일반 데이터 보호 규칙

일반 데이터 보호 규칙(General Data Protection Regulation, Regulation (EU) 2016/679),^[1] 줄여서 GDPR은 유럽 연합(EU)과 유럽 경제 지역(EEA) 내에서 정보 프라이버시에 관한 유럽 연합 규정이다. GDPR은 EU 프라이버시 법과 인권법의 중요한 구성 요소이며, 특히 유럽 연합 기본권 헌장 제8조(1)와 관련이 있다. 또한 EU 및 EEA 외부로의 개인정보 전송을 규율한다. GDPR의 목표는 개인의 개인정보에 대한 통제력과 권한을 강화하고, 국제 사업에 대한 규정을 간소화하는 것이다.^[2] 이는 데이터 보호 지침 95/46/EC를 대체하며, 무엇보다도 용어를 간소화한다.

규정 (EU) 2016/679

유럽 연합 규정
EEA 관련 법안
제목	Regulation on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (Data Protection Directive)
제정자	유럽 의회 및 유럽 연합 이사회
관보 참조	L119, 4 May 2016, p. 1–88
역사
제정일	2016년 4월 14일
시행일	2018년 5월 25일
준비 문서
집행위원회 제안	COM/2012/010 final – 2012/0010 (COD)
기타 법안
대체한 법안	데이터 보호 지침

유럽 의회와 유럽 연합 이사회는 2016년 4월 14일 GDPR을 채택했으며, 2018년 5월 25일부터 발효된다. EU 규정으로서(지침 대신), GDPR은 직접적인 법적 효력을 가지며 국내법으로 이행할 필요가 없다. 그러나 개별 회원국이 일부 조항을 수정(위반)할 수 있는 유연성도 제공한다.

브뤼셀 효과의 한 예로, 이 규정은 브라질,^[3] 일본, 싱가포르, 남아프리카 공화국, 대한민국, 스리랑카, 태국을 포함한 전 세계 여러 법률의 모델이 되었다.^[4] 브렉시트 이후 영국은 GDPR과 동일한 "영국 GDPR"을 제정했다.^[5] 2018년 6월 28일에 채택된 캘리포니아 소비자 프라이버시법(CCPA)은 GDPR과 많은 유사점을 가지고 있다.^[6]

목차

GDPR 2016은 일반 조항, 원칙, 정보 주체의 권리, 데이터 컨트롤러 또는 처리자의 의무, 제3국으로의 개인 데이터 전송, 감독 기관, 회원국 간 협력, 구제책, 권리 침해에 대한 책임 또는 벌칙, 특정 처리 상황 관련 조항, 기타 최종 조항에 관한 11개 장으로 구성된다. 서문 4는 '개인정보 처리의 목적은 인류에 봉사해야 한다'고 선언한다.

일반 조항

이 규정은 데이터 컨트롤러(EU 내외를 불문하고 살아있는 사람에 대한 정보를 수집하는 조직) 또는 처리자(클라우드 서비스 제공자와 같이 데이터 컨트롤러를 대신하여 데이터를 처리하는 조직) 또는 정보 주체(개인)가 EU에 기반을 둔 경우에 적용된다. 특정 상황에서,^[7] 이 규정은 EU 밖에 기반을 둔 조직이라도 EU 내 개인의 개인정보를 수집하거나 처리하는 경우에도 적용된다. 이 규정은 "순전히 개인적 또는 가구 활동과 관련하여 직업적 또는 상업적 활동과 무관하게" 개인의 데이터 처리에는 적용되지 않는다 (서문 18).

유럽 연합 집행위원회에 따르면, "개인정보는 식별되었거나 식별 가능한 개인과 관련된 정보이다. 해당 정보만으로는 개인을 직접 식별할 수 없는 경우, 해당 개인이 여전히 식별 가능한지 여부를 고려해야 한다. 당신이 처리하는 정보와 당신 또는 다른 사람이 해당 개인을 식별하기 위해 합리적으로 사용될 가능성이 있는 모든 수단을 고려해야 한다."^[8] "개인정보", "처리", "정보 주체", "컨트롤러", "처리자"와 같은 용어의 정확한 정의는 제4조에 명시되어 있다.^{[1]:Art. 4}

이 규정은 EU의 국가 안보 활동 또는 법 집행을 위한 개인정보 처리에는 적용되지 않는다. 그러나 법률 충돌 가능성에 대해 우려하는 산업 단체들은 제48조가 데이터 컨트롤러가 제3국 법률의 적용을 받는 경우 해당 국가의 법 집행, 사법 또는 국가 안보 당국의 법적 명령에 따라 EU 거주자의 개인정보를 해당 당국에 공개하는 것을 방지하기 위해 사용될 수 있는지 여부에 대해 의문을 제기했다. 데이터가 EU 내에 있든 외부에 있든 상관없이. 제48조는 법원의 판결이나 심판소의 판결, 제3국 행정 당국의 개인정보 전송 또는 공개를 요구하는 결정은 요청하는 제3국(비EU)과 EU 또는 회원국 사이에 유효한 상호 법률 지원 조약과 같은 국제 협정에 기반을 두지 않는 한 어떠한 방식으로도 인정되거나 집행될 수 없다고 명시한다. 데이터 보호 개혁 패키지에는 경찰 및 형사 사법 부문을 위한 별도의 데이터 보호 지침도 포함되어 있으며, 국가 차원, 연합 차원 및 국제 차원에서 개인정보 교환에 관한 규칙을 제공한다.^[9]

모든 EU 회원국에 단일 규칙 세트가 적용된다. 각 회원국은 불만 사항을 접수하고 조사하며 행정 위반을 제재하는 등의 독립적인 감독 기관(SA)을 설립한다.^{[1]:Arts. 46–55} 각 회원국의 SA는 다른 SA와 협력하여 상호 지원을 제공하고 공동 작전을 조직한다. 기업이 EU 내에 여러 사업장을 가지고 있는 경우, 주요 처리 활동이 이루어지는 "주요 사업장"의 위치에 따라 단일 SA를 "주요 기관"으로 지정해야 한다. 따라서 주요 기관은 해당 기업의 EU 전역의 모든 처리 활동을 감독하는 "원스톱 상점" 역할을 한다.^[10][11] 유럽 데이터 보호 이사회(EDPB)는 SA를 조정한다. EDPB는 따라서 제29조 데이터 보호 실무 그룹을 대체한다. 고용 상황 또는 국가 안보에서 처리되는 데이터에는 여전히 개별 국가 규정이 적용될 수 있는 예외가 있다.^{[1]:Arts. 2(2)(a) & 88}

원칙 및 합법적인 목적

 인격권 문서를 참고하십시오.

제5조는 개인정보 처리의 적법성에 관한 여섯 가지 원칙을 제시한다. 이 중 첫 번째 원칙은 데이터가 적법하고 공정하며 투명한 방식으로 처리되어야 함을 명시한다. 제6조는 개인정보가 처리될 법적 근거가 적어도 하나 이상 존재하지 않는 한 처리될 수 없다고 명시함으로써 이 원칙을 발전시킨다. 다른 원칙들은 "목적 제한", "데이터 최소화", "정확성", "저장 제한", "무결성 및 기밀성"을 언급한다.

제6조는 합법적인 목적을 다음과 같이 명시한다.

