데이터 컨트롤러로서 알아야 할 GDPR과 뷰저블의 GDPR 대응안
안녕하세요 뷰저블입니다. 올해 5월 25일부터 시행되는 유럽 개인정보보호법(GDPR)이 어느덧 한 주 앞으로 성큼 다가왔습니다. 오늘은 GDPR에 대한 간단한 설명과 뷰저블이 이에 대응하기 위해 어떠한 준비를 하고 있는지에 대해 말씀드리겠습니다.
GDPR은 유럽연합 일반 개인 정보 보호법 ‘General Data Protection Regulation’의 약자로 EU 거주자의 개인 정보 보호를 강화하고 표준화하기 위해 제정되었습니다. 이는 기존에 EU 개인 정보 보호 기준을 제시하였던 ‘1995년 개인 정보보호 지침(Data Protection Directive 95/46/EC)'을 대체하는 법적 구속력을 가진 규정으로 올해 5월 25일부터 적용됩니다.
기존 1995년 개인 정보보호 지침에서 크게 달라진 점은 크게 다섯 가지입니다.
개인에 대한 권리 확대 : 유럽 연합 (EU) 내 개인에게 잊힐 권리와 저장된 개인 데이터의 사본을 요구할 권리를 부여함으로써 확대된 권리를 제공합니다. 또한 조직은 정보 주체로부터 개인 정보 사용에 대해 간결명료하게 설명하여 이에 동의를 얻어야 합니다.
데이터 유출 알림 및 보안 : 조직은 개인 정보 보안에 위협이 될 만한 모든 침해 사실에 대해 정보 주체에 공지할 의무가 있습니다.
개인 정보 수집 및 모니터링에 대한 추가적인 의무 조치 사항 : EU 개인의 행동을 수집하거나 모니터링하는 조직에 대해 개인 정보 침해를 막기 위한 정책이나 기술적 제어 등 정보 처리에 대해 추가적인 보안적 조치사항을 요구합니다.
정보 보호 책임자(DPO) 지정 : 데이터 보호 책임자(Data Protection Officer)는 공공 기관 또는 정보주체에 대한 "대규모의 정기적이고 체계적인 모니터링"에 종사하는 기관이거나 민감한 개인 데이터나 범죄 경력 및 범죄 행위에 대해 "대규모"로 처리하는 기관의 경우 필수적으로 지정해야 합니다.
강화된 집행 : 위반 및 피해의 심각성을 토대로 과징금에 차이가 있습니다. 심각한 위반의 경우, 전 세계 연간 매출액 4% 또는 2천만 유로(약 255억 원) 중 높은 금액을 과징금으로 부과될 수 있으며, 일반 위반의 경우에는 전 세계 연간 매출액 2% 또는 1천만 유로(약 127억 원) 중 높은 금액을 과징금으로 부과될 수 있습니다.
이 규정은 EU 내에서 사업장을 운영하며 개인 정보를 다루는 기업과 EU 외에서 EU 거주자에게 재화나 서비스를 제공하는 기업 그리고 EU 거주자의 EU 내 행동을 모니터링하는 기업 등에 적용됩니다.
즉, EU 국가에 사업장을 가지고 있는 기업뿐만 아니라, EU 내에 사업장을 가지고 있지 않더라도 EU 거주자를 대상으로 개인 정보를 수집하고 처리하는 경우 모두 GDPR 준수 의무 대상입니다.
GDPR은 개인 정보 수집, 저장 및 전송 또는 사용을 포함하여 EU 거주자에 대한 개인 정보 처리를 규제합니다. 개인 정보에 대해 저장하고 처리하는 방법을 규제함으로써 데이터 주체에게 자신의 데이터에 대한 더 많은 권리와 통제권을 부여하고자 합니다.
이때 GDPR에서 정의하는 개인 정보는
기본 신상정보 (이름, 주소 ID 등)
웹 정보 (위치, IP 주소, 쿠키 데이터, RFID 태그 등)
건강, 유전정보
생체정보
인종 또는 민족 정보
정치적 의견
성적 취향
이와 같이 크게 7가지로 분류되며, 뷰저블은 서비스 제공을 위해 웹 정보에 해당되는 IP 주소, 쿠키 데이터 그리고 위치 정보를 수집하고 있습니다.
서비스를 사용하실 때 데이터 컨트롤러로서 유럽 경제 지역(EU)의 사용자에게 다음과 같은 의무가 적용됩니다. 앞에서도 언급하였듯이 뷰저블은 쿠키와 IP 정보, 위치 정보를 수집 및 저장하기 때문에, 개인 정보 사용에 대한 최종 사용자(웹 페이지 방문자)의 합법적인 동의를 얻어야 합니다.
또한,
최종 사용자로부터 동의받은 기록을 보유해야 합니다.
최종 사용자에게 동의 철회에 대한 명확한 지침을 제공해야 합니다.
개인 데이터 사용에 관하여 쉽게 접근할 수 있는 정보를 최종 사용자에게 제공해야 합니다.
*컨트롤러란?
개인 정보 처리의 목적과 수단을 결정하는 주체를 의미하며, 자연인을 비롯하여 법인, 공공 기관, 에이전시, 기타 단체 등이 컨트롤러가 될 수 있습니다.
뷰저블은 사용자의 개인 정보를 다루고 개인 정보 보호의 중요성을 인지하는 만큼 GDPR에 발 빠르게 대응하여 다음과 같이 새로운 서비스와 기능을 준비하고 있습니다.
첫째, 데이터 보호 책임자를 통한 체계적인 개인 정보 처리와 정보주체의 권리 관련 이슈에 대해 발 빠른 대응
둘째, 웹 페이지 방문자 IP 정보 난독화 후 삭제
셋째, Opt-out 기능 개발을 통해 Opt-out 신청자를 대상으로 사용자 데이터 수집 정지
넷째, GDPR 준수 의무 대상을 위해 뷰저블과의 데이터 처리 계약서(Data Processing Agreement) 제공
*Opt-out이란?
Opt-out은 당사자가 개인정보 수집을 명시적으로 거부하기 전까지 개인정보를 수집하는 방식
위와 같이 크게 4가지로 정리할 수 있습니다.
이처럼 뷰저블 고객과 그들의 사용자(웹페이지 방문자)의 개인 정보 보호를 노력하는 뷰저블.
여러분은 GDPR대응에 어떻게 준비하고 계신가요?
뷰저블을 통해 서비스 내 사용자 경험(UX)에 영향 끼치는 문제점을 발견하세요.
뷰저블이라면 그 많은 문제점들을 '새로운 비즈니스 기회'로 바꿔드릴 수 있습니다.
경쟁사는 이미 시작했습니다!
UX 데이터 분석을 위한 All in one 툴 : 뷰저블 홈페이지
실제 웹 사이트 위에 UX 데이터를 시각화합니다 : 뷰저블리 홈페이지 (베타 기간 무료)