- 한국인터넷진흥원(2020), 『우리 기업을 위한 2020 EU 일반 개인정보보호법 가이드북』
2018년 5월 유럽연합(EU)은 개인의 권리와 자유를 보호하기 위해 「일반 개인정보보호법(General Data Protection Regulation)」(이하 GDPR)을 시행했다. GDPR은 EU 지역에 진출한 기업뿐 아니라, EU 지역에서 수집된 개인정보를 위탁받거나 EU 지역에 온라인으로 상품·서비스를 제공하는 기업에도 적용될 수 있다. 특히, 구글, H&M 등이 EU 국가에서 GDPR 위반하여 구글이 5,000만 유로, H&M이 3,500만 유로의 과징금을 받으면서 GDPR 규제의 중요성이 부각되고 있다. GDPR 시행 3년간 누적 과징금 총액은 2억 7,287만 유로(약 3,675억 원)에 이른다. 지금까지 과징금을 부과받은 한국 기업은 없지만, EU 시장에서 개인정보를 수집하는 역외기업까지 GDPR 적용대상이므로 한국 기업의 대비는 필수적이다. GDPR 시행 후 브렉시트(Brexit)로 EU 회원국에서 탈퇴한 영국, EU 회원국 프랑스, EU 밖의 일본 등 주요 국가의 관련 자료와 EU 판결이나 과징금 부과사례 등을 참조하여 우리 기업에 실질적이고 구체적인 도움을 제공하기 위해 한국인터넷진흥원이 발간한 『우리 기업을 위한 EU 일반 개인정보보호법(GDPR) 가이드북』은 중요한 의미가 있다.
GDPR 바로 알기
GDPR은 정보주체의 개인정보에 대한 권리 보호와 자유로운 이동을 동시에 보장하는 것을 목적으로 한다. 정보 주체의 권리가 개인정보 삭제권, 처리 제한권, 정보이동권, 반대권(거부권) 등의 신규 권리 추가로 확대·강화됐으며, 개인정보 처리 활동의 기록, 개인정보 책임관(DPO) 지정, 개인정보 영향평가, 개인정보의 기본 설정 등을 규정해서 기업의 책임성도 강화했다. 또한, GDPR은 개인정보를 “식별되었거나 식별 가능한 자연인과 관련된 모든 정보”로 정의하고, △자연인이 사용하는 장치·애플리케이션·도구와 프로토콜을 통해 제공되는 개인식별이 가능한 경우의 IP 주소, 쿠키 ID, RFID(무선인식) 태그 등을 개인정보(온라인 식별자)에 포함시켰고, △위치정보와 특수한 범주의 개인정보(민감정보)인 유전정보와 생체 인식정보를 명시적으로 규정했으며, △개인정보의 가명처리(pseudonymisation) 개념을 명문화해 분리 보관 및 특별조치 등을 하도록 하여 개인정보를 활용할 수 있게 했다.
개인정보는 △합법성·공정성·투명성 원칙, △목적 제한의 원칙, △개인정보 최소 처리의 원칙, △정확성의 원칙, △보유기간 제한의 원칙, △무결성과 기밀성의 원칙, △책임성의 원칙 등 7가지 원칙을 모두 준수하여 처리해야 한다(제5조). 또한, 개인정보 처리의 경우에도 보호장치를 위해 다양한 의무가 부가된다. △개인정보책임관(DPO) 지정, △처리활동의 기록, △개인정보 처리 보안 기준 적용, △정기적인 개인정보 영향평가 수행, △제3국 및 국제기구로의 개인정보 역외 이전, △국가 감독기구 협조 의무 등이 그 내용이다. 개인정보 처리 자체도 제재의 직접적인 적용대상이 되며(제83조), GDPR 요구 사항을 충족하지 못할 경우 정보주체로부터 배상을 요구받을 수 있다(제79조).
컨트롤러는 개인의 권리와 자유를 훼손할만한 침해가 발생한 경우, 사실을 인지한 시점으로부터 72시간 내 감독기구에 신고해야 하며, 개인의 자유와 권리에 높은 위험이 예상될 때는 지체없이 침해 사실을 정보주체에게 통보해야 한다. 감독기구에 72시간 내 신고하지 않은 경우 지체된 사유를 함께 신고해야 한다. 개인정보 처리에 따라 제재 규정을 적용하며, ‘사업체 집단’ 매출을 바탕으로 과징금을 부과한다. 일반적인 위반의 경우 직전 회계연도의 전 세계 매출액의 2% 또는 1천만 유로 중 더 큰 금액을 상한으로 하여 부과하고, 심각한 위반의 경우 직전 회계연도의 전 세계 매출액의 4% 또는 2천만 유로 중 더 큰 금액을 상한으로 하여 부과한다.
