일반데이터보호규정(GDPR) 컴플라이언스 가이드라인

일반데이터보호규정(GDPR)은 조직이 온라인 고객에게서 수집한 개인 데이터를 처리하고 사용하는 방식을 규정한 법률입니다. 유럽연합(EU)은 2016년 4월에 GDPR을 승인했으며 GDPR 컴플라이언스는 2018년 5월 25일부로 시행되었습니다. GDPR 컴플라이언스 요건은 EU 전체의 데이터 개인정보보호법을 조율하여 탄생한 결과물입니다.

GDPR 컴플라이언스 요건이 등장하게 된 핵심 요인은 클라우드 서비스의 보편화와 데이터 유출 위협의 확산입니다. 다양한 디지털 서비스로 인해 데이터 저장 위치의 경계는 흐려졌고 그에 대한 통제력도 약화되었습니다.

GDPR 컴플라이언스 요건은 유럽 시민의 데이터 개인정보보호와 보안을 철저하게 보호하겠다는 EU의 기조를 잘 보여줍니다.

GDPR은 EU에서 입안 및 통과된 법률이지만, 소재지와 상관없이 EU 시민과 관련된 데이터를 수집하고 처리하는 모든 조직에 확대되어 적용됩니다.

수집, 사용, 참조 또는 기타 방식으로 처리되는 개인 정보를 보호하기 위한 GDPR 컴플라이언스 요건은 다음 일곱 가지 데이터 보호 원칙을 따릅니다.

1. 책임
2. 정확성
3. 데이터 최소화
4. 무결성 및 기밀성
5. 합법성, 공정성, 투명성
6. 목적 제한
7. 저장 제한

GDPR 컴플라이언스를 위해 필요한 것

GDPR 컴플라이언스는 달성하고 유지하기가 매우 까다로운 규정입니다. 이는 세계에서 가장 엄격한 보안 및 개인 정보 보호 지침으로 널리 알려져 있으며 전문은 99개의 개별 조항으로 구성되어 있습니다. 다음은 주요 GDPR 컴플라이언스 요건이며, 이를 통해 GDPR의 범위와 규모를 파악할 수 있습니다.

책임 요건

개인 데이터를 처리하는 조직은 GDPR 컴플라이언스를 입증할 수 있는 데이터 컨트롤러를 선임해야 합니다.

정확성 요건

GDPR 컴플라이언스에 따라 조직은 데이터 주체의 정보에 대한 정확성을 확보하도록 합리적인 조치를 취해야 합니다. 비록 구체적인 요건은 명시되어 있지 않으나 조직은 개인 데이터와 관련된 상황, 처리하는 개인 데이터의 유형, 해당 데이터를 사용하는 목적을 고려해야 합니다.

이 요건을 충족하려면 평가를 통해 개인 데이터의 중요성을 판단해야 합니다. 개인 데이터의 중요성이 높아진 만큼, 정확성을 확보하기 위한 조치도 강화되어야 합니다. GDPR 컴플라이언스에서는 정확성 요건의 일환으로 데이터 주체가 요청할 경우 개인 정보를 업데이트할 수 있도록 절차를 마련할 것을 규정하고 있습니다.

동의 요건

통념과는 달리 GDPR 컴플라이언스는 개인 데이터 처리를 위해 데이터 주체의 동의를 요구하지는 않습니다. 이는 데이터 주체의 정보를 처리하는 방식에 관한 여섯 가지 법적 근거 중 하나이며, 주로 나머지 다섯 개의 근거를 적용할 수 없을 때 적용됩니다.

하지만 동의를 GDPR 컴플라이언스의 근거로 삼을 경우 조직은 다음과 같은 몇 가지 규칙을 반드시 준수해야 합니다.

