개인정보보호관리체계
2. 해외의 개인정보
2-2. 유럽 (2)
# 기업의 책임성
* 기업의 책임성 강화를 위한 조치사항
- GDPR은 프로세서를 직접 규제하는 내용을 다수 포함하고 있어 프로세서(개인정보 취급자, 수탁자)도 개인정보보호를 위한 다양한 의무를 부담함.
* 분야 전문지식과 업무수행 능력, 독립성을 가진 DPO Data Protection Officer 지정
* 정기적인 개인정보 영향평가 -> 문제점 조기 발견 -> 추후 발생할 비용 소모 및 평판 침해 리스크 최소화
* DPbD (Data Protection by design and by default) 이행
- 기업이 모든 프로젝트 초기 단계에서 개인정보 보호를 중요한 고려사항으로 하여 라이프 사이클 전반에 걸쳐 개인정보를 보호하도록 권장
* 개인정보 처리 활동의 기록
* 기술적 관리적 보호조치
* EU가 인정한 적정수준의 보호조치 하에 개인정보의 자유로운 EU 역외 이전 가능
- 적정성 결정 adequacy decision을 통해 관련 법제가 적절한 수준의 보호를 보장하고 있다고 인정된 국가로 이전하는 경우
- EU 역외 적용 범위 : EU 밖에서 내부의 정보주체에게 재화와 용역을 제공, 밖에서 내부의 주체 활동을 모니터링하는 경우
- 개별 기업이 EU 주민 개인정보를 가져오는 방법 : 적절한 보호조치의 제공
- 감독 기구의 특정한 승인이 필요한 경우
- EU 지역 내 대리인 지정
* 법 위반시 과징금
# EU의 GDPR과 한국의 개인정보보호법
* Personal Data 개인정보의 정의
* Special categories of personal data 민감정보의 정의 : 민감정보 = 특수한 범주의 개인정보
* 정보 주체의 권리 비교
* controller : 자연인, 법인, 공공기관, 에이전시, 기타단체
* processor : controller 를 대신하여 개인정보를 처리하는 자연인, 법인, 공공기관, 에이전시, 기타단체. controller의 지시에 따라 개인정보를 처리해야하며 controller는 반드시 구속력 있는 서면 계약에 의해 프로세서를 지정해야함
* EU의 DPO 개인정보보호책임자 != 한국의 CPO 개인정보보호책임자 (위반시 EU, 한국 모두 처벌 가능)
* DPIA Data Protection Impact Assessment 개인정보 영향평가 (위반시 EU는 처벌 가능, 한국은 처벌 불가)
* safe - habor 협정
- GDPR에서 개인정보 역외이전을 원칙적으로 금지. 데이터 수령국의 보호체제가 적정수준일 때만 이전 가능
- EU 국과의 무역을 원하는 기업은 미국 상무성의 safe-harbor 에 등록한 후 협정 준수해야함
- 2015년 10월 유럽 사법 재판소는 safe harbor 협약을 무효 판결
-> safe harbor 협정의 7대 원칙 - 고지, 선택, 제공, 접근, 안전성, 정보 무결성, 이행
# privacy sheid 협약
- safe harbor 협정 무효 판결 이후 재 합의
'[ Computer Security ] > PIMS' 카테고리의 다른 글
| [PIMS 개인정보보호관리체계] 4-1. 개인정보 생명주기 (1) (1) | 2023.10.18 |
|---|---|
| [PIMS 개인정보보호관리체계] 3-1. 개인정보보호법 이해 (0) | 2023.10.18 |
| [PIMS 개인정보보호관리체계] 2-3. 미국과 EU의 개인정보 정리 (2) | 2023.10.17 |
| [PIMS 개인정보보호관리체계] 2-2. 유럽의 개인정보 (1) (0) | 2023.10.17 |
| [PIMS 개인정보보호관리체계] 2-1. 미국의 개인정보 (2) | 2023.10.17 |
| [PIMS 개인정보보호관리체계] 1-4. 개인정보 이해 정리 (1) | 2023.10.16 |
| [PIMS 개인정보보호관리체계] 1-3. 개인정보 보호의 컴플라이언스 (0) | 2023.10.12 |
