안녕하세요, GDPR 2번째 이야기 입니다.
오늘은 GDPR에 대한 개략적인 내용을 리뷰해드릴게요
GDRP, 대체 뭔데 그래 ㅠㅠ
1)EU 시장 진출시 GDPR을 아몰랑 하다가는 많은 과징금을 물어야 해요!
2018년 5월 25일부터 시행되고있는 EU(유럽연합)의 개인정보보호 법령으로 위반시 과징금 등 행정처분이 부과될 수 있으며, EU내 사업장이 없더라도 EU를 대상으로 사업을 하는 경우 적용대상이 될 수 있어 우리 기업의 주의가 필요합니다. 과장금이 정말 높더라구요, 연간 매출의 2%나 1천만유로 중 높은 금액(최대과징금일경우) 내야 합니다. 심각한 위반인경우 연간매출액의 4%, 또는 2천만 유로로 벌금도 높아집니다. (후덜덜)
2)기업에서 수집해간 개인정보에 대한 권리, 의무, 신뢰의 키워드로 요약됩니다.
데이터 수집시 동의 요건이 강화되고, 데이터를 다른 서비스로 이관을 요구할수도 있고, 잊혀질 권리등에 대해 기업에게 요구할수 있습니다. 기업들은 DPO라는 정보책임자가 지정되어야 하며, 개인정보 유출통지 신고제 등을 도입해야 하죠.
3) 아이들 대상의 서비스를 생각하신다면, 정보수집 연령을 높여야 해요.
이후 포스팅에서 다루겠지만, 아동의 개인정보를 수집하는것에 대해 엄격합니다. 만14세 이상의 사용자만 수집가능해야 하고, 핀란드나 다른국가는 제한연령이 높아요.
4)EU거주자에 대한 서비스를 제공한다면, 꼭 대비해야 합니다.
- EU내에 사업장을 운영하며, 개인정보 처리를 하는 기업
- EU 거주자에게 재화나 서비스를 제공
- EU 거주자의 EU내 행동을 모니터링 하는 기업
입니다. 주의할 점은, 국적이 아닌, EU거주자 라는 점이에요. 어떤 사람이 국적은 한국이나, EU국가에서 서비스 가입할경우 GDPR적용될수 있다는 거죠.
회사에서 EU시장 진출할거야! 라고 생가하고 있다면, GDPR은 필수 적용이 필요합니다. 간접적인 진출(예를들어 서비스 언어를 영어, 달러로만 결제 가능한 서비스)일 경우는 규제대상이 되지않을수 있다고 하네요.
GDPR 검토시 몇가지 주요 표현을 알아야 이해하기 쉽습니다.
컨트롤러 |
* 개인정보의 처리 목적 및 수단을 단독 또는 공동으로 결정하는 자연인 또는 법인, 공공 기관, agency, 기타 단체에 ** 컨트롤러의 책임과 의무 : 개인정보보호 최적화 설계 및 기본 설정 등 개인정보 처리의 GDPR 준수를 보장하고, 이를 입증할 수 있는 적절한 기술적‧관리적 조치 이행(의무준수 입증 요소 : 승인된 행동 강령 또는 승인된 인증체계 준수) *** joint controller(공동컨트롤러) : 둘 이상의 컨트롤러가 공동으로 개인정보 처리 목적과 수단을 결정하는 경우로, 공동컨트롤러는 당사자간 합의를 통해 GDPR에 따른 책임준수와 연관된 각자의 책임을 투명하게 결정해야함 (합의의 핵심내용은 정보주체에게 제공되어야하고, 합의 내용과 관계없이 정보주체는 개별 컨트 롤러에 대해 자신의 권리행사 가능하나, 외부적으로는 연대 책임 부담) |
DPO (data protection officer) |
개인정보보호책임자(또는 개인정보보호담당관) * GDPR은 개인정보보호책임자(DPO) 지정을 통해 컨트롤러 및 프로세서의 의무 이행 및 GDPR 준수를 지원(DPO는 직원 이거나 아웃소싱 가능) ** ①공공기관이거나 ②컨트롤러나 프로세서의 핵심활동이 (㉮정보주체에 대한 제3자의 정기적‧체계적인 모니터링에 해당 하거나, ㉯ 민감 정보, 범죄경력 및 범죄행위에 대한 대규모 처 리인 경우) DPO를 의무적으로 지정해야 함 *** 컨트롤러 등은 DPO를 공개하고 감독기구에 통지해야 함 **** DPO 직무 : 관련자들에 대한 조언의무, 정책 준수 감시의무, 요청에 따른 성과감시 의무, 감독기관과의 협력 및 통지 의무 등 ***** 공동 DPO 제도 : 사업체 집단(group of undertakings)은 공동으로 1명의 DPO 지정 가능 ☞ group of undertakings 참조 ※ 국내 개인정보보호법 상의 개인정보 보호책임자와는 지위, 책임, 역할 등이 상이함 |
프로덕트 메니져라면, 회사를 대표해 컨트롤러 역할을 해야할 상황이 높을것 같아요. 저도 컨트롤러의 역할을 해야 할것 같은 느낌적인 느낌….
반면에 DPO는 아무나 할수 없죠. 법을 잘 알고 모니터링 해줄수 있는 직원을 아웃소싱해야 합니다.
현지에 직원도 필요한데요, 이후 포스팅에서 상세 다루겠습니다.
마지막으로 기업에 적용되는 GDPR 항목에 대해 알아볼게요.
특별한 항목만 요약하여 말씀드리면,
삭제권 : 고객이 컨트롤러(아마도 나..)에게 개인정보 수집한 거 더이상 필요지 않으면 삭제해줘
개인정보 이동권 : 내가 여기 가입할때 입력했던 정보 B 서비스로 CSV파일로 만들어서 옮겨줘
반대권 : 개인정보 변경되어 고시할때 반대할수 있도록 기능으로 제공해줘
상세한 설명은 여기 링크를 참고하세요.