Trend & Insight

EU의 일반개인정보보호법(GDPR)이 MICE산업에 미치는 영향

EU의 일반개인정보보호법(GDPR)MICE산업에 미치는 영향

 

유럽연합(EU)이 2016년 4월 제정 후 2년간의 유예기간을 거쳐 지난 5월 25일부로 일반개인정보보호법(GDPR)을 본격적으로 시행하면서 이를 적용받는 기업과 기관들은 대응체계 마련과 함께 GDPR이 미치는 파급효과에 대해 큰 관심을 기울이고 있다. 특히나 시효 다음날 호주의 한 시민단체로부터 GDPR 기준에 따라 구글과 페이스북이 제소를 당해 큰 이슈가 되기도 했다.

 

GDPR은 EU 역내뿐만 아니라 역외에서 EU 시민의 정보를 다루는 모든 사업자에게도 적용된다. 즉, GDPR의 적용 범위가 유럽을 넘어 전 세계로 확대된 것이다. 따라서, EU 국가가 아닌 타 국가에서 컨벤션이나 전시회가 개최되더라도 EU 시민이 행사에 참가하는 경우에는 이들의 개인정보를 취급하는 것과 관련하여 당연히 GDPR이 적용된다고 할 수 있다. 이로 인해 EU국가는 물론, 해외 국가에서도 GDPR이 MICE산업에 미치는 영향에 대한 관심이 높아지고 있다.

 

국내에서도 한국인터넷진흥원, 개인정보보호관리위원회 등 중앙정부부처와 산하기관을 중심으로 GDPR 인식제고 및 대응 지원활동을 수행해왔고 일부 IT업계에서도 각종 세미나와 포럼 등을 통해 산업계 전반에 활발한 논의를 진행 중이다. 아직 국내 MICE업계에서는 EU의 GDPR이 미치는 영향에 대한 인식이나 준비가 없는 상황이다. 본 지에서는 이번 특집을 통해 GDPR이 무엇이고 관련 기업들은 어떻게 대응하고 있는지, MICE산업에는 어떤 영향을 미치는지를 다루어 보았다.

 

[순서]

유럽연합(EU)의 일반개인정보보호법(GDPR)이란 무엇인가?

GDPR 도입에 따른 국내외 업계 대응현황

GDPR과 MICE산업

MICE산업의 GDPR 대응방안

 

  • 유럽연합(EU)의 일반개인정보보호법(GDPR)이란 무엇인가?

1) GDPR 시행 배경

오늘날 우리는 디지털경제 시대에 살고 있다. 빅데이터 뿐만 아니라 AI(인공지능), 사물인터넷(IoT) 등의 개념을 넘어서 4차 산업혁명으로 지능적 자동화, 가상현실, 머신러닝 등이 각 산업의 미래에 필수 요인이 되고 있다. 유럽연합(EU)의 일반개인정보보호법(GDRP)은 이러한 맥락에서 인터넷 등으로 변화된 디지털 경제의 새로운 상황을 반영하면서 정보의 산업적 활용 및 ‘국가와 거대한 자본에 의한 독점’을 방지하기 위한 통제장치를 강화하기 위한 방안으로 올해 5월부터 시행하게 되었다. 결국 GDPR은 EU 28개 회원국 및 구성원들을 대상으로 개인정보에 대한 인식과 자기 정보에 대한 권리를 강화하고 개인정보의 상업적 활용을 제약하기 위해 시행하는 것으로 볼 수 있다.

 

2) GDPR의 정의 및 목적

GDPR은 General Data Protection Regulation의 약어로 우리나라 용어로는 ‘일반개인정보보호법’이라 할 수있다. 2018년 5월 25일부터 유럽연합(EU)에서 본격 적용되는 법으로 기존의 ‘개인정보보호지침’(Data Protection Directive 95/46/EC, 이하 “Directive”라고 함)을 대체하면서 보다 직접적인 법적 구속력을 가지는 법률이다. 기존의 개인정보보호지침(Directive)보다 정보주체의 권리를 확대, 강화하였고 DPO(개인정보관리책임자)를 통해 기업의 책임성을 강화한 것이 큰 특징이다.

