Page semi-protected

일반 데이터 보호 규정

General Data Protection Regulation
"GDPR"은 여기서 리디렉션된다.경제학 용어는 지역의 국내 총생산을 참조하라.
규정(EU) 2016/679
유럽 연합의 규정
EEA 관련 텍스트
제목개인 데이터의 처리 및 데이터의 자유로운 이동에 관한 자연인 보호에 관한 규정 및 지침 95/46/EC(데이터 보호 지침) 폐지
Made by유럽 의회유럽연합 이사회
저널 참조L119, 2016년 5월 4일 페이지 1-88
역사
만든 날짜2016년 4월 14일
이행일자2018년 5월 25일
준비문자
커미션 제안COM/2012/010 파이널 – 2012/0010(COD)
기타입법
대체하다데이터 보호 지침
현행법

GDPR(General Data Protection Regulation) 2016/679(General Data Protection Regulation, GDPR)는 유럽연합(EU)과 유럽경제지역(EEA)의 데이터 보호 및 프라이버시에 관한 EU법상규정이다.GDPR은 EU 프라이버시법인권법의 중요한 구성요소로서, 특히 유럽연합의 기본권 헌장 제8조 제1항이다.또한 EU와 EEA 지역 외부에서의 개인 데이터 전송도 다룬다.GDPR의 주요 목표는 개인 데이터에 대한 개인의 통제와 권리를 강화하고 국제 비즈니스에 대한 규제 환경을 단순화하는 것이다.[1]데이터 보호 지침 95/46/EC를 초과하는 이 규정에는 EEA에 위치하며 위치 및 데이터 주체의 시민권 또는 거주지와 관계없이 모든 기업에 적용되는 개인(일반적으로 GDPR에서 데이터 주체라고 함)의 개인 데이터 처리와 관련된 조항과 요구사항이 포함되어 있다.EEA 내의 개인 정보 취급

GDPR은 2016년 4월 14일에 채택되었고 2018년 5월 25일부터 시행이 가능해졌다.GDPR은 지령이 아닌 규정이기 때문에 직접 구속력이 있고 적용할 수 있으며, 개별 회원국이 조정해야 할 규제의 특정 측면에 대해 유연성을 제공한다.

이 규정은 터키, 모리셔스, 칠레, 일본, 브라질, 한국, 남아프리카, 아르헨티나, 케냐를 포함한 전 세계의 많은 다른 법들의 모델이 되었다.영국은 2021년 현재 EU 회원국이 아님에도 불구하고 동일한 형태로 법을 유지하고 있다.2018년 6월 28일 채택된 캘리포니아 소비자 프라이버시법(CCPA)은 GDPR과 유사한 점이 많다.[2]

내용물

GDPR 2016은 일반 조항, 원칙, 데이터 주체의 권리, 데이터 통제관 또는 프로세서의 의무, 제3국에 대한 개인 데이터의 이전, 감독 당국, 회원국 간의 협력, 권리 침해에 대한 구제, 책임 또는 벌칙, 기타 최종 조항 등에 관한 11개의 장을 가지고 있다.[3]

총칙, 통칙

특정에 따라 circumstances,[4]은 규제 또한 조직 기반 아웃에 적용된다 그 규정은 데이터 컨트롤러(는 EU주민들로부터 데이터를 수집한 조직), 또는 프로세서(데이터 컨트롤러를 대신하여 클라우드 서비스 사업자 같은 자료를 처리한 조직), 또는 데이터 주체(사람)유럽 연합에 기초한다. 적용된다.야레 속의 식용어EU 내에 위치한 개인의 개인 정보를 수집하거나 처리하는 경우.본 규정은 「순수한 개인 또는 가계 활동으로 전문적 또는 상업적 활동과 관련이 없는 것」(등록 18)을 위한 자료의 처리에는 적용되지 않는다.

유럽위원회에 따르면, "개인 데이터는 식별되거나 식별 가능한 개인과 관련된 정보다.만약 당신이 그 정보로부터 개인을 직접 식별할 수 없다면, 개인은 여전히 식별 가능한지 고려할 필요가 있다.귀하 또는 다른 사람이 해당 개인을 식별하기 위해 사용할 가능성이 있는 모든 수단을 포함하여 귀하가 처리하고 있는 정보를 고려해야 한다."[5]「개인 데이터」, 「처리」, 「데이터 주체」, 「컨트롤러」, 「프로세서」 등 용어의 정확한 정의는 규정 제4조에 명시되어 있다.[6]

그 규정 국가 안보 활동이나 EU의 법 집행 기관에서 개인 데이터의 처리에 적용되지만, 산업 그룹의 법은 잠재적 갈등에 대해 우려하고는 해외 주둔군 배치 평가 중 조 48[6] 데이터 관리자 방지하기 위해 제3국의 l.의 대상을 구하기 위해 호출될 수 있을 것에 의문을 제기했다 목적지 않는다aws그 나라의 법 집행 기관, 사법 기관 또는 국가 안보 기관의 법적 명령을 준수하는 것부터, 그 자료가 EU 내부 또는 외부와 무관하게, EU 개인의 개인 정보를 그러한 당국에 공개하는 것. 제48조에는 법원 또는 재판소의 모든 판단과 행정 기관의 결정이 명시되어 있다.통제관이나 프로세서가 개인 데이터를 전송하거나 공개하도록 요구하는 제3국의 경우, 요청된 제3국(비 EU) 국가와 EU 또는 회원국 간에 발효 중인 상호 법률 지원 조약과 같은 국제 협약에 근거하지 않는 한, 어떠한 방식으로도 인식하거나 집행할 수 없다.[7]데이터 보호 개혁 패키지에는 주정부 차원, 유니온 차원, 국제 차원에서 개인정보 교환에 관한 규칙을 제공하는 경찰 및 형사사법부문에 대한 별도의 데이터 보호 지침도 포함되어 있다.[8]

단일 세트의 규칙이 모든 EU 회원국에 적용된다.각 회원국은 독립된 감독기관(SA)을 설립하여 민원을 청취·조사하고 행정범죄 등을 제재한다.각 회원국의 SA는 다른 SA와 협력하여 상호 지원을 제공하고 공동 운영을 조직한다.기업이 EU에 여러 개의 사업장을 가지고 있는 경우, 주된 처리 활동이 이루어지는 「주점 설립」의 위치에 근거해, 하나의 SA를 「주체 권한」으로 보유해야 한다.따라서 주도 기관은 EU 전체에 걸쳐 해당 사업의 모든 처리 활동을 감독하는 "원스톱 숍"[9][10]의 역할을 한다(GDPR의 46–55).유럽 데이터 보호 위원회(EDPB)는 SA를 조정한다.따라서 EDPB는 제29조 데이터 보호 작업당을 대체한다.고용 상황이나 국가 안보에서 처리되는 데이터에 대해서는 여전히 개별 국가 규정(GDPR의 2(2)(a) 및 88)의 적용을 받을 수 있는 예외가 있다.

원칙

개인자료는 하나 이상의 법적 근거가 없는 한 처리할 수 없다.제6조는 합법적인 목적은 다음과 같다.[11]

  • (a) 자료주체가 개인정보 처리에 동의한 경우
  • (b) 계약체결 진행 중인 데이터 주체의 요청에 따라 데이터 주체와 계약 의무를 이행하는 것
  • (c) 데이터 관리자의 법적 의무를 준수하는 것
  • (d) 자료주체 또는 다른 개인의 중대한 이익을 보호하기 위해,
  • (e) 공익상 또는 공적인 권한상 업무를 수행한다.
  • (f) 데이터 통제자 또는 제3자의 정당한 이익을 위해, 이러한 이해관계가 기본권 헌장에 따른 데이터 주체 또는 그 권리 또는 그 권리에 의해 무시되지 않는 한(특히 어린이의 경우)[7]

사전동의가 적법한 처리기준으로 사용되는 경우, 수집된 자료에 대한 동의가 명시되어 있어야 하며, 각 목적의 자료는 제7조, 제4조에서 정의한다.[12][13]동의는 데이터 주체가 제공하는 구체적이고 자유분방하며 명료한 확언이어야 한다. 기본적으로 선택한 옵트아웃으로 구성된 동의 선택권이 있는 온라인 양식은 사용자가 명확하게 확언하지 않기 때문에 GDPR 위반이다.또한, 복수의 처리 유형을 하나의 확인 프롬프트로 함께 "분할"할 수 없는 경우도 있는데, 이는 데이터의 각 이용에 특정되지 않고, 개별적인 허가가 자유롭게 주어지지 않기 때문이다. (Recital 32)

자료주체는 언제든지 본 동의서를 철회할 수 있도록 하여야 하며, 그 과정은 승낙할 때보다 어려워서는 아니 된다.(제7조제3항) 자료관리자는 서비스를 이용하기 위하여 엄격히 필요하지 않은 처리에 대한 동의를 거부하는 이용자에 대하여 서비스를 거부할 수 없다.(제7조 제4항) 규정에 규정된 만 16세 미만(회원국들이 개별적으로 만 13세 이하로 낮출 수 있는 선택권을 가지는 경우) 아동의 부모나 관리인이 이를 증명할 수 있는 것으로 한다(8조).[14][15]

데이터 보호 지침에 따라 처리 동의가 이미 제공된 경우, GDPR의 요구 사항(Recital 171)에 따라 처리가 문서화 및 획득되는 경우, 데이터 통제자는 다시 동의를 얻을 필요가 없다.[16][17]

데이터 주체의 권한

투명성 및 양장성

제12조는 데이터 통제관이 "특히 어린이에게 특별히 취급되는 정보에 대해 명확하고 평범한 언어를 사용하여 간결하고 투명하며 쉽게 접근할 수 있는 형태의 데이터"[7]에 정보를 제공할 것을 요구하고 있다.

