| {{{#!wiki style="margin: -5px -10px; padding: 5px 10px; background-image: linear-gradient(to right, #012D84 0%, #003399 20%, #003399 80%, #012D84)" {{{#!wiki style="margin: 0 -10px -5px; min-height: 28px; color: #FECE00" {{{#!folding [ 펼치기 · 접기 ] {{{#!wiki style="margin: -6px -1px -11px" | <colbgcolor=#003399><colcolor=#ffcc00> 문서 | <colcolor=#000,#ffcc00>GDPR · PIGS · CAP · 유럽의회(선거) · 유럽언어기준 · 제4제국 · 여권 · 유럽군 · EFSF · 유럽중앙은행 · 유로 · 친유럽주의 · 유럽회의주의 · 지리적 표시제 · 유럽 배출가스 기준 · G20 · 저작권법(논란) · 유럽의약품청 · 유럽 원자력 공동체 · 통계지역단위명명법 · 유럽 경제 지역 · 유럽연합 정상회의 · 유로폴 |
| 대외관계 | 유럽연합-러시아 관계 · 유럽연합-우크라이나 관계 · 유럽연합-벨라루스 관계 · 유럽연합-영국 관계 · 신냉전 | |
| 조약 및 협정 | 솅겐 조약 · 로마 조약 · 마스트리흐트 조약 · 한EU FTA · TTIP | |
| 전신 단체들 | 루르 국제 통치령 · 유럽 석탄 철강 공동체 · 유럽 경제 공동체 · 유럽 공동체 | |
| 사건사고 | 유로화 사태 · 그렉시트 · 그리스 경제위기 · 브렉시트 · 폴렉시트 · 유럽의회 카타르 뇌물 스캔들 | |
| 파생 문서 | 문제점 · 확장 · 가상 | |
| 틀 | 회원국 일람 · 역대 상임의장 · 역대 집행위원장 · 역대 유럽중앙은행 총재 · 의회 원내 구성 | }}}}}}}}}}}} |
홈페이지
영문 법령
1. 개요
유럽연합의 유럽 의회에서 2016년 4월에 채택한 법. 1995년 인터넷 시대가 막 도래할 때 만들어진 정보보호명령을 대체하는 새로운 법이다. GDPR 조항에 따라 EU에서 장사하는 회사들은 EU 거주자의 사생활 정보를 보호하는 것이 의무가 되며, 개인정보 유출도 규제된다.[1] 데이터 주권 관련 법안#각 기업들은 2018년 5월 25일까지 GDPR이 규정하고 있는 보호 조치를 마련해야 한다.
구글, 페이스북, 애플, 아마존[2]과 같은 미국 IT 공룡기업들에게 직격탄이 되었다. 빅데이터와 머신러닝 시대가 도래하면서, 이들은 사용자들의 개인정보를 빅데이터로 인식해 무작위로 모으고 있었는데, 법의 규제를 받게 된 것이다.[3] 사실 유럽이 먼저 신호탄을 날렸지만, 개인 정보 유출에 대한 심각성은 전세계적으로 공감하고 있다. 따라서 GDPR은 더 정교화 될 가능성이 높고 전 세계적으로 채택하는 국가가 많아질 것으로 보인다.[4]
2017년 12월 19일에는 독일 정부가 페이스북이 소비자의 사생활 정보를 수집하고 있는 점을 지적하며, GDPR을 어기지 말라고 경고했다.
EU 각국 당국에 개인정보 위반 신고와 제보가 늘고 있지만 처리는 EU 각국 정부가 담당하고 있고 인력 및 제도의 미비로 인해 처리 속도가 느린 편이다.