GDPR은 개인정보의 처리와 자유로운 이동에 관한 기본권리를 보호하는데 궁극적인 목적이 있다. 기존이 정보보호지침(Directive)은 각 회원국에 대한 입법 지침 가인드라인 역할을 수행할 뿐 회원국 간의 개인정보보호 법제는 서로 달라 실제 규제에 어려움이 있었으나 GDPR의 제정으로 모든 회원국에게 직접적으로 적용되는 법 형식으로 보다 통일된 개인정보보호 규제가 가능하게 되었다. 그리고 one-stop-shop 메커니즘 도입과 법적 구속력이 있는 단일한 규칙을 적용하여 기업이 사업 수행에 따르는 비용을 절약할 수 있게 되었고, 이로 인해 EU 역내로의 진입 장벽이 낮아져 시장 기능이 크게 활성화되고 사업규제 환경 개선으로 2020년까지 7,390억 유로의 경제효과를 기대하고 있다.

 

 

GDPR은 전체 혹은 일부 자동화된 방법으로 처리하는 개인정보와 관련하여 적용되며 사업장이 EU 내에 있을 때뿐만 아니라 EU 외에 있어서 유럽연합에 거주하는 정보주체에게 재화와 서비스를 제공하거나 행동을 모니터링 할 경우를 포함하여 적용된다.

 

또한, GDPR은 정보주체가 진술 또는 적극적인 행동을 통해 자신의 개인정보 처리에 대해 긍정적인 의사표현을 하는 것을 동의라고 한다. 동의방법에는 구체성과 ‘모호하지 않은’ 명확하고 적극적인 행위로 표시되어야 한다. GDPR에서 동의 요건은 기존 Directive보다 강화되었으며 동의 의무 심각한 위반 시 전세계 연간 매출액의 4% 또는 2천만 유로 중 더 높은 금액을 과징금으로 부과될 수 있다.

 

3) GDPR에서 개인정보처리의 6가지 원칙(principles)

GDPR은 개인정보를 처리하는 데 있어 6가지 원칙이 있는데, 이를 정리하면 다음과 같다.

 

① 적법성, 공정성, 투명성의 원칙

개인정보는 정보주체와 관련하여 적법하고, 공정하며 투명한 방식으로 처리되어야 한다.

 

② 목적 제한의 원칙

개인정보를 수집함에 있어서 구체적이고 명시적이며 적법한 목적을 가지고 해당 목적에 부합하는 방식으로 처리해야 한다. 다만, 공익을 위한 기록 보존 목적, 과학적/여가적 연구 목적, 통계 목적을 위한 추가 처리는 해당목적과 양립하는 것으로 본다.

 

③ 개인정보처리의 최소화

개인정보는 적절하며 관련성 있게 처리해야 하며 그 목적을 위해 필요한 범위로 한정되어야 한다.

 

④ 정확성의 원칙

정확하게 처리해야 하며 필요한 경우 최신의 내용을 유지해야 한다. 처리 목적과 비추어 부정확한 정보의 즉각적인 삭제 또는 정정을 보장하기 위한 모든 합리적 조치를 취해야 한다.

 

⑤ 보관기간 제한의 원칙

처리목적에 부합하는 필요 기간이 경과한 후에는 식별할 수 있는 형태로는 보관하면 안된다.

 

⑥ 무결성 및 기밀성의 원칙

개인정보는 적절한 기술적, 관리적 조치를 통하여 권한 없는 처리, 불법적 처리 및 우발적 손망실, 파괴 또는 손상 등에 대비한 적절한 보안을 보장하는 방식으로 처리되어야 한다.

 

 

4) GDPR에서 사용되는 주요 용어

 

  • 개인정보 (Personal Data)

개인정보란 식별되었거나 또는 식별가능한 자연인(정보주체)과 관련된 모든 정보를 의미하며 직접 또는 간접적으로 식별 가능한 경우라면 이름, 전화번호 등과 같은 일반적인 개인정보 외에 IP주소, MAC address, 온라인 쿠키 등 온라인 식별자나 위치정보 등도 해당된다. 이는 기존 지침(Directive)보다 위치정보, 온라인 식별자, 유전 정보 등이 확대, 포함되었다. GDPR은 정보주체인 개인정보 처리에 관련된 개인에 적용되며 법인과 법인으로 설립된 사업체 이름, 법인의 형태, 법인의 연락처 등에 대한 처리는 적용되지 않는다.(전문 제14조)

특히, GDPR에서는 특별한 유형의 개인 정보를 ‘민감 정보’로 명명하며 인종/민족, 정치적 견해, 종료/철학적 신념, 노동조합 가입여부, 유전자 또는 생체정보, 건강, 성생활 및 성적취향 등에 관한 것으로 명시적 동의 없이는 원칙적으로 처리가 금지된다. 개인정보의 유형으로는 성별, 나이, 인종, 주민번호, 이메일, 혈액형, 자녀수, 종교, IP주소, 페이스북 주소 등이 있다.