정보 및 액세스

접근권(제15조)은 자료주체권이다.[18]그것은 사람들에게 그들의 개인 데이터와 이 개인 데이터가 어떻게 처리되고 있는지에 대한 정보에 접근할 권리를 준다.자료관리자는 요청시 처리중인 자료의 범주에 대한 개요(제15조 제(1)항(b)) 및 실제 자료의 사본(제15조 제3항)을 제공해야 한다. 나아가 자료관리자는 자료주체에게 처리목적 등 처리내용을 알려야 한다(제15조 제(1)항(a)항).그 자료를 공유한다(제15조 제(1)항(c)), 그 자료를 취득한 경위(제15조 제(1)항(g)).

데이터 주체는 데이터 관리자에 의해 금지되지 않고 한 전자 처리 시스템에서 다른 전자 처리 시스템으로 개인 데이터를 전송하거나 전송할 수 있어야 한다.익명화가 충분히 된 데이터는 제외되지만, 관련 식별자를 제공하는 등, 탈식별화되었을 뿐, 해당 개인에 대한 연계가 가능한 데이터는 제외된다.[19]하지만 실제로, 그러한 식별자를 제공하고, 그러한 애플의 시리, 목소리와 녹취 자료는 개인 식별자가 제조업자 액세스 to,[20]나 과도하게, 보내고 적임자를 납치하기 힘든 일이 될 기기 지문에 의존하여 온라인 행동 목표를 설정하에 제한과 함께 저장된 일련의 사건에 힘들 수 있습니다.격하시키다y.[21]

데이터 주체에 의해 '제공'되는 데이터와 '관측'되는 데이터(예: 행동에 관한 데이터)가 모두 포함된다.또한 데이터는 제어기에 의해 구조화되고 일반적으로 사용되는 표준 전자 형식으로 제공되어야 한다.데이터 이동권은 GDPR 제20조에서 규정하고 있다.[22]

수리 및 소거

잊혀질 권리는 2014년 3월 유럽의회가 채택한 GDPR 버전에서 좀 더 제한적인 삭제 권리로 대체됐다.[23][24]제17조는 통제관의 정당한 이익이 이익이나 기본권·자유에 의해 침해되는 경우, 제6조제1항(f)을 포함하는 제6조제1항(법률)의 불응을 포함하여 30일 이내에 그 사유 중 하나에 대하여 자신과 관련된 개인정보의 삭제를 요청할 권리가 있다고 규정하고 있다.개인 데이터 보호가 필요한 데이터 제목(Google Spain SL, Google Inc. v Agencia Espaigna de Datos, Mario Costeja Gonzallez 참조).[7]

객체화 및 자동화된 의사 결정 권한

GDPR 제21조는 개인이 마케팅이나 비서비스 관련 목적으로 개인정보를 처리하는 것에 이의를 제기할 수 있도록 하고 있다.[25]즉, 데이터 컨트롤러는 개인에게 개인 데이터 처리를 중지하거나 방해할 수 있는 권리를 허용해야 한다.

이 반대가 적용되지 않는 경우도 있다.예를 들어 다음과 같은 경우:

  1. 법적 또는 공식적 권한이 수행되고 있음
  2. "합법적 이익": 대상 기관이 등록한 서비스를 데이터 주체에 제공하기 위해 데이터를 처리해야 하는 경우
  3. 공익을 위해 수행 중인 과제.

또한 GDPR은 데이터 제어기가 개인과 가진 첫 번째 통신부터 데이터 제어기가 개인에게 이의를 제기할 권리를 알려야 한다는 것도 분명하다.이는 컨트롤러가 제공하는 다른 정보와는 분명하고 분리되어야 하며 데이터 처리에 가장 적합한 방법에 대한 옵션을 제공해야 한다.

이의신청이 "합리적으로 근거가 없다"거나 "과도하다"는 상황에서 통제관이 요청을 거부할 수 있는 경우가 있으므로 이의신청은 각각의 이의신청에 대해 개별적으로 검토해야 한다.[25]캐나다와 같은 다른 나라들도 GDPR에 따라 AI를 규제하는 것이 최선의 방법인지에 대한 정책적 의문이 있음에도 불구하고 개인정보보호법에 따라 자동화된 의사결정을 규제하는 입법을 고려하고 있다.[citation needed]

컨트롤러 및 프로세서

데이터 통제관은 데이터 수집을 명확하게 공개하고, 데이터 처리에 대한 합법적인 근거와 목적을 선언해야 하며, 데이터가 얼마나 오랫동안 보존되고 있는지, 그리고 EEA 외부에서 공유되고 있는지 명시해야 한다.기업은 직원, 소비자 또는 제3자의 데이터 프라이버시에 대한 최소한의 간섭으로 필요한 데이터만 추출하는 정도까지 직원과 소비자의 데이터를 보호할 의무가 있다.기업들은 감사, 내부 통제, 운영과 같은 다양한 부서에 대한 내부 통제와 규제를 가져야 한다.데이터 주체는 통제관이 수집한 데이터의 휴대용 사본을 공통 형식으로 요청할 수 있는 권한과 특정 상황에서 데이터를 삭제할 수 있는 권한이 있다.공공기관과 개인 데이터의 정기적 또는 체계적인 처리로 핵심 활동이 이루어지는 사업자는 GDPR 준수 관리를 담당하는 데이터보호관(DPO)을 고용해야 한다.기업은 데이터 침해가 사용자의 사생활에 악영향을 미치는 경우 72시간 이내에 국가 감독기관에 보고해야 한다.어떤 경우에는 GDPR을 위반한 기업에게 2천만 유로 또는 이전 회계연도의 연간 전 세계 매출액의 4%까지 중 더 큰 금액에 해당하는 벌금을 부과할 수 있다.

GDPR의 준수를 입증할 수 있으려면 데이터 제어기가 설계 및 디폴트로 데이터 보호 원칙을 충족하는 조치를 구현해야 한다.제25조는 제품·서비스의 비즈니스 프로세스 개발을 위해 데이터 보호 대책을 설계하도록 규정하고 있다.그러한 조치에는 가능한 한 빨리 관제자에 의한 가명 개인 데이터가 포함된다(Recital 78).컨트롤러를 대신하여 데이터 프로세서에 의해 처리가 수행된다 하더라도 효과적인 조치를 이행하고 처리 활동의 준수를 입증할 수 있는 것은 데이터 컨트롤러의 책임이자 책임이다(Recital 74).[7]데이터를 수집할 때 데이터 수집의 범위, 개인 데이터의 처리에 대한 법적 근거, 데이터가 제3자 및/또는 EU 외부로 전송되는 경우 데이터 보존 기간, 그리고 알고리즘만으로 이루어지는 자동화된 의사결정에 대해 데이터 주체에 명확히 알려야 한다.데이터 주체는 언제든지 데이터 처리에 대한 동의를 취소할 수 있는 권리, 개인 데이터를 보고 처리 방법의 개요에 액세스할 수 있는 권리, 저장된 데이터의 휴대용 사본을 얻을 수 있는 권리, 특정 권한에 따라 자신의 데이터를 삭제할 수 있는 권리 등 GDPR에 따른 개인 정보 보호 권리를 반드시 고지해야 한다.알고리즘만으로 이루어진 자동화된 의사결정에 이의를 제기할 수 있는 권리, 그리고 데이터 보호 당국에 이의를 제기할 수 있는 권리.이와 같이, 데이터 주체는 해당 시 데이터 통제관 및 지정된 데이터 보호 책임자에 대한 연락처 정보도 제공해야 한다.[27][28]

데이터 보호 영향 평가(35조)는 데이터 주체의 권리와 자유에 대한 특정 위험이 발생할 때 실시해야 한다.고위험에 대해서는 리스크 평가 및 완화가 필요하며, 데이터 보호 당국의 사전 승인이 필요하다.

제25조는 데이터 보호를 제품 및 서비스의 비즈니스 프로세스 개발로 설계하도록 규정하고 있다.따라서 프라이버시 설정은 기본적으로 높은 수준으로 설정되어야 하며, 전체 처리 라이프사이클 전체에 걸쳐 처리가 규정을 준수하는지 확인하기 위해 통제관이 기술적 및 절차적 조치를 취해야 한다.통제관은 또한 각 특정 목적에 필요하지 않는 한 개인 데이터가 처리되지 않도록 보장하는 메커니즘을 구현해야 한다.

유럽연합(EU)의 네트워크[29]정보보안 기구의 보고서는 사생활 보호와 데이터 보호를 위해 기본적으로 무엇을 해야 하는지를 상세히 기술하고 있다.어떤 프라이버시를 달성하려면 키와 데이터가 모두 데이터 소유자의 권한에 있어야 하기 때문에 암호화 및 암호 해독 작업은 원격 서비스가 아닌 로컬에서 수행되어야 한다고 명시한다.보고서는 원격 클라우드의 아웃소싱된 데이터 스토리지가 클라우드 서비스가 아닌 데이터 소유자만 암호 해독 키를 보유할 경우 실용적이고 상대적으로 안전하다고 명시하고 있다.

가명화

GDPR에 따르면 가명화는 저장된 데이터에 대해 (완전한 데이터 익명화의 다른 옵션의 대안으로) 추가 정보를 사용하지 않고 결과 데이터를 특정 데이터 주체로 귀속시킬 수 없는 방식으로 개인 데이터를 변환하는 필수 과정이다.[30]올바른 암호 해독 에 액세스하지 않으면 되돌릴 수 없는 프로세스에서 원래 데이터를 이해할 수 없게 만드는 암호화가 그 예다.GDPR은 추가 정보(암호 해독 키 등)를 가명 데이터와 별도로 보관할 것을 요구한다.