• 13세 미만의 아동은 부모의 허락 하에만 동의를 제출할 수 있습니다.
• 동의는 ‘자유 의지로 제공되어야 하고, 구체적이어야 하며, 관련 정보가 충분히 제공되어야 하고, 모호하지 않아야 합니다.’ 이때 사용자는 직접 동의를 제공해야 하며 조직이 사전에 선택해 둔 확인란을 통해 동의해서는 안 됩니다.
• 데이터 주체는 자신의 동의를 언제든지 철회할 수 있습니다. (동의 철회 시 조직이 나머지 다섯 가지 법적 근거 중 하나에 따라 해당 데이터 주체의 정보를 처리하는 것은 불가능함에 유의해야 합니다.)
• 동의를 입증하는 증거 서류를 보관해야 합니다.
• 동의 요청은 ‘다른 주제들과 명확히 구분’되어야 하며 ‘분명하고 평이한 언어’로 기술되어야 합니다.

데이터 보호 영향 평가 요건

GDPR 컴플라이언스에서는 데이터 보호 영향 평가(DPIA)를 통해 데이터 처리에 따른 위험을 식별하고 최소화할 것을 제시합니다. DPIA는 제35조에 해당 개념이 설명되어 있으며, 데이터 처리 시 ‘자연인의 권리와 자유에 큰 위험을 초래할 가능성이 높을 경우’에 시행해야 하는 GDPR 컴플라이언스 요건입니다.

GDPR 컴플라이언스에서 말하는 큰 위험이란 다음을 의미합니다.

• 대규모의 특수 범주 또는 형사 범죄 데이터
• 체계적이고 광범위한 프로파일링
• 공공장소에 대한 대규모의 체계적 모니터링

데이터 주체 권리 요건

GDPR 컴플라이언스는 데이터 주체의 여덟 가지 권리를 반드시 고려해야 합니다.

1. 정보를 제공받을 권리
   조직은 데이터 주체에게 수집 대상인 정보, 활용 방식, 보유 기간, 제삼자와의 공유 여부를 간결하게 평이한 언어를 사용하여 알려야 합니다.
2. 액세스 권리
   데이터 주체는 저장된 개인 데이터의 사본을 조직에 요구할 수 있으며 일부 예외를 제외하고는 해당 정보를 한 달 내로 수령할 수 있어야 합니다.
3. 수정 권리
   데이터 주체는 자신의 데이터가 부정확하거나 불완전함을 인지했을 때 해당 정보의 업데이트를 요청할 수 있습니다. 일부 예외를 제외하고 해당 업데이트는 한 달 내로 완료되어야 합니다.
4. 잊힐 권리
   데이터 주체는 자신의 데이터가 더 이상 필요하지 않거나, 불법적으로 처리되었거나, 수집의 합법적 근거가 더 이상 충족되지 않는 등의 경우에 해당 데이터를 삭제할 것을 조직에 요청할 수 있습니다.
5. 처리 제한 권리
   데이터 주체는 자신의 데이터를 처음 수집한 제품이나 서비스를 더 이상 사용하지 않을 경우 해당 데이터의 삭제를 요청할 수 있습니다. 이때 조직이 해당 데이터의 필요성을 입증할 경우(법적 청구의 입증, 행사, 방어 등의 목적) 해당 데이터는 제한적으로 사용될 수 있습니다.
6. 데이터 이동 권리
   데이터 주체의 정보는 서로 다른 서비스에서도 사용할 수 있도록 표준 형식으로 액세스할 수 있어야 합니다.
7. 거부 권리
   조직이 정당한 사유 또는 공공 기관의 공무 수행을 법적 근거로 삼아 개인 데이터를 처리할 때도 데이터 주체는 자신의 데이터 처리를 거부할 권리가 있습니다.
8. 프로파일링 등 자동화된 의사 결정과 관련된 권리
   데이터 주체의 정보는 프로파일링, 인공지능과 머신러닝의 활용 등 자동화된 의사결정에 사용할 수 없도록 제한되어 있습니다.

데이터 전송 요건

데이터 전송 규칙은 데이터가 이동하는 장소에 따라 달라집니다. 데이터 주체의 정보가 EU 내에서 전송될 경우 기본적인 GDPR 데이터 및 개인 정보 보호 규정이 적용됩니다.