 

  • 컨트롤러(Controller)

컨트롤러란 개인정보 처리의 목적과 수단을 결정하는 주체이며 이런 결정은 단독 또는 제3자와 공동으로 할 수 있다. 개인을 비롯하여 법인, 공공기관, 에이전시, 기타 단체 등이 될 수 있다.

 

  • 프로세서 (Processor)

프로세서란 컨트롤러를 대신하여 개인정보를 처리하는 개인, 법인, 공공기관, 에이전시, 기타 단체를 의미하며 컨트롤러의 지시에 따라 개인정보를 처리해야 하며 컨트롤러는 반드시 구속력있는 서면 계약에 의해 프로세서를 지정해야 한다.

 

  • 개인정보관리책임자 (DPO, Data Protection Officer)

조직이 개인정보보호 관련 법률를 준수하고 개인정보보호 의무를 다하도록 조언 및 도움을 주는 역할을 한다. 내부직원 또는 외부인사로 지정할 수 있다.

 

5) 강화된 정보주체의 권리

GDPR에서는 정보주체의 권리 보장을 위해 8가지 권리를 명문화하고 있으며 기존 지침보다 삭제권, 개인정보 이동권, 자동화된 결정 등 3가지가 추가 및 강화되었다.

 

 

6) 기업의 책임성 강화

GDPR에서는 기업의 책임성(accountability) 강화를 위한 조항들을 명시하고 있는데 이전 지침에서 기업의 책임성은 암묵적인 요구사항이었으나 GDPR에서는 개인정보 처리에 대한 책임 준수와 그 입증을 구체적으로 요구하고 있다.

 

 

  1. GDPR 도입에 따른 국내외 업계 대응 현황

 

올해 GDPR 시행 첫날 호주 비영리단체인 NOYB(None of Your Business)는 GDPR과 관련하여 구글과 페이스북을 제소하였다. 이들 기업의 서비스 약관 동의 과정이 강요에 가깝다는 이유에서다. 이후 5월 28일에도 구글과 페이스북은 프랑스 디지털권리단체로부터 총 7개 서비스에 대해 제소당했다. 이에 구글과 페이스북은 GDPR과 관련된 사항을 자사 홈페이지에 명시하고 있으나, 준비가 부족했던 기업들은 임시로 EU 사용자 접속을 제한하거나 극단적으로 유럽연합에서 사업 철수를 하는 모습을 보이기도 하였다. 이처럼 디지털시대에 GDPR은 시행은 오늘날 거대 기업들의 운영패러다임 변화에 많은 영향을 주고 있다.

 

1) 국내 업계의 GDPR 대응현황

국내에서도 GDPR에 대응하기 위한 움직임이 활발하다. 코트라-무역협회는 지난 5월 공동으로 ‘유럽연합(EU) 일반개인정보보호법(GDPR) 대응전략 포럼’을 개최하였다. GDPR의 규제와 범위의 강도가 기존보다 강력함에도 불구하고 우리 기업의 이해와 준비가 미비하다는 판단에서 마련된 이번 세미나에서 GDPR의 주요 내용과 기업의 의무, 기업의 대응방안을 중심으로 풀어냈다. 더불어 우리 중소/중견기업과 스타트업이 이번 개인정보보호법에 대한 대응이 취약할 것으로 판단하고 복잡한 EU의 개인정보보호 요건을 알기 쉽게 설명하고 관련 내용을 전파, 피해를 최소화하도록 전담상담창구도 마련하였다.

 

한국인터넷진흥원(KISA)은 한국무역협회와 주한유럽상공회의소와 함께 개최한 포럼에서 GDPR 핵심내용 및 법적 쟁점, 국내 기업들의 대응 현황을 소개하고 개인정보보호 중요성이 전세계적으로 확산되고 있으므로 우리 기업들의 대책 마련이 필요함을 강조하며 우리 기업들이 GDPR에 보다 체계적으로 준비하고 대응할 수 있도록 지원하겠다고 밝혔다. 실제로 한국무역협회에서는 브뤼셀지부에 ‘GDPR 대응 지원센터’를 개소하여 유럽연합(EU)에 진출한 우리 기업의 GDPR 관련 애로해소에 본격 지원한다고 발표했다.

