EU 개인정보보호규정(GDPR) 2018년 05월 25일 발효
- 상당수 우리 기업 역시 규정 적용대상으로 규정 숙지 필요 -
□ 개요
ㅇ 2018년 5월 25일부로 EU의 신 개인정보보호법이 발효됨(General Data Protection Regulation(GDPR) No. 2016/679).
- 집행위에 따르면, 현행 지침이 1995년에 발효된 만큼 그간 발전돼 온 인터넷 기술 및 환경변화를 반영하고 회원국별 상이한 법령 통일이 필요했다고 밝힘.
한편, 이번 제정된 법은 기존 지침(Directive)이 아닌 규정(Regulation) 형태로 법적 구속력이 더욱 강화됨.
ㅇ EU의 개인정보보호법 개정 주요 추진 일정
- 2012년 1월 25일, 집행위의 개인정보보호 규정 개정안 상정
- 2015년 12월 22일, EU 이사회·유럽의회·집행위 3자 간 개정안 합의 도출
- 2016년 4월 8일, 개정안 EU 이사회 통과
- 2016년 4월 14일, 개정안 유럽의회 통과
- 2016년 5월 4일, 규정(No.2016/679) 관보 공표
- 2018년 5월 25일, 규정 발효
□ 주요 규정 내용
ㅇ GDPR 적용 범위: EU 역내 정보 주체의 개인정보를 처리·활용하는 경우 적용
- 여기서 역내 정보 주체(소비자)는 국적 기준이 아닌 지리적 기준임을 유의해야 함.
사업장이 EU 역외에 있다 하더라도 역내 위치한 소비자에게 재화 및 서비스를 공급하는 경우 이번 규정의 적용을 받음.
- 즉, EU 내 거주 중인 우리 국민에게 재화 및 서비스를 공급하는 사업자들은 이번 규정 적용 대상임(예시: 유럽 거주 중인 한국인이 국내 온라인 쇼핑몰에서 물건을 구매한 경우).
- 이 밖에도, 특정 개인을 식별할 수 있는 정보처리의 경우 '개인정보'로 인정돼 규정에 적용됨.
다시 말해, 추가정보를 이용해 개인식별이 가능한 가명화(pseudonymization)의 경우 규정이 적용되지만 익명정보의 경우 적용대상이 아님.
ㅇ 정보처리의 엄격화
- (대리인 지정) EU 시민들의 정보수집 및 처리를 하는 모든 기업(역외기업 포함)은 반드시 역내 대리인을 지정(designate a representative) 해야 함.
. 다만, 개인정보 처리가 간헐적으로 발생하고 범죄 또는 민감정보가 아닌 경우, 공공기관의 경우 대리인 지정 의무가 아님.
- (정보관리자 임명) 공공기관, 정부기관 및 민감한 정보를 주기적으로 수집하는 기업의 경우 데이터보호 관리자(Data protection Officers: DPO)를 임명해야 함.
· 민감한 정보의 예시: 종교, 정치적 견해, 인종, 유전 또는 생체정보, 건강, 노동조합 가입여부 등
- (문서화) 기업 내 종업원 수가 250명 이상이거나 또는 범죄, 민감한 정보를 처리하는 경우 관련 기록을 문서화해두어야 함(전자문서 형태로도 가능).
. 문서화된 기록에는 정보처리의 주체, 목적, 범위, 제3국으로 이동 시 해당 국명, 정보 말소기한 등이 명시돼야 함.
- (고지의무) 개인정보 수집 및 이용하려는 기업은 해당 개인, 즉 정보제공자에게 아래와 같은 사항들에 대해 고지해야 할 의무를 지님.
· 개인정보 관리주체의 정보(기업명 및 연락처 등)
· 정보수집의 목적 및 관련 근거법령
· 정보의 보존기간(불가능한 경우, 기간을 규정지을 수 있는 기준 제시)
· 당사자 개인정보에 대한 접근, 정정 및 삭제할 수 있는 권리 정보
· 개인정보 침해 시, 관련 대응방안 및 피해보상 등의 구제수단
· 프로파일링 등 마케팅 목적으로 사용될 가능성 여부 등
- (리스크 관리) 개인정보를 처리하는 과정에서 개인의 자유가 침해되지 않도록 보다 안전하게 관리 및 보호해야 하며, 만약 리스크가 발생할 가능성이 있다고 판단될 시 개인정보보호에 미치는 영향을 평가 및 분석해야 함.
