GDPR이 무엇인가요? EU 데이터 보호에 대한 간단한 안내

회사가 EU 거주자의 개인 데이터를 수집, 이용 또는 추적하는 경우, GDPR (일반데이터보호 규정)이 적용됩니다. 회사의 소재지는 중요하지 않습니다. 유럽의 개인데이터 보호법은 전 세계적으로 적용되며, 기업이 개인 정보를 처리하는 방식을 근본적으로 변화시키고 있습니다.

2016년에 제정되어 2018년 5월부터 시행된 GDPR은 무엇이 개인데이터에 해당하는지, 개인데이터를 어떻게 사용할 수 있는지, 그리고 개인이 자신의 정보에 대해 가지는 권리에 대해 명확한 규정을 제시합니다.

이 가이드에서는 GDPR이 무엇인지, 누구에게 적용되는지, 그리고 기업이 규정을 준수하기 위해 알아야 할 사항들이 있습니다.

GDPR은 쉽게 설명하면 무엇인가요?

GDPR은 EU 내 사람들의 개인데이터를 보호하는 EU 개인데이터 보호법입니다. 여기에는 이름, 이메일 주소, IP 주소, 쿠키 등 개인을 직간접적으로 식별할 수 있는 모든 데이터가 포함됩니다.

GDPR은 개인이 자신의 데이터를 더 잘 관리할 수 있도록 합니다. 또한 기업들이 이 데이터를 공정하게 처리하고, 수집 목적을 설명하며, 데이터를 안전하게 보호할 것을 요구합니다. 이 규정은 2018년 5월 25일 발효되면서 기존의 EU 데이터 보호 규정을 대체했습니다.

GDPR이 도입된 이유

GDPR이 도입되기 전, EU의 데이터 보호는 1995 데이터 보호 지침 (1995 Data Protection Directive)에 기반을 두고 있었습니다. 당시 인터넷은 갓 등장한 신기술이었고, 기업들이 처리하는 개인 데이터의 양도 훨씬 적었습니다. 기술이 발전하고 온라인 서비스가 일상생활의 일부가 되면서, 기존의 규정이 더 이상 충분하지 않다는 점이 분명해졌습니다.

2012년, 유럽연합 집행위원회는 개인데이터 보호 권리를 강화하고 디지털 경제에 맞추기 위해 새로운 법안을 제안했습니다. 수년간의 논의 끝에 2016년 GDPR이 채택되었으며, 2018년에 발효되었습니다.

기존 지침과 달리, 이 지침은 모든 EU 회원국에서 직접 적용되어 일관된 기준을 마련하고, 개인 데이터에 대한 개인의 권리를 더욱 강화합니다.

연결된 세상에서 개인데이터 보호는 그 어느 때보다 중요하며, GDPR과 같은 법률은 사용자가 자신의 데이터에 대한 주도권을 되찾을 수 있도록 마련되었습니다.

GDPR의 적용 대상

GDPR은 회사의 소재지가 유럽경제지역(EEA) 내외와 관계없이, EU 거주자의 개인 데이터를 수집, 이용 또는 저장하는 모든 조직에 적용됩니다. 이 법은 회사의 소재지가 아닌 데이터의 이동 경로를 따릅니다.

이 규정은 두 가지 주요 역할을 규정하고 있습니다.

• 데이터 관리자: 개인 데이터가 처리되는 이유와 방법을 결정합니다.
• 데이터 처리자: 클라우드 제공업체나 결제 처리업체와 같은 데이터 관리자를 대신하여 데이터를 처리합니다.

EEA 내 기업

EEA는 27개 EU 회원국과 아이슬란드, 리히텐슈타인, 노르웨이를 포함합니다. EEA 내에 설립된 모든 조직은 개인 데이터를 처리할 때, 그 처리가 유럽 외부에서 이루어지더라도 GDPR을 준수해야 합니다. 예를 들어, 한국에 본사를 두고 한국의 서버를 사용하는 회사도 여전히 GDPR 규정을 따라야 합니다.

