[260511] gdpr_v_pipa_may_2023_update (p.29-33)

1)

해당 페이지 범위의 제목, 소제목, 표/차트/키워드만 먼저 훑어보기

• 제목 및 소제목:
  • 4.4. Data protection officer appointment (데이터 보호 책임자 임명)
  • 4.5. Data security and data breaches (데이터 보안 및 데이터 유출)
  • 4.6. Accountability (책임성)
• 표/차트(일관성 등급):
  • 세 섹션 모두 'Fairly consistent (매우 유사)' 등급
• 주요 키워드:
  • DPO, Privacy Officer (개인정보 보호책임자), Independence (독립성), Domestic representative (국내대리인), Technical/Managerial/Physical measures (기술적/관리적/물리적 조치), Data breach notification (유출 통지), Internal management plan (내부 관리 계획)

2)

문단별로 빠르게 훑으며 주요 결론/차이점만 한국어로 적기

표 형식 부분은 GDPR/PIPA/Differences 열을 먼저 한국어로 요약

• 4.4. DPO 임명: 양측 모두 전문가 임명을 요구하지만, GDPR은 공공기관이나 대규모 모니터링 시 필수인 반면, PIPA는 일정 기준(매출액, 고용 인원 등)에 따라 임명 여부가 결정됩니다. 특히 PIPA는 국내에 사업장이 없는 서비스 제공자에게 국내대리인 지정을 요구하는 특징이 있습니다.
• 4.5. 데이터 보안 및 유출: 기술적·관리적 보호 조치를 취해야 한다는 점은 같습니다. 하지만 유출 통지 기한에서 GDPR은 72시간 이내인 반면, PIPA는 5일 이내(정보통신서비스 제공자는 24시간 이내)입니다. 또한 PIPA는 1,000명 이상의 유출 시에만 정부 기관에 보고할 의무가 있습니다.
• 4.6. 책임성: GDPR은 '책임성(Accountability)'을 명시적인 법적 원칙으로 규정하고 입증 책임을 강조하지만, PIPA는 명시적인 용어 대신 처리자의 전반적인 의무 준수 노력을 강조하는 형태로 표현합니다.

[표 요약: GDPR/PIPA 차이점]

구분 GDPR PIPA 주요 차이점 (Differences)

DPO/책임자	공공기관, 대규모 모니터링, 민감정보 대량 처리 시 필수	일정 기준 미달 시 대표자가 직접 수행 가능. 그룹당 1인 임명 불가(개별 임명)	PIPA는 '국내대리인' 제도를 운영하며, 그룹 단위의 단일 책임자 임명을 허용하지 않음.
유출 통지	72시간 내 감독 기구 보고. 개인에게는 '지체 없이' 통지	5일 내(ICSP는 24시간 내) 통지. 1,000명 이상 유출 시에만 서면 보고 의무	PIPA는 보고 의무가 발생하는 인원수 기준(1,000명)이 명확하며, 통지 기한이 더 구체적임.
책임성	제5조에 명시된 기본 원칙	용어 자체는 사용하지 않으나 준수 노력 의무화	GDPR은 컨트롤러가 준수 사실을 '입증'해야 한다는 점을 더 명확히 규정함.

3)

핵심 문장 2~3개는 직접 영어로 요약해서 노트에 쓰기

Both frameworks require the appointment of a data protection expert to ensure compliance, though PIPA specifically mandates a 'domestic representative' for foreign entities without a physical presence in Korea.

• While both laws mandate data breach notifications, PIPA sets a reporting threshold of 1,000 individuals and prescribes specific timelines, such as 24 hours for information and communications service providers.

4)

페이지에서 나온 중요한 법률 영어 단어 선택

간단하게 영어로 정의 작성, 한국어로 정의 작성

1. Domestic Representative
   • A person designated within South Korea by foreign service providers to manage data protection matters and respond to local authorities.
   • 국내에 사업장이 없는 외국 사업자가 정보주체 보호를 위해 국내에 지정해야 하는 국내대리인.
2. Internal Management Plan
   • A set of administrative guidelines established by a data handler to ensure the secure processing of personal information.
   • 개인정보의 안전한 처리를 위해 수립하고 시행해야 하는 내부 관리 계획.
3. Independence (of DPO/Privacy Officer)
   • The requirement that data protection officers should not receive instructions regarding the exercise of their tasks to prevent conflicts of interest.
   • 책임자가 업무 수행 시 누구의 지시도 받지 않고 독자적으로 판단할 수 있는 독립성.
4. Integrity and Confidentiality
   • Fundamental principles ensuring that personal data is processed securely to prevent unauthorized access or loss.
   • 개인정보가 안전하게 보호되어야 한다는 무결성 및 기밀성 원칙.
5. Corrective Power
   • The authority of a supervisory body to issue warnings, order erasures, or impose fines in response to violations.
   • 법 위반 시 감독 기구가 행사할 수 있는 시정 명령 및 제재 권한인 시정권

5)

한글로 3문장 요약→영어로 3문장 요약 바꿔쓰기

스스로에게 공부한 내용 관련해서 1개의 질문을 영어로 해보기

그리고, 스스로 답변 작성

1. GDPR과 PIPA는 데이터 보호 책임자(DPO)의 임명과 그 독립성 보장을 공통적으로 요구하지만, PIPA는 그룹 단위의 단일 책임자 지정을 허용하지 않습니다.
2. 보안 측면에서 두 법 모두 기술적·관리적 조치를 강조하며, PIPA는 1,000명 이상 유출 시에만 기관 보고 의무가 발생하는 구체적 기준을 두고 있습니다.
3. 책임성(Accountability)에 대해 GDPR은 이를 명시적 기본 원칙으로 삼는 반면, PIPA는 데이터 처리자의 전반적인 법적 의무 준수 노력을 통해 이를 실현합니다.

 

1. Both the GDPR and PIPA mandate the appointment of data protection experts and ensure their independence, but PIPA requires each individual entity to appoint its own officer.
2. In terms of security, both laws emphasize technical and managerial measures, with PIPA establishing a clear threshold of 1,000 affected subjects for mandatory reporting to regulators.
3. While the GDPR explicitly codifies accountability as a core legal principle, PIPA approaches it through the general duty of handlers to demonstrate compliance with their statutory responsibilities.

 

• Q: What is a key difference between the GDPR and PIPA regarding the reporting of a data breach to the supervisory authority?
• A: Under the GDPR, a breach must be notified to the authority within 72 hours unless it is unlikely to result in a risk, whereas under PIPA, a report is only mandatory if the breach involves 1,000 or more individuals, typically within 5 days