GDPR은 누구에게 적용되나요?

GDPR은 기업의 규모가 아니라 기업의 데이터 처리 활동과 관련이 있기 때문에 모든 규모의 기업에 영향을 미칩니다. 하지만 직원 수가 250명 미만인 기업의 경우 의무가 완화되어 다음과 같은 의무가 면제됩니다. 1. 정기적으로 개인 데이터를 처리하며 이러한 활동이 개인의 권리와 자유에 위협이 되거나 민감한 데이터 또는 범죄 기록에 관한 것이 아닌 한 처리 활동 기록을 보관해야 합니다. 2. 회사의 비즈니스에 데이터 처리가 핵심 비즈니스 활동으로 포함되어 있고 개인의 권리와 자유에 특별한 위협이 되는 경우가 아니라면 DPO(Data Protection Officer)를 지정해야 합니다.

GDPR이란 무엇일까요?

Facebook/Cambridge Analytica 스캔들 같은 소비자 데이터 개인정보 보호 침해 사건으로 인해 데이터 개인정보 보호 기준이 허술하다는 사실이 알려지면서 데이터 개인정보 보호는 전 세계인의 관심을 받고 있습니다. 신뢰와 데이터 개인정보 보호는 디지털 세상에서 필수적인 요소로 리서치를 통해 밝혀졌습니다. 예를 들어 2020년 McKinsey에서 실시한 데이터 공유와 소비자 행동에 대한 설문조사에 따르면, 87%의 응답자가 보안 관행이 우려될 경우 해당 기업과 거래하지 않겠다고 답했습니다. 또한 설문조사의 응답자 71%는 기업이 민감한 데이터를 무단으로 공유한다면 해당 기업을 떠날 것이라고 답했습니다.

소비자 개인정보 남용 문제를 해결하기 위해 EU는 2018년 5월 25일 GDPR(General Data Protection Regulation)을제정했습니다. EU GDPR은 EU 시민의 개인정보 보호 권리를 보호하는 엄격한 소비자 중심 개인정보 보호 규정의 대명사가 되었습니다.

EU GDPR 법률의 간략한 배경

개인정보 보호 권리는 1950년 유럽 인권 협약이 채택된 이후 EU 법률의 일부로 자리 잡았습니다. 2016년에 도입된 GDPR은 1995년 제정된 데이터 보호 지침 95/46/EC 즉 DPA.(2)e를 업데이트한 것으로, EU 회원국은 이후 2년 내에 이 법을 이행해야 했습니다. 이 업데이트의 원동력 중 하나는 유럽연합 회원국 간의 개인정보 보호법을 조율하는 것이었습니다. GDPR이 시행된 이후, 이 규정의 적용을 받는 기업들은 GDPR를 준수하기 위해 노력해습니다. GDPR에는 데이터 개인정보 보호를 위한 규정이 있습니다. GDPR 제4조에 따르면 개인 데이터는 ‘식별되거나 식별 가능한 자연인(‘데이터 주체’)과 관련된 모든 정보’를 의미합니다. 여기에는 개인 정보, IP 주소, 생체 인식 등과 같은 데이터가 포함됩니다. 또한 GDPR은 민감도 수준을 반영하는 데이터의 ‘특별 범주’를 포함한 데이터 클래스를 제공하며, 가장 민감한 데이터는 더 강력한 수준의 보호가 필요합니다.

GDPR은 상품이나 서비스를 제공하거나 온라인 행동을 모니터링할 때 EU 데이터 주체의 개인 데이터를 사용하는 모든 기업에 적용됩니다. 적용 대상 기업은 데이터 컨트롤러나 프로세서로 간주됩니다. 데이터 컨트롤러는 동의 및 접속 관리를 담당하는 주체이며, 데이터 프로세서는 컨트롤러를 대신해 데이터를 처리합니다. GDPR의 관할권 범위는 EU 내 고객에게 상품을 판매하고 해당 고객의 개인 데이터를 수집하는 유럽 및 EU 외부의 회사까지 확장됩니다. GDPR은 기업의 규모가 아니라 기업의 데이터 처리 활동과 관련이 있기 때문에 모든 규모의 기업에 영향을 미칩니다.

Akamai가 기업의 GDPR 준수를 지원하는 방법

데이터 보호와 데이터 개인정보 보호는 GDPR 준수의 핵심입니다. Akamai 보안 솔루션은인텔리전스와 엔드투엔드 보호 기능을 제공함으로써 유출과 우발적 노출로부터 데이터를 보호합니다. Akamai는 기존의 엔드포인트 탐지를 넘어 데이터 보안과 데이터 개인정보 보호를 위한 강력한 제로 트러스트 솔루션을 제공하여 보안 팀의 보안 투자 효과와 ROI를 극대화할 수 있도록 지원합니다.

