본문

마케터라면 꼭 알아야 할 GDPR 기초

날짜 : 18-06-14 11:28
작성자 : 오라클디지털

지난 달 25일 유럽 연합의 개인정보 보호법 (GDPR)이 시행되었습니다. GDPR(General Data Protection Regulation)이란 유럽 내 개인정보의 흐름을 표준화하고 보호를 강화하기 위한 새로운 개인정보보호법으로 유럽연합 시민의 데이터를 활용할 경우 GDPR에서 요구하는 몇 가지 규정을 준수해야만 한다는 강행규정 입니다.  전문가들은 ‘인터넷이 생긴 이래 가장 강력한 개인정보보호규정’이라는 평가를 내리고 있는데요 EU 내 거주자의 개인정보를 처리하는 기업이라면 전 세계 어디에 있건 상관없이 적용되므로, EU 외부에 있는 기업이라도 GDPR 위반이 문제될 수 있습니다. 실제로 GDPR 시행 직후 오스트리아의 개인정보보호단체 noyb.eu는 구글, 페이스북, 인스타그램, 왓츠앱과 같은 글로벌 기업들이 “서비스를 이용하기 위해서는 개인정보 수집 및 사용에 무조건 동의할 수밖에 없도록 강제하고 있다”고 주장하며 GDPR 위반사실에 대한 소송을 제기했습니다. 만일 이 글로벌 기업들이 GDPR 위반했다는 사실이 인정된다면 이들 기업은 최대 매출액의 4%, 2000만 유로 중 더 큰 금액의 과징금 폭탄을 맞게 됩니다. 이처럼 강력한 GDPR에 미처 대비하지 못한 기업들은 일시적으로 EU 지역에서의 서비스를 중단하거나, 극단적으로는 EU 지역에서 철수까지 진행하고 있습니다.  

87c0ad9b283904c0837d8ce588b13afb_1528942937_8395.jpg

사실 우리가 어떤 웹 사이트 하나에 가입하게 되면 ‘개인정보 수집 및 활용’ 에 대한 동의 과정은 거의 무조건적으로 ‘동의’에 체크하는 것이 당연히 여겨졌고, 이후 나의 개인정보는 어디서 어떻게 쓰이는지 크게 관심을 두지 않았었습니다. 그러나 GDPR 시행을 기점으로 우리나라에도 이렇게 무조건적으로 동의할 수 밖에 없었던 환경이 바뀌리라 봅니다. 데이터는 이제 석유보다 중요한 기업의 자산이 되었고 개인이 이를 지키고, 기업이 이 자산을 소중히 다루는 것이 GDPR의 시작이라 보기 때문입니다.  

오늘은 GDPR이 영향을 미치는 다양한 영역 중 마케팅 측면을 살펴보려고 합니다. 기업에서 이메일 마케팅, 위치기반 마케팅을 수행하는 담당자라면 어떠한 형식으로든 고객의 개인정보에 대한 데이터를 가지고 있습니다. 마케팅 담당자들은 그것을 어떻게 수집했는지(직접 동의를 받아 수집한 것인지, 외부 기관에서 구입한 것인지)에 관계 없이 어떻게 그것을 활용할 것인지에 집중해 왔습니다. 그런데 만일 어떠한 기관이나 단체에서 “당신들 내 정보를 무단으로 수집했으니 GDPR에 의거하여 소송을 하겠다” 라고 한다면 마케팅 담당자들은 어떤 대응을 해야 할까요? 또, 이러한 소송에 휘말리지 않으려면 미리 어떤 준비를 해야 할까요? 지금부터 마케팅 담당자에게 필요한 GDPR의 기초인 고객 데이터의 수집, 관리, 보호 세가지 측면에 대한 준비사항을 알아보도록 하겠습니다. 

87c0ad9b283904c0837d8ce588b13afb_1528942967_1521.jpg

마케팅 담당자, 고객 개인정보 수집을 어떻게 해야 할까?

GDPR 제 7조를 보면 “정보의 처리에 동의가 필요할 경우, 관리자는 정보 주체로부터 개인 정보의 처리에 대한 동의를 얻었음을 입증할 수 있어야 한다” 고 명시해 두었습니다. 다시 말해, 어떻게 개인정보를 수집했는지, 어떻게 동의를 받았는지에 대해 명확한 근거를 가지고 있어야 합니다.  그리고 고객에게 어떠한 이유로 개인정보를 수집하는지 확실한 정보를 제공해야 하며, 그 정보를 바탕으로 고객 스스로가 자신의 정보를 공유할 지 선택할 수 있도록 해야 합니다. 

