2017.11.02

ITWorld 용어풀이 | GDPR

허은애 기자 | ITWorld
2018년부터는 쿠키처럼 단순한 데이터를 잘못 관리해도 2,000만 유로에 이르는 벌금을 내야 할지 모릅니다. 2015년 10월 유럽연합 최고재판소는 개인 정보 주권 침해에 대한 우려를 표시하며, 유럽과 미국 간 세이프 하버(Safe Harbor) 협정이 무효라고 판결했습니다. 세이프 하버 협정은 2000년 미국과 유럽연합이 맺은 개인 정보 전송에 관한 협정으로, 유럽연합과 개인 정보 보호 수준이 유사한 국가로 유럽연합 시민의 개인 정보 전송을 허용했습니다. 미국 업체들은 미국 상무부에 자발적으로 협정을 준수하겠다고 신고하고, 유럽에서 취득한 데이터를 미국으로 전송해 왔습니다.

세이프 하버 규정이 무효가 되면서 유럽 개인 정보 보호 관리법 GDPR(General Data Protection Regulation, GDPR)이 새롭게 발의돼, 2018년 5월 25일부터 모든 유럽연합 회원국에 적용됩니다. 사용자 입장에서는 데이터에 대한 소비자 권리가 확대되는 장점이 있지만, 유럽 연합에 진출한 기업과 조직 입장에서는 시스템과 프로세스를 준수할 때 새로운 제약을 받게 됩니다.


GDPR의 영향을 받는 조직과 단체는 다음과 같습니다. 유럽연합 국가에서 사업을 운영하는 조직, 유럽연합 밖에서 활동하더라도 회원국 시민의 정보 주체에 재화나 서비스를 제공하는 조직, 유럽연합 내의 행동을 모니터링하는 조직, 직원 수가 250명 이상인 조직, 250명 미만이더라도 정보 처리를 통해 정보 주체의 권리와 자유에 영향을 미치고, 정보 처리를 자주 하거나 특정 민감한 개인 정보를 처리하는 조직입니다. GDPR은 이들 조직에 정보 데이터의 처리 방식과 근거를 명시하고 실제 처리를 수행할 때 GDPR의 규정을 따를 것을 요청합니다. 실제 데이터를 보관, 전송하고 처리하는 IT 기업이 GDPR을 준수해야 함은 물론입니다. 워싱턴 포스트에 따르면 이번 판결에 영향 받는 미국 업체는 4,400곳 이상입니다.

GDPR은 개인 정보의 정의를 큰 폭으로 확대한 것이 특징입니다. IP 주소 같은 온라인 식별자, 그리고 경제적, 문화적, 정신 건강 정보에 해당하는 데이터도 개인 식별 정보로 간주됩니다. 즉, IP 주소나 쿠키, RFID 태그도 사용자를 식별할 수 있다면, 이름, 주소, 사회보장번호 등 기존 핵심 개인 정보와 동등한 취급을 받게 됩니다. GDPR 규정에 명시된 개인 정보 데이터는 그 밖에도 건강 및 유전 데이터, 생체 인식 데이터, 인종 또는 민족 데이터, 정치적 견해, 성적 취향 등이 있습니다.

사용자들은 기업이나 단체가 보유한 모든 자신의 개인 정보에 액세스할 권리와 데이터가 처리되는 방식, 이유, 저장 기간, 열람 권한자를 알 권리를 가집니다. 데이터 컨트롤러는 가능한 한 사용자가 저장 정보를 검토할 수 있는 안전하고 직접적인 접근 방식을 제공해야 합니다. 또한, 사용자는 부정확하거나 불완전한 자료를 수정할 권리가 있습니다.

일명 ‘잊힐 권리’도 관계가 있습니다. 수집된 목적에 부합하지 않거나 불필요한 경우 개인 데이터 삭제를 요구할 권리를 말합니다. 유럽은 전통적으로 개인의 프라이버시를 민감한 문제로 인식해 왔으며, 시민의 개인 정보를 엄격하게 처리해 왔습니다. 2014년 5월 유럽 최고법원이 구글에 개인의 과거 행적을 담은 문서를 검색 결과에서 삭제하도록 명령한 판결 역시 개인 정보 및 프라이버시를 옹호하는 맥락에서 비롯됐습니다.

데이터 수집 동의 등의 기본 원칙을 따르지 않거나 적합하지 않은 방식으로 다른 국가로 데이터를 전송하면 막대한 벌금을 물게 됩니다. 벌금 최저 기준은 연간 매출액의 2%나 1,000만 유로 중 높은 금액이지만, 과거에 위반 여부가 있었다면 최대 2배까지 벌금이 늘어납니다.

