맨위로가기

일반 데이터 보호 규칙

"오늘의AI위키"는 AI 기술로 일관성 있고 체계적인 최신 지식을 제공하는 혁신 플랫폼입니다.
"오늘의AI위키"의 AI를 통해 더욱 풍부하고 폭넓은 지식 경험을 누리세요.
목차

1. 개요

일반 데이터 보호 규칙(GDPR)은 1995년 제정된 EU 데이터 보호 지침을 대체하여 2018년 5월 25일부터 EU 27개 회원국에 시행된 법규이다. 이 법은 개인 정보 보호를 강화하고 EU 역내 규제를 통합하여 국제 비즈니스를 위한 규제 환경을 단순화하는 것을 목표로 한다. GDPR은 데이터 관리자와 처리자의 의무, 데이터 주체의 권리, 벌금 부과 등을 규정하며, EU 외 지역의 사업체에도 적용될 수 있다. GDPR 인증, EU 대표 지정, 제3국으로의 데이터 이전 등과 관련된 내용도 포함하며, 데이터 보호 책임자(DPO) 임명을 요구한다. GDPR은 긍정적, 부정적 평가를 모두 받으며, 다른 국가의 개인정보보호 법률에도 영향을 미쳤다.

더 읽어볼만한 페이지

  • 유럽 연합의 규칙 - 디지털 시장법
  • 유럽 연합의 규칙 - EIDAS
    EIDAS는 유럽 연합의 전자 신원 확인 및 신뢰 서비스 규정으로, 전자 거래의 안전성과 신뢰성을 높이고 디지털 단일 시장을 구축하며, 전자 서명, 전자 인감, 전자 타임스탬프, 전자 배달 서비스 등의 신뢰 서비스에 대한 법적 틀을 제공하고 회원국 간 전자 신원 확인 서비스의 상호 운용성을 보장합니다.
  • 프라이버시 법 - 사생활 보호에 대한 기대
    사생활 보호에 대한 기대는 개인이 특정 상황에서 사생활이 보호될 것이라고 기대하는 심리적 상태로, 주관적 및 객관적 기대로 나뉘며, 합리적인 기대는 정당한 수색과 부당한 수색을 구별하는 법적 기준이 된다.
  • 프라이버시 법 - 개인정보처리방침
    개인정보처리방침은 개인 정보의 수집, 이용, 제공 등에 대한 기업이나 조직의 정책을 명시한 문서로, 컴퓨터 기술 발전과 함께 개인 정보 보호 필요성이 커지면서 각국에서 관련 법률이 제정되었으나, 효용성과 소비자의 이해도에 대한 비판도 제기되고 있다.
  • 정보 프라이버시 - 비식별화
    비식별화는 개인정보 보호를 위해 식별 가능 정보를 제거 및 변경하는 과정으로, 데이터 유용성을 유지하면서 필요시 복원 가능하다는 점에서 익명화와 구별되며, 재식별 가능성 및 기술적 한계에 대한 논의가 지속되고 있다.
  • 정보 프라이버시 - 지불 카드 산업 데이터 보안 표준
    지불 카드 산업 데이터 보안 표준(PCI DSS)은 주요 카드사들이 공동 제정한 신용카드 정보 보호 보안 표준으로, 카드 소지자 데이터 보호를 위한 12가지 요구 사항을 규정하며 지불 카드 산업 보안 표준 위원회(PCI SSC)에서 관리되고 가맹점 규모에 따라 준수 여부가 결정된다.
일반 데이터 보호 규칙
지도
기본 정보
유형규정
제목개인 데이터 처리와 관련된 자연인 보호 및 해당 데이터의 자유로운 이동에 관한 규정, 그리고 지침 95/46/EC(개인 정보 보호 지침) 폐지에 대한 규정
번호(EU) 2016/679
유럽 경제 지역 (EEA)
제정 기관유럽 의회유럽 연합 이사회
관보 참조L119, 2016년 5월 4일, 1–88쪽
관보 참조 URL규정 (EU) 2016/679
제정일2016년 4월 14일
적용일2018년 5월 25일
집행 위원회 제안COM/2012/010 final – 2012/0010 (COD)
대체 법률데이터 보호 지침
현황현재
명칭
영어General Data Protection Regulation
약칭GDPR
법적 근거
법률 문서일반 데이터 보호 규정
규정 (EU) 2016/679
Council compromise text on the proposal for a General Data Protection Regulation
Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation)
주요 내용
목적개인 정보 보호 및 개인 정보의 자유로운 이동 보장
적용 대상유럽 연합 내 개인 정보 처리
주요 의무데이터 처리 원칙 준수, 개인 정보 보호 권리 보장, 데이터 유출 시 신고 의무
주요 권리접근권, 수정권, 삭제권, 처리 제한권, 데이터 이동권
기타
관련 법규영국 GDPR
GDPR vs CCPA

2. 제정 배경

일반 데이터 보호 규칙(GDPR)은 1995년 제정된 기존 EU의 데이터 보호 지침(Directive 95/46/EC)을 대체하여, 시민과 거주자가 자신의 개인 정보를 제어할 수 있는 권리를 되찾고 EU 역내의 규칙을 통합하여 국제 비즈니스를 위한 규제 환경을 단순화하려는 목적으로 제정되었다.[173] 1995년 10월 룩셈부르크에서 채택된 데이터 보호 지침(EU 지침 95/46/EC)에 따라 각 회원국은 자국 법제화 및 감독 기관 설립 등을 진행했다. 이러한 기존 데이터 보호 지침을 바탕으로 EU 회원국에 대해 일률적으로 직접적인 효력을 갖는 GDPR이 제안되었다. GDPR 제안은 2012년 1월 25일에 공개되었고, EU 이사회는 2016년 초에 공식 채택을 목표로 했다.[174]

3. 시행

일반 데이터 보호 규칙(GDPR)은 2016년 4월 27일에 채택되어 2년간의 유예 기간을 거쳐 2018년 5월 25일부터 EU 27개 회원국에 통일적으로 적용되기 시작했다.[148] 1995년 데이터 보호 지침과 달리, GDPR은 EU 각국 정부가 별도로 법률을 제정할 필요 없이 직접적인 효력을 갖는다. 그러나 EU 각국이 특정 데이터 처리에 대해 더 구체적인 국내법을 제정하는 것은 가능하다.

GDPR은 11개의 장으로 구성되어 있으며, 개인 데이터 처리가 인류에게 봉사해야 한다는 원칙을 담고 있다.

GDPR 시행까지의 주요 과정은 다음과 같다.

날짜사건
2012년 1월 25일GDPR 제안 발표.[143]
2013년 10월 21일유럽 의회 시민 자유, 사법 및 내무 위원회(LIBE)에서 방향 투표 진행.
2015년 12월 15일유럽 의회, 이사회, 집행위원회 간 협상(공식 3자 회담) 결과 공동 제안 도출.
2015년 12월 17일유럽 의회 LIBE 위원회에서 3자 간 협상에 대한 투표 진행.
2016년 4월 8일유럽 연합 이사회 채택.[144] (오스트리아는 데이터 보호 수준 미흡을 이유로 반대.[145][146])
2016년 4월 14일유럽 의회 채택.[147]
2016년 5월 24일유럽 연합 공보게재된 후 20일 만에 규정 시행.[148]
2018년 5월 6일경찰 및 사법 부문의 데이터 보호 지침이 이날부터 적용되는 국가 법률로 제정.[149]
2018년 5월 25일규정 시행 2년 후 모든 회원국에서 조항 직접 적용 시작.[148]
2018년 7월 20일EEA 국가(아이슬란드, 리히텐슈타인, 노르웨이)에서 GDPR 시행.[150]



EU 회원국들은 단일 규칙 체계에 따라 GDPR을 준수해야 하며, 각 회원국은 독립적인 감독 기구를 설치하여 위반 사항을 조사하고 처벌한다. EU 회원국들의 감독 기구는 상호 협력하며, 사업자가 EU 지역 내 여러 사업장을 보유한 경우 "주요 사업장" 소재지의 감독 기구가 "주요 감독 기관"으로서 EU 지역 내 모든 처리 업무를 감독한다.

European Data Protection Board|유럽 데이터 보호 위원회영어(EDPB)는 각 회원국의 독립적인 감독 기구를 조정하고, EU 전체에서 일관된 데이터 보호 규칙 적용을 유지 및 추진한다.

4. 주요 내용

EU 일반 데이터 보호 규칙(GDPR)은 11개의 장으로 구성되어 있으며, 개인 데이터 처리가 인류에게 봉사해야 한다는 원칙을 담고 있다.[159] 이 규정은 EU 내 거주자의 데이터를 수집하는 데이터 관리자, 처리자 또는 데이터 주체가 EU 내에 있을 때 적용된다. EU 외부에 있더라도 EU 거주자의 개인 데이터를 다루는 조직에도 적용된다. 개인 데이터는 이름, 주소, 사진, 이메일, 은행 정보, 의료 정보, IP 주소 등 개인과 관련된 모든 정보를 포함한다.[160]

GDPR은 국가 안보나 법 집행을 위한 데이터 처리에는 적용되지 않지만, 별도 지침을 통해 국내외 개인 데이터 교환에 대한 규정을 제공한다. 조직 규모와 관계없이 적용되지만, 250명 미만 조직은 처리 기록 보관 의무가 일부 면제된다(제30조 5항). 여기서 처리 기록은 로그가 아닌 장부 형태의 목록이다.

GDPR 적용 대상은 상품/서비스 제공 관련 처리(제4조 2항(a), 서술 23)와 행동 모니터링 관련 처리(제4조 2항(b), 서술 24)로 나뉜다. EU 내 상품/서비스 제공, EU 내 행동 모니터링, EU 내 피고용인 데이터 처리가 이에 해당한다.[161]

데이터 관리자는 개인 데이터 보존 기간 및 연락처 정보를 포함한 알림 의무를 확대해야 한다. 자동화된 의사결정은 프로파일링을 포함하여 이의 제기 대상이 될 수 있으며, 시민은 알고리즘에 의한 결정에 의문을 제기할 권리가 있다.

데이터 관리자는 설계 단계부터 데이터 보호 원칙을 구현해야 하며(제25조), 데이터 처리자는 데이터 관리자를 대신하여 규정 준수를 입증해야 한다.(GDPR 고려사항(Recital) 74) 데이터 보호 영향 평가(제35조)는 특정 위험 발생 시 실시해야 하며, 고위험의 경우 사전 승인이 필요하다. 데이터 보호 최고 책임자(제37~39조)는 조직 내 규정 준수를 확보한다.

새로운 규정은 논쟁을 야기했으며, 비용 절감을 목표로 했지만 다음과 같은 문제점이 지적되었다.


  • 데이터 보호 책임자(DPO) 임명 요구는 행정적 부담이라는 비판이 있다.
  • GDPR은 소셜 네트워크 및 클라우드 사업자에 초점을 맞춰 고용인 데이터 처리에 대한 요구 사항을 충분히 고려하지 못했다.[179]
  • 데이터 이동성은 중요한 측면으로 간주되지 않는다.
  • 데이터 보호 당국(DPA)의 언어 및 직원 채용 문제, 비유럽 법률과의 상충, GDPR 시행의 어려움 등이 과제로 남아있다.[180]

4. 1. 일반 조항

유럽 연합의 일반 데이터 보호 규칙(GDPR)은 EU 내 개인의 개인정보보호를 강화하고 데이터 처리 방식을 규제하기 위해 제정되었다. 이 규정은 EU 내에 위치한 데이터 관리자(개인 정보를 수집하는 조직), 처리자(데이터 관리자를 대신하여 데이터를 처리하는 조직), 또는 데이터 주체(개인)에게 적용된다. EU 밖에 있는 조직이라도 EU 내 개인의 데이터를 수집하거나 처리하는 경우 이 규정이 적용될 수 있다.[6]

유럽 집행위원회에 따르면, "개인 데이터는 확인되었거나 확인 가능한 개인과 관련된 정보"를 의미한다.[7] "개인 데이터", "처리", "데이터 주체", "관리자", "처리자" 등의 정확한 정의는 GDPR 제4조에 명시되어 있다.[1]

GDPR은 EU의 국가 안보 활동이나 법 집행을 위한 개인 데이터 처리에는 적용되지 않는다. 그러나 제48조는 제3국 법률의 적용을 받는 데이터 관리자가 EU 개인의 데이터를 해당 국가 당국에 공개하라는 법적 명령을 준수하는 것을 막는 데 사용될 수 있는지에 대한 논란이 있다.[8] 제48조는 제3국 법원이나 법정의 판결, 행정 당국의 결정으로 개인 데이터 이전 또는 공개를 요구하는 경우, 상호 사법 원조 조약과 같은 국제 협정을 기반으로 하지 않는 한 인정되거나 시행될 수 없다고 명시한다.

