[아이뉴스24 성지은 기자] 페이스북이 개인정보 유출로 주가 폭락, 이미지 훼손 등 위기를 겪는 등 개인정보보호의 중요성은 그 어느 때보다 강조되고 있다.
더욱이 개인정보보호 패러다임을 바꿀 유럽 개인정보보호법(GDPR) 시행도 두 달 앞으로 다가왔다. 이에 대응하는 국내 기업과 정보보호 업계 발걸음도 빨라지고 있다.
GDPR은 EU 회원국 간 자유로운 개인정보 이동을 보장하고, 정보주체의 개인정보보호권을 강화한 법안으로 오는 5월 25일 본격 시행된다.
EU 소속 28개 회원국에 공통 적용되며 EU 기업은 물론 EU에서 사업을 하는 역외 기업도 대상이다. 관련 조항만 99개에 달할 정도로 적용 범위와 내용이 광범위하다.
문제는 심각한 위반 시 해당 기업의 유럽 시장 내 사업 제재는 물론 과징금 폭탄까지 우려된다는 점. 최대 2천만유로(한화 약 264억원)나 글로벌 매출액의 4% 중 많은 금액을 과징금으로 부과받을 수 있다.
따라서 올해 첫 시행돼 그 파장을 가늠하기 어려운 GDPR 대응 방안 마련에 우리 기업들 고민도 깊어지고 있다.
SK인포섹은 최근 영국계 대형법률회사 DLA 파이퍼(Piper)와 기업 고객을 대상으로 'GDPR에 대한 글로벌 동향 및 사례 세미나'를 열고 GDPR 대응방안을 공유했다.
다음은 세미나에서 나온 GDPR 관련 질의응답(Q&A).
GDPR에서 말하는 개인정보란 무엇인가
"GDPR은 사람과 관련된 모든 정보를 개인정보로 정의한다. 이름, 성별, 주소 등 정보주체가 누구인지 알 수 있는 기본 정보 외에 개인성향, 인터넷 검색 기록 등도 포함된다. 특히 개인정보 중에서 인종, 성적 취향, DNA 등 생체정보는 특별히 관리해야 하는 민감정보다."
어떤 기업이 GDPR 적용대상이 되나
"여러가지 시나리오가 있다. 한국에 본사를 둔 기업을 기준으로 EU 역내 국가에 자회사를 둔 경우 해당 사업장은 무조건 GDPR 적용 대상이 된다. 만약 유럽 내 개인정보를 수집해 한국 본사로 이전하고자 한다면, 데이터 이전 계약서를 체결해야 한다. 한국에서 GDPR을 준수한다는 약정을 체결하는 거다. 이 같은 계약 없이 개인정보를 이전해서는 안 된다.
한국 기업이 EU에 실제로 상품이나 서비스를 판매하지 않고 유럽 거주자의 정보를 모니터링해도 GDPR의 적용을 받는다. 가령 커넥티드카, 소비자 행동분석 소프트웨어 등을 EU 시민 대상으로 작동한 경우다.
유럽 기업과 협력하는 한국 기업도 영향을 받는다. GDPR은 유럽 회사가 다른 회사와 일할 때, 개인정보보호법에 우호적인 성향을 가진 회사와 일해야 한다고 의무화했기 때문이다.
가령 한국 소프트웨어를 구매할 때, 해당 기업이 개인정보보호법에 우호적인지, 개인정보를 보호하는 기능을 갖췄는지 물어보고 제품 구매를 선택할 수 있다."
개인정보를 수집할 때 일일이 동의받아야 하나
"개인정보를 수집할 때 동의를 받는 것은 개인정보를 수집하는 방법 중 하나다. 반드시 동의를 받아야 하는 건 아니다. 다른 법적인 근거를 가지고 개인정보를 수집할 수 있다. 유럽 같은 경우 6개의 법적 근거가 있다. 이 근거를 가지고 개인정보를 수집하는 게 중요하다.
기존 법과 GDPR의 가장 큰 차이점은 동의를 정의했다는 사실이다. 동의라는 충분히 알려지고(Informed) 자유롭게 기회가 주어졌으며(Freely Given) 구체적이고(Specific) 의도가 명확(Unambiguous Indication)해야 한다. 예전에 동의받을 땐 진짜 동의가 아니지 않았나.
또 중요한 점은 상대방이 동의했는지 기업이 증명해야 하는 점이다. 동의서를 받을 때 기술적 솔루션을 이용하고 누가 물어봤을 때 증명할 수 있어야 한다. 예를 들어, 4월 20일 11시에 동의했다는 사실을 기록하고 증명할 수 있게 정보를 관리해야 한다.