하지만 제삼자 또는 국제기관으로의 데이터 전송은 해당 데이터를 처리하는 조직이 ‘적절한 안전장치를 제공하며, 데이터 주체의 집행 가능한 권리 및 데이터 주체를 위한 효과적인 법률 구제책을 행사할 수 있는 경우’에만 가능합니다.

무결성 및 기밀성 요건

데이터 처리는 적절한 수준의 보안, 무결성, 기밀성을 확보하여 GDPR 준수 요건을 충족하는 범위에서 실행되어야 합니다. 보안 조치의 수준은 데이터 유출이 데이터 주체에 미치는 영향에 상응하는 수준이어야 합니다.

데이터 보호는 처리 중인 데이터가 우발적으로 또는 의도적으로 유출되는 것을 방지하기 위해 필요합니다. 오로지 인증된 사용자만 데이터 주체의 정보에 대한 접근, 변경, 공개, 삭제를 수행할 수 있어야 합니다.

정보 처리의 합법성, 공정성, 투명성 요건

정보 처리는 합법적이고 공정해야 하며 데이터 주체에게 투명하게 공개되어야 합니다. GDPR 컴플라이언스를 확실히 이행하려면 데이터 처리의 여섯 가지 법적 근거 중 하나를 반드시 충족해야 합니다.

필수적인 목적이 아니어도 데이터 주체의 정보를 처리할 수 있으나, 다음과 같은 분명한 목적이 존재해야 합니다.

조직은 개인정보 보호 고지를 작성하고 이를 데이터 주체가 쉽게 확인할 수 있게 하여 투명성을 확보해야 합니다.

목적, 데이터, 저장 요건의 제한

GDPR 컴플라이언스를 위해 조직은 정당한 사유가 있을 때만 데이터 주체의 정보를 처리할 수 있으며 해당 정보를 수집할 때는 데이터 주체에게 명시적으로 알려야 합니다. 또한 더 이상 필요하지 않은 데이터는 삭제해야 합니다. 다만 공익 및 과학적, 역사적, 통계적 목적의 데이터 처리는 예외적으로 허용됩니다.

개인 데이터 유출 통지 요건

GDPR 컴플라이언스에서는 데이터 유출 발생 시 아주 구체적인 대응을 요구합니다. 그중에서도 가장 중요한 요건 중 하나는 데이터 유출에 따른 개인 정보 유출과 그로 인해 발생할 수 있는 위험에 관한 것입니다.

개인 정보 유출 시 조직은 사고를 인지한 시점으로부터 72시간 이내에 해당 사실을 보고해야 합니다. 이후 데이터의 행방 및 데이터 주체에 미치는 영향을 파악해야 합니다.

제4조 12절에서는 개인 데이터 유출에 대해 ‘전송 또는 저장되거나 기타 방식으로 처리된 개인 정보가 우발적 또는 불법적인 파기, 유실, 변경, 무단 공개, 무단 액세스되는 보안 위반’으로 정의합니다. 즉, 개인 데이터 유출이란 사이버 범죄자의 공격뿐만 아니라 내부자가 데이터 주체의 정보를 실수로 유출하는 우발적 사고까지 아우르는 말입니다.

설계 및 기본 설정에 의한 개인정보 보호 요건

GDPR의 설계 및 기본 설정에 의한 개인정보 보호 요건을 충족하기 위해 조직은 데이터 처리 프로그램 개발 시 사후적으로 보안 기능을 추가해서는 안 되며 처음부터 설계에 보안 기능을 통합해야 합니다. 이는 데이터 주체의 개인 정보권을 보호하기 위한 조치와 더불어 적절한 기술적 및 조직적 데이터 보호 조치를 구축해야 함을 뜻합니다.