 

그리고, 한국CISO협회는 CISO포럼을 개최하여 GDPR의 실제 컨설팅 사례에 대해 발표, 정보보호최고책임자(CISO)들의 큰 관심을 가졌다. 발표자인 EY한영 파트너는 GDPR의 11가지 핵심사항을 고려해야 한다는 점을 강조하면서 △DPO 지정 및 개인정보보호 조직 수립 △개인정보영향평가 △국가 간 정보 전송 △개인정보 동의 △개인정보 처리활동 기록 △정보주체 권리보장 △협력업체 관리 △개인정보 보호와 정보유출 고지방안 수립 △행동강령 △GDPR 위반항목 관리 △프로파일링 등이다. GDPR 대응을 위한 단계별 방안으로는 △1단계: 대응기반 확보 △2단계: 관리체계 가동 △3단계: 관리체계 고도화를 제시했다.

 

 

 

더불어, 최근 IBM은 15개 산업군에 속한 조직 내부의 GDPR 대응 책임 임원 1,500명을 대상으로 한 연구에서 GDPR 시행에 온전히 대비할 수 있는 기업이 36%에 불과하다는 설문결과를 발표했다. 그러나 다수응답자가 GDPR이라는 규제 효과 자체는 긍정적으로 평가했으며 이 법제의 시행으로 조직의 보안, 프라이버시, 데이터관리 활동 전환의 기회로 보고 있었다. 이에 따라 적극적, 소극적 준비 기업들 모두 ‘성능과 효율 향상을 위한 데이터전략 통합’ 실행을 수행했다고 답했다. 이번 연구를 통해 IBM은 GDPR을 데이터관리 프로세스 정비기회로 바라보는 응답자가 많다고 평했다.

 

이처럼 GDPR은 기존의 지침과 달리 법적 규제라는 점, EU지역 외에 EU 시민권의 개인정보를 포함한다는 점, 위반 시 전세계 매출액의 4% 또는 2천만 유로까지의 과징금과 손해배상책임이 있다는 점에서 산업전반에서 대응방안을 마련하고 있다.

 

 

<표> 국내 업계의 GDPR 대응관련 세미나 등 행사 개최현황

날짜 주제 주최 장소
2018.05.28 EU 일반개인정보보호법(GDPR) 대응전략 포럼 산업통상자원부

코트라, 무역협회

코트라
2018.05.11 유럽 일반 개인정보보호법(GDPR) 가이드북 북콘서트 한국인터넷진흥원 서울교보빌딩
2018.04.11 EU 일반개인정보보호법(GDPR) 대응 포럼 한국인터넷진흥원, 한국무역협회, 주한유럽상공회의소 코엑스
2017.07.05 4차 산업혁명, EU GDPR 대응 개인정보보호 세미나 개인정보보호위원회
2018.06.29 아시아 각국의 GDPR 대응 현황 프라이버시글로벌엣지 2018
2018.04.27 우리기업을 위한 GDPR 대응 세미나 한국인터넷진흥원 서울청사
2018.05.31 개인정보보호 포럼 PIS페어
2018.03.23 GDPR 시대 우리 기업의 대응전략 보안GRC리더스포럼 한국정보보호산업협회 회의실

 

2) 구글의 GDPR 대응현황

 

구글은 자체 개발한 정보보호솔루션을 운영하고 파트너를 위한 웹사이트 지원, EU 데이터보호 당국과 긴밀한 협력 등 GDPR의 대응에 적극적인 노력을 기울이고 있다. 먼저 구글은 약관을 업데이트하고 개인정보를 처리할 경우 관리업체와 처리업체의 의무를 반영해 계약을 체결할 것이라고 밝히고 있다. 또한 조직에서 사용자의 투명성을 보호하고 GDPR에 의거 올바른 동의를 받았는지 이를 기록하기 위한 시스템을 갖췄는지 등에 대해 체크리스트를 마련하여 계속적으로 관리하겠다는 방침이다.

개인정보 보호에 있어서도 구글은 최신 기술 및 조직적인 보호장치를 구현하여 전담 보안팀과 개인정보보호팀의 지원 받고 있으며 이 프로그램은 매년 제3의 감시기관에서 심사를 받고 있다. 사고 시에도 고객정보와 관련된 사고 시 즉시 통지하며 사고관리프로그램을 연중무휴로 운영하고 있다.

 

 

3) 페이스북의 GDPR 대응현황

구글과 마찬가지로 페이스북도 자사 비즈니스 사이트 하위에 GDPR 관련 페이지를 개설하여 이를 준수하기 위한 자사의 노력과 준비를 공개하고 있다. GDPR에 대한 소개를 비롯하여 주요 법적 근거에서는 페이스북이 GDPR에 따라 법적으로 개인정보를 처리할 수 있는 이유를 상세하게 나열하고 있다. 또한, 사용자가 직접 관리가능하고 신뢰할 수 있는 시스템을 구축한다고 내세우고 있다.