제로 트러스트 보안 아키텍처의 세 가지 기본 원칙을 설명하는 다이어그램.

Akamai에서는 다음을 제공합니다.

IT, IoT, OT 환경에 대한 포괄적인 커버리지로 제로 트러스트 보안을 적용하는 글로벌 보안 플랫폼
자산, 접속, 네트워크 흐름에 대한 심층적인 가시성
보안 정책의 세분화된 적용

GDPR는 기업에 어떤 영향을 줄까요?

데이터 프라이버시는 소비자에게 중요한 문제입니다. GDPR과 미국의 CCPA(California Consumer Privacy Act)을 비롯한 유사한 데이터 개인정보 보호법은 소비자와 시민을 위해 데이터 개인정보 보호 원칙을 시행하고 있습니다. GDPR을 준수하지 않는 기업에는 상당한 벌금이 부과됩니다. 일례로 2023년 4월 13일, 아일랜드 DPA(Data Protection Authority)가 12억 유로의 벌금을 Meta Platforms Ireland Limited(Meta Ie)에 부과한 바 있습니다. 이 기업은 SCC(Standard Contractual Clause)에 따라 미국으로 개인 데이터를 전송하는 과정에서 GDPR을 위반했습니다.

GDPR의 직접적인 적용을 받는 기업 외에도 다음과 같은 기업은 GDPR을 준수해야 합니다.

EU에 고객을 보유한 미국 기업

GDPR의 적용 범위는 관할권을 넘어섭니다. 따라서 비즈니스가 EU 외부에 기반을 두고 있지만 EU 시민과 비즈니스를 수행할 가능성이 있다면 GDPR을 준수해야 합니다. 이러한 기업은 어떤 데이터 처리 활동을 수행하는지 확인하기 위해 GDPR 평가를 수행해야 합니다. 그런 다음 GDPR 요건을 준수하는 개인정보 처리방침을 제공해야 합니다. 또한 데이터 보호 영향 평가를 수행하고 어떤 보호 조치가 필요한지 결정해야 합니다. 여기에는 데이터 암호화, 강력한 인증 조치, 제로 트러스트 보안 접근 방식 구축 같은 기업 수준의 데이터 보호가 포함될 수 있습니다. 이러한 조치는 써드파티 공급업체에도 적용되어야 합니다.

직원 수가 250명 미만인 소규모 기업

GDPR 규제는 소규모 기업에도 적용됩니다. 개인 또는 자선 단체의 지위를 가진 기업이라도 개인 데이터를 취급하고 처리하는 경우 GDPR 규정을 준수해야 합니다. 단, 대량의 데이터를 정기적으로 처리하거나 권리와 자유에 영향을 미치거나 인종, 민족, 생체 인식 데이터 등을 공개하는 경우에는 법에 따라 관습적으로 요구되는 수준의 데이터 처리만 문서화하면 됩니다 소규모 기업은 데이터 개인정보 보호 요구 사항을 준수할 뿐만 아니라 강력한 인증 및 암호화를 제공하여 데이터를 안전하게 보호하고 데이터 유출을 방지할 수 있는 보안 플랫폼을 갖춰야 합니다.

GDPR의 7가지 원칙

GDPR은 법률에 기반한 일련의 7가지 핵심 원칙을 제시합니다. 이러한 원칙은 적법성, 데이터 처리의 이유, 동의 조건과 관련이 있습니다. 이 원칙은 다음 영역을 다룹니다.

적법성, 공정성, 투명성: 데이터를 처리하는 데에는 정당한 이유가 있어야 합니다.
목적 제한: GDPR에 반영된 설계 및 기본값에 의한 개인정보보호 원칙에서 중요한 개념입니다. 이 원칙의 주요 초점은 데이터가 ‘구체적이고, 명시적이고, 합법적인 목적을 위해 수집’되도록 하는 것입니다.
데이터 최소화: 원칙 2에 따라 합법적으로 수집되는 모든 데이터는 최소한의 데이터 집합으로 수집되어야 합니다.
정확성: 적용 대상 기업은 수집된 데이터의 정확성을 보장해야 합니다.
보관 제한: 적용 대상 기업은 시행 가능한 보관 제한 정책을 마련해야 합니다.
무결성 및 기밀성: 보안 통제는 수집된 개인 데이터의 무결성과 기밀성을 유지해야 하며, 여기에는 내부 또는 외부 위협으로부터의 공격을 방지하기 위한 보안 조치가 포함되어야 합니다.
책임: 대상 법인은 GDPR을 준수하고 있음을 조치 및 문서로 입증해야 합니다.

GDPR의 8가지 데이터 주체 권리

데이터 주체는 GDPR이 적용되는 개인 데이터를 사용해 식별할 수 있는 개인입니다. GDPR 3장에서는 GDPR을 준수하기 위해 준수해야 하는 8가지 데이터 주체의 권리를 정의하고 있습니다.