보안 인식 교육 요건

GDPR 컴플라이언스에서 직원 보안 인식 교육은 의무입니다. 개인 데이터를 취급하거나 데이터 보호 절차를 감독하는 담당자는 누구나 반드시 자신의 책임, 개인 데이터를 겨냥한 위협, 데이터 주체의 권리에 관해 교육을 받아야 합니다. 또한 보안 인식 교육에는 설계 및 기본 설정에 의한 개인 정보 보호와 DPIA에 관한 내용도 포함되어야 합니다.

저장 제한 요건

조직은 GDPR 컴플라이언스 요건 충족을 위해 데이터 주체의 정보를 저장하는 기간을 정의하는 보유 정책과 관련 일정을 수립해야 합니다. 이때 데이터는 해당 데이터가 필요한 기간만큼만 보유되어야 합니다.

데이터의 지정된 사용 기간이 만료될 경우 해당 데이터를 삭제 및 익명화하는 시스템이 필요합니다. 또한 조기 삭제(데이터 주체의 요청 또는 데이터의 용도가 다함 등)를 위한 절차도 마련되어야 합니다.

GDPR을 준수해야 하는 대상

EU 시민의 개인 데이터를 처리하는 모든 조직은 GDPR을 준수해야 합니다. 다음에 해당하는 조직은 소재지와 관계없이 GDPR을 준수해야 합니다.

• 쿠키 또는 IP(인터넷 프로토콜) 주소 추적 등을 통해 EU 시민의 활동을 모니터링
• 웹사이트를 통해 EU 시민에게 상품과 서비스를 제공

GDPR이 보장하는 사용자의 권리

GDPR 컴플라이언스는 개인 데이터를 처리하는 조직에는 의무를 부과하며 데이터 주체에게는 권리를 보장합니다. 아래의 내용은 GDPR이 규정하는 데이터 주체의 권리를 요약한 것입니다.

액세스 권리

조직은 GDPR 컴플라이언스를 위해 사용자가 자신의 개인 데이터에 쉽게 액세스하도록 보장해야 합니다. 사용자는 조직이 보유한 개인 데이터의 사본을 요청할 수 있으며 사본 수령 시 데이터 처리의 목적 및 보유 기간과 같은 부가적 정보를 함께 제공받을 수 있습니다. 해당 정보는 일부 예외를 제외하면 요청 시점으로부터 한 달 이내에 제공되어야 합니다.

데이터 이동권

GDPR 컴플라이언스에서는 데이터 주체가 자신의 개인 데이터를 하나의 서비스에서 다른 서비스로 옮길 권리를 보장합니다. 이는 데이터 주체의 데이터 관리 권한을 강화하며, 데이터 주체가 더 나은 서비스나 가격을 찾아 자유롭게 서비스 제공업체를 변경할 수 있도록 보장합니다.

삭제권

삭제권은 잊힐 권리라고도 하는데, 이 GDPR 컴플라이언스를 바탕으로 데이터 주체는 조직이 수집한 모든 개인 데이터의 삭제를 요청할 수 있습니다. 단, 해당 데이터가 법적 의무에 따라 보유되어야 하거나 공익 목적의 업무에 사용되는 경우는 예외입니다. 삭제 요청이 있을 경우 조직은 한 달 이내에 응답해야 합니다.

고지를 받을 권리

조직은 GDPR 컴플라이언스 요건에 따라 개인 데이터의 활용 방식을 데이터 주체에게 명확히 알려야 합니다. 본 요건은 기업이 사용자로부터 직접 개인 데이터를 수집하느냐, 아니면 다른 출처로부터 확보하느냐에 따라 달라집니다.

• 데이터 주체에게서 직접 정보를 수집하는 경우 조직은 해당 개인 정보를 제공해야 합니다.
• 다른 출처로부터 정보를 수집하는 경우 조직은 해당 개인 정보가 아닌 출처만 데이터 주체에게 알리면 됩니다.

정정권

GDPR 컴플라이언스 요건은 정보 정정을 요청받은 조직이 해당 데이터의 정확성을 확인하거나 해당 데이터를 수정하기 위해 합리적 조치를 취할 의무를 규정하고 있습니다. 조직은 요청이 접수된 시점으로부터 한 달 내에 요청을 이행해야 합니다.

