GDPR(General Data Protection Regulation) 이란 무엇일까? - 유럽 개인정보보호 규정

GDPR(General Data Protection Regulation)은 유럽 의회에서 유럽 시민들의 개인정보 보호를 강화하기 위해 만든 통합 규정이다.

2016년 유럽 의회에서 공표되었다. (법안명: Regulation(EU) 2016/679) 약 2년 간의 유예 기간을 가진 후 2018년 5월 25일부터 EU 각 회원국에서 시행되었다. 모든 유럽 연합의 시민의 개인정보를 활용하는 회사 및 각종 기관의 경우 본 GDPR을 준수해야 한다.

GDPR의 주요 항목은, 사용자가 본인의 개인정보 처리 관련 사항을 제공 받을 권리(the right to be informed), 열람 요청 권리(the right of access), 정정 요청 권리(the right to rectification), 삭제 요청 권리(the right to erasure)(잊혀질 권리라고도 한다), 처리 제한 요청 권리(the right to restrict processing), 데이터 이동 권리(the right to data portability), 처리 거부할 수 있는 권리(the right to object), 개인정보의 자동 의사결정 및 프로파일링과 관련한 권리(rights in relation to automated decision making and profiling) 등이다.

이 중에서 삭제 요청 권리(the right to erasure)는 기존 GDPR 초안의 잊힐 권리(the right to forgotten)에서 명칭이 바뀌었는데, 통상 함께 사용하고 있다. 자동 의사결정 및 프로파일링과 관련한 권리(rights in relation to automated decision making and profiling)는 대출신청에 대한 자동적 결정으로 인해 개인 고유의 상황이 고려되지 못할 경우, 수동적 검토 요청을 할 수 있는 권리 및 마케팅의 일환으로 개인의 직업, 위치 등이 자동 처리되어 활용되는 경우에 대해 정보주체인사용자에게 활용에 대한 고지 등에 관한 권리이다.

관련 사항을 어길 시, 감독 당국이 위반 회사나 기관에 전 세계 매출액의 2% 또는 1000만유로의 벌금 중 큰 금액까지를 매길 수 있다.

+) 내가 속한 회사도 유럽계 회사이다 보니, 한때 이 규정 때문에 각종 계약서 및 지침들이 수정되어서 번역하느라 고생했던 기억이 있다. 이 뿐만 아니라 이로 인해 개인정보 관련 교육도 매우 강화되었으며, 개인정보 수집에 대해 전 임직원 서명을 모두 다시 받는 듯 상당히 번거로웠던 기억이 있는데, 그만큼 중요하고 영향력이 큰 법이라는 것을 몸소 체험할 수 있었다.

+) GDPR 관련 내용은, 2016년인 도입 초기부터 국내의 각종 정부 기관 및 여타 공기업 (대표적으로 코트라) 관련 보고서 및 대응 매뉴얼을 배포해 두었어서, 관련 자료 찾기가 매우 수월하니, 혹시 학교 과제 등이 있는 분들은 정부기관이나 공기업 홈페이지를 검색해보는 것도 자료 찾는데 도움이 많이 될 것 같다.

GDPR의 적용대상 및 기타 사항은 다음과 같다.

- 적용 대상

GDPR은 정보 관리자(조직 내에서 처리될 개인정보의 종류 및 처리 방법 결정자(개인 혹은 조직))와 정보 처리자(정보 관리자의 지시를 받아 처리 업무를 하는 자(개인 혹은 조직))에게 모두 적용된다. 정보 주체로부터 개인정보를 수집하는 모든 조직은 정보 관리자로 간주될 수 있으므로, 모든 조직은 어떤 목적에서 개인 정보를 수집하고 있는지, 수집 되는 정보의 종류 및 처리되는 방법, 그리고 누구 공유할 것인지 반드시 기록으로 남겨야 한다.

정보 처리자는 정보 관리자를 위해 정보를 처리하는 모든 사람 및 조직을 말하는데, 이에는 페이롤 아웃소싱, 클라우드 서비스 제공자 등이 포함된 조직들이 속하며, 이런 조직들 역시 유럽연합 거주자에 해당하는 사람의 개인정보를 처리한다면 GDPR 규정을 따라야 한다.

- 정보 침해 공지

정보 관리자는 사생활보호나 보안에 큰 위협이 될 만한 모든 침해 사실에 대해 정보 주체에게 공지할 의무가 있다. 이 같은 공지는 침해 사실이 발견된 지 가능한 72시간 내에 지체없이 전달되어야 한다. 또한 정보 보호 당국에도 침해 사실을 보고하도록 하고 있다.

- 정보보호를 기본 계획 단계부터 포함하기

GDPR은 유럽연합 거주자의 정보를 다루는 조직이, 제품이나 서비스를 계획하는 기본 단계부터 사생활 보호에 관한 고려를 하도록 규정하고 있다. 착수 단계에서부터 정보를 보호하고 정보 수집을 최소화하기 위해서이다. 또한 GDPR은 특정 상황에서는 사생활 보호 영향 평가(PIA: Privacy Impact Assessments)를 시행하도록 규정하고 있다.

+) 앞서 설명한 GDPR의 주요항목에 대한 추가 설명: 

- 정보 접근에 대한 개인 권한

정보 주체는 자신과 관련해 정보 관리자가 갖고 있는 개인정보 전량에 대해 사본을 요구하고 확보할 수 있다. 조직은 요청을 받으면 각 개인에게 개인정보의 처리 목적 및 수집된 개인정보의 종류에 대해 (특별히 양이 엄청나게 많거나 불합리할 정도의 수준의 요청이 아닌 이상) 무료로 원하는 정보를 알려줄 책임이 있다. 

- 정보 이동에 대한 권리

개인정보 이동에 대한 요청을 받았을 때, 조직화되고, 표준화된, 기기가 읽을 수 있는 형태로 요구 받은 정보를 (되도록) 무료로 제공해야 한다.

GDPR 미준수로 인해 큰 영향을 받은 국내기업은 아직까지는 없는 것으로 보이나, 해외기업 (우버, 영국항공, 구글, 메리어트 호텔, 야후, 페이스북) 등의 글로벌 기업들이 GDPR 혹은 기타 개인정보보호규정 미준수 관련 벌금을 부과 받았다. 따라서, 각종 기업들이 선제적인 조치로써 많은 회사 규정을 바꾸고, 관련 작업들을 하고 있을 것으로 예상이 되는데 앞으로 이 유럽의 법이 개인정보보호규정의 국제적 표준이 되지 않을까 생각이 되는 만큼, 아직 유럽에 진출하지 않았거나 유럽인을 고용하지 않은 기업들의 경우에도 선제적인 조치로서 각종 규정 및 문서를 만들때 본 규정을 고려하는게 좋을 것 같다. 

+) GDPR 등 개인정보 관련 규정 미준수 벌금 부과 사례 원문 기사 보기:  (제목: 2020년 지금까지 가장 큰 데이터 보호법 위반 벌금 사례)

http://www.itworld.co.kr/news/161710#csidx33e7f7bb7478a748849f887ef42be5e