GDPR 시행 후, 발생한 여러 사건들을 중심으로 GDPR 대응 방향을 정할 수 있음.

1. 이 진 규
CPO/DPO/CISO of NAVER Corp.
CIPP/E, CISA, PMP, PIMS&ISO27001 Auditor

2. Takeaways - after 1 5 months of GDPR application
Source: Politico EU, “Europe’s new privacy rules: 1 month in, 7 takeaways”, URL: https://www.politico.eu/article/gdpr-europe-new-privacy-rules-7-takeaways
1 Complaints flood in  Complaints still surge in
- 128 complaints & 500 questions in Austria, 50% complaints hike for CNIL, 29 cross-border cases under investigation, etc.
2 Google and Facebook extend dominance.  Facebook is having a hard time
- DoubleClick Bid Manager(DBM) updates more than 12 million contracts. GDPR day one, 95% of advertisers went to Google.
3 The inevitable US pushback  the US starts to discuss ‘federal privacy rules’
- US policymakers argue Europe’s privacy standards would likely reduce global trade and create barriers for international LEAs to share data.
4 Countries are still catching up  Eight is still behind (Bulgaria, Czech Republic, Estonia, Finland, Greece, Slovenia, Spain and Portugal)
- Only 12 EU member countries have adopted final versions of the national implementation laws. (16 are lagging behind.)
5 Website banner boom  Still booming
- Banners reconfirming consent boomed right before GDPR kicks in, and now cookie consent banners are all over the place.
6 Experiments with ‘freemium’  Still being experimented
- Some publishers test ‘freemium’ models, in which a “free” model includes ads while “premium” access does not.
7 GDPR: Global Standards?  more than 120 countries involved!
- Japan, Argentina, Canada, S.Korea work on their domestic laws, while Tech Giants do not extend the rules across the globe.

3. GDPR Timeline
1995
In 1995, European
Union publicized
Directive 95/46/EC
2012
European Commission
suggested to reform the status
quo to adapt to the digital age.
2015
European Parliament,
European
Commission, and the
Council of Europe
started the ‘trilogue’.
2016
2016. 4. 27. GDPR text
was published in the
EU Official Journal.
It entered into force,
20 days after being
published in the EU OJ.
2018
After 2 years of post-grace period, the GDPR started to apply in
the EU. DPAs started to receive data breach notifications and
complaints.
Source: EDPS, “The History of the General Data Protection Regulation”, URL: https://edps.europa.eu/data-protection/data-protection/legislation/history-general-data-protection-regulation_en

4. GDPR’s takeover of the world
Source: Atlantic Council, “GDPR’s Quest for World Domination”, URL: http://www.atlanticcouncil.org/blogs/econographics/gdpr

5. GDPR’s power (exemplified in the case of fining facebook)
Source: Atlantic Council, “GDPR’s Quest for World Domination”, URL: http://www.atlanticcouncil.org/blogs/econographics/gdpr

6. Right after the application of GDPR, the world has seen…

7. Max Schrems attacks U.S. tech giants in the name of “nyob”.
Source: nyob, “GDPR: noyb.eu filed four complaints over “forced consent” against Google, Instagram, WhatsApp and Facebook”, URL: https://noyb.eu/
Services(companies) DPAs Max. Fine ETC
Google(Android) CNIL(France) €3.7Mrd ($4.88b)
Instagram DPA(Belgium) €1.3Mrd ($1.63b)
Instagram, WhatsApp
belong to Facebook
WhatsApp HbBfDl(Hamburg) €1.3Mrd
Facebook DSB(Austria) €1.3Mrd
 Nyob submitted complaints based on the so-called ‘forced consent’ & ‘bundling’ for 4 services to relevant DPAs.
- Irish DPC might be involved in the cases for the headquarters of 3 services is located in the Ireland.
 Complaints for Android OS for Google and 3 distinctive services for Facebook
 The results would be very important for SMEs, because they do not have the market power to force consent.
 Nyob expects at least ‘reasonable penalty’, not full penalty.
 Noyb could submit the complaints instead of data subjects based on GDPR Art.80.
<Overview>

8. Max Schrems, nyob의 이름으로 다시 미국 기업을 공격하다.
Source: nyob, “GDPR: noyb.eu filed four complaints over “forced consent” against Google, Instagram, WhatsApp and Facebook”, URL: https://noyb.eu/
 Controller – Google LLC, as the provider of the Android OS / Data Subject – Anonymous represented by nyob under Art.80(1)
 동의 방식의 문제 (alleged consent)
- 이용자는 이용약관(terms of service)에 동의하는 경우, 그에 포함된 개인정보의 처리(privacy policy)까지 동의하게 되는 구조
- phone data는 필연적으로 Art.9(1)의 민감정보(정치적 믿음, 성적 취향, 건강정보 등)를 포함하게 마련인데, 명시되어 있지 않음
- controller는 4개의 legal bases를 나열하고 있으나, 구체적으로 어느 개인정보 처리가 어떤 근거에 기반한 것인지 설명하지 않음
- Android 폰을 최초로 활성화(activation)하는 경우, 이용약관/개인정보 처리에 동의하지 않고서는 폰을 이용할 수 없음
 법적 분석 (freely given consent)
- 명백한 힘의 불균형은 공공기관 뿐만 아니라, 사적 관계에서도 가능. 특히, controller가 dominant position에 있는 경우 더욱 그러함
: Google은 글로벌 스마트폰 OS의 85%를 점유, 전체 에코 시스템에서 정보주체의 선택을 제한 (특정 OS에서만 구동되는 App존재)
- 서비스 이용을 조건으로 한(conditional for service) 동의를 요구 (개인정보로 대가를 지불하지 않는 경우 주요 서비스 접근 거부)
- 동의 세분화 부재 (no granularity – all or nothing)
: YouTube, Chrome Browser, Google Maps, Gmail, AdWords 등 다른 서비스에 까지 동의  specific consent 요건 위배
- 불이익 없이(without detriment) 동의 거부가 가능해야 하나, 서비스 이용 불가(denial of service) 내지 질적 저하(downgrading) 경험
 요청 사항
- Art.58(1)(a), (e), (f)에 의한 조사(investigation) 실시
- Art.58(1)(d), (f), (g) 및 Art.17에 의한 관련 개인정보 처리 활동의 금지
- Art.58(1)(i) 및 Art.83(5)에 의한 효과적이고, 비례적이며, 설득력(dissuasive) 있는 벌금의 부과