조사 업체 오범(Ovum)에 따르면, 미국 기업의 약 60%가 GDPR로 유럽에서의 사업 전략을 재고하고 있습니다. 또, 85%의 기업이 GDPR로 유럽 기업과의 경쟁에서 불리한 입장에 놓여있다고 판단했습니다. 실제로 많은 업체가 여러 가지 방안을 강구하기 시작했습니다. 아마존, 드롭박스, 마이크로소프트 등 사업 규모가 큰 글로벌 IT 기업들은 유럽 내에 신규 데이터센터를 설립할 계획을 발표했습니다. 유럽에 데이터센터를 새로 지으면 기술적 우위를 확보하는 동시에, 유럽 내에서 수집한 정보를 합법적으로 활용하는 장점이 있습니다.

사실상 거의 모든 고객 정보가 개인 정보 데이터에 해당하므로, 기업들의 GDPR 대비 정책 점검이 가장 시급합니다. 글로벌 표준을 준수해야 한다는 최고 경영자의 리더십이 필요하고, IT 부서뿐 아니라 마케팅, 재무, 영업, 운영 등 사용자의 개인 식별 정보를 수집하고 분석, 사용하는 조직 내 모든 부서가 정책 마련에 참여하는 것이 좋습니다.

또, 공공 기관이나 대형 조직은 데이터 보호 책임자인 DPO(Data Protection Officer) 직책을 신설하고 담당자를 지정해야 합니다. 전문 컨설턴트 업체를 고용하는 것도 방법입니다.

무엇보다도 이미 수립한 데이터 보호 계획을 전면적으로 재검토하고, GDPR 요구사항에 부합하도록 업데이트하는 과정이 필수적입니다. GDPR은 정보 보호 위반이 발생하면 72시간 내에 위반 사실을 보고하는 것을 의무화했습니다. 이 기간 내에 보고와 응답 조치를 소화할 수 있는지 시범 테스트를 거치고, 지속적인 모니터링을 제도화하는 것도 좋은 방법입니다. editor@itworld.co.kr  


2017.11.02

ITWorld 용어풀이 | GDPR

허은애 기자 | ITWorld
2018년부터는 쿠키처럼 단순한 데이터를 잘못 관리해도 2,000만 유로에 이르는 벌금을 내야 할지 모릅니다. 2015년 10월 유럽연합 최고재판소는 개인 정보 주권 침해에 대한 우려를 표시하며, 유럽과 미국 간 세이프 하버(Safe Harbor) 협정이 무효라고 판결했습니다. 세이프 하버 협정은 2000년 미국과 유럽연합이 맺은 개인 정보 전송에 관한 협정으로, 유럽연합과 개인 정보 보호 수준이 유사한 국가로 유럽연합 시민의 개인 정보 전송을 허용했습니다. 미국 업체들은 미국 상무부에 자발적으로 협정을 준수하겠다고 신고하고, 유럽에서 취득한 데이터를 미국으로 전송해 왔습니다.

세이프 하버 규정이 무효가 되면서 유럽 개인 정보 보호 관리법 GDPR(General Data Protection Regulation, GDPR)이 새롭게 발의돼, 2018년 5월 25일부터 모든 유럽연합 회원국에 적용됩니다. 사용자 입장에서는 데이터에 대한 소비자 권리가 확대되는 장점이 있지만, 유럽 연합에 진출한 기업과 조직 입장에서는 시스템과 프로세스를 준수할 때 새로운 제약을 받게 됩니다.


GDPR의 영향을 받는 조직과 단체는 다음과 같습니다. 유럽연합 국가에서 사업을 운영하는 조직, 유럽연합 밖에서 활동하더라도 회원국 시민의 정보 주체에 재화나 서비스를 제공하는 조직, 유럽연합 내의 행동을 모니터링하는 조직, 직원 수가 250명 이상인 조직, 250명 미만이더라도 정보 처리를 통해 정보 주체의 권리와 자유에 영향을 미치고, 정보 처리를 자주 하거나 특정 민감한 개인 정보를 처리하는 조직입니다. GDPR은 이들 조직에 정보 데이터의 처리 방식과 근거를 명시하고 실제 처리를 수행할 때 GDPR의 규정을 따를 것을 요청합니다. 실제 데이터를 보관, 전송하고 처리하는 IT 기업이 GDPR을 준수해야 함은 물론입니다. 워싱턴 포스트에 따르면 이번 판결에 영향 받는 미국 업체는 4,400곳 이상입니다.