· 개인정보가 유출되는 경우 기업은 해당국 감독기관으로 72시간 내에 보고해야 하며 정보유출이 해당개인에게 영향을 미치는 경우 당사자로도 이 같은 사실을 통지해야 함.
ㅇ 명확한 동의
- 기업은 정보주체의 명확한 동의(Explicit consent)를 받아야만 개인정보 처리를 할 수 있음.
즉, 모호하고 암묵적인 동의는 동의로 간주되지 않으며 정보주체의 적극적인 행동(by clear affirmative action)이 수반돼야 함.
- 일례로, 아래와 같이 동의란에 미리 체크된 박스는 더 이상 허용되지 않음.
< 더 이상 허용되지 않는 사전 체크 박스 예시 >
- 한편 공공이익, 법적소송 제기, 정보제공자와 정보처리자(기업) 간 이루어졌던 계약 이행 등의 경우 예외를 둠.
- 이 밖에도, 기업은 정보제공자의 동의 없이 관련 개인정보를 이용하거나 제3자에게 제공할 수 없음.
ㅇ 개인의 정보 통제권 강화
- (정보 철회 권리) 정보제공자는 언제든지 본인의 정보제공에 대한 동의를 철회할 수 있으며, 원하지 않을 시 인터넷에 올라온 본인 개인정보를 삭제할 수 있는 권리를 지님.
· 다만, 공공보건분야 혹은 통계·역사적·과학적 연구목적으로 관련 정보가 필요한 경우는 제외
- (접근성 용이) 개인은 기업으로 본인의 정보 열람 혹은 정보처리현황에 대해 요구할 수 있으며, 원하는 경우에는 정보사본 역시 요청할 수 있음. 또한 본인 정보에 대해서 정정할 수 있는 권리를 지님.
· 정보제공자가 기업으로 본인의 개인정보 취급현황을 요청하는 경우, 기업은 요청받은 일로부터 1개월 내에 관련 정보를 제공해야 함(다만, 요청자가 많은 경우 회신기한은 최대 2개월로 연장가능하며 연장하는 경우 합법적인 이유를 제시해야 함).
- (프로파일링 거부권) 자동화된 개인정보처리를 통해 개인별 특정행동이나 수행능력, 선호도 등을 유출해 내는 프로파일링과 같은 마케팅 목적으로 활용될 수 있는 본인의 개인정보처리에 대해서 거부할 권리가 부여됨.
- (정보 이동 권리) 자신의 정보전체를 제 3자로의 이전을 요구할 권리(right to data portability)를 지님.
ㅇ EU 개인정보 역외이전
- EU 시민들의 개인정보 역외이전은 제3국이 EU와 상응하는 수준의 정보보호체계를 갖추고 안전한 보호수준을 보장하는 경우에만 이전될 수 있음.
- 집행위는 개인정보보호 적정성 평가를 실시하며 보호체계가 높다고 인정된 국가에 한해서만 정보이동을 승인하게 됨. EU로부터 승인을 받지 못한 제3국 기업의 경우 EU 행동강령, 기업규칙 준수 등을 통해 정보가 안전하게 보호되고 있다는 사실을 증명하는 경우에 한해 역외이전이 가능함.
☞ (참고) EU의 적정성 평가 승인 국가(2018년 5월 4일 확인 기준)
안도라, 아르헨티나, 캐나다, 페로제도, 건지섬(Guernsey), 이스라엘, 맨섬(Isle of Man), 저지섬(Jersey), 뉴질랜드, 스위스, 우루과이, 미국(일부)
- 한국의 경우, 현재 방통위에서 EU 적정성 평가 협의를 추진 중에 있으며 EU 집행위 역시 적정성 승인국으로 한국과 일본을 우선적으로 검토한다고 밝힌 바 있음(2017년 1월 10일, Communication 자료).
· KOTRA 브뤼셀 무역관에서 파악한 바로는, 향후 한국이 EU의 적정성 평가에서 통과되면 전체 GDPR 규정에서 벗어나게 된다고 여기는 우리 기업이 상당수 있는 것으로 나타남.
. 만약 승인되더라도 이는 전체 규정의 일부인 '정보의 역외이전' 부분에 대해서만 인정되는 것이며, GDPR 규정은 그대로 적용받음을 유의해야 함.
ㅇ 높은 과징금 부과
- 현재 기업들이 가장 우려하고 있는 사항으로, 규정을 위반하는 기업에 대해서는 최대 2000만 유로 또는 전 세계 매출액의 4% 중에서 더 높은 금액으로 과징금이 부과됨.
