1. 사전 워밍업 : 전체 흐름 파악
- 해당 페이지 범위의 제목, 소제목, 표/차트/키워드만 먼저 훑어보기
- 4.2 Data Processing Records — 데이터 처리 기록 의무 비교
- 4.3 Data Protection Impact Assessment — DPIA/개인정보 영향평가 비교
2. 첫 번째 읽기: 스키밍 + 한국어 번역 의존
- 문단별로 빠르게 훑으며 주요 결론/차이점만 한국어로 정리
GDPR : 컨트롤러와 처리자 모두 처리 활동 기록을 서면 또는 전자 형태로 유지할 의무가 있으며, 250인 미만 기업에 대해서는 일부 예외를 인정함. 국외 이전 관련 기록도 포함해야 하며, DPIA는 고위험 처리 시 민간·공공 구분 없이 모든 조직에 의무 적용됨.
PIPA : 처리 활동에 대한 별도의 기록 유지 의무는 없으나, 개인정보 처리 시스템 접속 기록을 최소 1년 이상 보관해야 함. DPIA(개인정보 영향평가)는 공공기관에만 의무 적용되며, 민간 조직에는 해당 없음. 처리방침 공개를 통해 일부 기록 의무를 대체함.
4.1 Data Transfers (cont'd)
차이점 (22p 추가 내용)
| GDPR | PIPA |
| 적정성 결정 부재 시 적절한 안전장치 제공 조건으로 이전 가능 : ① 구속력 있는 기업 규칙 (보유 기간, 고충 처리 절차 등 포함) ② EU 집행위원회 또는 감독기관이 채택한 표준 데이터 보호 조항 ③ 승인된 행동 강령 ④ 승인된 인증 메커니즘 | 해외 수신자가 PIPC가 지정한 개인정보 보호 인증을 취득하고 다음 조치를 이행한 경우 이전 가능 : ① 개인정보 보호를 위한 보안 조치 및 정보주체 권리 보장 조치 ② 이전 대상국의 데이터 보호 인증 기준에 따른 처리 조치 |
| 공개 등록부에서의 이전이 법적 근거가 될 수 있음 (열람 조건 충족 시) | 계약 이행 또는 체결을 위해 위탁·보관이 필요한 경우, 동의 획득 시 고지해야 할 사항을 개인정보 처리방침에 공개하거나 이메일 등의 방법으로 개별 통지한 경우 이전 가능 |
| 공익 목적, 법적 청구의 설정·행사·방어, 정보주체 또는 제3자의 중대한 이익 보호를 위한 국외 이전 가능 | 유사한 국외 이전 법적 근거 없음 |
4.2 Data Processing Records (데이터 처리 기록)
1) 유사점
| GDPR | PIPA |
| 감독기관에 대한 일반적인 등록 의무 없음 | 감독기관에 대한 일반적인 등록 의무 없음 |
2) 차이점
| GDPR | PIPA |
| 컨트롤러·처리자 모두 처리 활동에 대한 기록 유지 의무 (서면 또는 전자 형태). 단, 250인 미만 조직은 아래 조건에 해당하지 않는 경우 면제 : ① 정보주체의 권리·자유에 위험을 초래할 가능성 있는 처리 ② 비정기적 처리 ③ 민감정보(제9조 제1항) 또는 형사 범죄 관련 정보 처리 | 처리 활동 기록 유지 의무 없음. 다만 개인정보처리자는 개인정보 처리 시스템에 접속한 개인정보 취급자의 접속 기록(접속 ID, 접속 일시, 접속자 식별 정보, 수행 업무 등)을 최소 1년 이상 보관 의무 |
| 컨트롤러가 기록해야 할 정보 목록 : ① 컨트롤러 이름·연락처 ② 처리 목적 ③ 개인정보 범주 설명 ④ 수신자 범주 ⑤ 삭제 예정 기간 ⑥ 기술적·관리적 보안 조치 개요 | 처리방침에 공개해야 할 정보 목록 : ① 수집·이용 목적 및 항목 ② 제3자 제공 현황(수신자, 목적, 항목) ③ 보유·이용 기간 및 파기 방법 ④ 처리 위탁 현황(수탁자, 위탁 업무) ⑤ 민감정보 공개 가능성 및 거부 방법 ⑥ 가명정보 처리 관련 사항 ⑦ 정보주체 권리 및 행사 방법 ⑧ 자동 수집 장치(쿠키 등) 설치·운영 및 거부 방법 ⑨ 보호책임자 연락처 ⑩ 보안 조치 이행 사항 |
| 처리자가 기록해야 할 정보 목록 : ① 처리자 이름·연락처 ② 각 컨트롤러를 위해 수행하는 처리 범주 ③ 국외 이전 현황 및 적절한 안전장치 ④ 기술적·관리적 보안 조치 개요 | 수탁자에 대한 별도 기록 의무 없음 |
| 컨트롤러 대리인에게도 기록 의무 부과 | 개인정보처리자 대리인에 대한 기록 의무 없음 |
| 국외 이전 관련 기록(제3국·국제기구 식별, 적절한 안전장치 문서화) 포함 의무 | 국외 이전 관련 기록 의무 없음 |
| 가명정보 처리에 대한 별도 기록 의무 없음 | 가명정보를 처리하려는 경우 처리 목적, 제3자 제공 현황 등 기록 유지 의무 |