가명화의 또 다른 예는 토큰화인데, 이것은 민감한 데이터를 토큰이라고 불리는 민감하지 않은 대체물로 대체하는 미사용 데이터를 보호하기 위한 비수리적 접근방식이다.토큰은 외부적이거나 착취적인 의미나 가치는 없지만, 중요한 정보가 숨겨져 있는 동안 처리와 분석을 위해 특정 데이터의 전부 또는 일부를 볼 수 있도록 허용한다.토큰화는 데이터의 유형이나 길이를 변경하지 않으며, 이는 데이터 길이와 유형에 민감할 수 있는 데이터베이스와 같은 레거시 시스템에 의해 처리될 수 있음을 의미한다.이는 또한 기존 암호화 데이터보다 처리하는데 훨씬 적은 컴퓨팅 리소스와 데이터베이스의 스토리지 공간을 필요로 한다.

가명화는 프라이버시 향상 기술이며, 관련 데이터 주체에 대한 위험을 줄이고 컨트롤러와 프로세서가 데이터 보호 의무를 준수하도록 돕는 것이 권장된다(Recital 28).[31]

처리활동 기록

제30조에 따라 처리활동 기록은 각 기관이 다음 각 호의 어느 하나에 해당하는 기준에 적합하게 유지하여야 한다.[7]

  • 250명 이상 고용.
  • 수행되는 프로세싱은 데이터 주체의 권리와 자유에 대한 위험을 초래할 가능성이 있다.
  • 처리 과정이 가끔 있는 것은 아니다.
  • 처리에는 제9조제1항에 따른 특별한 범주의 자료 또는 제10조에 따른 범죄 소신 및 범죄와 관련된 개인 자료가 포함된다.

그러한 요구사항은 각 EU 국가에 의해 수정될 수 있다.레코드는 전자적 형식이어야 하며, 컨트롤러 또는 프로세서가 있어야 하며, 해당되는 경우 컨트롤러 또는 프로세서의 대리인은 요청 시 감독기관에 레코드를 제공해야 한다.

통제관의 기록에는 다음 정보가 모두 포함되어야 한다.

  • 컨트롤러 및 해당되는 경우, 공동 컨트롤러, 컨트롤러 대표자 및 데이터 보호 책임자의 이름 및 연락처 정보
  • 처리 목적
  • 데이터 제목 범주 및 개인 데이터 범주에 대한 설명
  • 제3국 또는 국제기구의 수신인을 포함하여 개인 데이터가 공개되었거나 공개될 수신인의 범주
  • 해당되는 경우, 제3국 또는 국제기구의 식별을 포함하여 제3국 또는 국제기구에 대한 개인 데이터의 이전 및 제49조제1항 제2호에 따른 이전의 경우, 적절한 안전장치의 문서화.
  • 가능한 경우, 다양한 범주의 데이터 삭제에 대해 예상되는 시간 제한
  • 가능한 경우, 제32조제1항에 따른 기술적 및 조직적 보안 조치에 대한 일반적인 설명.

프로세서의 기록에는 다음 정보가 모두 포함되어야 한다.

  • 프로세서 또는 프로세서, 프로세서가 작동하는 각 컨트롤러, 컨트롤러 또는 프로세서의 대리인과 데이터 보호 담당자의 이름 및 연락처 세부사항
  • 각 컨트롤러를 대신하여 수행되는 처리 범주
  • 해당되는 경우, 제3국 또는 국제기구의 식별을 포함하여 제3국 또는 국제기구에 대한 개인 데이터의 이전 및 제49조제1항 제2호에 따른 이전의 경우, 제3국 또는 국제기구에 대한 개인 데이터의 이전
  • 적절한 안전장치의 문서화.
  • 가능한 경우, 제32조제1항에 따른 기술적 및 조직적 보안 조치에 대한 일반적인 설명.[7]

개인 데이터 보안

개인 데이터의 컨트롤러와 프로세서는 데이터 보호 원칙을 구현하기 위해 적절한 기술적조직적 조치를 취해야 한다.개인 데이터를 처리하는 비즈니스 프로세스는 원칙을 고려하여 설계 및 구축되어야 하며 데이터를 보호하기 위한 안전장치를 제공해야 한다(예: 가명화 또는 적절한 경우 완전 익명화 사용).데이터 제어기는 프라이버시를 염두에 두고 정보 시스템을 설계해야 한다.예를 들어, 데이터셋을 기본적으로 공개적으로 사용할 수 없고 피사체를 식별하는 데 사용할 수 없도록 가장 가능성이 높은 개인 정보 설정을 기본적으로 사용하십시오.이 규정이 규정한 6가지 합법적 근거(동의, 계약, 공공 업무, 중대한 이익, 정당한 이익 또는 법적 요건) 중 하나에 따라 이 처리를 하지 않는 한 개인 데이터는 처리할 수 없다.데이터 주체는 동의에 근거하여 처리되는 경우 언제든지 이를 취소할 권리가 있다.

제33조는 데이터 통제자가 위반으로 인해 개인의 권리와 자유에 대한 위험을 초래할 가능성이 없는 한 지나치게 지연되지 않고 감독기관에 통보할 법적 의무를 지고 있다고 명시하고 있다.보고서를 작성하기 위해 데이터 위반을 인지한 후 최대 72시간이 걸린다.개인에게 불리한 영향을 미칠 위험이 높은 경우 통지해야 한다(34조).또한 데이터 프로세서는 개인 데이터 침해 사실을 인지한 후 과도한 지연 없이 관제자에게 통보해야 할 것이다(33조).단, 데이터 통제관이 암호화와 같이 개인 데이터에 접근할 권한이 없는 자에게 개인 데이터를 이해할 수 없게 하는 적절한 기술적·조직적 보호 조치를 시행한 경우에는 데이터 주체에 대한 통지가 필요하지 않다(34조).[7]

데이터 보호 담당자

참고 항목:유럽 위원회 데이터 보호 책임자

제37조는 정보보호관을 임명하도록 규정하고 있다.공권력에 의해 처리가 이루어지는 경우(사법적 역량을 행사하는 경우 법원이나 독립된 사법기관 제외), 또는 처리업무에 대규모의 데이터 주체에 대한 정기적이고 체계적인 모니터링이 수반되는 경우, 또는 대규모의 특수 범주의 데이터와 crire 관련 개인 데이터를 처리하는 경우데이터 보호 법률 및 실무에 대한 전문 지식을 갖춘 데이터 보호 담당관([32]DPO)을 지정하여 컨트롤러 또는 프로세서가 규정을 내부적으로 준수하는지 모니터링할 수 있도록 지원해야 한다.[7]

지정된 DPO는 컨트롤러 또는 프로세서의 현재 직원일 수도 있고, 서비스 계약을 통해 외부인 또는 대리점에 역할을 아웃소싱할 수도 있다.어떤 경우든 처리 기관은 DPO가 보유할 수 있는 다른 역할이나 이해관계에 대해 이해 상충이 없도록 해야 한다.DPO에 대한 연락처 세부사항은 처리 기관에 의해 (예를 들어 개인 정보 보호 통지에) 게시되고 감독 당국에 등록되어야 한다.

DPO는 컴플라이언스 담당자와 유사하며, 개인 및 민감한 데이터의 보유 및 처리와 관련된 IT 프로세스, 데이터 보안(사이버 공격 대처 포함) 및 기타 중요한 비즈니스 연속성 문제 관리에도 능숙할 것으로 예상된다.필요한 스킬 세트는 법적 데이터 보호법 및 규정 준수를 이해할 수 없다.DPO는 조직을 대신하여 수집되고 저장된 모든 데이터의 살아있는 데이터 인벤토리를 유지해야 한다.[33]2016년 12월 13일(2017년 4월 5일 개정) 가이드라인 문서로 데이터 보호 책임자의 기능과 역할에 대한 자세한 내용이 제공됐다.[34]

또한 EU 이외의 지역에 기반을 둔 조직은 EU에 기반을 둔 사람을 GDPR 의무의 대표자 및 연락 지점으로 임명해야 한다(27조).이것은 DPO와 구별되는 역할이지만, 지정된 DPO에 의해서도 이 역할을 맡을 수 있음을 암시하는 책임이 중복된다.[35]

구제, 책임 및 벌칙

참고 항목: GDPR 벌금고지 사항

제83조 GDPR에 따른 국법에 따른 형사범죄의 정의 이외에 다음과 같은 제재를 가할 수 있다.

  • 최초 및 미준수인 경우 서면으로 경고함.
  • 정기적인 데이터 보호 감사
  • 다음 조항의 위반이 있는 경우, 전년도 전년도 연간 매출액 중 1천만 유로 또는 2%에 해당하는 벌금(제83조 제4항[36])
    • 제8조, 제11조, 제25조부터 제39조제42조제43조에 따른 제어기와 처리기의 의무
    • 제42조제43조에 따른 인증기관의 의무
    • 제41조제4항에 따른 감시기구의 의무
  • 기업의 경우 전년도 연간 전 세계 매출액의 최대 4% 또는 2천만 유로 이하의 벌금(기업인 경우, 다음 조항의 위반이 있는 경우) 중 더 큰 금액: (제83조 제5조 제6항[36])
    • 제5조, 제6조, 제7조제9조에 따른 동의조건을 포함한 처리의 기본원칙
    • 제12조 내지 제22조에 따른 자료주체의 권리
    • 제44조부터 제49조까지에 따라 제3국 또는 국제기구의 수령인에게 개인자료의 이전
    • 제9장에 따라 채택된 회원국가법에 따른 의무
    • 제58조제2항에 따른 감독기관의 명령 또는 일시적·결정적 자료의 처리 제한 또는 자료의 유출의 중단 또는 제58조제1항을 [7]위반하여 열람을 제공하지 아니하는 행위

면제

이러한 사례들은 GDPR에서 구체적으로 다루지 않기 때문에 면제규정으로 취급된다.[37]

  • 개인 또는 가정 활동
  • 법 집행
  • 국가 안보[7]

GDPR이 만들어질 때 기업의 손에 들어가는 개인정보 규제를 위해 엄격하게 만들어졌다.GDPR에서 다루지 않는 것은 비상업적 정보나 가계 활동이다.[38]이러한 가정 활동의 예로는 두 고등학교 친구 사이의 이메일이 있을 수 있다.