GDPR은 단일 규칙 세트를 통해 모든 EU 회원국에 적용된다. 각 회원국은 독립적인 감독 당국(SA)을 설립하여 불만을 접수하고 조사하며, 위반에 대한 제재를 가한다.[1] 기업이 EU에 여러 사업장을 가지고 있는 경우, "주요 사업장" 위치를 기반으로 단일 SA를 "주요 당국"으로 지정하여 EU 전역의 처리 활동을 감독하는 "원스톱 샵" 역할을 한다.[9][143] 유럽 데이터 보호 위원회(EDPB)는 SA를 조정하며, 제29조 데이터 보호 작업반을 대체한다. 고용 맥락이나 국가 안보에서 처리되는 데이터에는 개별 국가 규정이 적용될 수 있다.[1]

데이터 관리자는 데이터 수집을 명확하게 공개하고, 데이터 처리의 합법적인 근거와 목적, 보관 기간, 제3자 또는 EEA(유럽경제지역) 외부와의 공유 여부를 명시해야 한다. 기업은 직원 및 소비자의 데이터를 보호하고, 필요한 데이터만 추출해야 하며, 내부 통제 및 규정을 갖추어야 한다. 데이터 주체는 이동 가능한 데이터 사본을 요청하고, 특정 상황에서 데이터 삭제를 요청할 권리가 있다. 공공 기관과 주요 활동으로 개인 데이터를 정기적 또는 체계적으로 처리하는 기업은 데이터 보호 책임자(DPO)를 고용해야 한다. 데이터 관리자는 데이터 유출을 72시간 이내에 국가 감독 기관에 보고해야 하며, 위반 시 최대 2,000만 유로 또는 전년도 전 세계 매출액의 4% 중 더 큰 금액의 벌금이 부과될 수 있다.

GDPR 준수를 위해 데이터 관리자는 설계 및 기본값으로 데이터 보호 원칙을 충족하는 조치를 구현해야 한다. 제25조는 제품 및 서비스 개발에 데이터 보호 조치를 설계할 것을 요구하며, 익명화를 포함한다.[24][25] 데이터 주체는 데이터 수집 범위, 법적 근거, 보관 기간, 제3자 전송 여부, 자동 의사결정 등에 대해 명확히 알려져야 하며, 동의 철회, 접근, 이동, 삭제, 이의 제기, 불만 제기 등의 권리를 가진다.

데이터 주체의 권리와 자유에 특정 위험이 발생하는 경우 데이터 보호 영향 평가(제35조)를 수행해야 하며, 고위험의 경우 데이터 보호 당국의 사전 승인이 필요하다. 제25조는 제품 및 서비스 개발에 데이터 보호를 설계하고, 개인정보 설정을 기본적으로 높은 수준으로 설정하며, 데이터 최소화 메커니즘을 구현하도록 요구한다.

유럽연합 네트워크 및 정보 보안청의 보고서[26]는 개인 정보 보호를 위해 암호화 및 암호 해독 작업을 로컬에서 수행하고, 데이터 소유자만이 암호 해독 키를 보유해야 한다고 명시한다.

EU 일반 데이터 보호 규정(GDPR)은 EU 거주자로부터 데이터를 수집하거나 처리하는 조직, 또는 EU 내에 거점을 둔 조직에 적용된다. 개인 데이터는 이름, 주소, 사진, 이메일 주소, 은행 계좌 정보, 소셜 네트워크 게시물, 의료 정보, 컴퓨터 IP 주소 등 개인과 관련된 모든 정보를 포함한다.[160]

이 규정은 국가 안보 활동이나 법 집행을 위한 개인 데이터 처리에는 적용되지 않지만, 경찰 및 형사 사법 분야에 대한 별도의 데이터 보호 지침은 국내, 유럽 및 국제적인 개인 데이터 교환에 대한 포괄적인 규정을 제공한다.

조직 규모에 관계없이 GDPR이 적용되지만, 고용인 250명 미만의 조직은 처리 기록 보관 의무가 면제된다(제30조 5항). 그러나 처리 기록 보관은 처리 로그를 전부 기록하는 것이 아니라, 각종 처리 활동을 목록화하는 장부를 의미한다.

GDPR 적용 대상 데이터 처리는 상품/서비스 제공 관련 처리(제4조 2항(a), 서술 23)와 데이터 주체 행동 모니터링 관련 처리(제4조 2항(b), 서술 24)로 나뉜다. 상품/서비스 제공 관련 처리는 EU 내 자연인에 대한 상품/서비스 제공과 관련된 처리 활동이다. EU 내 국가에서 사용되는 언어/통화 사용, EU 내 고객/사용자 언급 등의 요소가 고려된다(서술 23). 데이터 주체 행동 모니터링 관련 처리는 EU 내에서 발생하는 행동에 대한 처리이다. 인터넷에서 개인을 추적하고 프로파일링 처리 기술을 이용하는 것이 포함된다(서술 24). EU 내 피고용인의 개인 데이터 처리도 GDPR 적용 대상이다(서술 155, 제88조). EU 내 직원의 인사 평가 등을 제3국에서 하는 경우에도 GDPR이 적용된다.[161]

4. 2. 원칙 및 적법한 목적

개인 데이터 처리의 적법성과 관련된 여섯 가지 원칙은 제5조에 규정되어 있다. 첫 번째 원칙은 데이터가 적법하고, 공정하며, 투명한 방식으로 처리되어야 함을 명시한다. 제6조는 이 원칙을 더욱 발전시켜 개인 데이터는 그렇게 하는 데 대한 적어도 하나의 법적 근거가 없는 한 처리될 수 없음을 명시한다. 다른 원칙은 "목적 제한", "데이터 최소화", "정확성", "저장 제한", "무결성 및 기밀성"을 언급한다.

제6조는 적법한 목적을 다음과 같이 명시한다.[1]

  • (a) 데이터 주체가 자신의 개인 데이터 처리에 동의한 경우
  • (b) 데이터 주체와의 계약상 의무를 이행하거나, 계약 체결 과정에 있는 데이터 주체의 요청에 따른 작업을 위해
  • (c) 데이터 관리자의 법적 의무를 준수하기 위해
  • (d) 데이터 주체 또는 다른 개인의 중요한 이익을 보호하기 위해
  • (e) 공공의 이익 또는 공식적인 권한을 수행하기 위해
  • (f) 데이터 관리자 또는 제3자의 정당한 이익을 위해. 단, 기본권 헌장(특히 아동의 경우)에 따른 데이터 주체의 이익이나 권리가 이러한 이익보다 우선하는 경우는 제외


정보에 입각한 ''동의''[1]가 처리의 적법한 근거로 사용되는 경우, 수집된 데이터 및 데이터가 사용되는 각 목적에 대해 명시적인 동의가 있어야 한다.[1] 동의는 데이터 주체가 명확하고 자발적으로, 명료하게 표현된, 모호하지 않은 확인으로 이루어져야 한다. 여러 유형의 처리는 단일 확인 프롬프트로 묶을 수 없다.[1]

데이터 주체는 언제든지 이러한 동의를 철회할 수 있어야 하며, 그렇게 하는 과정은 동의하는 것보다 어려워서는 안 된다.[1] 데이터 관리자는 서비스 사용에 엄격하게 필요하지 않은 처리에 대한 동의를 거부하는 사용자에게 서비스를 거부할 수 없다.[1] 규정에서 16세 미만으로 정의된 아동(회원국이 개별적으로 13세까지 낮출 수 있는 옵션이 있음)에 대한 동의는 아동의 부모 또는 보호자에 의해 이루어져야 하며 확인 가능해야 한다.[10][11]

데이터 보호 지침에 따라 이미 처리에 대한 동의가 제공된 경우, 처리가 문서화되어 GDPR 요구 사항을 준수하여 얻어진 경우 데이터 관리자는 동의를 다시 얻을 필요가 없다(제171항).[84][12] 데이터 수집 및 이용 목적(제7조, 제4조 규정)에 대해서는 유효한 동의가 명시적으로 이루어져야 한다. 아동에 대한 동의는 아동의 부모 또는 보호자가 제공하고 확인해야 한다. 데이터 관리자는 "동의"(옵트인)를 증명할 수 있어야 하며, 그 동의는 철회될 수 있다.[164]

4. 3. 데이터 주체의 권리

일반 데이터 보호 규칙(GDPR)은 데이터 주체에게 자신의 개인 정보에 대한 다양한 권리를 보장한다. 주요 내용은 다음과 같다.

  • 데이터 수집 및 이용 동의: 데이터 수집 및 이용 목적에 대해서는 명시적이고 유효한 동의가 필요하다. 아동의 경우 부모 또는 보호자의 동의가 필요하며, 데이터 관리자는 동의를 증명할 수 있어야 하고, 동의는 철회될 수 있다.[164]
  • 자동화된 의사결정에 대한 권리: 개인은 프로파일링을 포함한 자동화된 의사결정에 대해 이의를 제기하고 다툴 권리를 가진다. 시민은 순수한 알고리즘에 의한 의사결정에 대해 의문을 제기할 수 있다.
  • 데이터 보호 영향 평가: 데이터 주체의 권리와 자유에 특정 위험이 발생하는 경우, 데이터 보호 영향 평가(제35조)를 실시해야 한다. 높은 위험에 대해서는 데이터 보호 당국(DPA)의 사전 승인이 필요하다.
  • 데이터 보호 최고 책임자: 데이터 보호 최고 책임자(제37~39조)는 조직 내부의 규정 준수를 확보하며, 특정 조건에 해당하는 경우 의무적으로 지명해야 한다.[163]


데이터 관리자는 설계 단계 및 초기 단계에서 데이터 보호 원칙을 충족하는 조치를 구현해야 하며(제25조), 제품 및 서비스 개발에 데이터 보호 조치를 통합해야 한다. 여기에는 개인 데이터를 가능한 한 신속하게 가명화하는 조치가 포함된다.(GDPR 고려사항(Recital) 78) 데이터 처리자가 데이터 관리자를 대신하여 데이터 처리를 수행하는 경우에도 데이터 관리자는 효과적인 조치를 구현하고 규정 준수를 입증할 책임이 있다.(GDPR 고려사항(Recital) 74)

2014년 3월 유럽 의회에서 채택된 GDPR 개정판에 따라, 잊힐 권리는 보다 제한적인 삭제권으로 대체되었다.[169][170]

4. 3. 1. 투명성 및 접근

데이터 관리자는 데이터 주체에게 정보를 명확하고 간결하며 이해하기 쉬운 형태로 제공해야 하며, 특히 아동에게는 더욱 쉬운 언어를 사용해야 한다. (General Data Protection Regulation영어 제12조).[148] 개인은 자신의 개인정보와 처리 방식에 대한 정보에 접근할 권리(개인정보 접근권, 제15조)를 가진다. 데이터 관리자는 요청 시 처리 중인 데이터 범주, 실제 데이터 사본, 처리 목적, 데이터 공유 대상, 획득 방법 등 세부 정보를 제공해야 한다.[1]

데이터 주체는 자신의 개인 데이터를 한 전자 처리 시스템에서 다른 시스템으로 방해 없이 전송할 수 있어야 한다. 단, 충분히 익명화된 데이터는 제외되지만, 개인과 연결될 가능성이 있는 비식별화된 데이터는 제외되지 않는다.[13] 그러나 애플 시리(Siri)처럼 접근이 제한된 식별자와 함께 음성 데이터가 저장되거나, 디바이스 지문에 의존하는 온라인 행동 타겟팅의 경우처럼 식별자 제공이 어려울 수 있다.[14][15]

데이터 이동성 권리(제20조)는 데이터 주체가 제공한 데이터와 관찰된 데이터 모두를 포함하며, 관리자는 구조화되고 일반적으로 사용되는 표준 전자 형식으로 데이터를 제공해야 한다. 알림은 기존처럼 필요하며, 개인 데이터 보존 기간, 데이터 관리자 및 데이터 보호 최고 책임자 연락처 정보를 포함하도록 범위가 확대되었다.

프로파일링을 포함한 개인 관련 자동화된 의사결정(제22조)은 분쟁의 대상이 될 수 있으며, 시민은 순수한 알고리즘에 의한 의사결정에 대해 의문을 제기하고 다툴 권리를 가진다.

4. 3. 2. 정정 및 삭제

2014년 3월 유럽 의회에서 채택된 GDPR(일반 개인정보 보호 규정)에서 "잊힐 권리"는 더 제한적인 "삭제 권리"로 대체되었다.[16][17] 제17조는 데이터 주체가 여러 가지 사유 중 하나를 들어 자신과 관련된 개인 데이터 삭제를 요청할 권리가 있음을 규정하며, 여기에는 제6조(1)(합법성)를 준수하지 않은 경우도 포함된다. 이는 (f)항처럼 데이터 관리자의 정당한 이익보다 데이터 주체의 이익 또는 기본적 권리와 자유가 우선하여 개인 데이터 보호가 필요한 경우(Google Spain SL, Google Inc. v Agencia Española de Protección de Datos, Mario Costeja González 참조)를 포함한다.[18]

4. 3. 3. 이의 제기 및 자동화된 의사결정

일반 개인정보 보호 규정(GDPR) 제21조는 개인이 마케팅 또는 서비스와 관련 없는 목적으로 개인 정보 처리에 대해 이의를 제기할 수 있도록 허용한다.[19] 즉, 데이터 관리자는 개인이 자신의 개인 데이터 처리를 중단하거나 방지할 권리를 허용해야 한다.

이러한 이의가 적용되지 않는 경우는 다음과 같다.

