GDPR에 대응한 프라이버시 정책을 작성할 때의 주요 포인트 설명

EU 지역 내 위탁자의 개인정보를 취급할 경우, GDPR에 대응해야 하며, GDPR에 맞춘 개인정보처리방침을 작성해야 합니다. 그러나 GDPR을 자세히 이해하지 못해 자사의 사이트가 대응이 필요한지, 어떻게 대응해야 하는지 모르는 분들도 많을 것입니다.

이에 본 기사에서는 GDPR의 개요와 GDPR에 대응한 개인정보처리방침을 작성하는 요점을 설명합니다. 또한, 일본의 대응 상황과 유명 기업의 사례를 소개하니 참고해 보시기 바랍니다.

GDPR 및 개인정보 처리방침에 대하여

GDPR에 부합하는 개인정보 처리방침이란 무엇일까요? 여기서는 GDPR의 개요와 GDPR에 따른 개인정보 처리방침의 의무에 대해 설명하겠습니다.

GDPR과 개인정보 처리방침

GDPR은 EU가 정한 개인정보 보호 및 그 처리에 관한 상세한 규정입니다. GDPR은 유럽경제지역(EEA: EU 회원국과 스위스를 제외한 EFTA 회원국인 아이슬란드, 리히텐슈타인, 노르웨이)에서 적용됩니다. 다음과 같은 경우에는 일본 기업도 적용 대상이 될 수 있습니다.

• EU 지역 내 데이터 주체에게 상품이나 서비스를 제공하고 있는 경우
• EU 지역 내에서 데이터 주체의 행동을 모니터링하고 있는 경우

데이터 주체란, 식별된 또는 식별 가능한 자연인으로, 개인 데이터가 관련된 개인을 말합니다.

위에 해당하는 기업은 개인정보 처리방침(개인정보 고지)을 재검토하고, 개정할 필요가 있습니다. 만약 GDPR을 위반한 경우, 최대 2천만 유로 또는 전 세계 매출의 4%에 해당하는 금액을 지불해야 합니다.

참고: 일본무역진흥기구｜’EU 일반 데이터 보호 규정(GDPR)'[ja]

EU 국가들과의 거래를 안심하고 진행하기 위해서도 개인정보 처리방침의 확인은 필수라고 할 수 있습니다.

GDPR에서 정한 개인 데이터 취득 시의 ‘정보 제공’

GDPR에서는 개인 데이터를 취득할 때, 관리자는 데이터 주체에게 일정한 정보를 제공해야 한다고 규정하고 있으며, GDPR 제12조 1항에는 정보 제공 방법이 기술되어 있습니다.

내용은 다음과 같습니다.

• 간결하고, 투명하며, 이해하기 쉽고 접근하기 쉬워야 합니다.
• 명확하고 쉬운 문장을 사용해야 합니다.
• 어린이에게 정보를 제공할 때는 적절한 조치를 취해야 합니다.
• 서면, 적절한 경우에는 전자적 수단, 그 밖의 방법으로 제공되어야 합니다.
• 데이터 주체의 요청이 있을 경우, 정보를 구두로 제공할 수 있어야 합니다.

또한, GDPR 제12조 5항에서는 정보의 제공이 무료여야 한다고 기술되어 있습니다. 자사의 개인정보 처리방침이 위의 내용을 충족하고 있는지 확인하고, 필요에 따라 개정합시다.

GDPR에 맞춘 개인정보 처리방침 개정 시 주요 포인트

GDPR에서는 ‘데이터 주체로부터 개인 데이터를 수집하는 경우(GDPR 제13조)’와 ‘데이터 주체가 아닌 다른 경로로부터 개인 데이터를 수집하는 경우(GDPR 제14조)’에 대해 개인 데이터의 관리자가 데이터 주체에게 명시해야 할 여러 항목을 규정하고 있습니다.

관리자가 명시해야 할 항목에는 다음과 같은 것들이 포함됩니다.

• 관리자의 신원, 상세한 연락처
• 대리인이 있는 경우, 대리인의 신원, 상세한 연락처
• 데이터 주체의 접근, 정정, 삭제, 제한, 데이터 이동성, 이의 제기 권리
• 개인 데이터 처리 목적, 법적 근거
• 개인 데이터가 보관되는 기간 또는 해당 기관을 결정하기 위한 기준
• 관련된 개인 데이터의 종류

명시 항목 중에는 일본의 개인정보 처리방침에는 없던 내용도 있으므로, 그 점을 중점적으로 개정해 나가야 할 것입니다. 일본의 개인정보 보호법을 고려한 개인정보 처리방침에 대해서는, 여기 기사를 참조해 주세요.