9. Max Schrems, nyob의 이름으로 다시 미국 기업을 공격하다.
Source: nyob, “GDPR: noyb.eu filed four complaints over “forced consent” against Google, Instagram, WhatsApp and Facebook”, URL: https://noyb.eu/
 Controller – Facebook Ireland Ltd., as the operator / Data Subject – Anonymous represented by nyob under Art.80(1)
 동의 방식의 문제
- SNS 이용 과정에서 다른 이용자나 단체와 교류하면서 필연적으로 필연적으로 Art.9(1)의 민감정보를 드러내게 되며, 페이스북은 이를 타게팅한 광고를 제시
- controller는 6개의 legal bases를 나열하고 있으나, 구체적으로 어느 개인정보 처리가 어떤 근거에 기반한 것인지 설명하지 않음
- 일부 ‘동의’를 법적 근거로 하는 개인정보 처리를 나열하고 있으나, 결국 ‘privacy policy / terms of service’ 전체에 동의하도록 하는 구조
- 동의와 동의 거부를 차별적으로 표시하였고, 동의 거부 시 계정을 삭제하는 옵션만 제시됨 (+ fake red dot for notification)  forced consen에 해당
- 이용약관에 “숨겨진 동의(hidden consent)”를 추가. 즉, ‘이용자의 관심 대상이 될 수 있는 컨텐츠, 제품, 서비스를 발견하도록 도와준다.’는 내용을
이용약관에 포함하고, 그에 따라 광고를 노출한다고 설명. 그런데, privacy policy에서는 광고 목적의 개인정보 처리에 대해 “Facebook 또는 Instagram
이용약관의 충족을 위해 필요한 것＂이라고 설명하여, 마치 계약 이행을 위해 개인정보 처리가 필요(Art.6(1)(b))한 것처럼 정보주체를 오인하게 함
 법적 분석 (freely given consent)
- Facebook의 시장 지배력과 네트워크 효과, 그리고 락인 효과 등을 고려하였을 때 명백한 힘의 불균형이 존재  강제된 동의
- 서비스 이용을 조건으로 한(conditional for service) 동의를 요구
- 동의 세분화 부재 (no granularity – all or nothing)
- 불이익 없이(without detriment) 동의 거부가 가능해야 하나, 서비스 이용 불가(denial of service) 내지 질적 저하(downgrading) 경험
 요청 사항
- Art.58(1)(a), (e), (f)에 의한 조사(investigation) 및 Austrian Data Protection Act §13(2)(a)에 의한 정보주체의 ‘어떤 권리’가 침해되었는지 조사 요청
- Art.58(1)(d), (f), (g) 및 Art.17에 의한 관련 개인정보 처리 활동의 금지
- Art.58(1)(i) 및 Art.83(5)에 의한 효과적이고, 비례적이며, 설득력(dissuasive) 있는 벌금의 부과

10. 참고: 개인정보 주체의 대리 (GDPR Art.80)
GDPR Art.80 (Representation of data subjects)
1. The data subject shall have the right to mandate a not-for-profit body, organisation or association which has been properly constituted in accordance
with the law of a Member State, has statutory objectives which are in the public interest, and is active in the field of the protection of data subjects’ rights
and freedoms with regard to the protection of their personal data to lodge the complaint on his or her behalf, to exercise the rights referred to in Articles
77, 78 and 79 on his or her behalf, and to exercise the right to receive compensation referred to in Article 82 on his or her behalf where provided for by
Member State law.
개인정보주체는 회원국 법률에 따라 적절히 구성되고 법정 목표가 공익에 있으며 개인정보 보호에 관한 개인정보주체의 권리 및 자유의 보호 분야에서
적극적으로 활동하는 비영리 기구, 조직 또는 협회에게 본인을 대신하여 민원을 제기하고 제77조, 제78조 및 제79조에 명시된 권리를 대신 행사하며 회원국
법률이 규정하는 경우 제82조에 명시된 보상 받을 권리를 대신 행사하도록 권한을 부여하는 권리를 가진다.
2. Member States may provide that any body, organisation or association referred to in paragraph 1 of this Article, independently of a data subject’s
mandate, has the right to lodge, in that Member State, a complaint with the supervisory authority which is competent pursuant to Article 77 and to exercise
the rights referred to in Articles 78 and 79 if it considers that the rights of a data subject under this Regulation have been infringed as a result of the
processing.
회원국은 개인정보 처리의 결과로 본 규정에 의거한 개인정보주체의 권리가 침해되었다고 판단될 경우, 본 조 제1항에 명시된 기구, 조직 또는 협회가
개인정보주체의 권한과 관계없이 자국에서 제77조에 따른 관할 감독기관에 민원을 제기할 권리를 가진다고 규정할 수 있다.

