내 비즈니스에 GDPR은 어떤 의미인가요?
GDPR이란 무엇인가요?
GDPR(General Data Protection Regulation)은 유럽 연합(EU)의 모든 시민과 거주자를 위한 데이터 보호와 프라이버시에 중점을 둔 유럽 연합 법입니다. GDPR은 회사(GoDaddy 포함)가 EU에 속한 개인의 개인 데이터를 처리하는 방식을 규제합니다. GDPR은 2018년 5월 25일에 발효되었습니다. GDPR이 무엇인지에 대한 자세한 설명과 GoDaddy이(가) 어떻게 GDPR 규정을 준수하는지 알아보려면 프라이버시 센터 정보를 참조하세요.
GoDaddy은(는) 법률 회사가 아닙니다
당사는 이 문서가 귀하에게 GDPR의 개요를 제공하고 GDPR이 귀하에게 의미하는 바에 대한 설명이 되기를 바라지만, GoDaddy은(는) 법적 조언을 제공할 의무가 없으며 이 문서는 GDPR의 포괄적인 가이드가 아닙니다. 모든 비즈니스 상황은 각각 다르며 법률로서의 GDPR은 상당히 복잡합니다. 비즈니스 운영이나 GDPR(및 기타 해당하는 개인정보 취급방침)로 인한 영향과 관련된 특정 질문은 변호사와 상의할 것을 권장합니다.
당사는 귀하의 비즈니스에 대한 전문가가 아닙니다
당사는 GDPR 준수를 다루는 방식에 대한 명시적인 조언을 원하는 만큼 드리고 싶지만 이는 사실상 불가능합니다. 각 비즈니스는 다양한 정책, 프로토콜, 직원, 위치에 따라 모두 다르게 운영되기 때문입니다. 따라서 당사는 GDPR에 대한 GoDaddy의 조치 개요를 제공하고자 했으나, 이 문서에서 강조한 바와 같이 규정에는 여러 가지 미묘한 차이가 있으므로 귀하는 특정한 상황에 따라 자체적인 평가를 시행해야 할 것입니다.
GDPR은 어떤 점이 다른가요?
GDPR은 전 세계의 다른 개인정보 취급방침과 크게 다르지 않습니다. GDPR이 상당한 주목을 받는 이유는 EU를 넘어 전 세계 어디서든 EU에 속한 대상의 개인 데이터를 다루는 비즈니스에 대해 적용되고, 불이행 시 막대한 벌금(최대 2천만 유로 또는 전 세계 연간 매출액의 4%)이 따르기 때문입니다. 따라서 대상 국가도 많아지고, 벌금 액수도 높아지고, 범위도 넓어졌다는 것은 언론에서 더욱 많이 다루게 된다는 의미입니다. 차이점이 없다는 말은 아닙니다. GDPR은 해당하는 기업이 그들의 고객에게 특정 권리(‘잊힐 권리’ 및 ‘데이터 이동성에 대한 권리’)를 제공하고 특정 기업 준수 조치를 실시하도록 요구합니다.
내 비즈니스가 영향을 받나요?
귀하의 비즈니스가 영향을 받을 수 있는 데에는 몇 가지 이유가 있습니다. 비즈니스 장소가 유럽 경제 지역(EEA)에 속하거나 상품 또는 서비스를 판매할 때 EEA 내에 있는 고객과 비즈니스를 수행한다면 이 글을 계속 읽어주세요. 해당 지역에서 혹은 EU의 개인을 대상으로 비즈니스를 수행하지 않는다면 이 내용과 관련된 문제가 거의 없다고 할 수 있습니다(자체 법률 자문 담당자에게 문의하여 확인해 주세요).
내 GoDaddy 제품 및 서비스가 GDPR을 준수하고 있나요?
제품 또는 서비스는 단독으로 'GDPR 준수' 상태일 수 없습니다. 그러나 특정 비즈니스 필요에 맞게 적절히 구성되고 구체적인 비즈니스(아래에 일부 예시 설명) 필요에 따라 시행하는 기타 조치, 정책 및 절차와 함께 사용되는 경우 GDPR을 준수하는 방식으로 사용될 수 있습니다. 귀하보다 귀하의 비즈니스를 잘 아는 사람은 없습니다. GoDaddy은(는) 귀하의 비즈니스가 GDPR을 준수할 수 있도록 돕는 도구 및 리소스를 제공하고자 하고, 당사도 귀하를 지원하려고 하지만, 당사는 귀하의 비즈니스에 해당하는 법률의 준수를 보장하지는 않습니다.