• (a) 정보 주체가 자신의 개인정보 처리에 동의한 경우
• (b) 정보 주체와의 계약상 의무를 이행하거나, 계약 체결 과정에 있는 정보 주체의 요청에 따른 작업을 수행하기 위함
• (c) 데이터 컨트롤러의 법적 의무를 준수하기 위함
• (d) 정보 주체 또는 다른 개인의 중요한 이익을 보호하기 위함
• (e) 공익 또는 공적 권한 행사를 위한 작업을 수행하기 위함
• (f) 데이터 컨트롤러 또는 제3자의 합법적인 이익을 위함. 단, 이러한 이익이 유럽 연합 기본권 헌장에 따른 정보 주체의 이익 또는 권리(특히 아동의 경우)보다 우선하지 않는 경우.

정보에 입각한 동의^{[1]:Art. 4(11)}가 처리의 합법적인 근거로 사용되는 경우, 수집된 데이터 및 데이터가 사용되는 각 목적에 대해 동의는 명시적이어야 한다.^{[1]:Art. 7} 동의는 정보 주체가 부여한 구체적이고 자유롭게 주어진 명확한 언어로 된 모호하지 않은 확인이어야 한다. 기본적으로 옵트아웃으로 설정된 동의 옵션이 있는 온라인 양식은 사용자에 의해 동의가 모호하게 확인되지 않았기 때문에 GDPR 위반이다. 또한, 여러 유형의 처리가 단일 확인 프롬프트로 "묶여"서는 안 된다. 이는 데이터의 각 사용에 특정하지 않으며 개별 권한이 자유롭게 주어지지 않기 때문이다 (서문 32).

정보 주체는 언제든지 이 동의를 철회할 수 있어야 하며, 철회 절차는 옵트인하는 것보다 더 어려워서는 안 된다.^{[1]:Art. 7(3)} 데이터 컨트롤러는 서비스 이용에 엄격히 필요하지 않은 처리에 대한 동의를 거부하는 사용자에게 서비스를 거부할 수 없다.^{[1]:Art. 8} 규정에서 16세 미만으로 정의된 아동(회원국은 개별적으로 13세까지 낮출 수 있는 옵션이 있음)에 대한 동의는 아동의 부모 또는 보호자가 부여해야 하며 확인 가능해야 한다.^[12][13]

데이터 보호 지침에 따라 이미 처리에 대한 동의가 제공된 경우, 데이터 컨트롤러는 처리가 GDPR 요구 사항에 따라 문서화되고 획득되었다면 동의를 다시 받을 필요가 없다 (서문 171).^[14][15]

정보 주체의 권리

투명성 및 방식

제12조는 데이터 컨트롤러가 "간결하고 투명하며 이해하기 쉽고 접근하기 쉬운 형식으로 명확하고 평이한 언어를 사용하여, 특히 아동에게 직접적으로 전달되는 정보에 대해 정보 주체에게 정보를 제공"하도록 요구한다.

정보 및 접근

접근 권한(제15조)은 정보 주체의 권리이다.^[16] 이는 개인에게 자신의 개인정보 및 이 개인정보가 어떻게 처리되고 있는지에 대한 정보에 접근할 권리를 부여한다. 데이터 컨트롤러는 요청 시 처리되는 데이터 범주의 개요^{[1]:Art. 15(1)(b)}와 실제 데이터의 사본을 제공해야 한다.^{[1]:Art. 15(3)} 또한, 데이터 컨트롤러는 정보 주체에게 처리 목적,^{[1]:Art. 15(1)(a)} 누구와 데이터가 공유되는지,^{[1]:Art. 15(1)(c)} 데이터를 어떻게 획득했는지 등 처리 세부 정보를 알려야 한다.^{[1]:Art. 15(1)(g)}

정보 주체는 데이터 컨트롤러에 의해 방해받지 않고 한 전자 처리 시스템에서 다른 전자 처리 시스템으로 개인정보를 전송할 수 있어야 한다. 충분히 익명화된 데이터는 제외되지만, 관련 식별자를 제공함으로써 해당 개인과 연결될 수 있는 정도로만 식별이 해제된 데이터는 제외되지 않는다.^[17] 그러나 실제로 이러한 식별자를 제공하는 것은 어려울 수 있다. 예를 들어, 애플의 Siri의 경우, 음성 및 전사 데이터가 제조업체가 접근을 제한하는 개인 식별자와 함께 저장되거나,^[18] 기기 지문에 크게 의존하는 온라인 행동 타겟팅의 경우, 이를 캡처, 전송 및 확인하는 것이 어려울 수 있다.^[19]

정보 주체가 '제공한' 데이터와 행동 등에 대해 '관찰된' 데이터가 모두 포함된다. 또한, 데이터는 컨트롤러에 의해 구조화되고 일반적으로 사용되는 표준 전자 형식으로 제공되어야 한다. 데이터 이동 권한은 제20조에 의해 제공된다.

정정 및 삭제

잊힐 권리는 유럽 의회가 2014년 3월에 채택한 GDPR 버전에서 보다 제한적인 삭제 권리로 대체되었다.^[20][21] 제17조는 정보 주체가 여러 가지 이유로 자신과 관련된 개인정보의 삭제를 요청할 권리가 있음을 규정하며, 여기에는 제6조(1)(적법성) 위반이 포함된다. 이 중 (f)항은 컨트롤러의 정당한 이익이 정보 주체의 이익 또는 기본권과 자유에 의해 침해되어 개인정보 보호가 필요한 경우를 포함한다 (참조: Google Spain SL, Google Inc. v Agencia Española de Protección de Datos, Mario Costeja González 참조).^[22]

이의 제기 권한 및 자동화된 결정

GDPR 제21조는 개인이 마케팅 또는 서비스와 관련 없는 목적으로 개인정보 처리에 이의를 제기할 수 있도록 허용한다.^[23] 이는 데이터 컨트롤러가 개인이 자신의 개인정보 처리를 중단하거나 방지할 권리를 허용해야 한다는 의미이다.

이러한 이의 제기가 적용되지 않는 몇 가지 경우가 있다. 예를 들어, 다음과 같은 경우:

1. 법적 또는 공식적인 권한이 수행되는 경우
2. "정당한 이익"으로, 조직이 정보 주체가 가입한 서비스를 제공하기 위해 데이터를 처리해야 하는 경우
3. 공익을 위해 수행되는 작업.

GDPR은 또한 데이터 컨트롤러가 정보 주체와 첫 번째 통신 시부터 이의를 제기할 권리를 알려야 한다는 점을 명확히 한다. 이는 컨트롤러가 제공하는 다른 정보와 명확하고 분리되어야 하며, 데이터 처리에 이의를 제기하는 가장 좋은 방법에 대한 옵션을 제공해야 한다.

이의 제기 요청이 "명백히 근거 없거나" "과도한" 경우 컨트롤러가 요청을 거부할 수 있는 경우가 있으므로, 각 이의 제기 사례는 개별적으로 검토되어야 한다.^[23] 캐나다^[24]와 같은 다른 국가들도 GDPR을 따라 프라이버시 법률에 따라 자동화된 의사 결정을 규제하는 법률을 고려하고 있다. 그러나 이것이 AI를 규제하는 가장 좋은 방법인지에 대한 정책적 질문은 남아 있다.

보상 권리

GDPR 제82조는 GDPR 위반으로 인해 물질적 또는 비물질적 손해를 입은 모든 사람은 컨트롤러 또는 처리자로부터 입은 손해에 대해 보상을 받을 권리가 있다고 규정한다.