반대로 기업 또는 더 정확히 말하면 "기업"은 GDPR에서 다루기 위해 "경제활동"에 참여해야 한다.[a]경제활동은 유럽연합 경쟁법에 따라 광범위하게 정의된다.[39]

유럽 연합 외부의 적용 가능성

GDPR은 유럽경제지역(EEA) 외부의 데이터 통제관과 프로세서가 EEA 내의 데이터 주체에 대해 "재화나 서비스의 오퍼링"(지불의 필요여부와 무관하게)을 하고 있거나, EEA 내 데이터 주체의 행동을 감시하고 있는 경우에도 적용된다(제3조 제2항).이 규정은 가공 장소와 관계없이 적용된다.[40]이는 비 EU 사업체가 EU에 위치한 사람들과 거래할 경우 의도적으로 GDPR 치외법권 관할권을 부여하는 것으로 해석되어 왔다.[41]

EU 대표

제27조에 따라 GDPR을 적용받는 비 EU 사업장은 "EU 대표자"인 유럽 연합 내에 지정자를 두어 규정에 따른 의무에 대한 의무의 접점 역할을 할 의무가 있다.EU 대표자는 본 GDPR의 준수를 보장하기 위해 처리와 관련된 모든 사항에서 유럽 개인 정보 보호 감독관 및 데이터 주체와 직접 마주 보는 통제관 또는 처리자의 연락 담당자다.자연적(개인적) 또는 도덕적(기업적) 사람은 EU 대표자의 역할을 수행할 수 있다.[42]비 EU 설립자는 지정된 개인 또는 회사를 EU 대표로 지정하는 정식으로 서명된 문서(인증서)를 발행해야 한다.상기 명칭은 서면으로만 지정할 수 있다.[43]

기업이 EU 대표자를 지정하지 않는 것은 규제 및 관련 의무에 대한 무지로 간주되며, 그 자체가 기업의 경우 이전 회계연도의 연간 전 세계 매출액의 최대 2% 또는 최대 1,000만 유로의 벌금에 해당하는 GDPR의 위반이다.침해(의지적 맹목)의 고의 또는 과실(의지적 맹목) 성격이 오히려 악화요인에 해당할 수 있다.[44]

설립자는 GDPR 제9조제1항에 따른 특수 범주의 데이터 처리나 제10조에 따른 범죄 유죄 판결 및 범죄와 관련된 개인 데이터의 처리 등을 대규모로 포함하지 않는 수시 처리에만 종사하는 경우에는 EU 대표자를 지명할 필요가 없다.처리의 특성, 맥락, 범위 및 목적을 고려하여 자연인의 권리와 자유에 대한 위험을 초래할 가능성이 낮다.[7]EU가 아닌 공공 기관과 단체는 똑같이 면제된다.[45]

제3국

GDPR의 5장에서는 적절한 안전장치가 부과되거나 제3국의 데이터 보호 규정이 유럽위원회가 공식적으로 적절한 것으로 간주하지 않는 한, EU 데이터 주체의 개인 데이터를 EEA 밖의 국가(제3국으로 알려진 국가)로 이전하는 것을 금지한다(45조).[46][47]구속력 있는 기업 규칙, 데이터 처리 계약(DPA)에 의해 발표된 데이터 보호를 위한 표준 계약 조항 또는 제3국에 위치한 데이터 제어기 또는 프로세서의 구속력 있고 집행 가능한 약정의 체계 등이 그 예에 속한다.[48]

영국 구현

영국의 GDPR 적용 가능성은 브렉시트의 영향을 받는다.영국은 2020년 1월 31일 유럽연합(EU)[46]에서 정식으로 탈퇴했지만 2020년 12월 31일 전환기 종료 때까지 GDPR 등 EU법의 적용을 받았다.영국은 2018년 5월 23일 국가법으로 결정되어야 할 규제의 측면 등 GDPR을 증강시킨 데이터 보호법 2018에 대해 왕실 동의를 얻었으며, 데이터 통제자의 동의 없이 고의 또는 무분별하게 개인정보를 입수, 재분배 또는 보관한 범죄사실을 인정하였다.[49][50]

유럽연합(탈퇴)법 2018에 따라 전환이 완료됨에 따라 기존 및 관련 EU법이 지방법으로 전환되었고, GDPR은 영국의 EU 내 비회원국으로 인해 더 이상 필요하지 않은 특정 조항을 삭제하기 위해 법정조항에 의해 개정되었다.이후, 이 규정은 "영국 GDPR"[51][47][46]로 언급될 것이다.영국은 영국 GDPR에 따라 EEA 내의 국가에 대한 개인 데이터의 이전을 제한하지 않을 것이다.그러나 영국은 EU GDPR에 따라 제3국이 될 것이며, 이는 적절한 안전장치가 부과되지 않는 한 개인 데이터가 해당 국가로 이전되지 않을 수도 있다는 것을 의미하거나, 유럽위원회가 영국 데이터 보호 법률(제5장)의 적합성에 대한 적정성 결정을 수행한다.탈퇴협정의 일환으로 유럽위원회는 적정성 평가를 실시하기로 약속했다.[46][47]

2019년 4월, 영국 정보청(ICO)은 미성년자가 사용할 때 소셜 네트워킹 서비스에 대해 제안된 실천강령을 발표했는데, 여기에는 소셜 미디어 중독을 억제하기 위해 "좋다"와 "급하다"는 메커니즘을 제한하고 이 데이터를 관심 처리에 사용하는 것도 포함된다.[52][53]

2021년 3월 올리버 다우든 디지털, 문화, 미디어, 스포츠 담당 국무장관은 영국이 EU GDPR과의 차이를 모색하고 있다고 밝혔다.[54]

리셉션

딜로이트가 2018년 실시한 조사에 따르면, 기업의 92%가 장기적으로 GDPR을 준수할 수 있다고 생각하고 있다.[55]

EU 밖에서 활동하는 기업들은 GDPR에 사업 관행을 맞추기 위해 많은 투자를 해왔다.GDPR 동의의 영역은 전화를 실천의 문제로 기록하는 기업에게 여러 가지 함의가 있다.일반적인 면책 조항은 통화 녹화에 대한 가정한 동의를 얻기에 충분한 것으로 간주되지 않는다.또한 녹화가 시작되었을 때, 발신자가 동의를 철회할 경우, 전화를 받은 대리인은 이전에 시작한 녹화를 중지하고 녹화가 저장되지 않도록 해야 한다.[56]

IT 전문가들은 GDPR을 준수하려면 전반적으로 추가 투자가 필요할 것으로 예상하며, 조사 대상의 80% 이상이 GDPR 관련 지출이 최소 10만 달러가 될 것으로 예상했다.[57]이러한 우려감이 EU기업들을"응답자의 약 70%은 단체들 추가 budget/effort 투자할 합의에, 데이터 매핑과 해외 주둔군 배치 평가 아래 국경을 넘는 데이터 전송 요구 사항 준수해야 할 것이라고 믿는다."[58] 총 비용은다는 보고서를 그 법률 회사인 베이커 &amp에 의뢰해, 매켄지에 표했다. estimated는 약 2천억 유로인 반면 미국 회사들의 추정치는 417억 달러에 달한다.[59]중소기업스타트업 기업이 GDPR을 적절히 준수할 재원을 확보하지 못할 수 있다는 주장이 제기됐다.[60][61]규제에 대한 지식과 이해 부족도 그 채택을 이끄는 데 있어 걱정거리였다.[62]이에 대한 반론은 기업들이 이러한 변화들을 발효 2년 전에 인지하고 충분히 준비할 시간을 가졌어야 했다는 것이다.[63]

기업에 데이터 보호 책임자가 있어야 하는지를 포함한 규제들은 잠재적인 행정 부담과 불명확한 준수 요건 때문에 비판을 받아왔다.[64]데이터 최소화가 요구되지만 가명화가 가능한 수단 중 하나일 때, 규정은 효과적인 데이터 식별 해제 계획을 구성하는 방법 또는 내용에 대한 지침을 제공하지 않으며, 제5절 시행 조치에 따라 부적절한 가명화로 간주될 수 있는 부분에 대해서는 회색 영역을 제공한다.[65][66][67]블록체인 거래의 투명하고 고정된 기록이 GDPR의 본질과 상반되기 때문에 블록체인 시스템의 GDPR 이행에 대한 우려도 있다.[68]많은 언론에서 알고리즘 결정의 '해명권' 도입에 대해 논평을 냈지만,[69][70] 이후 법조계 학자들은 사법시험 없이는 그러한 권리의 존재가 매우 불분명하고 기껏해야 제한적이라고 주장해 왔다.[71][72]

GDPR은 데이터 관리를 개선할 수 있는 기회로 간주하는 기업들로부터 지지를 얻었다.[73][74]마크 저커버그도 이를 "인터넷에 매우 긍정적인 것"[75]이라고 표현하며 GDPR 방식의 법률이 미국에서 채택될 것을 요구해왔다.[76]유럽 소비자 기구와 같은 소비자 권리 단체들은 이 법안의 가장 큰 지지자들 중 하나이다.[77]다른 지지자들은 이 법안이 내부고발자인 에드워드 스노든의 소행이라고 주장했다.[78]자유 소프트웨어 옹호자인 리처드 스톨먼은 GDPR의 일부 측면을 높이 평가하면서도 기술 회사들이 "제조업 동의"를 하지 못하도록 추가적인 안전장치를 요구했다.[79]

임팩트

GDPR의 형성에 참여했던 학계 전문가들은 이 법이 "한 세대 동안 정보 정책에서 가장 결과적인 규제 발전"이라고 썼다.GDPR은 개인 데이터를 복잡하고 보호적인 규제체제로 가져온다."