EEA 외 지역의 기업

(유럽경제지역) 외부에 위치한다고 해서 GDPR의 적용을 받지 않는 것은 아닙니다. 다음과 같은 방식으로 사업이EU 거주자의 개인 데이터를 취급하는 경우, 이 법은 여전히 적용됩니다.

• EU 거주자에게 유료 또는 무료로 상품이나 서비스를 제공하는 경우.
• 쿠키를 통한 온라인 활동 추적이나 프로파일링 등 EU 내 사람들의 행동을 모니터링하는 경우.

예를 들어, 한국에 기반을 두고 있지만, 스페인 또는 포르투갈 대학생을 대상으로 하는 교육 플랫폼은 GDPR을 준수해야 합니다. 또한 EEA 내 기업의 데이터 처리자 역할을 하는 EEA 외부의 기업 역시 이를 준수해야 합니다.

서비스가EU 내 특정 사용자를 대상으로 하지 않거나 개인 데이터를 처리하지 않으면서 단지 우연히 EU 내에 접근한 경우, 해당 서비스는 GDPR의 적용 범위를 벗어날 수 있습니다. 하지만 기업이 EU 거주자를 배제하기 위한 명확한 조치를 취하지 않는다면, 규제 당국은 여전히 GDPR이 적용된다고 판단할 수 있습니다.

또한, 국가 안보 목적, 법 집행 목적 또는 단지 개인적인 이유로 수집된 데이터를 포함하여, 이 규정의 적용을 받지 않는 몇 가지 특정 유형의 데이터가 있습니다.

GDPR에 따라 개인 데이터로 간주되는 것은 무엇인가?

GDPR에 따르면, 개인 데이터란 직접적 또는 간접적으로 식별 가능한 생존하는 개인과 관련된 모든 데이터를 말합니다. 예를 들면 다음과 같습니다.

• 이름
• 집주소
• 이름을 포함한 이메일 주소
• 주민등록번호 또는 여권 번호
• IP 주소
• 쿠키 ID
• 기기의 광고 식별자
• 의료 데이터

또한 GDPR은 여전히 특정 개인과 연결될 수 있는 가명 처리된 데이터와 그렇지 않은 완전한 익명화된 데이터 를 구분합니다. 이 규정의 적용 대상에서 제외되는 것은 후자뿐입니다.

또한, GDPR은 인종 또는 민족, 종교적 신념, 정치적 견해, 생체 인식 데이터 등과 같은 특정 범주의 개인 데이터 를 규정하고 있습니다. 이러한 데이터는 수반되는 위험이 더 크기 때문에, 극히 특정한 경우를 제외하고는 처리가 금지됩니다.

개인 데이터 처리에 대한 법적 근거는 무엇인가요?

GDPR은 조직이 단순히 원한다는 이유만으로 개인 데이터를 처리하는 것을 허용하지 않습니다. 명확한 법적 근거가 있어야 하며, 규정에서 아래와 같은 여섯 가지 허용 이유를 규정하고 있습니다.

• 동의: 개인이 데이터 사용에 대해 명확한 허락을 한 경우를 말합니다. 동의는 자발적으로 이루어져야 하며, 구체적이어야 하고, 철회하기 쉬워야 합니다. 묵시적 동의나 미리 체크된 선택 박스는 허용되지 않습니다.
• 계약: 개인과의 계약을 이행하기 위해 처리가 필요합니다. 예를 들어, 구매를 완료하기 위한 결제 데이터 처리와 같은 경우입니다.
• 법적 의무: 때로는 법에 따라 조직이 개인 데이터를 처리해야 할 의무가 발생하기도 합니다. 예를 들어, 병원이 진료 기록을 보관해야 하는 경우와 같습니다.
• 중대한 이익: 의료적 응급 상황과 같이 개인의 생명을 보호하기 위해 데이터 처리가 필요한 경우입니다.
• 공공 업무: 공익을 위한 공무 또는 업무를 수행하기 위해 데이터 처리가 필요한 경우입니다 (주로 정부 기관과 관련됨).
• 정당한 이익: 조직이 사이버 보안 시스템을 유지하기 위해 데이터를 사용하는 등, 개인의 권리를 침해하지 않는 타당한 사유가 있는 경우 데이터를 처리할 수 있도록 허용합니다.