  • 법적 또는 공식적인 권한이 행사되는 경우
  • "정당한 이익"으로, 조직이 데이터 주체가 가입한 서비스를 제공하기 위해 데이터를 처리해야 하는 경우
  • 공공 이익을 위해 수행되는 작업인 경우


GDPR은 또한 데이터 관리자가 데이터 관리자가 처음으로 데이터 주체와 소통하는 시점부터 이의 제기 권리를 알려야 한다고 명확히 규정하고 있다. 이는 관리자가 제공하는 다른 정보와 명확하게 구분되어야 하며, 데이터 처리에 대한 이의를 제기하는 가장 좋은 방법에 대한 옵션을 제공해야 한다.

이의 제기 요청이 "명백히 근거 없거나" "과도한" 경우 관리자는 요청을 거부할 수 있다.[19] 따라서 각 이의 제기 사례는 개별적으로 검토되어야 한다. 캐나다[20] 와 같은 다른 국가들도 GDPR을 따라 개인 정보 보호법에 따른 자동화된 의사결정 규제에 대한 법률을 고려하고 있지만, 이것이 AI를 규제하는 최선의 방법인지에 대한 정책적 질문이 있다.

개인에 관한 자동화된 의사결정은 프로파일링(제22조)을 포함하여 분쟁의 대상이 될 수 있다. 시민은 이번 규정에 따라 순수한 알고리즘에 의한 의사결정에 대해서도 의문을 제기하고 다툴 권리를 갖게 된다.

4. 3. 4. 보상

일반 데이터 보호 규칙(GDPR) 제82조는 본 규정 위반으로 인해 물질적 또는 비물질적 피해를 입은 모든 사람은 그 피해에 대해 관리자 또는 처리자로부터 보상받을 권리가 있다고 규정하고 있다.

유럽 사법 재판소는 '''Österreichische Post'''(C-300/21) 판결에서 보상받을 권리에 대한 해석을 제시하였다.[21] GDPR 제82조(1)은 손해배상을 하려면 '''(i)''' GDPR 위반, '''(ii)''' (실제) 입은 피해, '''(iii)''' 위반과 입은 피해 사이의 인과관계가 있어야 한다고 규정하고 있다. 입은 피해가 특정 수준의 심각성에 도달해야 할 필요는 없다. 피해에 대한 유럽에서 정의된 개념은 없다. 보상은 국가법에 따라 국가별로 결정된다. 균등성 및 효과성 원칙을 고려해야 한다.[22]

'''Krankenversicherung Nordrhein'''(C-667/21) 사건에 대한 옹호 변호사의 의견도 참조한다.[23]

4. 4. 데이터 관리자 및 처리자

본 규정은 EU 내외에 상관없이 살아있는 사람에 대한 정보를 수집하는 조직인 데이터 관리자, 데이터 관리자를 대신하여 데이터를 처리하는 조직인 처리자, 또는 데이터 주체(개인)가 EU에 소재한 경우 적용된다.[6] EU 밖에 소재한 조직이 EU 내에 있는 개인의 개인 데이터를 수집하거나 처리하는 경우에도 적용된다.[6]

유럽 집행위원회에 따르면, "개인 데이터는 확인되었거나 확인 가능한 개인과 관련된 정보"이며, "개인 데이터", "처리", "데이터 주체", "관리자" 및 "처리자"와 같은 용어의 정확한 정의는 '''제4조'''에 명시되어 있다.[1]

데이터 관리자는 데이터 수집을 명확하게 공개하고, 데이터 처리에 대한 합법적인 근거와 목적을 밝히며, 데이터 보관 기간과 제3자 또는 EEA(유럽경제지역) 외부와의 공유 여부를 명시해야 한다. 데이터 주체는 관리자가 수집한 데이터의 이동 가능한 사본을 요청할 권리가 있으며, 특정 상황에서 데이터 삭제를 요청할 권리가 있다.

개인 데이터의 정기적 또는 체계적인 처리를 주요 활동으로 하는 공공 기관과 기업은 GDPR 준수를 관리할 책임이 있는 ''데이터 보호 책임자''(DPO)를 고용해야 한다. 데이터 관리자는 사용자 개인 정보 보호에 부정적인 영향을 미치는 경우 72시간 이내에 국가 감독 기관에 데이터 유출을 보고해야 한다.

'''제25조'''는 제품 및 서비스에 대한 비즈니스 프로세스 개발에 데이터 보호 조치를 설계할 것을 요구하며, 개인정보 설정은 기본적으로 높은 수준으로 설정되어야 한다. 관리자는 각 특정 목적에 필요한 경우가 아니면 개인 데이터가 처리되지 않도록 하는 메커니즘을 구현해야 한다.

개인 데이터의 관리자 및 처리자는 데이터 보호 원칙을 구현하기 위해 "적절한 기술적 및 조직적 조치"를 마련해야 한다.[28] 개인 데이터를 처리하는 비즈니스 프로세스는 해당 원칙을 고려하여 설계 및 구축되어야 하며, 데이터를 보호하기 위한 안전장치를 제공해야 한다.[29] 규정에 명시된 6가지의 적법한 근거( 동의, 계약, 공공업무, 생명의 중요한 이익, 정당한 이익 또는 법적 요구사항) 중 하나에 따라 처리되지 않는 한, 어떤 개인 데이터도 처리할 수 없다. 처리가 동의에 기반한 경우, 데이터 주체는 언제든지 동의를 철회할 권리가 있다.[30]

'''제33조'''는 데이터 관리자에게 위반이 개인의 권리와 자유에 대한 위험으로 이어질 가능성이 없다면 지체 없이 감독 당국에 통보해야 할 법적 의무가 있다고 명시하고 있다. 데이터 위반을 인지한 후 보고서를 작성할 수 있는 시간은 최대 72시간이다.

4. 4. 1. 가명처리

GDPR에 따르면, 가명처리는 추가 정보 없이는 특정 데이터 주체에게 데이터를 귀속시킬 수 없도록 개인 데이터를 변환하는 필수적인 과정이다.[27] 이는 완전한 데이터 익명화의 대안으로 제시된다. 가명처리의 예시로는 암호화와 토큰화가 있다.

  • 암호화: 복호화 키 없이는 되돌릴 수 없는 과정을 통해 원래 데이터를 알아볼 수 없게 만든다. GDPR은 복호화 키와 같은 추가 정보를 가명 처리된 데이터와 별도로 보관해야 한다고 요구한다.
  • 토큰화: 민감한 데이터를 토큰이라는 비민감한 대체물로 바꾸는 비수학적 방법이다. 토큰은 본질적으로 이용 가능한 의미나 가치가 없지만, 민감한 정보를 숨긴 상태에서 처리 및 분석을 위해 특정 데이터를 완전히 또는 부분적으로 볼 수 있도록 한다. 토큰화는 데이터의 유형이나 길이를 변경하지 않으므로, 데이터 길이와 유형에 민감한 데이터베이스와 같은 레거시 시스템에서 처리될 수 있다. 또한 기존 암호화된 데이터보다 처리에 필요한 계산 자원이 적고 데이터베이스 저장 공간도 적게 필요하다.


가명 처리는 개인정보 보호 강화 기술이며, 관련 데이터 주체의 위험을 줄이고 데이터 관리자와 처리자가 데이터 보호 의무를 준수하는 데 도움이 되도록 권장된다(제28항).[67]

4. 4. 2. 처리 활동 기록

GDPR영어 '''제30조'''에 따르면, 다음 기준 중 하나에 해당하는 모든 조직은 처리 활동 기록을 유지해야 한다.[1]

  • 250명 이상의 직원을 고용하는 경우
  • 수행하는 처리가 데이터 주체의 권리와 자유에 대한 위험을 초래할 가능성이 있는 경우
  • 처리가 일시적인 것이 아닌 경우
  • 처리에 제9조(1)에 언급된 특별 범주의 데이터 또는 제10조에 언급된 범죄 전과 및 범죄 관련 개인 데이터가 포함되는 경우


이러한 요구 사항은 각 EU 국가에서 수정될 수 있다. 기록은 전자 형태여야 하며, 처리자 또는 처리자와 해당되는 경우 처리자 또는 처리자의 대표는 요청 시 감독 당국에 기록을 제공해야 한다.
관리자의 기록에는 다음 모든 정보가 포함되어야 한다.[1]

항목내용
처리자 및 공동 처리자 정보처리자 및 해당되는 경우 공동 처리자의 이름과 연락처, 처리자의 대표 및 데이터 보호 책임자
처리 목적처리의 목적
데이터 주체 및 개인 데이터 범주데이터 주체 범주 및 개인 데이터 범주의 설명
개인 데이터 수신자 범주개인 데이터가 공개되었거나 공개될 수신자 범주(제3국 또는 국제기구의 수신자 포함)
제3국 또는 국제기구로의 이전해당되는 경우 제3국 또는 국제기구로의 개인 데이터 이전(해당 제3국 또는 국제기구의 식별 포함, 제49조(1)항 제2항에 언급된 이전의 경우 적절한 안전 조치에 대한 문서 포함)
데이터 삭제 예상 기간가능한 경우, 다양한 범주의 데이터 삭제 예상 기간
기술적 및 조직적 보안 조치가능한 경우, 제32조(1)에 언급된 기술적 및 조직적 보안 조치에 대한 일반적인 설명


처리자의 기록에는 다음 모든 정보가 포함되어야 한다.[1]

항목내용
처리자 및 관련 정보처리자 또는 처리자 및 처리자가 대리하여 행동하는 각 처리자의 이름과 연락처, 그리고 해당되는 경우 처리자 또는 처리자의 대표 및 데이터 보호 책임자
처리 범주각 처리자를 대신하여 수행되는 처리 범주
제3국 또는 국제기구로의 이전해당되는 경우 제3국 또는 국제기구로의 개인 데이터 이전(해당 제3국 또는 국제기구의 식별 포함, 제49조(1)항 제2항에 언급된 이전의 경우 적절한 안전 조치에 대한 문서 포함)
기술적 및 조직적 보안 조치가능한 경우, 제32조(1)에 언급된 기술적 및 조직적 보안 조치에 대한 일반적인 설명


4. 4. 3. 데이터 보호 책임자

'''제37조'''는 데이터 보호 책임자(DPO)의 임명을 요구한다. 공공기관(사법적 역할을 수행하는 법원이나 독립적인 사법 기관 제외)이 처리를 수행하거나, 처리 작업이 대규모로 데이터 주체를 정기적이고 체계적으로 모니터링하는 것을 포함하거나, 특별 범주 데이터와 범죄 전과 및 범죄와 관련된 개인 데이터를 대규모로 처리하는 경우( '''제9조''' 및 '''제10조'''), 데이터 보호법 및 관행에 대한 전문 지식을 갖춘 사람인 데이터 보호 책임자(DPO)를 지정하여 관리자 또는 처리자가 규정 준수를 내부적으로 모니터링하도록 지원해야 한다.[163]

지정된 DPO는 관리자 또는 처리자의 현 직원이거나, 서비스 계약을 통해 외부인 또는 기관에 아웃소싱될 수 있다. 어떤 경우든 처리 기관은 DPO가 가질 수 있는 다른 역할이나 이해관계에 이해충돌이 없도록 해야 한다. DPO의 연락처는 처리 조직(예: 개인정보처리방침)에 의해 공개되고 감독 당국에 등록되어야 한다.

DPO는 준수 책임자와 유사하며, IT 프로세스, 데이터 보안( 사이버 공격 대응 포함) 및 개인 데이터 및 민감한 데이터의 보유 및 처리와 관련된 기타 중요한 업무 연속성 문제 관리에도 능숙해야 한다. 필요한 기술은 데이터 보호법 및 규정 준수에 대한 이해를 넘어선다. DPO는 조직을 대신하여 수집 및 저장된 모든 데이터의 실시간 데이터 목록을 유지해야 한다.[31] 데이터 보호 책임자의 기능 및 역할에 대한 자세한 내용은 2016년 12월 13일(2017년 4월 5일 개정) 지침 문서에 제시되었다.[32]

EU 외부에 기반을 둔 조직도 EU에 기반을 둔 사람을 대표자이자 GDPR 의무에 대한 연락 지점으로 임명해야 한다.[1] 이것은 DPO와는 별개의 역할이지만, 책임의 중복이 있어 이 역할이 지정된 DPO에 의해 수행될 수 있음을 시사한다.[33]

데이터 보호 최고 책임자는 다음과 같은 경우 지명해야 한다.[163]

  • 모든 공공 기관 (단, 사법 권한에 따라 활동하는 법원은 제외)
  • 데이터 관리자 또는 데이터 처리자의 주요 활동이 다음 활동으로 구성되는 경우
  • 데이터 처리 업무가 그 성격, 범위, 목적에 비추어 데이터 주체의 규정에 따라 체계적이고 대규모 감시를 요구하는 경우
  • 제9조에 준하는 특정 종류의 데이터를 대규모로 처리하는 경우 및 범죄 경력 및 제10조에 규정하는 범죄 관련 개인 데이터를 처리하는 경우


법원 또는 독립적인 사법 당국이 사법 권한에 따라 활동하는 경우를 제외하고, 공공기관이 데이터 처리를 수행하거나, 민간 부문에서 데이터 주체의 규칙에 따라 체계적인 감시를 필요로 하는 데이터 처리 업무를 주요 활동으로 하는 데이터 관리자가 데이터 처리를 수행하는 경우, 데이터 보호법 및 그 이행에 대한 전문적인 지식을 갖춘 사람이 데이터 관리자 또는 처리자가 조직 내에서 본 규칙을 준수하고 있는지 감시하는 것을 지원해야 한다. 데이터 보호 최고 책임자(DPO)는 컴플라이언스 최고 책임자와 유사하지만 동일하지는 않다. 두 직책 모두 개인 및 민감한 데이터의 보유 및 처리와 관련된 IT 처리, 데이터 보안(사이버 공격 대응 포함), 사업 연속성에 대한 중요한 문제에 정통해야 한다. 그러나 DPO의 기술 세트는 데이터 보호법에 관한 법적 준수 이해를 넘어서는 범위가 요구된다. 대규모 조직 내에서 DPO를 임명하는 것은 임원과 관련 개인 모두에게 어려운 과제가 된다. 조직 및 기업이 DPO를 임명할 때, 그 대상 범위와 성격에 따라 다뤄야 할 기업 거버넌스 및 인적 요인이 무수히 존재하기 때문이다. 게다가 DPO로 임명된 사람은 자신을 지원하는 팀을 구성해야 하며, 해당 팀 구성원이 지속적으로 역량 개발을 담당해야 한다. 그 이유는 그들을 고용하는 조직으로부터 독립적이며, 사실상 "소규모 감독 기관"이 될 필요가 있기 때문이다.

