GDPR은 11개장(Chapter), 99개조의 적지 않은 내용으로 구성되어 있다. 그중 몇 개를 Q&A 형식으로 소개한다.

1. 개인정보(personal data)를 구성하는 것은 무엇인가?

-자연인 또는 정보주체에 관련된 어떠한 정보 즉, 그 사람이 누구인지 확인하는 데 직간접적으로 이용될 수 있는 모든 정보가 해당된다. 이름, 사진, 이메일 주소, 은행세부사항(bank details), SNS 웹사이트에 게시된 포스팅, 의료정보, 또는 컴퓨터 IP 주소로부터 추출된 어떤 것이든 무방하다.

1. 정보 처리에 정보주체의 명시적(explicit) 또는 모호하지 않은(unambiguous) 동의가 필요한가? 그리고 둘의 차이는 무엇인가?

-동의의 조건이 강화되어 왔다. 회사들은 더 이상 난해한 법률용어로 가득찬, 판독하기 어려운 기다란 용어나 조건을 사용할 수 없다. 동의에 대한 요청은 뜻이 분명하고, 이해하기 쉬운 형태로 주어져야 한다. 즉, 동의에 대한 요청은 모호하지 않아야 한다.

동의는 명확하고 다른 문제들과 구별할 수 있어야 하며, 뜻이 분명하고 이해하기 쉬운 형태로 제공되어야 한다. 동의는 그것을 줄 때처럼 철회하는 것도 쉬워야 한다.

민감한 개인정보 처리엔 명시적인(explicit) 동의가 요구된다. 반면 민감하지 않은 정보엔 모호하지 않은(unambiguous) 동의로 충분하다.

1. 16세 미만인 정보주체에 대해선 어떠한가?

-온라인 서비스를 위해 16세 미만 어린이의 개인정보를 처리하려면 부모의 동의가 요구된다. EU 회원국은 부모의 동의가 필요한 어린이의 연령을 낮추는 입법을 할 수 있지만, 13세 이하로는 안 된다.

1. 정보보호자(Data Protection Officer, DPO)를 임명해야 할 경우는?

-공적 기관(public authorities), 대규모의 체계적인 모니터링에 관련된 조직, 민감한 개인정보를 대규모로 처리하는 조직에선 DPO를 임명해야 한다.

1. 정보유출에 관련된 GDPR 규제엔 어떤 것이 있나?

-개인에게 위험이 초래될 수 있는 정보유출은 72시간 내에 DPA(개인정보보호기관)에 통지되어야 하고, 정보유출의 영향을 받는 개인에게도 지나치게 늦지 않게 통지되어야 한다.

1. 비준수 시의 제재는 무엇인가?

-GDPR을 위반할 경우 글로벌 연매출(annual global turnover)의 4%까지 또는 2000만 유로의 과징금을 받을 수 있다. 이것은 정보 처리와 관련해 고객의 충분한 동의를 받지 않았거나 프라이버시 중심 디자인(Privacy by Design) 개념의 핵심을 위반한 경우 등 매우 심각한 침해에 대해 부과될 수 있는 과징금의 최대치이다.

기록을 정렬해 가지고 있지 않거나(28조), 정보유출에 대해 감독당국이나 정보주체에게 통지하지 않은 회사에 대해서는 연매출의 2%의 과징금이 부과될 수 있다.

제재에 관한 이들 규정은 정보관리자(controllers)와 정보처리자(processors) 모두에게 적용되고, 클라우드(clouds)도 제재에서 면제되어 있지 않다.

이은재 기자(eunjae@legaltimes.co.kr)

Copyrightⓒ리걸타임즈(www.legaltimes.co.kr), 무단전재 및 재배포 금지