Day 24: GDPR (EU 일반 데이터 보호 규정)

1. GDPR의 개요

1.1 정의 및 특징

  • 정식 명칭 : General Data Protection Regulation (일반 데이터 보호 규정)
  • 개념 : EU(유럽연합) 시민의 개인정보(개인 데이터)를 보호하기 위한 법률
  • 발효일 : 2018년 5월 25일

1.2 제정 배경

  • 1995년 데이터보호지침(Data Protection Directive)의 한계
  • 디지털 경제 발전으로 개인정보 처리 급증
  • EU 회원국별 상이한 개인정보 보호 수준 -> 통일 필요
  • 개인정보 자기결정권 강화
  • 글로벌 기업의 EU 시민 데이터 남용 방지

1.3 GDPR의 핵심 특징

(1) 역외 적용 (Extraterritorial Application)

EU 밖 기업도 적용 대상입니다.

적용 조건 :

  • EU 시민에게 상품·서비스 제공
  • EU 시민의 행동 모니터링

예시 :

  • 한국 기업이 EU에 제품 수출 => GDPR 적용
  • 미국 기업이 EU 시민 데이터 수집 => GDPR 적용

(2) 강력한 제재

위반 시 막대한 과징금 부과 :

  • 최대 2,000만 유로 또는 전 세계 연간 매출의 4% 중 높은 금액

(3) 개인의 권리 강화

  • 열람권, 정정권, 삭제권 (“잊힐 권리”), 데이터 이동권, 자동화된 결정 거부권

(4) 책임성 원칙 (Accountability)

기업이 스스로 준수를 입증해야 합니다.

1.4 GDPR vs 한국 개인정보보호법

구분 GDPR 한국 개인정보보호법
적용 범위 EU + 역외 적용 한국
법적 근거 6가지 명시 동의 중심
삭제권 “잊힐 권리” 정정·삭제권
데이터 이동권 있음 없음
DPO 일부 의무 개인정보 보호책임자 의무
과징금 최대 매출 4% 최대 매출 3%
유출 통지 72시간 이내 지체 없이

1.5 적용 대상 : 컨트롤러 vs 프로세서

  • 컨트롤러 (Controller) : 개인 데이터 처리의 목적과 수단을 결정하는 자

    • 예 : 온라인 쇼핑몰, 소셜 미디어 플랫폼, 은행

  • 프로세서 (Processor) : 컨트롤러를 대신하여 개인 데이터를 처리하는 자

    • 예 : 클라우드 서비스 제공자, 콜센터 위탁 업체, 데이터 분석 업체

    한국 법률과의 비교 : 컨트롤러 ≈ 개인정보처리자, 프로세서 ≈ 수탁자

2. GDPR의 7대 원칙 (Article 5)

2.1 적법성·공정성·투명성 (Lawfulness, Fairness and Transparency)

  • 적법성 : 합법적 근거가 있어야 처리 가능
  • 공정성 : 정보주체에게 불리하지 않게 처리
  • 투명성 : 처리 내용을 정보주체에게 명확히 공개

2.2 목적 제한 (Purpose Limitation)

  • 특정된 목적으로만 수집·처리
  • 수집 시 목적을 명시하고 목적 외 사용 금지

2.3 데이터 최소화 (Data Minimisation)

  • 필요 최소한의 데이터만 수집
  • “Nice to have” 가 아닌 “Need to have” 만 수집

2.4 정확성 (Accuracy)

  • 데이터가 정확하고 최신 상태 유지
  • 부정확한 데이터는 즉시 삭제·정정

2.5 보존 제한 (Storage Limitation)

  • 필요한 기간만 보관
  • 목적 달성 후 삭제

2.6 무결성 및 기밀성 (Integrity and Confidentiality)

  • 기술적·관리적 조치로 안전하게 보호

2.7 책임성 (Accountability)

  • 컨트롤러가 위 원칙 준수를 스스로 입증
  • 문서화, 정책 수립, 기록 유지 필요

3. 개인 데이터 처리의 법적 근거 (Article 6)

GDPR은 동의뿐 아니라 6가지 법적 근거 중 하나만 있으면 처리 가능합니다.

