유럽연합 GDPR (개인정보 보호법) (2)
(지난 호에서 이어집니다.)
GDPR 제 3조, 4조, 5조, 6조에 관한 해설
정보주체(Date Subject)는 앞서 축구공으로 비유한 개인정보의 주인이다. GDPR은 개인정보 자체를 보호하자는 것이 아니라, 그 주인을 보호하는 법이다. 불법적인 정보침해에 대하여 개인의 인권을 지키는 법률이다.
정보보호관리자(DPO, Data Protection Officer)는 축구 감독에 해당한다. 감독은 자기 선수가 축구공을 다룰 때 반칙을 하지 않도록 교육하고 감시하는 사람이다. 20인 이상의 기업은 반드시 DPO를 지정해야 하는 의무가 있다.
주무관청(DPA, Data Protection Authority)은 반칙이 발생하면 페널티를 주는 심판과 같다. 각국 DPA는 EU 차원의 연합체를 구성해서 정책을 협의하고 페널티를 정하는데, 마치 유럽축구연맹과 같다.
1. 개인정보: 개인에 관한 모든 정보.
2. 정보처리: 기업이 개인정보를 주고, 받고,
가공하는 모든 행위와 절차
3. GDPR: 개인정보의 주체인 개인의 인권을
보호하는EU의 법률. 일반정보보호법
4. 컨트롤러(Controller): 개인정보를 처리하는 회사
5. 프로세서(Processor): 컨트롤러 회사를 돕는 도우미 회사
예를 들어서 IT 서비스를 제공하는 회사
6. 정보주체(Data Subject): 개인정보의 주인인 각 개인
7. 정보관리자 (DPO, Data Protection Officer): 개별 기업의 개인정보 처리업무를 감시하는 직책. 내부 직원 및 외부 전문가 모두가 가능하다.
8. 주무관청 (DPA, Data Protection Authority): 기업의 개인정보 처리를 감독하는 기관. 행정지도 및 벌금을 부과할 수 있다.
2) 컨트롤러의 의무와 이행
컨트롤러 회사는 동의를 받지 않고 함부로 직원, 회원, 고객의 정보, 예를 들어서 개인 사진을 인터넷에 올리거나, 온라인 사진첩을 만들면 안 된다. 동의를 받지 않아도 되는 경우가 있지만, 일차적으로는 항상 “동의를 받았는가?”라는 항목을 먼저 체크해야 한다.
여행 계약, 근로 계약 등 계약 이행을 위한 정보처리를 위해서는 동의를 받지 않아도 된다. 추가로 동의를 받을 수 있으면 받는 것이 더 안정적이다.
구체적인 목적에 꼭 필요한 만큼의 정보만 취급하는 것도 중요하다. 이것을 목적 제한성 또는 개인정보 미니멀리즘 내지 정보최소수집 원칙이라고 한다. 예를 들어서, 계약 이행을 위해서 상대의 사진을 요구할 필요는 없다. 물품을 구매시 구매자의 학력 정보가 필요한 경우는 많지 않다. 과도한 정보를 요구하는 것은 미니멀리즘 원칙에 위배된다. 동의가 필요한 경우 필요한 정보 항목과 목적을 명시해서 동의를 구해야 하며, 동의가 필요하지 않은 경우라 할 지라도에 개인정보 처리의 내용을 통지해 주어야 한다.
컨트롤러가 개인정보를 안전하게 처리하고 보관해야 함은 당연하다. 정보주체가 요청하면, 언제든지 개인정보 명세를 제공해야 한다. 정보주체는 컨트롤러에 대하여 많은 권리를 가진다. 개인 정보의 삭제 및 정정을 요구할 수 있으며, 개인정보의 처리 현황에 관한 정보 제공을 요구할 수 있다. “잊혀질 권리(right to be forgotten)”라는 말은 매우 유명한 표현이 되었다. 정보요청권은 이메일로도 쉽게 할 수 있다. 컨트롤러 회사는 정보주체의 정보 제공 요청이 있으면 1달 이내에 답변해야 한다. 개인정보의 유출사고 발생 시, 내부적 위험성 판단을 거쳐서 72시간 이내에 주무관청에 신고해야 한다.
표**********
GDPR 준법을 위해 컨트롤러가 알아야 하는 주요 개념들
1. 개인정보보호 선언(PP, Privacy Policy)
→ 기업이 GDPR 준법을 어떻게 수행하는지를 대외적으로 알리는 문서
2. 정보처리 기록부(Processing Records)
→ 기업의 구체적인 정보처리 알고리즘을 담은 문서
3. 컨트롤러-프로세서 계약(CPA, Controller-Processor Agreement) 또는 정보 처리 계약(DPA, Data Processing Agreement)
→ 컨트롤러와 프로세서가 처리하는 개인정보를 잘 관리하겠다는 구체적인 약정
4. 기술적 조직적 조처(TOM, Technical Organizational Measures)
→ 개인정보 안전을 위한 기술적, 조직적 조처를 일목요연하게 열거해 둔 문서
5. 정보영향평가(PIA, Privacy Impact Assessment)
→ 민감성, 위험성이 높은 정보 처리를 계획하는 경우 그 영향을 사전 평가하는 절차
6. GAP 분석 또는 GDPR DATA Audit
→ 컨트롤러가 자발적으로 GDPR 준법 정도를 분석하여 위험성을 찾아내는 절차
(다음 호에 계속)
교포신문사는 유럽 및 독일에 거주생활하시는 한인분들과 현지에 진출하여 경제활동을 하시는 한인 사업가들을 위해 지식재산 전문단체인 “유럽 한인 지식재산 전문가 협회” [KIPEU, Korean IP (Intellectual Property) Professionals in Europe, 회장 김병학 박사, kim.bhak@gmail.com] 의 지식재산 상식을 격주로 연재한다. 연재의 각 기사는 협회 회원들이 집필한다.
KIPEU는 지식재산 분야에서 한국과 유럽의 교류 및 협력 증진을 도모하는 것을 목적으로 하는 공익단체로서, 유럽내 IP로펌 또는 기업 IP 부서에서 활동하는 한인 변호사/변리사 등의 지식재산 전문가들로 구성된 협회이다.
****
저자: 조익제 변호사, 핵심분야: 지식재산권법, 정보보호법, 부동산 프로젝트 및 한국 스타트업 자문, 거주지: 독일 프랑크푸르트, 소속: PLC Park & Lemke 법률 사무소 파트너, 연락처: cho@plc-law.de 및 The Next Big Thing TNBT 법률 사무소 대표 변호사, 연락처: cho@tnbt-law.eu
1241호 16면, 2021년 11월 5일