데이터 보호 최고 책임자의 직무 및 역할에 대한 더 자세한 내용은 2017년 4월 5일 개정된 지침에 설명되어 있다.[165] 해당 지침에 따르면, 모든 조직이 수행하는 피고용인에 대한 임금 지급이나 표준적인 IT 지원 제공 등의 활동은 조직에 필수적이지만, 일반적으로 주요 활동이 아니라 부수적인 활동으로 간주된다(해당 지침 2.1.2). 즉, DPO 임명 요건이 되지 않는다고 규정하고 있다.

하지만 EU 지역 내 일부 국가 또는 지역의 프라이버시 법규에서는 GDPR과 독립적으로 DPO 임명 요건을 규정하는 경우가 있다. 예를 들어 독일은 2017년 7월 5일 EU 회원국 중 처음으로 GDPR을 준수하여 국내법 "독일 연방 데이터 보호법"을 개정했지만,[166] 동법 제4f조는 사기업에서 DPO 임명이 면제되는 조건을, 개인 데이터를 자동화된 수단으로 지속적으로 처리하는 피고용자가 최대 9명 이하인 경우로 하고 있다.[167] 즉, 10명 이상의 피고용원을 보유하는 독일 내 사기업은 자동 처리하는 개인 데이터의 건수나 내용, 목적에 관계없이 DPO의 임명이 필수적이다.

데이터 보호 책임자(DPO) 임명 요구는 많은 EU 회원국에서 새로운 것이며, 일부에서는 행정적 부담이라는 비판이 제기되고 있다.[179]

4. 5. GDPR 인증

GDPR(일반 데이터 보호 규정) 제42조 및 제43조는 공식 GDPR 인증의 법적 근거를 마련하고 있으며, 두 가지 유형의 인증에 대한 기반을 설정한다.[34]

  • 국가 인증 체계: 적용이 단일 EU/EEA 국가로 제한된다.
  • 유럽 데이터 보호 인증: 모든 EU 및 EEA 관할권에서 인정된다.


GDPR 제42조에 따르면, 이 인증의 목적은 "관리자 및 처리자의 처리 작업이 GDPR을 준수함을 입증"하는 것이다.[35] GDPR에는 인증에 대한 70개 이상의 언급이 있으며, 다음과 같은 다양한 의무를 포함한다.[35]

  • 기술적 및 조직적 조치의 적절성
  • 데이터 처리자와의 데이터 공유
  • 설계 및 기본 설정에 따른 데이터 보호
  • 국제 데이터 전송


GDPR 인증은 신청자뿐만 아니라 인증된 데이터 처리 서비스를 사용하는 데이터 관리자의 법적 및 재정적 위험을 줄이는 데에도 기여한다.[36]

유럽 데이터 보호 인증의 채택은 유럽 데이터 보호 위원회(EDPB)의 책임이며 모든 EU 및 EEA 회원국에서 인정된다.[37]

2022년 10월, 유럽 데이터 보호 위원회(EDPB)는 유로프라이버시(Europrivacy) 인증 기준을 공식적으로 유럽 데이터 보호 인증으로 인정했다.[38] 유로프라이버시는 유럽 연구 프로그램에 의해 개발되었으며 룩셈부르크에 있는 유럽 인증 및 개인 정보 보호 센터(ECCP)에서 관리한다.

4. 6. 구제 수단, 책임 및 처벌

GDPR영어은 개인정보를 수집하는 조직(데이터 관리자), 데이터를 처리하는 조직(데이터 처리자), EU 내에 있는 개인(데이터 주체)에게 적용된다.[6] EU 외부에 있는 조직이라도 EU 내 개인의 데이터를 수집하거나 처리하는 경우에는 예외적으로 적용될 수 있다.[6]

유럽 집행위원회에 따르면, "개인 데이터는 확인되었거나 확인 가능한 개인과 관련된 정보"이다.[7]

'''제48조'''는 EU 외 국가 법원의 판결이나 행정 당국의 결정으로 개인 데이터를 이전하거나 공개하도록 요구하는 경우, 상호 사법 원조 조약과 같은 국제 협정을 기반으로 하지 않는 한 인정되거나 시행될 수 없다고 명시한다.[8]

각 회원국은 독립적인 감독 당국(SA)을 설립하여 불만을 접수하고 조사하며, 행정 위반에 대한 제재를 가한다.[1] EU에 여러 사업장을 가지고 있는 기업의 경우, "주요 사업장"을 기반으로 단일 SA를 "주요 당국"으로 지정하여 원스톱 샵 역할을 하게 한다.[9][143] 유럽 데이터 보호 위원회(EDPB)는 SA를 조정한다.[1]

GDPR영어 위반 시 다음과 같은 제재가 부과될 수 있다.

제재 종류내용관련 조항
서면 경고최초이자 고의가 아닌 불이행의 경우
정기 감사정기적인 데이터 보호 감사
과징금 (1단계)기업의 경우, 전년도 세계 매출액의 2% 또는 1000만유로 중 더 큰 금액제83조 4항
과징금 (2단계)기업의 경우, 전년도 세계 매출액의 4% 또는 2000만유로 중 더 큰 금액제83조 5항 및 6항



데이터 침해 발생 시, 데이터 관리자는 72시간 이내에 감독 기관(SA)에 통지해야 한다(제33조).[163] 불이익이 확인된 개인에게도 통지해야 한다(제34조). 단, 암호화 등으로 가명화된 데이터가 침해된 경우에는 통지 의무가 없다(제34조).

5. EU 역외 적용

GDPR은 유럽경제영역(EEA) 내의 데이터 주체에게 재화 또는 용역을 제공하거나, EEA 내 데이터 주체의 행위를 모니터링하는 경우, EEA 외부에 있는 데이터 관리자 및 처리자에게도 적용된다.[41] 이는 EU 내에 거주하는 사람들과 사업을 하는 경우 비EU 기관에 대해 GDPR의 치외법권을 의도적으로 부여한 것으로 해석된다.

이 규정은 EU 거주자의 개인 데이터를 수집하거나 처리하는 경우 EU 역외에 거점을 둔 조직에도 적용된다. 유럽 집행위원회에 따르면, “개인 데이터란 개인의 사생활, 직업, 공적 생활과 관련된 모든 정보를 의미하며, 이름, 주소, 사진, 이메일 주소, 은행 계좌 상세 정보, 소셜 네트워크 웹사이트 게시물, 의료 정보, 컴퓨터 IP 주소 등을 포함한다.”[160]

GDPR은 상품 또는 서비스 제공과 관련된 처리, 데이터 주체의 행동 모니터링과 관련된 처리의 경우에 적용 대상이 된다. 상품 또는 서비스 제공의 경우, EU 지역 내 국가에서 일반적으로 사용되는 언어 또는 통화를 사용하거나, EU 지역 내 고객 또는 사용자를 언급하는 등의 요소가 적용 대상이 될 수 있다. 행동 모니터링의 경우, 인터넷에서 개인을 추적한 후, 그 개인 데이터를 데이터 주체에 대한 의사결정을 위해 사용하거나, 개인의 취향, 행동, 태도를 분석 또는 예측하기 위해 프로파일링 처리 기술을 이용하는 것이 포함된다.[161]

5. 1. EU 대표

'''제27조'''에 따라 GDPR 적용을 받는 EU 이외 지역 사업체는 규정에 따른 의무 이행을 위한 연락 창구 역할을 하는 EU 내 지정 대리인("EU 대표")을 지정해야 한다. EU 대표는 모든 처리 관련 문제에서 유럽 개인정보보호 감독기관 및 데이터 주체와의 연락을 담당하며 GDPR 준수를 보장한다. 개인 또는 법인이 EU 대표 역할을 수행할 수 있다.[1] EU 이외 지역 사업체는 특정 개인이나 회사를 EU 대표로 지정하는 서명된 문서(위임장)를 발급해야 하며, 해당 지정은 서면으로만 가능하다.[1]

EU 대표를 지정하지 않으면 관련 규정 및 의무를 몰랐다고 간주되어 GDPR 위반으로 최대 1000만유로 또는 전년도 전 세계 연간 매출액의 2% 중 더 큰 금액의 벌금이 부과될 수 있다. 위반 행위(EU 대표 지정 실패)의 고의 또는 과실(고의적 묵과) 여부는 가중 처벌 요소가 될 수 있다.[1]

GDPR 제9조(1)에 명시된 특별 범주 데이터의 대규모 처리 또는 제10조에 명시된 범죄 전과 및 범죄 관련 개인 데이터 처리를 포함하지 않는 일시적인 처리만 수행하고, 처리의 성격, 맥락, 범위 및 목적을 고려할 때 자연인의 권리와 자유에 대한 위험 발생 가능성이 적다면 EU 대표를 지정할 필요가 없다. EU 이외 지역의 공공기관도 마찬가지로 면제된다.[1]

5. 2. 제3국으로의 데이터 이전

GDPR 제5장은 EU 데이터 주체의 개인 데이터를 유럽 경제 지역(EEA) 외부 국가, 즉 '제3국'으로 이전하는 것을 금지한다. 다만, 적절한 보호 조치가 마련되거나, 제3국의 데이터 보호 규정이 유럽 집행위원회에 의해 공식적으로 적절하다고 간주되는 경우에는 예외이다(제45조).[43][44] 구속력 있는 기업 규칙, 데이터 처리 계약(DPA)에 의해 발행된 데이터 보호를 위한 표준 계약 조항 또는 제3국에 위치한 데이터 관리자 또는 처리자가 구속력 있고 시행 가능한 약정 체계 등이 그 예이다.[45]

개인 데이터 이전이 예외적으로 적법하게 되는 충분성 인정과 관련하여, 일본의 개인정보보호위원회유럽 연합은 2017년부터 구체적인 협의를 시작했다. 2018년 7월 17일, 개인정보보호위원회와 유럽연합 집행위원회가 한-EU 간 개인 데이터 이전에 대해 최종 합의에 이르렀고, 2018년 가을까지 한-EU 간 상호 원활한 개인 데이터 이전의 틀이 운영 가능하게 되도록 필요한 국내 절차를 완료하기로 약속했다고 발표했다.[211][212] EU가 제3국과 데이터 보호의 충분성 수준에 대해 "상호적"인 인정을 합의한 것은 일본이 처음이다.[213]

2018년 9월 5일, 유럽 연합 집행위원회가 일본에 대한 충분성 인정 절차를 공식적으로 시작하기로 각의 결정을 했다.[214][215][216]

6. 감독 기구 및 협력

단일 규칙 체계는 모든 EU 회원국에 적용된다. 각 회원국은 신고에 대한 조사, 위반자 처벌 등을 수행하는 독립적인 감독 기구를 설치한다. EU 회원국들의 감독 기구는 다른 국가의 감독 기구와 협력하여 상호 지원 및 공동 시행을 한다. 사업자가 EU 지역 내에 여러 사업장을 보유한 경우, "주요 사업장"(즉, 주요 처리 업무가 수행되는 사업장)의 위치를 기준으로 하나의 감독 기구를 "주요 감독 기관"으로 한다. 주요 감독 기관은 원스톱 숍(one-stop shop)으로 활동하며, 사업자의 EU 지역 내 모든 처리 업무를 감독한다.[162]

유럽 데이터 보호 위원회(EDPB)가 각 회원국의 독립적인 감독 기구를 조정하고, 유럽 연합 전체에서 일관된 데이터 보호 규칙의 적용을 유지하고 추진한다. 이 유럽 데이터 보호 위원회(EDPB)의 설치로, 구 데이터 보호 지침 제29조에 규정된 작업반이 폐지된다.[162]

7. 영향 및 평가

GDPR 제정에 참여한 학계 전문가들은 이 법이 "한 세대 동안 정보 정책에서 가장 중요한 규제 개발"이며, "GDPR은 개인 데이터를 복잡하고 보호적인 규제 체계로 가져온다"고 평가했다.[82]

