IP 전문가 협회 KIPEU의 지식재산 상식 (47)

유럽연합 GDPR (개인정보 보호법) (5)

(지난 호에서 이어집니다.)

지난 호에 이어 GDPR 준법을 위해서 기본적으로 점검해야 할 항목들을 계속 살펴보자.

EU 관련 사업 모델과 개인 정보의 흐름을 분석한다

개인 정보의 흐름을 파악하지 않고는 적법한 정보 처리를 할 수 없다. 이 일은 가장 중요한 첫걸음이다. 개인 정보의 흐름은 회사에 따라 천차만별이다. 항공사와 의료기 회사의 사업 모델이 같을 수 없다. 따라서 GDPR 프로젝트에 대해 자문을 할 때 이 초기 사업 모델과 정보 흐름 분석 단계에 투입되는 시간이 30% 정도이며, 최소 1~2개월의 타임 프레임을 가지는 것이 보통이다.

이 기간에 회사의 홈페이지를 살피고, 제품을 살피고, 미팅을 하고, 교육을 하면서 여러 가지 토론을 하기 때문이다. 이런 과정을 통하여 사업 모델과 개인정보의 흐름을 다 파악하고 나면 나머지 업무는 비교적 신속하게 진행된다.

개인정보보호 정책문서=선언문(Privacy Policy, PP)을 작성한다

개인정보보호 선언문은 각 기업이 GDPR 준법을 어떻게 수행하는지를 대외적으로 밝히는 문서 역할을 한다. 주로 홈페이지에 게시되지만, 홈페이지가 없더라도 개인정보 선언문은 항상 필요하다.

홈페이지에 포괄적인 개인정보보호 선언문을 만들어 게재하고, 특정한 상황에서 개인정보보호 정책을 안내해야 하는 경우에는 일일이 PP 문서를 제공할 필요 없이, PP 링크를 제공하면 된다. 예를 들어 뉴스레터를 보내는 경우 홈페이지의 개인정보보호 선언문 링크를 보내는 것이 보통이다.

정보처리 기록부(Processing Records, PR)를 작성한다

이 PR 문서는 컨트롤러 기업이 작성하는 가장 기본적인 문서이다. 정보처리 기록부는 “기록”부라는 이름 때문에 오해가 있을 수 있으나, 이 문서는 과거의 정보처리 과정을 기록하는 역사문서가 아니다. 이 문서는 오히려 미래의 정보처리를 위한 계획표에 해당하며, 미래의 모든 정보 처리에 적용하는 일종의 준법 알고리즘이다. 이 정보처리 기록부는 GDPR의 투명성의 원칙 및 책임성의 원칙을 구체화하는 대표적 문서이다.

많은 한국 기업이 정보처리 기록부를 작성하지 않아도 된다고 잘못 알고 있거나, 작성 의무를 인지하는 경우에도, 기록부 작성을 번거로운 의무로 생각하는 경우가 많다. 하지만 정보처리 기록부는 기업이 개인정보를 잘 관리하고 있다는 것을 증명할 수 있는 가장 기본적인 문서이다. 왜냐하면 GDPR의 다른 의무 이행 모두 정보처리 기록부 내용을 바탕으로 수행하게 되고, 또한 정보처리 기록부가 잘 작성되어 있으면 기업의 GDPR 준법 실무를 간소화할 수 있기 때문이다.

동의서를 요구하는 정보처리가 무엇인지 먼저 파악한다

동의서를 요구하는 정보가 무엇인지는 정보처리 기록부에 이미 기록이 되어 있어야 한다. 정보처리 기록부 없이는 동의서 필요 여부를 판단할 수조차 없다. 정보처리 기록부를 작성하면서, 동의가 필요한 정보처리인지, 계약이행을 위한 정보처리인지, 아니면 회사의 매우 중요한 이익을 보전하기 위한 정보처리인지를 판단하게 된다.

예를 들어서 계약이행을 위한 정보처리에는 동의가 필요하지 않다. 적법한 동의는 적극적이고 자발적인 동의여야 한다. 아동의 경우에는 항상 보호자의 동의를 받아야 한다. 스스로 동의를 할 수 있는 연령에 관한 입법은 나라마다 다르다. 독일의 아동은 17세부터 GDPR 상의 유효한 동의를 할 수 있다.

⑩ 프로세서 업체와 CPA를 맺고 TOM 문서를 확보한다

대부분의 기업들은 개인정보 처리를 위해서 도우미 업체인 프로세서를 활용한다. 이때 보안정책이 우수한 회사를 선택하는 것이 중요하다. 컨트롤러-프로세서 정보처리 계약서 (Controller Processor Agreement, CPA) 작성도 중요함은 물론이다. 프로세서 업체에 GDPR 준법을 위한 기술적 조직적 조처 (Technical Organisational Measures, TOM) 문서를 요구하고 확인하는 것을 또한 잊지 말아야 하다.

(다음 호에 계속)


교포신문사는 유럽 및 독일에 거주생활하시는 한인분들과 현지에 진출하여 경제활동을 하시는 한인 사업가들을 위해 지식재산 전문단체인 “유럽 한인 지식재산 전문가 협회” [KIPEU, Korean IP (Intellectual Property) Professionals in Europe, 회장 김병학 박사, kim.bhak@gmail.com] 의 지식재산 상식을 격주로 연재한다. 연재의 각 기사는 협회 회원들이 집필한다.
KIPEU는 지식재산 분야에서 한국과 유럽의 교류 및 협력 증진을 도모하는 것을 목적으로 하는 공익단체로서, 유럽내 IP로펌 또는 기업 IP 부서에서 활동하는 한인 변호사/변리사 등의 지식재산 전문가들로 구성된 협회이다.

조익제 변호사저자: 조익제 변호사,
핵심분야: 지식재산권법, 정보보호법, 부동산 프로젝트 및 한국 스타트업 자문,
거주지: 독일 프랑크푸르트,
소속: PLC 법률 사무소 파트너, 연락처: cho@plc-law.de 및
The Next Big Thing TNBT 법률 사무소 대표 변호사,
연락처: cho@tnbt-law.eu


1247호 16면, 2021년 12월 17일