GDPR Compliance Checklist

기본 원칙(Art. 4 정의, Art. 5 처리 원칙, Art. 6 적법 근거, Art. 7 동의, Art. 9 특수범주), 정보주체 권리(Art. 12-14 투명성, Art. 15 접근, Art. 17 삭제, Art. 20 이동, Art. 22 자동화 의사결정), 컨트롤러 의무(Art. 25 설계보호, Art. 28 프로세서, Art. 30 ROPA, Art. 32 보안, Art. 33-34 침해 통지, Art. 35 DPIA, Art. 37-39 DPO), 국제 이전(Art. 44-49, SCC), 집행(Art. 77-79 구제, Art. 83 과징금), 비교(GDPR vs PIPA, 쿠키, 체크리스트) 등 총 26개 핵심 조항을 6개 카테고리로 다룹니다.

Art. 6에서 (a) 동의, (b) 계약 이행, (c) 법적 의무, (d) 중대한 이익, (e) 공적 임무, (f) 정당한 이익 6가지를 규정합니다. 동의는 자유롭게 제공되고 구체적이며 정보에 기반한 명확한 긍정 행위여야 하고, 동의만큼 쉽게 철회 가능해야 합니다. 정당한 이익은 컨트롤러의 이익과 정보주체의 권리를 비교하는 형량 테스트가 필요합니다.

Art. 33에 따라 침해 인지 후 72시간 이내에 감독기관에 통지해야 하며, 권리와 자유에 위험이 없는 경우는 예외입니다. Art. 34는 고위험 침해 시 지체 없이 정보주체에게 통지하도록 하며, 암호화 등 조치가 완료된 경우나 개별 연락이 과도한 경우 공개 통지로 대체할 수 있습니다.

데이터보호영향평가(Art. 35)는 프로파일링 등 자동화된 의사결정, 대규모 민감정보 처리, 대규모 공개장소 체계적 모니터링 등 고위험 처리 시 의무입니다. 처리의 체계적 설명, 필요성·비례성 평가, 위험 평가, 위험 대응 조치를 포함해야 하며 DPO 자문이 필수입니다.

Art. 44-49에서 EU 집행위 적정성 결정(Art. 45), 표준계약조항(SCC)과 구속력 있는 기업규칙(BCR) 등 적절한 보호장치(Art. 46), 명시적 동의·계약 이행 등 예외(Art. 49) 세 가지 이전 메커니즘을 규정합니다. Schrems II 이후 SCC 사용 시 이전영향평가(TIA)와 암호화 등 보충 조치가 필요합니다.

Art. 83에서 2단계 체계를 규정합니다. 컨트롤러/프로세서 의무 위반 시 최대 1,000만 EUR 또는 전세계 연간 매출의 2%(높은 금액), 처리 원칙·동의 요건·정보주체 권리·국제 이전 규정 위반 시 최대 2,000만 EUR 또는 전세계 연간 매출의 4%(높은 금액)가 부과됩니다.

GDPR 개념을 한국 대응 개념으로 매핑합니다: DPO→CPO, DPIA→개인정보 영향평가, 72시간 침해 통지(양쪽 동일), SCC→표준계약서. 주요 차이점으로 PIPA의 주민등록번호 특별 보호, GDPR의 정당한 이익 근거 인정, PIPA의 매출 3% 과징금(2023 개정) vs GDPR 4%, PIPA의 개인정보위원회 통합 관할을 비교합니다.

네, 이 GDPR 레퍼런스는 사용 제한이나 계정 없이 완전히 무료입니다. 모든 콘텐츠가 브라우저에서 로드되며 서버 처리가 필요 없습니다. 프라이버시 및 컴플라이언스 전문가를 위한 liminfo.com 무료 온라인 레퍼런스 도구 모음의 일부입니다.