개인정보는 △합법성·공정성·투명성 원칙, △목적 제한의 원칙, △개인정보 최소 처리의 원칙, △정확성의 원칙, △보유기간 제한의 원칙, △무결성과 기밀성의 원칙, △책임성의 원칙 등 7가지 원칙을 모두 준수하여 처리해야 한다(제5조). 또한, 개인정보 처리의 경우에도 보호장치를 위해 다양한 의무가 부가된다. △개인정보책임관(DPO) 지정, △처리활동의 기록, △개인정보 처리 보안 기준 적용, △정기적인 개인정보 영향평가 수행, △제3국 및 국제기구로의 개인정보 역외 이전, △국가 감독기구 협조 의무 등이 그 내용이다. 개인정보 처리 자체도 제재의 직접적인 적용대상이 되며(제83조), GDPR 요구 사항을 충족하지 못할 경우 정보주체로부터 배상을 요구받을 수 있다(제79조).
컨트롤러는 개인의 권리와 자유를 훼손할만한 침해가 발생한 경우, 사실을 인지한 시점으로부터 72시간 내 감독기구에 신고해야 하며, 개인의 자유와 권리에 높은 위험이 예상될 때는 지체없이 침해 사실을 정보주체에게 통보해야 한다. 감독기구에 72시간 내 신고하지 않은 경우 지체된 사유를 함께 신고해야 한다. 개인정보 처리에 따라 제재 규정을 적용하며, ‘사업체 집단’ 매출을 바탕으로 과징금을 부과한다. 일반적인 위반의 경우 직전 회계연도의 전 세계 매출액의 2% 또는 1천만 유로 중 더 큰 금액을 상한으로 하여 부과하고, 심각한 위반의 경우 직전 회계연도의 전 세계 매출액의 4% 또는 2천만 유로 중 더 큰 금액을 상한으로 하여 부과한다.
기업의 책임성 강화
GDPR은 영세 중소기업 상황을 고려하여, 종업원 수 250명 이상의 기업을 대상으로 개인정보 처리 활동을 의무적으로 문서화해서 보유하도록 규정하고 있다. 해당 기업이 수행하는 개인정보 처리가 △정보주체의 권리와 자유에 위험을 초래할 가능성이 있거나 지속적인 개인정보 처리, △민감정보 처리, △범죄경력 및 범죄행위에 관련된 개인정보 처리 중 하나에 해당하면 종업원 수와 무관하게 개인정보 처리 활동의 기록을 남겨야 한다. 또한, 기업은 개인정보 영향평가를 실시해서 GDPR 요구 사항 준수를 위한 적절한 조치를 해야 한다.
새로운 기술을 사용하고 그 처리 유형이 개인의 권리와 자유에 높은 위험을 초래할 가능성이 있는 경우, 개인정보 처리 이전에 예상되는 개인정보 처리에 대한 영향평가를 수행해야 한다. 의무적인 개인정보 영향평가 수행 대상은 △자동화된 처리에 근거해서 이루어진 개인에 대한 체계적이고 광범위한 평가가 해당 정보주체에게 법적 효력을 미치거나 이와 유사하게 중대한 영향을 미치는 경우, △민감정보 또는 범죄정보에 대한 대규모 처리를 하는 경우, △공개적으로 접근 가능한 장소에 대한 대규모의 체계적인 모니터링을 하는 경우(예: CCTV)이다.
새로운 기술을 사용하고 그 처리 유형이 개인의 권리와 자유에 높은 위험을 초래할 가능성이 있는 경우, 개인정보 처리 이전에 예상되는 개인정보 처리에 대한 영향평가를 수행해야 한다. 의무적인 개인정보 영향평가 수행 대상은 △자동화된 처리에 근거해서 이루어진 개인에 대한 체계적이고 광범위한 평가가 해당 정보주체에게 법적 효력을 미치거나 이와 유사하게 중대한 영향을 미치는 경우, △민감정보 또는 범죄정보에 대한 대규모 처리를 하는 경우, △공개적으로 접근 가능한 장소에 대한 대규모의 체계적인 모니터링을 하는 경우(예: CCTV)이다.
개인정보 역외 이전 문제
다국적 기업의 경우 개인정보 역외 이전은 중요한 이슈이다. 개인정보를 EU 역외로 이전하기 위해서 이전하는 정보의 항목, 정보 수출자, 정보 수입자, 이전받는 목적, 정보의 흐름, 적절한 안전조치 등이 확인되어야 한다. GDPR 규정상 역외 이전이 가능한 경우는 △적정성 결정에 따른 이전, △적절한 보호조치에 의한 이전(구속력 있는 기업 규칙, 표준 개인정보 보호 조항, 인증제도, 행동규약 등), △간헐적 이전의 경우 적정성 결정 또는 적절한 보호조치 없이 발생할 위험을 고지받은 정보주체가 명시적으로 동의한 예외적 특정 상황 등이다.