GDPR의 7대 주요 원칙

GDPR은 개인 데이터 처리 방식을 규정하는 7가지 핵심 원칙을 바탕으로 수립되었습니다. 이러한 원칙들은 데이터 처리 시 공정성, 보안 및 책임성에 대한 기준을 제시합니다.

1. 적법성, 공정성 및 투명성

이 원칙에 따르면, 데이터는 해당 개인의 동의가 있거나 서비스 제공을 위해 데이터가 필요한 경우 등 GDPR이 허용하는 정당한 사유에 한해 수집 및 사용되어야 합니다. 또한 이는 사람들을 오도하거나 그들이 예상하지 못한 방식으로 정보를 이용하지 않고, 데이터를 공정하게 사용해야 한다는 것을 의미합니다. 마지막으로 투명성이 핵심입니다. 조직은 어떤 데이터를 수집하는지, 그 이유는 무엇인지, 그리고 이를 어떻게 사용할 계획인지에 대해 알기 쉽게 설명해야 합니다.

2. 처리 목적의 제한

GDPR에 따르면, 개인 데이터는 구체적이고 명확한 목적을 위해서만 수집할 수 있습니다. 조직은 데이터를 수집하는 시점에 해당 데이터가 수집되는 이유를 개인에게 알려야 합니다. 일단 수집된 데이터는 원래의 목적과 부합하지 않는 이유로는 어떠한 경우에도 사용할 수 없습니다.

3. 데이터 최소화

GDPR은 조직이 특정 목적에 필요한 개인 데이터만을 수집하도록 요구합니다. 이 원칙은 개인에 대하여 보유하는 데이터의 양을 제한함으로써, 해당 데이터가 분실되거나 오용될 경우 발생할 수 있는 위험을 줄여줍니다. 또한 데이터 수집이 목적에 부합하고 관련성 있게 이루어지도록 합니다.

4. 정확도

개인 데이터는 정확해야 합니다. 조직이 개인에 관한 정보를 저장하는 경우, 해당 데이터가 정확하고 필요에 따라 최신 상태로 유지되도록 해야 합니다. 세부 사항이 변경되거나 오류가 발견되면, 조직은 이를 수정할 책임이 있습니다. 데이터를 정확하게 관리하면, 특히 해당 정보를 바탕으로 해당 개인에 대한 결정을 내릴 때 발생할 수 있는 오류를 방지하는 데 도움이 됩니다.

5. 저장 공간 제한

조직은 개인 데이터를 필요한 기간 이상 보관해서는 안 됩니다. 데이터가 그 목적에 맞게 사용된 후에는 삭제하거나 익명화해야 합니다. 이 원칙은 명확한 이유 없이 ‘혹시 모를 경우를 대비해’ 데이터를 보관하는 것을 방지합니다. 또한 데이터 유출이나 개인 데이터 문제와 같이 불필요한 정보 저장과 관련된 위험을 줄이는 데도 도움이 됩니다.

6. 정직과 기밀 유지

개인 데이터를 안전하게 보호하는 것은 매우 중요합니다. 조직은 접근 권한이 없는 사람이 개인 데이터를 열람하거나, 도용하거나, 변경하지 못하도록 보호해야 합니다. 즉, 기술 및 데이터 처리 측면에서 철저한 보안 체계를 갖추어야 합니다.

