GDPR은 General Data Protection Regulation의 약자입니다. 이는 유럽연합(EU) 및 유럽경제지역(EEA) 내 개인의 개인 데이터를 회사와 조직이 어떻게 처리하는지를 규제하기 위해 2018년 5월 25일에 시행된 포괄적인 데이터 개인정보 보호법입니다. GDPR의 주요 목표는 개인에게 자신의 개인 데이터에 대한 통제권을 부여하고 EU 및 EEA 내에서 운영되는 기업에 대한 규제 환경을 간소화하는 것입니다.
GDPR에는 조직이 준수를 보장하기 위해 따라야 하는 여러 주요 개념과 요구사항이 포함되어 있습니다. 그 중 일부는 다음과 같습니다:
GDPR에 따르면, 개인 데이터는 합법적이고 투명하며 명확한 목적으로만 처리될 수 있습니다. 조직은 계약 이행의 필요성, 법적 의무 준수, 중요한 이해 보호, 동의, 공익 및 공식 권한 행사에 따른 업무 수행, 혹은 데이터 관리자나 제3자가 추구하는 정당한 이익 등의 법적 근거를 갖고 개인 데이터를 처리해야 합니다.
동의는 GDPR의 중요한 측면입니다. 조직은 개인 데이터 수집 전에 명확하고 명시적인 동의를 개인에게 받아야 합니다. 동의는 자유롭게, 구체적이며, 알림을 받은 후 명확하게 주어져야 합니다. 개인은 데이터 처리 목적, 개인 데이터의 범주, 데이터의 수신자, 보유 기간, 데이터와 관련된 권리에 대한 명확한 정보를 제공받아야 합니다. 동의 철회는 동의를 주는 것만큼 쉽게 할 수 있어야 합니다.
GDPR은 개인에게 개인 데이터와 관련된 다양한 권리를 부여합니다. 이러한 권리 중 일부는 다음과 같습니다:
GDPR은 조직이 데이터 침해를 인지한 후 지연 없이, 가능하면 72시간 이내에 감독 당국에 통지할 것을 요구합니다. 침해가 개인의 권리와 자유에 높은 위험을 초래할 가능성이 있는 경우, 조직은 해당 개인에게도 직접 통지해야 합니다.
GDPR의 적용을 받는 조직은 벌금과 잠재적인 평판 손상을 피하기 위해 규정을 준수해야 합니다. GDPR 준수를 보장하기 위해 조직이 취할 수 있는 단계는 다음과 같습니다:
시행 이후 GDPR은 데이터 개인정보 보호에 큰 영향을 미쳤습니다. 규제는 미국의 California Consumer Privacy Act (CCPA)와 같은 유사한 법률을 여러 국가 및 지역이 도입하도록 영감을 주었습니다.
GDPR과 관련하여 지속적인 주요 논란 중 하나는 어떻게 집행되는지와 비준수에 대한 처벌입니다. GDPR은 심각한 위반에 대해 전년도 전 세계 매출의 4% 또는 최대 €20백만 중 높은 금액의 벌금을 부과할 수 있도록 허용합니다. 그러나 일부 비평가들은 벌금이 주로 소규모 기업에 대해 불균형적으로 적용되었다고 주장합니다.
다른 논쟁 분야는 데이터 개인정보와 혁신 사이의 균형입니다. 일부는 GDPR이 혁신을 저해하고 기업에 부담스러운 준수 요구를 부과한다고 주장하는 반면, 다른 이들은 개인의 기본 권리를 보호하고 디지털 경제에 대한 신뢰를 유지하기 위해 필요하다고 주장합니다.