준비와 실행까지 최소 2년의 시간이 있었음에도 불구하고, 많은 회사와 웹사이트들은 GDPR의 시행 직전에 전세계적으로 개인정보 보호정책과 기능을 변경했고, 이러한 변경에 대해 논의하는 이메일 및 기타 알림을 관례적으로 제공했다.이는 지칠 대로 많은 수의 통신을 초래한다는 이유로 비판되었고, 전문가들은 일부 상기 이메일이 GDPR 발효 시기에 대해 데이터 처리에 대한 새로운 동의를 얻어야 한다고 잘못 주장했다는 점에 주목했다(이전에 규정된 처리 동의는 규정의 요건을 충족하는 한 유효하다).GDPR 관련 이메일을 위조해 피싱 사기도 등장했고, 일부 GDPR 알림 이메일이 실제로 스팸 방지법을 위반해 발송됐을 수 있다는 주장도 제기됐다.[80][16]2019년 3월, 컴플라이언스 소프트웨어 제공업체는 EU 회원국이 운영하는 많은 웹사이트에 광고 기술 제공업체들의 내장 추적이 포함된 것을 발견했다.[81][82]

GDPR 관련 공지가 쇄도하면서 주변 개인정보 보호정책 고지가 비정상적인 수단(오위자 보드나 스타워즈 오프닝 크롤 등)에 의해 전달되는 것을 비롯해 산타클로스의 '장난스럽거나 멋진' 리스트가 위반이었음을 시사하고, 전직 BBC라디오 4해운 포렉의 규정에서 발췌한 내용을 녹음하는 등 밈도 고무됐다.아스트 아나운서또한 GDPR 통지서의 이례적인 전달과 규정의 요건에 대한 엄청난 위반을 담고 있는 준수 시도를 보여주기 위해 블로그인 GDPR Chame의 홀도 만들어졌다.저자는 이 규정에는 "사소한 내용이 많지만 준수 방법에 대한 정보는 많지 않다"고 언급하면서도 기업들이 2년 동안 준수해야 한다는 점을 인정해 일부 대응은 정당화되지 않았다.[83][84][85][86][87]

연구에 따르면 소프트웨어 취약점의 약 25%가 GDPR에 영향을 미친다고 한다.[88]33조는 버그가 아닌 위반을 강조하고 있기 때문에 보안전문가들은 기업들이 취약점 공개 프로세스 조정 등 취약점을 악용하기 전에 이를 파악하기 위한 프로세스와 역량에 투자해야 한다고 조언한다.[89][90]Android 앱의 개인 정보 보호 정책, 데이터 액세스 기능 및 데이터 액세스 행동에 대한 조사에 따르면 GDPR이 구현된 이후 많은 앱이 여전히 코드에서 대부분의 데이터 액세스 권한을 유지하고 있지만 개인 정보 보호에 다소 우호적인 행동을 보이는 것으로 나타났다.[91][92]소셜미디어 플랫폼(구글 대시보드 등)의 포스트 GDPR 데이터 주제 대시보드에 대한 노르웨이 소비자위원회(Community of Consumer Council, 노르웨이어로 Forburkerrådet) 조사 결과 대형 소셜미디어 기업들은 고객의 개인정보 보호 설정 강화를 막기 위해 기만 전술을 배치하는 것으로 결론 났다.[93]

유효 날짜, 몇개의 국제 웹 사이트 완전히(Instapaper,[94]Unroll.me,[95]고 트리뷴Publishing-owned 신문, 시카코 트리뷴 기사와 같은 로스 앤젤레스 타임즈를 포함해)거나 자사 서비스의 해체된 버전으로 그들의 방향을 제한된 fEU사용자(내셔널 퍼블릭 라디오와 USA투데이의 경우)을 차단하기 시작했다unctiona책임을 지지 않도록 광고를 하지 않는다.[96][97][98][99]Klout과 같은 일부 회사들과 몇몇 온라인 비디오 게임들은 GDPR이 특히 전자의 사업 모델 때문에 그들의 지속적인 운영에 대한 부담으로 언급하면서 그것의 시행과 완전히 일치하여 운영을 중단했다.[100][101][102]2018년 5월 25일, 유럽에서의 온라인 행동 광고 배치량은 25-40% 감소했다.[103]

유럽위원회는 GDPR 시행 2년 뒤인 2020년 EU 전역에서 사용자들이 자신의 권리에 대한 지식을 늘렸다고 평가하면서 "EU 16세 이상 인구의 69%가 GDPR에 대해 들어봤고 71%가 국가 데이터 보호 권한에 대해 들었다"[104][105]고 밝혔다.공정위는 또 개인정보 보호가 소비자가 의사결정 과정에서 고려하는 기업에게 경쟁적 품질이 되고 있다는 사실도 파악했다.[104]

시행 및 불일치

주요기사 : GDPR 과태료고지사항

구글 LLC(Targeting Android)는 물론 페이스북과 자회사 왓츠앱인스타그램2018년 5월 25일 자정 몇 시간 만에 맥스켐스의 비영리 NOYB로부터 "강제적인 동의"를 사용했다는 이유로 즉시 소송을 당했다.슈렘스는 양사 모두 개인별로 데이터 처리 동의서를 제출하지 않아 제7조(4)를 위반했으며, 이용자에게 모든 정보 처리 활동(엄정하게 필요하지 않은 활동을 포함)에 동의하도록 요구하거나 서비스 이용을 금지할 것이라고 주장하고 있다.[106][107][108][109][110]구글은 2019년 1월 21일 프랑스 DPA로부터 행동광고에 대한 개인 데이터 사용에 대한 통제력, 동의, 투명성이 부족하다는 이유로 5천만 유로의 벌금을 부과받았다.[111][112]2018년 11월, 리비우 드라그네아에 대한 저널리즘 조사에 이어 루마니아 DPA(ANSPDCP)는 GDPR 요청을 이용해 RISE 프로젝트의 출처에 대한 정보를 요구했다.[113][114]

영국 정보청(British Information Commission of British Airways)은 2019년 7월 약 38만 건의 거래에 영향을 미치는 2018년스키밍 공격이 가능했던 허술한 보안 조치에 대해 1억8300만 파운드(거래액의 1.5%)의 벌금을 부과할 뜻을 밝혔다.[115][116][117][118][119]브리티시 에어웨이는 궁극적으로 2천만 파운드의 벌금을 물게 되었는데, ICO는 그들이 "최종 과징금을 부과하기 전에 BA로부터의 진술과 COVID-19가 그들의 사업에 미치는 경제적 영향을 고려했다"고 언급했다.[120]

폴리티코는 2019년 12월 조세피난처, (특히 아일랜드의 경우) 미국 대기업 유럽법인의 근거지로 명성이 자자했던 EU의 작은 두 나라인 아일랜드와 룩셈부르크가 아일랜드 ci와 함께 GDPR에 따른 주요 외국 기업에 대한 조사에서 상당한 밀림에 직면해 있다고 보도했다.규정의 복잡성을 하나의 요인으로 팅하다.폴리티코가 인터뷰한 비판론자들은 또한 회원국들 간의 다양한 해석, 일부 당국의 집행에 대한 지침의 선점, 회원국들 간의 협력 부족 등으로 인해 집행도 저해되고 있다고 주장했다.[121]

기업들은 이제 법적 의무의 대상이 되고 있지만, GDPR의 실질적이고 기술적인 이행에는 여전히 다양한 모순이 존재한다.[122]일례로, GDPR의 접근권에 따르면, 기업들은 데이터 주체에 대해 수집한 데이터를 제공할 의무가 있다.그러나 독일의 로열티 카드에 관한 연구에서는, 기업들은 구매한 물품의 정확한 정보를 데이터 주체에 제공하지 않았다.[123]그런 기업들이 구매한 물품의 정보를 수집하지 않는 것은 그들의 사업모델에 부합하지 않는다고 주장할 수도 있다.따라서 데이터 주체는 이를 GDPR 위반으로 보는 경향이 있다.결과적으로, 연구들은 권위를 통한 더 나은 통제를 제안해왔다.[123]

GDPR에 따르면 최종 사용자의 동의는 유효하고, 자유롭게 부여되고, 구체적이고, 정보에 입각하고, 적극적이어야 한다.[124]그러나, 합법적인 동의를 얻는 것에 대한 강제성의 결여는 도전이었다.예를 들어 2020년 한 연구에서는 구글, 아마존, 페이스북, 애플, 마이크로소프트(GAFAM) 등 빅테크가 동의서 획득 메커니즘에 어두운 패턴을 사용한다는 사실이 밝혀져 인수 동의서의 적법성에 대한 의구심이 제기되고 있다.[124]

2021년 3월 프랑스를 필두로 한 EU 회원국들은 국가보안기관을 면제해 유럽 내 개인정보보호 규제의 영향을 수정하려 한다는 보도가 나왔다.[125]

2020년 GDPR 벌금 약 1억6000만 유로가 부과된 이후 2021년에는 이미 10억 유로를 넘어선 수치다.[126]

