GDPR에 따른 데이터 컨트롤러란 무엇인가요?

일반 데이터 보호 규정(GDPR)은 데이터 컨트롤러를 "단독으로 또는 다른 사람과 공동으로 개인 데이터 처리의 목적과 수단을 결정하는 개인, 공공 기관, 대리점 또는 기타 단체"로 정의합니다(European Parliament and Council, 2016). 이 역할은 개인 데이터를 처리하는 이유와 방법을 결정하는 책임을 수반합니다. 데이터 컨트롤러는 데이터 사용 목적을 식별할 뿐만 아니라 해당 목적을 달성하는 데 필요한 데이터의 범위를 지정합니다.

예를 들어, 배송 주문을 이행하기 위해 고객 정보를 처리하는 소규모 사업체는 데이터 컨트롤러에 해당합니다. 이러한 경우, 해당 사업체는 목적(제품 배송)을 결정하고 필요한 데이터(예: 이름, 주소)를 결정합니다. 이 사업체가 배송을 제3자에게 아웃소싱할 때, 해당 제3자는 데이터의 목적이나 수단을 결정하지 않고 컨트롤러를 대신하여 작업을 수행하는 데이터 처리자 역할을 합니다.

GDPR은 데이터 컨트롤러가 다음과 같은 개인 데이터 처리에 대한 적법한 근거를 가져야 한다고 규정합니다:

• 정보 주체의 동의,
• 컨트롤러가 추구하는 정당한 이익,
• 법적 의무 준수,
• 계약 이행.

컨트롤러는 처리가 적법하고, 공정하며, 투명하도록 보장할 의무가 있습니다. 또한, 무단 접근, 오용 또는 공개로부터 개인 데이터를 보호하기 위해 적절한 기술적 및 조직적 조치를 구현해야 합니다. 이러한 책임은 설계 및 기본 설정에 의한 책임성과 데이터 보호를 강조합니다(Voigt & von dem Bussche, 2017).

데이터 컨트롤러의 주요 책임은 다음과 같습니다:

• 처리 목적 및 수단 정의,
• 처리에 대한 적법한 근거 확립,
• 정보 주체에 대한 투명성 보장,
• 보안 조치 구현,
• 접근, 정정, 삭제와 같은 정보 주체 권리 관리.

이러한 의무를 제대로 이행하지 않으면 GDPR 집행에 따라 상당한 처벌을 받을 수 있습니다.

이 프레임워크는 GDPR 준수의 핵심으로서 데이터 컨트롤러의 역할을 명확하게 설명하며, 개인의 사생활 권리를 보호하면서 개인 데이터 처리에 대한 통제를 보장합니다.

참고 자료:

• European Parliament and Council. (2016). Regulation (EU) 2016/679 (General Data Protection Regulation). https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32016R0679

• Voigt, P., & von dem Bussche, A. (2017). The EU General Data Protection Regulation (GDPR): A Practical Guide. Springer. https://link.springer.com/book/10.1007/978-3-319-57959-7