4.3 Data Protection Impact Assessment (DPIA/개인정보 영향평가)
1) 유사점
해당 사항 없음
2) 차이점
| GDPR | PIPA |
| 모든 조직(민간·공공 구분 없음) 에 DPIA 의무 적용. 다음 상황에서 실시 : ① 정보주체의 권리·자유에 높은 위험을 초래할 가능성이 있는 처리 ② 자동화 처리 또는 프로파일링에 기반한 체계적·광범위한 개인적 측면 평가 ③ 민감정보의 대규모 처리 ④ 공공장소의 대규모 체계적 모니터링 | 공공기관에만 개인정보 영향평가(PIA) 실시 의무 |
| DPIA 실시 요건 : ① 예상 처리에 대한 체계적 설명 ② 처리 작업 및 정당한 목적 ③ 목적 대비 처리의 필요성·비례성 ④ 정보주체의 권리·자유에 대한 위험 평가 | (공공기관에만 적용되므로 민간 조직 해당 없음) |
| 컨트롤러는 처리 위험이 높은 경우 사전에 감독기관과 협의 의무 | (해당 사항 없음) |
| 새로운 기술을 활용한 처리 시 반드시 DPIA 실시 | (해당 사항 없음) |
| 처리 위험에 변화가 있을 때 DPIA 재검토 의무 | (해당 사항 없음) |
3. 두 번째 읽기 : 영어 중심 정독
핵심 문장 영어로 요약 + 한국어 번역
The GDPR requires data controllers and processors to maintain a record of processing activities, whereas PIPA does not impose specific record-keeping obligations for organisations' processing activities. → GDPR은 컨트롤러와 처리자 모두에게 처리 활동 기록 유지 의무를 부과하는 반면, PIPA는 조직의 처리 활동에 대한 구체적인 기록 의무를 규정하지 않는다.
Whilst the GDPR provides that a DPIA must be conducted under certain specified circumstances, and makes no distinction between private or public entities with respect to this obligation, PIPA only requires public institutions to conduct a Privacy Impact Assessment. → GDPR은 특정 상황에서 DPIA 실시를 의무화하며 민간·공공 구분을 두지 않는 반면, PIPA는 공공기관에만 개인정보 영향평가 의무를 부과한다.
PIPA requires data controllers who intend to process pseudonymised information to prepare and keep records, including the purpose of processing the pseudonymised information and any third parties to which such information is provided. → PIPA는 가명정보를 처리하려는 개인정보처리자에게 처리 목적 및 제3자 제공 현황 등을 포함한 기록을 작성·보관할 의무를 부과한다.
나만의 언어로 오늘 내용 요약!
GDPR은 민간·공공 모든 조직에 처리 활동 기록 유지 의무와 고위험 처리 시 DPIA 실시 의무를 부과하는 반면, PIPA는 처리 활동 기록 의무 대신 접속 기록 보관 의무를 두고 DPIA는 공공기관에만 한정 적용하는 등 두 법 간 차이가 가장 두드러지는 영역 중 하나이다.
While the GDPR imposes record-keeping obligations for processing activities and requires DPIAs for all organizations when high-risk processing is involved, PIPA takes a notably different approach — replacing general record-keeping with access log retention requirements and limiting DPIA obligations exclusively to public institutions, making this one of the most divergent areas between the two laws.