국제법에 미치는 영향

국제 기업의 이러한 새로운 프라이버시 기준의 대량 채택은 그라비타스로 인해 유럽의 법과 규제가 기준선으로 사용되는 현상인 '브러셀 효과'의 한 예로 인용되어 왔다.[127]

미국 캘리포니아주는 2018년 6월 28일 캘리포니아 소비자 프라이버시법을 통과시켜 2020년 1월 1일부터 시행되고 있으며 GDPR과 유사한 방법으로 기업의 개인정보 수집에 대한 투명성과 통제권을 부여하고 있다.비평가들은 주 수준 법들의 집합이 준수를 복잡하게 만들 수 있는 다양한 기준을 가질 수 있기 때문에, 그러한 법률들은 연방 차원에서 시행되어야만 효과가 있다고 주장해왔다.[128][129][130]그 후 미국의 다른 두 주는 유사한 법안을 제정했다.버지니아는 2021년 3월 2일 소비자 데이터 프라이버시법을 통과시켰고 콜로라도는 2021년 7월 8일 콜로라도 프라이버시법을 제정했다.[131][132]

유럽연합(EU) 회원국 후보국인 터키공화국EU의 인수에 따라 2016년 3월 24일 '개인 데이터 보호에 관한 법률'을 채택했다.[133]

중국에서는 2021년 '온라인 데이터를 규제하고 개인정보를 보호하기 위한 중국 최초의 종합법'인 개인정보보호법(PIPL)이 시행됐다.[134]

타임라인

EU 디지털 단일 시장

EU 디지털 단일시장 전략은 EU 내 기업과 사람과 관련된 '디지털 경제' 활동과 관련이 있으며,[141] 전략의 일환으로 2018년 5월 25일부터 GDPR과 NIS 지령이 모두 적용된다.제안된 전자 개인 정보 보호 규정도 2018년 5월 25일부터 적용될 예정이었으나 몇 달 연기될 예정이다.[142]eIDAS 규정도 전략의 일부다.

초기 평가에서, 유럽 의회는 GDPR이 "미래 디지털 정책 이니셔티브의 개발을 위한 필수 조건"[143]으로 간주되어야 한다고 명시했다.

참고 항목

메모들

  1. ^ GDPR 제4조 18항 참조: '기업'은 경제활동에 정기적으로 종사하는 파트너십이나 협회를 포함하여 법적 형식에 관계없이 경제활동에 종사하는 자연인 또는 법률인을 의미한다.[7]