3.1 6가지 법적 근거

  • (1) 동의 (Consent) : 정보주체의 명확한 동의

    • 자유롭게 (Freely given), 구체적으로 (Specific), 정보에 입각하여 (Informed), 명백하게 (Unambiguous) 부여된 동의
    • 예 : 마케팅 이메일 수신 동의

  • (2) 계약 이행 (Contract) : 계약 체결 또는 이행을 위해 필요

    • 예 : 온라인 쇼핑몰 주문 처리, 배송 주소 수집

  • (3) 법적 의무 (Legal Obligation) : 법률에 따른 의무 이행

    • 예 : 세법에 따른 거래 기록 보관

  • (4) 생명 보호 (Vital Interests) : 정보주체 또는 타인의 생명 보호

    • 예 : 응급 의료 상황

  • (5) 공익 (Public Interest) : 공익 또는 공식 권한 행사

    • 예 : 정부 기관의 공공 서비스

  • (6) 정당한 이익 (Legitimate Interests) : 컨트롤러 또는 제3자의 정당한 이익

    • 요건 : 정보주체의 권리보다 우선하지 않을 것
    • 예 : 사기 방지, 네트워크 보안

핵심 : 동의가 유일한 방법이 아닙니다. 상황에 따라 적절한 법적 근거를 선택할 수 있습니다.

3.2 동의 요건 (Article 7)

GDPR의 동의는 매우 엄격합니다.

  • 자유로운 동의 : 강제 불가, 서비스 제공 조건으로 불필요한 동의 요구 금지
  • 구체적 동의 : 포괄적 동의 불가, 목적별 개별 동의 필요
  • 정보에 입각한 동의 : 명확하고 알기 쉬운 언어로 정보 제공
  • 명백한 동의 : 적극적 행위 필요 (체크박스 클릭 등), 사전 체크 불가, 침묵은 동의가 아님
  • 동의 철회 권리 : 동의한 방법보다 쉽게 철회 가능해야 함

올바른 동의 예시 :

  • 이용약관 동의 (필수) : 직접 체크
  • 개인정보 처리방침 동의 (필수) : 직접 체크
  • 마케팅 이메일 수신 동의 (선택) : 직접 체크, 동의 철회는 이메일 하단 수신거부 링크 클릭

잘못된 동의 예시 :

  • 이용약관, 개인정보처리방침, 마케팅 수신에 모두 동의합니다 (사전에 체크된 상태)

4. 정보주체의 권리 (Chapter III)

4.1 투명성 및 정보 제공 (Article 12~14)

개인정보 처리방침 (Privacy Notice) 에 다음 정보를 명확하고 이해하기 쉽게 제공해야 합니다.

  • 컨트롤러 신원 및 DPO 연락처
  • 처리 목적 및 법적 근거
  • 제3자 제공 및 국제 이전 현황
  • 보유 기간
  • 정보주체 권리 및 감독기구 제소권
  • 동의 철회 권리
  • 자동화된 결정 존재 여부

4.2 열람권 (Right of Access, Article 15)

  • 정보주체는 자신의 개인 데이터 사본 요구 가능
  • 제공 기한 : 1개월 이내 (연장 시 최대 3개월)
  • 비용 : 무료 (과도한 요청 시 합리적 비용 청구 가능)

4.3 정정권 (Right to Rectification, Article 16)

  • 부정확한 개인 데이터 정정 요구 가능
  • 처리 기한 : 1개월 이내

4.4 삭제권 — “잊힐 권리” (Right to Erasure, Article 17)

다음 경우 삭제 요구 가능 :

  • 목적 달성 (더 이상 필요하지 않음)
  • 동의 철회 (동의가 법적 근거인 경우)
  • 처리 반대 (정당한 이익이 법적 근거인 경우)
  • 위법 처리, 법적 의무에 따른 삭제

삭제 거부 가능한 예외 :

  • 표현의 자유, 법적 의무 이행, 공익, 법적 청구권 행사

추가 의무 : 제3자에게 제공한 경우 => 제3자에게도 삭제 요청 통지

처리 기한 : 1개월 이내

4.5 처리 제한권 (Right to Restriction, Article 18)

다음 경우 처리 제한 요구 가능 :

  • 정확성 다툼 중 (확인 기간 동안)
  • 위법 처리이나 삭제 대신 제한 원할 때
  • 컨트롤러는 불필요하나 정보주체가 법적 청구에 필요한 경우
  • 처리 반대 확인 기간 동안

