GDPR이란? EU 개인정보 보호법에 관해 알아야 할 모든 것

일반 데이터 보호 규정(General Data Protection Regulation)의 약자인 GDPR 또는 GDPR EU는 유럽의 개인정보 보호법입니다. 유럽 연합(EU)과 유럽 경제 지역(EEA)에서 데이터 주체로 알려진 개인의 사적 정보 보호에 대한 규칙을 모아둔 것인데요. 유럽연합 전체의 데이터 보호법을 조화시키기 위해 고안된 규정으로서 2018년에 공식적으로 유럽 전역에 도입되었습니다.

GDPR이 공표되자마자 1995년부터 사용중이던 이전의 데이터 보호 지침이 95/46/EC로 대체되었습니다. 개인 데이터의 수집, 사용 및 공유 방법을 통제할 수 있는 데이터 주체의 권리를 강화했다는 평가를 받으며 비 유럽권에서도 GDPR 가이드라인이 개인정보 보호법의 표준 레퍼런스로 사용되고 있습니다.

GDPR은 또한 조직이나 기업이 EU에서 사업을 할 때 지켜야할 일련의 규칙을 제공합니다. 유럽 거주자의 개인 데이터를 처리하는 모든 기업과 조직은 데이터 침해를 방지하고 사용자 데이터를 적절하게 관리하기 위해 GDPR의 규정을 준수해야 합니다. 이는 EU에 사업장을 두고 있지 않더라도 해당됩니다. GDPR에 따른 데이터 개인정보 보호법 위반 및 규정 위반에 대한 벌금은 수백만 유로에 달할 정도로 기업에게 매우 가혹할 수 있습니다.

이렇듯 데이터 보호 지침은 EU에서 작성되었지만, EU 회원국에 기반을 둔 개인 데이터를 처리할 때 전 세계 기업이나 조직에 적용되기 때문에 비 유럽연합 국가에서도 고려돼야 합니다. 특히 유럽 시장에 진출해 있는 한국의 기업이나 국제 조직이라면 GDPR의 규정을 잘 숙지하고 위반하는 일이 없도록 각별한 주의를 기울이는 것이 필요합니다.

GDPR은 최근 몇 년간 디지털 환경의 중요한 변화에 대응하기 위해 채택되었습니다. 인터넷의 발달과 디지털 기술의 사용이 증가함에 따라, 조직이 수집, 사용 및 공유하는 개인 데이터의 양에 그에 상응하는 증가가 있었습니다. 인터넷 성장 어두운 단면은 데이터 개인 정보 보호와 데이터 침해 가능성도 늘어난다는 것이지요. GDPR은 개인 데이터 처리를 위한 새로운 규칙을 수립함으로써 이러한 우려를 해결하려고 노력합니다.

또한 GDPR이 제시하는 개인정보 보호법 덕분에 국제 조직이 민감한 데이터를 처리하고 기업들이 유럽에서 비즈니스를 수행하는 방식이 표준화되었습니다. 따라서 디지털 경제 발전에 필수적인 기업과 데이터 주체 간 신뢰 구축도 가능해졌습니다.

GDPR은 EU 거주자의 데이터를 처리하는 모든 기관에 적용됩니다. 고유 사용자를 식별하는 데 사용되는 모든 데이터 지점을 관리하며 다음을 포함합니다:

• 기본 신원 정보(이름, 주소, ID/여권 번호)
• 웹 데이터(IP 주소, 위치, 쿠키)
• 건강, 유전자 및 생체 인식 데이터
• 인종 또는 민족 출신
• 정치적 의견 또는 종교적 신념
• 성적 지향 및 성향
• 개인 식별이 가능한 기타 정보

GDPR은 민감한 데이터 보호를 위한 7가지 핵심 원칙을 제시합니다. 이러한 원칙은 중요한 데이터 컨트롤러가 개인 데이터를 수집, 사용 및 보호하는 방법을 정의하고 있습니다. GDPR의 7가지 원칙은 다음과 같습니다:

