상단여백
HOME ITㆍ정보보호
유럽 개인정보보호법(GDPR) 시행과 기업의 대응과제국내 기업도 유럽 개인정보 취급하면 GDPR 적용 가능성 높아

[시큐리티월드= 이인환 김·장 법률사무소 변호사] 유럽연합(EU)의 새로운 개인정보 보호법제인 GDPR의 시행이 이제 10개월여 밖에 남지 않았다. 2018년 5월 28일 발효되는 GDPR은 현행 EU 개인정보 보호지침에 비해 더 다양하고 복잡한 사항들을 담고 있는 것으로 평가되고 있는데, 그 내용 대부분이 별도의 입법 없이도 개별 회원국에 대하여 직접적으로 효력을 가지며, 위반 시에는 상당한 금액의 과징금(주요 위반의 경우, 전 세계 매출액의 4%에 해당하는 금액과 2,000만 유로 중 더 많은 금액을 한도로 함)이 부과될 수 있다.


GDPR의 효력은 EU 내에 설립된 기업은 물론, EU 외의 지역에 설립되어 있는 기업에 대해서까지 미칠 수 있다는 점에서, EU와 관련된 사업 활동을 영위하고 있거나 향후 이를 영위하려는 기업들로서는 그 내용을 이해하고 준수에 필요한 조치들을 점검·이행해둘 필요가 있다. 이하에서는 GDPR의 시행을 앞둔 현재, 우리 기업의 입장에서 참고가 될 만한 사항들을 간략히 공유해 보고자 한다.

GDPR의 적용범위
EU 내에 설립되어 있지 않더라도, EU 내에 있는 정보주체에 대한 재화·용역의 공급과 관련하여 해당 정보주체의 개인정보를 처리하는 기업, 또는 EU 내에 있는 정보주체의 EU 내에서의 행동에 대한 모니터링과 관련하여 해당 정보주체의 개인정보를 처리하는 기업 등에 대해서는 GDPR이 적용된다.

이 중 ‘재화·용역의 공급과 관련성’의 해석이 특히 유의미할 것으로 예상되는데, 어떤 기업이 EU 내 정보주체들의 개인정보를 수집하였다는 이유만으로 바로 이러한 관련성이 인정되지는 않겠으나, 해당 기업이 EU 내 정보주체들에 대한 재화·용역의 공급을 예견하면서 개인정보를 처리했다는 사정이 확인되면 관련성이 인정될 수 있는 것으로 전망되고 있다. 예컨대, 국내 기업이 운영하는 웹사이트라고 하더라도 그 내용 및 구성방식 등에 비추어 EU 내 정보주체들에 대한 재화·용역의 공급을 예정하고 있는 형태라면 GDPR이 적용될 수 있다는 것이다.

개인정보 처리의 근거
GDPR은 유효한 개인정보 처리의 근거가 되기 위해 동의가 갖추어야 하는 요건을 강화했다. 동의는 자유로운 의사에 기해, 동의하는 내용을 인지한 상태에서, 구체적이고 명확하게, 적극적인 행위를 통해 이루어져야 하고, 그러한 동의를 받기 전에 동의를 철회할 권리가 있다는 사실을 알려야 하며, 침묵이나 미리 체크되어 있는 박스, 부작위 등은 유효한 동의가 될 수 없다는 것이 GDPR 내에 명문화되어 있다.

한편, 정보주체의 동의 이외에도 정보주체를 당사자로 하는 계약의 이행, 법적 의무의 준수, 적법한 이익의 추구 등 여러 사정들이 개인정보 처리의 근거가 될 수 있는 바, 기업으로서는 지금 받고 있는 동의가 GDPR 하에서도 유효한 것으로 평가될 수 있을지, 동의가 아닌 다른 근거에 의해 처리가 적법해질 가능성은 없는지 등을 살펴보아야 할 것이다.