7. 책임성

책임성(Accountability)이란 조직이 GDPR 규정을 준수해야 할 뿐만 아니라, 이를 입증해야 한다는 것을 의미합니다. 여기에는 개인 데이터 처리 방식에 대한 기록 보관, 직원 교육, 개인 데이터 처리방침 수립 등 개인 데이터를 보호하기 위해 적절한 조치를 취했음을 보여주는 것이 포함됩니다.

GDPR에 따른 사용자의 데이터 권리

알아야 할 권리

기관이 당신의 개인 데이터를 수집하는지 시기, 그리고 그 이유가 무엇인지 알 권리가 있습니다. 즉, 기업은 수집하는 데이터의 종류, 사용 목적, 그리고 해당 데이터를 누구와 공유할 수 있는지에 대해 처음부터 명확히 밝혀야 합니다.

정보는 이해하기 쉬워서, 자신의 데이터를 공유하는 데 거부감이 없는지 여부를 충분히 고려한 후 결정할 수 있도록 해야 합니다.

열람권

즉, 모든 조직에게 가지고 있는지 개인 데이터가 무엇인지 물어볼 수 있습니다. 데이터 사본과 함께 사용 방법 및 누구와 공유되는지에 대한 세부 데이터를 요청할 수 있습니다. 조직은 이해할 만한 기간 내에 이 정보를 제공해야 합니다.

그러나 이 권리는 절대적인 것이 아니며, 영업비밀이나 지적재산권을 포함한 타인의 권리와 자유에 부정적인 영향을 줘서는 안됩니다.

정정권

조직이 보유한 개인 데이터 중 잘못되었거나 누락된 내용이 있다면 이에 대한 정정을 요청할 권리가 있습니다. 이름의 철자가 틀렸거나, 주소가 오래된 경우, 또는 정보가 누락된 경우 등 조직은 이를 수정해야 합니다.

삭제될 권리 또는 잊혀질 권리

더 이상 개인 데이터를 보관할 타당한 이유가 없을 때, 해당 기관에 데이터 삭제를 요청할 수 있습니다. 이를 종종 "잊혀질 권리"라고 합니다. 이는 데이터가 수집된 목적으로 더 이상 필요하지 않거나 조직이 데이터를 불법적으로 처리한 경우에 적용됩니다.

그러나 이 권리 역시 절대적인 것은 아니며, 기업이 데이터를 보존해야 할 법적 의무가 있거나 그 밖의 타당한 사유가 있는 경우에는 데이터를 계속 보유할 수 있습니다.

처리 제한 권리

이 권리를 통해 기관에 개인 데이터 사용 방식을 제한하도록 요청할 수 있습니다. 데이터가 부정확하다고 판단되거나 불법적으로 처리되었거나 기관이 더 이상 필요하지 않지만 법적 청구를 위해 보관하기를 원하는 경우 이를 요청할 수 있습니다. 제한 조치가 적용되는 동안 기관은 데이터를 보관할 수는 있지만 사용자의 동의가 있거나 법적 사유가 없는 한 다른 목적으로 데이터를 사용할 수 없습니다.

데이터 이동 권리

이 권리를 통해 자신의 개인 데이터를 이용하기 쉬운 형식으로 제공받을 수 있습니다. 기술적으로 가능한 경우 데이터를 다른 조직으로 직접 전송하도록 요청할 수도 있습니다. 이 방법은 정보에 대한 더 많은 통제권을 제공하여 처음부터 시작하지 않고도 서비스를 전환하거나 데이터를 다른 곳으로 쉽게 이동할 수 있도록 하는 것입니다.

이의 제기 권리

개인 데이터가 직접 마케팅 목적으로 사용되는 경우, 특히 개인 데이터의 사용 방식에 이의를 제기할 권리가 있습니다. 이의를 제기하는 경우, 조직은 데이터를 계속 처리할 강력하고 정당한 이유를 입증할 수 없는 한 데이터 사용을 중단해야 합니다.