인용구

  1. ^ "Presidency of the Council: 'Compromise text. Several partial general approaches have been instrumental in converging views in Council on the proposal for a General Data Protection Regulation in its entirety. The text on the Regulation which the Presidency submits for approval as a General Approach appears in annex,' 201 pages, 11 June 2015, PDF". Archived from the original on 25 December 2015. Retrieved 30 December 2015.
  2. ^ 프란체스카 루카리니 "캘리포니아 소비자 프라이버시법과 GDPR의 차이점" 고문
  3. ^ "Eckerson Group". www.eckerson.com. Retrieved 6 December 2020.
  4. ^ 제3조 제2항:이 규정은 (a) 데이터 주체의 지불 필요 여부에 관계 없이 재화나 용역의 제공과 관련된 경우, 유니온에 확립되지 않은 통제관 또는 프로세서에 의해 유니온에 있는 데이터 주체의 개인 데이터 처리에 적용한다.(b) 그들의 행동이 유니온 내에서 이루어지는 한 그들의 행동에 대한 모니터링.
  5. ^ "What is personal data?". January 2021.
  6. ^ a b "EUR-Lex – 32016R0679 – EN – EUR-Lex". eur-lex.europa.eu. Archived from the original on 17 March 2018. Retrieved 21 March 2018.
  7. ^ a b c d e f g h i j k l m "REGULATION (EU) 2016/679 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL (article 30)". Archived from the original on 28 June 2017. Retrieved 7 June 2017. CC-BY icon.svg 텍스트는 이 소스에서 복사되었으며, Creative Commons Accountation 4.0 International License에서 사용할 수 있다.
  8. ^ "Directive (EU) 2016/680 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data by competent authorities for the purposes of the prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, and on the free movement of such data, and repealing Council Framework Decision 2008/977/JHA". 4 May 2016.
  9. ^ 제안된 EU 일반 데이터 보호 규정.사내 변호사 훈튼 & 윌리엄스 LLP, 2015년 6월, 페이지 14
  10. ^ a b "Data protection" (PDF). European Commission – European Commission. Archived (PDF) from the original on 3 December 2012. Retrieved 3 January 2013.
  11. ^ "EUR-Lex – 32016R0679 – EN – EUR-Lex". eur-lex.europa.eu. Archived from the original on 6 November 2017. Retrieved 7 November 2017..
  12. ^ 뉴스마이뉴스
  13. ^ 일반_데이터_보호_규정
  14. ^ "Age of consent in the GDPR: updated mapping". iapp.org. Archived from the original on 27 May 2018. Retrieved 26 May 2018.
  15. ^ "제안된 EU 데이터 보호 규제는 세계적으로 파급 효과를 어떻게 창출하고 있는가."2012년 10월 11일 플로리안 스탈의 주디 슈미트.2013년 1월 3일 검색됨
  16. ^ a b Hern, Alex (21 May 2018). "Most GDPR emails unnecessary and some illegal, say experts". The Guardian. Archived from the original on 28 May 2018. Retrieved 28 May 2018.
  17. ^ Kamleitner, Bernadette; Mitchell, Vince (1 October 2019). "Your Data Is My Data: A Framework for Addressing Interdependent Privacy Infringements". Journal of Public Policy & Marketing. 38 (4): 433–450. doi:10.1177/0743915619858924. ISSN 0743-9156. S2CID 201343307.
  18. ^ a b c "Official Journal L 119/2016". eur-lex.europa.eu. Archived from the original on 22 November 2018. Retrieved 26 May 2018.
  19. ^ Article 29 Working Party (2017). Guidelines on the right to data portability. European Commission. Archived from the original on 29 June 2017. Retrieved 15 July 2017.
  20. ^ Veale, Michael; Binns, Reuben; Ausloos, Jef (2018). "When data protection by design and data subject rights clash". International Data Privacy Law. 8 (2): 105–123. doi:10.1093/idpl/ipy002.
  21. ^ Zuiderveen Borgesius, Frederik J. (April 2016). "Singling out people without knowing their names – Behavioural targeting, pseudonymous data, and the new Data Protection Regulation". Computer Law & Security Review. 32 (2): 256–271. doi:10.1016/j.clsr.2015.12.013. ISSN 0267-3649.
  22. ^ 2012년 12월 3일 웨이백 머신보관EU 일반 데이터 보호 규정 제안.유럽 위원회, 2012년 1월 25일2013년 1월 3일 검색됨
  23. ^ Baldry, Tony; Hyams, Oliver (15 May 2014). "The Right to Be Forgotten". 1 Essex Court. Archived from the original on 19 October 2017. Retrieved 1 June 2014.
  24. ^ "European Parliament legislative resolution of 12 March 2014 on the proposal for a regulation of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation)". European Parliament. Archived from the original on 5 June 2014. Retrieved 1 June 2014.
  25. ^ a b "Right to object". ico.org.uk. 30 August 2019. Retrieved 14 November 2019.
  26. ^ "Using privacy laws to regulate automated decision making". Barry Sookman. Retrieved 24 May 2021.
  27. ^ "Privacy notices under the EU General Data Protection Regulation". ico.org.uk. 19 January 2018. Archived from the original on 23 May 2018. Retrieved 22 May 2018.
  28. ^ "What information must be given to individuals whose data is collected?". Europa (web portal). Archived from the original on 23 May 2018. Retrieved 23 May 2018.
  29. ^ "Privacy and Data Protection by Design – ENISA". Europa (web portal). Archived from the original on 5 April 2017. Retrieved 4 April 2017.
  30. ^ 데이터 파이프라인에서 가명을 사용하는 GDPR 산하 데이터 과학 2018년 4월 18일 Dativa 출판사 웨이백머신에 보관, 2018년 4월 17일
  31. ^ "Looking to comply with GDPR? Here's a primer on anonymization and pseudonymization". iapp.org. Archived from the original on 19 February 2018. Retrieved 19 February 2018.
  32. ^ "EUR-Lex – Art. 37". eur-lex.europa.eu. Archived from the original on 22 January 2017. Retrieved 23 January 2017.
  33. ^ "Explaining GDPR Data Subject Requests". TrueVault. Retrieved 19 February 2019.
  34. ^ "Guidelines on Data Protection Officers". Archived from the original on 29 June 2017. Retrieved 27 August 2017.
  35. ^ Jankowski, Piper-Meredith (21 June 2017). "reach of the GDPR: What is at stake?". Lexology. Archived from the original on 26 May 2018. Retrieved 25 May 2018.
  36. ^ a b "L_2016119EN.01000101.xml". eur-lex.europa.eu. Archived from the original on 10 November 2017. Retrieved 28 August 2016.
  37. ^ "Exemptions". ico.org.uk. 20 July 2020. Retrieved 11 November 2020.
  38. ^ "The 'Household Exemption' In GDPR". Fenech Farrugia Fiott Legal. 22 May 2020. Retrieved 11 November 2020.
  39. ^ Wehlander, Caroline (2016). "Chapter 2 "Economic activity": criteria and relevance in the fields of EU internal market law, competition law and procurement law" (PDF). In Wehlander, Caroline (ed.). Services of general economic interest as a constitutional concept of EU Law. The Hague, Netherlands: TMC Asser Press. pp. 35–65. doi:10.1007/978-94-6265-117-3_2. ISBN 978-94-6265-116-6. Archived (PDF) from the original on 26 May 2018. Retrieved 23 May 2018.
  40. ^ "The (Extra) Territorial Scope of the GDPR: The Right to Be Forgotten". Fasken.com. Retrieved 21 February 2020.
  41. ^ "Extraterritorial Scope of GDPR: Do Businesses Outside the EU Need to Comply?". American Bar Association. Retrieved 21 February 2020.
  42. ^ Art. 27(4) GDPR.
  43. ^ Art. 27(1) GDPR.
  44. ^ Art. 83(1),(2)&(4a) GDPR.
  45. ^ Art. 27(2) GDPR.
  46. ^ a b c d "UK: Understanding the full impact of Brexit on UK: EU data flows". Privacy Matters. DLA Piper. 23 September 2019. Retrieved 20 February 2020.
  47. ^ a b c Palmer, Danny. "On data protection, the UK says it will go it alone. It probably won't". ZDNet. Retrieved 20 February 2020.
  48. ^ Donnelly, Conor (18 January 2018). "How to transfer data to a 'third country' under the GDPR". IT Governance Blog En. Retrieved 21 February 2020.
  49. ^ "New Data Protection Act finalised in the UK". Out-Law.com. Archived from the original on 25 May 2018. Retrieved 25 May 2018.
  50. ^ "New UK Data Protection Act not welcomed by all". Computer Weekly. Archived from the original on 24 May 2018. Retrieved 25 May 2018.
  51. ^ Porter, Jon (20 February 2020). "Google shifts authority over UK user data to the US in wake of Brexit". The Verge. Retrieved 20 February 2020.
  52. ^ "Under-18s face 'like' and 'streaks' limits". BBC News. 15 April 2019. Retrieved 15 April 2019.
  53. ^ Greenfield, Patrick (15 April 2019). "Facebook urged to disable 'like' feature for child users". The Guardian. ISSN 0261-3077. Retrieved 15 April 2019.
  54. ^ "UK seeks divergence from GDPR to 'fuel growth'". IT PRO. Retrieved 12 March 2021.
  55. ^ Gooch, Peter (2018). "A new era for privacy - GDPR six months on" (PDF). Deloitte UK. Retrieved 26 November 2020.
  56. ^ Norman, Kenzo (26 February 2021). "How Smart Businesses Can Avoid GDPR Penalties When Recording Calls". The Washington Independent. Retrieved 22 April 2021.
  57. ^ Babel, Chris (11 July 2017). "The High Costs of GDPR Compliance". InformationWeek. UBM Technology Group. Archived from the original on 5 October 2017. Retrieved 4 October 2017.
  58. ^ "Preparing for New Privacy Regimes: Privacy Professionals' Views on the General Data Protection Regulation and Privacy Shield" (PDF). bakermckenzie.com. Baker & McKenzie. 4 May 2016. Archived (PDF) from the original on 31 August 2018. Retrieved 4 October 2017.
  59. ^ Georgiev, Georgi. "GDPR Compliance Cost Calculator". GIGAcalculator.com. Archived from the original on 16 May 2018. Retrieved 16 May 2018.
  60. ^ Solon, Olivia (19 April 2018). "How Europe's 'breakthrough' privacy law takes on Facebook and Google". The Guardian. Archived from the original on 26 May 2018. Retrieved 25 May 2018.
  61. ^ "Europe's new privacy rules are no silver bullet". Politico.eu. 22 April 2018. Archived from the original on 26 May 2018. Retrieved 25 May 2018.
  62. ^ "Lack of GDPR knowledge is a danger and an opportunity". MicroscopeUK. Archived from the original on 26 May 2018. Retrieved 25 May 2018.
  63. ^ "No one's ready for GDPR". The Verge. Archived from the original on 28 May 2018. Retrieved 1 June 2018.
  64. ^ "New rules on data protection pose compliance issues for firms". The Irish Times. Archived from the original on 26 May 2018. Retrieved 25 May 2018.
  65. ^ Wes, Matt (25 April 2017). "Looking to comply with GDPR? Here's a primer on anonymization and pseudonymization". IAPP. Archived from the original on 19 February 2018. Retrieved 19 February 2018.
  66. ^ 차상, G. (2017).EU 일반 데이터 보호 규정이 과학 연구에 미치는 영향. 생태학, 11.
  67. ^ Tarhonen, Laura (2017). "Pseudonymisation of Personal Data According to the General Data Protection Regulation". Archived from the original on 19 February 2018. Retrieved 19 February 2018.
  68. ^ "A recent report issued by the Blockchain Association of Ireland has found there are many more questions than answers when it comes to GDPR". siliconrepublic.com. Archived from the original on 5 March 2018. Retrieved 5 March 2018.
  69. ^ Sample, Ian (27 January 2017). "AI watchdog needed to regulate automated decision-making, say experts". The Guardian. ISSN 0261-3077. Archived from the original on 18 June 2017. Retrieved 15 July 2017.
  70. ^ "EU's Right to Explanation: A Harmful Restriction on Artificial Intelligence". techzone360.com. Archived from the original on 4 August 2017. Retrieved 15 July 2017.
  71. ^ Wachter, Sandra; Mittelstadt, Brent; Floridi, Luciano (28 December 2016). "Why a Right to Explanation of Automated Decision-Making Does Not Exist in the General Data Protection Regulation". SSRN 2903469. {{cite journal}}:Cite 저널은 필요로 한다. journal=(도움말)
  72. ^ Edwards, Lilian; Veale, Michael (2017). "Slave to the algorithm? Why a "right to an explanation" is probably not the remedy you are looking for". Duke Law and Technology Review. doi:10.2139/ssrn.2972855. SSRN 2972855.
  73. ^ Frimin, Michael (29 March 2018). "Five benefits GDPR compliance will bring to your business". Forbes. Archived from the original on 12 September 2018. Retrieved 11 September 2018.
  74. ^ Butterworth, Trevor (23 May 2018). "Europe's tough new digital privacy law should be a model for US policymakers". Vox. Archived from the original on 12 September 2018. Retrieved 11 September 2018.
  75. ^ Jaffe, Justin; Hautala, Laura (25 May 2018). "What the GDPR means for Facebook, the EU and you". CNET. Archived from the original on 12 September 2018. Retrieved 11 September 2018.
