GDPR와 문서: PDF 업로드에 대해 법이 말하는 것
개인정보가 담긴 PDF를 클라우드 도구에 업로드하면 GDPR 의무가 발생할 수 있습니다. 무엇이 처리에 해당하는지, 누가 수탁처리자인지, 그리고 왜 로컬 처리가 유리한지 알아봅니다.
당신은 송장 하나를 무료 온라인 도구에 끌어다 놓고 용량을 줄입니다. 거기에는 고객의 이름, 주소, 어쩌면 사업자등록번호가 들어 있습니다. 5초 뒤 더 작은 파일이 생기고 당신은 다음 일로 넘어갑니다. 방금 법적으로 무슨 일이 일어난 걸까요?
GDPR 아래에서는 충분히 그럴 수 있습니다. 그리고 대부분의 사람은 그것을 전혀 생각하지 않습니다. 문서가 무해해 보였고 도구가 무료로 보였기 때문입니다.
이것은 법률 자문이 아닙니다. 저는 당신의 변호사가 아니며 모든 상황에는 저마다의 세부 사정이 있습니다. 하지만 규칙의 큰 윤곽은 이해해 둘 가치가 있습니다. 그것이 다른 사람의 데이터가 담긴 문서를 다루는 방식을 바꾸기 때문입니다.
GDPR가 “처리”라고 부르는 것
사람들은 GDPR가 데이터베이스와 마케팅 명단에 관한 것이라고 짐작합니다. 실제 정의는 훨씬 넓습니다. 처리란 개인정보로 하는 거의 모든 행위입니다. 수집하기, 저장하기, 읽기, 변경하기, 공유하기, 삭제하기. 규정은 말 그대로 “열람”과 “이용”을 처리의 한 형태로 명시하고 있습니다.
그러니 당신의 PDF에 개인정보가 담겨 있고(이름에 전화번호 하나만 더해져도 이미 충분합니다) 그 파일로 무언가를 한다면, 당신은 개인정보를 처리하는 것입니다. 압축도 해당됩니다. 합치기도 해당됩니다. 변환도 해당됩니다.
그것만으로는 문제가 아닙니다. 기업은 하루 종일 개인정보를 처리합니다. GDPR가 던지는 질문은 당신이 그것을 어떻게 하느냐, 그리고 그 과정에서 또 누가 그 데이터를 만지느냐입니다.
왜 업로드는 “수탁처리자”를 끌어들이는가
클라우드라는 부분이 중요해지는 지점이 바로 여기입니다. 당신이 그 송장을 외부 서비스에 업로드하면, 파일은 당신의 통제를 벗어나 다른 누군가의 서버에 안착합니다. 이제 그 회사가 당신을 대신하여 개인정보를 처리합니다. GDPR는 그들에게 이름을 붙입니다. **수탁처리자(processor)**입니다. 이 일을 하기로 결정한 당신은 **컨트롤러(controller)**입니다.
수탁처리자가 개입하는 순간, 컨트롤러에게는 실질적인 의무가 생깁니다. 가장 큰 것은 제28조입니다. 당신은 그 수탁처리자와 서면 계약을 맺어야 하며, 이는 흔히 데이터 처리 계약(DPA)이라고 불립니다. 거기에는 그들이 데이터로 무엇을 할 수 있는지, 어떻게 보호하는지, 언제 삭제하는지, 그리고 다른 누군가에게 넘길 수 있는지가 명시되어야 합니다.
잠시 멈춰서 지난달에 쓴 그 무료 PDF 도구를 떠올려 보세요. 그들과 DPA에 서명했나요? 그들의 서버가 어디에 있는지 읽어봤나요? 그들의 하위 수탁처리자가 누구인지 확인했나요? 거의 틀림없이 아닐 것입니다. 당신은 다른 사람의 개인정보가 담긴 파일을 아무런 계약도 맺지 않은 회사에 업로드한 것입니다. 그것이 바로 빈틈입니다.
국가 간 이전이라는 함정
서버가 EU 밖에 있으면 문제는 더 까다로워집니다. 개인정보를 다른 나라의 제공자에게 보내는 것은 **이전(transfer)**이며, GDPR는 이를 제한합니다. 표준계약조항이나 해당 국가에 대한 적정성 결정 같은 유효한 법적 근거가 필요합니다.