1. 합법성, 공정성, 투명성 – 조직은 데이터 처리가 법을 위반하지 않고, 명확하고 위장되지 않으며, 소비자에게 서비스를 제공해야 합니다.
2. 목적에 따른 제한 – 개인 정보를 수집하는 조직은 데이터 수집의 목적을 명시하고 해당 목적을 달성하기 위해 필요한 기간 동안만 데이터를 보관해야 합니다.
3. 데이터 최소화 – 회사는 의도된 목적을 위해서만 적절하고 관련성 있는 소비자 정보를 수집할 수 있습니다.
4. 정확성 – 수집된 개인 데이터의 정확성은 데이터 보호법에서 필수적인 부분입니다. 관련이 없거나 잘못된 모든 사용자 데이터를 삭제하거나 수정해야 합니다.
5. 저장 제한 – 기업은 개인 데이터를 처리하는 목적을 달성하는 데 걸리는 시간 동안만 개인 데이터를 보관할 수 있습니다.
6. 무결성 및 기밀성 – 데이터 컨트롤러는 적절한 데이터 감시를 위해 개인 정보를 처리해야 합니다. 데이터 프로세서는 개인 정보를 무단 및 불법적인 오용과 우발적인 파괴 또는 손실로부터 보호하기 위해 합리적인 조치를 취해야 합니다.
7. 책임 – 이를 위해서는 데이터 프로세서가 나머지 GDPR 원칙의 준수를 입증해야 합니다. 데이터 통제관은 법에 따라 개인 데이터를 처리한다는 것을 보장하고 증명할 수 있어야 합니다.

이 중에서도 가장 중요한 4가지 상위 원칙을 꼽자면, 데이터 최소화, 정확성, 저장 제한, 무결성 및 기밀성이 되겠습니다. 개인 정보를 다루는 기업과 조직은 GDPR의 규정에 따른 적절한 기술 및 조직 조치를 사용하여 모든 데이터를 공정하고 합법적이며 투명하게 처리해야 합니다. 이를 통해 보안 침해 가능성이 줄어들고 EU에 거주하는 개인의 정보 보안이 강화됩니다.

GDPR 준수란 모든 EU 회원국 거주자에 대한 데이터 보호 및 개인 정보 보호 규정을 준수하는 상태를 의미합니다. GDPR을 준수하려면, 기업이나 조직은 소비자 데이터를 처리할 때 GDPR에 명시된 원칙과 요구사항을 따라야 합니다.

GDPR을 준수하지 않을 경우의 벌금 및 처벌

GDPR 준수를 보장하지 않는 단체나 조직은 벌금 및 기타 처벌을 받을 수 있습니다. 구체적인 벌금과 처벌은 비준수의 성격과 심각성, 조직의 규모와 자원에 따라 달라집니다. GDPR은 데이터 보호 규칙을 준수하지 않을 경우 두 가지 단계의 벌금을 부과합니다:

• 사소한 위반 – 처리 작업 기록을 유지하지 않거나 데이터 보호 책임자를 지정하지 않는 등 위반 사항이 경미한 경우, 조직은 전 세계 연간 수익의 2% 또는 1,000만 유로(둘 중 높은 금액)까지 벌금을 부과받을 수 있습니다.
• 심각한 위반 – 법적 근거 없이 개인 데이터를 처리하거나 개인 데이터 침해를 보고하지 않는 것과 같은 더 심각한 범죄의 경우, 조직은 전 세계 연간 수익의 최대 2,000만 유로 또는 4% 중 더 높은 금액에 해당하는 금액에 벌금을 부과받을 수 있습니다.

과징금 외에도 개인 데이터 처리를 일시적 또는 영구적으로 금지하거나 데이터 처리 작업을 중단하는 등 데이터 보호 원칙을 준수하지 않을 경우 기업은 다른 처벌을 받을 수 있습니다.

개인의 사적 데이터에 대한 권리를 강화하고 개인 데이터 처리에 대한 통제권을 더 부여하는 것이 일반 데이터 보호 규정, GDPR의 주요 목적입니다. 여러분에게는 사이버 공간에서 자신의 권리에 대해 스스로 교육하고 데이터 컨트롤러가 보유한 데이터에 액세스할 권리 또는 잊혀질 권리가 있다는 것을 기억하십시오. GDPR은 개인 데이터에 대한 접근을 조직에 제공할 때 개인이 항상 갖는 8가지 기본권을 다음과 같이 나열합니다.

