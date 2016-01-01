GDPR은 기업이 개인 데이터를 처리하는 데 사용할 수 있는 법적 근거를 정의합니다. 이러한 조건 중 하나 이상이 충족되지 않으면 처리가 불법이 됩니다.

데이터 주체가 데이터 처리에 동의합니다. 동의를 얻은 경우 기업은 개인의 데이터를 처리할 수 있습니다. 동의는 사전 고지가 있었고, 적극적이며 자유롭게 이루어진 경우에만 유효합니다.

사전 고지를 위해 기업은 어떤 데이터를 수집하며 해당 데이터를 어떻게 사용할 것인지 명확하게 설명해야 합니다. 동의가 적극적으로 이루어지도록 하기 위해 사용자는 진술서에 서명하거나 확인란을 선택하는 등 동의를 표시하기 위한 의도적인 조치를 취해야 합니다. 동의는 기본 옵션이 될 수 없으므로 미리 선택된 확인란과 같은 항목은 GDPR에 위반됩니다. 동의가 자유롭게 이루어지도록 하기 위해 기업은 어떠한 방식으로도 주체에게 영향을 미치거나 동의를 강요해서는 안 됩니다. 기업은 서비스 작동을 위해 처리가 필요한 경우를 제외하고는 서비스 이용에 대한 동의를 요구할 수 없습니다. 예를 들어 기업은 무언가를 판매하기 위해 개인의 신용 카드 번호가 필요할 수 있지만 IP 주소는 필요하지 않을 것입니다.

기업은 데이터가 여러 목적으로 처리되는 경우 동의를 합쳐서 얻을 수 없습니다. 주체는 각 처리 활동을 개별적으로 수락하거나 거부할 수 있어야 합니다. 조직은 동의 기록을 보관해야 합니다. 주체는 언제든지 동의를 철회할 수 있으며, 그렇게 하는 경우 처리는 중지되어야 합니다.

데이터는 데이터 주체와의 계약을 이행하기 위해 또는 주체를 대신하여 처리되어야 합니다. 예를 들어 누군가가 대출을 신청하는 경우 은행이 해당 개인의 금융 데이터와 근무 이력을 처리해야 할 수 있습니다.

컨트롤러는 데이터를 처리할 법적 의무가 있습니다. 예를 들어 일부 의료 규정에서는 병원이 환자 데이터를 파일에 보관하도록 요구합니다.

데이터는 주체 또는 다른 사람의 중요한 이익을 보호하기 위해 처리되어야 합니다. 이는 사람의 생명을 구하거나 피해를 방지하기 위해 데이터를 처리해야 하는 상황을 말합니다.

데이터는 공익 또는 컨트롤러의 공식 권한에 해당하는 업무를 수행하기 위해 처리되어야 합니다. 저널리즘은 개인 데이터를 처리하는 공익적 이유의 전형적인 예입니다. 정부 기관은 공식적인 기능을 수행하기 위해 개인 데이터를 처리할 수 있습니다.

데이터는 컨트롤러 또는 제3자의 합법적 이익을 추구하기 위해 처리되어야 합니다. 합법적 이익이란 기업이 데이터 처리를 통해 얻을 수 있는 이익을 말합니다. 그 예로는 직원에 대한 신원 조회를 수행하거나 사이버 보안을 위해 기업 네트워크에서 IP 주소를 추적하는 경우 등이 있습니다. 합법적 이익으로 간주되기 위해서는 처리가 요구되어야 합니다. 문제의 데이터 없이 업무를 해낼 수 있는 경우 기업은 합법적 이익을 주장할 수 없습니다. 또한 데이터 주체는 처리를 합리적으로 예상해야 합니다. 자신의 데이터가 특정 방식으로 사용되고 있다는 사실을 주체가 듣고 놀라게 된다면 기업에는 합법적 이익 근거가 없을 가능성이 큽니다. 일반적으로 데이터 주체의 권리는 기업의 합법적 이익보다 우선합니다.

조직은 데이터를 수집하기 전에 근거를 확립하고 문서화해야 합니다. 그리고 이러한 근거를 사용자에게 전달해야 합니다. 기업은 주체의 동의 없이 사후에 근거를 변경할 수 없습니다.