GDPR의 의미부터 국내 대응현황까지, 핵심 간단 정리

EU 시민들의 데이터 프라이버시 보호를 위한 법률 시행에 전 세계가 들썩이고 있습니다. 꼭 알아야 할 정보만 모아봤습니다!

By Mobvista 2018-05-18

이번 모비스타 인사이트에서는 세계의 이목이 집중된 GDPR의 의미와 영향력에 대해 알아보겠습니다.

GDPR 이란?

GDPR(General Data Protection Regulation)‘EU 일반 개인 정보보호법으로 기업들이 고객과 사용자 데이터의 개인 정보를 다루는 방식을 표준화하고 개선하도록 만든 새로운 법률입니다. GDPR은 EU 거주자들이 누가 자신의 개인 정보에 접근했으며 이를 어떻게 취급했는지에 대해 관리할 수 있는 권리를 강화하기 위해서 제정되었습니다.

EU에만 적용되는? 전 세계에 영향을 미치는 법률!

앞서 말씀드렸듯, GDPR은 기본적으로는 EU 거주 시민들을 보호하기 위해 제정한 법률입니다. 다만 기업이나 기업이 적용하고 있는 기술이 유럽 이외의 지역에 등록되어 있다고 하더라도 EU 거주 시민의 개인 정보를 취급, 저장하거나 처리하는 경우 본 법률의 적용을 받게 됩니다. 따라서 유럽과 멀리 떨어진 지구 반대편에 있는 기업일지라도 EU에 고객이 단 한 명이라도 있다면 GDPR의 요건을 준수해야 한다는 점에서 본 법률이 미치는 범위는 글로벌하다고 할 수 있습니다.

 또한 GDPR의 핵심 중 하나는 이해당사자와 개인 정보의 관계에 따라 지켜야 할 규칙이 다르다는 것입니다. GDPR을 지켜야 하는 대상은 정보주체(Subject), 컨트롤러(Controller), 프로세서(Processor)의 세 그룹으로 나누어 볼 수 있는데, 하기와 같은 기준으로 분류됩니다. 

1) 당신의 정보가 수집 또는 처리되고 있다면 정보주체
2) 누군가의 정보를 수집하고 처리하고자 하거나 그 정보의 수집과 처리 여부 및 처리 방법을 결정하는 개인이나 기업이라면 컨트롤러
3) 정보를 실제로 처리하고 있는 개인 또는 기업은 프로세서

개인이나 기업이 이중 어느 범주에 속하는가에 따라 준수해야 하는 구체적인 규정이 달라지지만 어느 경우에도 GDPR을 위반할 경우 연간 매출의 4퍼센트 또는 최대 2,000만 유로 중 더 높은 금액이라는 엄청난 과징금을 지불해야 한다는 점은 동일합니다. 
  

GDPR이 기업들에게 미치는 영향?

GDPR에 대한 많은 논의가 이루어지고 있는 가운데 대다수의 사람들이 법률의 구체적인 내용은 모르더라도, GDPR 자체가 매우 중요하다는 인식은 하고 있습니다. 실제로 GDPR의 내용을 살펴보면, 다양한 종류의 개인 정보에 대해 어떠한 조치를 취해야 하는지에 대한 다양한 규제와 요구 사항이 기재되어 있습니다.

GDPR로 인한 주요 변화 (출처 : 전자뉴스, http://www.etnews.com/20180321000170)

하지만 여기서 기억할 점은 이런 규제와 요구 사항의 가장 영향을 받는 것은 이런 개인 정보를 수집, 저장, 사용하는 기업이라는 것입니다. 이에, 모든 기업들은 공통적으로 다음의 여섯 가지 사항을 명심하고 실천하기 위한 준비가 필요합니다.