EU 집행위원회가 제3국 또는 국제기구에 대해 적정성 결정을 내린 경우 개인정보 이전이 가능하다. EU 역외의 적정성 결정을 받은 국가로의 개인정보 이전은 EU 역내에서의 개인정보 이전과 유사하게 취급된다. 또한, 적절한 보호조치를 마련하여 정보주체가 행사할 수 있는 권리와 유효한 법적 구제가 제공되는 조건으로 제3국 또는 국제기구에 개인정보를 이전할 수 있다. 적절한 보호조치로는, △정부부처 또는 관련 기관 간 법적 구속력이 있고 집행할 수 있는 장치, △구속력 있는 기업 규칙(BCR), △표준 개인정보보호 조항, △승인된 행동규약 및 인증제도 등이 있다. 표준 개인정보보호 조항의 세부 내용은 EU 개인정보보호 원칙을 명시하며, △정보 수출자와 수입자의 연락처 등 기본 정보 △이전되는 정보 유형 및 민감정보·형사 범죄 관련 정보의 포함 여부, △개인정보 처리의 목적 및 유형 등이 담겨야 한다. 기업에서 채택한 규칙이 법적 구속력을 가지려면 관할 감독기구의 승인이 필요하다. 기업이 기업 규칙을 감독기구에 승인 요청하면, 감독기구는 개인정보보호에 필요한 조치를 갖추었는지 판단해서 인증한다. 구속력 있는 기업 규칙은 기업 집단의 모든 구성원에게 적용되기 때문에 다국적 기업이 승인을 받으면 기업 내 개인정보의 역외 이전이 가능하다.
3월 말 EU 집행위원회는 한국에 대해 초기 적정성 결정을 내림으로써, 우리의 개인정보보호 법체계가 GDPR과 동등한 보호 수준을 제공하는 국가로 승인했다. EU 집행위원회가 최종 결정을 내리면, 우리 기업은 표준 개인정보보호 조항 등 별도의 절차 없이 EU 시민의 개인정보를 국내로 이전 및 처리가 가능해질 것이다. GDPR의 명확한 이해 속에서 한국 기업의 EU 시장 진출은 더욱 편리하게 확대될 것이며, 국내 데이터 산업의 활성화에도 크게 기여할 수 있을 것으로 전망된다.
EU 집행위원회가 제3국 또는 국제기구에 대해 적정성 결정을 내린 경우 개인정보 이전이 가능하다. EU 역외의 적정성 결정을 받은 국가로의 개인정보 이전은 EU 역내에서의 개인정보 이전과 유사하게 취급된다. 또한, 적절한 보호조치를 마련하여 정보주체가 행사할 수 있는 권리와 유효한 법적 구제가 제공되는 조건으로 제3국 또는 국제기구에 개인정보를 이전할 수 있다. 적절한 보호조치로는, △정부부처 또는 관련 기관 간 법적 구속력이 있고 집행할 수 있는 장치, △구속력 있는 기업 규칙(BCR), △표준 개인정보보호 조항, △승인된 행동규약 및 인증제도 등이 있다. 표준 개인정보보호 조항의 세부 내용은 EU 개인정보보호 원칙을 명시하며, △정보 수출자와 수입자의 연락처 등 기본 정보 △이전되는 정보 유형 및 민감정보·형사 범죄 관련 정보의 포함 여부, △개인정보 처리의 목적 및 유형 등이 담겨야 한다. 기업에서 채택한 규칙이 법적 구속력을 가지려면 관할 감독기구의 승인이 필요하다. 기업이 기업 규칙을 감독기구에 승인 요청하면, 감독기구는 개인정보보호에 필요한 조치를 갖추었는지 판단해서 인증한다. 구속력 있는 기업 규칙은 기업 집단의 모든 구성원에게 적용되기 때문에 다국적 기업이 승인을 받으면 기업 내 개인정보의 역외 이전이 가능하다.
3월 말 EU 집행위원회는 한국에 대해 초기 적정성 결정을 내림으로써, 우리의 개인정보보호 법체계가 GDPR과 동등한 보호 수준을 제공하는 국가로 승인했다. EU 집행위원회가 최종 결정을 내리면, 우리 기업은 표준 개인정보보호 조항 등 별도의 절차 없이 EU 시민의 개인정보를 국내로 이전 및 처리가 가능해질 것이다. GDPR의 명확한 이해 속에서 한국 기업의 EU 시장 진출은 더욱 편리하게 확대될 것이며, 국내 데이터 산업의 활성화에도 크게 기여할 수 있을 것으로 전망된다.