또한 ‘비지니스를 위한 정보’에서는 페이스북 계열사와 함께 광고를 집행하는 비즈니스는 주용법적근거, 데이터관리자와 데이터처리자로서 페이스북, 전송, 워크플레이스 등의 순서로 설명하고 있다.

 

 

4) 네이버의 GDPR 대응현황

GDPR의 시행에 맞춰 네이버, 라인, 카카오 등 국내 대규모 IT기업들과 유럽법인을 보유한 삼성전자, LG전자, 넥스 등의 기업도 적극적인 대응에 나서도 있다. 이 중 네이버는 프라이버시센터를 개편하여 GDPR에 대한 기본정보를 비롯하여 인포그래픽, FAQ 등을 통해 자세히 설명하고 있으며 각종 행사를 통해 GDPR 설명회, 기업간담회, 워크숍 등 다양한 활동을 병행하고 있다. (privacy.naver.com)

 

 

 

  1. GDPRMICE산업

 

GDPR이 MICE산업에도 영향을 미칠까? 답은 ‘그렇다’이다. MICE산업 역시 그 개최지역이나 참가자가 GDPR이 적용되는 지역 또는 정보주체를 포함할 경우 예외가 아니다. 또한 GDPR위반에 대한 전문감시단체도 생겨나고 있기 때문에, MICE 행사를 기획하고 운영하는 시작부터 GDPR에 대해 숙지하고 개인정보 보안과 보호에 신경을 써야 한다.

 

1) MICE산업이 GDPR에 대비해야 하는 이유

MICE산업이 GDPR에 대비해야 하는 이유는 다음과 같이 정리할 수 있다.

첫째, GDPR의 준수는 단지 IT 부서의 문제가 아니라 마케팅과 행사기획자에게도 적용된다. 이 법은 EU내에서 개최하는 모든 행사에 적용될 뿐만 아니라 EU외의 지역이라도 EU시민들과 관련된 정보라면 포괄적으로 해당되기 때문이다.

둘째, 일반적으로 MICE산업은 등록, 어플리케이션, 설문조사 등을 통해 수집된 많은 양의 개인정보를 다룬다. GDPR이 적용되면 이런 개인정보 수집에 있어서 철저한 동의를 얻어야 하며 개인정보를 다른 협력업체와 공유하는데 신중해야 한다.

셋째, 행사를 통해 수집된 개인정보를 관리하고 보호하는데 행사기획자들에게 일차적인 책임이 있으며 정보관리를 위한 협력업체에게도 보안, 관리에 대해 철저하게 주지시켜야 한다. 이를 위반할 시 막대한 과징금과 손해배상의 책임이 따르게 된다.

 

특히, MICE 행사 개최 시 참가자 유치 및 홍보를 위해 데이터를 수집하는 경우 다음 사항을 지양해야 한다.

√ 사전 표시된 동의박스와 모호한 탈퇴가 명기된 등록신청서

√ 개인의 동의를 구하는데 있어서 적절한 프로세스와 시스템을 사용하지 않는 행위

√ 자유롭게 행사장과 참가자리스트, 연사, 등록자를 공유

√ 임시직 스태프 또는 외부기관과 개인정보를 공유

√ 안전하지 않은 스프레드시트를 메일링

√ 현장에 오지 않은 등록리스트를 방치

 

 

2) MICE 기획자들이 주의해야 할 GDPR 관련 주의사항

GDPR과 관련된 사항 중 MICE 행사기획자들의 주의해야 할 사항은 다음과 같이 정리할 수 있다.

 

① 동의(consent)

행사기획자들은 참관객의 정보를 습득하고 관리하는데 개인들의 동의가 필요하다. GDPR 하에서는 동의뿐만이 아니라 데이터가 어디에, 어떻게 쓰일 것인지에 대한 명확한 설명이 필요하다. 동의는 수동적이고 사전에 체크되어 있는 박스가 아닌 정보주체가 적극적이고 분명한 행동에 의해 이루어져야 한다.

 

② 개인정보 침해 통지지(Breach Notification)

>> GDPR에 신설된 사항 중에 ‘개인정보 침해 발생’과 관련하여 컨트롤러 또는 프로세서는 개인정보 침해 사실을 통지해야 할 의무 및 감독기구와 정보주체에게 통지해야 하는 사항들이 있다. 개인정보 침해 유형을 파악하고 72시간 이내에 침해받은 정보주체 및 개인정보 기록, 침해성격, 침해로 받을 수 있는 결과 등의 내용, 이에 대한 문서화 내부 절차를 사전에 준비해야 한다.