11. Apple, Amazon, LinkedIn에 대한 complaint 접수
프랑스 Digital Rights 단체 - La Quadrature du Net의 고발 (5/28)
 Google, Facebook, Apple, Amazon, LinkedIn 등 5개 기업을 대상으로 forced consent를 이유로 complaint 접수
- 특히, Google을 대상으로 하여 Gmail, YouTube, Search 등 개별 서비스에 대한 complaint를 접수 (총 7건)
 GDPR 시행 6주 전부터 complaint 제기에 참여할 사람들을 모아, 총 12,000명 이상의 정보주체를 확보
- 개별 complaint 사안마다 약 9,000 ~ 10,000의 정보주체가 참여한 것으로 알려짐
 La Quad는 총 12개의 complaint를 접수하는 것을 목표로 활동하고 있음
- 위 7개에 더하여 Android, WhatsApp, Instagram, Skype, Outlook을 대상으로 함
- CNIL과 커뮤니케이션을 통해 우선 빨리 결과를 확인할 수 있는 7건을 진행하고, 그 결과에 따라 나머지 사안도 진행 예정이라 함
 CNIL은 이 기업들이 EU Headquarters를 보유한 국가의 감독당국(Luxemburg-Amazon, Ireland-Facebook, Google, Apple, MS)과
협조하여 사안을 대응할 예정
 La Quad는 5월 28일 발표한 성명을 통해, 다른 주체들도 자신들의 complaint를 자유롭게 복사하여 ‘big tech’기업을 대상으로 한
complaint에 활용하도록 독려하기도 하였음

12. Privacy International의 complaints 접수 (11/8)
Source: Privacy International, “h, “Privacy International files complaints against seven companies for wide-scale and systematic infringements of data protection law”, Nov. 8, 2018, URL: https://bit.ly/2Dzk7kd
 Acxiom
 Oracle
 Criteo
 Quantcast
 Tapad
 Equifax
 Experian
Data Brokers
Ad-Tech Companies
Credit Referencing Agencies
50 Subject Access Requests(SARs) 및 해당 기업들이 제공하는 마케팅 자료, Privacy Policy에 기반하여 Complaints 접수를 진행하였음.
Complaints의 원인으로는 1) Data Protection Principles를 준수하지 않음, 2) 개인정보 처리에 대한 법적 근거(legal basis)를 갖고 있지
않음. 특히, 동의나 ‘정당한 이익(legitimate interest)’을 근거로 하기 어려우며, 민감 개인정보에 대한 처리 근거도 존재하지 않음

13. CNIL (French DPA)의 GDPR Warning
프랑스 DPA (CNIL)가 2개 기업을 대상으로 GDPR에 의한 Warning을 발표함 (GDPR Article 58 Powers)
 Fidzup, Teemo 등 2개 Location Intelligence Vendors를 대상으로 GDPR에 기반한 Warning을 발부하였음 (8월에 사실 확인됨)
- 각 기업의 SDK가 포함된 파트너앱을 이용자들이 다운로드하여 이용할 때, 소비자들의 동의는 앱의 위치정보 이용에 한정
- 실제, Fidzup, Teemo가 위치정보를 제3자 제공받는 것에 대해서는 동의가 부재했음
(이들이 제공받는 위치정보는 정보주체에 대한 정보를 제거한 데이터로 확인됨)
- 즉, 앱(publisher)의 위치정보 처리 동의 ≠ 해당 앱을 통해 위치정보를 제공받는 제3자의 개인정보 처리에 대한 동의
- Teemo에 대해선 개인정보 처리를 위한 데이터 보관 기간이 지나치게 ‘길다’는 점도 지적
 CNIL은 양 기업에게 GDPR compliance를 입증하는 기간으로 90일을 제시함
- compliance를 입증하지 못하는 경우 GDPR이 규정한 ‘제재＇대상이 될 수 있음
- 단, CNIL은 app publisher에 대해서는 책임에 대해 언급하지 않았음
Source: Martech, “Two French location data companies receive GDPR consent warnings(8/29)”, URL:https://martechtoday.com/two-french-location-data-companies-receive-gdpr-consent-warnings-223467
Warning vs. Reprimand

14. CNIL (French DPA)의 GDPR Warning (2)
프랑스 DPA (CNIL)가 Vectaury를 대상으로 적절한 이용자 동의를 획득하도록 경고하였음 (November)
 Vectaury의 사업 영역
- Vectuary는 광고 네트워크 기업인데, 광고주를 위해 광고 지면을 구매하는 것 외에 ▲위치정보, 기기정보 및 브라우저 정보를 수집할
수 있는 S/W 도구를 제공하고, ▲수집한 데이터를 분석하여 POI와 비교하여 이용자의 습성 프로필을 생성하며, ▲광고주를 위해 타겟
광고 캠페인을 조직하는 한편, ▲광고 캠페인 효과성 측정을 위해 POI에서의 이용자 경로를 추적하는 등의 활동을 하는 기업임
 GDPR 동의 위반사항
1) 제공된 정보가 불명확, 복잡한 용어를 사용, 쉽게 접근 가능하지 않아(특히 정보를 제공받는 제3자 리스트), 'informed' 원칙에 위배
2) 앱 설치 과정에서 동의/거부의 선택권만 주며, 타겟 마케팅 목적의 위치정보 처리에 대한 명시적 동의가 없어 'specific' 원칙에 위배
3) 'customize my preferences'를 선택한 이용자는 사전에 체크된 동의박스를 제시받는 등 'affirmative action' 원칙에 위배
※ Vectaury는 동의 처리를 위해 IAB(Interactive Advertising Bureau)의 광고 관리 플랫폼을 사용하여 여파가 클 것으로 예상됨
Source: Covington, “CNIL imposes GDPR-consent in online advertising space”, Nov. 16, 2018, URL: https://bit.ly/2A8lcMr
참고) Consent should be given by a clear affirmative act establishing a freely given, specific, informed and unambiguous indication of
the data subject’s agreement to the processing of personal data relating to him or her, such as by a written statement, including by
electronic means, or an oral statement. (Recital 32)