고객 동의를 얻어 수집한 데이터가 아니라 외부에서 구입한 고객의 정보를 활용하고 있다면 법률 전문가와의 상담을 통해 GDPR 통지 규정을 준수하는지 확인하는 것이 좋습니다. 

87c0ad9b283904c0837d8ce588b13afb_1528943032_4992.jpg

고객이 개인정보 삭제를 요청해 온다면? 고객 정보 관리는 어떻게 해야 할까?  

마케팅 담당자들은 정보수집의 동의, 통지뿐 아니라 GDPR에 의거한 정보주체의 결정 권한도 고려해야 합니다. 즉 고객의 요청에 따라 개인 정보를 수정하고 삭제하는 것에서 주체가 ‘고객’이 된다는 점을 잊지 말아야 합니다. 또한 모든 데이터의 주체는 ‘고객’ 이 되므로 고객이 개인정보의 사본을 요청했을 때 마케팅 담당자는 규정에 따라 빠른 시일 내에 이를 이행해야 할 의무를 지닙니다. 

GDPR에는 ‘정보이동권’ 이라는 것이 존재하는데요, 이것은 우리나라에는 없던 권리이기 때문에 더욱 잘 알아둘 필요가 있습니다. 예를 들어 고객이 네이버에 연락하여 ‘나의 개인정보를 다음으로 이전하고 네이버에 남아있는 나의 데이터를 삭제해 달라’ 라고 요구했을 때 적법한 절차에 따라 이전을 수행해 줄 수 있어야 합니다. 이는 단순히 정보의 이관에 대한 문제를 넘어 사용자가 본인의 개인정보를 잘 관리하고 있지 않다고 생각하는 기업에게는 정보를 주지 않을 수 있는 권리를 부여하는 것으로, 기업이 데이터 관리를 철저히 하지 않는 경우 고객을 놓칠 수도 있다는 뜻이 될 수 있으므로 마케팅 담당자들은 이를 더욱 유념해야 할 것입니다. 

지금은 GDPR의 시행 초기 단계이고, 개인이 기업에게 개인정보에 대한 수정, 삭제, 이관에 대한 요청을 하는 것이 매우 드문 일이지만 GDPR이 정착되고 개인정보 보호 문화가 자리잡는다면 앞으로는 과징금 문제 이외에도 개인의 요구를 처리를 위해서라도 기업 마케팅 담당자는 개인정보 규정에 대한 기본을 이해하고 있어야 합니다. 

87c0ad9b283904c0837d8ce588b13afb_1528943066_3691.jpg

GDPR, 개인정보 보호에 대한 기술적 규정도 정해놓고 있을까?  

GDPR 제 32조에 따르면 관리자와 정보처리 담당자는 적절한 기술적, 조직적 조치를 시행하여 리스크에 적합한 수준의 보안을 확보해야 한다 라고 규정해 두었습니다. 그러나 특정 기술을 이용해야 한다거나 보안통제를 취하도록 강제하지는 않는 가치 중립적 입장입니다. 하지만 개인정보 보안 위반의 잠재적 위험을 최소화 하기 위한 지침 정도는 제공하고 있습니다. 그 지침은 

- 개인정보의 익명화 및 암호화

- 정보처리 시스템의 지속적인 기밀성, 무결성, 가용성, 탄력성 확보

- 개인 정보에 대한 접근권 통제 

- 물리적/기술적 사고 발생 시 개인 정보의 가용성과 접근권 복구 

- 기술적/조직적 보안 조치에 대한 정기적인 검사, 진단 및 평가 

즉 GDPR은 특정 기술을 가져야 한다는 강제성은 없으나 개인정보가 악용될 수 없도록 물리적 측면에서 대비하라는 메시지를 전달하고 있습니다. 

