유럽연합 GDPR (개인정보 보호법) (3)
(지난 호에서 이어집니다.)
GDPR은 개인정보를 처리하는 컨트롤러 회사가 지켜야 하는 여러 가지 의무사항에 대해 다음과 같이 명시하고 있다.
1) 컨트롤러는 자사 홈페이지를 통해 GDPR을 지키겠다는 뜻을 밝히고 정보주체의 권리가 무엇인지 상세하게 기록해야 한다 (정보제공의무, 제13조).
2) 또한 정보처리 기록부를 작성해야 한다 (정보처리 기록의무, 제30조).
3) 컨트롤러가 개인정보 처리 기술 및 서비스를 제공하는 프로세서를 통해 정보를 처리할 경우 항상 정보관리를 잘하겠다는 약정을 체결해야 한다 (컨트롤러-프로세서 계약<CPA> 또는 정보처리 계약 <DPA> 프로세서 회사 관리의무, 제28조).
4) 컨트롤러와 프로세서는 개인정보 안전을 위한 기술적, 조직적 조처를 일목요연하게 열거해 둔 문서인 TOM을 작성해야 한다 (정보처리 보안의무, 제32조).
5) 컨트롤러 회사가 정보주체의 권리와 자유를 침해할 수 있는 잠재적 위험이 높은 정보처리를 계획하는 경우, 그 영향을 미리 평가해야 한다 (정보 영향평가<PIA> 수행의무, 제35조).
6) 규모가 큰 기업의 경우 반드시 기업의 개인정보 처리 과정을 교육하고 감시하는 정보관리책임자를 지정해야 한다 (정보관리 책임자<DPO> 지정의무, 제37조).
2. 한국 회사가 GDPR을 대비해야 하는 이유
GDPR의 관점에서 “한국 회사”는 누구인가? “한국 회사”는 EU (유럽연합, 유럽)에 실제로 진출해 있는 한국 회사뿐만 아니라, 유럽 진출 자회사의 한국 본사, EU 사용자에게 서비스를 제공하는 한국 내 회사를 의미한다. 즉, 유럽 내 법인은 말할 것도 없고 유럽에 법인을 둔 한국 그룹 본사도 컨트롤러 회사에 해당한다.
한국 본사는 유럽 법인으로부터 직원들의 정보, 급여정보 등을 포함한 개인정보 및 사업정보를 전달받기 때문에 공동 컨트롤러(Joint Controller)인 경우가 많다. 따라서 유럽 법인뿐만 아니라 한국 본사까지도 유럽 GDPR의 직접적인 적용을 받는다는 점을 명심해야 한다. 유럽 주재 한국계 직구 회사, 대기업 자회사 등도 모두 GDPR의 적용 대상이다. 유럽에 서비스와 재화를 제공하는 한국 내의 회사 (예를 들어서 카카오톡)도 GDPR의 적용을 받는 한국 회사이다.
한국에 본사가 있는 대기업들이 EU의 GDPR 적용을 받는 이유는 GDPR의 역외적용 효과 때문이다. 미국 역외에서 미국 달러로 뇌물을 공여한 경우에 미국 사법관할이 성립하는 것과 유사한 원리이다. 이렇게 GDPR은 EU 주민의 개인정보를 처리함에 있어서 역외 불법 행위에 관하여도 처벌이 가능하도록 입법한 유럽 법률이다. 유럽 내에서 부과된 벌금은 한국 법원을 통하여 집행될 수 있다.
개인정보의 개념과 그 적용 범위는 매우 넓기 때문에 유럽 비즈니스를 하는 99%의 회사는 GDPR의 적용 범위에 포함된다고 할 수 있다. 사업의 규모와 관계없이 개인 정보를 취급하지 않는 회사는 없다. 유럽에 진출한 대기업들은 말할 것도 없고, 유럽에 사용자를 두고 있는 유럽 밖(역외)의 회사의 경우도 마찬가지이다.