자동화된 의사결정 및 프로파일링과 관련된 권리

자동화된 의사결정이란 프로파일링 및 개인의 특성에 관한 판단과 같이 사람이 개입하지 않는 절차를 말합니다. 자동화된 의사결정은 다음 세 가지 상황에서만 가능합니다.

1. 데이터 처리에 관한 정보가 데이터 주체에게 제공됨
2. 데이터 주체가 손쉽게 사람의 개입을 요구하거나 결정 결과에 이의를 제기할 수 있음
3. 시스템이 의도한 대로 작동하는지를 확인하는 정기적 검사를 수행함

처리에 대한 제한권

GDPR 컴플라이언스에 따라 조직은 개인 데이터 처리에 관해 데이터 주체의 명확한 동의를 얻어야 합니다. 동의를 얻는 절차는 투명해야 하며 간단하게 확인할 수 있어야 합니다. 또한 데이터 주체는 자신의 개인 데이터 처리 및 그 처리 범위에 대하여 명시적 동의를 요구할 권리를 지닙니다.

GDPR 위반에 대한 제재

GDPR 컴플라이언스 기준을 충족하지 못하면 무거운 과태료가 부과되며 그 액수는 위반의 심각성에 따라 달라집니다. GDPR 컴플라이언스 요건 미충족 시 부과되는 과태료는 2단계로 나뉩니다. 또한 과태료와는 별개로, GDPR에 따라 데이터 주체는 GDPR 컴플라이언스 요건 위반으로 인해 발생한 물질적 또는 비물질적 피해에 대해 조직에 보상을 요구할 권리를 보유합니다.

1단계 과태료

다음과 관련된 규칙을 위반할 경우 최대 1천만 유로 또는 직전 회계연도 연간 전 세계 총 매출의 2% 중 높은 금액의 과태료가 부과됩니다.

• 인증 기관(제42, 43조)
• 컨트롤러와 프로세서의 의무(제8, 11, 25~39, 42, 43조)
• 모니터링 기관(제41조)

2단계 과태료

다음과 관련된 규칙을 위반할 경우 최대 2천만 유로 또는 직전 회계연도 연간 전 세계 총 매출의 4% 중 높은 금액의 과태료가 부과됩니다.

• 9장에 따라 채택된 회원국 법률 위반(9장은 GDPR에 부합하는 추가 데이터 보호법을 시행할 권한을 EU 회원국에 부여함)
• 감독 기관의 명령에 불복
• 데이터 처리의 기본 원칙(제5, 6, 9조)
• 동의 조건(제7조)
• 데이터 주체의 권리(제12~22조)

GDPR 컴플라이언스 요건 위반 과태료는 각 EU 국가의 데이터 보호 규제 기관이 부과합니다. 해당 기관은 준수 요건 위반 여부 및 구체적인 과태료를 결정합니다.

조직의 GDPR 컴플라이언스 위반 여부와 그에 대한 과태료는 아래의 열 가지 기준에 따라 결정됩니다. 조직이 하나의 데이터 처리 과정에서 복수의 기준을 위반했다면 가장 심각한 사안에 대한 과태료가 부과됩니다.