처리 제한 = 저장만 가능, 이용 불가

4.6 데이터 이동권 (Right to Data Portability, Article 20)

  • 구조화되고 기계 판독 가능한 형식 (JSON, CSV 등) 으로 데이터 수령 요구 가능
  • 요건 : 법적 근거가 동의 또는 계약, 자동화된 수단으로 처리
  • 타 서비스로 직접 이전 요구 가능 (기술적으로 가능한 경우)
  • 예 : 소셜 미디어 프로필 데이터를 JSON으로 다운로드, 음악 재생 목록을 CSV로 다운로드

4.7 반대권 (Right to Object, Article 21)

  • 정당한 이익 또는 공익이 법적 근거인 경우 처리 반대 가능
  • 마케팅 목적 처리 : 언제든지 무조건 반대 가능

4.8 자동화된 결정 거부권 (Article 22)

  • 완전 자동화된 결정 (프로파일링 포함) 에 대해 거부 가능
  • 예 : AI 기반 대출 심사, 자동화된 채용 심사
  • 예외 : 계약 체결·이행에 필요, 법률에 허용, 명시적 동의가 있는 경우

5. 컨트롤러 및 프로세서의 의무

5.1 Privacy by Design and by Default (Article 25)

  • Privacy by Design (설계 단계부터 개인정보 보호)

    • 시스템 설계 단계부터 개인정보 보호 고려 (암호화, 가명화, 최소화)

  • Privacy by Default (기본 설정으로 개인정보 보호)

    • 기본 설정을 개인정보 보호 중심으로 설정
    • 잘못된 예 : SNS 기본 설정 => 전체 공개
    • 올바른 예 : SNS 기본 설정 => 친구만 공개
    • 잘못된 예 : 앱 기본 설정 => 모든 권한 허용
    • 올바른 예 : 앱 기본 설정 => 필수 권한만 허용

5.2 DPO (Data Protection Officer, Article 37~39)

DPO 지정 의무

다음 경우 DPO 지정 필수 :

  • 공공기관 (법원 제외)
  • 대규모 정기적·체계적 모니터링
  • 대규모 민감 데이터 또는 범죄 데이터 처리 (일반적으로 수만 명 이상)

DPO 업무

  • GDPR 준수 모니터링
  • 임직원 교육 및 자문
  • 감독기구 협력
  • 정보주체 문의 대응

DPO는 독립적 지위를 보장받아야 합니다.

5.3 처리 활동 기록 (Records of Processing Activities, Article 30)

250명 이상 고용 또는 고위험 처리 시 의무 기록 사항 :

  • 처리 목적, 개인 데이터 범주, 정보주체 범주
  • 제3자 제공 및 국제 이전
  • 보유 기간 및 보안 조치

한국 개인정보파일 대장과 유사한 개념입니다.

5.4 DPIA (Data Protection Impact Assessment, Article 35)

고위험 처리 시 사전에 DPIA 실시 의무

고위험 처리 예시 :

  • 대규모 민감 데이터 처리
  • 대규모 체계적 모니터링 (CCTV)
  • 자동화된 결정 (프로파일링)

DPIA 내용 :

  • 처리 활동 설명
  • 필요성 및 비례성 평가
  • 정보주체 권리 및 자유에 대한 위험 평가
  • 위험 완화 조치

한국 개인정보 영향평가와 유사한 개념입니다.

5.5 개인정보 침해 통지 (Article 33~34)

  • 감독기구 통지 (Article 33) : 침해 인지 후 72시간 이내 감독기구에 통지

    • 통지 내용 : 침해 내용, DPO 연락처, 침해 결과, 조치 사항

  • 정보주체 통지 (Article 34) : 높은 위험이 있는 경우 정보주체에게 지체 없이 통지

    • 높은 위험 예 : 민감 데이터 유출, 재정적 손실 가능성
    • 통지 불필요 예외 : 암호화 등으로 읽을 수 없는 상태, 후속 조치로 위험 제거, 불균형적 노력 요구 시 (공개 공지 대체)

5.6 프로세서 계약 (Article 28)

컨트롤러와 프로세서 간 서면 계약 (DPA : Data Processing Agreement) 필수

계약 필수 조항 :

  • 처리 대상, 목적, 기간
  • 컨트롤러 지시에 따라서만 처리
  • 비밀 유지 및 보안 조치
  • 하위 프로세서 조건
  • 정보주체 권리 지원
  • 계약 종료 시 데이터 반환·삭제
  • 감사 지원