GDPR 준수란 무엇을 의미하나요?
GDPR은 개인 정보의 보호에 많은 중점을 두고 있습니다. 간단히 말하면 고객의 개인 데이터가 적절한 방법으로 보호 및 사용되도록 하기 위한 것입니다. 상세 내용을 알아보기 전에 개인 데이터 처리와 관련된 각각의 책임을 정의하는 데 도움을 주는, 법률에 따른 주요 정의 몇 가지를 살펴보겠습니다.
- 데이터 주체: 개인 정보를 제공하는 주체입니다. 이는 고객, 직원 또는 귀하의 웹사이트 방문자일 수 있습니다(웹사이트 방문자는 ‘쿠키 및 유사 기술’을 사용해 그들의 정보를 수집한 경우에 해당).
- 데이터 제어 업체: 개인용 데이터 처리에 대한 목적 및 수단을 결정하는 업체입니다.
- 데이터 처리 업체: 데이터 제어 업체를 대신해 개인 데이터를 처리하는 업체입니다.
- 처리: 자동 방식 사용 여부와 관계없이 개인 데이터에 대해 수행되는 작업 또는 작업의 집합을 의미합니다. 여기에는 수집/기록/정리/ 구성/저장/조정/변경/검색/상담/사용/전송을 통한 공개/전파 또는 기타 방식의 제공/정렬/조합/제한/지우기/폐기 등이 포함됩니다.
- 개인 데이터: GDPR은 ‘개인 데이터’, 즉 특정 식별자를 참조하여 직접 혹은 간접적으로 식별될 수 있는 식별 가능한 개인과 관련된 모든 정보에만 적용됩니다. 이러한 정의는 이름, 신분증 번호, 위치 데이터 또는 온라인 식별자를 포함하여 개인 데이터를 구성하는 광범위한 개인 식별자에 적용되며 기관이 사람들에 대한 정보를 수집하는 방식 및 기술의 변화를 반영합니다. 기본적으로 사용자, 고객 또는 누군가를 식별하는 데 사용할 수 있는 데이터라면 이는 개인 데이터에 해당합니다.
이러한 정의가 갖는 의미는 무엇인가요?
때로는 당사가 데이터 제어 업체가 되는 경우(귀하에게 당사의 제품 및 서비스를 판매하기 위한 목적으로 귀하의 이름, 주소, 이메일, 전화번호 및 신용카드 정보와 같은 데이터를 수집하는 경우), 그리고 당사가 데이터 처리 업체이고 귀하가 데이터 제어 업체인 경우(귀하가 업무상 목적을 위해 당사의 호스팅 서비스를 이용하고 당사가 귀하에게 서비스를 제공, 관리 및 유지할 수 있도록 당사의 서버로 정보가 전송되는 경우)가 있습니다.
법률이 요구하는 바가 정확히 무엇인가요?
GDPR의 공식 버전은 261페이지에 달하고 173개의 설명부와 99개의 조항을 포함하고 있으며 (언급한 바와 같이) 복잡하고 때로는 광범위하며 모호하고 해석의 여지가 다양합니다(다행이네요). 몇 가지 주요 원칙만 짚고 넘어가도록 하겠습니다.
투명성
어떤 데이터를 수집하며 수집된 데이터는 어떻게 사용될까요? 이 내용을 고객이 읽고 이해하기 쉬운 방법으로 설명하는 것은 GDPR을 포함한 개인정보 보호법의 중요한 원칙입니다.
최근 ‘개인정보 취급방침을 업데이트했습니다’라는 이메일을 상당히 많이 받아보셨을 것입니다. 우연의 일치가 아닙니다. GDPR은 기업들이 고객의 정보를 수집 및 사용하는 데 있어 높은 투명성과 명료성(즉, 사용자 친화적 환경)을 제공하도록 요구합니다. 개인정보 취급방침은 고객에게 개인 데이터 수집 및 사용 방식, 고객에 연락하는 방법 또는 가능한 권리 행사 방법에 대해 명료하고 쉬운 언어로 설명하는 투명성을 제공하기 위한 메커니즘입니다.
GoDaddy은(는) 개인정보 취급방침을 웹사이트에 통합하도록 하는 도구를 제공하며 일부 경우에는 작업을 위한 템플릿도 제공합니다. 그러나 당사는 귀하의 비즈니스 운영 방식을 알지 못하기 때문에 완전하게 준수되는 개인정보 취급방침을 제공하는 것이 어렵습니다.