15. Cambridge Analytica 사건으로 인한 Facebook 대상의 GDPR 처분
UK ICO가 500,000 파운드(한화 약 7억원)의 벌금을 Facebook Ireland Ltd & Facebook Inc.에 부과하였음
 영국법이 허용하는 최대 액수의 벌금을 부과한 사례
- 단, GDPR 시행 이전(5/25)에 발생한 사건이어서, GDPR에 따른 DPA 2018이 아니라, 구 법인 DPA 1998이 적용되었음
- 개인정보보호위원장은 해당 사건에 대한 성명서를 통해 "but for the statutory limitation on the amount of the monetary penalty, it
would have been reasonable and proportionate to impose a higher penalty".라고 밝힘
- GDPR에 의하는 경우 최대 $1.6 billion(약 1.8조)의 벌금이 부과될 수 있었음
 사건의 교훈
- 데이터를 사용가능하도록(make available)하는 것은 개인정보의 처리에 해당함
- 데이터 공유 시, 사용목적을 사전에 명확히 정의하고 이를 투명하게 공개해야 함
- 데이터 사용을 제한한 경우에도, 모니터링 체계를 갖추어야 함
- Joint Controllership에 유의해야 함
- Cross-border processing 해당 여부를 사전에 인식해야 함
- DPA의 조사에 대한 협조가 처벌 수위에 영향을 미칠 수 있음
Source: Bird & Bird, “Facebook – Cambridge Analytica monetary penalty”, October 2018, URL: https://www.twobirds.com/en/news/articles/2018/global/facebook-cambridge-analytica-monetary-penalty

16. 최초의 GDPR 벌금부과 사례 (10월)
포르투갈 DPA(CNPD)가 The Hospital do Barreiro라는 병원을 대상으로 400,000유로(한화 약 5억원)의 벌금을 부과
 종합적으로 Integrity, Confidentiality, Data Minimization 원칙을 위반한 것으로 판단
- 296명의 등록된 의사가 존재하는데, 내부 시스템에는 900명 이상의 인원이 임상 정보 저장소에 접속가능했음
: 임상 정보 저장소는 원래 의사들에게만 제한적으로 접속이 허용되어야 함
- 의사 외의 직원들에게도 계정이 생성, 제공되었음. 또한, 인증시스템이나 접근 제어도 정상적으로 작동하지 않음이 확인됨
 Integrity, Confidentiality 위반에 각 150,000 유로를, Data Minimization 위반에 100,000 유로를 벌금으로 부과
- 병원측은 포르투갈에 GDPR 시행법이 아직 마련되지 않은 것을 근거로CNPD가 GDPR을 집행할 권한이 부족하다고 주장
: 받아들여지지 않았으며, 조사 협조 측면에서 오히려 벌금을 높이는 역효과를 냈을 것으로 추정됨
- Data Protection 원칙의 위반에 대한 처벌이 가능함을 재확인
: 우리나라의 경우 개인정보보호법상의 개인정보보호 원칙을 위반한 것을 이유로 처벌할 수 있는 근거(처벌조항)가 없음
Source: Bird & Bird, “Facebook – Cambridge Analytica monetary penalty”, October 2018, URL: https://www.twobirds.com/en/news/articles/2018/global/facebook-cambridge-analytica-monetary-penalty

17. Dutch DPA의 MS Office 제품군 조사결과 발표 (November)
Source: ZDNet, “Dutch government report says Microsoft Office telemetry collection breaks GDPR”, Nov. 14, URL:https://zd.net/2r1Z3LL
네덜란드 DPA가 11/13자로 Office 제품군(일부)에 대한 GDPR 조사 결과를 공개했음
 Telemetry 정보 수집과 관련한 GDPR 위반 사항을 검토하여 결과를 공개하였음 (collects up to 25,000 types of Office events, shared
with up to 30 engineering teams). 이에, MS는 Windows 10 설치 과정을 단순화/투명화 했고, #3 - #8의 이슈를 개선하고 있다고 밝힘

18. GDPR complaints stats by iapp (within one month)
Source: IAPP, “Cataloging GDPR complaints since May 25 (June 25)”, URL: https://iapp.org/news/a/cataloguing-gdpr-complaints-since-may-25/
countries complaints Span of day staff Annual budget
Austria 81 20 24 N/A
Belgium 3 26 56 $9,639,000
Bulgaria 91 28 87 $1,402,394
Czech Republic 400(approx.) 26 104 $6,975,834
Denmark 13 15 36 $3,440,000
Estonia 7 14 18 $833,877
France 426 24 195 $22,253,000
Ireland 10 14 64 $5,640,600
Malta 8 24 10 $404,600
Netherlands 170 14 75 $9,743,720
Romania 145 14 36 $1,261,260
Slovakia 4 24 38 $1,176,821
Slovenia 102 25 32 $1,589,194
Sweden 2 18 50 $6,329,570
※ 참고: 여타 EU 회원국(Croatia, Cyprus, Finland, Germany, Greece, Hungary, Italy, Latvia, Lithuania, Luxembourg, Poland, Portugal, Spain)DPA는 조사에 응하지 않음. UK ICO는 1,106 complaints & concerns 접수