오스트리아 포스트(Österreichische Post, C-300/21) 판결에서 유럽 연합 사법재판소는 보상 권리에 대한 해석을 제공했다.^[25] GDPR 제82조(1)는 손해 배상금 지급을 위해 (i) GDPR 위반, (ii) (실제) 입은 손해, (iii) 위반과 입은 손해 사이의 인과 관계를 요구한다. 입은 손해가 특정 심각성 수준에 도달할 필요는 없다. 손해에 대한 유럽 연합의 정의된 개념은 없다. 보상은 국내법에 따라 국가적으로 결정된다. 동등성 및 효과 원칙을 고려해야 한다.^[26] "동등성 원칙"은 EU 사건에 대한 절차가 국내 사건에 대한 절차와 동등해야 한다고 규정하며, "효과 원칙"은 절차가 법률을 기능적으로 비효율적으로 만들 수 없다고 요구한다.^[a]

데이터 처리자는 GDPR에 의해 처리자에게 특별히 부과된 의무 위반으로 인한 손해, 또는 데이터 컨트롤러의 합법적인 지시를 벗어나거나 위반하는 처리로 인한 손해에 대해서만 책임이 있다.^[28]

컨트롤러 및 처리자

데이터 컨트롤러는 모든 데이터 수집을 명확히 공개하고, 데이터 처리의 합법적인 근거와 목적을 선언하며, 데이터 보유 기간과 제3자 또는 EEA 외부와 공유되는지 여부를 명시해야 한다. 기업은 직원, 소비자 또는 제3자의 데이터 프라이버시에 최소한의 간섭으로 필요한 데이터만 추출되도록 직원 및 소비자의 데이터를 보호할 의무가 있다. 기업은 감사, 내부 통제 및 운영과 같은 다양한 부서에 대한 내부 통제 및 규정을 갖추어야 한다. 정보 주체는 컨트롤러가 수집한 데이터의 이동 가능한 사본을 일반적인 형식으로 요청할 권리뿐만 아니라 특정 상황에서 자신의 데이터를 삭제할 권리를 갖는다. 공공 기관 및 개인정보의 정기적 또는 체계적인 처리를 핵심 활동으로 하는 기업은 GDPR 준수를 관리하는 데이터 보호 책임자(DPO)를 고용해야 한다. 데이터 컨트롤러는 사용자 프라이버시에 부정적인 영향을 미치는 경우 데이터 유출을 72시간 이내에 국가 감독 기관에 보고해야 한다. 경우에 따라 GDPR 위반자는 기업의 경우 최대 2천만 유로 또는 전년도 전 세계 연간 매출액의 4% 중 더 큰 금액의 벌금을 부과받을 수 있다.

GDPR 준수를 입증하기 위해 데이터 컨트롤러는 설계 및 기본값에 의한 데이터 보호 원칙을 충족하는 조치를 구현해야 한다. 제25조는 제품 및 서비스에 대한 비즈니스 프로세스 개발 시 데이터 보호 조치를 설계에 포함하도록 요구한다. 이러한 조치에는 컨트롤러가 개인 데이터를 가능한 한 빨리 가명화하는 것이 포함된다 (서문 78). 처리 활동이 데이터 처리자에 의해 컨트롤러를 대신하여 수행되는 경우에도 효과적인 조치를 구현하고 처리 활동의 준수를 입증할 책임과 의무는 데이터 컨트롤러에게 있다 (서문 74). 데이터가 수집될 때, 정보 주체는 데이터 수집의 범위, 개인 데이터 처리의 법적 근거, 데이터 보유 기간, 데이터가 제3자 및 EU 외부로 전송되는지 여부, 그리고 전적으로 알고리즘 기반으로 이루어지는 자동화된 의사 결정에 대해 명확히 고지받아야 한다. 정보 주체는 GDPR에 따른 프라이버시 권리, 즉 언제든지 데이터 처리 동의를 철회할 권리, 자신의 개인 데이터를 보고 처리 방식 개요에 접근할 권리, 저장된 데이터의 이동 가능한 사본을 얻을 권리, 특정 상황에서 자신의 데이터를 삭제할 권리, 전적으로 알고리즘 기반으로 이루어진 자동화된 의사 결정에 이의를 제기할 권리, 그리고 데이터 보호 기관에 불만을 제기할 권리를 고지받아야 한다. 따라서 정보 주체는 데이터 컨트롤러 및 해당되는 경우 지정된 데이터 보호 책임자의 연락처 정보도 제공받아야 한다.^[29][30]

데이터 보호 영향 평가(제35조)는 정보 주체의 권리와 자유에 특정 위험이 발생할 때 수행되어야 한다. 위험 평가 및 완화가 필요하며, 높은 위험에 대해서는 데이터 보호 당국의 사전 승인이 필요하다.

제25조는 제품 및 서비스에 대한 비즈니스 프로세스 개발 시 데이터 보호가 설계에 포함되도록 요구한다. 따라서 개인정보 설정은 기본적으로 높은 수준으로 설정되어야 하며, 컨트롤러는 처리 전체 수명 주기 동안 규정을 준수하도록 기술적 및 절차적 조치를 취해야 한다. 컨트롤러는 또한 각 특정 목적에 필요하지 않은 한 개인정보가 처리되지 않도록 하는 메커니즘을 구현해야 한다. 이를 데이터 최소화라고 한다.

유럽 연합 네트워크 및 정보 보안 기관의 보고서^[31]는 기본적으로 프라이버시 및 데이터 보호를 달성하기 위해 무엇을 해야 하는지 자세히 설명한다. 이는 암호화 및 복호화 작업이 원격 서비스가 아닌 로컬에서 수행되어야 한다고 명시한다. 왜냐하면 어떤 프라이버시라도 달성하려면 키와 데이터가 모두 데이터 소유자의 권한 아래에 있어야 하기 때문이다. 보고서는 원격 클라우드에 대한 외부 데이터 저장이 실용적이고 비교적 안전하다고 명시한다. 단, 데이터 소유자만이 복호화 키를 소유하고 클라우드 서비스는 소유하지 않아야 한다.

가명화

GDPR에 따르면 가명화는 추가 정보 없이 특정 정보 주체에게 귀속될 수 없도록 개인 데이터를 변환하는 저장 데이터에 필요한 프로세스이다 (완전한 데이터 익명화의 다른 대안으로서).^[32] 예로는 암호화가 있는데, 이는 올바른 복호화 키에 접근하지 않고는 되돌릴 수 없는 프로세스로 원본 데이터를 이해할 수 없게 만든다. GDPR은 추가 정보(예: 복호화 키)를 가명화된 데이터와 별도로 보관하도록 요구한다.

가명화의 또 다른 예는 토큰화인데, 이는 저장 중 데이터를 보호하기 위한 비수학적 접근 방식으로 민감한 데이터를 토큰이라고 하는 비민감한 대체물로 대체한다. 토큰은 외적인 또는 악용 가능한 의미나 가치가 없지만, 민감한 정보는 숨겨진 채로 특정 데이터를 처리 및 분석을 위해 완전히 또는 부분적으로 볼 수 있도록 한다. 토큰화는 데이터 유형이나 길이를 변경하지 않으므로 데이터 길이 및 유형에 민감할 수 있는 데이터베이스와 같은 레거시 시스템에서 처리할 수 있다. 또한 전통적으로 암호화된 데이터보다 처리하는 데 훨씬 적은 컴퓨팅 리소스와 데이터베이스에 더 적은 저장 공간이 필요하다.

가명화는 프라이버시 강화 기술이며, 관련 정보 주체에 대한 위험을 줄이고 컨트롤러 및 처리자가 데이터 보호 의무를 이행하는 데 도움이 되도록 권장된다 (서문 28).^[33]

처리 활동 기록

제30조에 따라 다음 기준 중 하나에 해당하는 모든 조직은 처리 활동 기록을 유지해야 한다.

