GDPR: 고객 데이터의 복잡성 탐색

Marcy Darsey, 기업 법무이사
날짜: 2018년 2월 15일

안녕하세요, 여러분. Livesize Live!에 다시 찾아주셔서 고맙습니다. 이 라이브 웹 쇼는 온전히 Lifesize의 플랫폼을 통해 만들어졌습니다.

저는 오늘 진행을 맡은 Julian Fields입니다. 오늘 저와 함께 해주실 분은 Lifesize의 법률고문 Marcy Darsey입니다. GDPR에 대해 대화를 나누는 중이었습니다.

그렇죠. 모든 분들께서 오늘 주제를 마음에 들어 하실 텐데요.

예. 우리 모두 GDPR이 뭔지 알고 있죠. 우리 모두가 알고 있는 GDPR에 덧붙여서, GDPR의 의미와 무엇을 나타내는 약자인지를 알 수 있도록 배경을 조금 설명해 주실 수 있을까요?

알겠습니다. 먼저 Lifesize Live에 초대해 주셔서 정말 감사합니다. 스튜디오를 보고 Lifesize가 제작 중인 웹 캐스트에 참여하게 되어 정말 흥분됩니다. 시작하기에 앞서 GDPR을 자세히 설명드리기 전에 변호사로서 법적 책임에 관한 말씀을 드리겠습니다. 제가 앞으로 10분 동안 말씀드릴 내용은 법률 자문이 아닙니다.

그렇죠.

그러니까 이 주제가 궁금하시거나 GDPR이나 법률, 규정에 관해 궁금한 점이 있으신 분은 해당 질문 내용에 관한 자격을 갖춘 법률 전문가와 상담하셔야 합니다. 이제 질문하신 내용으로 들어가 보겠습니다. GDPR은 무엇이고, 무엇을 나타내는 약자입니까? GDPR은 일반 데이터 보호 규정을 나타내는 약자이며, 유럽연합 집행위원회에서 결의된 신설 법률입니다. 유럽연합 내 모든 거주자의 데이터 보안 및 개인정보보호와 관련됩니다.

그렇군요. 저는 마케팅 분야에 종사하면서 이 분야를 접해 왔는데요. 수신 거부를 선택한 사람에게는 이메일을 보낼 수 없게 되어 있기 때문입니다.

그렇죠. 유럽연합의 데이터 보안과 개인정보보호법은 역사가 깁니다. 20년이 넘죠. 하지만 GDPR 자체는 2년 전에 제정되었습니다. 지금까지 이행 기간이 있었고, 5월 25일부터 규제기관에서 이 법률의 집행이 시작됩니다. 규제기관은 비준수 문제에 대응하고, 어떤 회사가 GDPR을 준수하지 않는 것이 적발되면 벌금형에 처할 수 있습니다. 벌금액도 어마어마 합니다.

그러니까, 솜방망이 처벌은 아니란 말씀이시죠?

예, 절대 가볍지 않습니다. 최대 2000만 유로의 벌금형에 처할 수 있습니다.

환율을 적용하면 2000만 달러가 넘는군요.

많죠. 회사는 2000만 달러 또는 연간 글로벌 매출의 최대 4%까지 지불해야 할 수 있습니다. 유럽 내 사업체 뿐 아니라 전 세계 사업체를 포함한 매출입니다.

그럼 회사가 클수록 벌금도 커지겠군요.

맞습니다. 의미있는 벌금입니다. 유럽연합은 모든 개인은 프라이버시의 기본권을 가진다고 인정하고 있기 때문입니다. 수십 년의 기술 진보를 거쳐 지금 우리가 살고 있는 세상을 생각해보면, 개인의 신원과 개인 데이터가 수많은 플랫폼에서 공유되고 있고, 수많은 사업체가 개인으로부터 데이터를 취합하고 수집해서 막대한 수익을 얻고 있습니다.

그렇습니다. 제가 가지고 있는 애플리케이션만해도 제 이름, 비밀번호, 전화번호, 주소 같은 것들이 사용됩니다.

그렇죠. 모든 사업체가 온라인으로 상호작용하고 있다는 점과 이 사업체들이 개인 데이터를 얼마나 많이 보유하고 있는지도 생각해 보세요.

신용카드는 하나의 물건에 불과하지만, 실제 사람처럼 나에 대한 상세 정보를 가지고 있죠.

예, 개인의 신원, 데이터, 정체성, 이름 같은 것들이 개인 정보입니다. 회사와 정보를 공유하게 되면 회사는 데이터를 수집하고 사용하는 방식을 개인에게 투명하게 유지할 의무를 집니다. 개인 데이터를 보호하고 해킹당하지 않도록 적절한 기술 운영 대비책을 이행할 의무도 집니다. 회사가 이 법을 준수하지 않으면 무거운 처벌이 내려집니다. 유럽연합 정부는 사업체가 의무를 무겁게 받아들이기를 원하기 때문입니다.

그렇군요. 그렇다면 GDPR의 핵심 요소는 무엇입니까?

GDPR을 영어로 인쇄하면 88쪽이 됩니다. 긴 법률이군요. 많은 주제를 담고 있겠습니다. GDPR은 99개 조항으로 구성되어 있습니다.

완벽하네요. 준수 기한이 오늘로부터 99일 남았거든요. 하루에 한 조항씩 배우면 할 수 있겠습니다.

