 조치에 대해 설명합니다.

"GDPR은 EU가 정한 개인정보보호에 관한 법률로, EU 역외 기업이라도 EU 기업과 거래할 때 적용을 받을 수 있으며, 위반 시 제재를 받을 수 있습니다. GDPR 위반 시 발생하는 리스크와 그 영향, 일본의 개인정보보호법과의 차이점에 대해서도 설명합니다. 설명합니다.

GDPR이란

EU(유럽연합) 지역 내 개인정보 보호를 규정하기 위해 2016년 4월에 제정된 법이 GDPR(General Data Protection Regulation: 일반 데이터 보호 규정)이다. 이름이나 주소뿐만 아니라 웹사이트 열람에 관련된 쿠키 정보, IP 주소 등을 포함한 개인 데이터와 프라이버시 보호에 대해 규정하고 있으며, 전체적으로 일본의 개인정보보호법보다 적용 범위가 넓은 등 엄격한 규정이 적용되고 있다.

일본 기업에서도 EU 기업과 거래할 때 GDPR이 적용되는 경우가 있으므로, 특히 법무 및 컴플라이언스 관련 담당자는 회사의 중심이 되어 GDPR을 준수할 수 있도록 일본 개인정보보호법과의 차이점도 함께 상세히 파악할 필요가 있다.

GDPR에서의 개인정보의 범위

GDPR에서는 보호 대상인 개인정보에 대해 개인이 식별될 수 있는 정보를 '개인 데이터'로 정의하고 구체적인 예를 들고 있습니다.

예를 들어 개인의 이름, 주소, 전화번호, 식별번호(여권, 운전면허증 등), 이메일 주소, 신용카드 정보, GPS 데이터, IP 주소 등이 있으며, '개인정보'라고 하면 떠올릴 수 있는 것은 디지털 데이터를 포함하여 광범위하게 대상이 된다고 할 수 있다.

GDPR 적용 대상 기업의 범위

다음으로 GDPR이 적용되는 기업의 범위에 대해 설명하겠습니다.

EU 역내에 자회사 또는 지점이 있는 기업

본사가 일본에 있더라도 자회사나 지점이 EU 역내에 있는 기업이 개인정보를 취급할 때는 항상 GDPR이 적용됩니다. 그 취급이 EU 역내에서 이루어지는 것이든 아니든 상관없이 GDPR의 규제 대상이 됩니다.

EU 역내에 상품이나 서비스를 제공하는 기업

EU 역내에 자회사나 지점 등 거점이 없더라도 EU 역내 사용자에게 상품이나 서비스를 제공하는 기업은 GDPR의 적용을 받습니다. 유럽 사용자가 자사 EC 사이트를 통해 아이디와 이메일 주소 등을 등록하고 상품을 구매한 경우 등이 해당된다.

EU 기업으로부터 개인정보 처리를 위탁받은 기업

EU 역내에 자회사나 지점이 있는 기업으로부터 개인정보를 위탁받아 처리하는 기업이나 조직은 GDPR이 적용됩니다.

EU 역내 사용자 행동 파악 및 분석하는 경우

EU 역내에 자회사나 지점 등 거점이 없고 EU 역내 사용자에게 상품이나 서비스를 제공하지 않는 기업이라도 EU 역내 사용자 행동을 파악 및 분석하는 경우에는 GDPR의 규제 대상이 됩니다. 자사 웹사이트에 EU에서 접속자가 많아 이름, 쿠키 정보 등 개인정보를 수집하는 경우 주의해야 한다. 타겟팅 광고나 추천 등도 포함된다.

GDPR과 일본의 개인정보보호법의 차이점

일본의 개인정보보호에 관한 법률은 「개인정보보호법」입니다. 개인정보의 정의, 보호 범위, 벌칙 등의 관점에서 GDPR과의 차이점을 비교하면서 개요를 설명합니다.

일본의 개인정보보호법이란

2003년에 제정되어 2005년에 전면 시행된 일본의 개인정보보호법은 일본의 기업이나 개인사업자 등 개인정보 취급자에 대해 규정한 법률이다. 몇 년마다 개정이 이루어지고 있으며, 최근에는 쿠키 정보에 대한 규제가 강화되는 등 일본 국내에서도 개인정보 취급이 엄격해지는 추세다.

행정이나 비즈니스 등 다양한 분야의 서비스 향상과 업무 효율화 등 유용성과 함께 개인의 권리와 이익을 보호하기 위한 것으로, 국가 행정기관이나 독립행정법인, 지방공공단체는 물론 개인정보를 취급하는 모든 사업자와 조직에 적용되는 법입니다.

GDPR과 일본의 개인정보보호법의 차이점은?