87c0ad9b283904c0837d8ce588b13afb_1528943101_1274.jpg

GDPR이 어렵다면, 안전하게 준비된 마케팅 솔루션을 사용하는 것도 도움이 돼 

앞으로 마케팅 담당자는 고객이 충분한 정보를 바탕으로 개인 정보 사용 여부를 결정할 수 있도록 하는 메커니즘을 도입해야 합니다. 그러나 이런 매커니즘을 하나 하나 고려하는 것은 매우 어려운 일이 될 수 있죠. Oracle Marketing Cloud는 마케팅 담당자의 편의를 제공하고 고객 데이터에 대한 GDPR 준수를 위해 개인 정보 보안 기능이 탑재된 솔루션을 제공합니다. Oracle Marketing Cloud는 다양한 플랫폼과 채널 상의 개인 정보를 수집하며, 트리거 기반 채널 간 프로그램이 백그라운드에서 계속적으로 샐행됩니다. 이를 활용하여 정보 수집 시점에 정보 처리 이용 목적과 관련한 정보를 제공할 수 있죠. 또한 클라우드 기반 솔루션으로 대규모의 개별 맞춤형 고객경험을 제공할 수 있습니다. 누군가가 홈페이지에 방문하거나, 온라인 상의 양식을 제출하거나, 다양한 소셜 미디어 채널을 통해 개인 정보를 공유하게 될 때, 융통성 있는 관리 시스템을 제공할 수 있습니다. 또한 비즈니스 요구에 따라 가변적으로 개인정보에 관한 사항을 충족할 수 있도록 환경을 설정 할 수 있습니다.

Oracle Marketing Cloud는 대량의 개인 정보 발송 기능을 지닌 오픈 플랫폼을 개발하기 위해 막대한 투자를 진행했습니다. 마케팅 부서는 현대적인 API와 강력한 SFTP 매커니즘을 포함하는 포괄적인 확장성 기능에 접근하여 안전하면서도 확장성 있는 방식으로 개인정보를 전달할 수 있게 됩니다. 또한 고객 개인 정보 요청에 손쉽게 대응할 수 있는 직관적인 툴도 함께 제공하고 있습니다. 

클라우드 솔루션을 이용하고자 하는 기업이 가장 크게 고려하는 부분은 바로 고객 데이터에 보안에 관한 걱정인데요. 오라클은 데이터 센터 전반의 정보보안 대책에 대규모 투자를 하였습니다. 오라클이 합리적인 가격을 제공하면서도 타 클라우드 솔루션 제공 업체들과 차별화된 기능도 바로 이 개인 정보의 보안 관련 부분입니다. 암호화, 데이터 마스킹, 해싱 등 다양한 기능을 포함하고 클라우드 내의 개인정보를 안전하게 보호하도록 설계되었습니다. 실제로 대사관 급 보안을 자랑하는 것이 바로 오라클 클라우드 솔루션의 보안입니다. 

87c0ad9b283904c0837d8ce588b13afb_1528943134_1199.jpg

GDPR 단순한 규정이 아닌 문화로 정착될 수 있어 

개인정보보호의 패러다임을 바꿀 GDPR 시행으로 많은 기업들은 GDPR 대응에 바쁜 나날을 보내고 있습니다. 우리나라에도 개인정보 보호법과 정보통신망 보호법 등으로 개인정보를 보호하고 있지만 GDPR의 시행은 앞으로 국제 사회에 개인정보 보호가 기업 윤리의 기본 사항이 될 수 있음을 알려주는 시작이자 문화로 정착될 수 있는 첫 걸음이 될 수 있다고 전문가들은 말합니다. 중소, 중견기업, 스타트업의 경우 기업 내부에서 GDPR을 대응할 인력이 부족하다고 해서 지레 겁을 먹기 보다는 관련 정보에 대한 철저한 이해를 바탕으로 이를 장기적으로 해결할 수 있는 마케팅 솔루션을 찾는 것이 큰 도움이 되리라 봅니다. 또한 GDPR 시행을 바탕으로 기업의 소중한 자산으로 쓰이는 고객 개인정보의 관리와 보호에 어느 정도 관심을 두었는지 스스로 반성해 볼 수 있는 기회가 되었기 바랍니다.  

오라클의 개인 정보 & 보안 정책에 대한 문의, 또는 GDPR 니즈 대응에 도움이 될 수 있는 서비스 옵션에 대한 추가 적인 문의 사항이 있으실 경우 이곳을 클릭해 주세요. 오라클 마케팅 클라우드 전문가가 도움을 드립니다. 


<함께 보면 좋은 글> 

87c0ad9b283904c0837d8ce588b13afb_1528943191_0821.JPG

댓글목록

이재구님의 댓글

이재구  

좋은 정보 감사합니다