GDPR 시행 전 최소 2년의 준비 기간이 있었음에도 불구하고, 많은 기업과 웹사이트들은 시행 직전에 개인정보 보호 정책과 기능을 변경하고, 이메일 등으로 알림을 보냈다. 이는 과도한 통신으로 비판받았으며, 일부 알림은 GDPR 시행 시 데이터 처리에 대한 새로운 동의를 얻어야 한다고 잘못 주장하기도 했다(이전에 얻은 동의는 규정 요구 사항을 충족하는 한 유효하다).[83][84] GDPR 관련 이메일을 위장한 피싱 사기가 등장했고, 일부 GDPR 고지 이메일이 스팸 방지법을 위반했다는 주장도 제기되었다.[83][84] 2019년 3월에는 EU 회원국 정부 웹사이트에 광고 기술 제공업체의 추적 기능이 포함되어 있다는 사실이 발견되었다.[85][86]

GDPR 고지 쇄도는 을 낳았는데, 위자 보드나 스타워즈 오프닝 크롤 같은 비정형적인 방법으로 개인정보 보호 정책을 알리거나, 산타클로스의 "착한 아이 또는 나쁜 아이" 목록이 위반이라는 내용, 전직 BBC 라디오 4 해상 예보 아나운서가 규정 발췌문을 녹음한 내용 등이 포함된다. "GDPR 수치의 전당"이라는 블로그는 GDPR 고지의 특이한 전달 방식과 규정 위반 사례를 보여주었다.[87][88][89][90][91]

연구에 따르면 소프트웨어 취약성의 약 25%가 GDPR과 관련이 있다고 한다.[92] 보안 전문가는 기업이 조정된 취약성 공개 프로세스를 포함하여 취약성이 악용되기 전에 이를 식별하는 프로세스와 기능에 투자할 것을 권장한다.[93][94] 안드로이드 앱 조사 결과, 많은 앱이 GDPR 시행 이후 다소 개인정보 보호에 친화적인 동작을 보이지만, 여전히 코드에서 대부분의 데이터 접근 권한을 유지하고 있는 것으로 나타났다.[95][96] 노르웨이 소비자위원회는 소셜 미디어 플랫폼의 GDPR 이후 데이터 주체 대시보드에 대해, 대형 소셜 미디어 업체가 고객이 개인정보 설정을 강화하지 못하도록 기만적인 전술을 사용한다고 결론지었다.[97]

시행일에는 일부 웹사이트가 EU 국가 방문자를 완전히 차단하거나(인스타페이퍼[98], Unroll.me[99], 트리뷴 퍼블리싱 소유 신문[100] 등), 기능이 제한되거나 광고가 없는 서비스로 리디렉션했다(전국 공영 라디오, USA 투데이 등).[100][101][102][103] 클라우트와 같은 일부 회사와 여러 온라인 비디오 게임은 GDPR을 부담으로 여기고 운영을 중단했다.[104][105][106] 2018년 5월 25일 유럽의 온라인 행동 타겟 광고 배치량은 25~40% 감소했다.[107][108]

GDPR 시행 2년 후인 2020년, 유럽 집행위원회는 EU 전역의 사용자들이 권리에 대한 인식이 증가했다고 평가했다.[109][110]

2018년 5월 25일, 페이스북(Facebook)과 자회사, 구글 LLC(Google LLC)는 NOYB에 의해 "강제 동의" 사용에 대한 소송을 당했다.[111][112][113][114][115] 2019년 1월, 구글은 프랑스 DPA로부터 5000만유로의 벌금을 부과받았다.[116][117] 2018년 11월, 루마니아 DPA는 GDPR 요청을 사용하여 RISE 프로젝트(RISE Project)의 정보 출처에 대한 정보를 요구했다.[118][119]

2019년 7월, 영국 정보위원회(Information Commissioner's Office)는 영국항공(British Airways)에 1.83억파운드의 벌금을 부과할 의사를 밝혔으나,[120][121][122][123][124] 최종적으로 2000만파운드의 감액된 벌금이 부과되었다.[125] 2019년 12월, ''폴리티코(Politico)''는 아일랜드와 룩셈부르크가 GDPR에 따라 주요 외국 기업에 대한 조사에 상당한 지연을 겪고 있다고 보도했다.[126] 2021년 11월, 아일랜드 시민자유위원회는 유럽 집행위원회에 아일랜드의 GDPR 적용 방식에 대한 불만을 제기했다.[127]

회사들은 법적 의무를 지지만, GDPR의 실질적 및 기술적 구현에는 여전히 불일치가 존재한다.[128] 합법적인 동의 획득에 대한 집행력 부족은 과제이다.[130] 빅테크(Big Tech)가 동의 획득 메커니즘에 다크 패턴(dark pattern)을 사용한다는 연구 결과도 나왔다.[130] 2021년 3월, 프랑스가 주도하는 EU 회원국들이 국가 안보 기관을 면제함으로써 유럽의 개인 정보 보호 규정의 영향을 수정하려고 시도하고 있다고 보도되었다.[131] 2020년에 1.6억유로의 GDPR 벌금이 부과된 후, 2021년에는 이미 10억유로를 넘어섰다.[132] 2024년 한 연구에 따르면 GDPR이 EU 사용자의 웹사이트 페이지뷰와 웹사이트 수익을 모두 12% 감소시킨 것으로 나타났다.[142]

7. 1. 긍정적 평가

2018년 딜로이트(Deloitte)의 연구에 따르면, 기업의 92%가 장기적으로 자사의 사업 관행에서 GDPR을 준수할 수 있다고 응답했다.[57] GDPR은 데이터 관리 개선의 기회로 여기는 기업들의 지지를 얻었으며,[75][76] 마크 저커버그(Mark Zuckerberg)도 이를 "인터넷(Internet)에 대한 매우 긍정적인 조치"라고 평가했고,[77] 미국에서도 GDPR 스타일의 법률을 채택할 것을 촉구했다.[78]

유럽 소비자 기구(The European Consumer Organisation)와 같은 소비자 권익 단체는 이 법안의 가장 강력한 지지자들 중 하나이다.[79] 다른 지지자들은 이 법의 통과를 제보자 에드워드 스노든(Edward Snowden)의 공로로 돌렸다.[80] 자유 소프트웨어 옹호자 리처드 스톨먼(Richard Stallman)은 GDPR의 일부 측면을 칭찬했지만, 기술 기업이 "동의를 제조"하는 것을 방지하기 위한 추가적인 안전 장치를 요구했다.[81]

7. 2. 비판적 평가

GDPR 시행 이후, 많은 기업과 웹사이트들이 개인정보 보호 정책과 기능을 변경하면서 과도한 통신으로 비판을 받았다. 일부 알림 이메일은 GDPR 시행 시 데이터 처리에 대한 새로운 동의를 얻어야 한다고 잘못 주장하기도 했다.[83] 이는 피싱 사기에도 악용되었으며, 일부 GDPR 고지 이메일은 스팸 방지법을 위반했다는 주장도 제기되었다.[83][84]

GDPR 관련 고지의 쇄도는 을 낳기도 했다. 비정형적인 방법으로 개인정보 보호 정책을 고지하거나, 산타클로스의 "착한 아이 또는 나쁜 아이" 목록이 GDPR 위반이라는 내용 등이 그 예시이다.[87][88][89][90][91] "GDPR 수치의 전당"이라는 블로그는 GDPR 고지의 특이한 전달 방식과 규정 위반 사례를 보여주기도 했다.[87]

2019년 3월, EU 회원국 정부가 운영하는 많은 웹사이트에 광고 기술 제공업체의 추적 기능이 포함되어 있다는 사실이 발견되었다.[85][86] 또한, 연구에 따르면 소프트웨어 취약성의 약 25%가 GDPR과 관련이 있다고 한다.[92] 노르웨이 소비자위원회는 대형 소셜 미디어 업체들이 사용자의 개인정보 설정을 방해하는 기만적인 전술을 사용한다고 결론 내렸다.[97]

GDPR 시행일에 일부 웹사이트는 EU 국가 방문자를 완전히 차단하거나, 기능이 제한된 서비스로 리디렉션했다.[98][99][100][101][102][103] 클라우트와 같은 일부 회사와 여러 온라인 비디오 게임은 GDPR을 부담으로 여기고 운영을 중단하기도 했다.[104][105][106] 2018년 5월 25일 유럽의 온라인 행동 타겟 광고 배치량은 25~40% 감소했다.[107][108]

GDPR 제정에는 수많은 논쟁과 논란이 있었으며, 수천 개의 수정 제안이 제출되었다.[178] 단일 규칙 집합과 행정적 요구 사항의 제외는 비용 절감을 목적으로 했지만, 다음과 같은 문제점이 지적되고 있다.

  • 데이터 보호 책임자(DPO) 임명 요구는 행정적 부담이라는 비판이 제기된다.
  • GDPR이 소셜 네트워크 및 클라우드 사업자에 초점을 맞춰 작성되어 고용인 데이터 처리에 대한 고려가 부족하다.[179]
  • 데이터 이동성이 데이터 보호의 중요한 측면으로 간주되지 않는다.
  • 데이터 보호 당국(DPA)의 언어 및 직원 채용 문제로 인해 비유럽 기업은 영어를 이유로 영국/아일랜드 DPA를 선택하여 두 국가에 큰 인적 자원이 필요하게 된다. EU 시민들은 여러 DPA와 소통해야 하고 외국어로 인한 의사소통 문제도 예상된다.
  • 새로운 규정이 기타 비유럽 법률, 규정 및 관행과 상충한다.
  • GDPR의 실제 시행에 있어 EU의 GDPR은 규칙 발효 전에 동등 수준의 개인 정보 보호를 시행하지 않은 기업의 사업에 포괄적인 문제 해결을 요구하며, 개인 정보 보호 전문가와 지식 부족, 유럽 집행위원회 및 DPA의 자원과 권한 부족, 유럽의 국제 무역 정책과 GDPR의 불일치 등의 문제가 있다.[180]

7. 3. 해외 법률에 대한 영향

GDPR은 유럽경제지역(EEA) 내의 데이터 주체에게 "재화 또는 용역을 제공"하거나, EEA 내의 데이터 주체의 행위를 모니터링하는 경우, EEA 외부에 있는 데이터 관리자 및 처리자에게도 적용된다.[41] 이는 EU 내에 거주하는 사람들과 사업을 하는 경우 비EU 기관에 대해 GDPR의 치외법권을 의도적으로 부여한 것으로 해석된다.[42]



영국은 브렉시트의 영향으로 2020년 12월 31일까지 GDPR을 포함한 EU 법률의 적용을 받았다.[43] 이후 2018년 데이터 보호법(Data Protection Act 2018)을 통해 GDPR을 보완하고, 법령에 의해 영국의 EU 비회원국 지위에 따라 "영국 GDPR(UK GDPR)"을 시행했다.[49][44][43]

영국은 영국 GDPR에 따라 EEA 내 국가로의 개인 데이터 전송을 제한하지 않지만, EU GDPR에 따라 "제3국"이 되므로, 적절한 안전 장치가 적용되거나 유럽 집행위원회의 적절성 결정이 없는 한 개인 데이터 이전이 제한된다.[43][44]

2019년 4월, 영국 정보위원회(Information Commissioner's Office, ICO)는 미성년자가 사용하는 소셜 네트워킹 서비스를 위한 아동 코드(Children's Code)를 발표, GDPR에 따라 좋아요 및 "연속(streak)" 메커니즘에 대한 제한 등 소셜 미디어 중독(social media addiction) 방지책을 포함했다.[50][51]

2021년 3월, 디지털·문화·미디어·스포츠부 장관(Secretary of State for Digital, Culture, Media and Sport) 올리버 도든(Oliver Dowden)은 영국이 EU GDPR에서 벗어나 "개별 기업에 부과되는 규칙의 부담보다는 우리가 원하는 결과에 더 중점을 둘 것"이라고 밝혔다.[52]

2018년 5월 25일, 페이스북(Facebook)과 자회사, 구글 LLC(Google LLC)는 NOYB에 의해 "강제 동의" 사용에 대한 소송을 당했다.[111][112][113][114][115] 2019년 1월, 구글은 프랑스 DPA로부터 5000만유로의 벌금을 부과받았다.[116][117]

2019년 7월, 영국 정보위원회(Information Commissioner's Office)는 영국항공(British Airways)에 1.83억파운드의 벌금을 부과할 의사를 밝혔으나, 최종적으로 2000만파운드의 감액된 벌금이 부과되었다.[125]

2019년 12월, ''폴리티코(Politico)''는 아일랜드와 룩셈부르크가 GDPR에 따라 주요 외국 기업에 대한 조사에 상당한 지연을 겪고 있다고 보도했다.[126]

2021년 11월, 아일랜드 시민자유위원회는 유럽 집행위원회에 아일랜드의 GDPR 적용 방식에 대한 불만을 제기했다.[127]

GDPR의 실질적 및 기술적 구현에는 여전히 여러 가지 불일치가 존재하며,[128] 합법적인 동의 획득에 대한 집행력 부족은 과제이다.[130] 2020년 연구는 빅테크(Big Tech)가 동의 획득 메커니즘에 다크 패턴(dark pattern)을 사용한다는 것을 보여주었다.[130]

2021년 3월, 프랑스가 주도하는 EU 회원국들이 국가 안보 기관을 면제함으로써 유럽의 개인 정보 보호 규정의 영향을 수정하려고 시도하고 있다고 보도되었다.[131]

2020년에 1.6억유로의 GDPR 벌금이 부과된 후, 2021년에는 이미 10억유로를 넘어섰다.[132]

GDPR과 함께 입법 심의된 데이터 보호법 집행 지침은 2018년 5월 6일 시행되어 형법상 집행을 EU 회원국에 촉구한다.[192]

AI 법은 세계 최초의 포괄적인 인공지능 규제법[193]으로, AI 학습 데이터 취급 관점에서 GDPR과 관련된다.[194]

데이터 거버넌스 법은 2023년 9월부터 적용이 시작되었으며, GDPR과 달리 개인 이외의 데이터 취급도 포함한다.[195]

유럽연합 데이터보호위원회와 유럽 의회는 일본의 개인정보보호법에 대해 다음과 같은 문제를 제기했다.