• 250명 이상의 직원을 고용하는 경우
• 수행하는 처리가 정보 주체의 권리와 자유에 위험을 초래할 가능성이 있는 경우
• 처리가 비정기적인 경우
• 처리가 제9조(1)에 언급된 특별 범주 데이터 또는 제10조에 언급된 형사 유죄 판결 및 범죄 관련 개인 데이터를 포함하는 경우

이러한 요구 사항은 각 EU 국가에 의해 수정될 수 있다. 기록은 전자 형식으로 보관되어야 하며, 컨트롤러 또는 처리자 및 해당되는 경우 컨트롤러 또는 처리자의 대리인은 요청 시 감독 기관에 기록을 제공해야 한다.

컨트롤러의 기록에는 다음 모든 정보가 포함되어야 한다.

• 컨트롤러의 이름 및 연락처 정보와 해당되는 경우 공동 컨트롤러,^[b] 컨트롤러의 대리인 및 데이터 보호 책임자
• 처리 목적
• 정보 주체 범주 및 개인 데이터 범주에 대한 설명
• 제3국 또는 국제기구의 수신자를 포함하여 개인 데이터가 공개되었거나 공개될 수신자 범주
• 해당되는 경우, 제3국 또는 국제기구로의 개인 데이터 전송. 해당 제3국 또는 국제기구의 식별 및 제49조(1) 제2항에 언급된 전송의 경우 적절한 보호 장치의 문서화
• 가능한 경우, 다른 범주 데이터의 삭제 예상 기간
• 가능한 경우, 제32조(1)에 언급된 기술적 및 조직적 보안 조치에 대한 일반적인 설명

처리자의 기록에는 다음 모든 정보가 포함되어야 한다.

• 처리자 또는 처리자들의 이름 및 연락처 정보와 처리자가 대신하여 활동하는 각 컨트롤러, 해당되는 경우 컨트롤러 또는 처리자의 대리인 및 데이터 보호 책임자
• 각 컨트롤러를 대신하여 수행된 처리 범주
• 해당되는 경우, 제3국 또는 국제기구로의 개인 데이터 전송. 해당 제3국 또는 국제기구의 식별 및 제49조(1) 제2항에 언급된 전송의 경우
• 적절한 보호 장치의 문서화
• 가능한 경우, 제32조(1)에 언급된 기술적 및 조직적 보안 조치에 대한 일반적인 설명

개인정보의 보안

개인정보의 컨트롤러와 처리자는 데이터 보호 원칙을 이행하기 위해 적절한 기술적 및 조직적 조치를 마련해야 한다.^[34] 개인정보를 처리하는 비즈니스 프로세스는 원칙을 고려하여 설계 및 구축되어야 하며 데이터를 보호하기 위한 안전장치를 제공해야 한다 (예: 적절한 경우 가명화 또는 완전한 데이터 익명화 사용).^[35] 데이터 컨트롤러는 프라이버시를 염두에 두고 정보 시스템을 설계해야 한다. 예를 들어, 기본적으로 최고 수준의 프라이버시 설정을 사용하여 데이터 세트가 기본적으로 공개적으로 접근할 수 없으며 특정 주체를 식별하는 데 사용될 수 없도록 해야 한다. 이 처리가 규정에서 지정한 여섯 가지 합법적인 근거(동의, 계약, 공공 업무, 중대한 이익, 정당한 이익 또는 법적 요구 사항) 중 하나에 따라 수행되지 않는 한 어떠한 개인정보도 처리되어서는 안 된다. 처리가 동의에 기반하는 경우 정보 주체는 언제든지 이를 철회할 권리를 갖는다.^[36]

제33조는 데이터 유출이 개인의 권리와 자유에 위험을 초래할 가능성이 없는 한, 데이터 컨트롤러가 불필요한 지체 없이 감독 기관에 통지할 법적 의무를 진다고 명시한다. 데이터 유출 사실을 인지한 후 보고 기한은 최대 72시간이다. 불리한 영향의 높은 위험이 결정되면 개인에게 통지해야 한다.^{[1]:Art. 34} 또한, 데이터 처리자는 개인 데이터 유출 사실을 인지한 후 불필요한 지체 없이 컨트롤러에게 통지해야 한다.^{[1]:Art. 33} 그러나 데이터 컨트롤러가 적절한 기술적 및 조직적 보호 조치를 구현하여 암호화와 같이 권한이 없는 사람이 개인 데이터를 이해할 수 없게 만드는 경우에는 정보 주체에게 통지할 필요가 없다.^{[1]:Art. 34}

데이터 보호 책임자

 유럽 집행위원회 데이터 보호 책임자 문서를 참고하십시오.

제37조는 데이터 보호 책임자(DPO)의 임명을 요구한다. 처리가 공공 기관(법원 또는 사법적 역할을 하는 독립 사법 기관 제외)에 의해 수행되거나, 처리 작업이 대규모로 정보 주체의 정기적이고 체계적인 모니터링을 포함하거나, 제9조 및 제10조에 언급된 특별 범주 데이터 및 형사 유죄 판결 및 범죄 관련 개인 데이터의 대규모 처리를 포함하는 경우, 데이터 보호 법률 및 관행에 대한 전문 지식을 가진 사람인 데이터 보호 책임자를 지정하여 컨트롤러 또는 처리자가 규정 준수를 모니터링하도록 지원해야 한다.

지정된 DPO는 컨트롤러 또는 처리자의 현직 직원일 수도 있고, 서비스 계약을 통해 외부인 또는 기관에 역할을 위탁할 수도 있다. 어떤 경우든, 처리 기관은 DPO가 맡을 수 있는 다른 역할이나 이익에 이해 충돌이 없도록 해야 한다. DPO의 연락처는 처리 기관이 (예: 개인정보 고지문에) 공개하고 감독 기관에 등록해야 한다.

DPO는 규정 준수 책임자와 유사하며, IT 프로세스, 데이터 보안(사이버 공격 처리 포함) 및 개인 및 민감한 데이터의 보유 및 처리와 관련된 기타 중요한 사업 연속성 문제를 관리하는 데 능숙해야 한다. 필요한 기술 세트는 데이터 보호 법률 및 규정 준수에 대한 이해를 넘어선다. DPO는 조직을 대신하여 수집 및 저장된 모든 데이터의 실시간 데이터 인벤토리를 유지해야 한다.^[37] 데이터 보호 책임자의 기능과 역할에 대한 자세한 내용은 2016년 12월 13일(2017년 4월 5일 개정) 가이드라인 문서에 제시되었다.^[38]

EU 외부에 기반을 둔 조직은 GDPR 의무에 대한 대표자 및 연락 창구로 EU 기반 개인을 임명해야 한다.^{[1]:Art. 27} 이는 DPO와는 다른 역할이지만, 이 역할을 지정된 DPO가 맡을 수도 있음을 시사하는 책임의 중첩이 있다.^[39]

GDPR 인증

 유럽 데이터 보호 인장 문서를 참고하십시오.