19. GDPR complaints stats (gathered by EDRi)
Source: GDPR Today, “GDPR in Numbers”, Oct. 25, 2018, URL: https://www.gdprtoday.org/gdpr-in-numbers/
※ Numbers were provided by DPAs from Aug. 24 to Sept. 28
- Stats from Germany include only 5 out of 16 states
- ICO numbers are complaints & breach notifications taken together
(also, some actions taken after 5/25 based on DPA 1998)

20. GDPR cooperation & consistency procedure underway
Source: EDPB, “Cross-border cooperation and consistency procedures – State of play”, July 20, 2018, URL: https://bit.ly/2LzhFLA
참고: CNIL Assessment of GDPR (9/25)
- More than 200 hundreds cross-border cases
being investigated, most of which put CNIL into
the supervisory authority concerned

21. ECJ ruling on the Facebook fan page (based on the DPD)
Source: Tara Taubman-Bassirian LLM, “The Facebook Fan Page ECJ ruling”, June 7, 2018, URL: https://www.linkedin.com/pulse/facebook-fan-page-ecj-ruling-tara-taubman-bassirian-llm
Facebook Fan Page
Joint Liability
■ the fact that the fan page holder had no access to the personal data Facebook obtained did not preclude it from being a data controller (para 38). The
definition of ‘data controller’ in Directive 95/46/EC does not talk about access to personal data.
■ the existence of joint responsibility does not necessarily imply equal responsibility of the various operators involved in the processing of personal data",
adding: "On the contrary, those operators may be involved at different stages of that processing of personal data and to different degrees, so that the level
of responsibility of each of them must be assessed with regard to all the relevant circumstances of the particular case
■ "The creation of a fan page on Facebook involves the definition of parameters by the administrator, depending inter alia on the target audience and the
objectives of managing and promoting its activities, which has an influence on the processing of personal data for the purpose of producing statistics based
on visits to the fan page. The administrator may, with the help of filters made available by Facebook, define the criteria in accordance with which the
statistics are to be drawn up and even designate the categories of persons whose personal data is to be made use of by Facebook. Consequently, the
administrator of a fan page hosted on Facebook contributes to the processing of the personal data of visitors to its page."

22. Child’s Age of Consent (almost finalized)
Source: A Ghent University researcher’s Tweet (soon to be published on Better Internet for Kids)
As of June Soon to be

23. GDPR & Blockchain – 여전히 풀리지 않는 문제
Source: 101 blockchain.com, EU Blockchain Observatory and Forum, and CNIL
As of June

24. The Impact of GDPR, in 5 charts (1/5)
유럽연합 웹사이트는 평균 22%의 Third Party Cookie 감소를 보임
Source: Digiday, “The impact of GDPR, in 5 charts”, Aug. 24, 2018, URL: https://digiday.com/media/impact-gdpr-5-charts

25. The Impact of GDPR, in 5 charts (2/5)
‘Game of “pass liability”’
– 오직 20%의 마케터만이 파트너사가 자신들을 GDPR 법률위반 리스크에 노출되지 않게 할 것이라 믿음

26. The Impact of GDPR, in 5 charts (3/5)
‘contextual targeting’이 다시 각광받기 시작

27. The Impact of GDPR, in 5 charts (4/5)
소규모 ad tech 기업들은 Google, Facebook의 duopoly에 자리를 잃고 있음

28. The Impact of GDPR, in 5 charts (5/5)
미국 기업들은 ‘기다리기’ 시작함
(https://data.verifiedjoseph.com/dataset/websites-not-available-eu-gdpr)

29. GDPR Hall of Shame
‘답장’으로 속여 사람들로 하여금 메일을 읽고, 동의하게 함

30. GDPR Hall of Shame
자극적인 제목으로 속여, 뉴스레터 수신에 동의하게 함

31. GDPR Hall of Shame
GDPR을 이유로 들어 계정정보 업데이트 or 이메일 수신 or 쿠키 설치 동의 옵션 제공

32. GDPR Hall of Shame
오프라인 수취 영수증에 GDPR에 따른 Privacy Policy 변경을 안내

33. GDPR Hall of Shame
뉴스레터 수신 동의 or 한달에 한번만 뉴스레터 수신 동의 옵션 제공

34. GDPR Hall of Shame
Privacy Policy Update를 이메일로 안내하면서 ‘data breach’를 발생시킴
Source: Ghostery, “Ghostery Email Incident Update”, URL: https://www.ghostery.com/blog/ghostery-news/ghostery-email-incident-update/

35. GDPR Hall of Shame
냉장고 스크린을 통해 Privacy Policy 안내 & 동의 (Samsung!)

36. GDPR Hall of Shame
TV화면을 통해 Privacy Policy 안내 & 동의 (Samba TV)

37. GDPR Hall of Shame
Tumblr는 322 개의 수동 Opt-Out 제공 (일괄 Opt-Out 없음!)

38. U.S. news sites start to block EU users
Source: The Guardian, “LA Times among US-based news sites blocking EU users due to GDPR”, URL: https://goo.gl/D6zVyN

39. Sites start to discriminates against EU users
Source: Bleeping Computer, “New Service Blocks EU Users So Companies Can Save Thousands on GDPR Compliance”, URL: https://goo.gl/8X5aK3 (& other sources)

