GDPR

🇪🇺 GDPR (유럽 개인정보보호법)

GDPR (General Data Protection Regulation)은 2018년 5월 25일부터 시행된 유럽 연합(EU)의 개인정보보호 규정입니다. EU 시민의 개인정보를 보호하고, 개인정보 처리의 투명성과 책임성을 강화하는 것을 목표로 합니다.

GDPR은 EU 시민의 개인정보를 다루는 모든 기업에 적용되며, 위반 시 매우 강력한 과징금(최대 전 세계 연간 매출액의 4% 또는 2천만 유로 중 높은 금액)이 부과될 수 있어 전 세계적으로 큰 영향을 미치고 있습니다.

---

🧐 GDPR의 주요 특징

• 역외 적용 (Extraterritorial Scope) : EU 내에 사업장이 없더라도, EU 시민의 개인정보를 처리하는 모든 기업에 적용됩니다. (예: 한국 기업이 EU 시민의 정보를 수집하는 경우)
• 정보 주체의 권리 강화 :

> * `잊힐 권리 (Right to be forgotten)` : 자신의 개인정보 삭제를 요청할 권리 > * `데이터 이동권 (Right to data portability)` : 자신의 개인정보를 다른 서비스로 쉽게 이전할 권리 > * `접근권, 정정권, 처리 제한권` 등

• 동의의 강화 : 개인정보 수집 및 이용에 대한 동의는 명확하고, 자유로우며, 구체적이고, 정보에 입각한 동의여야 합니다. 침묵이나 비활동은 동의로 간주되지 않습니다.
• 개인정보 영향평가 (DPIA, Data Protection Impact Assessment) : 개인정보 처리 활동이 개인의 권리와 자유에 미칠 위험을 사전에 평가하고 관리하는 의무.
• 개인정보 유출 통지 의무 : 개인정보 유출 사고 발생 시, 72시간 이내에 감독 기관에 통지하고, 정보 주체에게도 지체 없이 통지해야 합니다.

---

💡 기술사 핵심 Point

• GDPR은 개인정보보호의 글로벌 표준으로 여겨지며, 전 세계 많은 국가의 개인정보보호법 제정 및 개정에 영향을 미쳤습니다. (한국의 개인정보보호법도 GDPR과 유사한 부분이 많습니다.)
• GDPR은 단순히 법률 준수를 넘어, 기업의 개인정보보호 책임성(Accountability)을 강조합니다. 즉, 기업이 개인정보보호 의무를 다했음을 스스로 입증해야 합니다.
• 개발자는 EU 시민의 개인정보를 다루는 시스템을 설계하고 구현할 때, GDPR의 원칙과 규정을 반드시 준수해야 합니다. 특히 동의 관리, 데이터 삭제, 접근 통제, 암호화 등에 대한 이해가 중요합니다.
• GDPR은 기술적인 측면뿐만 아니라, 법률, 프로세스, 조직 문화 등 전사적인 관점에서 개인정보보호 체계를 구축해야 함을 강조합니다.