디지털 광고는 얼마나 고객을 잘 알고 있는가에 따라서 결정이됩니다. 고객의 데이터가 많을 수록 고객이 원하는 바를 정확하게 알 수 있으며, 결국 자사의 도움이 되는 경로를 고객에게 제공할 수 있습니다. 하지만 GDPR의 시행으로 인해서 고객의 데이터 즉, 고객 개인정보를 활용하는 기업들에게는 주의가 필요해졌습니다. 이번 포스팅은 GDPR에 대해서 알아보겠습니다.
GDPR이란?
GDPR(General Data Protection Regulation)은 2018년 5월 25일부터 시행된 ‘유럽연합(EU)의 일반 개인 정보보호법’입니다. 아래는 GDPR의 사전적 용어입니다.
유럽 의회에서 유럽 시민들의 개인정보 보호를 강화하기 위해 만든 통합 규정.
GDPR의 주요 항목은, 사용자가 본인의 데이터 처리 관련 사항을 제공 받을 권리), 열람 요청 권리, 정정 요청 권리, 삭제 요청 권리, 처리 제한 요청 권리, 데이터 이동 권리, 처리 거부 요청 권리, 개인정보의 자동 프로파일링 및 활용에 대한 결정 권리 등이다.
@한국정보통신기술협회 정보통신용어사전
GDPR의 개인정보
기존의 개인을 식별할 수 있는 기본적인 정보는 이름, 주소, 사회보장번호, 전화번호였습니다. 하지만 GDPR에서 정의한 개인정보의 범위는 IP주소, 쿠키 데이터, 디바이스 ID 등이 포함되어 있습니다. 즉, 개인정보에 대한 정의가 확장되었고, 구체적이게 되었습니다.
- ‘개인정보’란 식별되었거나 또는 식별가능한 자연인(정보주체)과 관련된 모든 정보 의미
- ‘식별가능한 자연인’은 직접적 또는 간접적으로 식별될 수 있는 사람을 의미하며, 특히 이름, 식별번호, 위치정보, 온라인 식별자(online identifier) 등의 식별자를 참조하거나, 하나 또는 그 이상의 신체적․생리적․유전적․정신적․경제적․문화적 또는 사회적 정체성에 대한 사항들을 참조하여 식별할 수 있는 사람을 뜻함
GDPR의 특징
간략하게, GDPR의 특징에 대해 적용대상의 확대, 과징금 강화, 정보 주체 권리 강화, 개인정보 이전으로 총 4가지의 특징으로 알아보겠습니다.
- 적용대상의 확대
일반적으로 국가 내의 법률은 국가 내에서만 효력이 발휘됩니다. 하지만 GDPR의 경우, 유럽 연합에 속해있는 국민들을 대상으로 서비스하는 기업들은 GDPR의 조항들이 적용됩니다. 정리하자면, 유럽연합에 사업장을 가지고 있고, 사업장 내에 개인정보를 사용 및 처리하는 경우 또는 유럽연합의 국민에게 서비스를 제공하여 정보주체가 유럽연합 국민인 경우에는 모두 적용된다고 할 수 있습니다.
- 과징금 강화
GDPR 이후에, 개인정보 처리에 대한 제재가 강화되었습니다. 특히 강화된 과징금을 통해서 알 수 있습니다. 심각한 위반이라 판단되는 위반 행위에서는 연간 매출액의 4% 또는 2000만 유로(한 화 약 260억원)중 더 높은 금액을 과징금으로 부과합니다. 또한 일반 위반 행위 시에는 연간 매출의 2% 또는 1000만 유로(한화 약 130억원) 중 더 높은 금액을 과징금으로 부과합니다.
- 정보주체의 권리
개인정보를 제공하는 주체인 정보주체의 권리가 강화되었습니다. 특히 삭제권, 개인정보 이동권, 자동화된 결정 및 프로파일링을 주목해서 살펴보겠습니다. 삭제권은 정보주체가 자신의 개인정보를 보유한 처리자를 상대로 삭제를 요청할 수 있습니다. 개인정보 이동권은 정보주체가 개인정보를 다른 서비스에 사용할 수 있도록 개인정보의 이동을 요구하는 권리입니다. 자동화된 결정 및 프로파일링은 정보주체의 자동화 방식으로 측정된 개인적 측면에 대한 결정이 있는 경우, 그 결정에 적용을 받지 않거나 반대할 수 있는 권리입니다.
- 개인정보 이전
GDPR에서는 개인정보의 이전에 따른 조항 또한 포함되어 있습니다. 유럽현합 내에서는 개인정보의 자유로운 이전이 가능하나, 유럽연합 이외의 제 3국, 국제기구로의 이전은 이전되는 국가 및 기구에서 GDPR을 규정을 준수하는 경우에만 이전이 가능합니다. 개인정보 이전에 따른 적절성, 보호조치 등을 두어 안정한 개인정보 이전을 보장합니다.
앞서 언급한 내용 이외에도 GDRP의 주요 특징 및 변화가 있습니다. 아래 그림은 앞서 언급한 내용을 포함하여 GDPR의 주요 변화에 대해서 전반적으로 보여준 표입니다.

결국 광고 시장에서 GDPR이란?
앞서 언급한 것처럼 유럽연합 내의 국민의 개인정보를 활용하는 모든 서비스를 제공하는 기업들은 모두 GDPR을 준수해야합니다. 타겟팅 광고를 하는 광고 플랫폼 기업들은 사용자의 쿠키 데이터, ID, 기기 등을 수집하여 그에 맞는 광고를 노출시키기 때문에 GDPR 준수 대상이됩니다. 그렇기 때문에 많은 광고 관련 기업(퍼플리셔, DMP, 등)들은 개인 정보 방침을 업데이트 하고, 동의를 위한 문서를 구체적으로 만드는 등의 GDPR에 맞추어 투자를 지속적으로 진행하고 있습니다. 결론적으로, 광고 시장에서 고객의 데이터를 얼마나 많은량을 가지고 있는지에 대한 것은 과거의 것이 되었습니다. 이제는 고객의 데이터를 얼마나 수집하여, 어떻게 보호하고, 보안을 하는지가 광고 시장의 중요한 요소로 떠올랐습니다.
※ 참고자료
- 『GDPR의 의미부터 국내 대응현황까지, 핵심 간단 정리』 (Mobvista)
- 『[모비랩의 테크인사이드] 마케터라면 필수적으로 알아야 할 ‘GDPR(일반 정보 보호 규정)’ 이해』(MOBIINSIDE)
- 『우리기업을 위한 ‘유럽 일반 개인정보 보호법’ 안내서』(행정자치부, 한국인터넷진흥원, 2017.04)
By CLABIT