5월부터 시행되는 GDPR로 온 세상이 떠들썩 합니다. 과연 GDPR은 무엇이며 적용 대상은 누구일까요? 그리고 마켓플레이스 및 플랫폼에 어떤 영향을 미칠까요? 지금부터 이 질문들에 대한 실마리를 제공해 드리겠습니다.
2018년 5월 25일부터 시행되는 General Data Protection Regulation(개인정보 보호 규정)의 약자인 “GDPR”은 1995년부터 시행된 정보 보호 지침과 유럽 연합(“EU”)의 국가 정보 보호법을 대체하는 새로운 유럽 개인정보 보호 규정입니다.
GDPR은 기업이 유럽 내 데이터 주체의 개인정보를 수집, 사용 및 공유하는 방식과 관련하여 유럽 전역에 동일한 기준이 적용되도록 고안된 규정입니다.
GDPR은 “식별되거나 식별 가능한 자연인(‘데이터 주체”)과 관련된 모든 정보; 식별 가능한 자연인은 특별히 이름, 신분증 번호, 위치 정보, 온라인 식별자 또는 자연인의 신체적, 생리적, 유전적, 정신적, 경제적, 문화적 또는 사회적 정체성에 따른 하나 또는 그 이상의 요소들과 같은 식별자를 통해 직접적 또는 간접적으로 식별될 수 있습니다.”를 포함하여 일반적인 개인정보의 정의보다 더 넓은 범위에 적용됩니다.
그러므로 상황에 따라 IP 주소, 모바일 기기의 ID, 이메일 주소, 쿠키 및 기타 다른 온라인 식별자도 정의에 포함될 수 있습니다.
GDPR은 국경의 제한 없이 적용되며, 유럽 내 설립된 기업의 주최로 하는 활동 중 개인정보 처리 부분을 다룹니다(유럽 및 비유럽 데이터 주체). 유럽 내 데이터 주체에게 재화와 서비스를 제공하거나 그들의 행동을 모니터링하는 경우(유럽 내 거주자에 대해) 및 유럽 내 공식적 또는 실제적으로 존재하지 않는 비유럽 기업 이더라도 해당 규정이 적용됩니다. (예: 인터넷 사용 프로파일링)
‘처리’의 행위는 수집, 기록, 구조화, 저장, 각색 또는 변경, 검색, 참고, 전송에 의한 노출, 보급, 그 외에 가능성이 보이는 정렬, 조합, 삭제 또는 인멸 등과 같은 다양한 기업의 행위를 포함합니다.
그러한 비유럽 기업들은 일반적으로 개인정보가 처리되거나 행동이 모니터링 되는 데이터 주체가 거주하는 유럽 회원국에 이를 관리할 수 있는 설립된 지사(혹은 그와 비슷한 개념의 장소)를 지정해야 합니다. “설립된”이란 용어는 다양한 방식으로 해석될 수 있으므로 유럽 내 설립된 것으로 간주되는 기업들을 사례별로 검토해야 합니다.
GDPR 하에 영향을 받는 기업들이 인지하고 시행해야 할 특정 핵심 요소 및 의무는 다음과 같습니다.
GDPR의 규정사항을 준수하지 않은 기업은 최대 EUR 20,000,000 또는 전년도 전세계 연간 매출의 4%에 달하는 벌금을 포함하여 심각한 행정 및 경제적 제재를 받을 수 있습니다.
마켓플레이스나 디지털 플랫폼과 같은 상업적 비즈니스로서 해외에서 재화 및 서비스를 판매하거나 제공하고 개인정보를 처리하는 기업들은 반드시 GDPR의 적용 여부와 범위를 이해하고 있어야만 합니다. 여러분이 수집, 저장 또는 처리하는 개인정보는 여러분의 셀러, 고객, 벤더 또는 웹사이트 임의 방문자의 정보일 수 있습니다.
GDPR은 기업의 규모나 매출과 상관없이, 심지어 유럽 내 공식 사업장이 존재하지 않더라도 적용될 수 있습니다. 유럽 내에서 데이터 주체를 식별할 수 있는 정보를 수집, 보유, 처리 또는 액세스한다면 GDPR의 적용 대상이 됩니다.
먼저, 여러분은 유럽 내 데이터 주체들에게 “재화 및 서비스” 를 제공하는 것의 기준을 이해하고 있어야 합니다. 유럽에서 여러분의 웹사이트에 접속이 가능한가요? 유럽의 언어와 통화를 사용하고 있나요? 유럽을 대상으로 한 캠페인이 있나요?
수제품 넥타이를 판매하는 싱가폴 기업을 예로 들어 보겠습니다. 이 기업은 유럽에 설립된 분점이나 자회사는 없지만 온라인으로 제품을 판매합니다. 그리고 유럽 고객들을 겨냥한 캠페인을 운영하며 현지 언어로 된 웹사이트를 제공합니다. 또한 계정 등록 및 개설을 통해 등록자의 이름, 이메일 주소를 포함한 개인정보를 수집합니다. 이 기업은 GDPR이 적용될까요? 대답은 “그렇습니다” 입니다.
새로운 GDPR 체제는 기업에 더 많은 책임을 부여합니다. 이제는 처리되는 데이터가 적절한 절차에 따라 보호받고 있는지 확인하는 것 역시 기업의 책임입니다. 때때로 GDPR은 프레임워크나 가이드라인만을 제공하므로 기업들은 개인정보를 컨트롤러로 처리할지 프로세서로 처리할지 결정해야 하며 개인정보가 올바르게 보관되고 보호되는지 확인해야 합니다.
GDPR 규제 준수를 잘 준비하고 있는지 확인하기 위해 스스로에게 던져봐야 할 몇 가지의 질문들이 있습니다. 여러분이 수집하고 있는 개인정보의 목적은 무엇인가요? 추가적인 정보 유형들을 수집할 예정인가요? 어떻게 수집, 처리 및 보관할 건가요? 처리의 목적은 무엇인가요? 업데이트 및 추가해야 할 현 정책은 무엇인가요? 여러분의 개인정보 보호 정책이 정보의 이용을 적절히 설명하고 있나요? 데이터 처리 담당자를 지정해야 하나요? 여러분이 수집하는 정보에 따른 법적 근거는 무엇인가요? 규정에 동의하시나요? 데이터 주체의 권리를 올바르게 준수할 수 있나요? 여러분의 보안 대책은 충분한가요? GDPR 규정 준수 시에는 이러한 질문들을 비롯해 더 많은 질문들이 고려될 필요가 있습니다.
2018년 5월이 다가올수록 자신들의 권리와 데이터 수집 주체들의 책임에 대해 인식하는 개인들이 점점 늘고 있습니다.
Payoneer는 고객들과 파트너사 및 벤더들의 개인정보를 수집하고 이용하며 공유하는 방법에 관하여 높은 수준의 보안과 투명성을 제공해 드리는 것을 자랑스럽게 생각합니다. Payoneer는 성실하게 GDPR을 준비하고 있으며 자체 정책을 업데이트하고 데이터 주체의 개인정보 열람의 권리를 비롯해 그 외 권리들과 관련된 절차들을 새로 고치고 있습니다. 또한 GDPR을 완벽하게 준수하고자 그 밖의 여러 조치들을 함께 강구하고 있습니다.
본 내용은 포괄적이며 철저한 검토를 위한 것이 아니라 GDPR를 이해하기 위해 우리가 고려해봐야 할 특정 문제의 핵심 요소들에 대한 개요입니다. GDPR이 명확히 기업에 어떻게 적용되는지에 관해서는 여러분의 자체 분석 내용을 따를 것을 권장합니다.