대부분의 무료 도구는 자신이 어디에서 돌아가는지 알려주지 않습니다. 파일은 다른 대륙의 데이터센터에서 처리되고, 큐를 거치고, 스토리지 버킷에 캐시될 수도 있으며, 당신은 그것을 알 길이 없습니다. 개인 휴가 사진이라면 괜찮습니다. 하지만 고객 데이터로 가득한 계약서라면, 당신은 문서화할 수 없는 국가 간 이전을 조용히 해버린 셈입니다.
최소화, 모두가 잊는 원칙
GDPR에는 데이터 최소화라는 원칙이 있습니다. 당신은 실제로 필요한 개인정보만을, 가장 덜 침해하는 방식으로 처리해야 합니다. 사촌 격인 원칙도 있습니다. 프로세스를 설계할 때 프라이버시를 고려하라는 것입니다. 일이 끝난 뒤가 아니라.
이것을 PDF 압축 같은 단순한 작업에 적용해 보세요. 고객의 계약서를 더 작게 만들겠다고 제3자 서버로 보낼 필요가 있나요? 없습니다. 압축은 당신 자신의 기기에서 일어날 수 있습니다. 그것을 밖으로 보내는 일은 수탁처리자 하나, 당신에게 없는 계약 하나, 그리고 어쩌면 정당화할 수 없는 이전 하나를 더합니다. 그것도 고작 파일 크기를 바꾸자고 말입니다. 그것은 최소화의 정반대입니다.
왜 로컬 처리는 이 대부분을 피해 가는가
문제 전체를 더 작게 만드는 부분이 바로 여기입니다. 파일이 당신의 기기를 결코 벗어나지 않으면, 제3자가 그것을 처리하지 않습니다. 수탁처리자가 없으니 쫓아다닐 제28조 계약도 없습니다. 무엇도 국경을 넘지 않으니 정당화할 이전도 없습니다. 당신은 여전히 컨트롤러이고, 여전히 정보주체에게 통상의 주의를 다해야 하지만, 서류 작업의 큰 덩어리가 그저 적용되지 않습니다. 다른 누구도 그 데이터를 만지지 않았기 때문입니다.
이것이 전적으로 당신의 브라우저 안에서 돌아가는 도구의 발상입니다. 코드는 작업을 로컬에서, 당신 컴퓨터의 메모리 안에서 수행하고, 당신의 PDF는 제자리에 머뭅니다. 우리가 reader.me를 그렇게 만들었습니다. 당신이 PDF 압축을 할 때, 파일은 당신의 브라우저에서 처리되며 우리의 서버에는 결코 닿지 않습니다. 브라우저의 DevTools를 열고 Network 탭을 지켜보면, 당신의 문서와 관련된 어떤 것도 밖으로 나가지 않음을 확인할 수 있습니다.
기업과 프리랜서를 위한 실천 단계
당신을 올바른 쪽에 머물게 해주는 몇 가지 습관:
- 이름, 신분증 번호, 연락처가 담긴 모든 문서를 개인정보로 취급하세요. 송장, 계약서, 이력서, 의료 양식이 모두 해당됩니다.
- 무언가를 클라우드 도구에 업로드하기 전에, 수탁처리자가 누구인지 물으세요. DPA가 없고 서버 위치에 대한 명확한 답이 없다면? 그것을 통해 고객 데이터를 보내지 마세요.
- 압축, 합치기, 분리 같은 일상적인 작업에는 로컬 도구를 기본으로 삼으세요. 브라우저에서 돌아갈 수 있다면, 심사할 수탁처리자가 없습니다.
- 개인정보를 만지는 서비스의 짧은 기록을 남기세요. GDPR는 어차피 컨트롤러가 이를 알고 있기를 기대합니다.
- 정말로 클라우드 서비스가 필요할 때는, 실질적인 DPA를 제공하고 데이터가 어디에 있는지 알려주는 곳을 고르세요.
규칙은 무겁게 들리지만, 일상의 해결책은 가볍습니다. 대부분의 PDF 작업에는 서버가 전혀 필요하지 않습니다. 파일을 당신의 기기에 두세요. 그러면 법적 부담의 대부분이 애초에 당신에게 떨어지지 않습니다.