§
목록으로 돌아가기
일반

2026년 기업을 위한 개인정보 보호 및 GDPR 준수 가이드

기업을 위한 GDPR 및 헝가리 개인정보 보호 규정의 실무적 요건 – 개인정보 처리방침, 동의, 개인정보 침해 사고 대응.

D

Dr. Nagy Ildikó

유럽연합 일반개인정보보호규정(GDPR)은 2018년 5월부터 헝가리를 포함한 모든 EU 회원국에서 의무적으로 적용되고 있습니다. 헝가리 국내법에서는 2011년 제CXII호 정보자기결정권법(az információs önrendelkezési jogról szóló 2011. évi CXII. törvény, 이하 “Info tv.”)이 GDPR의 규정을 보완합니다. 헝가리 국가개인정보보호·정보자유청(NAIH)의 실무 관행은 이 규정이 대기업뿐만 아니라 모든 규모의 기업에 적용됨을 명확히 하고 있습니다.

누가 개인정보처리자에 해당하는가?

개인정보처리자(adatkezelő)란 개인정보 처리의 목적과 수단을 결정하는 자연인 또는 법인을 말합니다. 실무상 다음에 해당하는 거의 모든 기업이 개인정보처리자에 해당합니다:

  • 고객 데이터베이스를 운영하는 경우
  • 직원의 개인정보를 처리하는 경우
  • 웹사이트를 운영하는 경우(쿠키, 문의 양식)
  • 뉴스레터를 발송하는 경우
  • CCTV 시스템을 운영하는 경우

적법한 처리의 6가지 법적 근거

GDPR은 다음 6가지 법적 근거를 인정합니다:

  1. 정보주체의 동의 – 자발적이고, 구체적이며, 고지에 기반한 명확한 동의
  2. 계약의 이행 – 예: 주문 처리에 필요한 데이터 처리
  3. 법적 의무 – 예: 세법 및 회계법에 따른 보관 의무
  4. 중대한 이익 – 드물며, 생명이 위험한 상황에서만 적용
  5. 공공 이익 – 공공기관 또는 공적 임무를 수행하는 기관
  6. 정당한 이익 – 처리자의 사업적 이익이나, 정보주체의 이익과의 형량이 필요(이익형량 테스트)

기업의 필수 문서

1. 개인정보 처리방침

모든 기업은 다음 사항을 포함하는 명확하고 이해하기 쉬운 개인정보 처리방침을 공개해야 합니다:

  • 개인정보처리자의 명칭 및 연락처
  • 처리 목적 및 법적 근거
  • 처리되는 개인정보의 범위
  • 보관 기간
  • 정보주체의 권리(열람, 정정, 삭제, 이동, 이의 제기)
  • 감독기관(NAIH) 연락처

2. 처리활동 기록(ROPA)

GDPR 제30조에 따라 모든 개인정보처리자는 처리 활동의 기록을 유지해야 합니다. 직원 수 250명 미만 조직은 이 의무에서 면제됩니다 — , 처리가 정기적으로 이루어지거나 특수 범주의 개인정보에 관련된 경우는 예외입니다.

실무 경험: NAIH 점검 시 처리활동 기록의 존재 여부가 가장 먼저 확인됩니다. 기업 규모와 관계없이 기록을 유지하는 것이 바람직합니다.

3. 수탁처리 계약

기업이 제3자 서비스 제공자(예: 회계사, 클라우드 서비스, 이메일 서비스)에게 데이터 처리를 위탁하는 경우, GDPR 제28조에서 규정하는 내용 요소를 포함하는 서면 수탁처리 계약(adatfeldolgozói szerződés)을 체결해야 합니다.

웹사이트 관련 의무

쿠키(Cookie)

e-Privacy 지침 및 NAIH의 입장에 따르면:

  • 필수 쿠키 – 동의 없이 사용 가능(예: 세션 쿠키)
  • 기능 및 분석 쿠키 – 동의 필요, 단 익명 통계를 수집하는 경우 예외
  • 마케팅/추적 쿠키 – 사전의 고지에 기반한 능동적 동의(opt-in)를 통해서만 허용

문의 양식

웹사이트의 문의 양식에 대해서는:

  • 정보주체에게 처리 목적과 보관 기간을 고지해야 합니다
  • 동의 의사표시는 능동적 행위(체크박스 선택)로 이루어져야 합니다
  • 동의 사실을 입증할 수 있어야 합니다

개인정보 침해 사고 대응

GDPR 제33조에 따라 개인정보 침해 사고가 정보주체의 권리와 자유에 위험을 초래할 가능성이 있는 경우, 72시간 이내에 NAIH에 신고해야 합니다. 사고 대응 절차:

  1. 인지 및 기록 – 사고 내용, 시점, 영향 받는 데이터 확인
  2. 위험 평가 – 정보주체의 권리와 자유에 미치는 영향 분석
  3. NAIH 신고 – 필요한 경우 72시간 이내
  4. 정보주체 통지 – 고위험의 경우 정보주체에게도 통지
  5. 시정 조치 – 향후 사고 예방을 위한 대책 수립

제재

GDPR에 따라 감독기관은 다음과 같은 제재를 부과할 수 있습니다:

  • 경고, 시정 명령
  • 처리 제한 또는 금지
  • 과태료: 최대 2,000만 유로 또는 기업 전 세계 연간 매출액의 4%(둘 중 높은 금액)

NAIH는 2025년에도 다수의 헝가리 기업에 과태료를 부과했으며, 가장 빈번한 사유는 개인정보 처리방침 미비, 법적 근거 없는 직접 마케팅, 침해 사고 미신고였습니다.

실무 체크리스트

  • 웹사이트에 개인정보 처리방침 게시
  • 쿠키 동의 배너(비필수 쿠키에 대한 opt-in)
  • 처리활동 기록 유지
  • 수탁처리 계약 체결
  • 침해 사고 대응 계획 수립
  • 직원 대상 개인정보 보호 교육
  • 삭제 요청 처리를 위한 내부 절차 마련

개인정보 보호 책임자(DPO) 지정이 필요한 경우

  • 공적 임무를 수행하는 기관의 경우 의무적
  • 정보주체에 대한 정기적이고 대규모 모니터링의 경우
  • 특수 범주 개인정보의 대규모 처리의 경우

소규모 기업에서는 의무 사항은 아니지만, 개인정보 보호 담당자를 지정하는 것이 바람직합니다.

본 사무소는 개인정보 처리방침 작성에서 개인정보 보호 감사에 이르기까지 포괄적인 개인정보 보호 법률 자문을 제공합니다. 언제든지 문의하여 주십시오.

#개인정보 보호 #GDPR #정보 처리 #기업 #Info tv.
공유: