[include(틀:다른 뜻1, other1=대한민국의 개인정보보호법, rd1=개인정보 보호법)]
[include(틀:유럽연합 관련 문서)]
[[파일:GDPR.jpg]]

[목차]

[[https://www.eugdpr.org/|홈페이지]]
[[http://ec.europa.eu/justice/data-protection/reform/files/regulation_oj_en.pdf|영문 법령]] 

== 개요 ==
[[유럽연합]]의 [[유럽 의회]]에서 2016년 4월에 채택한 법. 1995년 인터넷 시대가 막 도래할 때 만들어진 정보보호명령을 대체하는 새로운 법이다. GDPR 조항에 따라 EU에서 장사하는 회사들은 EU 거주자의 사생활 정보를 보호하는 것이 의무가 되며, 개인정보 유출도 규제된다.[* GDPR은 국적 기반이 아닌 EU 내 거주자를 대상으로 하는 법률이기 때문에 스페인어나 프랑스어 서비스 제공 등 명백히 EU 시장을 타겟으로 한 서비스가 아니라면 GDPR 법률에 해당되지는 않는다. [[https://gdpr.kisa.or.kr/gdpr/static/applyTo.do]]] '''데이터 주권 관련 법안'''[[https://www.venturesquare.net/825204|#]]

각 기업들은 2018년 5월 25일까지 GDPR이 규정하고 있는 보호 조치를 마련해야 한다.

[[구글]], [[페이스북]], [[Apple|애플]], [[아마존닷컴|아마존]][* 이전에는 흔히 GAFA (Google Amazon Facebook Apple)이라고 지칭했던 집단으로, 현재는 [[페이스북]]의 사명 변경과 [[넷플릭스]]의 부상으로 MANGA(Meta-Amazon-Netflix-Google-Apple)이라고 지칭한다.]과 같은 [[미국]] IT 공룡기업들에게 직격탄이 되었다. 빅데이터와 머신러닝 시대가 도래하면서, 이들은 사용자들의 개인정보를 빅데이터로 인식해 무작위로 모으고 있었는데, 법의 규제를 받게 된 것이다.[* 미국 IT 공룡기업들을 타겟으로 하였지만 2018년 10월 현재 생각보다 파급력이 크진 않다. 오히려 GDPR 적용 이후 MANGA의 매출은 증가했는데 광고주들은 MANGA 정도 되어야 GDPR를 준수할 수 있을꺼라 판단했다고.] 사실 유럽이 먼저 신호탄을 날렸지만, 개인 정보 유출에 대한 심각성은 전세계적으로 공감하고 있다. 따라서 GDPR은 더 정교화 될 가능성이 높고 전 세계적으로 채택하는 국가가 많아질 것으로 보인다.[* 비유럽국가 중 인터넷이 꽤 활성화된 대한민국, 일본, 캐나다 등의 경우 일부 기업을 제외하고는 GDPR를 관망하는 추세다. 주 타겟은 미국의 IT 기업이고 EU 이용자의 유입이 크지 않아 미국과 남미의 GDPR 적용을 보고 서서히 적용할 가능성이 크다.]

2017년 12월 19일에는 독일 정부가 페이스북이 소비자의 사생활 정보를 수집하고 있는 점을 지적하며, GDPR을 어기지 말라고 [[http://news.mk.co.kr/newsRead.php?year=2017&no=842163|경고했다.]]
EU 각국 당국에 개인정보 위반 신고와 제보가 늘고 있지만 처리는 EU 각국 정부가 담당하고 있고 인력 및 제도의 미비로 인해 처리 속도가 느린 편이다.

기업 보안 책임을 강화하다. 위반 정도가 낮은 경우에는 해당 기업 및 기관의 연관 매출의 2% 또는 1천만유로 중 높은 금액이 과징금으로 부과되며, 심각한 위반의 경우 연간 매출 4% 또는 2천만유로 중 높은 금액이 부과된다.[[http://www.inews24.com/view/1056908|#]] 

실제로 "2018년 영국 브리티시 항공사가 고객 개인정보 50만건을 유출하면서 매출액의 1.5%에 해당하는 2700억원의 벌금형을 받았다"[[https://www.boannews.com/media/view.asp?idx=81258|#]] "한국에서 개인정보 유출 사고로 부과된 최고 벌금 44억보다 60배 많다"

GAFA를 비롯한 세계 IT 공룡 기업들은 GDPR에 대처하기 위해 데이터보호 담당자(DPO, Data Protection Officer) 직을 신설하고 발빠르게 인재들을 모으고 있다. ~~돈 많으니까~~

GDPR 적용 첫 사례로 개인정보 대해서 투명성·포괄적 동의금지 위반있다.
[[http://www.zdnet.co.kr/view/?no=20190122075257|구글, 프랑스서 642억원 벌금…"개인정보 보호 위반"]] - ZDnet Korea
== 여담 ==
 * 이 법을 한국어로 뭐라고 번역할 것인가에 관해 아직 정설이 없다. '일반정보보호규칙'이라고 번역하는 이가 있는가 하면(함인선 전남대학교 법학전문대학원 교수), 그냥 GDPR이라고만 지칭하는 이도 있다(박노형 외. EU 개인정보보호법: GDPR을 중심으로 (서울: 박영사, 2017)). '법률신문'에서는 '유럽 일반 개인정보 보호법'이라는 표현을 사용한 바 있고, [[개인정보보호위원회]]의 '한국으로 이전된 개인정보의 처리와 관련한 「개인정보 보호법」의 해석과 적용을 위한 보완규정' 역시 "GDPR: 유럽연합의 일반 개인정보 보호법, General Data Protection Regulation (Regulation EU 2016/679)을 말한다."라고 규정하고 있다.
 * [[한국인터넷진흥원]]에서 2017년 4월에 [[http://www.kisa.or.kr/notice/press_View.jsp?mode=view&p_No=8&b_No=8&d_No=1674|우리 기업을 위한 GDPR 안내서]]라는 책자를 간행한 바 있다. 해당 규칙의 원문과 이에 대한 설명을 수록한, 꽤 상세한 해설서이다.
 * 본 법으로 인해 [[텅글|Tunngle]]은 2018년 4월 30일부로 서비스를 종료했다. 이를 피하기 위해 최선을 다했지만 현재 법률에서 요구하는 변경을 구현하는 데 필요한 자원과 투자가 부족했다고 한다.
 * 각국의 데이터 주권 관련 법안은 미국은 클라우드법, 중국은 인터넷안전법, 유럽은 GDPR, 호주는 AAA, 러시아는 독자 인터넷망 구출 법안, 베트남은 사이버보안법 등이 있다. [[http://biz.chosun.com/site/data/html_dir/2019/05/18/2019051800198.html|#]]
 * 2021년 12월 17일 EU에서 한국에 대한 '개인정보보호 적정성 결정'을 채택했다.[[https://newsis.com/view/?id=NISX20211217_0001692629&cID=10301&pID=10300|#]]

[[분류:유럽의 법]][[분류:유럽연합]]