유럽 일반 개인정보 보호법(GDPR)은 유럽 연합(EU) 국가의 데이터 보호 및 개인 정보 보호법을 새롭게 정비하고 통합한 것입니다. 1995년에 제정된 EU 데이터 보호 지침(Data Protection Directive)을 대체했습니다.
유럽 의회는 2016년 4월 14일 자로 이 데이터 보호법을 승인했지만, 정식 발효일은 2018년 5월 25일이었습니다. 이에 따라 GDPR을 2018년 데이터 보호법으로 부르곤 합니다. GDPR에서는 28개 EU 회원국 전체의 데이터/개인 정보 보호법이 상충하지 않도록 수정하는 한편 개인의 권리 및 보호 장치를 강화하는 일관성 있는 99개 조항을 마련했습니다. 데이터/개인 정보 보호에 관한 EU 소비자의 우려가 커진 것이 계기가 되었습니다.
RSA 데이터/개인 정보 보호 및 보안 리포트에 따르면, 소비자의 41%가 데이터/개인 정보 보호에 관한 의구심 및 사생활 침해형 마케팅에 대한 두려움 때문에 회사에 잘못된 개인 정보를 제공한다고 밝혔습니다. 설문에 참여한 글로벌 소비자의 90%도 개인 데이터 손실, 조작, 도용에 관한 우려를 표명했습니다.
GDPR을 권리의 정비보다는 데이터 보호 및 개인 정보 보호의 혁신으로 보는 견해가 많습니다. 이 새로운 지침은 기업의 투명성 유지에 중점을 두고, 소비자의 개인정보 보호 권리(데이터 주체)를 확대합니다. 예컨대 어떤 기업에서 심각한 보안 침해를 발견한 경우, 72시간 이내에 관할 당국 및 영향을 받는 모든 개인에게 알려야 합니다.
GDPR 요건은 데이터를 수집하는 조직이 EU에 거점을 두는지 여부와 상관없이 EU 시민이 생성하는 모든 데이터에 적용됩니다. 아울러 비 EU 국가 시민을 포함하여 EU에 정보가 저장되는 모든 사람을 대상으로 합니다. 규정을 위반하는 기업에는 막대한 처벌이 가해집니다.
GDPR은 General Data Protection Regulation의 약어입니다. 이는 기업 및 조직이 EU 회원국 내에서 이루어지는 거래와 관련하여 EU 시민의 데이터와 개인 정보를 보호하도록 규정하는 데이터 보호법입니다. 기업에서 EU 외부로 개인 데이터를 보내는 방식도 규제합니다. 많은 이들이 GDPR을 세계에서 가장 강력한 데이터 보호 표준으로 간주합니다. 즉, 당사자가 본인의 정보에 액세스할 수 있는 방법, 그리고 기업이 개인 정보를 다룰 때 지켜야 할 조건을 강화했다고 평가합니다.
GDPR에 의하면, 대규모로 데이터 처리 및 데이터 주체 모니터링을 수행하는 기업 및 조직은 데이터 보호 책임자(DPO)를 두어야 합니다. DPO는 해당 기업의 데이터 거버넌스 및 컴플라이언스를 책임집니다.
GDPR 규정을 지키지 않은 기업은 2천만 유로(약 2,207만 달러), 또는 연간 글로벌 매출의 4% 중 더 큰 금액에 해당하는 과징금을 내는 등 법적 제재를 받게 됩니다. 아울러 DPO는 개인 데이터를 유지 관리하기 위해 적절한 데이터 보호 원칙을 적용하도록 감독해야 합니다.
GDPR은 개인 정보 보호에 대한 대중의 우려 때문에 마련되었습니다. 이는 인터넷이 현대적인 온라인 비즈니스 허브가 되기 훨씬 전에 제정된 1995년 EU 데이터 보호 지침(Data Protection Directive)을 대체했습니다. 즉, 기업이 데이터를 수집, 전송, 저장하는 방법을 다루지 않는 오래된 지침을 대체하기 위해 GDPR이 필요했습니다.