6. 국제 이전 (Chapter V)

6.1 원칙

EU 외 국가로 개인 데이터 이전 시 적정한 보호 수준 보장 필요

6.2 이전 방법

  • (1) 적정성 결정 (Adequacy Decision, Article 45)

    • EU 집행위원회가 해당 국가의 보호 수준을 적정하다고 인정
    • 적정성 인정 국가 (2024년 기준) : 일본, 한국(2024년 1월), 영국, 스위스, 이스라엘, 뉴질랜드, 캐나다(상업 부문), 미국(일부 프레임워크) 등
    • 한국 : 2024년 1월 적정성 결정 획득 => EU -> 한국 이전 시 추가 조치 불필요

  • (2) 표준계약조항 (SCC : Standard Contractual Clauses, Article 46)

    • EU 집행위원회가 승인한 표준 계약서
    • 적정성 결정이 없는 국가로 이전 시 가장 일반적인 방법

  • (3) BCR (Binding Corporate Rules)

    • 다국적 기업 그룹 내부 규칙으로 국제 이전

  • (4) 예외 (Derogations, Article 49)

    • 특정 상황 (명시적 동의, 계약 이행, 공익, 법적 청구권, 생명 보호) 에서만 이전 가능

7. 감독 및 제재

7.1 과징금 (Article 83)

  • Tier 1 (최대 1,000만 유로 또는 전 세계 연간 매출 2%) :

    • 프로세서 의무 위반, 인증 기관 의무 위반

  • Tier 2 (최대 2,000만 유로 또는 전 세계 연간 매출 4%) :

    • 기본 원칙 위반 (Article 5)
    • 정보주체 권리 위반
    • 국제 이전 위반
    • 감독기구 명령 불이행

실제 과징금 사례 :

  • Amazon : 7억 4,600만 유로 (2021년)
  • Google : 9,000만 유로 (2022년)
  • Meta : 12억 유로 (2023년)

8. 보안 컨설팅 실무 시사점

8.1 GDPR 준수 컨설팅 프로세스 (총 5 ~ 9개월)

  • Phase 1 — 범위 및 현황 진단 (1 ~ 2개월)

    • GDPR 적용 여부 확인
    • 컨트롤러 / 프로세서 역할 판단
    • 개인 데이터 처리 활동 파악 및 법적 근거 확인
    • 갭 분석

  • Phase 2 — 컴플라이언스 체계 구축 (3 ~ 6개월)

    • Privacy Notice 작성 (명확하고 이해하기 쉽게)
    • 동의 관리 : GDPR 요건 충족, 동의 철회 기능 구현
    • 정보주체 권리 보장 절차 수립 (1개월 내 처리 체계)
    • 처리 활동 기록 (Article 30) 문서화
    • DPIA 실시 (고위험 처리 시)
    • DPO 지정 (필요 시)
    • 보안 조치 : 암호화, 접근 통제, Privacy by Design
    • 침해 대응 : 72시간 통지 체계 구축
    • 국제 이전 조치 : 한국은 적정성 결정으로 추가 조치 불필요

  • Phase 3 — 교육 및 문서화 (1개월)

    • 임직원 교육
    • 정책·절차 문서화

  • Phase 4 — 유지 관리

    • 정기 점검, DPIA 업데이트, 처리 활동 기록 업데이트

8.2 GDPR vs ISO 27701

구분 GDPR ISO 27701
성격 법률 (강제) 표준 (자발적)
범위 EU + 역외 적용 전 세계
준수 입증 스스로 입증 인증
제재 과징금 (최대 매출 4%) 없음 (인증 취소)

활용 : ISO 27701 인증은 GDPR 준수의 강력한 증거가 되지만, ISO 27701 인증이 GDPR 완전 준수를 보장하지는 않습니다.

8.3 한국 기업의 GDPR 대응 전략

  • 전략 1 — 적정성 결정 활용 (2024년 1월 획득)

    • EU -> 한국 이전 : 추가 조치 불필요
    • 단, 개인정보보호법 엄격 준수 필요

  • 전략 2 — Privacy by Design 적용

    • 시스템 설계 단계부터 암호화, 최소 수집, 동의 철회 기능 반영

  • 전략 3 — 데이터 이동권 구현

    • EU 시민 대상 서비스라면 JSON, CSV 등 기계 판독 가능 형식의 데이터 다운로드 기능 필수

9. GDPR과 쿠키 (ePrivacy Directive)

9.1 쿠키 동의

ePrivacy Directive (쿠키 법) 와 GDPR 을 함께 적용합니다.

