EU는 기존의 개인정보보호지침이 변화하는 기술 동향에 대해 적절하게 대응하지 못한다고 판단하여 새로운 법안인 ‘일반 개인정보 보호법’(General Data Protection Regulation: GDPR)을 발효하고 2018년 5월부터 시행하고 있다. GDPR의 주요 내용은 다음과 같다.
  첫 번째, EU 역내에 거주하는 자연인의 개인정보를 처리하는 개인 및 기업을 모두 적용 대상으로 하며, 역외 기업의 경우에도 역내 대리인 지정을 의무화하였다.
  두 번째, IP주소, 인터넷 쿠키, RFID 등 개인정보의 범위를 확대하고, 적법성·공정성·투명성, 목적제한, 개인정보 최소화, 정확성, 저장 제한, 무결성·기밀성 등 여섯 가지의 원칙에 따라 개인정보의 보호를 강화하였다.
  세 번째, GDPR의 발효에 따라 EU 역내 각국이 따로 감독하는 것이 아니라 한 개의 감독기관이 관리하도록 하였다.
  네 번째, 법률 위반에 따라 벌금 등 제재의 규모를 대폭 강화하였다.
  다섯 번째, 개인정보 유출에 따른 피해 발생 시 개인의 피해보상을 청구할 수 있도록 하였으며, 잊혀질 권리, 개인정보 처리 제한권, 정보이전권 등 새로운 정보주체의 권리를 적용·강화하였다.
  여섯 번째, 개인정보 처리 주체가 개인정보의 유출을 인지한 시점부터 72시간 이내에 감독기관에 신고하고, 정보주체에 대한 위험이 예상될 경우 즉시 개인정보 유출 사실을 고지하도록 개인정보 유출 대응 방법을 의무화하였다.
  이러한 내용을 갖는 GDPR은 개인정보 권한 및 보호는 강화하되 익명화/비식별화 및 목적 외 활용에 대한 사항을 구체적으로 명시하여 기업의 적법한 개인정보 활용을 용이하게 하였다. GDPR의 발효는 유럽 전역이 동일한 개인정보 활용에 대한 제도를 따르게 하였으며, 개인정보를 활용하고자 하는 기업의 효율적인 활동을 가능하게 하였다.


오창화│국토연구원 연구원

참고문헌
김태엽. 2018. 해외 개인정보 보호 동향과 시사점: EU GDPR을 중심으로. 서울: 국회입법조사처.
오태현, 강민지. 2018. EU 개인정보보호법(GDPR) 발효: 평가 및 대응방안. 오늘의 세계경제 18, no.19. 세종: 대외경제정책 연구원.
위치정보의 보호 및 이용 등에 관한 법률. 2018. 법률 15608호(4월 17일 일부개정).
유종락. 2011. 디지털시대의 개인정보보호–새로운 개인정보보호법을 중심으로. 디지털정책연구 9, no.6: 81-90.