GDPR 제42조와 43조는 공식 GDPR 인증의 법적 근거를 제시한다. 이들은 두 가지 범주의 인증의 근거를 마련한다.^[40]

• 국가 인증 제도: 적용 범위가 단일 EU/EEA 국가로 제한됨
• 유럽 데이터 보호 인장: 모든 EU 및 EEA 관할권에서 인정됨

GDPR 제42조에 따르면, 이 인증의 목적은 "컨트롤러 및 처리자의 처리 작업이 GDPR을 준수함을 입증하는 것"이다.^[41] GDPR에는 다음을 포함하여 인증에 대한 70개 이상의 참조가 있다.^[41]

• 기술적 및 조직적 조치의 적절성
• 데이터 처리자와의 데이터 공유
• 설계 및 기본값에 의한 데이터 보호
• 국제 데이터 전송

GDPR 인증은 또한 신청자와 인증된 데이터 처리 서비스를 사용하는 데이터 컨트롤러의 법적 및 재정적 위험을 줄이는 데 기여한다.^[42]

유럽 데이터 보호 인장 채택은 유럽 데이터 보호 이사회(EDPB)의 책임이며 모든 EU 및 EEA 회원국에서 인정된다.^[43]

2022년 10월, 유럽프라이버시(Europrivacy) 인증 기준은 유럽 데이터 보호 이사회(EDPB)에 의해 유럽 데이터 보호 인장으로 공식적으로 인정되었다.^[44] 유럽프라이버시는 유럽 연구 프로그램에 의해 개발되었으며 룩셈부르크의 유럽 인증 및 프라이버시 센터(ECCP)에서 관리한다.

구제책, 책임 및 벌칙

 GDPR 벌금 및 통지 문서를 참고하십시오.

제83조 GDPR에 따른 국내법에 따른 형사 처벌 외에 다음과 같은 제재가 부과될 수 있다.

• 최초 및 비의도적 불이행의 경우 서면 경고
• 정기적인 데이터 보호 감사
• 다음 조항을 위반한 경우, 기업의 경우 최대 1천만 유로 또는 전년도 전 세계 연간 매출액의 2% 중 더 큰 금액의 벌금 (제83조, 제4항):
  • 제8조, 11조, 25조부터 39조, 42조 및 43조에 따른 컨트롤러 및 처리자의 의무
  • 제42조 및 43조에 따른 인증 기관의 의무
  • 제41조(4)에 따른 모니터링 기관의 의무
• 다음 조항을 위반한 경우, 기업의 경우 최대 2천만 유로 또는 전년도 전 세계 연간 매출액의 4% 중 더 큰 금액의 벌금 (제83조, 제5항 및 6항):
  • 제5조, 6조, 7조 및 9조에 따른 동의 조건을 포함한 처리의 기본 원칙
  • 제12조부터 22조에 따른 정보 주체의 권리
  • 제44조부터 49조에 따른 제3국 또는 국제기구의 수신자로의 개인 데이터 전송
  • 제9장에 따라 채택된 회원국 법률에 따른 모든 의무
  • 제58조(2)에 따른 감독 기관의 명령 또는 임시적 또는 최종적인 처리 제한 또는 데이터 흐름 중단 미준수 또는 제58조(1) 위반 접근 거부

면제

다음은 GDPR에서 특별히 다루지 않으므로 면제로 취급되는 몇 가지 경우이다.^[45]

• 개인 또는 가구 활동
• 법 집행
• 국가 안보^{[1]:Art. 30}

반대로, 어떤 주체, 또는 더 정확히 말해 "기업"은 GDPR의 적용을 받기 위해 "경제 활동"에 종사해야 한다.^[c] 경제 활동은 유럽 연합 경쟁법에 따라 광범위하게 정의된다.^[46]

유럽 연합 외부에서의 적용 가능성

GDPR은 유럽 경제 지역(EEA) 외부의 데이터 컨트롤러 및 처리자에게도 적용된다. 이들이 EEA 내 정보 주체에게 "상품 또는 서비스 제공"(지불 여부와 관계없이)에 종사하거나 EEA 내 정보 주체의 행동을 모니터링하는 경우(제3조(2))에 해당한다. 이 규정은 처리가 어디에서 이루어지는지에 관계없이 적용된다.^[47] 이는 EU에 소재하지 않은 사업장이 EU 내 사람들과 거래하거나 이들의 행동을 모니터링하는 경우 GDPR이 의도적으로 국외관할권을 부여한 것으로 해석된다. EU 또는 회원국이 EU에 사업장이 없는 조직에 대해 GDPR을 실제로 집행할 수 있을지는 의문이다.^[48]

EU 대표자

제27조에 따라 GDPR의 적용을 받는 비EU 사업장은 규정에 따른 의무에 대한 연락 창구 역할을 할 "EU 대표자"를 유럽 연합 내에 지정해야 한다. EU 대표자는 모든 처리 관련 사항에 있어 유럽 개인정보 감독관 및 정보 주체에 대한 컨트롤러 또는 처리자의 연락 담당자이며, GDPR 준수를 보장한다. 자연인(개인) 또는 법인(기업)이 EU 대표자 역할을 할 수 있다.^{[1]:Art. 27(4)} 비EU 사업장은 특정 개인 또는 회사를 EU 대표자로 지정하는 적절하게 서명된 문서(인가서)를 발행해야 한다. 해당 지정은 서면으로만 이루어질 수 있다.^{[1]:Art. 27(1)}

사업장이 EU 대표자를 지정하지 않으면 규정 및 관련 의무를 무시한 것으로 간주되며, 이는 GDPR 위반으로 간주되어 기업의 경우 최대 1천만 유로 또는 전년도 전 세계 연간 매출액의 2% 중 더 큰 금액의 벌금이 부과될 수 있다. 위반(EU 대표자 미지정)의 의도적이거나 태만한(고의적 맹목) 성격은 오히려 가중 사유가 될 수 있다.^{[1]:Arts. 83(1) & 83(2) & 83(4a)}

사업장은 대규모로 GDPR 제9조(1)에 언급된 특별 범주 데이터 또는 제10조에 언급된 형사 유죄 판결 및 범죄 관련 개인 데이터 처리를 포함하지 않는 비정기적인 처리에만 종사하며, 이러한 처리가 처리의 성격, 맥락, 범위 및 목적을 고려할 때 자연인의 권리와 자유에 위험을 초래할 가능성이 없는 경우 EU 대표자를 지정할 필요가 없다. 비EU 공공 기관 및 단체도 마찬가지로 면제된다.^{[1]:Art. 27(2)}

제3국

GDPR 제5장은 EEA 외부 국가(제3국으로 알려짐)로의 EU 정보 주체의 개인정보 전송을 금지한다. 단, 적절한 보호 장치가 부과되거나 제3국의 데이터 보호 규정이 유럽 위원회에 의해 공식적으로 충분하다고 간주되는 경우(제45조)는 예외이다.^[49][50] 구속적 기업 규칙, 데이터 처리 계약(DPA)에 의해 발행된 데이터 보호를 위한 표준 계약 조항, 또는 제3국에 위치한 데이터 컨트롤러 또는 처리자의 구속력 있고 집행 가능한 약속 제도가 그 예이다.^[51]

영국 구현

영국의 유럽 GDPR과의 분리에서 발생할 수 있는 결과에 대한 설명^[52]

영국의 GDPR 적용 가능성은 브렉시트의 영향을 받는다. 영국은 2020년 1월 31일 유럽 연합에서 공식적으로 탈퇴했지만, 2020년 12월 31일 전환 기간이 끝날 때까지 GDPR을 포함한 EU 법률의 적용을 받았다.^[49] 영국은 2018년 5월 23일 2018년 데이터 보호법에 재가를 부여했으며, 이는 국가법에 따라 결정될 규정의 측면과 데이터 컨트롤러의 동의 없이 개인정보를 고의로 또는 무모하게 획득, 재배포 또는 보유하는 행위에 대한 형사 처벌을 포함하여 GDPR을 보강했다.^[53][54]