  • 필수 쿠키 : 동의 불필요 (예 : 로그인 세션, 장바구니)
  • 비필수 쿠키 : 동의 필요 (예 : 광고, 분석, 추적 쿠키)
  • 사전 체크 금지, 사용자가 직접 선택해야 함

쿠키 배너 예시 :

이 사이트는 쿠키를 사용합니다.

  • 필수 쿠키 : 필수 (체크 불가)
  • 분석 쿠키 : 선택 (직접 체크)
  • 광고 쿠키 : 선택 (직접 체크)
  • [모두 수락] [선택 수락] [거부]

9.2 Google Analytics 사용 시 주의사항

  • Schrems II 판결 (2020년) : EU-US Privacy Shield 무효화 => 미국 서버로의 데이터 이전에 SCC 필요
  • 일부 EU 감독기구는 Google Analytics 사용을 불법 판단
  • 대응 방안 :
    • Google Analytics 4 (GA4) 의 EU 서버 옵션 활용
    • Matomo 등 자체 호스팅 대안 사용

10. 실무 체크리스트

법적 근거

  • 개인 데이터 처리의 법적 근거가 있는가? (동의, 계약, 법적 의무, 생명 보호, 공익, 정당한 이익)
  • 동의가 법적 근거인 경우 GDPR 요건을 충족하는가? (자유로운, 구체적, 정보에 입각, 명백한)

투명성

  • Privacy Notice 를 제공하는가?
  • Privacy Notice 에 필수 정보가 포함되어 있는가?

정보주체 권리

  • 열람권을 보장하는가? (1개월 이내)
  • 정정권을 보장하는가?
  • 삭제권 (잊힐 권리) 을 보장하는가?
  • 데이터 이동권을 보장하는가? (기계 판독 가능 형식)
  • 자동화된 결정에 대한 정보를 제공하는가?

의무 사항

  • DPO 를 지정했는가? (해당 시)
  • 처리 활동을 기록하는가? (Article 30)
  • 고위험 처리 시 DPIA 를 실시하는가?
  • 침해 시 72시간 내 감독기구 통지 체계가 있는가?

보안

  • Privacy by Design 을 적용하는가?
  • Privacy by Default 를 적용하는가?
  • 개인 데이터를 암호화하는가?
  • 접근 통제를 하는가?

국제 이전

  • EU 외 국가로 이전 시 적절한 조치를 하는가? (적정성 결정, SCC 등)

프로세서 (해당 시)

  • 컨트롤러와 DPA 를 체결했는가?
  • 컨트롤러의 지시에 따라서만 처리하는가?

학습 정리

  • GDPR : EU 일반 데이터 보호 규정, 2018년 5월 시행
  • 역외 적용 : EU 밖 기업도 EU 시민 데이터 처리 시 적용 (한국 기업 포함)
  • 6가지 법적 근거 : 동의, 계약, 법적 의무, 생명 보호, 공익, 정당한 이익
  • 7대 원칙 : 적법성·공정성·투명성, 목적 제한, 데이터 최소화, 정확성, 보존 제한, 무결성·기밀성, 책임성
  • 정보주체 권리 : 열람, 정정, 삭제(잊힐 권리), 이동권, 반대권, 자동화 결정 거부
  • Privacy by Design / by Default : 설계 단계부터, 기본 설정부터 개인정보 보호
  • DPO 지정 : 대규모 모니터링 또는 민감 데이터 처리 시 의무
  • DPIA : 고위험 처리 시 의무 (사전 위험 평가)
  • 침해 통지 : 72시간 이내 감독기구 통지, 높은 위험 시 정보주체에게도 통지
  • 과징금 : 최대 2,000만 유로 또는 매출 4% (Meta 12억 유로 사례)
  • 한국 적정성 결정 (2024년 1월) : EU -> 한국 이전 시 추가 조치 불필요

다음 학습 주제

  • SOC 2 (미국 서비스 조직 통제)
  • NIST Framework (미국 사이버보안 프레임워크)