오늘날 GDPR은 데이터를 수집하고 저장하는 기업 및 조직이 책임감 있게 행동하게 함으로써 EU 주민과 그들의 데이터를 보호합니다. 개인 데이터를 안전하게 유지 관리하는 것을 의무화합니다. 그리고 각 기업이 허가받지 않았거나 불법적인 처리, 손상, 파괴, 우발적 손실로부터 개인 데이터를 보호하도록 규정합니다. 여기에는 랜섬웨어 및 악성 코드와 관련된 많은 활동이 포함됩니다.
또한 GDPR은 개인 데이터를 수집하는 이유도 확인합니다. 즉, 구체적이고 합법적인 목적이 있어야 하며, 기업은 그 밖의 목적으로 개인 데이터를 사용할 수 없습니다. 더 나아가 기업 및 조직이 얼마나 많은 데이터를 수집할 수 있는지도 제한을 둡니다. 데이터 수집은 기업 및 조직이 데이터를 처리하고 사용하는 목적에 필요한 범위로 제한됩니다.
또한 GDPR은 데이터를 수집하는 기업 및 조직이 해당 데이터의 정확성을 보장하고 필요에 따라 업데이트해야 한다고 명시합니다.
기업이 다음과 같은 조건을 충족하지 못하면 개인의 개인 식별 정보를 합법적으로 처리할 수 없습니다.
GDPR의 취지는 EU 회원국에 통일된 EU 데이터 보안법을 적용함으로써 개별 국가 서로 다른 데이터 보호법을 제정하고 시행할 필요성을 없애는 것입니다. GDPR이 EU에서 제정되었으나, EU에 거점을 두지 않는 글로벌 기업에도 적용됩니다.
이를테면 EU에서 영업하면서 EU 주민과 시민의 데이터를 수집 및 처리하는, 미국에 거점을 둔 기업에 적용됩니다. PWC 설문 조사에 따르면, 미국에 거점을 둔 기업의 92%가 GDPR 데이터 보호를 우선 순위로 삼고 있습니다.
그 밖에도 각 기업은 다음과 같은 구체적인 컴플라이언스 기준이 적용됩니다.
GDPR은 개인 데이터 보호에 특히 역점을 둡니다. 개인 정보란 살아 있는 사람을 직간접적으로 식별하는 정보입니다. 이름, 위치 데이터 또는 실제 온라인 사용자 이름과 같이 명확한 것이거나, 쿠키 식별자 또는 IP 주소와 같이 덜 명확할 수도 있습니다.
GDPR은 다음에 관한 정보를 비롯하여 특히 중요한 개인 데이터 범주에 더 강력한 보호를 적용합니다.
개인 데이터를 결정적으로 정의하자면, 개인을 식별할 수 있는 모든 것입니다. 이처럼 포괄적인 맥락에서는 가명 데이터도 개인 데이터에 속합니다. 개인 데이터를 처리하거나 관리하는 개인, 회사, 조직도 GDPR의 적용 대상이므로, 개인 데이터는 GDPR에서 매우 중요합니다.
GDPR은 다음 세 가지 역할을 정의합니다.
감독자는 의사 결정자이며, 개인 데이터 처리와 그 목적 및 사용을 관리 감독합니다. 공동 개인 데이터 감독자가 있는 경우도 있습니다. 즉, 둘 이상의 주체가 수집된 데이터의 처리 방법을 결정합니다. 한편 데이터 처리자는 해당 감독자를 위해 그 지시에 따라 행동합니다. 따라서 감독자에 대한 규정이 처리자에 대한 규정보다 더 엄격합니다.
사용자는 자신의 개인 데이터를 수집하고 사용하려는 조직 및 회사에 동의해야 합니다. 이 경우 개인 데이터는 흔히 데이터 주체라는, 살아 있거나 식별되거나 식별 가능한 자연인에 관한 정보를 의미합니다.
위에서 언급한 바와 같이 개인 데이터에는 다음이 포함될 수 있습니다.