4. 어휘 & 표현 정리
| 단어 | 한국어 | 정의 |
| Record-keeping | 기록 유지 | 처리 활동의 내용을 문서화하여 보관하는 의무 |
| Processing Activities | 처리 활동 | 개인정보의 수집, 저장, 이용, 제공, 파기 등 데이터에 가해지는 모든 작업 |
| Data Protection Impact Assessment (DPIA) | 개인정보 영향평가 | 고위험 처리 전 정보주체의 권리·자유에 미치는 영향을 사전에 평가하는 절차 |
| Prior Consultation | 사전 협의 | DPIA 결과 높은 위험이 예상될 때 처리 전 감독기관에 자문을 구하는 절차 |
| Proportionality | 비례성 | 처리 수단이 목적 달성에 필요한 범위를 초과하지 않아야 한다는 원칙 |
| Systematic | 체계적인 | 일정한 규칙이나 계획에 따라 조직적으로 이루어지는 성질 |
| Profiling | 프로파일링 | 자동화된 수단으로 개인의 특성을 분석·예측하는 처리 행위 |
| Access Log | 접속 기록 | 개인정보 처리 시스템에 접속한 자의 ID, 접속 일시, 수행 업무 등을 기록한 자료 |
| Exemption | 면제 | 일반적으로 적용되는 의무나 규정의 적용에서 제외되는 것 |
| Envisaged | 예상된 / 계획된 | 앞으로 일어날 것으로 예측하거나 계획하는 것을 나타내는 표현 |
| Divergent | 상이한 / 갈라지는 | 두 개 이상의 대상이 서로 다른 방향으로 나아가거나 차이를 보이는 상태 |
| Obligation | 의무 | 법적 또는 계약상 반드시 이행해야 하는 사항 |
| Retention | 보유 / 보관 | 데이터나 기록을 일정 기간 동안 유지하는 행위 |
| Legitimate | 정당한 / 합법적인 | 법적으로 또는 도덕적으로 인정받을 수 있는 근거나 이유가 있는 상태 |
| Surveillance | 감시 | 개인이나 집단의 행동을 지속적으로 관찰·모니터링하는 행위 |
| Inadvertent | 의도치 않은 | 실수나 부주의로 인해 발생한 것으로 고의성이 없는 상태 |
| Safeguard | 안전장치 / 보호 조치 | 위험이나 피해를 방지하기 위해 마련된 기술적·관리적 보호 수단 |
| Comprehensive | 포괄적인 | 관련된 모든 사항을 빠짐없이 다루는 광범위한 성질 |
| Implication | 함의 / 영향 | 어떤 행위나 결정이 직접적으로 드러나지 않지만 간접적으로 미치는 영향이나 의미 |
| Pseudonymised | 가명처리된 | 추가 정보 없이는 특정 개인을 식별할 수 없도록 처리된 상태 |
5. 마무리: 복습
- 한국어 3문장 요약
- GDPR은 모든 조직에 처리 활동 기록 유지 의무를 부과하지만, PIPA는 이를 요구하지 않는 대신 개인정보 처리 시스템 접속 기록을 최소 1년 이상 보관하도록 규정한다.
- DPIA는 GDPR에서 고위험 처리 시 민간·공공 구분 없이 모든 조직에 의무 적용되나, PIPA에서는 공공기관에만 한정되어 적용된다는 점이 이번 범위에서 가장 큰 차이점이다.
- PIPA는 가명정보 처리 시 목적 및 제3자 제공 현황 등을 기록·보관하도록 별도로 규정하는 반면, GDPR은 가명정보에 대한 별도 기록 의무를 두지 않는다.
- 영어 3문장 요약
- While GDPR requires all organizations to maintain records of processing activities, PIPA does not impose such an obligation but instead requires data handlers to retain access logs for personal information processing systems for at least one year.
- The most significant divergence in this section is the scope of DPIA obligations — mandatory for all organizations under GDPR when high-risk processing is involved, but limited exclusively to public institutions under PIPA.
- PIPA uniquely requires records to be kept when processing pseudonymised information, including the purpose of processing and any third-party recipients, whereas GDPR does not impose specific record-keeping obligations for pseudonymised data.
스스로에게 던지는 질문
Question: Why does PIPA limit DPIA obligations to public institutions only, while GDPR applies them to all organizations?
Answer: PIPA was originally designed with a strong focus on regulating government and public sector use of personal data, as public institutions were seen as posing the greatest risk of large-scale misuse. Private sector organizations under PIPA are still subject to security and accountability obligations, but the formal structured impact assessment process was initially reserved for public bodies. GDPR, on the other hand, takes a risk-based approach that applies equally to all organizations regardless of their public or private nature, reflecting the EU's broader concern about data-driven commercial activities and their potential impact on individuals' fundamental rights.
'개인정보보호 > 동향 스터디' 카테고리의 다른 글
| 6주차 동향 스터디 (0) | 2026.05.24 |
|---|---|
| 5주차 동향 스터디 (1) | 2026.05.10 |
| 3주차 동향스터디 (1) | 2026.04.12 |
| 2주차 동향 스터디 (0) | 2026.04.05 |
| 1주차 동향 스터디 (0) | 2026.03.29 |