지난 4월, 유럽 의회는 GDPR을 채택했다. EU 회원국 내에서 발생하는 거래에 대해 기업은 EU 시민의 개인 데이터와 정보를 보호하기 위해 필요한 사항들을 갖춰야 한다. 또한 GDPR은 EU 외부로 개인 데이터가 유출되는 것을 규제한다. EU 국가에서 사업하거나 EU 시민 데이터를 처리하는 기업의 경우, 2018년 5월 25일까지 이를 준수해야 한다.
이 조항은 EU 회원국 28개국 모두에게 적용되며, 이는 EU 내에서 기업들이 접할 수 있는 하나의 표준을 의미한다. 그러나 이 표준은 보호 수준이 상당히 높으며 이를 관리하기 위해 대부분 기업은 많은 투자를 해야 한다.
GDPR은 EU 시민에게 부여된 의무 사항과 권리, 그리고 GDPR 운영과 구조, 벌칙을 정의하는 99개 조항으로 구성되어 있다. 비즈니스에 현격한 영향을 주는 조항은 다음과 같다.
제 5조. 개인 정보의 처리 및 저장 : 모든 개인 데이터는 적법하고 투명하게 처리되어야 하며, 개인에게 특정 목적으로만 처리되어야 한다. 데이터 주체를 식별할 수 있는 형태의 데이터는 개인 데이터가 처리되는 목적을 위한 필요 범위 내에서만 저장될 수 있다.
모든 개인 데이터는 불법적인 접속, 손실, 피해에 대해 보호하기 위해 안전하게 처리되어야 한다. 적절한 기술적 또는 조직적 조치를 취해야 한다. 이런 조치들은 정의된 것이 아니라 데이터가 분실하거나 도난당한 경우 해당 기업이 규정 준수를 하지않은 것으로 간주될 수 있다.
제 6조, 7조, 8조. 동의 : 모든 개인 데이터 처리는 합법적으로 이뤄져야 하며, 이는 각 개인이 개인 데이터 사용에 동의해야 한다는 것을 의미한다. 수집된 데이터는 공공 당국을 제외한 개인이 시작한 업무 또는 거래를 완료하기 위해 필요하다.
제 15조. 접근할 권리 : EU 시민권자는 기업이 어떤 개인 데이터를 사용하고 어떻게 사용되는지 알고 요청할 권리가 있다.
제 17조. 잊힐 권리 및 데이터 삭제 : EU 시민은 요청시 기업이 자신의 데이터 처리를 중단하고 삭제할 것을 기대할 수 있다.
제 20조. 데이터 이동성에 대한 권리 : EU 시민은 요청에 따라 기업에서 기업으로 자신의 개인 데이터를 전송할 수 있다.
제 25조, 32조. 데이터 보호 : 기업은 EU 시민에게 합리적 수준의 데이터 보호와 프라이버시를 제공할 수 있어야 한다. GDPR 관리기구가 합리적 수준을 어떻게 판단할 것인지는 명확하지 않다.
제 33조, 34조. 데이터 위반 보고 : 기업은 침해가 탐지된 후 72시간 이내에 침해로 영향을 받는 감독 당국과 개인에게 해당 데이터 침해에 대해 보고해야 한다.
제 35조. 영향 평가 : 기업은 EU 시민의 위험을 파악하기 위해 데이터 보호 영향 평가(Data Protection Impact Assessments, DPIAs)를 실시해야 한다. 이 평가에서 기업이 위험을 어떻게 처리하고 있는 지 기술해야 한다.
제 37, 38, 39조. 데이터 보호 책임자(Data Protection Officer, DPO) : 일부 기업은 데이터 보안 전략과 GDPR 준수를 감독하기 위한 DPO를 임명해야 한다. DPO 프로세스가 필요하거나, 다량의 EU 시민 데이터를 저장하거나, 특수한 개인 데이터를 처리, 저장하거나, 정기적으로 데이터 주체를 모니터링하거나, 공공기관 등이 이에 속한다. 국제 프라이버시 협회(International Association for Privacy Professionals, IAPP)는 2만 8,000명의 DPO가 충원되어야 한다고 추정한다.
제 50조. 국제 기업 : EU 시민 데이터를 수집하거나 처리하는 국제 기업은 GDPR을 준수해야 한다.
제 83조. 벌금 : 기업은 최고 2,000만 유로(연간 매출액의 4%와 비교해 높은 금액)까지 벌금에 처할 수 있다. editor@itworld.co.kr