2018년 유럽 연합 (탈퇴) 법에 따라 기존의 관련 EU 법률은 전환이 완료되면 영국 법률로 이행되었으며, GDPR은 법정 문서에 의해 영국이 EU 회원이 아니라는 이유로 더 이상 필요하지 않은 특정 조항을 제거하기 위해 수정되었다. 이후 이 규정은 "영국 GDPR"로 불린다.^[55][50][49] 영국은 영국 GDPR에 따라 EEA 내 국가로의 개인 데이터 전송을 제한하지 않는다. 그러나 영국은 EU GDPR에 따른 제3국이므로, 적절한 보호 장치가 부과되거나 유럽 위원회가 영국 데이터 보호 법률의 적절성에 대한 적절성 결정을 내리지 않는 한 EU 회원국에서 영국으로 개인 데이터가 전송될 수 없다 (제5장). 브렉시트 탈퇴 협정의 일환으로 유럽 위원회는 적절성 평가를 수행하기로 약속했다.^[49][50] 2021년 6월 28일, 위원회는 영국 GDPR의 적절성을 4년 동안 확인했다.^[56] 이는 2025년 6월 27일에 만료될 예정이었으나, 위원회가 2025년 데이터 (사용 및 접근) 법의 영향을 평가할 시간을 주기 위해 6개월 연장되었다.^[57]

2019년 4월, 영국 정보 위원회(ICO)는 미성년자가 소셜 네트워킹 서비스를 사용할 때를 위한 아동 행동 강령을 GDPR에 따라 시행하도록 발표했다. 여기에는 소셜 미디어 중독을 막기 위해 "좋아요" 및 "스트릭" 메커니즘에 대한 제한과 관심 처리에 이 데이터를 사용하는 것에 대한 제한도 포함된다.^[58][59]

2021년 3월, 영국 디지털, 문화, 미디어 및 스포츠 장관 올리버 다우든은 영국이 EU GDPR과의 차별화를 모색하고 있으며, 이는 "개별 기업에 부과되는 규제의 부담을 줄이고 우리가 원하는 결과에 더 집중하기 위함"이라고 밝혔다.^[60]

오해

GDPR에 대한 몇 가지 일반적인 오해는 다음과 같다.

• 모든 개인정보 처리는 정보 주체의 동의를 필요로 한다.
  • 실제로, 데이터는 처리의 다른 다섯 가지 합법적인 근거 중 하나가 적용되면 동의 없이 처리될 수 있으며, 동의를 얻는 것이 종종 부적절할 수 있다.^[61]
• 개인은 자신의 데이터를 삭제할 절대적인 권리(잊힐 권리)를 갖는다.
  • 직접 마케팅을 거부할 절대적인 권리가 있지만, 데이터 컨트롤러는 데이터가 원래 수집된 목적에 필요한 한, 데이터를 처리할 합법적인 근거가 있는 경우 개인정보를 계속 처리할 수 있다.^[62]
• 기록에서 개인의 이름을 제거하면 GDPR 적용 범위에서 벗어난다.
  • 개인이 숫자로 식별되는 "가명" 데이터는 데이터 컨트롤러가 해당 데이터를 다른 방식으로 개인과 연결할 수 있는 경우 여전히 개인 데이터일 수 있다.^[63]
• GDPR은 전 세계 어디에서나 EU 시민의 개인정보를 처리하는 모든 사람에게 적용된다.
  • 실제로, EU에 설립되지 않은 조직에는 EU에 위치한 정보 주체(시민권과 무관하게)의 데이터를 처리하는 경우에만 적용되며, 이는 해당 정보 주체에게 상품 또는 서비스를 제공하거나 그들의 행동을 모니터링할 때만 적용된다.^[64]

반응

2018년 딜로이트가 실시한 연구에 따르면, 기업의 92%는 장기적으로 GDPR을 준수할 수 있다고 믿고 있다.^[65]

EU 외부에 진출한 기업들은 GDPR에 맞춰 비즈니스 관행을 조정하기 위해 많은 투자를 해왔다. GDPR 동의 영역은 통화를 녹음하는 기업에게 여러 가지 의미를 지닌다. 일반적인 면책 조항은 통화 녹음에 대한 묵시적 동의를 얻기에 충분하다고 간주되지 않는다. 또한, 녹음이 시작된 후 발신자가 동의를 철회하면 전화를 받는 상담원은 이전에 시작된 녹음을 중지하고 녹음이 저장되지 않도록 해야 한다.^[66]

IT 전문가들은 GDPR 준수가 전반적으로 추가 투자를 필요로 할 것으로 예상한다. 설문 조사에 참여한 사람들 중 80% 이상이 GDPR 관련 지출이 최소 10만 달러에 달할 것으로 예상했다.^[67] 베이커 & 맥킨지 법률 사무소의 의뢰로 작성된 보고서에서도 이러한 우려가 확인되었다. 이 보고서는 "응답자의 약 70%가 조직이 GDPR에 따른 동의, 데이터 매핑 및 국경 간 데이터 전송 요구 사항을 준수하기 위해 추가 예산/노력을 투자해야 한다고 믿는다"고 밝혔다.^[68] EU 기업의 총 비용은 2천억 유로로 추정되며, 미국 기업의 경우 417억 달러로 추정된다.^[69] 이 규정이 우선적으로 페이스북과 구글과 같은 대형 국제 기술 기업을 겨냥하고 있음에도 불구하고, 소규모 기업과 스타트업은 GDPR을 적절히 준수할 재정적 자원이 없을 수 있다는 주장이 제기되었다.^[70][71] 규정 채택 전에는 규정에 대한 지식과 이해 부족 또한 우려 사항이었다.^[72] 이에 대한 반론은 기업들이 발효 2년 전부터 이러한 변화를 인지하고 있었으며, 준비할 충분한 시간이 있었다는 것이다.^[73]

기업이 데이터 보호 책임자를 두어야 하는지 여부를 포함한 규정은 잠재적인 행정적 부담과 불분명한 준수 요구 사항으로 비판을 받아왔다.^[74] 데이터 최소화는 가명화가 가능한 수단 중 하나인 요구 사항이지만, 이 규정은 효과적인 데이터 비식별화 체계의 방법이나 구성 요소에 대한 지침을 제공하지 않아, 부적절한 가명화가 5조 집행 조치의 대상이 될 수 있는 회색 영역이 존재한다.^[33][75][76] 또한 블록체인 시스템에서의 GDPR 구현에 대한 우려도 있다. 블록체인 거래의 투명하고 고정된 기록이 GDPR의 본질과 상충되기 때문이다.^[77] 많은 언론 매체들은 알고리즘 결정에 대한 "설명할 권리"의 도입에 대해 언급했지만,^[78][79] 법률 학자들은 그러한 권리의 존재가 사법적 검증 없이는 매우 불분명하며, 기껏해야 제한적이라고 주장했다.^[80][81]

GDPR은 데이터 관리를 개선할 기회로 여기는 기업들로부터 지지를 얻었다.^[82][83] 마크 저커버그 또한 이를 "인터넷을 위한 매우 긍정적인 단계"라고 칭하며,^[84] 미국에서도 GDPR과 유사한 법률이 채택될 것을 촉구했다.^[85] 유럽 소비자 기구와 같은 소비자 권리 단체들은 이 법안의 가장 큰 지지자들 중 하나이다.^[86] 다른 지지자들은 이 법안의 통과를 에드워드 스노든과 같은 내부 고발자의 공으로 돌렸다.^[87] 자유 소프트웨어 지지자 리처드 스톨먼은 GDPR의 일부 측면을 칭찬했지만, 기술 기업들이 "동의를 조작하는" 것을 막기 위한 추가적인 안전 장치를 요구했다.^[88]

영향

GDPR 제정에 참여한 학계 전문가들은 이 법이 "한 세대에 걸쳐 정보 정책에서 가장 중요한 규제 발전이다. GDPR은 개인정보를 복잡하고 보호적인 규제 체제 안으로 가져온다"고 썼다.^[89]