누구나 할 수 있죠. 그러면 GDPR 발효일까지 99일이 남았으니, 오늘의 마법의 숫자는 99로 하겠습니다. GDPR은 많은 주제를 다루고 있지만, 핵심 주제 중 하나는 이미 말씀드린 투명성입니다. 개인은 자신에 관해 어떤 데이터가 수집되는지, 회사가 그 데이터로 무엇을 하는지, 다른 제3자 벤더나 처리업체로 이전되는지 여부를 알 권리가 있습니다. 투명성은 개인의 데이터가 어떻게 어디에 저장되는지를 아는 것과도 관련이 있습니다.

말하자면 웹 사이트에 보이는 팝업창과 같은 것들인데요. 쿠키같은 것들을 수집하는 거죠.

배너도 그렇죠. 고객에 대한 투명성의 의무의 일부입니다. 개인정보보호정책이나 개인정보보호고지를 적절하게 공개하는 것이 정말 중요합니다. 대부분의 사업체는 투명성 의무를 충족하기 위해 고객을 위한 개인정보보호고지를 업데이트합니다. GDPR이 다루고 있는 또 다른 원칙 중 하나는 역시 중요한 책무성입니다. 책무성이란 사업체가 고객에게 규정 준수를 증명할 수 있는 능력을 말합니다. 사업체가 규정 준수를 증명하려면 문서화된 정책과 절차가 확립되어 있어야 합니다. 데이터 처리 활동도 문서화해야 합니다. 사업체는 무슨 활동을 했는지를 서류상으로 추적할 수 있도록 유지해야 합니다.

그러니까 "예, GDPR을 준수하고 있습니다"로는 부족하다는 거군요.

"제 말을 믿으세요. 저희는 준수하고 있습니다"라고 말하는 것만으로는 부족합니다. 규정 준수를 증명하는 문서화 시스템을 마련해야 합니다. GDPR에서 3번째로 중요한 원칙은 프라이버시 중심 설계의 개념입니다. 회사가 개인 데이터의 수집, 처리, 저장과 관련된 제품을 개발하는 경우에 적용됩니다.

제가 아까 말씀드렸던 앱 같은 것 말씀이군요.

예, 바로 그겁니다. 따라서 개인 데이터를 수집하는 앱을 개발하려는 회사는 제품 개발에 프라이버시 중심 설계 접근법을 적용해야 합니다.

나중에 생각할 일이 아니군요.

그렇습니다. 솔루션 또는 서비스 아키텍처를 개발할 때 개인정보보호와 보안도 단계마다 고려해야 한다는 뜻입니다. 개발 단계 처음부터 개인정보보호를 고려하고, 제품 아키텍처를 어떻게 구현할 것인지를 생각해야 합니다. 나중에 적당히 해치울 일이 아니군요. 그렇습니다.

"나중에 암호화하겠다"는 올바른 방법이 아니군요.

절대 옳은 방법이 아닙니다. 제품 개발 생애 주기 전체에서 개인정보보호를 생각해야 합니다. 그리고, 책무성에 따라 이 과정을 문서화해야 합니다.

그렇군요. 지금까지 핵심 요소를 말씀해 주셨으니 회사가 정말로 고려해야 할 점을 정리할 수 있을 것 같은데요. 회사가 취해야 할 첫 번째 단계는 무엇입니까?

회사가 취해야 할 첫 번째 단계는 회사가 보유하고 있는 데이터를 평가하고 이해하는 것입니다. 회사는 보유 중인 고객 데이터를 검토하고 데이터와 데이터 흐름을 이해해야 합니다. 이 활동을 데이터 매핑 또는 데이터 인벤토리라고도 합니다. 수집, 처리, 저장, 삭제, 보유에 이르는 각 단계마다 고객 데이터를 검토하고, 규정 준수를 위해 충족해야 할 의무가 있는지를 검토해야 합니다. 그러니까 첫 번째 단계는 데이터 평가 또는 데이터 매핑입니다. 두 번째 단계는 데이터 매핑 과정에서 개인 데이터를 안전하게 보호할 적절한 기술 운영 대책을 개발하는 것입니다.

알겠습니다. 질문이 하나 있는데, 답변해 주시겠어요? 데이터 보호 책임자에 관한 요건과 관련된 것입니다. 회사에 데이터 보호 책임자를 두어야 하나요?

회사마다 다릅니다. 모든 회사에 책임자가 필요한 건 아니지만 회사가 처리하는 데이터 유형에 따라 다릅니다. 대량의 민감 데이터를 처리하는 회사는 데이터 보호 책임자를 두어야 합니다. 특수 자막이 나오는 TV로 사람을 계속 모니터링하는 경우와 같이 지속적인 모니터링을 수행하는 회사는 데이터 보호 책임자를 지명해야 합니다. 전형적인 법률가적 대답인데요, 상황에 따라 다릅니다. 이 점이 이 법에서 좋은 부분인데요, 이 법은 일률적인 법이 아닙니다. 모든 회사는 회사만의 규정 준수를 위해 맞춤형 프로그램을 개발해야 합니다. 프로그램은 회사의 데이터 유형과 데이터 처리 활동에 따라 결정됩니다. 따라서, 모든 회사에 맞는 간단한 해결책은 없습니다. 상황에 따라 맞춰가고 신중하게 고려해야 합니다.

알겠습니다. Marcy, 정말 감사합니다. 괜찮으시다면 좀 더 대화를 나눌 수 있는 블로그 같은 걸 가지고 계시나요? 팔로우해도 될까요?

물론이죠. 이 주제에 관해 할 말이 많습니다. 오늘 저희와 함께해 주신 모든 분께 감사드립니다. 그리고 초대해주셔서 감사합니다.

예, 물론입니다. 다음 시간에 뵙겠습니다. 청취해 주셔서 감사합니다. 다음 주에 뵙겠습니다. 안녕히 계십시오.