GDPR에 따르면, 기업 및 조직은 온라인 사이트 방문자에게 쿠키와 같이 수집하는 데이터에 관해 알려야 합니다. 그리고 방문자는 동의 버튼을 클릭하여 정보 제공에 동의해야 합니다. 예를 들어, 많은 사이트에서는 팝업 공개 기능을 사용하여 해당 사이트에서 쿠키, 즉 사이트 환경 설정이나 설정과 같은 개인 정보를 수록한 작은 파일을 수집한다는 사실을 방문자에게 알립니다.
웹사이트에서는 방문자와 사용자에게 회사 또는 사이트에서 보유한 개인 데이터에 대한 침해 사실을 조기에 알려야 합니다. 이러한 EU 데이터 보호 요건은 대개 다른 사법권의 요건보다 더 엄격합니다.
그 밖에도 웹사이트의 데이터 보안 평가에 관한 조항, 그리고 이와 같은 임무를 수행할 데이터 보호 책임자를 두어야 한다는 요건이 있습니다. 그리고 해당 기업은 DPO 및 기타 관련 직원의 연락처 정보를 제공하여 GDPR 권리 행사가 용이하게 수행되도록 해야 합니다. 여기에는 다른 조치 중에서도 사이트에서 개인 데이터를 삭제할 수 있는 권리를 비롯한 여러 수단이 포함됩니다.
GDPR은 기업 및 그 밖의 데이터 수집 기관에서 수집된 개인 데이터를 익명화 또는 가명화하여 신원 정보를 가명으로 대체하게 함으로써 소비자 보호를 강화합니다. 이러한 장치를 통해 각 기업은 대출 신용도 평가 요건의 범위를 넘어서는 고객 평균 부채 비율 평가와 같은 더 포괄적인 데이터 분석을 수행할 수 있습니다.
GDPR은 고객으로부터 수집된 데이터 이외의 데이터에도 적용된다는 점도 중요합니다. 이를테면 직원의 HR 기록에 적용됩니다.
EU GDPR은 11개 장과 91개 조항으로 구성되어 있습니다. 다음은 기업의 보안 운영에 관한 주요 조항 중 일부입니다.
GDPR의 5조에 이 법률의 7가지 기본 원칙이 명시되어 있습니다. 이 원칙은 기업에서 개인 데이터를 처리하는 방식의 길잡이가 됩니다. 따르기 복잡한 규칙은 아니며, GDPR의 목적을 제시하는 기본 틀이라 할 수 있습니다.
많은 원칙이 이전의 데이터 보호법 원칙과 유사합니다. 그 7가지 원칙은 다음과 같습니다.
앞서 소개한 GDPR의 원칙은 이 데이터 보호법에 근거한 구체적인 데이터 주체 권리의 기반을 형성합니다. 여기에는 다음이 포함됩니다.
개인 데이터에 영향을 미치는 보안 침해가 발생하는 동안, 데이터 감독자는 이 사실을 관할 기관(EU 회원국이 GDPR 이행을 관리 감독하도록 지정한 공공 기관)에 72시간 이내에 알려야 합니다. 그 밖에도 다음과 같은 침해 통지 요건이 적용됩니다.
GDPR에는 규정 위반자에 대한 단계적 제재 절차가 마련되어 있습니다. 위반의 범위 및 유형에 따라 2단계로 과징금이 부과됩니다.
2016년 GDPR 시행 이후 대부분 기업이 가장 주목한 점은 관할 기관에서 불이행에 대해 무거운 경제적 제재를 내릴 수 있다는 점이었습니다. 관할 기관은 개인 데이터가 올바르게 처리되지 않거나, 의무 조항임에도 데이터 보호 책임자가 없거나 보안 침해가 발생하는 등 모든 위반 사항에 대해 해당 기업을 제재할 수 있습니다.
GDPR에는 제3자 개인 데이터(EU 데이터 주체가 아닌 당사자의 데이터) 및 EU 외부 지역에서의 개인 데이터 공유에 관한 여러 규정이 있습니다. 2018년 데이터 보호법은 다음과 같이 규정합니다.