특히 민감한 정보는 단순히 동의를 받은 것만으로 충분하지 않다. 명확한 동의가 필요하다고 GDPR은 기술하고 있다. 다만 명확한 동의가 무엇인지는 아직 모른다. "
미성년자(Children) 데이터 수집은 가능한가
"한국은 14세 미만일 경우 부모나 보호자의 동의를 받는다. 유럽에서는 16세 미만을 기준으로 동의를 요구하지만, 국가마다 기준이 다르다. 따라서 개별 국가마다 이해가 필요하다. 국가에 따라 14세 미만을 기준으로 제시할 수도 있다."
직원 개인정보 수집시 근로계약을 맺으면 동의로 볼 수 있나
"유럽에서도 여전히 논의 중인 사항이다. 직원과 회사의 관계는 불평등하기 때문에 동의를 받더라도 유효하지 않다는 판결이 날 수 있다.
계약을 이행하기 위한 필수정보만 수집할 것을 제안한다. 이름, 연락처, 계좌번호 같은 정보는 업무, 급여지급을 위해 필요한 기초적인 정보다. 반면 개인 취향 같은 정보를 수집하는 건 다른 문제다. "
정보는 원하는 만큼 수집하고 보관해도 되나
"아니다. GDPR은 목적에 맞게 필요한 만큼만 정보를 수집하도록 한다. 한국의 개인정보보호법과 같이 GDPR도 정보 수집 최소화(Data Minimization)를 목표로 한다. 다만 많은 기업이 이를 어려워하고 있다. 여전히 많은 정보를 수집하길 원하고 정보를 수집해서 어떻게 활용할 건지 명확하지 않기 때문이다.
수집한 정보는 필요가 없어지면 폐기해야 한다. 그러나 이 또한 기업들이 현실적으로 어려워하는 부분이다. 평균적으로 90%의 기업이 정보를 영원히 보관한다고 응답했다.
GDPR은 투명성을 강조한다. 개인정보 주체에게 기업이 어떤 목적으로 얼마나 오랫동안 정보를 보관하고 있는지 통지하도록 했다. 관련 내용은 정보주체가 이해하기 쉽게 기재돼야 한다. 예전에는 기업들이 문구를 어렵게 적어 아무도 읽지 않았다. 그러나 GDPR은 개인정보 주체가 이해하기 쉽게 기술하도록 의무화했다."
개인정보 처리를 아웃소싱할 수 있나. 이에 따른 문제는
"데이터 프로세서(개인정보취급자)에게 아웃소싱할 때 GDPR 준수를 확인하는 게 중요하다. 데이터 프로세서와 계약(Data Processing Agreement)을 체결해야 한다. 만약 데이터가 필요 없어지면 삭제하는 등 GDPR을 확실히 준수하도록 해야 한다. 만일 데이터 프로세서가 재하청을 줄 경우, 역시 비슷하게 계약을 맺도록 데이터 컨트롤러(개인정보처리자)가 요구해야 한다."
개인정보를 EU가 아닌 한국으로 이전할 때 절차는 있나
"한국으로 정보 이전하기 위해서는 데이터 이전 계약을 체결해야 한다. 유럽 집행위원회(EC)에서 공식 문서를 내려받아 두 회사의 이름을 기재하고 어떤 정보를 어떤 목적으로 사용하는지 기술해 제출하면 된다. 또 GDPR 준수에 동의해야 한다.
모두 같은 그룹 소속사라면 BCR(Binding Corporate Rules)을 체결할 수 있다. 일종의 합의로, 그룹에 속한 회사는 세계 어디에 있든 GDPR에 동의한다고 약정하는 거다. 다만 EU 역내 허가를 받아야 하는데 이 절차가 굉장히 번거로울 수 있다.
마지막으로 가장 좋은 방법은 한국과 유럽이 약정을 체결해 데이터가 국가 간에 자유롭게 이전될 수 있도록 하는 거다. 정보이전 허용국가, 이른바 '화이트 리스트' 등재되면 가능하다. 현재 캐나다, 호주, 아르헨티나 등 8개 국가가 등재됐다. 한국과 일본 정부도 논의 중이나, 아직 결정되지 않았다."
최고정보보호책임자(DPO) 지정해야 하나
"의무대상일 경우 지정해야 한다. (GDPR은 해당 법 제37조 제1항에서 3가지 조건 중 하나라도 해당될 경우 DPO를 채용토록 의무화했다.) 의무대상은 공공기관, 민감정보 대량 처리업체, 많은 이들의 성향이나 습관을 모니터링하는 회사다. DPO 지정과 관련된 가이드라인이 발행됐다. 참조하면 사례를 확인할 수 있다."
과징금은 어떻게 산정되나
"GDPR 과징금 산정에는 11가지 기준이 있다. 평상시에 기술적 조치를 취했는지, 미리 감독기구와 협조했는지 등을 기준으로 산정한다. GDPR의 중요한 원칙 중 하나는 행동했다는 거만으로 충분하지 않다는 점이다. 관련 법을 준수했다는 것을 기록하는 게 중요하다."
성지은기자 [email protected]
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기