GDPR 시행 후 현황 그리고 e-Privacy Regulation

1. GDPR 시행 후 현황
2. e-Privacy Regulation

1. GDPR 시행 후 현황

• EU 집행위원회는 1월 25일 GDPR 시행 이후, 8개월 간 9만 5천 180건의 법 위반 신고가 접수되었다고 밝혔다.

사례 1. 구글

• 벌금: 프랑스 개인정보보호 당국(CNIL)으로부터 5천만 유로의 벌금을 부과 받음
• 위반 내용: 이용자들에게 적절하게 동의를 받지 않고 맞춤형 광고를 한 혐의

사례 2. 크누델스(Knuddels)

• 벌금: 독일 바넨뷔르뎀베르크 정보보호위원회로부터 2만 유로읩 벌금을 부과 받음
• 위반 내용: 독일의 채팅 앱인 크누델스로에서 해커가 수만 명의 사용자 정보를 유출함. 고객정보를 암호화 시키지 않음. 33만개 사용자 정보를 공개했으나, 80만개 이상의 이메일 주소와 180만 개 이상의 비밀번호가 유출되었을 가능성이 있음.

사례 3. 페이스북(GDPR 시행 전)

• 벌금: 영국 정보위원회(ICO)로부터 50만 파운드(7억 3천만원)의 벌금을 부과 받음. 해당 사건이 GDPR에 적용되었을 경우, 250억원의 과징금을 부과받을 수 있었음.
• 위반 내용: 애플리케이션 개발자가 명확한 정보에 입각한 동의 없이 정보에 접근할 수 있게 하고 사용자가 앱을 다운로드하지 않거나 단순히 페이스북 친구 사이라 해도 해당 사용자의 정보에 접근할 수 있었다. 이에 따라 8만 7천만명의 정보를 불법으로 수집함.

사례 4. 에퀴팩스(GDPR 시행 전)

• 벌금: 영국 정보위원회(ICO)로부터 50만 파운드(7억 3천만원)의 벌금을 부과 받음.
• 위반 내용: 컴퓨터 시스템을 해킹당해 1억4500만 명에 달하는 고객 신용정보가 유출됨.

2. e-Privacy Regulation

Background

• e-Privacy Regulation 은 개인정보 그리고 전자적 통신에 관한 Regulation 이다.
• e-Privacy Direction(2002/58/EC)의 개정안이며, GDPR에 대한 특별법이다.

@ EU 입법절차

유럽위원회(European Commision)
유럽의회(European Paliament)
유럽이사회(European Council)
조정위원회(동등한 수의 ‘유럽의회 의원’ + ‘유럽이사회의 대표자’)

(1) 유럽위원회가 유럽의회에 입법제안
(2) 유럽의회에서 1st Reading, 제안 채택 또는 수정
(3) 유럽이사회는 유럽의회에서 채택된 입법행위에 동의 또는 수정
(4) (3)의 수정 시 유럽의회에서 2nd Reading, 유럽이사회 입장 승인 또는 거절. 단, 거절 시 입법절차 끝
(5) 유럽이사회는 유럽의회에서 2nd Reading 입장 승인 또는 조정위원회 소집
(6) 조정위원회에서 합의하지 못할 경우 취소, 합의 시 3rd Reading
-> 현재(2019.3 기준) 단계
(7) 공동 합의된 법안을 검토하여 승인 또는 철회

Key Points (e-Privacy Regulation, october draft)

Scope

GDPR은 종이나 전자적인 형태의 개인의 정보, 의료 정보에 대해 중점을 두고 있다. e-Privacy Regulation은 특히 전자 통신에 대한 모든 행위 정보를 포함한다. 장치 정보, 처리 기술, 저장 장치, 브라우저 등을 말한다.

New players

프라이버시에 관한 규정을 WhatsApp, Facebook Messenger, Skype, Gmail 등 전자 통신(electronic communications) 서비스를 제공하는 사업자에게도 적용한다.

Communications content and metadata

전자통신의 내용, 시기, 장소 등 통신의 내용과 메타데이타에 대한 프라이버시를 보장한다.

Simpler rules on Cookies

쿠키 및 기타 개인을 식별할 수 있는 정보에 대한 추적을 동의하거나 거절하는 방법을 이용자가 보다 쉽게할 수 있도록 해야 한다. 현재는 간단한 팝업 형태로 동의를 득하고 있지만, 그러한 동의는 유의미하지 않다.

Protection against spam

e-mail, SMS 등 원치 않는 전자적인 통신에 대한 보호 조항이다. 마케팅 담당자는 전화번호를 표시하거나 마케팅 전화를 나타내는 사전조치를 해야 한다.