EU의 일반개인정보보호법(GDPR)이 MICE산업에 미치는 영향

EU의 일반개인정보보호법(GDPR)이 MICE산업에 미치는 영향

 

유럽연합(EU)이 2016년 4월 제정 후 2년간의 유예기간을 거쳐 지난 5월 25일부로 일반개인정보보호법(GDPR)을 본격적으로 시행하면서 이를 적용받는 기업과 기관들은 대응체계 마련과 함께 GDPR이 미치는 파급효과에 대해 큰 관심을 기울이고 있다. 특히나 시효 다음날 호주의 한 시민단체로부터 GDPR 기준에 따라 구글과 페이스북이 제소를 당해 큰 이슈가 되기도 했다.

 

GDPR은 EU 역내뿐만 아니라 역외에서 EU 시민의 정보를 다루는 모든 사업자에게도 적용된다. 즉, GDPR의 적용 범위가 유럽을 넘어 전 세계로 확대된 것이다. 따라서, EU 국가가 아닌 타 국가에서 컨벤션이나 전시회가 개최되더라도 EU 시민이 행사에 참가하는 경우에는 이들의 개인정보를 취급하는 것과 관련하여 당연히 GDPR이 적용된다고 할 수 있다. 이로 인해 EU국가는 물론, 해외 국가에서도 GDPR이 MICE산업에 미치는 영향에 대한 관심이 높아지고 있다.

 

국내에서도 한국인터넷진흥원, 개인정보보호관리위원회 등 중앙정부부처와 산하기관을 중심으로 GDPR 인식제고 및 대응 지원활동을 수행해왔고 일부 IT업계에서도 각종 세미나와 포럼 등을 통해 산업계 전반에 활발한 논의를 진행 중이다. 아직 국내 MICE업계에서는 EU의 GDPR이 미치는 영향에 대한 인식이나 준비가 없는 상황이다. 본 지에서는 이번 특집을 통해 GDPR이 무엇이고 관련 기업들은 어떻게 대응하고 있는지, MICE산업에는 어떤 영향을 미치는지를 다루어 보았다.

 

[순서] 유럽연합(EU)의 일반개인정보보호법(GDPR)이란 무엇인가? GDPR 도입에 따른 국내외 업계 대응현황 GDPR과 MICE산업 MICE산업의 GDPR 대응방안

 

• 유럽연합(EU)의 일반개인정보보호법(GDPR)이란 무엇인가?

1) GDPR 시행 배경

오늘날 우리는 디지털경제 시대에 살고 있다. 빅데이터 뿐만 아니라 AI(인공지능), 사물인터넷(IoT) 등의 개념을 넘어서 4차 산업혁명으로 지능적 자동화, 가상현실, 머신러닝 등이 각 산업의 미래에 필수 요인이 되고 있다. 유럽연합(EU)의 일반개인정보보호법(GDRP)은 이러한 맥락에서 인터넷 등으로 변화된 디지털 경제의 새로운 상황을 반영하면서 정보의 산업적 활용 및 ‘국가와 거대한 자본에 의한 독점’을 방지하기 위한 통제장치를 강화하기 위한 방안으로 올해 5월부터 시행하게 되었다. 결국 GDPR은 EU 28개 회원국 및 구성원들을 대상으로 개인정보에 대한 인식과 자기 정보에 대한 권리를 강화하고 개인정보의 상업적 활용을 제약하기 위해 시행하는 것으로 볼 수 있다.

 

2) GDPR의 정의 및 목적

GDPR은 General Data Protection Regulation의 약어로 우리나라 용어로는 ‘일반개인정보보호법’이라 할 수있다. 2018년 5월 25일부터 유럽연합(EU)에서 본격 적용되는 법으로 기존의 ‘개인정보보호지침’(Data Protection Directive 95/46/EC, 이하 “Directive”라고 함)을 대체하면서 보다 직접적인 법적 구속력을 가지는 법률이다. 기존의 개인정보보호지침(Directive)보다 정보주체의 권리를 확대, 강화하였고 DPO(개인정보관리책임자)를 통해 기업의 책임성을 강화한 것이 큰 특징이다.

GDPR은 개인정보의 처리와 자유로운 이동에 관한 기본권리를 보호하는데 궁극적인 목적이 있다. 기존이 정보보호지침(Directive)은 각 회원국에 대한 입법 지침 가인드라인 역할을 수행할 뿐 회원국 간의 개인정보보호 법제는 서로 달라 실제 규제에 어려움이 있었으나 GDPR의 제정으로 모든 회원국에게 직접적으로 적용되는 법 형식으로 보다 통일된 개인정보보호 규제가 가능하게 되었다. 그리고 one-stop-shop 메커니즘 도입과 법적 구속력이 있는 단일한 규칙을 적용하여 기업이 사업 수행에 따르는 비용을 절약할 수 있게 되었고, 이로 인해 EU 역내로의 진입 장벽이 낮아져 시장 기능이 크게 활성화되고 사업규제 환경 개선으로 2020년까지 7,390억 유로의 경제효과를 기대하고 있다.

 

 

GDPR은 전체 혹은 일부 자동화된 방법으로 처리하는 개인정보와 관련하여 적용되며 사업장이 EU 내에 있을 때뿐만 아니라 EU 외에 있어서 유럽연합에 거주하는 정보주체에게 재화와 서비스를 제공하거나 행동을 모니터링 할 경우를 포함하여 적용된다.

 

또한, GDPR은 정보주체가 진술 또는 적극적인 행동을 통해 자신의 개인정보 처리에 대해 긍정적인 의사표현을 하는 것을 동의라고 한다. 동의방법에는 구체성과 ‘모호하지 않은’ 명확하고 적극적인 행위로 표시되어야 한다. GDPR에서 동의 요건은 기존 Directive보다 강화되었으며 동의 의무 심각한 위반 시 전세계 연간 매출액의 4% 또는 2천만 유로 중 더 높은 금액을 과징금으로 부과될 수 있다.

 

3) GDPR에서 개인정보처리의 6가지 원칙(principles)

GDPR은 개인정보를 처리하는 데 있어 6가지 원칙이 있는데, 이를 정리하면 다음과 같다.

 

① 적법성, 공정성, 투명성의 원칙

개인정보는 정보주체와 관련하여 적법하고, 공정하며 투명한 방식으로 처리되어야 한다.

 

② 목적 제한의 원칙

개인정보를 수집함에 있어서 구체적이고 명시적이며 적법한 목적을 가지고 해당 목적에 부합하는 방식으로 처리해야 한다. 다만, 공익을 위한 기록 보존 목적, 과학적/여가적 연구 목적, 통계 목적을 위한 추가 처리는 해당목적과 양립하는 것으로 본다.

 

③ 개인정보처리의 최소화

개인정보는 적절하며 관련성 있게 처리해야 하며 그 목적을 위해 필요한 범위로 한정되어야 한다.

 

④ 정확성의 원칙

정확하게 처리해야 하며 필요한 경우 최신의 내용을 유지해야 한다. 처리 목적과 비추어 부정확한 정보의 즉각적인 삭제 또는 정정을 보장하기 위한 모든 합리적 조치를 취해야 한다.

 

⑤ 보관기간 제한의 원칙

처리목적에 부합하는 필요 기간이 경과한 후에는 식별할 수 있는 형태로는 보관하면 안된다.

 

⑥ 무결성 및 기밀성의 원칙

개인정보는 적절한 기술적, 관리적 조치를 통하여 권한 없는 처리, 불법적 처리 및 우발적 손망실, 파괴 또는 손상 등에 대비한 적절한 보안을 보장하는 방식으로 처리되어야 한다.