자동화된 의사결정과 관련된 권리

또한, 특히 대출 승인이나 채용과 같이 중대한 영향을 미치는 결정의 경우, 자동화된 절차를 통해 내려진 결정에 이의를 제기할 권리가 있습니다. GDPR은 이러한 상황에서 사람의 개입을 요청할 권리를 부여하고 있으며, 알고리즘이나 자동화된 시스템에만 맡기지 않고 누군가가 해당 결정을 검토해 줄 것을 요청할 수 있습니다.

GDPR에서 동의란 무엇이며, 어떻게 얻을 수 있나요?

GDPR에 따른 동의가 유효하려면 엄격한 기준을 충족해야 합니다. 동의가 유효하려면 다음과 같아야 합니다.

• 자발적인 동의: 거절한다고 해서 압박을 받거나 불이익을 당하지 않는, 진정한 선택권이 있어야 합니다
• 구체적인 데이터 제공: 해당 기관은 자신들이 누구인지, 어떤 데이터를 수집하는지, 왜 그 데이터가 필요한지, 그리고 그 데이터가 어떻게 사용될 것인지에 대해 알려야 합니다.
• 명확성: 동의는 체크박스를 선택하거나 서류를 서명하는 것과 같이 명확하고 적극적인 행동을 통해 이루어져야 합니다. 묵인이나 미리 체크된 항목은 동의로 간주되지 않습니다.

또한 사용자는 언제든지 동의를 철회할 권리가 있으며, 동의하는 것만큼이나 쉽게 철회할 수 있어야 합니다. 동의를 철회하면 해당 기업은 해당 목적을 위해 사용자의 데이터를 더 이상 사용해서는 안 됩니다.

16세 미만 사용자를 대상으로 하는 서비스의 경우 일반적으로 부모의 동의가 필요하지만, 일부 EU 국가에서는 이 연령 기준을 13세로 낮췄습니다.

기업이 GDPR 요건을 준수하는 방법

모든 조직이 GDPR을 준수하고 개인 데이터를 보호하기 위해 시행해야 할 구체적인 조치들이 있습니다.

처리 활동 기록 (RoPA)

GDPR 제30조는 기업들이 개인 데이터를 어떻게 처리하는지 문서화할 것을 요구합니다. 이러한 기록에는 처리 목적, 수집된 데이터의 종류, 공유 대상, 보관 기간 및 시행 중인 보안 조치 등이 포함되어야 합니다.

소규모 기업의 경우 데이터 처리가 드물고 위험도가 낮다면 면제 대상이 될 수 있지만, 당국으로부터 요청을 받았을 때 GDPR 준수를 입증하기 위해서는 이러한 기록을 보관하는 것이 핵심입니다.

데이터 보호 영향 평가 (DPIAs)

기업이 개인의 권리와 자유에 심각한 위험을 초래할 수 있는 방식으로 개인 데이터를 처리할 경우, 반드시 DPIA 를 수행해야 합니다. 이는 신기술 도입, 대규모 공공장소 모니터링, 또는 특수 범주의 데이터를 광범위하게 처리하는 경우에 필수적입니다.

DPIA의 목적은 데이터 처리를 시작하기 전에 잠재적인 위험 요소를 파악하고 이를 줄이는 데 있습니다. 취한 조치에도 불구하고 심각한 위험 요소가 남아 있는 경우, 기업은 절차를 진행하기 전에 GDPR 준수를 감독하는 각 EU 회원국의 국가 기관인 데이터보호당국(DPA)과 협의해야 합니다.

데이터 보호 책임자 임명 (DPO)

일부 조직은 GDPR에 따라 데이터 보호 책임자(DPO)를 지정해야 합니다. 이 담당자는 회사 내에서 개인데이터가 어떻게 처리되는지 감독하고, GDPR 요건 준수를 확실히 해야 할 책임이 있습니다.
다음과 같은 경우에는 데이터 보호 책임자(DPO)를 지정해야 합니다.

