데이터 개인 정보 보호: 잘못된 정보를 얻는 비용

게시 됨: 2022-10-12

유럽의 일반 데이터 보호 규정(GDPR)이 2018년 5월에 발효되었을 때 소비자를 더 많이 보호할 수 있는 차세대 데이터 개인 정보 보호법의 기반을 마련했습니다. 명확한 동의, 데이터 최소화, 목적의 제한 및 반대할 권리와 같은 핵심 원칙은 확립된 데이터 모범 사례를 법률로 효과적으로 작성했습니다.

그 이후로 GDPR 스타일의 개인정보 보호법이 전 세계적으로 채택되었습니다. 캘리포니아 CCPA는 다른 많은 주(콜로라도, 코네티컷, 유타, 버지니아)를 따르거나 진행 중인(미시간, 뉴저지, 오하이오, 펜실베니아) 미국에서 공을 들였습니다. 전 세계적으로 브라질에서는 LGPD가, 중국에서는 PIPL이 도입되는 것을 목격했습니다.

데이터 컨트롤러와 데이터 프로세서가 현재 직면한 문제는 모호성입니다. 즉, 이 새로운 법안의 핵심 조항이 실제로 의미하는 바는 무엇입니까? 종종 그들은 그들의 진정한 의도를 명확히 하고 법적 판례를 확립하기 위해 법정에서 시험을 받아야 합니다. 이것은 현재 유럽에서 일어나고 있으며, 다른 지역의 실무자들은 이러한 사례에서 배우고 자국에서 문제가 발생하기 전에 결과를 적용할 수 있습니다.

유럽은 데이터 개인 정보 보호를 단속하고 있습니다

유럽 ​​규제 당국은 2022년에 분명히 이를 드러내고 있습니다.

안면 인식 회사인 Clearview AI는 생체 인식 및 지리적 위치 개인 데이터의 불법 처리로 이탈리아 데이터 보호 기관으로부터 2천만 유로 , 영국 ICO(Information Commissioner's Office)로부터 9백만 유로의 벌금을 부과받았습니다.

아일랜드 규제 기관은 적절한 기술 및 조직적 조치를 취하지 않은 이유로 Meta(Facebook)에 1,700만 유로 를 부과했습니다.

스페인에서 Google은 사용자가 제3자에게 콘텐츠 삭제 요청을 전송하도록 강요한 혐의로 1천만 유로 의 벌금을 부과받았습니다.

가장 최근에는 플랫폼을 사용하는 동안 어린이의 개인 정보를 보호하지 못한 결과 TikTok이 영국 데이터 보호법 위반 가능성에 따라 2,700만 파운드 의 벌금에 처할 수 있습니다.

이러한 사례를 통해 진행되는 공통 주제는 "합법성, 공정성 및 투명성"의 핵심 원칙입니다. 즉, 기업은 개인 데이터가 처리되는 방식에 대해 개인에게 명확해야 하며 이를 위한 적절한 법적 근거가 설정되어 있어야 합니다.

영국에서는 2022년 시행 조치가 주로 마케팅 메시지의 무단 전송에 중점을 두었습니다. GDPR과 같은 새로운 데이터 개인 정보 보호법은 마케팅 활동을 포함한 개인 데이터 처리에 대한 법적 근거(일반적으로 동의 또는 정당한 이익)를 요구합니다.

최근 사례*는 이 요구 사항이 여전히 명확하게 이해되지 않았음을 보여줍니다(또는 의도적으로 무시되었습니다!):

  • Finance Giant Ltd( £60,000 ): 확인된 총 505,759개의 원치 않는 다이렉트 마케팅 메시지 전송을 선동했습니다.
  • Bizfella Limited( £30,000 ): 224,550개의 원치 않는 직접 마케팅 SMS 메시지 전송을 선동했습니다.
  • H&L Business Consulting Limited ( £80,000 ): 직접 마케팅 목적으로 451,705개의 원치 않는 SMS 메시지 전송을 선동했습니다.

*독자는 ICO 웹사이트에서 모든 판단에 대한 전문을 얻을 수 있으며 ICO의 "시행 조치" 뉴스레터 수신을 신청할 수도 있습니다.