  76. ^ "Facebook CEO Zuckerberg's Call for GDPR Privacy Laws Raises Questions". www.cnbc.com. April 2019.
  77. ^ Tiku, Nitasha (19 March 2018). "Europe's new privacy law will change the web, and more". Wired. Archived from the original on 15 October 2018. Retrieved 11 September 2018.
  78. ^ Kalyanpur, Nikhil; Newman, Abraham (25 May 2018). "Today, a new E.U. law transforms privacy rights for everyone. Without Edward Snowden, it might never have happened". The Washington Post. Archived from the original on 11 October 2018. Retrieved 11 September 2018.
  79. ^ Stallman, Richard (3 April 2018). "A radical proposal to keep your personal data safe". The Guardian. Archived from the original on 12 September 2018. Retrieved 11 September 2018.
  80. ^ Afifi-Sabet, Keumars (3 May 2018). "Scammers are using GDPR email alerts to conduct phishing attacks". IT PRO. Archived from the original on 26 May 2018. Retrieved 25 May 2018.
  81. ^ "EU gov't and public health sites are lousy with adtech, study finds". TechCrunch. Retrieved 18 March 2019.
  82. ^ "EU citizens being tracked on sensitive government websites". Financial Times. Retrieved 18 March 2019.
  83. ^ "Fall asleep in seconds by listening to a soothing voice read the EU's new GDPR legislation". The Verge. Archived from the original on 17 June 2018. Retrieved 16 June 2018.
  84. ^ "How Europe's GDPR Regulations Became a Meme". Wired. Archived from the original on 18 June 2018. Retrieved 17 June 2018.
  85. ^ "The Internet Created a GDPR-Inspired Meme Using Privacy Policies". Adweek. Archived from the original on 17 June 2018. Retrieved 17 June 2018.
  86. ^ Burgess, Matt. "Help, my lightbulbs are dead! How GDPR became bigger than Beyonce". Wired.co.uk. Archived from the original on 19 June 2018. Retrieved 17 June 2018.
  87. ^ "Here Are Some of the Worst Attempts At Complying with GDPR". Motherboard. 25 May 2018. Archived from the original on 18 June 2018. Retrieved 17 June 2018.
  88. ^ "What Percentage of Your Software Vulnerabilities Have GDPR Implications?" (PDF). HackerOne. 16 January 2018. Archived (PDF) from the original on 6 July 2018. Retrieved 6 July 2018.
  89. ^ "The Data Protection Officer (DPO): Everything You Need to Know". Cranium and HackerOne. 20 March 2018. Archived from the original on 31 August 2018. Retrieved 6 July 2018.
  90. ^ "What might bug bounty programs look like under the GDPR?". The International Association of Privacy Professionals (IAPP). 27 March 2018. Archived from the original on 6 July 2018. Retrieved 6 July 2018.
  91. ^ Momen, N.; Hatamian, M.; Fritsch, L. (November 2019). "Did App Privacy Improve After the GDPR?". IEEE Security Privacy. 17 (6): 10–20. doi:10.1109/MSEC.2019.2938445. ISSN 1558-4046. S2CID 203699369.
  92. ^ Hatamian, Majid; Momen, Nurul; Fritsch, Lothar; Rannenberg, Kai (2019), Naldi, Maurizio; Italiano, Giuseppe F.; Rannenberg, Kai; Medina, Manel (eds.), "A Multilateral Privacy Impact Analysis Method for Android Apps", Privacy Technologies and Policy, Springer International Publishing, vol. 11498, pp. 87–106, doi:10.1007/978-3-030-21752-5_7, ISBN 978-3-030-21751-8, S2CID 184483219
  93. ^ Moen, Gro Mette, Ailo Krogh Ravna, 그리고 Finn Myrstad."디자인에 의해 사망함 - 어떻게 우리가 사생활에 대한 권리를 행사하지 못하게 하기 위해 기술 회사들이 어두운 패턴을 사용하는가"2018. 노르웨이 소비자 위원회 보고 / 포브루케르 세부.
  94. ^ "Instapaper is temporarily shutting off access for European users due to GDPR". The Verge. Archived from the original on 24 May 2018. Retrieved 24 May 2018.
  95. ^ "Unroll.me to close to EU users saying it can't comply with GDPR". TechCrunch. Archived from the original on 30 May 2018. Retrieved 29 May 2018.
  96. ^ Hern, Alex; Waterson, Jim (24 May 2018). "Sites block users, shut down activities and flood inboxes as GDPR rules loom". The Guardian. Archived from the original on 24 May 2018. Retrieved 25 May 2018.
  97. ^ "Blocking 500 Million Users Is Easier Than Complying With Europe's New Rules". Bloomberg L.P. 25 May 2018. Archived from the original on 25 May 2018. Retrieved 26 May 2018.
  98. ^ "U.S. News Outlets Block European Readers Over New Privacy Rules". The New York Times. 25 May 2018. ISSN 0362-4331. Archived from the original on 26 May 2018. Retrieved 26 May 2018.
  99. ^ "Look: Here's what EU citizens see now that GDPR has landed". Advertising Age. Archived from the original on 25 May 2018. Retrieved 26 May 2018.
  100. ^ Tiku, Nitasha (24 May 2018). "Why Your Inbox Is Crammed Full of Privacy Policies". Wired. Archived from the original on 24 May 2018. Retrieved 25 May 2018.
  101. ^ Chen, Brian X. (23 May 2018). "Getting a Flood of G.D.P.R.-Related Privacy Policy Updates? Read Them". The New York Times. ISSN 0362-4331. Archived from the original on 24 May 2018. Retrieved 25 May 2018.
  102. ^ Lanxon, Nate (25 May 2018). "Blocking 500 Million Users Is Easier Than Complying With Europe's New Rules". Bloomberg. Archived from the original on 25 May 2018. Retrieved 25 May 2018.
  103. ^ "GDPR mayhem: Programmatic ad buying plummets in Europe". Digiday. 25 May 2018. Archived from the original on 25 May 2018. Retrieved 26 May 2018.
  104. ^ a b "Press corner". European Commission - European Commission. Retrieved 18 September 2020.
  105. ^ "Your rights matter: Data protection and privacy - Fundamental Rights Survey". European Union Agency for Fundamental Rights. 12 June 2020. Retrieved 18 September 2020.
  106. ^ "GDPR: noyb.eu filed four complaints over 'forced consent' against Google, Instagram, WhatsApp and Facebook" (PDF). NOYB.eu. 25 May 2018. Retrieved 26 May 2018.
  107. ^ "Facebook and Google hit with $8.8 billion in lawsuits on day one of GDPR". The Verge. Archived from the original on 25 May 2018. Retrieved 26 May 2018.
  108. ^ "Max Schrems files first cases under GDPR against Facebook and Google". The Irish Times. Archived from the original on 25 May 2018. Retrieved 26 May 2018.
  109. ^ "Facebook, Google face first GDPR complaints over 'forced consent'". TechCrunch. Archived from the original on 26 May 2018. Retrieved 26 May 2018.
  110. ^ Meyer, David. "Google, Facebook hit with serious GDPR complaints: Others will be soon". ZDNet. Archived from the original on 28 May 2018. Retrieved 26 May 2018.
  111. ^ Fox, Chris (21 January 2019). "Google hit with £44m GDPR fine". BBC News. Retrieved 14 June 2019.
  112. ^ Porter, Jon (21 January 2019). "Google fined €50 million for GDPR violation in France". The Verge. Retrieved 14 June 2019.
  113. ^ Masnick, Mike (19 November 2018). "Yet Another GDPR Disaster: Journalists Ordered To Hand Over Secret Sources Under 'Data Protection' Law". Archived from the original on 20 November 2018. Retrieved 20 November 2018.
  114. ^ Bălăiți, George (9 November 2018). "English Translation of the Letter from the Romanian Data Protection Authority to RISE Project". Organized Crime and Corruption Reporting Project. Archived from the original on 9 November 2018. Retrieved 20 November 2018.
  115. ^ "'Intention to fine British Airways £183.39m under GDPR for data breach'". ICO. 8 July 2019. Retrieved 22 December 2020.
  116. ^ Whittaker, Zack (11 September 2018). "British Airways breach caused by credit card skimming malware, researchers say". TechCrunch. Archived from the original on 10 December 2018. Retrieved 9 December 2018.
  117. ^ "British Airways boss apologises for 'malicious' data breach". BBC News. 7 September 2018. Archived from the original on 15 October 2018. Retrieved 7 September 2018.
  118. ^ Sweney, Mark (8 July 2019). "BA faces £183m fine over passenger data breach". The Guardian. ISSN 0261-3077. Retrieved 8 July 2019.
  119. ^ "British Airways faces record £183m fine for data breach". BBC News. 8 July 2019. Retrieved 8 July 2019.
  120. ^ "ICO fines British Airways £20m for data breach affecting more than 400,000 customers". ICO. 16 October 2020. Retrieved 22 December 2020.
  121. ^ Vinocur, Nicholas (27 December 2019). "'We have a huge problem': European regulator despairs over lack of enforcement". Politico. Retrieved 6 May 2020.
  122. ^ Alizadeh, Fatemeh; Jakobi, Timo; Boldt, Jens; Stevens, Gunnar (2019). "GDPR-Reality Check on the Right to Access Data". Proceedings of Mensch und Computer 2019 on - MuC'19. New York: ACM Press: 811–814. doi:10.1145/3340764.3344913. ISBN 978-1-4503-7198-8. S2CID 202159324.
  123. ^ a b Alizadeh, Fatemeh; Jakobi, Timo; Boden, Alexander; Stevens, Gunnar; Boldt, Jens (2020). "GDPR Reality Check–Claiming and Investigating Personally Identifiable Data from Companies" (PDF). EuroUSEC.
  124. ^ a b Human, Soheil; Cech, Florian (2021). Zimmermann, Alfred; Howlett, Robert J.; Jain, Lakhmi C. (eds.). "A Human-Centric Perspective on Digital Consenting: The Case of GAFAM" (PDF). Human Centred Intelligent Systems. Smart Innovation, Systems and Technologies. Singapore: Springer. 189: 139–159. doi:10.1007/978-981-15-5784-2_12. ISBN 978-981-15-5784-2. S2CID 214699040.
  125. ^ Christakis and Propp, Theodore and Kenneth (8 March 2021). "How Europe's Intelligence Services Aim to Avoid the EU's Highest Court—and What It Means for the United States". Lawfare.{{cite news}}: CS1 maint : url-status (링크)
  126. ^ Browne, Ryan (18 January 2022). "Fines for breaches of EU privacy law spike sevenfold to $1.2 billion, as Big Tech bears the brunt". CNBC. Retrieved 9 February 2022.
  127. ^ Roberts, Jeff John (25 May 2018). "The GDPR Is in Effect: Should U.S. Companies Be Afraid?". Archived from the original on 28 May 2018. Retrieved 28 May 2018.
  128. ^ "Commentary: California's New Data Privacy Law Could Begin a Regulatory Disaster". Fortune. Retrieved 10 April 2019.
  129. ^ "California Unanimously Passes Historic Privacy Bill". Wired. Archived from the original on 29 June 2018. Retrieved 29 June 2018.
  130. ^ "Marketers and tech companies confront California's version of GDPR". Archived from the original on 29 June 2018. Retrieved 29 June 2018.
  131. ^ "Virginia passes the Consumer Data Protection Act". International Association of Privacy Professionals. 3 March 2021. Retrieved 26 August 2021.
  132. ^ "Colorado Privacy Act becomes law". International Association of Privacy Professionals. 8 July 2021. Retrieved 26 August 2021.
  133. ^ "KİŞİSEL VERİLERİ KORUMA KURUMU KVKK History". www.kvkk.gov.tr. Retrieved 19 December 2020.
  134. ^ "China's New National Privacy Law: The PIPL - Privacy - China". www.mondaq.com. Retrieved 9 February 2022.
  135. ^ "Data protection reform: Council adopts position at first reading – Consilium". Europa (web portal).
  136. ^ Council의 입장 채택 웨이백머신에 2017년 11월 25일 보관 Votewatch.eu
  137. ^ 서면 절차 2016년 4월 8일 웨이백 기계보관된 2017년 12월 1일, 유럽연합(EU)
  138. ^ "Data protection reform – Parliament approves new rules fit for the digital era – News – European Parliament". 14 April 2016. Archived from the original on 17 April 2016. Retrieved 14 April 2016.
  139. ^ "General Data Protection Regulation (GDPR) entered into force in the EEA". EFTA. 20 July 2018. Archived from the original on 1 October 2018. Retrieved 30 September 2018.
  140. ^ Kolsrud, Kjetil (10 July 2018). "GDPR – 20. juli er datoen!". Rett24. Archived from the original on 13 July 2018. Retrieved 13 July 2018.
  141. ^ "Digital Single Market". Digital Single Market. Archived from the original on 8 October 2017. Retrieved 5 October 2017.
  142. ^ "What does the ePrivacy Regulation mean for the online industry? – ePrivacy". www.eprivacy.eu. Archived from the original on 22 May 2018. Retrieved 26 May 2018.
  143. ^ "Council position and findings on the application of the General Data Protection Regulation (GDPR), 19 December 2019". Consilium. Retrieved 23 December 2019.

외부 링크