정보를 제공받을 권리(제12조, 제13조, 제14조)
열람권(제15조)
정정권(제16조)
삭제권(제17조)
처리 제한권(제18조)
데이터 이동권(제20조)
반대권(제21조)
프로파일링을 포함한 자동화된 의사결정의 대상이 되지 않을 권리(제22조)

또한 제34조에는 유출 통지 규정이 있는데, 이 규정에 따라 데이터 유출이 ‘자연인의 권리와 자유에 대한 높은 리스크를 초래할 가능성이 있는 경우’ 해당 기업은 ‘부당한 지체 없이’ 데이터 주체에게 침해 사실을 통지해야 합니다. 감독 기관은 규정의 적용을 모니터링하는 공공 기관으로, 데이터 유출 사실을 반드시 통지해야 합니다.

GDPR 벌금

GDPR 미준수로 인해 부과된 벌금과 과태료에 대한 개요는 GDPR Enforcement Tracker에서확인할 수 있습니다. 2023년 5월 기준, 누적 벌금은 약 27억 9,000만 유로에 달합니다. GDPR Enforcement Tracker에 따르면 벌금이 부과되는 가장 많은 이유 세 가지는 다음과 같습니다.

일반 데이터 처리 원칙을 준수하지 않은 경우.
데이터 처리에 대한 법적 근거가 불충분한 경우.
정보 보안을 보장하기 위한 기술적 및 기업적 조치가 불충분한 경우.

GDPR 미준수에 대한 벌금은 두 가지 수준으로 설정되어 있습니다.

레벨 1: 데이터 유출 및 데이터 보호 영향 평가 미이행, 연간 글로벌 매출의 2% 또는 1,000만 유로 중 더 높은 금액.

레벨 2: 동의 및 데이터 주체 권리 시행 등 GDPR 요건의 올바른 적용: 연간 글로벌 매출의 4% 또는 2,000만 유로 중 더 높은 금액.

Akamai 데이터 보안 솔루션은 GDPR 준수를 어떻게 지원하나요?

데이터 보안은 본질적으로 강력한 데이터 개인정보 보호와 연결됩니다. GDPR은 적절한 기술 및 조직적 조치를 통한 데이터 유출 방지의 중요성을 잘 보여줍니다. GDPR에 언급된 보안 제어 및 개인정보 보호 조치에는 암호화와 가명화가 포함됩니다. 데이터 유출을 방지하기 위해 사용해야 하는 기타 보안 및 개인정보 보호 조치에는 제로 트러스트 보안 접근 방식을 사용하는 IAM(Identity and Access Management)과 강력한 인증 및 동의가 포함됩니다.

Akamai Connected Cloud는 데이터 접속 제어 및 동의에 대한 세밀한 수준의 제어 기능을 제공해 기업이 GDPR을 준수하고 이를 입증할 수 있도록 지원합니다. 이러한 제어 기능에는 다음이 포함됩니다.

동의 획득 및 관리
접속 권한
정정권
삭제권
암호화

Akamai는 리스크 관리, 보고, 문서화를 모두 제로 트러스트 전략으로 제공함으로써 GDPR 준수를 지원합니다.

자주 묻는 질문(FAQ)

GDPR은 General Data Protection Regulation의 약자입니다. 즉 유럽 연합 및 유럽 경제 지역의 데이터 보호 및 개인정보 보호에 관한 EU 법률 규정입니다.

GDPR은 기업의 규모가 아니라 기업의 데이터 처리 활동과 관련이 있기 때문에 모든 규모의 기업에 영향을 미칩니다. 하지만 직원 수가 250명 미만인 기업의 경우 의무가 완화되어 다음과 같은 의무가 면제됩니다.

정기적으로 개인 데이터를 처리하며 이러한 활동이 개인의 권리와 자유에 위협이 되거나 민감한 데이터 또는 범죄 기록에 관한 것이 아닌 한 처리 활동 기록을 보관해야 합니다.
회사의 비즈니스에 데이터 처리가 핵심 비즈니스 활동으로 포함되어 있고 개인의 권리와 자유에 특별한 위협이 되는 경우가 아니라면 DPO(Data Protection Officer)를 지정해야 합니다.

고객이 Akamai를 선택하는 이유

Akamai는 온라인 라이프를 지원하고 보호합니다. 전 세계 주요 기업들은 매일 수십억 명 고객의 생활, 업무, 여가를 지원하고 디지털 경험을 안전하게 제공하기 위해 Akamai 솔루션을 활용합니다. Akamai Connected Cloud는 대규모로 분산된 엣지 및 클라우드 플랫폼으로, 앱과 경험을 사용자와 더 가까운 곳에 배치하고 위협을 멀리서 차단합니다.