• 개인정보의 정의(보호 범위)
  • GDPR
    개인을 식별할 수 있는 이름, 주소 등 모든 정보(IP 주소, 쿠키 등 포함)
  • 개인정보보호법
    성명, 생년월일, 주소, 얼굴 사진 등으로 특정 개인을 식별할 수 있는 정보

• 적용 범위
  • GDPR
    EU 역내에서 개인정보를 취급하는 모든 조직
  • 개인정보 보호법
    일본 국내에서 개인정보를 취급하는 사업자

• 벌칙
  • GDPR
    '1000만 유로 이하' 또는 '직전 사업연도 전 세계 연간 총매출액의 2% 이하' 중 높은 금액
    '2000만 유로 이하' 또는 '직전 사업연도 전 세계 연간 총매출액의 4% 이하' 중 높은 금액
  • 개인정보 보호법
    법인의 경우: 1억 엔 이하의 벌금
    개인의 경우: 1년 이하의 징역 또는 100만엔 이하의 벌금

개인정보의 정의와 적용 범위가 넓은 것이 GDPR의 특징이다. 특히 벌칙을 보면, 일본의 개인정보보호법은 최대 1억 엔의 벌금이 부과되는 반면, GDPR에서는 수십억 단위의 고액의 벌금이 부과되는 것을 알 수 있다.

GDPR에 따른 기업의 책임

GDPR은 개인정보 관리자인 기업이 부담해야 할 책임을 상세히 규정하여 개인정보 보호와 사업자에 대한 의무를 명확히 하고 있습니다. 개인 데이터에 대한 기업의 책임 내용은 다음과 같습니다.

GDPR에 부합하는 개인정보 취급 시스템 및 인적 체계를 정비할 책임

GDPR은 관리자, 즉 기업이 기술적으로나 조직적으로 적절한 조치를 취하고 개선해 나가도록 규정하고 있습니다.

개인정보 취급에 있어서는 가명화 및 암호화, 기밀성이 높은 시스템 구축, 조직 내 GDPR 준수를 모니터링하는 책임자 선임 등이 책임으로 꼽힌다.

개인정보 취급에 대한 기록 보관 책임

대상 기업은 개인정보를 취급할 때마다 기록을 남길 의무가 있다. 기록해야 할 내용으로는 관리자의 이름과 연락처, 개인정보 처리 목적, 개인정보의 종류, 공개된 취득자 정보 등이 있다.

개인정보 침해, 정보 유출 시 대응 책임

대상 기업에서 개인정보 침해 및 정보 유출이 발생한 경우 72시간 이내에 소정의 기관에 통지하고, 지연 시에는 그 사유도 함께 알려야 하는 등 신속한 대응이 의무화되어 있습니다. 또한, 개인정보가 침해된 본인에게 위험이 발생할 가능성이 있는 경우 본인에게도 연락을 취해야 합니다.

EU 역내에서 사업을 영위하는 기업은 GDPR을 잘 인지하고 대비해야 합니다.

일본 기업에서는 국내 개인정보보호법에 대응하고 있는 개인정보 취급 매뉴얼도 GDPR에 대응하지 않는 경우가 많습니다.

일본 EU 역내에서 이미 사업을 전개하고 있는 기업은 물론, 향후 진출 예정인 기업도 GDPR 적용 가능성에 대한 인식이 필수적이며, GDPR 적용 가능성이 있는 기업은 어느 날 갑자기 벌칙의 대상이 되어 거액의 제재를 받거나 EU 기업과의 거래 중단을 요구받을 수 있는 위험을 감수해야 합니다. ...... 등의 리스크를 안고 있습니다. 이러한 리스크를 피하기 위해 GDPR 대응을 조속히 진행해야 합니다.

법무 담당자를 중심으로 EU 역내 자회사 및 지점, 총무-인사 부서, 보안 부서 등 사내 여러 부서를 아우르는 대책이 시급하며, EU 기업과 거래가 있거나 EU 역내에서 자사 웹사이트에 접속이 많은 경우 등은 이미 적용 대상일 가능성이 높으므로 주의가 필요하다.

GDPR에 대한 변호사의 설명

FRONTEO가 운영하는 미디어 'FRONTEO Legal Link Portal(FLLP)'에서는 국내외의 신예 변호사들이 비즈니스 현장에서 도움이 되는 법률 관련 주제를 해설하고 있으며, 새로운 동영상도 계속 추가되고 있습니다. 에 대해서도 많은 변호사들이 다루고 있으니, GDPR에 대해 더 자세히 알고 싶거나 개인정보 취급에 대해 고민이 있으신 분들은 FLLP의 동영상을 꼭 한 번 확인해보시기 바랍니다.

일류 변호사 및 전문가가 감수한 600여 편의 법률 지식재산 관련 해설 동영상을 무료로 무제한 시청할 수 있다!

GDPR 관련 콘텐츠 목록
정보유출・개인정보」관련 콘텐츠 목록