만약 어떤 회사가 유럽연합 주민에게 상품(=재화)과 서비스(=용역)를 제공하고 있거나, 비록 상품과 서비스를 제공하지는 않지만, 유럽연합 주민의 행위를 모니터링하고 있다면, 그 회사는 GDPR 제3조에 따라서 직접적 법적용 대상이 된다.
| 제3조 영토의 범위 1. 본 규정은 유럽연합 역내의 컨트롤러 또는 프로세서의 사업장의 활동과 관련한 개인정보의 처리에 적용되는데, 이때 정보처리가 유럽연합 역내 또는 역외에서 이루어지는지 여부는 고려하지 않는다. 2. 본 규정은 유럽연합 역내에 사업장을 두지 않은 컨트롤러 또는 프로세서가 유럽연합 역내에 거주하는 개인정보 주체의 개인정보를 처리할 때, 그 정보처리가 다음의 경우와 관련되면 본 규정이 적용된다. (a) 재화와 용역을 제공하는 경우, 이때 유럽연합 역내의 개인정보 주체가 지불을 요구받는지 여부는 따지지 않는다. (b) 개인정보 주체의 행위를 모니터링하는 경우, 이때 그 행위는 유럽연합 역내에서 이루어져야 한다. |
유럽 역외에서 GDPR 적용을 받는 한국 기업의 사례를 살펴보자.
제3조가 적용되는 요건은 1) 정보주체가 EU의 거주민이며, 2) EU 밖의 회사가 EU 거주민의 개인 정보를 처리하고 3) EU 거주민에게 상품 또는 서비스를 제공하거나 또는 그들의 행위를 모니터링하는 경우이다.
이 설명을 우리가 익숙하게 사용하는 카카오톡 서비스에 적용해 본다면 다음과 같다: 카카오톡은 유럽에 지사를 두고 있지는 않지만(역외 회사) 1) 카카오톡 EU 지역 이용자의 상당수가 EU 거주민(예를 들어, 해외 교민)이며, 2) 카카오톡은 EU 거주민의 개인정보를 처리하고 있으며, 3) EU 거주민에게 카카오톡 서비스를 제공하고, 이모티콘 등의 상품을 판매하며, 결제를 받고, 결제방식 및 구매 행위에 관한 모니터링을 한다. 따라서 카카오톡은 EU에 있는 여느 컨트롤러 회사와 마찬가지로 제한 없이 GDPR의 직접적인 적용을 받는다.
카카오톡뿐 만이 아니다. 대한민국 항공사, 유럽에 게임 서비스를 제공하는 업체, 네이버와 같은 포털, 교육 프로그램을 제공하는 웹사이트, 줌이나 웨비나처럼 컨퍼런스 툴을 제공하는 사이트도 모두 GDPR의 적용을 받는다. 뉴-노멀, 즉 비대면 접촉이 현실이 된 시대에 한국기업은 GDPR이라는 유럽법을 한국의 국내법처럼 인식하고 대처해야 한다.
이번 호에서는 왜 한국에 있는 “한국 회사” 마저도 GDPR을 국내법처럼 준수해야 하는 이유를 알아보았다. 다음 호부터는 GDPR 대비를 위한 어떤 구체적 조치가 필요한지와 기본적으로 체크해야 할 항목들을 살펴보자.
(다음 호에 계속)
저자: 조익제 변호사
핵심분야: 지식재산권법, 정보보호법, 부동산 프로젝트 및 한국 스타트업 자문
거주지: 독일 프랑크푸르트,
소속: PLC Park & Lemke 법률 사무소 파트너,
연락처: cho@plc-law.de 및 The Next Big Thing TNBT 법률 사무소 대표 변호사
연락처: cho@tnbt-law.eu
교포신문사는 유럽 및 독일에 거주생활하시는 한인분들과 현지에 진출하여 경제활동을 하시는 한인 사업가들을 위해 지식재산 전문단체인 “유럽 한인 지식재산 전문가 협회” [KIPEU, Korean IP (Intellectual Property) Professionals in Europe, 회장 김병학 박사, kim.bhak@gmail.com] 의 지식재산 상식을 격주로 연재한다. 연재의 각 기사는 협회 회원들이 집필한다.
KIPEU는 지식재산 분야에서 한국과 유럽의 교류 및 협력 증진을 도모하는 것을 목적으로 하는 공익단체로서, 유럽내 IP로펌 또는 기업 IP 부서에서 활동하는 한인 변호사/변리사 등의 지식재산 전문가들로 구성된 협회이다.
1243호 16면, 2021년 11월 19일