Breaking
국제 범죄(International Conflict)
영국 학교, 적절한 GDPR 규정 준수하고 있나?
2019-06-26 18:29:55
김지연
▲조사 결과 수많은 기관과 개인이 GDPR 법에 의해 보호받지 못하고 있다는 사실이 밝혀졌다(사진=ⓒ플리커)

[라이헨바흐=김지연 기자] 최근 영국 학회 및 대학 리더 연합회(ASCL)가 조사 발표한 바에 따으면, 유럽의 개인정보 보호 규정(GDPR)이 시행되고 있는데도 불구하고 영국 내 많은 기관과 개인이 이 법에 의해 보호받지 못하고 있다고 한다.

이에 대해 의문이 생기는 것도 어쩔 수 없다. 교육 기관은 발효된지 어느 정도 시간이 지난 GDPR 법의 요구 사항 및 결과를 인지하고 재학생들을 보호하기 위해 이 규정을 준수하고 있는가?

일반적인 조사 결과에 따르면, 이 질문에 대한 답은 '아니오'다. 그러다 보니 GDPR이 적용되는 학교 및 기타 교육 기관이 필요한 요구 사항을 준수하고 해당 인물들, 이 경우에는 학생들의 개인 데이터를 올바르게 처리하는지 궁금해하는 것은 매우 합리적인 결과다.

GDPR 법은 지난 해부터 발효됐고 2018년 중반 즈음에는 대대적으로 영향력을 미치기 시작했다. 이와 함께 규제에 대한 의견 차이가 분분해졌다. 아무튼 조직이 EU 내 거주자의 개인 정보를 계속해서 처리 및 모니터링하는 한 GDPR 법의 효력은 유지된다.

영국 학교들은 GDPR 법을 잊었나?

학교와 교육 기관은 학생 및 교직원들의 데이터를 관리한다. 이에 대한 책임을 지기 위해 GDPR 법을 준수해야 한다. 이외에도 각 학교는 영국의 데이터 보호법(DPA) 2018을 준수한다.

DPA와 GDPR은 동시에 시행됐는데, DPA는 브렉시트의 파급 효과이기도 하다. 그러나 DPA가 구현됐다고 해서 GDPR 법의 효력이 저해된다는 뜻은 아니다. 사실 DPA는 GDPR 법의 요구 사항이 영국 내에서 강력하게 부과되도록 돕는다. 또 DPA는 영국이 EU를 떠나더라도 높은 수준의 데이터 보호법을 유지할 수 있도록 만든다.

▲각 학교는 학생 및 교직원들의 데이터를 위임받기 때문에 GDPR을 준수해야 한다(사진=ⓒ위키미디어 커먼즈)

DPA에 관한 문제의 핵심이 다른 곳으로 옮겨가면서 영국 내 기관과 거주자들은 GDPR의 존재를 과소평가하고 있는 것으로 보인다. 이들에게는 브렉시트가 현재 가장 중요한 문제이며, 이로 인해 상당한 혼란에 빠져 있기 때문이다. 또 어떤 식으로든 브렉시트가 결정된다면 영국은 자체적인 데이터 보호 조치를 마련해야 한다. 이런 상황 속에서도 조직은 GDPR이든 DPA든 상관 없이 현재 시행되고 있는 규정은 계속해서 준수해야 한다. 사이버 위협은 어느 기관에나 존재하며, 특히 교육 기관은 학생들을 보호해야 할 책임을 지고 있다.

 

영국 학교에서 GDPR 규정 준수 결정

영국 학교가 GDPR을 제대로 준수하지 못하는 또 다른 이유는 예산과 리소스 제한 때문이다. 모든 교육 기관이 학생과 직원들의 개인 데이터를 보호하기 위해 정보 보안 부서에 높은 예산을 할당할 수 있는 것은 아니다.

또 학생들은 각자 조직이 추적할 수 없는 수많은 개인 정보를 이용하고 있다. 따라서 조직이 자신들이 보호해야 할 데이터를 판단하려면 심층적인 평가가 필요하다. 학교가 견고한 데이터 보안 프로토콜을 갖추려면 주의해야 할 몇 가지 요소가 있다.

우선 다른 모든 단체와 마찬가지로 학교는 개인의 허락없이 다른 사람들의 개인 정보를 수집할 수 없기 때문에 학생들의 동의를 구해야 한다. 그러나 학생들이 법적으로 이에 동의할 수 없기 때문에 부모나 보호자가 대신 동의한다. 그런데 부모나 보호자는 이에 동의하기 전에 먼저 해당 학생에 대한 법적 자격이 있는지를 증명해야 한다. 또 상담 서비스는 부모나 보호자가 아닌 학생에게 직접 제공된다.

▲영국 학교들이 GDPR을 제대로 준수하지 못하는 이유는 예산과 리소스 제한 때문이다(사진=ⓒ맥스픽셀)

둘째로 GDPR 정책은 학생들이 쉽게 이해할 수 있는 방식으로 작성돼야 한다. 학생들은 나이 등에 따라 언어에 대한 이해도가 떨어지기 때문에 어린 학생들도 이 내용을 이해할 수 있어야 한다.

또 학교에서 학생들에게 제공하는 온라인 서비스는 규제가 잘 돼야 한다. 특히 어린 학생이 이용할 수 없는 콘텐츠가 학생들에게 제공돼서는 안 된다. 이런 위험 요소에 대한 안내 또한 모든 학생들이 이해할 수 있도록 간결하게 작성돼야 한다.

이런 요소가 중요한 이유는 학교에서 GDPR을 준수할 때 가장 먼저 고려해야 할 것이 학생들의 안전이기 때문이다. 그리고 GDPR이 제대로 준수되지 않으면 학교를 대상으로 한 사이버 공격이 더 늘어날 우려가 있다.

영국 정보위원회(ICO)에 따르면, 트랜스 액션웨어에서 피싱 공격에 이르기까지 학교에서 발생하는 사이버 공격이 2017~2018년 사이에 69% 가량 증가한 것으로 나타났다. 다시는 이런 일이 일어나지 않도록 하기 위해서는 학교가 먼저 GDPR을 준수해야 한다.

 

[라이헨바흐=김지연 기자]