General Data Protection Regulation (GDPR)
GDPR은 2016년 5월에 제정된 유럽연합법으로, 유럽에 사는 사람들을 위한 개인 정보 보호법입니다. 과거에 EU내 개인정보 보호의 기준이 되었던 1995년 개인 정보 보호 지침(Data Protection Directive 95/46/EC) 을 2018년 5월 25일부터 대체하며, 앞으로의 개인 정보 보호는 GDPR에 따르게 됩니다.
개인 정보 보호 지침의 경우, 법이 아니라 지침이었기 때문에 이러한 내용을 따르지 않아도 처벌은 없었지만 이번에 새롭게 적용되는 GDPR은 EU회원국가에게 법적 구속력이 행해진다는 점에서 눈 여겨 봐야 합니다.
GDPR은 자연인에 대한 개인정보 보호와, 이 정보들의 EU내 자유로운 이동을 골자로 하는 법입니다.
전문(Recital) 173개와 99개 조항이 포함된 본문으로 구성되며, 각 내용은 11장에 걸쳐 나누어져 있습니다.
제1장 일반규정 (General Provisions)
제2장 원칙 (Principles)
제3장 정보주체의 권리 (Rights of the Data Subject)
제4장 컨트롤러와 프로세서 (Controller and Processor)
제5장 제3국 및 국제기구로의 개인정보 이전(Transfer of Personal Data to Third Countries or International Organizations)
제6장 독립적인 감독기구 (Independent Supervisory Authorities)
제7장 협력 및 일관성 (Co-operation and Consistency)
제8장 구제책, 책임, 처벌 (Remedies, Liability and Sanctions)
제9장 특정 정보처리 상황에 관한 규정(Provisions Relating to Specific Data Processing Situations)
제10장 위임법률 및 시행법률 (Delegated Acts and Implementing Acts)
제11장 최종규정 (Final Provisions)
세세한 내용은 EU공식사이트에서 확인 할 수 있으며, 저는 일부 원하는 부분만 살펴보도록 하겠습니다.
GDPR은 생존해 있는 사람의 개인정보에 적용되며, 이러한 정보를 처리하는 ‘자동화된 시스템’(예를 들면 검색엔진)과 비자동화 수단(예를 들면 설문조사) 모두에 적용됩니다. 또한 유럽지역을 대상으로 사업을 한다던가 유럽지역의 정보를 모아 모니터링 하는 경우 적용될수 있습니다.
또한 개인정보는 적법한 범위 내에서 사용의 목적을 밝히고 일정보관기간내에서 정확한 내용으로 처리되어 져야 합니다.
특히 이번 GDPR에서는 적법하다는 범위의 설정에서 ‘개인 정보 제공 동의’를 매우 중요하게 간주하고 있습니다. 이는 개인정보 처리의 법적근거가 됩니다.
개인 정보 제공자의 권리도 증진되었습니다. 개인 정보 제공자는 자신의 정보가 무엇이 수집되었는지 알 수 있어야 하고, 목적과 사용처를 확인할수 있어야 합니다. 또한 제공한 개인정보가 부정확하다면 고치라고 이야기 할 수 있고, 나아가 개인정보 사용의 반대,처리 제한과 삭제까지도 고려할수 있습니다.
개인 정보를 처리하거나 이를 이용하여 수익을 얻는 사람에 대해, 개인정보 침해 방지를 위한 조항도 추가되었습니다. 개인정보가 침해가 확인되면 통지서를 발송해야 되고, 그 통지서에는 개인 정보가 침해된 정도와 해결방안등이 있어야 합니다. 만약 통지서가 미비하거나 보내지 않는다면 전 세계 매출액의 2% 또는 최대 1천만 유로 중 더 높은 금액의 과징금이 부과됩니다. 구글의 경우 전 세계 매출액은 300억 달러 가량이고 만약 과징금을 받는다면 커다란 손실이 예상됩니다. 그래서 구글에서 열심히 대비하고 있지요.
또 한가지 GDPR에서 중요한 점은 개인정보의 해외 이전에 규제를 건 것입니다. GDPR에 규정된 조건에 맞는 경우에만 개인정보를 EU 밖으로 이전할 수 있고, 그렇지 않다면 역시 과징금이 부과됩니다.
여기까지 간단하게 GDPR에 대해 살펴보았습니다.
2018년 5월 25일 부터 적용된다고 하는데 우리나라 기업에서는 아직까지 그렇게 신경을 쓰지 않는 것 같아 불안합니다. 과징금도 전세계 연간 매출액 2~4% 또는 1~2천만 유로로 엄청 많이 붙는 것을 생각하면 과징금을 맞고 나면 늦을거라 생각합니다. 이번 5월 25일 9시 뉴스에 나오는지 확인해봐야겠습니다.
이번 법이 지역간 정보 독점을 야기한다는 이야기가 있습니다. 한마디로 유럽 내에서 정보의 이용은 쉬워지고 유럽에서 얻은 정보는 다른나라로 이동하여 사용하기 곤란해진다는 말입니다. 글로벌 기업일수록 정보를 기반으로 새로운 사업을 하는 경우가 많습니다. 유럽은 최근 4차 산업혁명에서 밀려났다는 평가를 받고있으며, 상대적으로 글로벌 기업의 숫자가 적은점을 GDPR을 제정함으로써 보완하려고 하고 있습니다.
전 세계적으로 정보관련법이 제정되고, 정보의 중요성이 점점 높아지고 있습니다. 정보를 처리할수 있는 능력이 있어도 원시데이터를 얻지 못하면 쓸모가 없듯이, 우리나라도 어서 정보 획득과 저장에 신경을 써주었으면 합니다.
구글과 네이버를 비교해 봤을때, 검색트렌드 같은 걸 찾아봐도 검색가능일자가 구글이 2004년부터이고 네이버는 2016년입니다. 네이버의 경우 정보의 수집을 시작한 시점이 늦었거나 이미 수집한 정보를 날려먹었을 가능성이 높습니다.
앞으로의 발전은 정보기반에서 올것이라는 예상이 많습니다. 정보를 처리하는 기술과 정보를 보관하는 기술 모두가 발전하는 우리나라가 되었으면 좋겠습니다.