• 온라인상의 행동 추적 등, 사용자를 대규모로 정기적 또는 체계적으로 모니터링하는 경우.
• 건강, 유전적 또는 생체 인식 데이터와 같은 특수 범주의 데이터를 대규모로 처리하는 경우.
• 공공기관 또는 단체일 경우 (법원이나 독립된 사법 기관은 예외).

데이터 보호 책임자(DPO)는 사내 직원이거나 서비스 계약을 통해 고용된 외부 전문가일 수 있습니다. 어느 경우든 DPO는 독립적으로 업무를 수행하며, 직원들에게 자문을 제공하고, 데이터 보호 조치를 감독하며, 데이터 보호 당국(DPA)과의 주요 연락 창구 역할을 해야 합니다.

데이터 전송 보안 조치

개인 데이터를 EU 외부로 전송할 때, GDPR은 기업들이 데이터와 동일한 수준의 보안 조치가 함께 적용되도록 보장할 것을 요구합니다. 기업들은 데이터를 안전하게 보호하고 GDPR 기준을 준수하기 위해 적절한 안전 조치를 마련해야 합니다.

데이터 전송을 할 때 보안을 위해 승인된 몇 가지 방법이 있습니다:

• 적정성 결정: EU가 적절한 수준의 데이터 보호를 제공한다고 판단한 국가로 데이터를 전송할 수 있습니다.
• 계약상 보호 조치: 기업은 비EU 수신자와 체결하는 계약에 데이터 보호 보장을 위한 구체적인 조항을 포함할 수 있습니다.
• 예외 사항: 개인이 명시적으로 동의한 경우 또는 계약상 필요한 경우, 데이터 전송이 허용될 수 있습니다.

GDPR에 따른 보안 통제 및 암호화

또한 조직은 개인 데이터에 무단 접근, 변조 또는 분실되지 않도록 강력한 보안 통제 조치를 시행해야 합니다. 여기에는 암호화 같은 기술적 조치와, 승인된 담당자만 접근할 수 있도록 제한하는 등의 조직적 조치가 포함됩니다.

암호화는 개방된 사회에서 사생활과 자유를 보호하는 데 있어 매우 중요한 역할을 하며, 데이터 유출을 막는 가장 효과적인 수단 중 하나로 남아 있습니다.

데이터 유출 신고

데이터 유출로 인해 개인의 권리나 자유가 위험할 경우, 기업은 72시간 이내에 해당 데이터보호당국 (DPA)에 이를 신고해야 합니다. 심각한 위험일 경우, 영향을 받은 개인에게도 이를 알려야 합니다.

규정된 기한 내에 침해 사실을 보고하지 않을 경우 제재를 받을 수 있기 때문에, 기업은 데이터 침해를 효율적으로 탐지, 평가 및 대응할 수 있는 명확한 절차를 마련해 두는 것이 중요합니다.

직원 인식 제고 및 교육

GDPR 준수는 단순히 정책 자체뿐만 아니라 직원들이 해당 정책을 얼마나 잘 이해하고 적용하는가에 달려 있습니다. 직원들은 개인 데이터를 책임감 있게 처리하고 개인의 권리를 존중하기 위해 명확한 지침과 정기적인 교육이 필요합니다. 조직 전반에 걸쳐 이러한 인식을 고취하는 것은 데이터 유출을 예방하고 지속적인 규정 준수 노력을 뒷받침합니다.

GDPR 이행 및 위반 시 부과되는 제재

EEA 회원국마다 조직의 데이터 보호 규정 준수 여부를 감독하는 데이터보호당국(DPA)이 있습니다. 이러한 당국은 기업이 의무를 이행하고 있는지 확인하기 위해 조사를 수행하고, 관련 서류를 요청하며, 현장 점검까지 실시할 수 있습니다.

