anonym.legal

By · Last updated 2026-05-04

블로그로 돌아가기GDPR 및 준수

GDPR 삭제권: EDPB 2025년 집행 조치

EDPB의 2025년 조정 집행 프레임워크는 32개 DPA에 걸쳐 삭제권 준수 실태를 조사했습니다. 9개 DPA가 공식 조사를 개시했습니다.

May 4, 20269 분 읽기
GDPR right to erasureEDPB coordinated enforcement 2025Article 17 compliancedata minimizationanonymization vs deletion

GDPR 삭제권: EDPB 2025년 조사 결과

2026년 기준 업데이트

EDPB의 2025년 삭제권 조치

유럽 데이터 보호 위원회(EDPB)는 2025년 대규모 조사를 실시했습니다. 대상은 GDPR 제17조, 즉 삭제권이었습니다. EU 및 EEA 전역의 32개 DPA가 참여해 일제히 조사를 진행했습니다. 목표는 개별 사례가 아닌 광범위한 위반 사례를 찾아내는 것이었습니다.

이 조사는 조정 집행 프레임워크(CEF)로 불립니다. 결과를 바탕으로 9개 DPA가 공식 조사에 착수했습니다.

반복되는 7가지 위반 유형

CEF 보고서는 조사 대상 기관에서 공통적으로 발견된 7가지 문제점을 명시했습니다.

  1. 삭제 요청 처리 절차 미비
  2. 정당한 요청의 과도한 거부
  3. 요청자에게 부당한 부담 부과
  4. 시스템 전반의 개인 기록 파악 불가
  5. GDPR 30일 응답 기한 초과
  6. 요청 결과에 대한 부실한 통보
  7. 삭제 대신 결함 있는 익명화 사용. 기관들이 '익명화'를 주장했지만 기록이 여전히 추적 가능한 상태로 남아 있었습니다.

일곱 번째 항목이 가장 복잡합니다. 이 방식을 통해 보유 개인정보를 줄이려는 모든 기관에 적용됩니다.

익명화와 삭제의 차이

GDPR의 삭제권이 반드시 완전한 삭제를 의미하지는 않습니다. 전문 65항은 삭제가 현실적으로 불가능한 경우 익명화를 허용합니다. 백업 테이프나 분석 시스템이 대표적인 사례입니다.

CEF는 이 옵션이 남용되고 있음을 보여줍니다. 기관들이 진정한 삭제를 피하기 위해 절차에 '익명화' 라벨을 붙입니다. 그러나 해당 절차는 여전히 실제 인물과 연결 가능한 정보를 남깁니다.

EDPB는 명확한 기준을 제시합니다.

진정한 익명화란 정보와 개인 간의 연결을 복원할 수 없는 상태를 의미합니다. 관리자도, 제3자도 재연결할 방법이 없어야 합니다. 이러한 정보는 GDPR 적용 범위 밖에 있으며 요청이 이행된 것으로 봅니다.

가명화는 다릅니다. 적절한 키를 사용하면 재연결이 가능합니다. 개인정보가 여전히 존재합니다. 요청이 이행되지 않은 것입니다. 정보를 삭제하거나 키를 파기해야 합니다.

이중 계층 접근 방식

분석 시스템에서 익명화를 활용하는 기관은 두 개의 계층이 필요합니다.

1계층 — 수집: 원시 개인정보가 저장됩니다. 이 정보는 삭제 요청의 대상입니다. 개인이 제17조 권리를 행사하면 이 계층의 정보가 삭제됩니다.

2계층 — 분석: 익명화된 결과물만 이 계층에 도달합니다. 처리가 완전하고 단방향으로 이루어졌다면, 이 결과물은 개인정보가 아닙니다. 삭제 요청이 들어와도 변경되지 않습니다.

이 구조는 익명화 단계가 세 가지 기준을 충족할 때만 유효합니다.

첫째: 단방향이어야 합니다. 가역 토큰이나 암호화된 대체 방식은 해당되지 않습니다.

둘째: 완전해야 합니다. 모든 유형의 식별자를 처리해야 합니다. 이름만으로는 충분하지 않습니다.

셋째: 기록이 있어야 합니다. 기관은 DPA에게 해당 방식이 어떻게 작동하는지 입증할 수 있어야 합니다.

고객 이름을 암호화된 토큰으로 교체하는 소매업체는 가명화를 한 것이지, 진정한 삭제를 한 것이 아닙니다. 분석 계층은 여전히 개인정보를 보유합니다. 삭제 요청이 계속 적용됩니다.

GDPR 준수 가이드에서 각 접근 방식의 법적 근거를 확인하십시오. 보안 준수 개요에서 필요한 통제 수단을 확인할 수 있습니다. 단계별 안내는 GDPR 익명화 감사 가이드를 참조하십시오.

참고 자료

관련 기사

GDPR 및 준수

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR 및 준수

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR 및 준수

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

데이터 보호를 시작할 준비가 되셨나요?

48개 언어로 285개 이상의 엔티티 유형으로 PII 익명화를 시작하세요.

무료 체험 시작기능 보기

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.