 

③ 데이터 열람 (Access)

행사참가자는 자신이 제공한 개인정보가 어떻게 처리되는지 열람할 수 있는 권리가 있고, 행사기획자는 행사참가자의 정보열람에 대한 요구가 있을 경우 알려줄 의무가 있다.

 

④ 삭제권 (Right to be forgotten)

‘잊혀질 권리’라고도 번역할 수 있는 삭제권은 GDPR 적용 대상인 EU 시민권자들이 언제든지 자신의 개인정보 삭제를 요청할 수 있을 뿐 아니라 비록 사전 동의에 의해서일지라도 제3의 기관과 자신의 정보를 공유하는 것을 원하지 않을 때 중단할 수 있는 것이다.

 

⑤ 정보 이동권 (Data Portability)

정보주체의 개인들은 자신들이 제공한 개인정보를 체계적으로 구성되고 일반적으로 사용되는 기계판독 가능한 형식으로 제공받거나 다른 컨트롤러에게 제공할 것을 요구할 권리가 있다.

 

⑥ 계획단계에서부터의 개인정보보호 (Privacy by Design)

GDPR은 기업이 모든 프로젝트의 초기단계에서부터 개인정보 보호 및 처리를 중요하게 고려하여 전체 프로젝트 라이프사이클 전반에 걸쳐 개인정보를 보호하는 것을 권장하고 있다.

 

⑦ 정보보안책임자(DPO, Data Protection Officers)

대량의 정보를 처리하거나 건강정보, 범죄정보 등을 다루는 기업들은 필수적으로 DPO를 보유하고 GDPR의 준수여부를 확인해야 한다. 이를 통해 내부 정보 보호 정책을 수시로 갱신해야 하며 개인정보보호에 대한 직원들의 인식을 고취하고 모든 정보보호활동에 대해 문서화하여 저장하여야 한다.

 

특히, 행사주최자들은 다음 사항들을 고려해야 한다.

 

행사주최자들은 개인정보를 안전하게 관리해야 함. 개인정보 열람에 30일 이내에 응답해야 함. 개인정보를 투명하고, 적절하고, 공정하고 인정된 방법으로 사용해야 함.
적절한 정보관리프로세스를 가지고 관리해야 함. 오류를 최소화하고 부정확성을 수정, 데이터 삭제하는 방법들을 가지고 있어야 함. 정보 탈퇴 요청 시 72시간 내에 처리해야 함.

 

□ 관광산업과 GDPR

사례1.

여행사 A가 여행상품 패키지를 구매한 고객 정보를 항공사 a, 호텔 b에 항공 및 호텔 예약을 위해 전달하고, 항공사와 호텔은 요청받은 좌석 및 객실에 대해 예약을 완료. 여행사는 고객에게 여행상품과 관련한 안내서류와 예약확인증을 발금.

여행사와 항공사, 그리고 호텔은 개인정보 처리에 있어 각기 다른 고유한 업무목적을 정하고 이행하며 그와 관련한 개인정보보호 책임을 부담하는 컨트롤러에 해당된다.

그런데 이들이 위와 같이 개별적으로 업무를 수행하는 것이 아니라 여행, 항공, 숙박을 결합한 형태의 인터넷 웹사이트를 공동으로 운영하고 개인정보를 공동으로 활용하며, 보호책임을 상호분배하는 형식으로 운영하는 경우 공동 컨트롤러(joint controller)에 해당될 수 있다.

 

3) 국제회의와 GDPR

국제회의 개최 시 GDPR과 관련된 몇 가지 이슈를 정리하면 다음과 같다.

 

국제행사 개최 시, 참가자, 연사, 후원자 등의 개인정보를 다른 협력업체와 공유하는 것이 문제가 될 수 있는가?

참가 등록신청서를 작성할 때, 필요한 정보와 정보수집 이유, 어떤 정보를 누구와 공유할 것인지에 대해 명확하고 구체적으로 그 내용을 공유하면 된다. 호텔, 행사장 이런 형태가 아니라 어떤 호텔인지 어떤 행사장인지 등 구체적으로 명기해야 한다.

 

현재 가지고 있는 이메일리스트와 데이터베이스 등을 사용할 수 있는가?

