GDPR의 민감한 데이터란 무엇인가요?

GDPR 제9조 제1항을 분석하면, "특별한 범주의 개인정보"—일반적으로 민감한 개인정보라고 불리는—는 제9조 제2항에 따른 예외 중 하나가 적용되지 않는 한 명시적인 처리 금지 대상임을 알 수 있습니다(Voigt & Von dem Bussche, 2017). 주요 연구 결과에 따르면 GDPR에 따른 민감한 데이터는 다음과 같습니다:

• 인종 또는 민족적 출신
• 정치적 견해
• 종교적 또는 철학적 신념
• 노동조합 가입 여부
• 유전 데이터
• 고유 식별을 위한 생체 인식 데이터
• 건강 관련 데이터
• 자연인의 성생활 또는 성적 지향에 관한 데이터

이러한 유형의 데이터 처리는 기본적으로 제한됩니다. 연구 결과에 따르면 데이터 컨트롤러는 다음을 보장해야 합니다:

• 명시적인 동의를 얻어야 합니다(다른 예외가 적용되지 않는 한).
• 처리는 제9조 제2항에 명시된 목적으로 엄격히 제한됩니다.
• 이러한 데이터 유형을 보호하기 위해 암호화 및 가명화를 포함한 추가 보안 조치가 구현됩니다. 

더 나아가 논의에서는 무단 공개 시 피해 위험이 민감한 데이터의 경우 현저하게 높아진다는 점을 강조합니다. 이러한 위험은 GDPR의 "더 높은 수준의 보안 및 특별 처리 요건"에 대한 요구 사항을 뒷받침합니다(Voigt & Von dem Bussche, 2017). 예를 들어, 생체 인식 및 유전 데이터는 개인을 식별할 뿐만 아니라 가족 관계 및 소인을 드러내어 개인 정보 보호 위험을 증폭시킬 수 있습니다(Kuner et al., 2020).

요약하자면, 민감한 개인정보에 대한 GDPR의 접근 방식은 다음과 같은 특징이 있습니다:

• 적법한 법적 근거 없는 처리에 대한 엄격한 금지
• 데이터의 중요한 성격에 맞춘 의무적인 보안 통제
• 데이터 컨트롤러의 투명성 및 책임에 대한 특별한 의무

연구에 따르면 민감한 개인정보와 관련된 규정 준수 실패는 훨씬 더 높은 집행 벌금과 평판 위험을 초래합니다.