40. Sites start to set different prices on EU users
Source: The Washington Post Website

41. New services come into the scene (EU user blocking services)
Cloudflare + apility.io API
EZIGDPR.com

42. Some services that blocked EU users after the application of GDPR (not exhaustive)
Source: Bleeping Computer, “New Service Blocks EU Users So Companies Can Save Thousands on GDPR Compliance”, URL: https://goo.gl/8X5aK3 (& other sources)
 Verve (Online Marketing)
 Ragnarok Online (Online Game)
 Super Monday Night Combat (Online Game)
 The Association for National Advertisers (ANA, Online Ads Association)
 Unroll.me (Email Subscription Service)
 Brent Ozar Unlimited (Software Supplier)
 Tunngle (Gaming Software Provider)
 Drawbridge (Cross-Device Identity Service)
 History (History-Related Contents Service for History.com)
 Instapaper (News Article Aggregator)
 Steel Root (Cyber Security & Compliance for Boston-Area)
 A&E (American Television Broadcaster)
.
.
.

43. SARs flood companies.
Source: Constantine Karbaliotis, “The Nightmare Letter: A Subject Access Request under GDPR”, URL: https://www.linkedin.com/pulse/nightmare-letter-subject-access-request-under-gdpr-karbaliotis/

44. SARs are organized into a ‘service’.
Source: My Data Request(https://mydatarequest.com) Website

45. Some business cases for SARs pop up.
Source: GDPR Guys (www.gdprguys.com) & Frontier Privacy(www.frontierprivacy.com) & GDPR Form(www.gdprform.io) Websites

46. Data Subject Access Rights Portal
Source: One Trust(www.onetrust.com) Website

47. Notification for data deletion from controller to processor
GDPR Art.19 (Notification obligation regarding rectification or erasure of personal data or restriction of processing)
The controller shall communicate any rectification or erasure of personal data or restriction of processing carried out in accordance with Article 16, Article
17(1) and Article 18 to each recipient to whom the personal data have been disclosed, unless this proves impossible or involves disproportionate effort. The
controller shall inform the data subject about those recipients if the data subject requests it.
Facebook 사용자는 조직인 BAND가 Facebook을 통해 수집 한 모든
데이터를 삭제하도록 요청했습니다.
애플리케이션 ID : 439691136064581
Facebook 사용자 정보
사용자 ID : 257420537981537

48. DPAs start to publish guidelines (example: DPIA Blacklists)
Source: Alston&Bird, “German DPAs issue DPIA blacklists; Many companies likely to be affected”, URL: https://bit.ly/2MPGqUK
Germany Belgium Austria
Type Blacklists by federal DPA and 9(out
of 16) state DPAs
proposal Binding whitelist
Date On or After GDPR Day 2/28 On GDPR Day
Contents Blacklists might includes the
following;
 Large-scale processing of
location data relating to
individuals
 General big data analytics
 Large-scale processing of HR
data with potential for significant
effects on employees
 Creating large-scale individual
profiles
 AI-based interactions with
individuals
 Analytics with significant effects
for individuals
 Video/audio analysis tools
 Reward programs that generate
profiles
 Fitness wearables and apps
 Engagement of Non-EU Vendors
Black & whitelists
[blacklists]
10 processing activities focusing on
sensitive data processing and
profiling
[whitelists]
Processing activities that a
business is able to legitimize on the
basis of its legitimate (business)
interests or compliance with a legal
requirement
22 processing activities fall under
whitelist
 HR administration
 Customer and supplier
management, accounting,
logistics, and bookkeeping
 CMR and Marketing for own
business purposes
 IT user access rights
management
 Building access controls
 CCTV monitoring in limited
circumstances
 Event Planning
 Additional exemptions for
processing by some-practitioner
professionals; inventory
management; scientific research
and statistics; video/audio
recording for documentary
purposes, etc.

49. DPAs start to publish guidelines (example: DPIA Blacklists)
Source: Monitor Polski, “Journal of the Republic of Polish Pos. 827”, URL: http://monitorpolski.gov.pl/MP/2018/827/

50. EDPB가 상황을 정리하다 (DPIA List)
Source: Monitor Polski, “Journal of the Republic of Polish Pos. 827”, URL: http://monitorpolski.gov.pl/MP/2018/827/
각 회원국 PDA가 EDPB의 의견을
존중하지 않는 경우, “Consistency
원칙”에 따라 EDPB는 Binding
Decision을 진행하게 됨

51. DPAs start to publish guidelines (example: SDPA의 10th Annual Session)
Source: Bird&Bird, “Notes on the 10th Annual Session SDPA”, URL: https://sites-twobirds.vuture.net/56/3903/uploads/notes-on-the-10th-annual-session-spda.pdf
The Spanish Data Protection Agency’s 10th Annual Session (12 June) 주요 내용
1. New Spanish Data Protection Act에 대하여
 마련할 예정이나, 효력이 언제 발효될 예정인지는 밝히지 않음. GDPR이 derogation을 허용하는 분야에서의 SDPA 마련을 위한 새로운 칙령이 준비될 것
2. Record of processing Activities에 대하여
 GDPR 적용을 위한 가장 첫번째 활동으로 권고함. 이에 legal basis를 반드시 포함시키지 않아도 됨
 Security measure의 기록에 대해선 일반적 설명만 포함하는 것으로 족함
 Retention period에 대해선 “개인정보의 처리에서 발생할 수 있는 책임을 결정하기 위한, 또한 수집 목적 달성에 필요한 기간만큼 보관“ 등의 문구 가능
3. Penalties에 대하여
 (조사를 하는 경우) 정보주체의 complaints(claim)에 한정하지 않고, GDPR 규정을 얼마나 잘 준수하였는지 전반을 살필 것
4. Cookie에 대하여
 Accept cookie vs refuse cookies vs configure the use of cookie(1안), accept cookies / configure the use of cookies(2안) 모두 허용
5. DPO에 대하여
 개인정보 처리의 목적과 수단을 결정하는 포지션에 있는 자는 DPO로 지명될 수 없음