  • 개인정보보호법의 예외 규정이 EU의 접근 방식과 일치하지 않을 우려
  • 개인정보보호법의 “개인 데이터” 정의가 GDPR보다 좁음
  • 자동화된 의사결정과 프로파일링에 대한 개인의 권리 보호 미흡
  • 다이렉트 마케팅에 특화된 조항 부재
  • 일본에서 외국으로 데이터를 이전할 때 정보 제공 범위 불명확
  • 개인정보보호법의 강제력 부족 및 벌금 수준 미흡
  • 개인정보보호위원회의 경찰 개인 데이터 처리 활동 감독 권한 부재

8. 관련 법규

다국적 기업들이 이러한 새로운 개인정보보호 표준을 대거 채택한 것은 유럽 법률 및 규정이 그 중요성으로 인해 기준으로 사용되는 현상인 "브뤼셀 효과"의 사례로 언급되어 왔다.[133]

미국캘리포니아주는 2018년 6월 28일 캘리포니아 소비자 개인정보보호법(CCPA)을 통과시켰으며, 이는 2020년 1월 1일부터 시행되어 GDPR과 유사한 방식으로 기업의 개인정보 수집에 대한 투명성과 통제 권한을 부여한다. 비평가들은 주 단위 법률의 집합은 상이한 표준을 가지게 되어 규정 준수를 복잡하게 만들 것이므로, 이러한 법률은 효과를 발휘하려면 연방 수준에서 시행되어야 한다고 주장해 왔다.[134][135][136] 그 후 미국의 다른 두 주에서도 유사한 법안을 제정했다. 버지니아주는 2021년 3월 2일 소비자 데이터 개인정보보호법을 통과시켰고,[137] 콜로라도주는 2021년 7월 8일 콜로라도 개인정보보호법을 제정했다.[138]

터키 공화국(Turkey)은 유럽 연합 가입 후보국으로서, EU 법규를 준수하여 2016년 3월 24일 개인정보보호법을 채택했다.[139]

중국의 2021년 개인정보보호법은 중국의 개인정보 권리에 관한 최초의 포괄적인 법률이며, GDPR을 모델로 하였다.[140]

스위스 또한 EU의 GDPR을 대부분 따르는 새로운 데이터 보호법을 채택할 예정이다.[141]

EU 디지털 단일 시장 전략은 EU 내 기업과 사람들과 관련된 "디지털 경제" 활동과 관련이 있다.[152] 이 전략의 일환으로 GDPR과 NIS 지침은 모두 2018년 5월 25일부터 적용되었다. 제안된 ePrivacy 규정 또한 2018년 5월 25일부터 적용될 예정이었으나 몇 달 연기되었다.[153] eIDAS 규정 또한 이 전략의 일부이다.

초기 평가에서 유럽 이사회는 GDPR을 "미래 디지털 정책 이니셔티브 개발을 위한 전제 조건"으로 간주해야 한다고 밝혔다.[154]

다른 국가의 유사한 개인정보보호법은 다음과 같다.


  • 일반 개인정보 보호법 (LGPD) (브라질)
  • 캘리포니아 소비자 개인정보보호법 (CCPA)
  • 아동 온라인 개인정보 보호법 (COPPA) (미국)
  • 개인정보보호법 (PIPL) (중국)
  • 나이지리아 데이터 보호법, 2023 (NDP 법) (나이지리아)
  • 개인정보보호법 2012 (PDPA) (싱가포르)
  • 개인정보보호법 (PoPIA) (남아프리카 공화국)
  • 2022년 제9호 개인정보보호법 (PDPA) (스리랑카)


관련 EU 규정은 다음과 같다.

  • 사이버 보안 및 복원력 법안 - 2024년 영국 제안 법안.
  • 데이터법, 2022년부터 제안된 EU 법률
  • 데이터 거버넌스 법, 2020년부터 제안된 EU 법률
  • 디지털 시장법
  • 디지털 서비스법
  • EU-미국 개인정보 보호 쉴드
  • 유럽 데이터 보호 위원회 (EDPB)
  • 유럽 건강 데이터 공간
  • 2002년 개인정보 및 전자통신 지침 (ePrivacy 지침, ePD)


관련 개념은 다음과 같다.

  • 사이버범죄 협약
  • 데이터 이동성
  • 추적 금지 입법
  • ePrivacy 규정
  • 개인정보보호 영향평가


2019년 1월 23일, 일본 정부와 유럽연합 집행위원회는 상호 적절성 결정이 즉시 발효된다고 발표했다.[224][225] 발효 2년 후에 최초의 공동 검토가 이루어지며, 유럽 데이터 보호위원회 대표는 법 집행 및 국가 안보를 위한 개인 데이터 접근 부분에 대해 참여한다. 그 후 최소 4년마다 검토가 이루어진다.