GDPR은 개인 정보의 정의를 큰 폭으로 확대한 것이 특징입니다. IP 주소 같은 온라인 식별자, 그리고 경제적, 문화적, 정신 건강 정보에 해당하는 데이터도 개인 식별 정보로 간주됩니다. 즉, IP 주소나 쿠키, RFID 태그도 사용자를 식별할 수 있다면, 이름, 주소, 사회보장번호 등 기존 핵심 개인 정보와 동등한 취급을 받게 됩니다. GDPR 규정에 명시된 개인 정보 데이터는 그 밖에도 건강 및 유전 데이터, 생체 인식 데이터, 인종 또는 민족 데이터, 정치적 견해, 성적 취향 등이 있습니다.

사용자들은 기업이나 단체가 보유한 모든 자신의 개인 정보에 액세스할 권리와 데이터가 처리되는 방식, 이유, 저장 기간, 열람 권한자를 알 권리를 가집니다. 데이터 컨트롤러는 가능한 한 사용자가 저장 정보를 검토할 수 있는 안전하고 직접적인 접근 방식을 제공해야 합니다. 또한, 사용자는 부정확하거나 불완전한 자료를 수정할 권리가 있습니다.

일명 ‘잊힐 권리’도 관계가 있습니다. 수집된 목적에 부합하지 않거나 불필요한 경우 개인 데이터 삭제를 요구할 권리를 말합니다. 유럽은 전통적으로 개인의 프라이버시를 민감한 문제로 인식해 왔으며, 시민의 개인 정보를 엄격하게 처리해 왔습니다. 2014년 5월 유럽 최고법원이 구글에 개인의 과거 행적을 담은 문서를 검색 결과에서 삭제하도록 명령한 판결 역시 개인 정보 및 프라이버시를 옹호하는 맥락에서 비롯됐습니다.

데이터 수집 동의 등의 기본 원칙을 따르지 않거나 적합하지 않은 방식으로 다른 국가로 데이터를 전송하면 막대한 벌금을 물게 됩니다. 벌금 최저 기준은 연간 매출액의 2%나 1,000만 유로 중 높은 금액이지만, 과거에 위반 여부가 있었다면 최대 2배까지 벌금이 늘어납니다.

조사 업체 오범(Ovum)에 따르면, 미국 기업의 약 60%가 GDPR로 유럽에서의 사업 전략을 재고하고 있습니다. 또, 85%의 기업이 GDPR로 유럽 기업과의 경쟁에서 불리한 입장에 놓여있다고 판단했습니다. 실제로 많은 업체가 여러 가지 방안을 강구하기 시작했습니다. 아마존, 드롭박스, 마이크로소프트 등 사업 규모가 큰 글로벌 IT 기업들은 유럽 내에 신규 데이터센터를 설립할 계획을 발표했습니다. 유럽에 데이터센터를 새로 지으면 기술적 우위를 확보하는 동시에, 유럽 내에서 수집한 정보를 합법적으로 활용하는 장점이 있습니다.

사실상 거의 모든 고객 정보가 개인 정보 데이터에 해당하므로, 기업들의 GDPR 대비 정책 점검이 가장 시급합니다. 글로벌 표준을 준수해야 한다는 최고 경영자의 리더십이 필요하고, IT 부서뿐 아니라 마케팅, 재무, 영업, 운영 등 사용자의 개인 식별 정보를 수집하고 분석, 사용하는 조직 내 모든 부서가 정책 마련에 참여하는 것이 좋습니다.

또, 공공 기관이나 대형 조직은 데이터 보호 책임자인 DPO(Data Protection Officer) 직책을 신설하고 담당자를 지정해야 합니다. 전문 컨설턴트 업체를 고용하는 것도 방법입니다.

무엇보다도 이미 수립한 데이터 보호 계획을 전면적으로 재검토하고, GDPR 요구사항에 부합하도록 업데이트하는 과정이 필수적입니다. GDPR은 정보 보호 위반이 발생하면 72시간 내에 위반 사실을 보고하는 것을 의무화했습니다. 이 기간 내에 보고와 응답 조치를 소화할 수 있는지 시범 테스트를 거치고, 지속적인 모니터링을 제도화하는 것도 좋은 방법입니다. editor@itworld.co.kr  


X