52. DPAs start to publish guidelines – on Large Data Processing
Large Scale Data Processing = High Risk. What is Large???
1. Opinion WP248 on Data Protection Impact Assessments from the Article 29 Working Party
 Provides the basic criteria for high-risk, but does not explain what large-scale processing is
2. Estonia Commissioner (Viljar Peep via his LinkedIn Post)
 Special categories of personal data or criminal convictions and offenses  over 5,000 / financial&payment, real-time geo-location data etc.  10,000
 For all other data  over 50,000
3. Dutch DPA guidance (especially in healthcare sector)
 Data processing by hospitals, pharmacies, general practices centers and care groups are ALWAYS considered to be large-scale
 For smaller GPs or pharmacists working solo, specialist, data processing is large-scale if over 10,000
4. Czech Republic comment
 Large-scale if over 10,000, or processed by 20 processing branches or by more than 20 employees or at (inter)national level (not at regional level)
5. Germany
 Large-scale if over 5 million people or covering at least 40 percent of the relevant population
6. Poland – no number but some examples, U.K. – no number but considerations such as duration, geographical extent, range of different items, etc.

53. GDPR and Cookies/Privacy Policies

54. Still, not compliant – example: mobile apps
Source: Crownpeak, “Does the GDPR apply to mobile apps?(8/14)”, URL: https://www.crownpeak.com/blog/general-data-protection-regulation/20180814-gdpr-apply-to-mobile-apps
GDPR-compliance for mobile apps (July)
- 조사 대상: Top 50 iOS & Top 50 Android Apps by Crownpeak (digital governance management firm)
<Findings>
1. 79% of the apps had no consent notice at all.
2. Of the 21% that did offer consent, only 2% were GDPR compliant, allowing users varying degrees of control over their data.
3. Despite this, every app that was scanned displayed multiple software development kits (SDKs) that performed some form of data collection.
참고 – 조사 방법론
- 앱을 테스트 디바이스(iOS, Android)에 각각 다운로드
- VPN을 통해 France로 접속하고, region/language를 EU에 특정하게 변경
- End User를 모방하여 앱을 이용

55. GDPR expectations for Google, Facebook revenue downfall
Source: Business Insider, “GDPR could wipe 2% from Google’s revenues, according to Deutche Bank“ (1/31, 2018), URL: http://www.businessinsider.com/gdpr-effect-on-google-revenues-2018-1, etc.
GDPR 시행 이후 Google 매출은?
- Deutsche Bank analyst Lloyd Walmsley 및 그의 팀에 의한 분석
 Google은 전체 매출의 33%를 유럽에서 얻으며, 이는 약 $9.3 billion에 달함
 Europe 이용자 가운데 30%의 이용자들이 데이터 공유에 있어 동의를 철회(opt-out)할 것으로 추정
 이로 인해 Google은 광고 집행에 있어 일정한 충격을 받을 것으로 예상 – 광고 효과에 20% 가량의 영향을 미칠 것으로 추정
 전체 광고 매출(revenue)에 2% 포인트의 하락이 예상
GDPR 시행 이후 Facebook 매출은?
- Goldman Sachs의 Heather Bellini 및 그의 팀에 의한 분석
 Facebook 이용자의 20%는 유럽연합에 속해있으며, 전체 매출의 약 ¼(25%) 가량이 유럽에서 발생
 Facebook의 유럽연합 이용자는 미국 이용자 전체 수보다 많음
 유럽에서의 Facebook 이용 시간의 하락의 영향 및 타겟 광고가 아닌 ‘컨텍스트 광고’ 집행으로 몰리는 경우 광고 가격에 부정적으로 작용할 것으로 예상
 Facebook 이용시간 10% 하락은 20% 가량의 가격 하락 요인으로 작용하여 Facebook 전체 광고 매출에 6.8%의 하락(약 $2.8 billion)을 유발할 것으로 추정
 GDPR에 의한 매출 4%의 벌금(administrative fines)보다 광고 하락이 크기 때문에 법을 준수하지 않는 것이 이익인 상황

56. Google, Facebook skyrocket in stock prices.
Source: Google Search for Facebook & Google Stock Price as of 6/24

57. Google rises again.
Source: Google Company, “EU user consent policy”, URL: https://www.google.com/about/company/user-consent-policy.html

58. The irony of regulation
Source: The Wall Street Journal, “Google Emerges as Early Winner From Europe’s New Data Privacy Law”, URL: https://on.wsj.com/2JmWdvC
GDPR이 Google과 Facebook에 미치는 영향은?
 유럽연합은 GDPR의 시행을 통해 소위 'tech giants'라 불리는 미국의
거대 테크기업들과 그들의 파트너들이 소비자를 압박하여 데이터에
대한 통제권을 포기하는 대가로 서비스를 제공받는 것을 멈추게 하고
싶어함.
 그러나, 일부 제한사항들로 인해 예상치 못했던 결과 - Facebook과
Alphabet(Google)의 복점(duopoly)을 보다 강화시킬 것 - 가 예상됨.
이 두 기업은 재원과, 법률지식으로 무장한 변호사, 그리고 수 많은
기술자들로 무장하고 있어 다른 기업들이 쉽게 따라오지 못하는
수준으로 동종업계의 개인정보보호 기준을 높이는 전략을 통해
경쟁자들이 이를 맞추지 못하도록 하고 있는 것임.
 ‘18. 3월, Google은 웹/앱 퍼블리셔들에게 디지털 광고 벤더들을
대신하여 맞춤형 광고에 대한 동의를 획득하지 못하면, Google의 광고
네트워크를 더 이상 활용할 수 없다는 통지를 하였음.
 Facebook은 유럽의 2.7억 이용자(daily users)에게 Facebook의
개인정보 정책에 동의를 하도록 안내하고 있음. 디지털 광고 기업들은
Google과 Facebook이 GDPR을 지나치게 엄격하게 해석한 것에
기인한 이와 같은 조치를 통해 중소 광고 사업자들을 말라 죽게
한다고 지적함.