기업이 GDPR을 위반한 것으로 판명될 경우, 상당한 제재가 가해질 수 있습니다. 가장 심각한 위반 사례의 경우 최대 2,000만 유로 또는 해당 기업의 전 세계 연간 매출액의 4%에 달하는 과징금이 부과될 수 있습니다. 금전적 제재 외에도 당국은 해당 기업에 특정 데이터 처리를 중단하거나 데이터 보호 조치를 개선하도록 명령하는 등 시정 조치를 부과할 수 있습니다.

이러한 집행 권한 덕분에 GDPR 준수는 선택 사항이 아닙니다. 개인 데이터를 취급하는 기업은 자신의 책임을 진지하게 받아들여야 하며, 그렇지 않을 경우 막대한 비용을 치러야 할 수 있습니다.

GDPR은 미국에서도 적용되나요?

GDPR은 EU 규정이지만, 그 적용 범위는 유럽 국경에 국한되지 않습니다. 미국 기업이라도 EU 거주자의 개인 데이터를 처리하는 경우 이 규정의 적용을 받을 수 있습니다. 즉, 유럽에 물리적 사업장이 없더라도, 해당 기업의 활동이 특정 기준을 충족한다면 미국 기업 역시 GDPR을 준수해야 할 수 있습니다.

미국 기업의 GDPR 준수

GDPR 제 3조에 따라, 미국 기업은 EU 내에 사업장을 두고 있거나 EU 내 개인에게 상품 또는 서비스를 제공하는 경우, 해당 서비스가 무료라 하더라도 이 규정을 준수해야 합니다. 쿠키, 추적 또는 타겟팅 광고와 같은 온라인에서 EU 개인의 행동을 모니터링하는 것은 또한 미국 비즈니스를 GDPR의 범위 내에 포함시킵니다.

이를 준수하기 위해 미국 기업들은 다음을 이행해야 합니다.

• 수집하는 개인 데이터의 종류를 검토합니다.
• 동의나 계약상 필요성 등 각 데이터 유형의 처리에 대한 명확한 법적 근거를 마련합니다.
• EU에서 미국으로의 모든 데이터 전송을 검토하고, 표준 계약 조항(SCC)과 같은 적절한 보호 조치가 마련되어 있는지 확인합니다.
• EU 내에 물리적 사업장이 없는 경우, EU 내에 GDPR 담당자를 지정해야 합니다.
• 웹사이트 데이터 수집 및 쿠키 사용에 대한 사전 동의를 받습니다.
• GDPR 의무 사항 및 데이터 주체의 권리를 반영하도록 개인 데이터 처리방침을 개정합니다.

GDPR vs. CCPA 및CPRA

GDPR은 개인 데이터 처리 전에 명확한 동의를 요구하지만, 캘리포니아 소비자 개인데이터 보호법 ( CCPA) 과 그 개정법인 캘리포니아 개인데이터 보호법 ( CPRA) 은 옵트아웃 방식을 채택함으로써 다른 접근 방식을 취하고 있습니다.

캘리포니아주에서는 데이터 판매나 공유, 미성년자의 데이터 처리, 민감한 정보 처리와 같은 특정 경우를 제외하고는, 기업이 개인 정보를 수집하거나 처리할 때 일반적으로 사전 동의를 받을 필요가 없습니다.

대신, 이러한 법률들은 투명성에 중점을 두어 기업들이 사용자에게 데이터 처리 방침을 알리고, 개인 데이터의 판매나 공유를 거부할 수 있는 간편한 방법을 제공하도록 요구하고 있습니다. 전반적으로 캘리포니아주는 사전 동의보다는 사용자의 통제권과 데이터 접근성에 중점을 두고 있습니다.

미국 기업들에게 이는 중요한 차이점을 시사합니다. 즉, GDPR의 엄격한 동의 요건이 미국에는 적용되지 않으므로, 양 지역에서 사업을 영위하는 기업들은 이에 맞춰 운영 방식을 조정해야 합니다.

