GDPR이란?유럽연합(EU)에 서비스하고 있다면 꼭 알아두세요.

GDPR이란?

GDPR은 일반 개인정보 보호법(General Data Protection Regulation)의 준말로, 유럽연합(EU) 내에서 개인정보 보호 및 개인정보 처리에 관한 규정을 통일하고 강화하기 위해 제정된 법률입니다. 2018년 5월 25일에 시행되었습니다.

GDPR은 EU 내 및 EU 시민의 개인정보를 처리하는 모든 기업 및 기관에 적용됩니다. 주요 목표는 개인정보의 처리에 대한 투명성을 증가시키고, 개인정보 보호를 강화하여 개인의 권리를 보호하는 것입니다.

GDPR의 주요 요소와 규정은 다음과 같습니다.

1. 개인정보의 처리 근거: 개인정보를 처리하기 위해서는 명확한 법적 근거가 필요합니다. 이는 개인의 동의, 계약의 이행, 법적 의무의 준수 등을 포함할 수 있습니다.
2. 개인의 권리 강화: GDPR은 개인의 권리를 강화하고, 개인은 자신의 개인정보에 대한 접근, 수정, 이동, 삭제 등을 요구할 수 있습니다.
3. 데이터 이용 제한: 개인정보의 수집과 처리는 명확한 목적을 가지고 이루어져야 하며, 그 목적 이외의 용도로는 사용될 수 없습니다.
4. 보안 및 개인정보 보호 조치: 개인정보의 안전한 처리를 위해 적절한 보안 조치를 취해야 합니다. 또한 데이터 침해 발생 시 해당 기관은 72시간 이내에 관련 당국에 보고해야 합니다.
5. 국제 데이터 전송: EU 내에서 개인정보를 처리하는 기업이 EU 이외의 국가로 개인정보를 전송할 때는 EU의 규정을 준수해야 합니다.

GDPR은 개인정보 보호를 위한 전반적인 프레임워크를 제공하며, 개인의 개인정보 보호와 권리를 강화하여 개인의 신원 및 프라이버시를 보호하는 것을 목표로 합니다. GDPR을 위반하는 기업이나 기관에는 고액의 벌금이 부과될 수 있으므로, 기업 및 기관은 GDPR 준수를 엄격히 준수해야 합니다.

 

GDPR 준수가 필요한 서비스 예시

GDPR은 EU 내부 뿐만 아니라 EU 시민의 개인정보를 처리하는 모든 기업 및 조직에게 적용됩니다. GDPR의 주요 목적은 개인정보의 보호와 이용에 관한 규제를 통해 개인의 권리를 강화하고 개인정보의 처리를 효율적으로 관리하며, 디지털 경제의 성장을 촉진하는 것입니다.

다음은 GDPR을 준수해야 하는 서비스의 사례입니다.

1. 온라인 서비스 및 웹사이트: 온라인 상에서 개인정보를 수집하는 모든 서비스와 웹사이트는 GDPR을 준수해야 합니다. 이는 회원가입 정보, 결제 정보, 쿠키 사용 등을 포함합니다.
2. 클라우드 서비스: 클라우드 서비스 제공업체는 클라이언트의 데이터를 저장하고 처리하므로 GDPR을 준수해야 합니다. 이는 클라우드 스토리지, 데이터 분석, 웹 호스팅 등을 포함합니다.
3. 소셜 미디어 플랫폼: 소셜 미디어 플랫폼은 사용자의 개인정보를 수집하고 공유하므로 GDPR을 준수해야 합니다. 이는 사용자의 프로필 정보, 게시물, 메시지 등을 포함합니다.
4. 온라인 광고 및 마케팅: 온라인 광고 및 마케팅 서비스는 사용자의 개인정보를 활용하여 타겟팅 광고를 제공하므로 GDPR을 준수해야 합니다. 이는 사용자의 이메일 주소, 관심사, 브라우징 행동 등을 포함합니다.
5. 의료 및 건강 서비스: 의료 및 건강 서비스는 사용자의 민감한 건강 정보를 수집하므로 GDPR을 준수해야 합니다. 이는 의료 기록, 건강 상태, 의료 서비스 이용 내역 등을 포함합니다.