관련 기사: 개인정보 보호법을 고려한 개인정보 처리방침 작성 시 주요 포인트는?[ja]

여기에서는 일본의 개인정보 보호법을 고려한 개인정보 처리방침에는 없던 점을 중심으로, 개정의 포인트를 설명하겠습니다.

데이터 처리의 적법성에 관한 근거

GDPR에서는 개인정보보호법에는 없던 ‘데이터 처리의 적법성의 근거’를 명시하는 것이 의무화되어 있습니다. 개인 데이터를 취급하는 것이 적법해지는 근거는 다음의 6가지입니다(GDPR 제6조).

• 데이터 주체의 동의
• 계약의 이행
• 법적 의무
• 생명에 관한 이익
• 공공의 이익
• 정당한 이익

위의 6가지 중 하나가 적용되면 적법하다고 판단되므로, 개인정보처리방침에 그 사실을 명시합시다. 처음으로 정보를 취득하는 개인에게는 새로운 개인정보처리방침으로 동의를 얻어 대응할 수 있습니다.

하지만, 여기서 주의해야 할 점은 이미 동의를 얻은 이용자에 대한 대응입니다. 개인정보처리방침의 개정 전에 동의를 얻었던 사람에 대해서는 다시 동의를 얻어야 할 필요가 있을 것입니다.

이 경우, 개인정보처리방침에 6가지 적법한 근거 중 하나를 기재하고, 개정에 대한 동의를 받는 형태로 대응하는 방법이 있습니다.

정보 수집 항목 및 이용 목적

기존의 프라이버시 정책은 수집하는 정보와 이용 목적, 이용 약관 등을 동일 페이지에 기재하여 일괄적으로 동의를 얻는 형태가 많았습니다. 그러나 GDPR(일반 데이터 보호 규정)에서는 위탁자가 무엇에 대해 동의하는지, 그 대상을 명확히 할 필요가 있다고 지적하고 있습니다.

수집하는 정보 각각에 대한 이용 목적을 명시하고, 각각에 대해 동의를 얻을 수 있는 표시 형식을 사용하는 것이 좋습니다.

이용 목적의 명확화

GDPR에서는 수집 정보의 이용 목적을 명확히 밝혀야 합니다. 예를 들어, 이용 목적이 ‘서비스 개선을 위함’과 같이 내용이 모호하면 목적이 불분명하여 부적절하다고 판단될 수 있습니다.

또한, 목적에 부합하지 않는 추가적인 처리는 할 수 없다고 규정되어 있으므로, 이 점에 유의하여 개인정보 처리방침을 개정합시다.

삭제권 및 데이터 이동성 권리

기존의 프라이버시 정책에서 접근권이나 정정권을 명시하고 있는 기업이 많을 것입니다. 그러나 GDPR에서는 ‘삭제권 및 데이터 이동성 권리’에 대해서도 기재할 필요가 있습니다.

삭제권이란, 이용자가 관리자에게 개인 데이터를 삭제하도록 요청할 수 있는 권리를 말합니다. 데이터 이동성 권리란, 개인 데이터를 다른 서비스로 이전할 수 있는 권리를 말합니다.

예를 들어, 휴대전화 회사 A에서 휴대전화 회사 B로 가입자의 데이터나 이용 기록 데이터 등을 이전하는 것이 가능합니다. GDPR에 대응하기 위해서는 프라이버시 정책에 이러한 권리에 대한 기재가 필요합니다.

개인정보 보존 기간의 명시

GDPR에서는 기존의 프라이버시 정책에는 없던 ‘개인정보의 보존 기간’을 명시할 것을 요구하고 있습니다. 기간을 결정할 수 없는 경우에는 보존 기간의 결정 기준을 명시하는 방법으로도 대응이 가능하다고 하고 있습니다.

일본 기업의 GDPR 대응 현황

일반재단법인 일본정보경제사회진흥협회와 주식회사 아이티아르의 「기업 IT 활용 동향 조사 2021」집계 결과(상세판)[ja]의 조사 정보를 소개합니다.

조사 결과에 따르면, GDPR에 대응하고 있는 기업은 적으며, GDPR 대응 중(검토 중)인 기업이 26.1%로 가장 많았습니다. 2021년 집계 시점에서, EU와 개인 데이터의 이전이 없는 기업도 많은 경향이 있습니다.

EU와의 개인 데이터 교류에 대한 조사 결과는 다음과 같습니다.

위의 그림을 보면, ‘현재 교류가 없으며 앞으로도 교류할 예정이 없다’고 답한 기업이 44.4%로 가장 많습니다. ‘과거에 교류가 있었으나 GDPR 시행 이후 EU, 일본 각각에서 데이터를 처리하고 있다’고 답한 기업이 12%였습니다.

