▲ 디지털 ID 산업의 발전 전략 [출처=iNIS]
세계 최대 경제공동체인 유럽연합(EU)은 2016년 개인정보보호규정(General Data Protection Regulation, GDPR)을 제정했다. EU 소속 국가의 데이터 프라이버시법을 통일시키기 위해 2018년 5월25일부터 적용하고 있다.

먼저 GDPR의 원칙은 개인 데이타의 처리에 관한 원칙, 처리의 법칙, 동의의 조건, 정보사회서비스에 대한 어린이의 동의에 적용하는 조건, 개인 데이터의 특별 범주에 대한 처리, 범죄 확신과 위반에 대한 개인 데이터의 처리, 신원이 요구되지 않는 처리 등이 있다.

둘째, 데이터 주체의 권리는 투명성과 양상, 개인 데이터에 대한 정보와 접근, 수정과 말소, 목표와 자동화된 개인 의사결정에 대한 권리, 제한 등으로 구성돼 있다.

셋째, 통제자와 처리자는 일반 의무, 개인 데이터의 보안, 데이터 보호 영향 평가 및 사전 상담, 데이터 보호관, 실행과 인증의 규정 등으로 다양하다.

넷째, 제3국이나 국제기구에게 개인 데이터의 이전은  이전을 위한 일반 원칙, 적절한 결정의 기초에 기반한 이전, 적절한 안전 장치에 근거한 이전, 기업 원칙의 준수, 노동법의 승인을 받지 않은 이전이나 공개, 특수 상황에 의한 위반, 개인 데이터의 보호를 위한 국제 협력 등이 해당된다.

다섯째, 독립감시기구는 독립의 상태, 감독기관, 독립, 감독기관 구성원을 위한 일반 조건, 감독기관의 구축에 대한 원칙, 감독기관을 이끌기 위한 우수성,, 임무, 권력, 활동 보고서 등을 고려한다.

여섯째, 협력과 일관성은 협력, 주도적인 감독기관과 다른 감독기관의 협력, 상호 원조, 감독기관들의 연합 운용, 일관성 체계, 위원회의 의견, 위원회의 이견 해결, 위기 절차, 정보의 교환, 유럽 데이터 보호 위원회, 위원회의 독립성, 위원회의 임무, 위원회의 운영 절차, 비밀성 등으로 보장한다.

일곱째, 해결책, 법적 책임, 벌칙은 감독기관에 대한 불만을 해결할 권리, 감독기관에 반대해 효과적인 법적 조치를 받을 권리, 감독자와 처리자에 반대해 효과적인 법적 조치를 받을 권리, 데이터 주체의 대변, 처리의 연기, 보상과 법적책임에 대한 권리, 행정 벌금을 부과하는 일반 조건, 벌금 등이다.

여덟째, 특수한 처리 상황에 관련된 준비는 표현과 정보의 처리와 자유, 공식 문서에 대한 처리와 공적 접근, 구가 신원 번호의 처리, 고용 문서의 처리, 비밀의 준수, 교회와 종교 협회의 기존 데이터 보호 원칙 등으로 정리된다.

EU 소속 국민의 개인 데이터를 이용하는 모든 단체나 기업은 개인정보보호규정을 따라야 한다. 외국 기업이라고 해도 예외는 아니므로 법에서 규제하는 내용을 지키기 위해서라도 관련 법을 철저하게 연구할 필요가 있다.