정보를 받을 권리

GDPR에 따르면, 데이터 주체들은 회사들이 그들의 민감한 개인 데이터를 어떻게 수집하고 사용하는지에 대해 정보를 받을 권리가 있습니다. 개인은 조직이 개인 데이터를 얼마나 오래 보관하고 누구에게 접근할 수 있는지 알 권리가 있습니다.

접근권

데이터 주체는 개인 데이터에 대한 액세스를 요청하고 수집 목적에 대한 정보와 데이터 컨트롤러가 데이터를 저장하고 처리하는 방법에 대한 정보를 받을 권리가 있습니다. 조직이 보유한 정보를 알고 싶다면 SAR(Subject Access Request)이라는 것이 필요합니다. 데이터 주체만 요청을 제출할 수 있으며, 데이터 컨트롤러는 1개월 이내에 읽을 수 있는 형식으로 응답을 전송해야 합니다.

시정권

GDPR에 따르면 개인은 자신에 대한 부정확하고 불완전하거나 부정확한 개인 데이터를 수정할 것을 요청할 권리가 있습니다.

삭제권

삭제권은 흔히 ‘잊혀질 권리’라고도 알려져 있습니다. 데이터 주체는 컨트롤러에 개인 정보를 영구적으로 삭제하도록 요청할 권리가 있습니다. 다만, 기업의 법적 의무를 준수할 필요가 있는 경우에는 데이터 컨트롤러가 개인의 데이터를 삭제할 의무가 없습니다.

처리를 제한할 권리

특정한 이유로 개인이 삭제를 요청할 수 없거나 데이터를 삭제할 수 없는 경우, 개인은 자신의 데이터 사용 및 처리를 제한할 것을 요청할 권리가 있습니다.

데이터 이동에 대한 권리

개인은 개인 데이터가 일반적으로 사용되고 기계가 읽을 수 있는 구조화된 형식으로 다른 조직에 전송되도록 요청할 권리가 있습니다.

이의신청권

경우에 따라 데이터 주체는 개인 데이터 처리에 이의를 제기할 권리가 있습니다. 예를 들어, 데이터가 직접 마케팅, 과학 연구 또는 공공 이익을 위한 다른 작업에 사용되는 경우가 이에 해당합니다.

자동화된 의사결정의 대상이 되지 않을 권리

데이터 주체는 자동화된 프로세스가 아닌 인간이 개인에 관한 결정을 내리도록 요청할 권리가 있습니다.

이러한 권리는 개인 데이터가 처리되는 위치나 회사 또는 조직의 기반에 관계없이 유럽 연합의 모든 거주자에게 적용됩니다. 유럽에서 활동하는 비유럽 단체로부터 서비스나 상품을 구매하는 사람들에게도 적용되기 때문에 본인의 권리가 무엇인지 알고 있는 것이 좋습니다.

하지만 이러한 GDPR이 수호하는 권리는 절대적으로 보장되는 것이 아니며 특정 면제 또는 제한의 대상이 될 수 있다는 점에 유의하시기 바랍니다. 이렇듯 GDPR 같은 개인정보 보호법이 존재하지만, 가장 좋은 보호는 미리, 스스로 챙기는 보안입니다. 타인에게 소중한 개인정보 보호를 전적으로 맡기는 일은 위험하지요.

만일 여러분의 개인정보를 처리하는 기업이나 조직이 GDPR의 규정을 지키지 않더라도 바이러스 및 위협 방지 기능이 담긴 VPN을 사용하여 소중한 개인정보를 보호하세요. VPN은 사용자의 데이터를 암호화된 터널로 통과시켜 아무도 읽을 수 없게 만들며, 실제 IP 주소를 숨기기 때문에 프라이빗한 인터넷 연결을 보장합니다. 특히 노-로그 정책으로 사용자의 온라인 활동 데이터를 일절 수집하지 않으며, 사이버 보안 기능을 탑재하고 있는 NordVPN은 한국에 전용 서버를 보유하고 있어, 한국에서 빠르고 안전하게 사용하기에 적합한 한국 VPN입니다.