GDPR에서 개인정보 보관 기간은 어떻게 정해지나요?

Q: GDPR에서 개인정보 보관 기간은 어떻게 정해지나요?

A: GDPR(일반 개인정보 보호법)에서는 개인정보 보관 기간을 “목적 달성에 필요한 기간 동안만 개인정보를 보관해야 한다”는 원칙으로 규정하고 있습니다. 즉, 개인정보는 수집한 목적이 완료된 후에는 지체 없이 삭제하거나 익명화해야 합니다. 구체적인 보관 기간은 다음과 같은 기준에 따라 결정됩니다:

1. 처리 목적에 따른 기간 설정
- 개인정보를 수집한 원래 목적이 달성될 때까지 보관합니다. 예를 들어, 회원관리용 개인정보는 회원 신분이 유지되는 동안 보관합니다.
2. 법적 의무 준수 - 세금 신고, 회계 감사, 소비자 보호 등 법령상 개인정보 보관 의무가 있는 기간 만큼 보관할 수 있습니다.
3. 동의 또는 계약 사항
- 사용자가 동의한 보관 기간 또는 계약서에 명시된 보관 기간이 있다면 그 기간을 따릅니다.
4. 정기적 검토 및 삭제
- 개인정보의 불필요한 장기 보관을 방지하기 위해 보관 기간 만료 후 정기적으로 검토하여 삭제하거나 익명화합니다.

또한, GDPR 제5조(1)항의 ‘처리원칙’에 따라 개인정보는 “목적 제한”과 “내부 저장 제한” 원칙을 준수해야 하므로, 불필요하게 오랜 기간 보관하는 것은 법적 위반이 될 수 있습니다. 따라서 기업은 개인정보 보관 정책과 기간을 명확히 정하고, 관련 법률 및 내부 규정을 근거로 체계적으로 관리해야 합니다.

GDPR(General Data Protection Regulation, 일반 데이터 보호 규정)에서 개인정보 보관 기간은 다양한 요인에 따라 결정됩니다.

GDPR의 주요 원칙 중 하나는 데이터를 불필요하게 오래 보관하지 않는 것이며, 이를 위해 다음과 같은 기준을 고려해야 합니다.

1. 목적의 정확성 : 개인정보는 수집된 목적에 필요할 때만 보관할 수 있습니다.

따라서 특정 목적을 위해 데이터를 수집하였을 경우, 그 목적이 달성되면 개인정보는 삭제되거나 익명화되어야 합니다.



2. 법적 의무 : 특정 법률이나 규정에 의해 요구되는 보관 기간이 있을 수 있습니다.

예를 들어, 세무 관련 정보는 여러 년간 보관해야 할 수 있습니다.



3. 동의 및 계약 : 개인이 동의를 제공하거나 계약에 따라 처리되는 데이터는 그 동의나 계약의 유효 기간에 따라 보관할 수 있습니다.

동의가 철회되거나 계약이 종료되면 해당 정보는 삭제해야 합니다.



4. 필요성 평가 : 데이터 주체의 권리 보호, 서비스 제공, 법적 요구사항 등을 고려하여 개인정보 보관의 필요성을 주기적으로 평가해야 합니다.

필요성이 없어진 경우, 즉시 삭제해야 합니다.



5. 업종 및 서비스에 따른 특수성 : 특정 업종에서는 요구되는 보관 기간이 다를 수 있습니다.

예를 들어, 의료 데이터는 그에 맞는 특별한 처리와 보관 기준을 따릅니다.

GDPR은 데이터 보호 책임자가 법적 요구 사항과 조직의 정책에 따라 적절한 보관 기간을 설정하고 관리할 책임이 있음을 강조하고 있습니다.

이 과정에서 데이터 주체의 권리와 이익을 항상 고려해야 하며, 필요한 경우 해당 보관 기간에 대한 명확한 정보를 제공해야 합니다.