영국이 EU에서 탈퇴함에 따라, 관련 데이터 보호법이 개정되어 현재 2018년 데이터 보호법을 적용합니다. 그에 따르면, EU 고객 및 기업/조직과 거래하는 영국 기업은 GDPR을 준수해야 합니다.
GDPR은 데이터 처리자와 데이터 감독자에게 동등한 책임을 부여한다는 점에 주목할 필요가 있습니다. 즉, 타사 처리자가 불이행할 경우 해당 기업 및 조직의 컴플라이언스 상태에도 영향을 미칩니다. 이 법에는 공급망에서 발생하는 침해를 보고해야 하는 엄격한 요건도 있습니다.
즉, 감독자가 SaaS 벤더, 급여 서비스 제공업체, 클라우드 제공업체와 같은 처리자 및 고객과 체결한 기존 계약에서 이 책임을 명시해야 합니다. 아울러 그러한 계약에는 데이터를 관리, 수집, 보호, 저장하고 침해를 보고하는 것에 관한 일관성 있는 프로세스가 포함되어야 합니다.
그렇다면 각 기업에서 GDPR 컴플라이언스를 보장하려면 어떻게 해야 할까요? 이 규정은 책임 있는 데이터 관리 및 그에 따라 예상되는 결과를 설명하지만, 이 목표를 달성하기 위한 기술적 조치를 명시하지는 않습니다. GDPR 컴플라이언스를 보장하기 위한 베스트 프랙티스 몇 가지를 소개합니다.
디지털 트랜스포메이션으로 전 세계적으로 기업에 적용되는 규제 및 규정이 새롭게 개편되었습니다. 미국 기업은 비즈니스의 특성항 여러 사이버 보안 규정의 적용 대상입니다. 여기에는 GDPR, 캘리포니아 소비자 개인정보 보호법(CCPA) 등이 포함됩니다. CCPA 관련 업데이트는 CPRA에서 확인하십시오.
커뮤니케이션 플랫폼과 온라인 운영 환경이 증가하면서 컴플라이언스 관리가 더 까다로워지고 비용도 많이 듭니다. 따라서 각 기업은 컴플라이언스를 유지하면서 생산성을 높이고 운영을 확장할 수 있는 효과적면서 경제적인 방안을 모색하는 중입니다.
베리타스의 통합 포트폴리오가 제공하는 데이터 컴플라이언스 기능으로 다양한 데이터 소스를 포괄하면서 인텔리전스를 통합할 수 있습니다. 이러한 인텔리전스를 활용하여 액세스를 간소화하고, 컴플라이언스를 보장하고, 인사이트를 제공하고, 분석을 지원하고, 조직 차원의 리스크를 최소화합니다.
베리타스의 통합적인 컴플라이언스 및 엔터프라이즈 데이터 관리 방식으로 빅데이터를 실행 가능한 인사이트로 전환합니다. 더 나아가 베리타스 Data Insight Integration의 리포팅 및 시각화 기능을 사용하면, 위험한 상태의 데이터를 분류하고, 데이터 소유자를 참여시키고, 중요 개인 데이터에 대한 액세스를 차단하여 데이터 컴플라이언스 및 의사 결정을 더욱 향상할 수 있습니다.
Veritas Integrated Classification Engine 기능은 데이터 보안 및 컴플라이언스를 위해 미확인 데이터 문제를 해결합니다. Gartner Magic Quadrant의 리더 그룹에 선정된 베리타스는 엔터프라이즈 정보 아카이빙 시장을 선도하고 있습니다. 사용자는 어디서나 데이터를 보관하고 검색할 수 있습니다.
베리타스는 업계 최고의 통합 제품 포트폴리오를 제공하며, 통합적이고 견고한 기술 에코시스템이 이를 뒷받침합니다. 베리타스 엔터프라이즈 데이터 서비스는 확장성과 다기능성 측면에서 다른 어떤 제공업체의 솔루션보다도 우수합니다.