참조

[1] 법규 Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation)
[2] 웹사이트 Presidency of the Council: 'Compromise text. Several partial general approaches have been instrumental in converging views in Council on the proposal for a General Data Protection Regulation in its entirety. The text on the Regulation which the Presidency submits for approval as a General Approach appears in annex,' 201 pages, 11 June 2015, PDF http://data.consiliu[...] 2015-12-30
[3] 논문 The GDPR as Global Data Protection Regulation? 2020
[4] 웹사이트 The UK GDPR https://ico.org.uk/f[...] 2021-06-28
[5] 웹사이트 The differences between the California Consumer Privacy Act and the GDPR https://advisera.com[...]
[6] 법규 Article 3(2)
[7] 웹사이트 What is personal data? https://ico.org.uk/f[...] 2021-01
[8] 법규 Directive (EU) 2016/680 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data by competent authorities for the purposes of the prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, and on the free movement of such data, and repealing Council Framework Decision 2008/977/JHA
[9] 서적 The Proposed EU General Data Protection Regulation. A guide for in-house lawyers Hunton & Williams LLP 2015-06
[10] 웹사이트 Age of consent in the GDPR: updated mapping https://web.archive.[...]
[11] 웹사이트 How the Proposed EU Data Protection Regulation Is Creating a Ripple Effect Worldwide https://iapp.org/med[...] 2013-01-03
[12] 논문 Your Data Is My Data: A Framework for Addressing Interdependent Privacy Infringements 2019-10-01
[13] 웹사이트 Guidelines on the right to data portability under Regulation 2016/679 https://ec.europa.eu[...] European Commission 2017
[14] 논문 When data protection by design and data subject rights clash 2018
[15] 논문 Singling out people without knowing their names – Behavioural targeting, pseudonymous data, and the new Data Protection Regulation 2016-04
[16] 웹사이트 The Right to Be Forgotten http://1essexcourt.w[...] 1 Essex Court 2014-05-15
[17] 법규 P7_TA(2014)0212 Protection of individuals with regard to the processing of personal data ***I European Parliament legislative resolution of 12 March 2014 on the proposal for a regulation of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation) (COM(2012)0011 — C7-0025/2012 — 2012/0011(COD)) P7_TC1-COD(2012)0011 Position of the European Parliament adopted at first reading on 12 March 2014 with a view to the adoption of Regulation (EU) No …/2014 of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation)
[18] 웹사이트 Practical Data Privacy https://www.thoughtw[...] 2023-08-25
[19] 웹사이트 Right to object https://ico.org.uk/f[...] 2019-08-30
[20] 웹사이트 Using privacy laws to regulate automated decision making https://www.barrysoo[...] 2021-04-30
[21] 판례 Judgment of the Court (Third Chamber) of 4 May 2023. UI v Österreichische Post AG. Request for a preliminary ruling from the Oberster Gerichtshof. Case C-300/21
[22] 판례 Österreichische Post (C-300/21), sub 54.
[23] 판례 Opinion of Advocate General Campos Sánchez-Bordona delivered on 25 May 2023. ZQ v Medizinischer Dienst der Krankenversicherung Nordrhein, Körperschaft des öffentlichen Rechts. Case C‑667/21
[24] 웹사이트 Privacy notices under the EU General Data Protection Regulation https://ico.org.uk/f[...] 2018-01-19
[25] 웹사이트 What information must be given to individuals whose data is collected? https://ec.europa.eu[...] Europa (web portal)
[26] 웹사이트 Privacy and Data Protection by Design – ENISA https://www.enisa.eu[...] Europa (web portal)
[27] 웹사이트 Data science under GDPR with pseudonymization in the data pipeline https://www.dativa.c[...] Dativa 2018-04-17
[28] 웹사이트 Secure personal data https://www.edpb.eur[...] 2024-05-16
[29] 웹사이트 Data protection by design and default https://ico.org.uk/f[...] 2023-07-01
[30] 웹사이트 What if somebody withdraws their consent? https://commission.e[...]
[31] 웹사이트 Explaining GDPR Data Subject Requests https://www.truevaul[...]
[32] 웹사이트 Guidelines on Data Protection Officers ('DPOs') https://ec.europa.eu[...]
[33] 웹사이트 reach of the GDPR: What is at stake? https://www.lexology[...] 2017-06-21
[34] 웹사이트 EDPB Document on the procedure for the adoption of the EDPB opinions regarding national criteria for certification and European Data Protection Seals https://www.edpb.eur[...]
[35] 웹사이트 Art. 42 GDPR – Certification https://gdpr-info.eu[...]
[36] 웹사이트 Europrivacy: the first certification mechanism to ensure compliance with GDPR Shaping Europe’s digital future https://digital-stra[...] 2024-10-30
[37] 웹사이트 EDPB document on the procedure for the approval of certification criteria by the EDPB resulting in a common certification, the European Data Protection Seal European Data Protection Board https://www.edpb.eur[...] 2024-11-03
[38] 웹사이트 Europrivacy European Data Protection Board https://www.edpb.eur[...] 2024-10-30
[39] 웹사이트 Exemptions https://ico.org.uk/f[...] 2020-11-11
[40] 서적 Services of General Economic Interest as a Constitutional Concept of EU Law TMC Asser Press 2018-05-23
[41] 웹사이트 The (Extra) Territorial Scope of the GDPR: The Right to Be Forgotten https://www.fasken.c[...] 2020-02-21
[42] 웹사이트 Extraterritorial Scope of GDPR: Do Businesses Outside the EU Need to Comply? https://www.american[...] American Bar Association 2020-02-21
[43] 웹사이트 UK: Understanding the full impact of Brexit on UK: EU data flows https://blogs.dlapip[...] DLA Piper 2020-02-20
[44] 웹사이트 On data protection, the UK says it will go it alone. It probably won't. https://www.zdnet.co[...] 2020-02-20
[45] 웹사이트 How to transfer data to a 'third country' under the GDPR https://www.itgovern[...] 2020-02-21
[46] Youtube Digital Rights post-Brexit https://www.youtube.[...] Open Rights Group 2022-11-27
[47] 웹사이트 New Data Protection Act finalised in the UK https://www.out-law.[...] 2018-05-25
[48] 뉴스 New UK Data Protection Act not welcomed by all https://www.computer[...] 2018-05-25
[49] 웹사이트 Google shifts authority over UK user data to the US in wake of Brexit https://www.theverge[...] 2020-02-20
[50] 뉴스 Under-18s face 'like' and 'streaks' limits https://www.bbc.com/[...] 2019-04-15
[51] 뉴스 Facebook urged to disable 'like' feature for child users https://www.theguard[...] 2019-04-15
[52] 웹사이트 UK seeks divergence from GDPR to 'fuel growth' https://www.itpro.co[...] 2021-03-12
[53] 웹사이트 Data sharing myths busted https://ico.org.uk/f[...] 2023-10-19
[54] 웹사이트 Top nine GDPR myths busted https://wslaw.co.uk/[...] 2019-01-22
[55] 웹사이트 Five GDPR myth-busters https://www.fieldfis[...] 2023-05-11
[56] 법률 Article 3 (2) of the GDPR
[57] 웹사이트 A new era for privacy - GDPR six months on https://www2.deloitt[...] 2020-11-26
[58] 웹사이트 How Smart Businesses Can Avoid GDPR Penalties When Recording Calls https://www.xewave.i[...] 2018-04-13
[59] 웹사이트 The High Costs of GDPR Compliance https://www.darkread[...] UBM Technology Group 2017-10-04
[60] 웹사이트 Preparing for New Privacy Regimes: Privacy Professionals' Views on the General Data Protection Regulation and Privacy Shield http://f.datasrvr.co[...] Baker & McKenzie 2017-10-04
[61] 웹사이트 GDPR Compliance Cost Calculator https://www.gigacalc[...] 2018-05-16
[62] 웹사이트 How Europe's 'breakthrough' privacy law takes on Facebook and Google https://www.theguard[...] 2018-05-25
[63] 뉴스 Europe's new privacy rules are no silver bullet https://www.politico[...] 2018-05-25
[64] 뉴스 Lack of GDPR knowledge is a danger and an opportunity https://www.computer[...] 2018-05-25
[65] 뉴스 No one's ready for GDPR https://www.theverge[...] 2018-06-01
[66] 뉴스 New rules on data protection pose compliance issues for firms https://www.irishtim[...] 2018-05-25
[67] 웹사이트 Looking to comply with GDPR? Here's a primer on anonymization and pseudonymization https://iapp.org/new[...] IAPP 2018-02-19
[68] 논문 The impact of the EU general data protection regulation on scientific research 2017
[69] 웹사이트 Pseudonymisation of Personal Data According to the General Data Protection Regulation https://www.edilex.f[...] 2018-02-19
[70] 웹사이트 A recent report issued by the Blockchain Association of Ireland has found there are many more questions than answers when it comes to GDPR https://www.siliconr[...] 2018-03-05
[71] 뉴스 AI watchdog needed to regulate automated decision-making, say experts https://www.theguard[...] 2017-01-27
[72] 웹사이트 EU's Right to Explanation: A Harmful Restriction on Artificial Intelligence http://www.techzone3[...]
[73] 논문 Why a Right to Explanation of Automated Decision-Making Does Not Exist in the General Data Protection Regulation 2016-12-28
[74] 논문 Slave to the algorithm? Why a "right to an explanation" is probably not the remedy you are looking for https://ssrn.com/abs[...]
[75] 웹사이트 Five benefits GDPR compliance will bring to your business https://www.forbes.c[...] 2018-03-29
[76] 웹사이트 Europe's tough new digital privacy law should be a model for US policymakers https://www.vox.com/[...] Vox 2018-05-23
[77] 웹사이트 What the GDPR means for Facebook, the EU and you https://www.cnet.com[...] 2018-05-25
[78] 웹사이트 Facebook CEO Zuckerberg's Call for GDPR Privacy Laws Raises Questions https://www.cnbc.com[...] 2019-04-01
[79] 잡지 Europe's new privacy law will change the web, and more https://www.wired.co[...] 2018-03-19
[80] 뉴스 Today, a new E.U. law transforms privacy rights for everyone. Without Edward Snowden, it might never have happened. https://www.washingt[...] 2018-05-25
[81] 뉴스 A radical proposal to keep your personal data safe https://www.theguard[...] 2018-04-03
[82] 논문 The European Union general data protection regulation: what it is and what it means https://doi.org/10.1[...] 2019-02-10
[83] 뉴스 Scammers are using GDPR email alerts to conduct phishing attacks http://www.itpro.co.[...] 2018-05-03
[84] 웹사이트 Most GDPR emails unnecessary and some illegal, say experts https://www.theguard[...] 2018-05-21
[85] 웹사이트 EU gov't and public health sites are lousy with adtech, study finds https://techcrunch.c[...] 2019-03-18
[86] 웹사이트 EU citizens being tracked on sensitive government websites https://www.ft.com/c[...] 2019-03-18
[87] 뉴스 Fall asleep in seconds by listening to a soothing voice read the EU's new GDPR legislation https://www.theverge[...]
[88] 잡지 How Europe's GDPR Regulations Became a Meme https://www.wired.co[...]
[89] 뉴스 The Internet Created a GDPR-Inspired Meme Using Privacy Policies https://www.adweek.c[...]
[90] 뉴스 Help, my lightbulbs are dead! How GDPR became bigger than Beyonce https://www.wired.co[...]
[91] 뉴스 Here Are Some of the Worst Attempts At Complying with GDPR https://motherboard.[...] 2018-05-25
[92] 웹사이트 What Percentage of Your Software Vulnerabilities Have GDPR Implications? https://www.hackeron[...] HackerOne 2018-01-16
[93] 웹사이트 The Data Protection Officer (DPO): Everything You Need to Know https://www.slidesha[...] Cranium and HackerOne 2018-03-20
[94] 웹사이트 What might bug bounty programs look like under the GDPR? https://iapp.org/new[...] The International Association of Privacy Professionals (IAPP) 2018-03-27
[95] 논문 Did App Privacy Improve After the GDPR? http://urn.kb.se/res[...] 2019-11
[96] 서적 A Multilateral Privacy Impact Analysis Method for Android Apps https://zenodo.org/r[...] Springer International Publishing 2019
[97] 간행물 Deceived by design - How tech companies use dark patterns to discourage us from exercising our rights to privacy https://fil.forbruke[...] Norwegian Consumer Council 2018
[98] 뉴스 Instapaper is temporarily shutting off access for European users due to GDPR https://www.theverge[...]
[99] 웹사이트 Unroll.me to close to EU users saying it can't comply with GDPR https://techcrunch.c[...] 2018-05-05
[100] 뉴스 Sites block users, shut down activities and flood inboxes as GDPR rules loom https://www.theguard[...] 2018-05-24
[101] 뉴스 Blocking 500 Million Users Is Easier Than Complying With Europe's New Rules https://www.bloomber[...] Bloomberg L.P. 2018-05-25
[102] 뉴스 U.S. News Outlets Block European Readers Over New Privacy Rules https://www.nytimes.[...] 2018-05-25
[103] 뉴스 Look: Here's what EU citizens see now that GDPR has landed http://adage.com/art[...]
[104] 잡지 Why Your Inbox Is Crammed Full of Privacy Policies https://www.wired.co[...] 2018-05-24
[105] 뉴스 Getting a Flood of G.D.P.R.-Related Privacy Policy Updates? Read Them https://www.nytimes.[...] 2018-05-23
[106] 뉴스 Blocking 500 Million Users Is Easier Than Complying With Europe's New Rules https://www.bloomber[...] Bloomberg 2018-05-25
[107] 뉴스 GDPR mayhem: Programmatic ad buying plummets in Europe https://digiday.com/[...] Digiday 2018-05-26
[108] 서적 The impact of the GDPR on the online advertising market https://www.worldcat[...] Bernd Skiera 2022-07-05
[109] 웹사이트 Press corner https://ec.europa.eu[...] 2020-09-18
[110] 웹사이트 Your rights matter: Data protection and privacy - Fundamental Rights Survey https://fra.europa.e[...] 2020-09-18
[111] 웹사이트 GDPR: noyb.eu filed four complaints over 'forced consent' against Google, Instagram, WhatsApp and Facebook https://web.archive.[...] NOYB.eu 2018-05-26
[112] 뉴스 Facebook and Google hit with $8.8 billion in lawsuits on day one of GDPR https://www.theverge[...] The Verge 2018-05-26
[113] 뉴스 Max Schrems files first cases under GDPR against Facebook and Google https://www.irishtim[...] The Irish Times 2018-05-26
[114] 웹사이트 Facebook, Google face first GDPR complaints over 'forced consent' https://techcrunch.c[...] 2018-05-26
[115] 뉴스 Google, Facebook hit with serious GDPR complaints: Others will be soon https://www.zdnet.co[...] ZDNet 2018-05-26
[116] 뉴스 Google hit with £44m GDPR fine https://www.bbc.com/[...] BBC News 2019-06-14
[117] 뉴스 Google fined €50 million for GDPR violation in France https://www.theverge[...] The Verge 2019-06-14
[118] 뉴스 Yet Another GDPR Disaster: Journalists Ordered To Hand Over Secret Sources Under 'Data Protection' Law https://www.techdirt[...] 2018-11-20
[119] 뉴스 English Translation of the Letter from the Romanian Data Protection Authority to RISE Project https://www.occrp.or[...] Organized Crime and Corruption Reporting Project 2018-11-20
[120] 웹사이트 ICO fines British Airways £183.39m under GDPR for data breach https://ico.org.uk/a[...] 2020-12-22