유럽 이외 지역으로의 개인정보 이전
유럽 외의 제3국으로의 개인정보 이전과 관련된 GDPR의 내용은 현행 EU 개인정보 보호지침과 크게 다르지 않다. 즉, GDPR에서도 제3국으로 개인정보를 이전하기 위해서는 일정한 조건 - EU 집행위원회로부터 ‘적정성 결정’을 받은 국가로의 이전, 표준 개인정보 보호 조항의 활용, 구속력 있는 기업규칙(BCRs)에 따른 이전 등 - 을 충족해야 하는데, 이를 위반한 경우 앞서 설명한 과징금의 대상이 된다는 점을 유의할 필요가 있다.

이와 관련된 위험을 최소화하기 위해서는, 우선 기업을 중심으로 하는 정보의 흐름에 대한 식별·정리가 선행되어야 할 것이며, 각 흐름별로 GDPR은 물론 개별 국가의 정보 보호법령 관점에서의 적법성 검토, 적용 가능한 이전방안의 비교평가 및 이행계획의 수립 등이 뒤따라야 할 것이다.

정보주체의 권리 보장
GDPR에서는 현행 EU 개인정보 보호지침에 비해 한층 더 다양화된 정보주체의 권리들에 대해 규정하고 있다. 열람 및 정정을 요구할 수 있는 권리에서 더 나아가, 잊힐 권리(Right to be Forgotten), 처리 제한을 요구할 권리(Right to Restriction of Processing), 정보의 이동을 요구할 권리(Right to Data Portability), 프로파일링을 포함한 자동화된 처리를 거부할 권리 등이 정보주체의 권리로서 보장되어 있으며, 개인정보를 수집할 때 일정한 사항들을 정보주체에게 전달하도록 하는 의무를 부과한 규정 또한 같은 목적으로 이해할 수 있다.

정보주체의 권리행사에 대해 적절한 대응이 이루어지지 않으면 역시 제재의 대상이 될 수 있다는 점에서, 기업들로서는 각 권리들의 구체적인 내용 및 권리 행사가 제한되는 예외사유 등을 숙지함과 아울러 정보주체의 요구에 대한 처리절차를 사전에 정립해둘 필요가 있다.

안전성 및 책임 추적성 확보를 위한 조치
GDPR 하의 컨트롤러는, 정보 처리가 GDPR에 따라 이루어짐을 보장하고 증명하기 위해 적절한 기술적, 관리적 조치들을 이행해야 한다. 처리활동에 관한 기록을 유지할 의무가 있고, 일정한 경우 개인정보 영향평가를 거쳐야 하며, 개인정보 침해가 발생하면 통지를 하도록 하는 등의 규정 또한 개인정보의 안전성을 보장하고 책임성을 확보하기 위한 일환으로 이해된다.

이러한 보호조치들의 이행은 사업자가 취해야 하는 보안조치들의 상세를 정하고 있는 국내 개인정보 보호법령의 준수와도 밀접하게 연관될 수 있는 바, 개인정보의 안전한 관리를 위해 현재 이루어져 있는 조치 내역, 정보보호와 관련하여 수립되어 있는 기업 내부의 지침 및 규정 등에 대한 검토를 통해 법령이 요구하는 바와 현황 사이의 간극을 확인하고 그에 맞는 보완 방안을 마련하여 이행에 나서는 것이 바람직하겠다.

국경을 초월한 단일 개인정보 보호법제의 시행이라는 유례없는 경험을 앞두고 있다. 개별 조항들이 실제로 어떻게 해석되고 집행될지 예상하기는 쉽지 않겠지만, 현황에 대한 이해 하에 가능한 범위 내에서 합리적인 수준의 준비를 해두는 것이 전인미답의 영역에서 발생할 수 있는 리스크를 최소화할 수 있는 길이 되리라 믿는다.
[글_ 이인환 김·장 법률사무소 변호사]

[시큐리티월드 (sw@infothe.com)]

[저작권자 © 시큐리티월드, 무단 전재 및 재배포 금지]

시큐리티월드의 다른기사 보기
icon인기기사
기사 댓글 0
전체보기
첫번째 댓글을 남겨주세요.
여백
여백
여백
여백
Back to Top