“인터넷은 결코 망각하지 않는다(The Net never forgets)” 저널리스트 J.D 라시카의 말입니다. SNS가 보편화되고 사회의 정보 대부분이 인터넷에 기록되면서, 시간이 지나면 사람들의 기억 속에 사라졌던 정보가 인터넷에 계속 남아있게 되었죠. 또한 포털 검색을 통해 누구든지 언제 어디서나 정보 검색이 쉬워졌습니다.
그런데, 여러분은 ‘잊혀질 권리’에 대해 들어보셨나요? ‘Right to erasure, Right to be forgotten’이라고 불리는 삭제권은 개인정보를 삭제하도록 요구할 수 있는 권리인데요.
“개인은 더 이상 관련이 없거나 불필요한 개인정보를 삭제할 것을 기업에 요청할 수 있고, 특정조건 충족 시 기업은 데이터 삭제에 대한 적법한 요청을 이행해야 한다”
잊혀질 권리(삭제권)은 올해 5월부터 시행 예정인 유럽연합(EU) 가입국 대상으로 시행되는 일반 개인정보보호법(GDPR: General Data Protection Regulation) 항목 중 하나입니다. 기존 Data Protection Directive(1995) 법을 대체하는 것으로 지난 2016년 5월 제정되었습니다.
이렇듯 GDPR이 글로벌 기업들 사이에서는 이슈가 되면서 많아 국내 기업들도 큰 영향을 받게 될 것으로 예상되는데요. 많은 회사들이 EU GDPR 대응 협의체를 구성하여 GDPR 법규 내용과 영향도에 대해 분석하고 대응하는 활동을 하고 있다고 합니다!! GDPR의 전반적인 내용에 대해 알아볼까요?
# GDPR에서 정의하는 개인정보란?
개인정보란 식별되었거나 또는 식별 가능한 자연인(정보주체)와 관련된 모든 정보, 이름•전화번호 등과 같은 일반적인 개인정보 외에 암호화 정보, 생체 정보, 온라인 식별 정보나 위치 정보도 포함됩니다.
*IP 주소, MAC Address, 온라인 쿠키를 통해 개인 식별이 가능한 경우 개인정보임
위치정보도 개인정보에 해당된다고 하니, 교통수단에 부착된 GPS를 통해 수집되는 정보도 개인정보인지 궁금해지는데요. 해당 이동 수단에 탑승하고 있는 사람을 특정할 수 있다면, 이 기계가 수집하는 지리적 정보는 해당인의 신원을 파악할 수 있는 개인정보로 보고 GDPR 적용 대상이 됩니다.
# GDPR이 적용되는 범위는?
GDPR 규제 대상은 인적, 물적, 지리적 범위를 모두 포함하며, Controller(개인정보의 처리 목적과 수단을 결정하는 회사/기관) 뿐만 아니라 Processor(Controller를 대신하여 개인정보를 처리하는 회사/기관)도 직접 적용을 받습니다. 특히 GDPR은 정보주체의 ‘국적’, ‘시민권’이 아닌, 유럽 거주자 기준으로 적용됩니다.
# GDPR을 위반할 경우 과징금은?
GDPR법 위반은 크게 두 가지 측면에서 볼 수 있습니다. 우선 GDPR상 Controller 뿐만 아닌 Processor도 직접 규제 대상이 되기 때문에 각 역할별 규정되는 의무사항을 준수 하지 않을 경우 해당 위반 사항에 따른 책임을 각 주체가 부담 합니다.
솔루션 사업을 하는 회사의 경우 고객사가 법을 준수할 수 있도록 회사의 솔루션이 GPDR의 요구 사항에 맞게 구현되어야 합니다. GDPR의 요구에 부합하지 않는다면 EU 당국이 부과 할 수 있는 Penalty의 모수(매출액)는 Processor의 매출 금액뿐만 아닌 Controller의 매출까지 포함되어 책정 될 수 있습니다. (특히, 계약상 Processor의 솔루션으로 인한 피해는 Processor가 부담하도록 Controller가 요청 하는 경우)
*과징금 부여 기준
1)전세계 매출 2% / EUR 1천만 
유출 시 신고(72시간), DPO 지정 의무 위반 시
* DPO : Data Protection Officer, 회사의 개인정보보호 업무 관련 전문가
2) 전세계 매출 4% / EUR 2천만 6대 개인정보보호 원칙 및 정보주체 권리보장 준수 의무/역외이전 관련 규정 위반 시
# Processor의 관점에서, 사업 수행 시 고민할 부분은?
우선 보유 대상의 개인정보 유형을 파악해야 합니다. 특히 유전정보, 개인식별을 위한 바이오 정보, 건강 정보 등 민감정보의 경우 위험 수준에 대한 세밀한 평가 필요가 있는데요. 다양한 개인정보 처리 방식 상세하게 규명하고, 정보의 규모와 흐름 파악을 통해 목록을 문서화하여 지속적으로 모니터링 할 필요가 있습니다.
특히, GDPR의 제정에 가장 핵심 목적은 정보주체의 권리 강화입니다. ▲동의 기준 엄격화, 동의 철회 규정 신설 ▲정보주체의 권리 강화로 삭제권(잊혀질 권리), 정보 이동권 신설 이외에도 정보보호 원칙의 명목화로 정보 수집 최소화, 목적이 제한됩니다.
* 동의 철회 : 정보주체는 언제든지 쉽게 본인의 동의를 철회할 수 있도록 환경을 설정하여야 함 (동의할 때와 동일하게 동의 철회 기능 구현 권장)
*정보주체 권리
Right to basic information / 정보를 제공받을 권리
Right of access / 정보 열람권
Right of rectification / 정보 정정권
Right to erasure (the “right to be forgotten”) / 삭제권 (잊혀질 권리)
The right to restrict processing / 정보 처리 제한권
Right of data portability / 정보 이동권
Right to object to processing / 정보 처리 반대권
솔루션을 개발하는 회사들은 기능 제공을 위한 필수 개인정보로 수집 범위를 최소화(Privacy by default)하고, 솔루션 설계 단계부터 개인정보보호 측면을 고려해서 개발(Privacy by Design) 해야 합니다. 솔루션/서비스별 영향도 평가(Data Protection Impact Assessment)를 실시해야 하며, 특히 프로파일링, 민감정보 대규모 처리, 공공장소 모니터링시 시 정부 당국과 사전 협의가 필요합니다. 또한 Controller-Processor 역할을 명확히 구분하고, 솔루션/서비스 별 정보주체 권리 보장을 위한 기능 구현 및 프로세스 수립이 필요하며, Data Processing Agreement (개인정보 처리 계약)를 체결해야 합니다.
클라우드 컴퓨팅과 빅데이터 분석기술의 발전과 더불어 컴플라이언스 준수는 글로벌 기업의 필수 검토 사항이 되었습니다. 지금까지 GDPR의 전반적인 내용에 대해 알아보았습니다.