고객 통제 및 관리 동의
투명성을 유지하는 것은 좋은 시작이지만 판매하는 상품 또는 서비스 제공에 반드시 필요한 것 이외의 고객 정보를 사용(혹은 수집)하는 경우, 고객에게 추가 사용에 대한 동의 옵션을 제공해야 하며 이후에 동의를 철회할 수 있는 제어 방식도 제시해야 합니다.
이에 대한 가장 명백한 예시는 고객과 커뮤니케이션하기 위해 수집한 이메일 주소 또는 전화번호를 사용하는 것입니다(보통 그러한 통신/구독에 대한 선택/해제로 간주). 이러한 정보는 고객이 계정을 생성하거나 귀하의 제품 또는 서비스를 구매할 때 제공되기도 합니다. 하지만 ‘쿠키’(및 픽셀, 스크립트 등과 같은 유사 기술)로 알려진 도구를 통해 귀하의 웹사이트를 방문하는 개인에 대한 정보가 수집되는 경우도 있습니다. 웹사이트를 방문할 때 ‘쿠키 배너’를 보셨을 것입니다. 개인정보 취급방침의 이용과 유사하게 이러한 쿠키 배너는 더 높은 투명성을 가능하게 합니다. 쿠키 배너를 표시함으로써 개인은 자신에 대한 정보 수집에 사용되는 도구, 그러한 사용의 수락 혹은 거부, 그리고/또는 사용 시 허용되는 쿠키를 세밀하게 제어하는 방법에 대해 알 수 있습니다.
GDPR에 따르면 귀하는 고객에게 그러한 수집(및 후속 사용)에 대해 동의할 권리를 제공해야 하며, 동의를 적절하게 제공하는 유일한 방법은 이해하기 쉽고 구체적이면서(특정 사용에 대해) 명시적인 방식으로 그러한 동의를 행사하는 데 필요한 옵션을 제시하는 것입니다. 사전에 선택된 확인란, 미언급 또는 비활성화는 고객의 동의를 나타내는 데 사용될 수 없습니다. 예를 들어 귀하의 웹사이트에 ‘당사는 타사 광고업체와 귀하의 데이터를 공유합니다’라고 명시된 확인란이 있는 경우, 귀하는 해당 확인란을 사전 선택 설정하여 데이터 주체가 자신의 데이터가 처리되는 것의 동의하도록 할 수 없습니다. 확인란은 EEA의 데이터 주체가 자발적으로 그러한 처리를 선택 또는 동의하기 전까지 선택되지 않은 상태로 유지되어야 합니다.
궁극적으로는 고객이 자신의 개인 데이터, 통신 내용, 동의 철회 권리를 포함한 동의 내역의 사용을 통제할 수 있도록 해야 합니다.
잊힐 권리
앞서 GDPR이 전 세계의 다른 개인정보 취급방침과 아주 유사하다고 말씀드렸습니다만, 이것은 GDPR의 독특한 고객 권리입니다. GDPR은 개인에게 ‘잊힐 권리’(법률상 ‘삭제권’)를 제공합니다. 이는 수집된 개인 데이터가 수집 또는 처리될 때의 목적을 위해 더 이상 필요하지 않은 경우 고객이 자신의 개인 데이터를 삭제하도록(그래서 그들이 ‘잊히도록’) 요청할 수 있다는 의미입니다.
이 권리가 적용된다면 귀하는 시스템에서 데이터 주체의 개인 데이터를 삭제해야 합니다(재무 보고 또는 법적 보유 요구와 같이 데이터를 보존해야 하는 타당한 업무상 근거 또는 법적 근거가 있는 경우 제외).
예를 들어 어느 고객이 귀하와의 비즈니스를 중단하고자 할 때 이전에 귀하가 수집 및 저장한 해당 고객 관련 정보를 더 이상 보존하지 않기를 바랄 수 있습니다. 이러한 권리에는 예외 사항 및 복잡하고 미묘한 차이로 인한 한계가 있지만, 해당하는 경우 요청 사항을 처리할 방법과 이를 지원할 수 있는 역량을 염두에 두어야 합니다.
GoDaddy은(는) 당사가 설명한 바와 같이, 그리고 데이터 처리 부록에 따라 당사의 시스템에서 고객 정보를 삭제해달라는 귀하(데이터 제어 업체)의 요청이 있는 경우 이를 기꺼이 수용합니다.