GDPR에 따른 쿠키의 역할은 무엇인가요?

GDPR에 따르면, 개인을 식별하거나 온라인상의 행동을 추적할 수 있는 쿠키는 개인 데이터로 간주됩니다. 여기에는 기기와 브라우저 설정을 기반으로 사용자를 고유하게 식별할 수 있는 브라우저 지문 인식과 같은, 기존 쿠키를 넘어선 기술도 포함됩니다.

웹사이트는 사용자가 허용할 쿠키 유형을 선택할 수 있도록 해야 하며, 이를 ‘세분화된 동의’라고 합니다. 다만, 필수 쿠키는 동의가 필요하지 않습니다.

GDPR은 동의를 얻는 방법을 규정하고 있지만, EU 내 쿠키 사용은 쿠키와 같은 온라인 추적 기술을 구체적으로 규제하여 GDPR을 보완하는 ePrivacy 지침 적용을 받기도 합니다. 바로 이러한 이유로 많은 웹사이트가 EU 방문자에게 쿠키 배너를 표시하여, 필수적이지 않은 쿠키가 설정되기 전에 방문자가 자신의 설정을 관리하도록 요청하고 있습니다.

웹 서핑 시 추적 기능을 최소화하고 싶다면, 가상 사설망 (VPN)을 사용하면 IP 주소를 숨기고 트래픽을 암호화하여 더욱 안전하게 검색을 할 수 있습니다.

GDPR에 대한 흔한 오해

GDPR이 시행된 지 수년이 지났음에도 불구하고, 이 규정이 기업에 실제로 어떤 의미를 지니는지에 대해서 여전히 널리 퍼진 오해들이 있습니다. 이제 그 오해들을 바로잡아 봅시다.

GDPR은 EU 기업에만 적용된다.

GDPR이 EU 내 기업에만 적용된다고 흔히 생각하지만, 이 규정의 적용 범위는 훨씬 더 넓습니다. 미국 및 한국을 포함하여 EU 외부에 소재한 모든 기업은 EU 내 거주자에게 상품이나 서비스를 제공하거나, 추적 기술 등을 통해 온라인상의 행동을 모니터링하는 경우 이 규정을 준수해야 합니다.

항상 동의가 필요하다.

또 다른 흔한 오해는 GDPR이 개인 데이터 처리에 있어 항상 동의를 요구한다는 것입니다. 사실, 동의는 여러 법적 근거 중 하나일 뿐입니다. 기업은 개인의 권리가 존중되는 전제 하에 계약, 법적 의무, 중대한 이익, 공공의 임무 또는 정당한 이익을 근거로 삼을 수도 있습니다. 다른 법적 근거가 적용되지 않을 경우 동의가 필수적입니다.

GDPR은 단순히 벌금 문제일 뿐이다.

많은 사람들이 GDPR을 단순히 거액의 벌금을 부과하는 제도로만 여기지만, 그 핵심 목적은 개인 데이터 보호 권리를 강화하고 책임감 있는 데이터 처리를 장려하는 데 있습니다. 처벌 수위가 높을 수는 있지만, 핵심은 조직이 개인 데이터를 투명하고 안전하게, 그리고 개인의 권리를 존중하는 방식으로 처리하도록 하는 데 있습니다.

GDPR로 인해 모든 마케팅 활동이 중단된다.

또한 GDPR 때문에 마케팅이 불가능해진다는 잘못된 인식도 있습니다. 이 규정은 마케팅 자체를 전면적으로 금지하는 것이 아니라, 개인 데이터가 공정하게 사용되도록 보장하기 위해 명확한 기준을 제시합니다. 동의나 정당한 이익과 같은 적절한 법적 근거가 있다면, 기업은 개인 데이터 보호 권리가 존중되는 한 EU 내 개인을 대상으로 마케팅 활동을 계속할 수 있습니다.

FAQ: GDPR에 관하여 자주 묻는 질문