GDPR 생겨난 배경과 적용 기업, 대응 방법

 

 

GDPR(일반 데이터 보호 규칙)는 EU(유럽 연합) 일반 데이터 보호 규칙이라고 부르며, EU 판 개인정보 보호법이라고 합니다. EU를 포함한 유럽 경제 지역(EEA) 내에서 취득한 성명, 주소, 이메일 계정, 신용카드 정보 등 개인정보에 관해 개시 요구에 응할 것, 정보를 암호화해서 저장할 것, EEA밖으로 이전을 금할 것 등이 규정되어 있습니다. 이 규칙이 일본과 EU지역 이외의 기업에도 적용되며, 인터넷에서 수집한 정보도 적용 범위입니다. 

 

 

GDRP이 왜 생겨나게 되었을까?

 

쿠키를 사용하여 불운한 웹 서핑을 하는 EU거주자로부터 정보를 수집하거나 페이스북 데이터 스캔들과 같은 엄청난 데이터 유출을 방지하는 것을 목표로 생겨났습니다. 이러한 규정이 제정된 이유는 우리 삶의 거의 모든 부분이 디지털화가 가속화되어가는 과정이며 모든 사용자 정보 및 사진을 추적하고 기록하며, 여행과 구매 심지어 우리의 건강 데이터까지 점점 더 많은 개인 정보가 수집되고 회사와 정부에 의해 저장 및 거래됩니다.  

 

 

GDPR(General Data Protection Regulation 일반 데이터 보호 규칙)

 

• 유럽 경제 지역에서 취득한 개인정보를 어떻게 다룰지에 관한 규칙.
• 일본 등 EU지역 역내, 역외의 기업도 대상, 인터넷에서 획득한 정보도 포함
• 위반하면 거액의 벌금이 부과되기 때문에 주의가 필요합니다.

 

GDPR은 유럽 연합 법 중에서도 '규칙'이라는 가장 강한 구속력을 가진 법입니다. 이를 위반한 기업은 연간 전 세계 매출액의 4% 또는 2,000만 유로(원화 270억 원)중 더 많은 쪽에 해당하는 벌금을 냅니다.

 

GDPR의 적용 기업

 

GDPR은 당연히 EU에서 만들어진 법령이기 때문에 EU 역내에서 사업을 하는 사업자들에게 적용되며 이후 역외에서 사업을 하는 경우에도 EU 역내에 있는 정보주체에게 그 서비스나 물품을 제공하는 경우에 해당이 됩니다. EU 역내에 있는 정보주체 행동을 모니터링하는 하는 경우에도 적용이 됩니다. 즉 EU 역내뿐 아니라 EU를 상대로 하는 글로벌 기업들에게도 적용되는 글로벌 규범이라고 할 수 있습니다. 

 

• EU 역내의 사업장을 운영하며, 개인정보관리 처리하는 기업
• EU 역내의 거주자에게 재화나 서비스를 제공하는 기업
• EU 역내의 거주자의 EU 내 행동을 모니터링

 

GDPR 대응방법

 

기업의 입장에서 이러한 의무사항을 살펴보는 것과 동시에 우리 회사가 적용의 대상이 되는지 파악해 보고 만약 적용 법에 속한다면 회사 내 개인정보 FLOW에 대한 사항을 구분하는 것과 개인정보가 어떻게 흘러가는지에 대한 매핑 작업이 필요합니다. 그런 각 구분과 동시에 전체적으로 봤을 때 회사의 대응 방법은 무엇인지, 개인정보가 유출되었을 때 어떤 위험성을 동반하게 되는지 회사가 대리인(DPO) 또는 영향평가를 받아야 되는지 살펴볼 필요가 있습니다. 

 

• DPO(개인정보보호책임자 - DATA PROTECTION OFFICER), 개인정보 처리 활동 기록 유지)

GDPR 홈페이지

구분	신입채용	직원관리	HP회원관리
정보주체유형	입사지원자	임직원	홈페이지 회원
관련지역	프랑스	프랑스	EU전지역
사업자지위	프로세서	컨트롤러	컨트롤러
국외이전여부	한국(O)	한국(O)	X
DPO 핵심활동	X	X	O
DPO 의무여부	X	X	X
개인정보 영향평가	O	O	X