이 외에도 GDPR은 개인정보를 처리하는 모든 조직 및 기업에 적용되며, 이를 준수하지 않을 경우 벌금이나 소송 등의 처벌을 받을 수 있습니다. 따라서 GDPR을 준수하는 것은 모든 조직 및 기업에게 중요한 사항입니다.

 

더 구체적으로 말하면, 다음과 같은 경우에 GDPR을 꼭 준수해야 합니다.

1. 유럽 내에 사무소, 지사 또는 지역 사업장이 있는 기업
2. 유럽 시민의 개인정보를 처리하는 국제 기업 및 조직
3. 유럽 내에서 온라인 상으로 제품 또는 서비스를 판매하거나 제공하는 모든 기업
4. 유럽 시민을 대상으로 하는 마케팅 활동을 하는 모든 기업

따라서 GDPR은 유럽 내에서 활동하는 모든 기업과 조직에게 적용되며, 이를 준수하지 않을 경우 벌금이나 소송 등의 처벌을 받을 수 있습니다. 따라서 모든 기업과 조직은 GDPR을 준수하기 위한 적절한 조치를 취해야 합니다.

 

GDPR의 주요 정책

GDPR은 다양한 개인정보 보호 정책을 포함하고 있으며, 그 중 일부 주요 정책은 다음과 같습니다.

1. 개인정보 처리의 합법성, 정당성, 투명성: 개인정보 처리는 법적으로 허용되어야 하며, 처리 목적은 명확하고 투명해야 합니다. 또한 개인정보 처리에 대한 정보를 제공하고 처리 과정을 투명하게 해야 합니다.
2. 개인정보 최소화: 개인정보 처리는 최소한으로 제한되어야 합니다. 즉, 개인정보는 처리 목적에 필요한 최소한의 양으로 제한되어야 하며, 불필요한 정보는 수집하지 않아야 합니다.
3. 정확성 유지: 개인정보는 정확하고 최신의 상태여야 하며, 정확하지 않거나 오래된 정보는 즉시 업데이트되어야 합니다.
4. 보안 및 기밀성: 개인정보는 안전하게 보호되어야 하며, 비인가된 액세스나 누설을 방지하기 위한 적절한 보안 조치가 필요합니다.
5. 개인정보 주체의 권리: GDPR은 개인정보 주체에 대한 다양한 권리를 보장합니다. 이에는 개인정보 열람, 수정, 삭제, 이동 및 처리 제한 권리가 포함됩니다.
6. 개인정보 위탁 처리: 개인정보 처리를 위탁하는 경우, 데이터 컨트롤러와 데이터 프로세서 간의 계약을 체결해야 합니다. 또한 데이터 프로세서는 GDPR을 준수하고 데이터 컨트롤러의 지시를 따를 책임이 있습니다.
7. 개인정보 침해 통보: 개인정보 침해가 발생한 경우, 데이터 컨트롤러는 가능한 빠르게 관련 당사자에게 통보해야 합니다. 이에 따라 GDPR은 데이터 침해 사고를 신속하게 대응하고 개인정보 주체의 권리를 보호하는데 중점을 둡니다.

이 외에도 GDPR에는 개인정보 처리에 대한 다양한 규정과 요구사항이 포함되어 있습니다. 이러한 정책들은 개인정보 보호를 강화하고 개인의 권리를 보호하기 위한 것으로, 모든 기업과 조직은 GDPR을 준수하여야 합니다.

 

GDPR을 준수하지 않을 시 벌금 기준과 실제 사례

GDPR을 준수하지 않은 경우에는 기업이나 조직에게 벌금이 부과될 수 있습니다. 벌금의 크기는 여러 요소에 따라 다르지만, GDPR에 따르면 기본적으로 최대 벌금은 전체 글로벌 연간 매출의 최대 4% 또는 2000만 유로 중 더 큰 금액을 적용합니다. 이는 데이터 침해의 심각성, 처리 규모, 법적 요건 준수 여부 등을 고려하여 결정됩니다.