‘현재는 교류가 없지만 앞으로 교류할 예정’이 25.9%, ‘현재 교류하고 있다’가 17.6%로, 앞으로 EU와 교류할 기업이 늘어날 가능성은 있지만, 2021년 조사 시점에서는 적은 것으로 나타났습니다.

출처: JIPDEC／ITR「기업 IT 활용 동향 조사 2021」[ja]

유명 기업의 GDPR 대응

GDPR에 맞춰 개인정보 처리방침을 개정하고 싶지만, 어떤 내용을 포함해야 할지 모르시는 분들도 많을 것입니다. 여기에서는 기업의 GDPR 대응 사례로서, 구글과 페이스북의 GDPR 대응 내용을 자세히 설명드리겠습니다.

Google의 GDPR 대응

Google은 GDPR에 대응하기 위해 다음과 같은 조치를 발표했습니다.

• 위탁자에 대한 투명성 향상
• 위탁자의 관리 개선
• 데이터 이동성 향상
• 보호자의 동의 및 아동의 적절한 인터넷 사용을 위한 도구 개선
• 비즈니스 위탁자 및 파트너 지원
• 프라이버시 컴플라이언스 프로그램 강화

여기에서는 이에 대한 자세한 설명을 드립니다.

참조: Google「EU 일반 데이터 보호 규정(GDPR)에 대비한 Google의 준비 사항[ja]」

위탁자에 대한 투명성 향상

Google이 수집하는 정보와 그 이유를 이해하기 쉽게 하고, 정보를 찾기 쉽도록 하기 위해 개인정보 보호정책을 개선하고 업데이트하고 있습니다. 개선된 내용은 다음과 같습니다.

• 정보 관리, 내보내기, 삭제에 대한 자세한 내용 추가
• 텍스트뿐만 아니라 동영상과 도표 추가

또한, 개인정보 설정 페이지를 쉽게 열 수 있도록 설정을 변경하고 있습니다.

위탁자 관리 개선

GDPR(일반 데이터 보호 규정)에 대응하기 위해 위탁자 관리 방법을 개선했습니다. 변경된 내용은 다음과 같습니다.

• 내 활동(My Activity)에서 데이터를 확인하고 삭제할 수 있음
• 주제, 날짜, 제품별로 검색할 수 있는 기능 제공
• 본인에게 맞는 프라이버시 설정을 확인할 수 있음
• 표시되는 광고를 관리하고 숨길 수 있음
• Google 대시보드에서 데이터를 파악할 수 있음

또한, GDPR 시행 이전부터 위탁자의 정보와 광고 등을 더 쉽게 관리할 수 있도록 변경되었습니다.

데이터 이식성 향상

Google에는 Google 포토, 드라이브, 캘린더, Gmail 등 다양한 서비스가 있습니다. Google이 GDPR(일반 데이터 보호 규정) 준수를 위해 데이터 이식성 향상을 위해 실시하고 있는 내용은 다음과 같습니다.

• 데이터 다운로드를 지원하는 서비스 및 관리 항목의 확대
• 정기적인 다운로드를 스케줄링하는 기능 추가

보호자의 동의와 아동의 적절한 인터넷 이용을 위한 툴 개선

Google에서는 보호자와 아동이 인터넷을 적절히 이용할 수 있도록 패밀리 링크(Family Link) 앱을 제공하고 있습니다. 이 앱을 통해 보호자는 아동용 계정을 생성할 수 있습니다.

앱에서는 ‘이용 시간 관리’, ‘기기 일시 정지’ 등 가정 내 규칙을 설정하고 관리할 수 있는 기능을 제공하고 있습니다.

비즈니스 위탁자 및 파트너 지원

GDPR(일반 데이터 보호 규정)에 대응하기 위해, Google 파트너(광고주 및 사이트 운영자 등)가 사이트나 앱 내에서 위탁자의 동의를 요청하는 것과 관련된 정책을 업데이트했습니다. 다음은 그 외에 업데이트된 내용입니다.

• GDPR 준수를 지원하는 도구 제공
• Google의 광고 서비스를 이용하는 기업의 인증 프로세스 강화
• 데이터 처리 조건의 업데이트
• 데이터 이동성 및 데이터 사고 통지 등의 상세 정보 제공

프라이버시 컴플라이언스 프로그램 강화

GDPR에 대응하기 위해 프라이버시 컴플라이언스 프로그램을 강화하고 있습니다. 내용은 다음과 같습니다.

• 프라이버시 프로그램 개선
• 제품 심사 프로세스 강화

또한, 데이터 처리에 대해서도 보다 포괄적으로 문서화를 진행하고 있습니다.

페이스북의 GDPR 대응

페이스북은 GDPR 대응으로 다음과 같은 조치를 발표했습니다.

