GDPR (General Data Protection Regulation) by EU
GDPR은 EU에서 발효한 개인정보보호 법이다. 2016년 발효한 이후 약 2년간의 유예기간을 주고 이번 2018년 5월 25일부터는 엄격히 감독을 실시할 예정한다고 한다. 딱 한달 남았다.
------------------------------------------------------------------------------------------------------------------
EU 홈페이지에 더욱 자세한 내용이 제공되어 있다. (https://www.eugdpr.org/)
법 조항은 Intersoft라는 Consulting firm에서 깔끔하게 잘 정리해 두었다. (https://gdpr-info.eu/)
------------------------------------------------------------------------------------------------------------------
EU에서 이전에는 1998년 Data Protection Directive라는 명칭으로 개인정보보호와 관련한 규정을 시행해 왔다. 그런데, Directive라는 것은 일종의 가이드일 뿐이지 법 수준의 강제화 기능은 없다고 한다. 반면 GDPR는 Regulation으로 일종의 법 기능을 수행한다. 따라서, 벌금이 장난이 아니다. 최고 벌금은 아래와 같다. 그런데, 이 벌금은 형사소송시의 벌금이고, 민사 소송으로 이어질 경우 해당 벌금은 또 별개라고 한다...!!
벌금 : 2,000만 유로 or 매출의 4% (매출 기준은 글로벌 기업일 경우 전세계 지사를 모두 합한 매출을 의미한다.)
-> 대기업의 경우 벌금은 조 단위가 넘어갈 가능성이 크고, 중소기업의 경우에는 파산할 수도 있다...
GDPR은 우리나라의 개인정보보호 법 또는 정보통신망법과 다르다. 세부 항목들을 보았을 때, 꽤나 많은 부분이 중복되는 것을 보기는 했다. 그런데, 근본이 다르다는 것이다.
GDPR은 디지털 시대가 오는만큼 데이터에 대한 중요성을 강조하고 이 데이터가 다양한 곳에 활발히 쓰이는 것을 이해하고 지원하되, 프라이버시를 위해 개인정보를 더욱 소중히 다루기 위한 법이다. 반면에 개인정보보호/정통망 법은 개인정보 유출 사고가 나지 않도록 하기 위해 모두다 특정 작업들을 해 두라는 가이드다. 똑같은 말 처럼 들렸다면 아직 GDPR을 이제 막 알게 된 분일 것이다. 개인정보 유출 사고 방지 관점에서는 이것 저것 보안 제품을 갖다가 설치하고 적용하면 된다. 하지만, 디지털 시대에서는 개인정보의 범위부터 달라질 것이고, 그 안에서 생산적으로 활용되기 위해서는 다양한 활동을 할 수 있도록 보장되어야 한다. 이 때문에 법적으로, 프로세스적으로, 기술적으로 다를 수 밖에 없다.
GDPR에는 법/프로세스/기술 차원으로 바라보아야 하는데, 사실 아직 GDPR 법 자체가 명확하지는 않은 것 같다. 어떻게 대응해야하는지 따라하기만 하면 구체적인 가이드가 없기 때문이다. 그런데, 계속해서 내용이 변경되고 업데이트 될 예정이라고 한다. 따라서, 모든 기업들도 지속적으로 확인하고 변화에 대응해 나가야 할 것이다. 앞으로 기업 법무팀 & 로펌, 개인정보보호 팀 & 개인정보보보 컨설팅 펌, 보안 팀 & 보안 업체 들이 꽤나 할 일들이 많이 생길 것이다. 더구나 DPO (Data Protection Officer)라는 새로운 직책을 필수로 만들고 누군가를 임명해야 한다. (이 역할은 기업의 이익을 위해서가 아니라 개인정보 보호를 위해 일을 하라고 법에 명시하고 있다.) 각 기업에는 DPO 인력이 생겨날 것이고, 글로벌하게 DPO 사이에 커뮤니티까지 생겨 운영이 될 것 같다. (일자리 창출의 효과도 있는 듯하다...ㅎㅎ)
아무튼 법적 대응할 수 있도록 준비하거나, 프로세스 차원에서만 내부 비즈니스 운영을 변경하거나, 보안 제품만 잔뜩 갖다 놓는다고 충족할 수 있는 법이 아니어서 매우 복잡하고 신중하게 접근을 해야할 것이다.
그런데, 최근 기사 하나를 확인했다. Instagram에서 자신의 계정에 있는 사진, 글 등을 포함한 개인정보를 일괄로 다운로드받을 수 있게 한다는 내용이다. 이는 GDPR에 대응하기 위해 추가된 기능이다. 정보 주체들은 개인 정보에 대해 삭제, 이동, 확인, 변경 등 권리를 행사할 수 있게 되기 때문이다. 이전까지는 인터넷 서비스들을 사용하다 보면 개인의 정보가 제어하지 못하도록 사업자들에 구속되는 경우가 있는데, 앞으로는 이러한 경우는 거의 없을 것 같다.
GDPR을 대응하는 기업들의 레퍼런스가 아직 뚜렷하지 않은 가운데에 대표적인 서비스 업체인 인스타그램에서도 GDPR에 대응하는 모습을 보여주는 것은 시기적으로 적절한 듯하며, 아직 헤매고 있는 많은 기업들에 참고가 되는 좋은 현상이라 생각한다.
모든 기업들이 크나큰 벌금을 물어 비즈니스에 큰 무리가 생기는 경우가 없길 바란다. 그 만큼 좋은 의도로 개인정보를 활용하고, 안전하게 다루고, 원하는 바를 이루길 바란다.
관련 기사: https://techcrunch.com/2018/04/24/instagram-export/
D-hash