기다려주신 여러분 감사드립니다. 오랫만에 다시 블로그 올립니다. 잊혀지기 전에 얼른 뵈야될 것 같아서 다시 블로그 시작합니다. 🙂
————-
지난 주 영국에서 회사 교육에 참여를 하면서 유럽에 있는 우리 회사의 많은 전문가들과 공부하면서 다시 한번 느낀 것이지만 GDPR은 이제는 단지 유럽의 이야기가 아닌, 지구촌에 있는 모든 회사들이 관심을 가져야 할 주제다. 이 지구별에서, 한국에서 한국사람만 바라보면서 일을 할 생각이 아니라면 더욱 그렇다.
도대체 GDPR은 무엇인가?
GDPR (General Data Protection Regulation) (EU) 은 유럽 연합 내의 모든 개인에 대한 데이터 보호 및 개인 정보 보호에 관한 EU 법률의 규정이다. GDPR은 주로 EU 내에서 규정을 통일함으로써 시민과 주민에게 개인 정보를 제공하고 국제 비즈니스의 규제 환경을 단순화하는 것을 목표로 하고있다. GDPR은 EU 데이터 보호법의 범위를 EU 거주자의 데이터를 처리하는 모든 외국 회사로 확대하였고, EU 전역은 물론 비 유럽 기업이 이 규정을보다 쉽게 준수 할 수있게 해 주었다. 반면 위반시에는 전 세계 매출의 4 % 또는 2 천만 유로 중 큰 금액으로 심각한 처벌을 받는 엄격한 데이터 보호 준수 체제가 포함되어있다. 그것은 2016 년 4 월 14 일에 채택되었고 2 년의 과도기를 거쳐 오는 2018 년 5 월 25 일에 집행 가능하게 되었다. GDPR은 지침이 아닌 규정이기 때문에 국가 정부가 시행 할 수있는 법률을 통과할 필요도 없이, 직접 구속력이 있고 적용 가능하다.
그러므로 GDPR은 실제로 유럽 연합 법이지만 EU 내에서 사업을 할 때 모든 회사가 새로운 규정을 준수해야하므로 유럽 국경을 넘어 광범위한 영향을 미칠 수 있다. 가령, 여러분이 운영하는 한국의 웹사이트에 유럽에 사는 방문자가 방문을 해서 물건을 사는 등 당신의 회사와 거래를 했다면, 그 방문자는 향후 당신에게 개인 정보 삭제를 요구하거나 그 정보 처리를 거부할 수도 있다. 당신의 회사가 유럽인을 위한 웹사이트를 가지고있고 그들와 활발히 비즈니스를 하고 있다면 당연히 당신의 회사는 GDPR에서 규정하는 것에 만족하는 조건을 준비하고 있어야한다.
잊혀질 권리(Right to be forgotten) 의 촉발과 GDPR
유럽은 유럽사법재판소(Court of Justice of the European Union, CJEU)의 판결을 통해서 잊혀질 권리를 보호하고 있다. 2014년 5월 13일, 유럽사법재판소는 2010년 마리오코스테하 곤잘레스가 스페인 유력일간지 라반구아디아, 구글 스페인, 구글 본사를 상대로 자기에 관한 과거 1999년도 기사를 삭제해 달라고 요청한 사안에서 구글에 검색 결과의 차단을 명령하여, 이른바 ‘잊혀질 권리’의 실체적 권리성을 최초로 인정하였다. 이 판결 이후 유럽연합(EU)은 개인정보의 보호 수준을 강화하고 그 내용을 회원국에 통일적으로 적용하기 위하여, 현행「EU 개인정보 보호지침[Directive(95/46/EC)]」을 「EU 개인정보보호 일반규정(General Data Protection Regulation)」이란 명칭의 규정으로 개정하는 입법을 2016년 5월 완료하였다. GDPR 제17조는 ‘삭제권(Right to erasure)’이란 표제아래 ‘잊혀질 권리’를 부제로 하여, “정보주체는 정보처리자에게 자신의 개인정보에 관한 삭제권을 행사할 수 있고, 이에 따라 정보처리자는 일정 요건이 충족되면 지체 없이 해당 개인정보를 삭제할 의무를 지게 된다.”고 규정하고 있다.(인용 : http://news.seoulbar.or.kr/news/articleView.html?idxno=679)
GDPR 에서 반드시 알고 있어서 할 세가지 주체
(인용 : https://www.adobe.com/kr/privacy/general-data-protection-regulation.html)
데이터 주체(Data Subject)로서의 고객 권리
GDPR의 핵심은 개인 정보와 관련한 몇 가지 사항을 고객이 선택할 수 있다는 것이고, 고객은 기업에 다음을 요청할 수 있다.
- 오류 액세스 및 수정
- 개인 정보 삭제
- 개인 정보 처리 거부
- 개인 정보 내보내기
데이터 관리자(Data Controller)의 역할
관리자로서 기업은 데이터 프로세서 (Adobe 등 Analytics 나 DMP기술을 제공하는 서비스제공) 가 기업 대신 처리하고 저장할 개인 데이터를 결정한다. 관리자로서 브랜드 기업이 제공하는 정보 수집 및 활용 방법에 대한 안내문에 개인 정보 보호 관련 공지를 포함하고, 필요에 따라 고객의 동의를 얻어야 한다. 고객이 기업에서 보유하는 자신의 개인 정보에 대해 알기를 원하거나 기업과의 교류를 중단하기로 한 경우 기업은 이에 대응할 수 있어야 한다.
데이터 프로세서(Data Processor)의 역할
Adobe 등 Analytics나 DMP를 보유하고 서비스를 하는 기술제공자들은 소프트웨어 및 서비스 제공 과정에서 처리하고 저장하도록 요청받은 개인 정보에 대한 데이터 프로세서 역할을 한다. 데이터 프로세서로서 이들 회사들은 계약에 명시된 것과 같이 해당 기업의 허가와 지침에 따라 개인 정보를 처리한다. 기업의 데이터가 이 회사들의 클라우드 솔루션에 저장되어 있고 개별 소비자 요청에 대한 지원이 필요한 경우 이 데이터 프로세서 회사들은 프로세스, 제품, 서비스, 툴을 통해 협력하여 기업이 적절하게 대응할 수 있도록 지원한다.
전세계의 모든 회사들이 이를 기회로 디지털에서 더 나은 경험을 위한 서비스를 하겠다고 준비하는 동안 우리는 너무 멀찌감치에서 불구경 하듯 바라보는 것은 아닐까해서 몇자 적어보았다. 기업의 입장에서는 디지털에서 얻을 수 있는 정보가 더 작아진다는 우려가 있지만, 그대신 정말로 수집을 해야하는 정보가 무엇인지는 명문화하고 더 세밀하게 관리할 수 있게 된다는 장점도 존재한다. 개인이 식별되어야 반드시 의미가 있는 마케팅이 될 수 있다는 오래된 패러다임을 바꾸는 계기가 될 것 같다는 생각도 드는 부분이다.
이외에도 관심있는 분들은 아래 링크에서 상세한 내용을 확인하시기를 권고드린다.
https://www.eugdpr.org/eugdpr.org.html
https://www.kisa.or.kr/business/gdpr/gdpr_tab1.jsp
https://www.adobe.com/kr/privacy/general-data-protection-regulation.html
https://en.wikipedia.org/wiki/General_Data_Protection_Regulation#Right_of_access