2018년 5월 이전, 즉 GDPR 시행되기 이전에 기존 메일링 리스트와 데이터베이스에 대해 사용가능여부에 대한 동의를 받아야 하며, 언제, 어떤 형태로 동의를 받았는지 증명할 수 있어야 한다. 모든 정보는 개별적으로 식별될 수 있는 것이 중요한데 필요시 정보주체가 열람하거나 삭제를 요구할 수 있기 때문이다. GDPR 시행으로 영국의 비즈니스마케팅 데이터베이스의 75%이상이 쓸모없게 되었다.

 

비즈니스 명함의 개인정보를 보유할 수 있나?

비즈니스 목적으로 개인정보를 얻었다면 그 정보를 가지고 있는 건 큰 문제가 아니다. 다만 그 정보를 마케팅이나 홍보를 목적으로 사용한다면 문제가 될 수 있다. 마찬가지로 만약에 시상식에서 비즈니스 명함을 통해 정보를 얻었다면 주최자는 그 정보가 다른 마케팅이나 홍보에 쓰일 수 있다는 것을 명기해야 한다. 그리고 해당 정보가 어떤 마케팅과 홍보활동에 사용되는지 명확해야 한다. 명함교환은 정보사용 가능에 대한 암묵적 동의이긴 하지만, 그러한 동의를 증명하는 데 어려움이 있다. 명확하게 하기 위해 카드스캐너나 명찰태그시스템 등을 활용하는 편이 좋다.

 

 

4) 전시회와 GDPR

전시회에서 개인정보는 2가지이다. 먼저 기업이 전시회 참가신청서를 제출할 때 수집하는 정보와 전시회 참관객이 전시회에 입장하기 위해 작성하는 소위 ‘등록신청서’이다. 둘 다 직접 종이에 쓰는 방식과 온라인에서 정보를 수집하는 방식이 있다. 참가업체가 전시주최자에게 제출하는 참가신청서는 전시주최자와 참가업체라는 기업 간의 계약일 경우 대부분은 개인정보의 범주를 벗어난다. 그러나 참관객의 등록신청서 작성은 전시회를 참관하고자 하는 개개인이 하는 행위이므로 개인정보로 간주할 수 있다. 그래서 국내 전시회이더라도 EU 시민권자가 바이어로 등록할 경우 GDPR의 적용을 받을 수 있다.

 

[전시회 참관객 등록신청서 내 개인정보처리방침]

 

 

  1. MICE산업에서의 GDPR 대응방안

아직 국내 MICE산업에서는 GDPR에 어떻게 대응해야 할 지에 대한 논의가 활발하지 않지만, 다음과 같은 사항을 유의할 필요가 있다.

 

첫째, 개인정보보호 변화를 인식하라.

무엇보다도 MICE 기업 또는 MICE팀 내에서 GDPR이라는 법안을 알고 인식을 공유할 필요가 있다. MICE 행사를 기획하는데 있어서 개인정보를 어떻게 수집하고 관리하는지 인식하고 GDPR 범위 하에서 개인정보를 어떻게 보호하고 관리할 것인지, 미준수 시에 어떤 제재가 있는지 등에 대해 조직 내에서 정보를 공유해야 한다.

 

둘째, 개인정보를 감시하라.

행사에 참가하는 참가자, 연사, 후원자 등에 대한 개인 정보를 식별하고 어떤 정보들을 어떤 형태로 수집하는지, 그 수집한 데이터가 내부 시스템에 어떻게 기록되는지 등에 대해 정확하게 파악하고 있어야 한다. 그 개인정보가 안전하고 철저하게 관리되는지 항상 감시하고 호텔, 항공, 관광 등 제3의 기관과 공유할 경우 적법한 절차 및 형태로 제공되는지를 점검해야 한다. 특히, 초기 등록신청을 받을 때 이런 개인정보들의 공유 또는 사용에 대해 정확하게 명기하지 않으면 이후에 개인정보를 공유하는데 문제가 발생할 수 있다. 따라서 GDPR 하에서 국제행사 개최 시 개인정보에 대해 어떻게 관리하고 문서화할 것인지 감사하고 통제하는 준비가 필요하다.

 

셋째, 개인정보보호 동의서 및 동의체크박스를 점검하라.

기존 개인정보보호 관련 지침 또는 법에 따르면 단지 어떤 정보를 모으고 그 정보를 어떻게 사용할 것인지에 대해서만 명기해주면 되었다. 그러나 GDPR 하에서는 왜 이러한 개인정보가 필요한지 명확하게 설명해야 하면 어떻게 처리할 것인지, 얼마나 데이터를 보유할 것인지, 개인정보의 삭제를 원할 때는 어떻게 하면 되는 등에 대해 명확하고 구체적이며 쉽게 설명해 놓아야 한다.