• 광고 표시로부터의 정보 수집에 대한 확인
• 프로필 정보의 선택
• 얼굴 인식 기술에 대한 확인 (EU·캐나다)
• 업데이트된 서비스 약관 및 데이터에 관한 동의
• 정보 접근·삭제·다운로드가 용이한 기능의 도입
• 청소년 대상 정보 제공에 대하여

여기에서는 자세한 설명을 드리겠습니다.

참조: 페이스북「일반 데이터 보호 규정(GDPR)의 준수와 새로운 프라이버시 보호 제공에 대하여[ja]」

광고 표시로부터의 정보 수집에 대한 확인

페이스북의 파트너는 ‘좋아요!’ 버튼 클릭 및 페이스북이 제공하는 도구로부터 얻은 정보를 광고 표시에 활용하고 있습니다. 위탁자에게 광고 관련 정보를 제공하며, 파트너로부터의 정보를 광고 표시를 위해 사용할 수 있는지 선택할 수 있도록 하고 있습니다.

프로필 정보의 선택

페이스북의 프로필에는 정치적 견해, 종교·신념, 인간 관계에 대한 정보가 기재·공개되어 있습니다. 이러한 정보에 대해 위탁자는 ‘앞으로도 공개를 계속할 것인지’, ‘공개하고 있는 정보를 광고에 활용해도 좋은지’를 선택할 수 있습니다.

프로필 정보는 언제든지 자유롭게 선택할 수 있으며, 위탁자가 원할 경우 쉽게 삭제할 수 있습니다.

얼굴 인식 기술에 대한 확인 (EU·캐나다)

페이스북은 EU 회원국과 캐나다의 위탁자에게 얼굴 인식 기술을 사용할지 여부를 선택할 수 있도록 하고 있습니다. 또한, 그 외의 위탁자도 자유롭게 선택할 수 있습니다.

업데이트된 서비스 약관 및 데이터에 관한 동의

서비스의 메커니즘에 대한 의문에 대한 자세한 정보를 포함하는 ‘서비스 약관’, ‘데이터에 관한 정책’에 대한 동의를 요청하는 표시가 됩니다.

정보 접근·삭제·다운로드가 용이한 기능의 도입

‘개인 데이터 관리 도구’의 사용을 통해 자신에 관한 데이터를 확인하고 삭제할 수 있습니다. 또한, 데이터를 쉽게 다운로드하고 내보낼 수 있도록 하고 있습니다.

모바일 기기에서의 활동 로그 기능을 업데이트하여 위탁자가 과거에 어떤 정보를 공유했는지 쉽게 확인할 수 있도록 하고 있습니다.

청소년 대상 정보 제공에 대하여

페이스북은 원래 10대 위탁자를 대상으로 한 제한을 두고 있습니다. 내용은 다음과 같습니다.

• 광고 카테고리의 제한
• 얼굴 인식의 사용 불가 (18세 이하)
• 10대 위탁자가 공유하는 정보의 열람·검색 제한

또한, 초기 설정에서 정보가 ‘공개’되지 않도록 설계되어 있습니다.

페이스북은 GDPR에 대응하기 위해 별도의 규정을 마련하고 있습니다. EU 회원국의 위탁자의 경우, 광고의 열람이나 프로필의 기재(종교·신념, 정치적 견해 등)에는 보호자의 허가가 필요합니다.

그 외의 지역에서는, 파트너로부터 얻은 데이터를 광고 표시에 활용해도 좋은지, 프로필에 개인적인 정보를 공개해도 좋은지를 선택할 수 있도록 하고 있습니다.

요약: GDPR은 일본법보다 개인 데이터의 범위가 넓고 대응이 필수적입니다

GDPR에서는 ‘수집 정보별 이용 목적의 명확화’, ‘삭제권 및 데이터 이동성 권리의 명시’, ‘보존 기간의 명시’ 등 다양한 규정이 있으며, 기존 일본법보다 이용자의 권리 범위가 넓어졌습니다.

GDPR 위반 시에는 막대한 제재금을 지불해야 하며, EU 내 개인정보를 취급하는 기업은 GDPR에 대응해야 합니다. EU 내에서 사업을 전개하고 있거나 앞으로 진출을 고려하고 있는 기업은 GDPR에 맞는 개인정보 보호정책을 작성합시다.

당사의 대책 안내

모노리스 법률사무소는 IT, 특히 인터넷과 법률 분야에서 풍부한 경험을 가진 법률사무소입니다. 최근 글로벌 비즈니스는 점점 확대되고 있으며, 전문가에 의한 리걸 체크의 필요성은 더욱 증가하고 있습니다. 당사는 국제법무에 관한 솔루션을 제공하고 있습니다.

모노리스 법률사무소의 분야: 국제법무 및 해외사업[ja]