IP 전문가 협회 KIPEU의 지식재산 상식 (43)

유럽연합 GDPR (개인정보 보호법) (1)

교포신문사는 유럽 및 독일에 거주생활하시는 한인분들과 현지에 진출하여 경제활동을 하시는 한인 사업가들을 위해 지식재산 전문단체인 “유럽 한인 지식재산 전문가 협회” [KIPEU, Korean IP (Intellectual Property) Professionals in Europe, 회장 김병학 박사, kim.bhak@gmail.com] 의 지식재산 상식을 격주로 연재한다. 연재의 각 기사는 협회 회원들이 집필한다.

KIPEU는 지식재산 분야에서 한국과 유럽의 교류 및 협력 증진을 도모하는 것을 목적으로 하는 공익단체로서, 유럽내 IP로펌 또는 기업 IP 부서에서 활동하는 한인 변호사/변리사 등의 지식재산 전문가들로 구성된 협회이다.

들어가는 말

안녕하세요, 조익제 변호사입니다. 저는 지난 4년간 유럽에 진출한 한국 기업들을 대상으로 “유럽연합 GDPR (General Data Protection Regulation, 개인정보 보호법)” 자문과 교육을 해왔습니다. 그러면서 유럽 GDPR을 설명하는 자료는 많지만, 한국 기업의 책임자에게 구체적인 업무 방향을 제시하는 실무 안내서가 없다는 것에 아쉬움을 느꼈습니다. 이때 KIPEU의 이름으로 안내서를 기고를 할 수 있게 되어서 기쁩니다.

“유럽연합 GDPR(개인정보보호법)”은 유럽연합 전체 회원국에 적용되는 개인정보 보호에 관한 관리 감독 규정 (Regulation) 인데, 2018년 5월 25일부터 시행되었습니다. GDPR은 내용적으로는 이미 독일에서 계속 적용되어 오던 법률이었고, 독일의 정보보호법 (BDSG)의 내용을 기초로 하여, 그 내용을 강화하여 유럽 전역에 유효한 법률이 된 것입니다.

이제는 유럽연합 내에서 활동하는 모든 기업이 고객, 직원 등의 개인 정보를 처리하는 과정에서 GDPR 규정을 넓게 적용 받게 되었으며, 개인정보보호 위반에 대한 감독과 제재 및 벌금 규정이 더욱 강화되었습니다.

하지만 많은 한국 기업들이 자신이 GDPR의 적용 대상인지조차 인식하지 못하는 경우가 많습니다. 한국 기업의 경우, 유럽에 진출해 있는 한국 법인뿐만 아니라 한국의 본사도 GDPR의 직접 적용 대상이 될 수 있습니다. 따라서 앞으로 한국 기업은 유럽 법률인 GDPR을 대한민국의 국내법이라고 인식하고 이에 대처해야 합니다.

본 안내서는 유럽연합의 개인정보를 취급 및 처리하는 기업의 실무를 돕기 위해 만들어졌습니다. GDPR 준법 경영을 하기 위해서는 준수해야 하는 의무를 잘 파악하는 것이 중요합니다. 본 안내서는 GDPR의 개념과 핵심내용을 파악하고, GDPR 준법을 위한 기업의 구체적인 업무 준비와 의무 이행을 위한 메뉴얼을 제공하고자 합니다.

특히 GDPR 준법에 있어 필수 절차인 “정보처리 기록부(Processing Records)”를 준법 메뉴얼에 포함시켰습니다. 이 정보처리 기록부를 어떻게 작성해야 하는지 그 예시를 자세히 설명하고자 합니다. 정보처리 기록부를 작성하는 것은 GDPR 준법의 기초이자 핵심 업무이지만, 이 기록부를 제대로 작성하지 않는 경우가 많습니다.

이 안내서가 GDPR 준법을 고민하는 기업의 실무자들에게 GDPR 준법 업무의 출발점을 제시하고, 프로젝트의 구체적인 진행을 안내할 수 있기를 바랍니다. (이하 본문에서는 „~하다“ 체를 사용하겠습니다.)

1. GDPR 관련 개념어와 기업(컨트롤러)의 의무

1) 축구경기로 비유한 GDPR 기본 개념과 행위자

개인정보란 개인 식별을 가능하게 하는 모든 정보를 말한다. 이름, 생년월일, 주소, 학력, 전화번호, 이메일, 사진, 음성파일 등이 여기에 속한다. 혈액형, 혈압, 질병 등의 신체 정보와 종교, 성적지향 등의 정보는 매우 민감한 정보에 해당된다. 개인정보를 축구공에 비유하자면, 이런 민감한 개인정보는 아주 비싼 축구공, 골든볼이라고 할 수 있다.

개인정보를 처리한다는 것은 축구공을 차고 드리블하고 슛을 하는 것과 같이, 개인의 정보를 주고, 받고, 가공하고, 저장하는 모든 일을 가리킨다. 모든 기업에서 개인정보를 취급(deal)하면서 처리(process)하지 않는 경우는 거의 없다.

축구공을 손으로 잡아서는 안되고, 라인 밖으로 차버려서도 안되듯이 이 개인정보를 처리하는 과정에서도 규칙이 필요하다. GDPR은 개인정보의 처리 전과정에 사용되는 유럽의 규정을 의미한다.

개인정보 처리 과정에서 중요한 역할을 하는 주체들은 다음과 같다. 컨트롤러 (Controller, 정보처리자)는 축구공을 차고 상대팀으로 돌진하는 공격수에 해당한다. 비지니스를 하면서 개인의 정보를 취급하는 기업으로서 GDPR을 준수해야 하는 주체에 해당한다.

프로세서 (Processor, 위탁처리자)는 전방 공격수를 돕는 미드필더처럼, 컨트롤러 기업이 정보처리를 잘 할 수 있도록 돕는 역할을 한다. 예를 들어 기업이 개인정보를 잘 처리할 수 있도록 IT 서비스를 제공하는 도우미 회사를 말한다.

(다음 호에 계속)


저자: 조익제 변호사,

핵심분야: 지적 재산권법, 정보보호법, 부동산 프로젝트 및 한국 스타트업 자문,

거주지: 독일 프랑크푸르트,

소속: PLC Park & Lemke 법률 사무소 파트너, 연락처: cho@plc-law.de 및

The Next Big Thing Hanyang TNBT 법률 사무소 대표 변호사, 연락처: cho@tnbt-law.eu

1239호 16면, 2021년 10월 15일