 

넷째, 정보에 대한 개인의 권리를 인식시켜야 한다.

GDPR 제정의 가장 큰 목적은 개인정보에 대한 정보주체인 개인들의 권리를 확장, 강화하는 것이다. 따라서 개인정보를 수집하고 처리하는 과정에서 정보주체인 참가자, 연사, 후원자들이 자신의 정보가 어떤 프로세스로 운영되고 저장되는지 어떻게 활용되는지에 대해 명확하게 인식하고 각 단계에서 가지는 여러 가지 개인정보보호 권리를 행사할 수 있는지를 아는 것이 중요하다.

 

다섯째, 개인정보 열람권에 대해 준비하라.

현재 개인정보보호지침에 따르면 자신의 개인정보를 요구하거나 그 요구에 따라야만 할 강제성을 갖고 있지 않다. 그러나 GDPR 하에서는 1개월 이내에 정보주체의 열람 요구에 대응해야 한다. 그러기 위해서는 예상하지 못한 비용이 발생할 수도 있고 열람을 거부할 경우 관리기구에 그 사유를 설명해야 한다. 따라서 기업들은 개인이 개별적으로 자신의 정보에 접근할 수 있도록 시스템을 구축하고 효율적으로 운영해야 한다.

 

여섯째, 미성년자 정보수집에 특별히 주의해야 한다.

미성년자의 기준은 ‘만 16세 미만의 아동’으로 이들에게 온라인 서비스를 제공할 시 ‘아동의 친권을 보유하는 자’의 동의를 얻어야 한다. 이런 사항에서는 정보주체에게 제공하는 정보를 간결하고 투명하며 이해하기 쉬운 언어로 작성해야 하는 의무를 가진다. 더불어 소위 ‘민감 정보’의 처리는 일반적으로 금지되나 정보주체의 ‘명시적 동의’가 있는 경우에 한해 제한적으로 처리가 허용되기도 한다. 민감 정보란 인종, 민족, 정치적 견해, 종교, 철학적 신념, 노동조합 가입여부 등을 나타내는 개인정보와 유전자 정보, 개인을 식별할 수 있는 생체정보, 건강정보, 성생활 및 성적 취향에 관한 정보이다. 특정 산업 및 분야 국제행사나 전시회에서 개인 체험을 위해 위의 정보가 수집되지 않는지 한번쯤 점검해봐야 한다.

 

일곱째, 개인정보 침해(breach)에 대해 대비하라.

GDPR 하에서는 기업이 개인정보 침해 발생 시 감독기구 및 정보주체에게 72시간 이내에 통지해야 하는데 이와 관련 개인정보 침해 유형을 파악하고 통지시기 및 방법, 내용 등에 관한 내부 절차를 사전에 마련해두어야 한다. 개인정보 침해는 개인정보의 파괴, 손실, 변경, 인가되지 않은 공개를 야기하는 보안 위반을 의미하며 개인정보 손실 그 이상이다. 개인정보의 침해가 개인의 권리와 자유에 관해 고위험을 초래할 가능성이 있는 경우 정보주체가 필요한 예방조치를 취할 수 있도록 해당 정보주체에게 직접 통지해야 한다. 그리고 이를 위반할 시 전세계 매출액의 2% 또는 최대 1천만 유로 중 더 높은 금액의 과징금이 부과된다.

 

여덟 번째, MICE 행사에서 수집된 개인정보를 안전하게 보관하라.

GDPR의 궁극적인 목표는 개인정보의 안전화이다. 다른 무엇보다도 개인정보를 안전하게 운영, 관리하고 프로젝트 설계 초기부터 개인정보를 어떻게 다룰 것인지 고민하고 계획해야 한다. 모든 행사를 기획하고 관리하는 전체적인 프로세스 상에서 개인정보를 ‘보호’하고 ‘안전’하게 관리하는 것을 항상 고민하고 생각해야 한다. 그리고 개인정보를 수집함에 있어서 필요없는 정보일 경우 굳이 요구할 필요는 없다. 보유하는 개인정보가 많아질수록 관리의 위험성도 높아지기 때문이다.

 

아홉 번째, GDPR전담팀/관리자를 구성하라.

필요 시, DPO와 같은 개인정보보호 관리자를 지정하여 GDPR 또는 개인정보보호법을 잘 준수하고 있는지, 분쟁이 생기 여지가 있는지 등을 사전에 점검하고 준비할 필요가 있다. 이제 개인정보의 문제는 IT 또는 시스템만의 문제가 아님을 알아야 한다.