[121] 뉴스 British Airways breach caused by credit card skimming malware, researchers say https://techcrunch.c[...] TechCrunch 2018-12-09
[122] 뉴스 British Airways boss apologises for 'malicious' data breach https://www.bbc.com/[...] BBC News 2018-09-07
[123] 뉴스 BA faces £183m fine over passenger data breach https://www.theguard[...] The Guardian 2019-07-08
[124] 뉴스 British Airways faces record £183m fine for data breach https://www.bbc.com/[...] BBC News 2019-07-08
[125] 웹사이트 ICO fines British Airways £20m for data breach affecting more than 400,000 customers https://web.archive.[...] 2020-12-22
[126] 웹사이트 'We have a huge problem': European regulator despairs over lack of enforcement https://www.politico[...] 2020-05-06
[127] 웹사이트 Europe-wide overhaul of GDPR monitoring triggered by ICCL https://www.iccl.ie/[...] 2023-04-08
[128] 논문 GDPR-Reality Check on the Right to Access Data ACM Press 2019
[129] 논문 GDPR Reality Check–Claiming and Investigating Personally Identifiable Data from Companies https://eusec20.cs.u[...] 2020-06-17
[130] 논문 A Human-Centric Perspective on Digital Consenting: The Case of GAFAM Springer 2020-08-23
[131] 뉴스 How Europe's Intelligence Services Aim to Avoid the EU's Highest Court—and What It Means for the United States https://www.lawfarem[...] Lawfare 2021-03-13
[132] 웹사이트 Fines for breaches of EU privacy law spike sevenfold to $1.2 billion, as Big Tech bears the brunt https://www.cnbc.com[...] 2022-02-09
[133] 웹사이트 The GDPR Is in Effect: Should U.S. Companies Be Afraid? http://fortune.com/2[...] 2018-05-28
[134] 웹사이트 Commentary: California's New Data Privacy Law Could Begin a Regulatory Disaster http://fortune.com/2[...] 2019-04-10
[135] 뉴스 California Unanimously Passes Historic Privacy Bill https://www.wired.co[...] Wired 2018-06-29
[136] 뉴스 Marketers and tech companies confront California's version of GDPR http://adage.com/art[...] 2018-06-29
[137] 웹사이트 Virginia passes the Consumer Data Protection Act https://iapp.org/new[...] 2021-08-26
[138] 웹사이트 Colorado Privacy Act becomes law https://iapp.org/new[...] 2021-08-26
[139] 웹사이트 KİŞİSEL VERİLERİ KORUMA KURUMU {{!}} KVKK {{!}} History https://www.kvkk.gov[...] 2020-12-19
[140] 서적 High Wire: How China Regulates Big Tech and Governs Its Economy Oxford University Press
[141] 웹사이트 New Federal Act on Data Protection (nFADP) https://www.kmu.admi[...] 2023-03-25
[142] 논문 Regulating Privacy Online: An Economic Evaluation of the GDPR https://www.aeaweb.o[...] 2024-01-01
[143] CELEX Procedure for the proposed revised legal framework (General Data Protection Regulation)
[144] 웹사이트 Data protection reform: Council adopts position at first reading – Consilium http://www.consilium[...] Europa (web portal) 2016-04-14
[145] 웹사이트 Adoption of the Council's position at first reading http://www.votewatch[...] 2017-11-25
[146] 웹사이트 Written procedure http://www.europarl.[...] Council of the European Union 2017-12-01
[147] 웹사이트 Data protection reform – Parliament approves new rules fit for the digital era – News – European Parliament http://www.europarl.[...] 2016-04-14
[148] 웹사이트 Official Journal L 119/2016 http://eur-lex.europ[...] 2018-05-26
[149] 웹사이트 The History of the General Data Protection Regulation {{!}} European Data Protection Supervisor https://edps.europa.[...] 2024-02-02
[150] 웹사이트 General Data Protection Regulation (GDPR) entered into force in the EEA http://www.efta.int/[...] 2018-07-20
[151] 웹사이트 GDPR – 20. juli er datoen! http://rett24.no/art[...] 2018-07-10
[152] 웹사이트 Digital Single Market https://ec.europa.eu[...]
[153] 웹사이트 What does the ePrivacy Regulation mean for the online industry? – ePrivacy https://www.eprivacy[...]
[154] 웹사이트 Council position and findings on the application of the General Data Protection Regulation (GDPR), 19 December 2019 https://data.consili[...]
[155] 웹사이트 Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation) (Text with EEA relevance) https://eur-lex.euro[...] EUR-Lex
[156] 웹사이트 General Data Protection Regulation http://eur-lex.europ[...] 2016-04-05
[157] 웹사이트 Directive 95/46/EC http://eur-lex.europ[...]
[158] 웹사이트 GDPR: Getting Ready for the New EU General Data Protection Regulation http://www.infolawgr[...] InfoLawGroup LLP 2016-05-05
[159] 웹사이트 Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data http://eur-lex.europ[...] European Commission
[160] 웹사이트 What is personal data? - 2018 reform of EU data protection rules https://ec.europa.eu[...] European Commission
[161] 웹사이트 What constitutes data processing? - 2018 reform of EU data protection rules https://ec.europa.eu[...] European Commission
[162] 웹사이트 THE ARTICLE 29 WORKING PARTY CEASED TO EXIST AS OF 25 MAY 2018 http://ec.europa.eu/[...] European Commission 2018-06-11
[163] 웹사이트 Guidelines on Data Protection Officers ('DPOs') (wp243rev.01) http://ec.europa.eu/[...] European Commission
[164] 웹사이트 Guidelines on Consent under Regulation 2016/679 (wp259rev.01) http://ec.europa.eu/[...] European Commission
[165] 웹사이트 Guidelines on Data Protection Officers http://ec.europa.eu/[...]
[166] 웹사이트 Germany is the first EU Member State to enact new Data Protection Act to align with the GDPR https://www.twobirds[...] 2017-07-07
[167] 웹사이트 Federal Data Protection Act https://www.gesetze-[...] 2017-07-05
[168] 웹사이트 Privacy and Data Protection by Design — ENISA https://www.enisa.eu[...]
[169] 웹사이트 The Right to Be Forgotten http://1essexcourt.w[...] 1 Essex Court
[170] 웹사이트 European Parliament legislative resolution of 12 March 2014 on the proposal for a regulation of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation) http://www.europarl.[...] European Parliament
[171] 웹사이트 Guidelines on the right to "data portability" (wp242rev.01) http://ec.europa.eu/[...] European Commission 2017-10-27
[172] 웹사이트 The Final European Union General Data Protection Regulation, by Cedric Burton, Laura De Boel, Christopher Kuner, Anna Pateraki, Sarah Cadiot and Sára G. Hoffman, Section II, 4 http://www.bna.com/f[...] Bloomberg BNA 2016-02-12
[173] 웹사이트 GDPR proposal http://ec.europa.eu/[...]
[174] 웹사이트 The EU General Data Protection Regulation Timeline, Allen & Overy http://www.allenover[...]
[175] 웹사이트 Data protection reform: Council adopts position at first reading http://www.consilium[...]
[176] 웹사이트 Data protection reform - Parliament approves new rules fit for the digital era http://www.europarl.[...]
[177] 웹사이트 EU Official Journal issue L 119 http://eur-lex.europ[...]
[178] 웹사이트 Overview of amendments http://lobbyplag.eu/[...]
[179] 웹사이트 Expert tips: Get your business ready for GDPR https://tresorit.com[...]
[180] 웹사이트 Irion, K., S. Yakovleva, M. Bartl: Trade and Privacy: Complicated Bedfellows? How to achieve data protection-proof free trade agreements http://ivir.nl/publi[...] Institute for Information Law (IViR), University of Amsterdam 2016-09-22
[181] 웹사이트 Guidelines http://ec.europa.eu/[...] 欧州委員会 第29条作業部会 2016-11-22
[182] 웹사이트 Guidelines on Data Protection Impact Assessment (DPIA) (wp248rev.01) http://ec.europa.eu/[...] 欧州委員会 第29条作業部会 2017-10-13
[183] 웹사이트 Guidelines on the right to "data portability" (wp242rev.01) http://ec.europa.eu/[...] 欧州委員会 第29条作業部会 2017-10-27
[184] 웹사이트 Guidelines on Data Protection Officers ('DPOs') (wp243rev.01) http://ec.europa.eu/[...] 欧州委員会 第29条作業部会 2017-10-30
[185] 웹사이트 Guidelines on the Lead Supervisory Authority (wp244rev.01) http://ec.europa.eu/[...] 欧州委員会 第29条作業部会 2017-10-31
[186] 웹사이트 Guidelines on the application and setting of administrative fines (wp253) http://ec.europa.eu/[...] 欧州委員会 第29条作業部会 2018-02-13
[187] 웹사이트 Guidelines on Personal data breach notification under Regulation 2016/679 http://ec.europa.eu/[...] 欧州委員会 第29条作業部会 2018-02-13
[188] 웹사이트 Guidelines on Automated individual decision-making and Profiling for the purposes of Regulation 2016/679 (wp251rev.01) http://ec.europa.eu/[...] 欧州委員会 第29条作業部会 2018-02-13
[189] 웹사이트 Guidelines on Transparency under Regulation 2016/679 (wp260rev.01) http://ec.europa.eu/[...] 欧州委員会 第29条作業部会 2018-04-13
[190] 웹사이트 Guidelines on Consent under Regulation 2016/679 (wp259rev.01) http://ec.europa.eu/[...] 欧州委員会 第29条作業部会 2018-04-16
[191] 웹사이트 Guidelines 2/2018 on derogations of Article 49 under Regulation 2016/679 https://edpb.europa.[...] 欧州データ保護会議 2018-05-25
[192] 웹사이트 Communication from the Commission to the European Parliament and the Council - First report on application and functioning of the Data Protection Law Enforcement Directive (EU) 2016/680 (LED) https://eur-lex.euro[...] 欧州委員会 2022-07-25
[193] 보고서 令和6年版 情報通信白書 PDF全体版 https://www.soumu.go[...] 総務省
[194] 보고서 EUのAI法(AI規則)の概要 https://www.i-ise.co[...] 国際社会経済研究所 (IISE) 2024-07-12
[195] 웹사이트 A Brief Overview of The Data Governance Act and the Data Act https://cedar-heu-pr[...] CEDAR project (EUからの資金で運営されるデータ保護関連法の啓発プログラム) 2024-10-06
[196] 보고서 世界で進むデータ駆動社会への戦略的取組 https://www.digital.[...] デジタル庁 2022-09-06
[197] 보고서 An overview of the Data Protection Act 2018 https://ico.org.uk/m[...] ICO (英国個人情報保護監督機関)
[198] 웹사이트 マーケティング用語集 価格差別化 https://www.jmrlsi.c[...] JMR生活総合研究所
[199] 웹사이트 個人情報保護法が成立、11月1日から施行(中国) https://www.jetro.go[...] JETRO 2021-08-26
[200] 웹사이트 中国サイバーセキュリティ法、データセキュリティ法、個人情報保護法 対応支援 https://www.pwc.com/[...] プライスウォーターハウスクーパース (PwC)
[201] 웹사이트 Brazil Passes Landmark Privacy Law: The General Law for the Protection of Privacy https://www.american[...] アメリカ法曹協会 2020-04-24
[202] 웹사이트 グーグルとFacebook、GDPR施行当日にプライバシー団体が提訴 https://japan.cnet.c[...] CNET Japan 2018-05-28
[203] 웹사이트 WHOISデータ収集についてのICANNによる法的措置 https://blog.nic.ad.[...] JPNIC 2018-06-12
[204] 뉴스 自分の携帯電話の番号、どのように売られたのか BBC記者が追跡 https://www.bbc.com/[...]
[205] 웹사이트 熊澤春陽個人情報保護委員会委員、ベラ・ヨウロバー欧州委員会委員(司法・消費者・男女平等担当)による共同プレス・ステートメント https://www.ppc.go.j[...] 個人情報保護委員会 2017-07-03
[206] 웹사이트 熊澤春陽個人情報保護委員会委員、ベラ・ヨウロバー欧州委員会委員(司法・消費者・男女平等担当)による共同プレス・ステートメント https://www.ppc.go.j[...] 個人情報保護委員会 2017-12-14
[207] 웹사이트 熊澤春陽個人情報保護委員会委員、ベラ・ヨウロバー欧州委員会委員(司法・消費者・男女平等担当)による共同プレス・ステートメント https://www.ppc.go.j[...] 個人情報保護委員会 2018-05-31
[208] 웹사이트 Speech of Commissioner Jourová at the public event dedicated to the GDPR and international data transfers in Tokyo: New EU privacy law as an opportunity to boost both trade and data protection standards https://ec.europa.eu[...] 欧州委員会 2018-05-31
[209] 웹사이트 Convention 108+ : the modernised version of a landmark instrument https://www.coe.int/[...] 欧州評議会 2018-05-18
[210] 웹사이트 128th Session of the Committee of Ministers https://search.coe.i[...] 欧州評議会 2018-05-18
[211] 웹사이트 日EU間の相互の円滑な個人データ移転を図る枠組み構築に係る最終合意 https://www.ppc.go.j[...] 個人情報保護委員会 2018-07-17
[212] 웹사이트 Joint Statement by Haruhi Kumazawa, Commissioner of the Personal Information Protection Commission of Japan and Věra Jourová, Commissioner for Justice, Consumers and Gender Equality of the European Commission http://europa.eu/rap[...] 欧州委員会 2018-07-17
[213] 웹사이트 Questions & Answers on the Japan adequacy decision http://europa.eu/rap[...] 欧州委員会 2018-07-17
[214] 웹사이트 欧州委員会による日本に対する十分性認定に関する閣議決定 https://www.ppc.go.j[...] 個人情報保護委員会 2018-09-06
[215] 웹사이트 International data flows: Commission launches the adoption of its adequacy decision on Japan http://europa.eu/rap[...] 欧州委員会 2018-09-05
[216] 웹사이트 Adequacy of the protection of personal data in non-EU countries https://ec.europa.eu[...] 欧州データ保護会議 2018-09-05
[217] 웹사이트 Draft adequacy decision - Commission Implementing Decision of XXX pursuant to Regulation (EU) 2016/679 of the European Parliament and of the Council on the adequate protection of personal data by Japan https://ec.europa.eu[...] 欧州データ保護会議 2018-09-05
[218] 웹사이트 Press release: Third Plenary session: EU-Japan draft adequacy decision, DPIA lists, territorial scope and e-evidence. https://edpb.europa.[...] 欧州データ保護会議 2018-09-26
[219] 웹사이트 「個人情報の保護に関する法律についてのガイドライン(EU域内から十分性認定により移転を受けた個人データの取扱い編)(案)」に関する意見募集について http://search.e-gov.[...] 個人情報保護委員会 2018-04-25
[220] 웹사이트 個人情報の保護に関する法律に係るEU域内から十分性認定により移転を受けた個人データの取扱いに関する補完的ルール https://www.ppc.go.j[...] 個人情報保護委員会 2018-08-24
[221] 웹사이트 「個人情報の保護に関する法律についてのガイドライン(EU域内から十分性認定により移転を受けた個人データの取扱い編)(案)」に関する意見募集結果 http://search.e-gov.[...] 個人情報保護委員会 2018-08-24
[222] 웹사이트 Opinion 28/2018 regarding the European Commission Draft Implementing Decision on the adequate protection of personal data in Japan https://edpb.europa.[...] 欧州データ保護会議 2018-12-05
[223] 웹사이트 European Parliament resolution of 13 December 2018 on the adequacy of the protection of personal data afforded by Japan (2018/2979(RSP)) http://www.europarl.[...] 欧州議会 2018-12-13
[224] 웹사이트 日EU間の相互の円滑な個人データ移転を図る枠組み発効 https://www.ppc.go.j[...] 個人情報保護委員会 2019-01-23
[225] 웹사이트 European Commission adopts adequacy decision on Japan, creating the world's largest area of safe data flows http://europa.eu/rap[...] 欧州委員会 2019-01-23
[226] 웹사이트 楽天株式会社: 拘束的企業準則(BCR)|プライバシーセンター https://corp.rakuten[...] 楽天株式会社
[227] 웹사이트 IIJグループ、EUの新しい個人情報保護法施行に向けて「拘束的企業準則(BCR)」を英国の監督機関に申請 https://www.iij.ad.j[...] 株式会社インターネットイニシアティブ
[228] 웹사이트 一般データ保護規則(GDPR)対応により個人データ保護強化を推進 http://pr.fujitsu.co[...] 富士通株式会社
[229] 웹사이트 Commission Decision C(2010)593 Standard Contractual Clauses (processors) https://agreement.sa[...] Sansan株式会社
[230] 웹사이트 ソフトバンク法人サービス GDPRに対する取り組みについて https://www.softbank[...] ソフトバンク株式会社
[231] 웹사이트 GDPR対応について https://jp.kii.com/g[...] Kii株式会社
[232] 웹사이트 EU一般データ保護規則(GDPR)に関わる実務ハンドブック(入門編) https://www.jetro.go[...] 日本貿易振興会 2016-11
[233] 웹사이트 EU一般データ保護規則(GDPR)に関わる実務ハンドブック(実践編) https://www.jetro.go[...] 日本貿易振興会 2017-08
[234] 웹사이트 EU一般データ保護規則(GDPR)に関わる実務ハンドブック(第29条作業部会ガイドライン編)管理者および処理者の主導監督当局の特定 https://www.jetro.go[...] 日本貿易振興会 2018-02
[235] 웹사이트 EU一般データ保護規則(GDPR)に関わる実務ハンドブック(第29条作業部会ガイドライン編)データポータビリティの権利 https://www.jetro.go[...] 日本貿易振興会 2018-02
[236] 웹사이트 EU一般データ保護規則(GDPR)に関わる実務ハンドブック(第29条作業部会ガイドライン編)データ保護責任者 https://www.jetro.go[...] 日本貿易振興会 2018-02
[237] 웹사이트 日本企業のベルギー子会社・ベルギー支店が取っておくべきEU一般データ保護規則へのコンプライアンス対応 http://www.nihonjink[...] ベルギー日本人会 2016-12-12


본 사이트는 AI가 위키백과와 뉴스 기사,정부 간행물,학술 논문등을 바탕으로 정보를 가공하여 제공하는 백과사전형 서비스입니다.
모든 문서는 AI에 의해 자동 생성되며, CC BY-SA 4.0 라이선스에 따라 이용할 수 있습니다.
하지만, 위키백과나 뉴스 기사 자체에 오류, 부정확한 정보, 또는 가짜 뉴스가 포함될 수 있으며, AI는 이러한 내용을 완벽하게 걸러내지 못할 수 있습니다.
따라서 제공되는 정보에 일부 오류나 편향이 있을 수 있으므로, 중요한 정보는 반드시 다른 출처를 통해 교차 검증하시기 바랍니다.

문의하기 : help@durumis.com