데이터 이동성에 대한 권리
데이터 이동성에 대한 권리는 GDPR의 또 다른 독특한 권리로, 개인이 다양한 서비스에 걸쳐 고유의 목적으로 개인 데이터를 획득 및 재사용할 수 있도록 합니다. 이 권리는 가용성에 영향을 주지 않는 안전한 보안 방식으로 개인 데이터를 하나의 IT 환경에서 다른 환경까지 이동, 복제 혹은 전송할 수 있도록 합니다.
귀하가 이벤트 플래너라고 가정해보겠습니다. 고객이 모든 연락처 정보 및 관련된 개인적 선호 사항을 귀하에게 제공했으나 얼마 지나지 않아 새 이벤트 플래너를 고용하기로 했습니다. EEA의 고객은 새 이벤트 플래너와 간편하게 관계를 형성할 수 있도록 자신의 개인 데이터에 대한 전자 사본을 받을 수 있어야 합니다. GoDaddy은(는) 고객의 개인 데이터가 존재하는 범위까지 그러한 요청을 지원하며 당사가 제공하는 제품 또는 서비스로부터 해당 데이터를 귀하에게 내보낼 수 있습니다.
개인정보보호 적용 설계
개인정보보호 적용 설계(또는 기본 설정)란 개인 데이터를 획득, 처리, 저장 혹은 사용할 때 필요한 보호 조치를 고려하고 포함하는 방식으로, 특별한 고려 사항이나 추가 단계를 요구하지 않고 오직 최소한으로 필요한 데이터만 수집하고, 안전하게(예: 암호화) 수신하고, 보안이 유지되는 장소에 저장하고, 적절하게 교육된 사람이 타당한 필요가 있을 때에만 액세스하도록 하는 것을 의미합니다. 이는 타사에 고객의 개인 데이터를 보내기 전에 해당 타사에서도 보호 조치를 실시하도록 확인하는 것을 포함합니다.
근본적으로는 병원을 방문하는 환자의 경우와 비슷합니다. 환자는 진료 기록, 메모 내용 및 의사의 조언이 안전하게 비공개로 유지될 것으로 기대합니다. 동일한 경계 방식을 데이터 주체에게 확장해 적용하면 이해하기 쉽습니다.
비즈니스 운영에 대한 모든 조사에는 개인정보 보호를 고려한 측면에서 GoDaddy의 제품 및 서비스를 사용하는 방식에 대한 조사가 포함되어야 합니다. 당사의 제품 및 서비스가 귀하의 특정 필요를 충족하도록 구성될 수 있기를 바라지만, 해당하는 데이터 취급방침 및 보호법 준수에 대한 당사 서비스의 적합성은 귀하가 독자적으로 판단해야 합니다.
데이터 침해 알림
개인 데이터 침해라는 불미스러운 일이 발생할 경우 기업은 지체 없이 해당 침해를 인지한 시점으로부터 72시간 이내에 감독 기관에 알려야 합니다. 공개 방식 및 진행 단계에 대한 자세한 내용은 담당 변호사와 상의하세요.
그렇다면 이 내용은 우리와 어떤 관계가 있나요?
이전에 언급된 것처럼 대부분의 경우 GoDaddy이(가) 귀하의 데이터 처리 업체입니다. 당사는 귀하가 구매한 서비스를 귀하 대신 제공하기 위해 요구되는 대로 또는 지침에 따라 데이터를 엄격하게 처리할 것입니다. 제품을 판매하기 위해 데이터를 수집하거나 예약 정보 혹은 잠재 고객을 수집하는 방식으로 당사의 서비스를 사용하시나요? 문제없습니다. 당사는 귀사를 대신하여 안전한 보안 방식으로 데이터가 처리되도록 할 것입니다.
데이터 컨트롤러는 데이터 사용 및 저장 방식을 제어하며, 당사는 귀하를 대신하여 서비스를 제공 및 유지 관리함에있어 데이터 처리 부록 즉, 제 3 자와 데이터를 공유하는 방법 및 누군가가 데이터 주체의 정보에 얼마나 쉽게 액세스 할 수 있는지를 포함하여 내부 정책 및 직원의 레코드 액세스에 세심한주의를 기울여야합니다.
위에서 살펴본 주요 포인트에서 알 수 있듯이 GDPR(및 기타 개인정보 취급방침)은 당사가 성공적인 비즈니스를 위해 수집 및 사용하는 데이터가 적절하고 안전하게 보호되도록 보장하는 것에 대한 내용입니다.