1. 심각성 및 성격

• 발생 경위
• 문제 해결까지 소요된 시간
• 데이터 주체의 피해 정도
• 피해 인원
• 발생한 사건
• 발생 원인

2. 의도

• 고의적
• 우발적
• 과실

3. 완화 조치

• 조직이 피해 완화 조치를 취했는지 여부
• 조치를 이행하기까지 소요된 시간

4. 예방 조치

• 기술적 안전장치
• 조직적 준비도

5. 이력

• 데이터보호지침 및 GDPR하에서 과거에 발생한 관련 사고의 존재 여부
• GDPR에 따른 과거의 행정적 시정 조치 준수 여부

6. 감독 기관에 대한 협조도

• 위반 사항의 발견
• 위반 사항의 시정

7. 데이터 범주

• 침해된 개인 데이터의 유형

8. 통지

• 조직이 능동적으로 사고를 보고
• 제삼자가 사고를 보고

9. 인증

• 승인된 행동강령 준수 여부
• 이전의 인증 획득 여부

10. 악화 및 완화 요인

• 재무적 이익 획득
• 손실 회피

GDPR과 데이터 유출의 관계

조직은 GDPR 컴플라이언스 요건을 준수하기 위해 데이터 유출이 ‘데이터 주체의 권리와 자유에 위험’을 야기할 가능성이 있는 경우 해당 사실을 규제 기관에 알려야 합니다. GDPR 컴플라이언스 규칙은 개인 데이터 유출을 세 가지 유형으로 분류하며, 하나의 데이터 유출이 세 가지 범주 모두에 해당할 수도 있습니다.

1. 기밀성 침해—무단으로 또는 우발적으로 개인 데이터가 공개되거나 액세스됨
2. 가용성 침해—개인 데이터에 대한 우발적 액세스 또는 액세스 권한 상실, 또는 개인 데이터 파기
3. 무결성 침해—개인 데이터에 대한 무단 또는 우발적 변경

GDPR 컴플라이언스에 따라 조직은 개인 데이터에 영향을 미치는 보안 침해 발생 시 사고를 인지한 시점으로부터 72시간 이내로 데이터 보호 기관(DPA)에 해당 사실을 보고해야 합니다.

데이터 주체 액세스 요청이란?

데이터 주체 액세스 요청(DSAR)이란 기업이 처리한 개인 데이터 및 다음 정보에 대한 당사자 개인의 요청입니다.

• 조직이 처리하는 개인 데이터의 범주
• 데이터 보유 기간
• 자동화된 의사결정 관련 정보(프로파일링 등)
• 개인의 GDPR 권리에 대한 정보
• 개인 데이터 처리의 목적
• 데이터 출처(데이터를 데이터 주체에게서 수집하지 않은 경우)
• 조직이 개인 데이터를 공유하는 제삼자

데이터 보호 담당관이란?

데이터 보호 담당관(DPO)은 조직이 GDPR 컴플라이언스 요건을 준수하는지 확인할 책임이 있습니다. 대규모 조직의 DPO 직무는 여러 사람이나 전담 부서가 담당합니다.

DPO의 역할은 다음과 같습니다.

• 조직과 감독 기관 간의 접점 역할
• 직원들에게 데이터 보호 책임에 관한 자문 제공
• 데이터 액세스 워크플로 승인
• 보유한 데이터의 익명화 방법 규정
• 개인 데이터의 합리적인 보유 기간 설정
• 경영진의 DPIA(데이터 보호 영향 평가) 필요성 판단 지원
• 모든 시스템을 모니터링하여 개인 고객 데이터의 보호 여부 확인
• 데이터 보호 정책 및 절차 감독
• 데이터 주체와의 연락 창구 역할

모든 조직이 GDPR 컴플라이언스 규칙을 지켜야 하는 것은 아닙니다. DPO를 임명해야 하는 조직은 다음과 같습니다.

• GDPR 제9, 10조에 제시된 특수 범주의 데이터를 대규모로 처리하는 활동을 수행하는 조직
• 데이터 주체를 대규모로 체계적이고 정기적으로 모니터링해야 하는 핵심 활동을 수행하는 조직
• 사법권을 행사하는 법원 이외의 공공기관

GDPR 컴플라이언스 요건의 중요성

GDPR 컴플라이언스를 결코 가볍게 여겨서는 안 됩니다. 규제 기관이 부과하는 과태료만도 상당합니다. 게다가 개인 또한 추가적 보상을 요구할 수 있으며 실제로 보상이 지급되는 사례가 꾸준히 발생하고 있습니다. GDPR을 준수하려면 많은 노력이 필요하지만 결과적으로는 전반적인 보안이 강화됨에 따라 조직에 도움이 됩니다.