59. GDPR & Whois
Source: Krebs on Security, ”new EU Privacy Law May Weaken Security”, URL: https://krebsonsecurity.com/2018/02/new-eu-privacy-law-may-weaken-security/

60. GDPR & Whois
Source: OpenSRS, “GDPR Updates: Whois Changes”, URL: https://opensrs.com/blog/2017/11/gdpr-updates-whois-changes/

61. GDPR & Whois

62. GDPR & Whois

63. GDPR & Whois

64. GDPR & Whois
(ICANN vs. EPAG)
ICANN vs. EPAG (part of the Tuscow Group)
- ICANN, 소송을 제기하다
 Tuscow Group 소속 EPAG라는 독일 registra는 도메인 네임을 판매할 때, 5/25자로 ‘technical and administrative data’를 수집하지 않겠다고 통보
 ICANN은 EPAG를 대상으로 Bonn 지역 법원에 법원 명령을 구하는 소를 제기함
- EPAG로 하여금 technical and administrative 데이터 없이 2차 도메인 네임을 제공 / 등록하는 것을 중단하도록 하는 내용
- ICANN은 the Temporary Specifications에 의해 도입된 변화는 도메인 네임 등록 시스템에 있어 GDPR을 충족하는 방식이라 주장
- 이에, ICANN과 registrars 사이의 계약상의 의무는 변함없이 유지되어야 한다는 것임
 법원은 ICANN의 사전적 법원명령의 적용 요청을 반려하였으나, GDPR과 Whois의 관계에 대해서는 판단하지 않았음
 ICANN은 상급 법원에 항소하였음
 최초의 법원은 해당 사안을 상급 법원에 넘기기 전에, 이를 재평가할 수 있는 선택권을 가지고 있는데, 이 법원은 이 선택권을 행사하여 EPAG에게 ICANN의
항소 주장에 대한 의견을 제시하도록 요청하였음 (6/22). EPAG는 2주 이내에 답변을 해야 함
Source: ICANN, “ICANN v. EPAG Domainservices, GmbH”, URL: https://www.icann.org/resources/pages/litigation-icann-v-epag-2018-05-25-en

65. Something bigger comes right after the GDPR.
Source: EPC, “Joint industry letter on the future of the ePrivacy Regulation”, URL: http://epceurope.eu/joint-industry-letter-on-the-future-of-the-eprivacy-regulation/

66. Something bigger comes right after the GDPR.
Source: EPC, “Joint industry letter on the future of the ePrivacy Regulation”, URL: http://epceurope.eu/joint-industry-letter-on-the-future-of-the-eprivacy-regulation/
EC Proposal A29WP (EDPS) EU Council EU Parliament
Scope  ECS의 정의에 의거, 전통적
Communication 채널에 적용
 OTT communication Apps, M2M
커뮤니케이션에는 적용
 일부 M2M 제외  추가 검토 필요
 모든 M2M 커뮤니케이션에 기밀성
이 보장되어야 하진 않음
 프라이버시 보호는 기업이 아니라
개인에게 적용되는 것임
Confidentiality  ECS 제공자는 일반적으로, 전기통
신 데이터 처리를 위해 이용자 동의
를 획득해 함
 Content외 metadata도 포함
 매6개월마다 동의 철회권 안내
 예외적 처리에 대한 추가 설명 필요  GDPR에 맞춘 유연성 필요  예외적 처리에 대한 추가 설명 필요
Online Tracking  전기통신 S/W 설치 직후, 이용자에
게 디바이스 저장된 정보의 제3자
접근/처리 차단 동의 적용
 ‘tracking walls’는 금지하지 않음
 일반 브라우저 설정으로 유효한 동
의를 제시할 수 없음
 Tracking wall 금지 필요
 만약, 제안이 수용되려면 PbD 적용
하고 6개월마다 동의 철회권 안내
 소위 ‘consent fatigue’를 해결할
수 있는 방안 아님
 PbD 적용
 6개월마다 동의 철회권 안내
 Tracking wall 금지 필요
Device Tracking  디바이스 방출 ‘신호＇의 수집을 통
한 이용자 추적은 명시적인 공지가
대중에 공개되는 경우에만 허용
 동의는 불필요, 단 수집을 중단하거
나 최소화 할 수 있는 방안 안내
 동의 또는 익명화 필요
(GDPR 요구사항에 맞춤)
 추가 검토 필요
 동의 또는 익명화 필요
(GDPR 요구사항에 맞춤)
Enforcement  DPA가 감독 및 법집행 담당
 벌금은 최대 2천만 유로 or 전 세계
매출의 4% 가운데 큰 금액
 동의
 일부 위임 사항(delegations)에 대
한 추가 검토 필요
 동의

67. End of Document, any question?