1. British Airways: British Airways는 2018년 8월부터 2018년 9월까지의 기간 동안 500,000명 이상의 고객 데이터에 대한 침해가 발생한 것으로 드러났습니다. 이에 대한 조사 결과, British Airways는 침해 사고 발생 당시 기본적인 보안 조치를 취하지 않았고, 개인정보 보호에 대한 적절한 관리 체계를 갖추지 않았다고 밝혀졌습니다. British Airways는 GDPR 위반으로 인해 최종적으로 약 2억 파운드의 벌금을 부과 받았습니다.
2. Marriott International: Marriott International은 2014년부터 2018년까지 약 3억 8000만명의 고객 데이터를 포함한 예약 시스템에 대한 침해 사고가 발생했습니다. 이에 대한 조사 결과, Marriott International은 침해 사고 발생 당시 기본적인 보안 조치를 취하지 않았고, 개인정보 보호에 대한 적절한 관리 체계를 갖추지 않았다고 밝혀졌습니다. Marriott International은 GDPR 위반으로 인해 약 9,900만 파운드의 벌금을 부과 받았습니다.
3. Google: 2019년 프랑스 정보위원회(CNIL)는 Google에 대해 GDPR을 위반한 혐의를 조사했습니다. 이 조사에서 Google은 사용자에게 광고 타겟팅 설정에 대한 충분한 정보를 제공하지 않았다는 이유로 약 5000만 유로의 벌금을 부과 받았습니다.
4. Facebook: 2018년 7월, 브리티시 정보위원회는 Facebook에 대해 개인정보 침해 사건에 대한 조사를 진행했습니다. 이 조사에서 Facebook은 카메브릿지 애널리티카(Cambridge Analytica) 사건으로 인해 개인정보 보호를 제대로 수행하지 않았다는 이유로 최대 500,000 파운드의 벌금을 부과 받았습니다. 하지만 이 벌금은 GDPR 위반으로 인한 것은 아니었습니다.
5. Twitter: 2019년 1월, 아일랜드 데이터 보호위원회(DPC)는 Twitter에 대해 GDPR 위반으로 인한 벌금을 부과하기 위한 조사를 시작했습니다. 이 조사는 Twitter가 사용자 데이터를 공개적으로 저장하지 않고 적절하게 보호하지 않았다는 이유로 진행되었습니다. 하지만 현재까지 Twitter에 대한 벌금 부과 여부는 알려지지 않았습니다.

이러한 사례들은 GDPR을 준수하지 않은 기업들에 대한 조사 및 벌금 부과 사례입니다. GDPR은 모든 기업과 조직이 개인정보 보호 규정을 준수하도록 강력히 권장하고 있으며, 위반 사례가 발견되면 엄격한 조치를 취할 수 있습니다.

 

한국 서비스도 GDPR을 지켜야 할까?

네, 맞습니다. GDPR은 EU 내에서 개인정보를 처리하는 모든 조직 및 기업에게 적용되므로, 한국의 서비스라도 EU 시민이나 EU 내에 위치한 개인의 개인정보를 처리하는 경우에는 GDPR을 준수해야 합니다. 이는 한국 기업이나 조직이 유럽 시장에 진출하여 서비스를 제공하거나 유럽 시민을 대상으로 서비스를 제공하는 경우에 해당합니다.

따라서 한국 기업이나 조직이 유럽 시민의 개인정보를 처리하는 경우에는 GDPR을 준수하는 것이 필요합니다. 이는 개인정보 처리의 합법성, 투명성, 개인정보 주체의 권리 보호, 데이터 보안 및 기밀성 유지 등의 GDPR 요구사항을 따르는 것을 의미합니다.

한국 기업이나 조직이 GDPR을 준수하지 않을 경우, 벌금이나 기타 법적 제재를 받을 수 있으며, 이로 인해 평판 손상이나 비즈니스 영향을 받을 수 있습니다. 따라서 유럽 시장에 진출하거나 유럽 시민을 대상으로 서비스를 제공하는 한국 기업이나 조직은 GDPR을 준수하기 위한 적절한 조치를 취해야 합니다.

 

GDPR 가이드라인 참고 자료

 

EU GDPR 웹사이트: 유럽 연합(EU)에서는 GDPR에 대한 공식 웹사이트를 운영하고 있습니다. 이 웹사이트에서는 GDPR에 대한 기본 정보, 주요 개념, 지침 및 자료 등을 제공합니다. EU GDPR 웹사이트

General Data Protection Regulation (GDPR) Compliance Guidelines