- 이에 대해, 벨기에 GDPR 전문 변호사 Mr. Dumortier는 브뤼셀 무역관과의 면담에서 이 같은 과징금은 EU에서 부과할 수 있는 최대 규모이므로 너무 걱정하지는 말라고 밝힘.
. 기업이 규정을 위반하는 경우, 막대한 과징금이 즉각 부과되는 것이 아니라 '경고 → 견책 → (데이터 처리 활동의) 정지→벌금' 등 단계적으로 진행될 것이라고 전함.
. 다만, 회원국 재량 및 규정 위반정도에 따라 단계별이 아닌 바로 특정단계의 제재부과로 이어질 가능성은 있다고 덧붙임.
- 참고로 GDPR 내의 과징금 부과 산정기준으로는 위반의 중대성, 의도성, 위반으로 인해 영향을 받는 개인정보 종류, 정보주체의 피해를 경감하기 위한 기업 조치 등 다양한 산정기준이 있음.
< GDPR 단계별 제재 >
ㅇ GDPR 모니터링 체계
- (조사) 제보 또는 신고를 통해 조사가 착수되는데, 랜덤 조사보다는 제보(신고) 후 조사에 착수하는 사례가 더 많을 것으로 전망되고 있음.
· 예시 : 경쟁기업 간 제보, 해고된 직원이 악의를 품고 기업을 고발하는 사례 등
- (회원국 별 진행상황) 현재 각 회원국은 전담부서를 구성 후 모니터링 시스템을 구축중이나 회원국별 집행 준비체계가 상이한 상황임.
. 독일의 경우 집행준비가 마무리된 상황이나 동유럽의 경우에는 여전히 미흡함. 벨기에는 현재 신설 전담반 구성중에 있음.
□ 전망 및 시사점
ㅇ 집행위 담당자는 기업의 역내 활동을 저하하기 위해 GDPR 규정을 마련한 것이 아니라 조화롭고 통일된 규제환경을 조성해 기업 비즈니스 활동을 보다 용이하게 만들기 위해 제정했다고 밝힘.
- 역내 다수 회원국 내에서 활동하는 기업들의 경우, 기존에는 각 회원당국별로 일일이 접촉해야 하는 등 번거로운 점이 다소 있었으나 이번 규정에 따라 역내 One-stop-shop 한 곳만 상대하면 되므로 기업활동이 더욱 편리해 질 것이라고 전함.
ㅇ 이 밖에도, 현재까지 대부분의 기업은 명확한 목적 없이 개인정보를 무작위로 수집하고 처리해 왔다고 덧붙임.
향후 GDPR 규정에 따라, 기업들의 마구잡이식 정보수집 활동은 사라지고 데이터를 왜 수집하고 어떻게 처리해야 할 것인지를 한 번 더 점검하는 등 신중한 처리활동이 예상돼 EU의 개인정보보호 체계가 한층 강화될 것으로 전망함.
ㅇ 다만, 이번 규정에서는 명시적 동의, 대리인 지정, DPO 임명 등 기업이 준수해야 할 수많은 규칙 및 절차들이 담겨있어 우리 기업들에 현실적으로 큰 부담을 줄 것으로 예상되며, EU 진출의 또 다른 비관세장벽으로 작용될 가능성이 높다고 판단됨.
ㅇ EU의 개인정보보호 규정 발효일이 얼마 남지 않은 현재, 우리 기업의 대응 준비는 여전히 미흡한 것으로 파악되고 있음. 또한 해당 기업 활동이 EU 규정에 적용되지 않을 것이라고 여기는 우리 기업들이 상당히 많은 것으로 나타남.
- 역내 거주 중인 한국인이 사용하는 국내 온라인 쇼핑몰 등 유럽 거주자의 개인정보를 다루는 기업 역시 규제 대상인 바, EU에 재화 및 서비스를 제공 중인 우리 관련 기업들은 이번 발효되는 GDPR 규정을 꼼꼼하게 숙지하고 대비해야 할 필요가 있음.
ㅇ 이를 위해, 한국 인터넷 진흥원에서는 관련 가이드라인을 발간하고 기업창구 역할을 맡을 유럽 현지사무소 개최계획을 세우는 등 정부차원에서도 우리 기업 대응을 위해 적극적으로 지원 중임.
GDPR 관련 세미나 역시 정기적으로 개최하고 있는 바, 우리기업들의 적극적인 참여가 요구됨.
자료원: EU 집행위, 유럽의회, EU 이사회, 행정자치부 보도자료, 한국인터넷진흥원, 한-EU 간담회, GDPR 전문 변호사 면담 및 KOTRA 무역관 의견 종합