전 회사에서 노르웨이 전력사 컨소시엄에 전력 관련 솔루션을 구축해 준 적이 있습니다. 그때 그 컨소시엄에서 GDPR 대처 방안에 대해서 요구한 적이 있어서 관련 자료를 작성해서 컨소시엄에 제출해 주었구요. 지금 생각해 보면 정말 아무것도 모르는 상황에서 자료를 찾아서 작성했는데 잘 넘어갔었죠. 오늘은 그때 생각이 나서 그때의 저처럼 GDPR 관련 정보가 필요하신 분들을 위해서 GDPR에 대해서 간략하게 정리해서 공유해 드릴까 합니다. 그럼 GDPR이 무엇일까요? 다들 아실 것이라고 생각하지만, GDPR은 General Data Protection Regulation의 약자로 EU(유럽연합)의 개인정보보호 법령입니다. 우리나라의 개인정보보호법과 유사한 것이죠. 이 규정은 2018년 5월 25일에 발효된 것으로 세계에서 가장 엄격한 개인 정보 보호법이라고 알려져 있습니다. 규정의 내용도 내용이지만 GDPR을 위반하는 경우 수천만 유로에 이르는 과징금을 부과할 것이라고 되어 있거든요. 관련해서 최근 테슬라의 GDPR 위반 가능성에 대한 다음 뉴스를 보면, GDPR 위반 사실이 입증된다면 테슬라 연간 매출의 최대 4%, 약 32억6천만 유로(약 4조6천억원)에 이르는 과징금이 부과될 수도 있다고 합니다. 엄청나죠?
참고로 GDPR의 전문은 아래 링크에서 참조해 보시기 바랍니다. |
GDPR의 역사우선 GDPR에 대한 간략한 내용 공유에 앞서 GDPR의 역사에 대해서 간략하게 공유해 드리겠습니다. 개인 프라이버시에 대한 권리는 1950년 유럽 인권 조약의 일부로, 이 조약의 제8조 1항에 ‘모든 사람은 사생활, 가정생활, 주거와 통신을 존중받을 권리를 가진다.’라고 규정되어 있습니다. 그리고 이를 바탕으로 유럽 연합은 입법을 통해 이 권리를 보호하고자 노력했죠. 기술이 발전하고 인터넷이 확산됨에 따라 유럽 연합은 현대적인 권리 보호의 필요성을 인식했습니다. 그래서 1995년 European Data Protection Directive를 통과시켜 각 회원국이 자체 시행 법률을 기반으로 하는 최소한의 데이터 프라이버시 및 보안 표준을 수립했습니다. 그로부터 2개월 후, 유럽의 데이터 보호 당국은 개인 데이터 보호에 대한 포괄적인 접근이 필요하다고 선언하고 1995년 지침을 갱신하기 시작했습니다. GDPR은 유럽 의회를 통과한 후 2016년에 발효되었으며, 2018년 5월 25일에 모든 조직이 규정의 준수해야 한다고 했습니다. |
GDPR의 범위, 패널티 및 주요 정의그럼 GDPR의 적용 범위, 패널티 및 주요 정의들에 대해서도 간략하게 공유해 드리겠습니다. 우선 적용 범위와 관련하여 말씀드리면, EU의 시민이나 거주자의 개인 데이터를 처리하거나 그들에게 상품이나 서비스를 제공하는 경우에는 제공자가 EU에 있지 않더라도 GDPR이 적용됩니다. 위에서도 패널티에 대해서 간략하게 말씀드렸지만, GDPR의 위반에 대한 벌금은 매우 높습니다. 최대 2,000만 유로 또는 글로벌 수익의 4%(둘 중 높은 금액)에 해당하는 벌금이 있으며, 해당 데이터의 주체는 손해 배상을 청구할 권리가 있습니다. 그리고 관련해서 주요 정의들은 다음과 같습니다.
|
GDPR의 주요 요약 내용그럼 GDPR 중 주요 내용들을 간략하게 공유해 드리겠습니다. 데이터 보호 원칙 데이터를 처리하는 경우 5.1-2에 설명된 7가지 보호 및 책임 원칙에 따라 처리해야 합니다.
책임 GDPR은 데이터 관리자가 GDPR을 준수함을 입증해야 한다고 하고 있습니다. 따라서 실제로 GDPR을 준수하고 있더라도 이를 입증하지 못하면 GDPR을 준수하지 않는 것과 같습니다. 그렇기에 다음과 같은 사항을 수행해야 하는 것입니다.
데이터 보안 적절한 기술 및 조직적 조치를 하여 데이터를 안전하게 처리해야 합니다. 여기서 기술적 조치란 직원에게 개인 데이터가 저장된 계정에서 2단계 인증을 사용하도록 하는 것부터, 암호화와 클라우드 공급자와의 계약에 이르는 모든 것을 의미합니다. 조직적 조치란 직원 교육, 직원 핸드북에 데이터 개인 정보 보호 정책 추가 또는 조직에서 필요한 직원만 개인 데이터에 대한 액세스를 제한하는 것과 같은 것입니다. 그리고 데이터 위반이 있는 경우 72시간 이내에 데이터 주체에게 알리지 않으면 처벌을 받을 수 있습니다(암호화와 같은 기술적 보호가 되어 있어 공격자가 데이터를 활용할 수 없을 경우 이 사항에 면제될 수 있음). 설계 및 기본 데이터 보호 조직에서 수행하는 모든 작업은 기본적으로 설계를 할 때부터 데이터 보호를 고려해야 합니다. 이는 새로운 제품이나 서비스를 설계할 때 데이터 보호 원칙을 고려해야 함을 의미합니다. GDPR의 25조에서 이 원칙을 다루고 있습니다. 예를 들어, 회사에서 새 앱을 출시한다고 할 때, 앱에서 사용자로부터 수집할 수 있는 개인 데이터에 대해 생각한 다음 데이터를 최소화하는 방법과 최신 기술로 데이터를 보호할 수 있는 방법을 고려해야 한다는 것입니다. 데이터 처리가 허용되는 경우 6조에 개인 데이터를 처리하는 것에 대한 합법적인 경우가 나열되어 있습니다. 이 항목들로 데이터 처리가 정당화되지 않으면 개인 데이터 처리에 대해서 신중하게 고려하실 필요가 있습니다.
이 외에도 GDPR 전문을 보시면 다양한 내용들이 있습니다. 관심이 있으신 분들은 서두에서 공유해 드린 GDPR 링크를 참조해 조시기 바랍니다. |
| 오늘은 GDPR에 대해서 간략하게 공유해 드렸습니다.
위 링크에 가서 보시면 아시겠지만, GDPR의 내용은 아주 많습니다. 그렇기에 회사에 GDPR과 관련하여 업무를 수행할 필요가 있다면 조직의 내부 직원이 이 내용을 자세히 확인할 수 있도록 하고 법률 자문도 받아 보시는 것이 좋다는 생각이 듭니다.
클라우드나 SaaS와 관련하여 다른 궁금한 점이 있으시면 언제든지 저희에게 문의해 주세요. 저희에게는 클라우드에 대한 다양한 정보와 경험, 그리고 도구가 있습니다.
|