최소 2년의 준비 기간이 있었음에도 불구하고, 많은 기업과 웹사이트는 GDPR 시행 직전에 전 세계적으로 개인정보처리방침과 기능을 변경했으며, 이러한 변경 사항을 논의하는 이메일 및 기타 알림을 관례적으로 제공했다. 이는 피로감을 주는 수많은 통신을 초래했다는 비판을 받았으며, 전문가들은 일부 알림 이메일이 GDPR 발효 시점에 데이터 처리에 대한 새로운 동의를 받아야 한다고 잘못 주장했다고 지적했다(이전에 얻은 처리 동의는 규정의 요구 사항을 충족하는 한 유효하다). 피싱 사기도 GDPR 관련 이메일의 위조 버전을 사용하여 나타났으며, 일부 GDPR 알림 이메일이 실제로는 스팸 방지 법률을 위반하여 전송되었을 수도 있다는 주장도 제기되었다.^[90][14] 2019년 3월, 규정 준수 소프트웨어 제공업체는 EU 회원국 정부가 운영하는 많은 웹사이트에 광고 기술 제공업체의 임베디드 추적이 포함되어 있음을 발견했다.^[91][92]

GDPR 관련 알림의 홍수 또한 인터넷 밈을 만들었다. 여기에는 비정형적인 수단(예: 위저보드 또는 스타워즈 오프닝 크롤)으로 전달되는 개인정보처리방침 알림, 산타클로스의 "말썽꾸러기 또는 착한 아이" 목록이 위반이라는 주장, 그리고 전 BBC 라디오 4 시핑 포카스트 아나운서가 규정 발췌를 녹음한 것 등이 포함되었다. GDPR Hall of Shame이라는 블로그도 만들어져 GDPR 알림의 특이한 전달 방식과 규정 요구 사항에 대한 심각한 위반이 포함된 준수 시도를 보여주었다. 그 저자는 이 규정이 "많은 세부 사항은 있지만, 준수 방법에 대한 정보는 많지 않다"고 언급했지만, 기업들이 준수할 2년의 시간이 있었음을 인정하며 일부 대응이 정당화되지 않았음을 시사했다.^{[93][94][95][96][97]}

연구에 따르면 소프트웨어 취약점의 약 25%가 GDPR과 관련이 있다.^[98] 제33조가 버그가 아닌 침해를 강조하므로, 보안 전문가들은 기업들이 협력적 취약점 공개 프로세스를 포함하여 취약점이 악용되기 전에 식별할 수 있는 프로세스와 역량에 투자할 것을 권고한다.^[99][100] 안드로이드 앱의 개인정보처리방침, 데이터 접근 기능 및 데이터 접근 행동에 대한 조사는 많은 앱이 GDPR 시행 이후 다소 프라이버시에 더 친화적인 행동을 보였지만, 여전히 코드에 대부분의 데이터 접근 권한을 유지하고 있음을 보여주었다.^[101][102] 노르웨이 소비자 위원회가 GDPR 이후 소셜 미디어 플랫폼(예: 구글 대시보드)의 정보 주체 대시보드에 대해 조사한 결과, 대형 소셜 미디어 기업들이 고객이 개인정보 설정을 강화하는 것을 막기 위해 기만적인 전술을 사용한다는 결론을 내렸다.^[103]

효과적인 날짜에 일부 웹사이트는 EU 국가 방문객을 완전히 차단하기 시작했다(인스타페이퍼,^[104] 언롤미(Unroll.me),^[105] 그리고 트리뷴 퍼블리싱 소유 신문인 시카고 트리뷴과 로스앤젤레스 타임스) 또는 기능을 제한하고/하거나 광고 없이 서비스를 간소화한 버전으로 리디렉션하여 책임을 피했다(내셔널 퍼블릭 라디오와 USA 투데이의 경우).^{[106][107][108][109]} 클라우트 및 여러 온라인 비디오 게임과 같은 일부 기업은 GDPR이 특히 전자의 비즈니스 모델 때문에 지속적인 운영에 부담을 준다는 이유로 시행과 동시에 운영을 완전히 중단했다.^{[110][111][112]} 2018년 5월 25일, 유럽에서 온라인 행동 광고 게재는 25~40% 감소했다.^[113][114]

GDPR 시행 2년 후인 2020년, 유럽 집행위원회는 EU 전역의 사용자들이 자신들의 권리에 대한 지식을 높였다고 평가하며 "EU의 16세 이상 인구 중 69%가 GDPR에 대해 들어봤고, 71%가 자국 데이터 보호 기관에 대해 들어봤다"고 밝혔다.^[115][116] 위원회는 또한 프라이버시가 소비자들이 의사 결정 과정에서 고려하는 경쟁력 있는 요소가 되었다는 점을 발견했다.^[115]

집행 및 불일치

 이 부분의 본문은 GDPR 벌금 및 통지입니다.

페이스북과 자회사인 WhatsApp 및 인스타그램, 그리고 구글 LLC(안드로이드를 겨냥한)는 2018년 5월 25일 자정 직후 막스 슈렘스의 비영리 단체 NOYB에 의해 "강제 동의" 사용으로 즉시 고소당했다. 슈렘스는 두 회사 모두 데이터 데이터 처리 동의를 개별적으로 제시하지 않고, 사용자들이 모든 데이터 처리 활동(엄격히 필요하지 않은 활동 포함)에 동의하거나 서비스 이용이 금지될 것이라는 이유로 제7조(4)를 위반했다고 주장했다.^{[117][118][119][120][121]} 2019년 1월 21일, 프랑스 DPA는 구글에 행동 광고를 위한 개인정보 사용에 대한 통제, 동의, 투명성이 불충분하다는 이유로 5천만 유로의 벌금을 부과했다.^[122][123] 2018년 11월, 리비우 드라그네아에 대한 언론 조사 후, 루마니아 DPA(ANSPDCP)는 GDPR 요청을 사용하여 라이즈 프로젝트의 정보 출처에 대한 정보를 요구했다.^[124][125]

2019년 7월, 영국 정보 위원회는 2018년 웹 스키밍 공격으로 약 38만 건의 거래에 영향을 미친 부실한 보안 조치에 대해 영국항공에 기록적인 1억 8,300만 파운드(매출액의 1.5%)의 벌금을 부과할 의향을 발표했다.^{[126][127][128][129][130]} 영국항공은 결국 2천만 파운드로 감액된 벌금을 부과받았는데, ICO는 "BA의 진술과 COVID-19가 BA 사업에 미친 경제적 영향을 모두 고려하여 최종 벌금을 결정했다"고 밝혔다.^[131]

2019년 12월, 폴리티코는 조세 피난처로 명성을 얻고 (특히 아일랜드의 경우) 미국 빅테크 기업의 유럽 자회사 기지로 활용되었던 아일랜드와 룩셈부르크라는 두 소규모 EU 국가가 GDPR에 따른 주요 외국 기업 조사에서 상당한 업무 적체를 겪고 있다고 보도했다. 아일랜드는 규정의 복잡성을 한 가지 요인으로 꼽았다. 폴리티코가 인터뷰한 비평가들은 또한 회원국 간의 다양한 해석, 일부 당국의 집행보다 지침 우선주의, 그리고 회원국 간 협력 부족으로 인해 집행이 방해받고 있다고 주장했다.^[132]