1. 사용할 개인 정보에 대한 동의(및 철회) 방법을 분명하고 쉽게 만든다.
2. 데이터 침해의 영향을 받은 사람에게 72시간 이내에 관련 정보를 알린다.
3. 소비자들이 기업이 자신의 어떤 개인 정보를 다루고 있는지 알 수 있도록 한다.
4. 소비자가 정보 삭제와 제3자에 대한 정보 공유 중단을 요청할 때 이에 대한 조치를 취한다.
5. 개인 정보를 저장하고 처리하는 IT 시스템의 보안을 유지한다.
6. 위의 모든 조치가 실시되는지의 여부를 확인하기 위한 분명한 검증 절차를 갖춘다 

국내에서 GDPR에 대한 인식은? 다른 기업들은 어떻게 대비하고 있을까?

한국 인터넷진흥원(KISA)이 진행한 설문조사에 따르면 우리나라 기업의 97%가 GDPR에 대한 준비 정도에 대해 보통, 낮음, 매우 낮음이라고 응답했습니다. GDPR에 대한 컴플라이언스가 다소 복잡하기 때문에, 정부는 GDPR의 시행을 앞두고 작년 12월에는 우리 기업을 위한 GDPR 안내서, 제1차 GDPR 가이드라인을 발표하고, 4월에는 EU GDPR 대응 포럼을 개최하는 등 한국 기업들이 GDPR에 대해 미리 준비하고 대응할 수 있도록 다양한 활동을 펼치고 있습니다.
관련 자료는 개인정보보호 국제협력 센터(https://www.privacy.go.kr/interantionalCooperation.do)에서 다운로드 가능)

2017년 12일 진행된 ‘우리 기업을 위한 GDPR 세미나’ (출처 : 데일리시큐)


국내 1위 포털사이트 네이버도 관련한 다양한 활동을 보이고 있습니다. EU GDPR을 위한 워크숍을 준비하고, 스타트업 등을 위한 별도의 설명회를 진행하였으며, 최근에는 GDPR에 대한 정보를 한 곳에서 확인할 수 있도록 네이버 프라이버시 센터 내에 GDPR 안내 페이지를 공개했습니다. 또한 네이버는 이전부터 일본을 오가며 네이버 계열사의 GDPR 대응 책임자들이 네이버와 라인의 대응 현황과 향후 진행 상황을 공유해왔으며, 올해 3월 1일 자로 이진규 CPO/CISO를 DPO(Data Protection Officer)로 지정하며 본격적인 준비에 나서고 있습니다. 

네이버 프라이버시 센터 GDPR 페이지 (출처 : https://privacy.naver.com/gdpr/infographic?menu=gdpr_infographic)

앱 퍼블리셔가 명심해야 할 GDPR 핵심 포인트

만약 유럽경제지역(EEA, European Economic Area)에서 수익화가 이루어지고 있는 앱의 퍼블리셔라면 GDPR을 준수하기 위한 조치가 필요합니다. , GDPR 하에서 퍼블리셔는 컨트롤러로서 모든 데이터의 취급 방식에 대한 책임을 져야 합니다. 그 책임 범위는 광고 네트워크와 같은 제3자가 하고 있는 활동도 포함하고 있으며 광고 네트워크나 플랫폼과 개인식별정보를 통신하는 모든 SDK도 법률의 적용을 받게 됩니다.
 

더욱 더 중요해질 GDPR, 늦지 않게 준비하세요!

2년간의 유예기간 동안 GDPR에 대한 준비를 마친 기업도 있지만 분명 아직 시간이 필요한 기업도 존재합니다. GDPR 정책을 수립한 모비스타의 홈페이지를 방문하시고 관련 준비에 나서보시는 것은 어떨까요? 아직은 여전히 모호한 부분이 있지만 GDPR이 향후 관련 기업들에게 더욱더 중요한 개념이 될 것임은 확실해 보입니다. 모비스타는 앞으로도 GDPR에 지속적인 관심을 가지고 고객의 정보와 관련된 정책들이 올바르게 지켜질 수 있도록 최선을 다 할 것입니다.

 

Share