1 과목 개인정보보호의 이해

GDPR 6원칙

1. 적법성 공정성 투명성의 원칙
2. 목적 제한의 원칙
3. 개인정보처리 최소화의 원칙
4. 정확성의 원칙
5. 보관기간 제한의 원칙
6. 무결성 및 기밀성의 원칙


GDPR 적법성 요건 6가지
1. 정보주체의 동의
2. 정보주체와의 계약 이행 및 계약 체결을 위해 필요한 처리
3. 법적 의무 이행을 위해 필요한 처리
4. 정보주체 또는 다른 사람의 중대한 이익을 위해 필요한 처리
5. 공익을 위한 임무의 수행 또는 기업에게 부여된 공적 권한의 행사를 위해 필요한 처리
6. 기업 또는 제3자의 적법한 이익 추구 목적을 위해 필요한 처리


GDPR 민감 정보 처리 가능 요건
1. 정보 주체의 명시적인 동의
2. 고용, 사회안보나 사회보장법 또는 단체협약에 따른 의무의 이행을 위해 필요한 경우
3. 정보주체가 일반에게 공개한 것이 명백한 경우


GDPR 정보주체의 권리 (신설, 강화)
1. 처리제한권(신설) : 정보주체는 본인에 관한 개인정보의 처리를 차단하거나 제한을 요구할 권리를 가짐
2. 정보이동권(신설) : 정보주체는 본인의 개인정보를 본인 또는 다른 사업자에게 전송토록 요구할 권리를 가짐
3. 삭제권(강화) : 정보주체는 본인에 관한 개인정보 삭제를 요구할 권리를 가짐
4. 프로파일링 거부권(강화) : 정보주체는 본인에게 중대한 영향을 미치는 사안을 프로파일링 등 자동화된 처리에
                              의해서만 결정하는 것에 반대할 권리를 가짐 (우리나라에는 없음)


GDPR은 유출 시 72시간 내에 신고 및 통지

피고용인이 250명 이상인 경우는 GDPR 준수를 입증하기 위해 개인정보 처리활동의 기록을 유지해야함
피고용인이 250명 이하이더라도 정보주체의 권리와 자유에 위험을 초래하는 경우나, 민감정보를 처리하는 경우나
                                         유죄판결 및 형사범죄에 관련된 개인정보를 처리하는 경우 처리 활동 기록 필요

GDPR 위반시 과징금(최대 한도)
- 일반적 위험사항 : 전세계 매출액의 2% 또는 천만유로
- 중대 위반사항 : 전세계 매출액의 4% 또는 이천만 유로

컨트롤러(우리나라의 위탁자) -> 개인정보 처리의 목적과 수단을 규정함 (직접 개인정보를 수집해 프로세서에게 제공할 필요 없음)

프로세서(우리나라의 수탁자) -> 컨트롤러의 지시에 따라 개인정보를 처리 



DPO 직무(최소 1가지 포함)
1. 컨트롤러나 프로세서, 그리고 데이터 처리를 수행하는 해당 직원에게 GDPR과 EU 또는 회원국의 개인정보보호 조문에 따른 의무에 대하여
고지하고 조언
2. GDPR과 EU 또는 회원국의 개인정보보호 조문에 대한 컨트롤러 또는 프로세서의 정책 준수 여부를 모니터링(직원 교육과 감시활동 포함)
3. 요청 시 PIA 에 대한 자문 제공, 평가 이행 상황을 감시
4. 감독기구와의 협력
5. 감독기구의 연락처 역할을 수행하며 적절한 경우에는 기타 사안에 대한 자문을 제공