기업 보안 책임을 강화하다. 위반 정도가 낮은 경우에는 해당 기업 및 기관의 연관 매출의 2% 또는 1천만유로 중 높은 금액이 과징금으로 부과되며, 심각한 위반의 경우 연간 매출 4% 또는 2천만유로 중 높은 금액이 부과된다.#
실제로 "2018년 영국 브리티시 항공사가 고객 개인정보 50만건을 유출하면서 매출액의 1.5%에 해당하는 2700억원의 벌금형을 받았다"# "한국에서 개인정보 유출 사고로 부과된 최고 벌금 44억보다 60배 많다"
GAFA를 비롯한 세계 IT 공룡 기업들은 GDPR에 대처하기 위해 데이터보호 담당자(DPO, Data Protection Officer) 직을 신설하고 발빠르게 인재들을 모으고 있다.
GDPR 적용 첫 사례로 개인정보 대해서 투명성·포괄적 동의금지 위반있다.
구글, 프랑스서 642억원 벌금…"개인정보 보호 위반" - ZDnet Korea
2. 여담
- 이 법을 한국어로 뭐라고 번역할 것인가에 관해 아직 정설이 없다. '일반정보보호규칙'이라고 번역하는 이가 있는가 하면(함인선 전남대학교 법학전문대학원 교수), 그냥 GDPR이라고만 지칭하는 이도 있다(박노형 외. EU 개인정보보호법: GDPR을 중심으로 (서울: 박영사, 2017)). '법률신문'에서는 '유럽 일반 개인정보 보호법'이라는 표현을 사용한 바 있고, 개인정보보호위원회의 '한국으로 이전된 개인정보의 처리와 관련한 「개인정보 보호법」의 해석과 적용을 위한 보완규정' 역시 "GDPR: 유럽연합의 일반 개인정보 보호법, General Data Protection Regulation (Regulation EU 2016/679)을 말한다."라고 규정하고 있다.
- 한국인터넷진흥원에서 2017년 4월에 우리 기업을 위한 GDPR 안내서라는 책자를 간행한 바 있다. 해당 규칙의 원문과 이에 대한 설명을 수록한, 꽤 상세한 해설서이다.
- 본 법으로 인해 Tunngle은 2018년 4월 30일부로 서비스를 종료했다. 이를 피하기 위해 최선을 다했지만 현재 법률에서 요구하는 변경을 구현하는 데 필요한 자원과 투자가 부족했다고 한다.
- 각국의 데이터 주권 관련 법안은 미국은 클라우드법, 중국은 인터넷안전법, 유럽은 GDPR, 호주는 AAA, 러시아는 독자 인터넷망 구출 법안, 베트남은 사이버보안법 등이 있다. #
- 2021년 12월 17일 EU에서 한국에 대한 '개인정보보호 적정성 결정'을 채택했다.#
[1] GDPR은 국적 기반이 아닌 EU 내 거주자를 대상으로 하는 법률이기 때문에 스페인어나 프랑스어 서비스 제공 등 명백히 EU 시장을 타겟으로 한 서비스가 아니라면 GDPR 법률에 해당되지는 않는다. https://gdpr.kisa.or.kr/gdpr/static/applyTo.do[2] 이전에는 흔히 GAFA (Google Amazon Facebook Apple)이라고 지칭했던 집단으로, 현재는 페이스북의 사명 변경과 넷플릭스의 부상으로 MANGA(Meta-Amazon-Netflix-Google-Apple)이라고 지칭한다.[3] 미국 IT 공룡기업들을 타겟으로 하였지만 2018년 10월 현재 생각보다 파급력이 크진 않다. 오히려 GDPR 적용 이후 MANGA의 매출은 증가했는데 광고주들은 MANGA 정도 되어야 GDPR를 준수할 수 있을꺼라 판단했다고.[4] 비유럽국가 중 인터넷이 꽤 활성화된 대한민국, 일본, 캐나다 등의 경우 일부 기업을 제외하고는 GDPR를 관망하는 추세다. 주 타겟은 미국의 IT 기업이고 EU 이용자의 유입이 크지 않아 미국과 남미의 GDPR 적용을 보고 서서히 적용할 가능성이 크다.