2021년 11월, 아일랜드 시민 자유 협의회는 집행위원회가 아일랜드의 GDPR 적용 방식을 신중하게 모니터링할 EU 법률상 의무를 위반했다고 공식적으로 불만을 제기했다.^[133] 2023년 1월까지 위원회는 ICCL의 불만에 기반한 새로운 약속을 발표했다.^[133] 기업들은 이제 법적 의무를 지게 되었지만, GDPR의 실제적, 기술적 구현에는 여전히 다양한 불일치가 존재한다.^[134] 예를 들어, GDPR의 접근권에 따르면 기업은 정보 주체에 대해 수집한 데이터를 제공할 의무가 있다. 그러나 독일의 로열티 카드에 대한 연구에서 기업들은 구매한 품목에 대한 정확한 정보를 정보 주체에게 제공하지 않았다.^[135] 이러한 기업들이 구매한 품목 정보를 수집하지 않는다고 주장할 수도 있지만, 이는 그들의 비즈니스 모델과 일치하지 않는다. 따라서 정보 주체들은 이를 GDPR 위반으로 간주하는 경향이 있다. 결과적으로 연구에서는 당국을 통한 더 나은 통제를 제안했다.^[136][135] GDPR에 따르면 최종 사용자의 승낙은 유효하고, 자유롭게 부여되었으며, 구체적이고, 정보에 입각했으며, 적극적이어야 한다.^[137][138] 그러나 합법적인 동의 획득에 대한 집행 가능성 부족은 과제로 남아 있다. 예를 들어, 2020년 연구에 따르면 빅테크, 즉 구글, 아마존, 페이스북, 애플, 마이크로소프트 (GAFAM)는 동의 획득 메커니즘에 다크패턴을 사용하여 획득된 동의의 적법성에 의문을 제기하고 있다.^[138] 2021년 3월, 프랑스가 주도하는 EU 회원국들이 국가 안보 기관을 면제하여 유럽에서 개인정보 규정의 영향을 수정하려고 시도하고 있다고 보도되었다.^[139] 2020년에 약 1억 6천만 유로의 GDPR 벌금이 부과된 후, 2021년에는 이미 10억 유로를 넘어섰다.^[140]

2024년과 2025년 초에 GDPR 집행 조치가 강화되었다. 아일랜드 데이터 보호 위원회(DPC)는 틱톡에 아동 데이터 프라이버시 위반 및 어린 사용자 보호 조치 미흡으로 3억 4,500만 유로의 벌금을 부과했다.^[141] 2025년 1월, 메타는 EU와 미국 간의 불법적인 데이터 전송으로 12억 유로의 벌금을 부과받았는데, 이는 현재까지 가장 큰 GDPR 벌금 중 하나이다.^[142] 2025년 2월 12일, 유럽 위원회는 강력한 로비와 EU 입법부 간의 합의 부족으로 기술 특허, AI 책임, 메시징 앱 개인정보 보호에 대한 제안된 규정을 철회했으며, 주요 기술 기업들은 변경에 반대했다.^[143]

해외 법률에 미치는 영향

다국적 기업들이 이러한 새로운 프라이버시 표준을 대규모로 채택한 것은 유럽 법률 및 규정이 그 중요성으로 인해 기준선으로 사용되는 현상인 "브뤼셀 효과"의 한 예로 인용되었다.^[144]

미국 캘리포니아주는 2018년 6월 28일 캘리포니아 소비자 프라이버시법을 통과시켰고, 이는 2020년 1월 1일부터 발효되었다. 이 법은 GDPR과 유사한 방식으로 기업의 개인정보 수집에 대한 투명성 및 통제권을 부여한다. 비평가들은 이러한 법률이 효과적이려면 연방 차원에서 시행되어야 한다고 주장했다. 왜냐하면 주 단위 법률의 집합은 다양한 기준을 가져와 준수를 복잡하게 만들 것이기 때문이다.^{[145][146][147]} 두 개의 다른 미국 주에서는 이후 유사한 법률을 제정했다. 버지니아주는 2021년 3월 2일 소비자 데이터 프라이버시 법을 통과시켰고,^[148] 콜로라도주는 2021년 7월 8일 콜로라도 프라이버시 법을 제정했다.^[149]

튀르키예 공화국, 유럽 연합 회원 후보국은 EU 아키를 준수하여 2016년 3월 24일 개인정보 보호법을 채택했다.^[150] 중국의 2021년 중화인민공화국 개인정보 보호법은 개인 데이터 권리에 대한 중국 최초의 포괄적인 법률이며 GDPR을 모델로 한다.^{[151](p. 131)} 스위스도 EU의 GDPR을 대체로 따르는 새로운 데이터 보호법을 채택할 것이다.^[152] 유럽 연합의 해외 지역이 카리브 지역의 동카리브 국가 기구와 같은 비정부 조직(NGO)에 가입하면서, GDPR 규칙은 해당 지역의 프라이버시 권리에 대한 현재 법률이 없고 해당 외부 지역의 법률 준수를 유지해야 한다는 점을 고려할 때 필수적인 요소가 되었다.^[153] 2018년에 제정된 클라우드 법은 유럽 데이터 보호 감독관(EDPS)에 의해 GDPR과 충돌할 수 있는 법률로 간주된다.^{[154][155][156]}

웹사이트 조회수 및 수익

2024년 연구에 따르면 GDPR은 EU 사용자 웹사이트 페이지 조회수와 웹사이트 수익을 모두 12% 감소시켰다.^[157]

타임라인

• 2012년 1월 25일: GDPR 제안이 공개되었다.^[11]
• 2013년 10월 21일: 유럽 의회 시민 자유, 사법 및 내무 위원회(LIBE)가 방향 투표를 했다.
• 2015년 12월 15일: 유럽 의회, 이사회 및 집행위원회 간의 협상(공식 3자 회의)에서 공동 제안이 도출되었다.
• 2015년 12월 17일: 유럽 의회 LIBE 위원회가 세 당사자 간의 협상에 투표했다.
• 2016년 4월 8일: 유럽 연합 이사회에 의해 채택되었다.^[158] 반대 투표를 한 유일한 회원국은 오스트리아였다. 오스트리아는 일부 측면에서 데이터 보호 수준이 1995년 지침에 비해 미흡하다고 주장했다.^[159][160]
• 2016년 4월 14일: 유럽 의회에 의해 채택되었다.^[161]
• 2016년 5월 24일: 이 규정은 유럽 연합 관보에 게재된 지 20일 후 발효되었다.^[16]
• 2018년 5월 6일: 경찰 및 사법 부문에 대한 데이터 보호 지침이 이날부터 적용되는 국내 법률로 제정되었다.^[162]
• 2018년 5월 25일: 이 규정은 발효된 지 2년 후 모든 회원국에서 직접 적용 가능하게 되었다.^[16]
• 2018년 7월 20일: EEA 공동 위원회와 세 국가가 규정을 따르기로 합의한 후, GDPR은 EEA 국가(아이슬란드, 리히텐슈타인, 노르웨이)에서 유효하게 되었다.^[163][164]

EU 디지털 단일 시장

EU 디지털 단일 시장 전략은 EU 내 기업과 사람들과 관련된 "디지털 경제" 활동과 관련이 있다.^[165] 이 전략의 일환으로 GDPR 및 NIS 지침은 모두 2018년 5월 25일부터 적용된다. 제안된 전자 프라이버시 규정도 2018년 5월 25일부터 적용될 예정이었으나, 몇 달 연기될 예정이다.^[166] EIDAS 규정도 이 전략의 일부이다.

초기 평가에서 유럽 이사회는 GDPR이 "미래 디지털 정책 이니셔티브 개발의 전제 조건"으로 간주되어야 한다고 밝혔다.^[167]

같이 보기

• 사이버 범죄 조약
• 데이터 이동