소비자는 자신의 데이터가 어떻게 사용되는지 알고 싶어 합니다.

이 모든 사례(및 기타 사례)를 관통하는 중요한 주제는 원래 소비자 불만에 의해 밝혀졌다는 것입니다. 소비자는 이제 자신의 데이터 개인 정보 보호 권리를 더 잘 이해하고 개인 데이터가 오용되고 있다고 생각하는 경우 이러한 권리를 행사할 준비가 되어 있습니다.

소비자 데이터를 처리할 때 다음 사항을 기억하는 것이 중요합니다.

  • 유효한 동의를 얻으려면 개인에게 진정한 선택과 통제권이 주어져야 합니다.
  • 개인은 마케팅 메시지를 수신할 것임을 명시적으로 알려야 합니다.
  • 동의는 발신자의 다른 개인 정보 보호 정책 및/또는 이용 약관과 분리되어야 합니다.
  • 간접 동의는 충분히 명확하고 구체적인 경우에만 유효할 수 있습니다.
  • 개인이 연락처 정보 사용을 거부할 수 있는 간단한 수단이 있어야 합니다.

일부 기업은 다른 개인 정보 보호 함정에 빠졌습니다.

새로운 CRM 시스템으로 마이그레이션한 후 Reed Online은 이전에 구독을 취소/제외한 고객에게 의도하지 않게 마케팅 이메일을 예약했습니다.

Tuckers Solicitors는 랜섬웨어 공격을 경험하여 개인 데이터 침해가 발생했습니다. ICO는 회사가 적절한 기술 및 조직적 조치를 이행하지 않아 공격에 취약하다고 판결했습니다.

영국 정부 내각부는 2020년 신년상 수상자의 우편 주소를 온라인에 공개했는데, 이는 사람들의 정보가 무단으로 공개되는 것을 방지하는 데 실패했습니다.

많은 데이터 개인 정보 보호 사건이 헤드라인을 장식하지 않습니다.

세간의 이목을 끄는 침해 사고가 헤드라인을 장식하지만 많은 사건이 훨씬 더 일상적입니다.

ICO는 분기별 데이터 보안 보고서를 발행하며 다음과 같은 가장 최근의 "비사이버"(즉, 자해) 문제가 포함됩니다.

  • 잘못된 수신자에게 이메일로 전송된 데이터( 22% )
  • 무단 액세스( 14% )
  • 잘못된 수신자에게 게시되거나 팩스로 전송된 데이터( 13% )
  • 안전하지 않은 위치에 남겨진 문서 또는 데이터의 분실/도난( 8% )
  • 수정 실패( 6% )

이러한 경향은 주로 인적 오류 및/또는 부적절한 교육을 가리키며 강력한 프로세스가 규정 미준수 기회를 최소화하는 "프라이버시 바이 디자인" 관행을 구현하는 데 찬성하는 설득력 있는 주장을 제시합니다.

이론적으로 부과될 수 있는 "전 세계 수익의 4%" 벌금이 실제로 발생하지 않을 것이라는 말은 아니지만 실제로는 아직 보고 있지 않습니다. 제안된 대로 British Airways(BA) 벌금은 Covid-19 위기가 BA 재정에 미치는 영향을 포함하여 다양한 완화 요인으로 인해 감액되기 전에 근접했습니다. 어떤 기업도 개인 정보 침해를 처리하고 싶어하지 않지만 다음과 같이 개인 정보 침해가 발생할 경우 고려되는 완화 요소가 있습니다.

  • 최초 침해 여부
  • 침해의 심각성
  • 고의든 우발적이든
  • 감독당국에 사전 통보
  • 데이터 주체에 대한 영향을 줄이기 위해 취한 조치

규제 기관은 일반적으로 무엇이 잘못되었는지 투명하게 밝히고, 조사를 지원하는 데 협력하고, 재발을 방지하기 위한 조치를 신속하게 취하는 기업에 대해 더 관대할 것입니다.

이것은 시작에 불과합니다…

이 주제에 대해 할 말이 너무 많습니다. 전 세계의 데이터 개인정보 보호법에 대해 자세히 알고 싶으십니까? 글로벌 개인정보 보호법 및 규정 준수 가이드를 확인하십시오.

가이드 다운로드