유럽연합 GDPR (개인정보 보호법) (4)
(지난 호에서 이어집니다.)
이번 호부터는 3차례에 걸쳐GDPR 준법 대비를 위해서 기본적으로 점검해야 할 항목들을 살펴보자.
3. GDPR 기본 체크리스트
GDPR 준법이란 기업이 개인정보를 보호하기 위한 경영(매니지먼트) 시스템을 만드는 것을 의미한다. GDPR 제5조 2항은 각 기업이 개인정보 보호를 위한 법원칙을 따르고 구체적인 의무를 잘 이행하고 있음을 입증할 것을 요구하고 있다(책임성 원칙, accountability). 이러한 “책임성” 원칙 때문에 각 회사는 항상 법규정을 잘 이행할 수 있는 디폴트 시스템(data protection by design and default)을 만들고, 준법의 전 과정을 상세히 기록하고 입증해야 한다.
앞으로 3회에 걸쳐서 제시하는 기본 체크리스트는 GDPR 준법의 구체적인 의무를 기업의 매니지먼트 시스템으로 통합하기 위한 기초 점검 항목들이다.
① 경영진이 GDPR 준법을 적극적으로 지원한다
GDPR 준법은 회사내 특정 부서에만 한정하여 실행할 수 있는 것이 아니다. GDPR 준법은 개인 정보가 처리되는 업무 전 과정에서 개인정보를 보호할 수 있는 시스템을 만들고 이를 기록하는 일이다. 인사팀이나 재무팀의 경계를 넘는다. 따라서 유럽 법인 총무팀이 단독으로 처리할 사안이 아니다. 본사까지는 아니더라도 최소한 EU 법인의 경영진이 GDPR 준법을 주도해야 한다. 법적인 책임은 법인장 등 경영진의 몫이다. 내부적인 이의가 있을 때 경영진이 이러한 지적을 무시하는 것은 범칙금을 높인다.
범칙금 책정의 기준이 그룹사의 매출이기 때문에 GDPR 관리에 실패했을 때 발생하는 현지 법인의 경영 리스크는 매우 크다. GDPR 정보유출 사고는 항상 발생한다. 지난 2년간 회사 내에 노트북, 휴대폰 분실 사고가 한 번도 없었는가? 연 매출 5조의 회사에서 노트북과 외장하드를 분실하는 일도 당연히 있었다. 현지 EU 법인 직원이 한국기업의 정보 보호법 위반을 신고하는 일도 있었다. 이러한 일이 발생했을 때, 회사가 기본적으로 GDPR을 상시 준법하고 있었다는 것을 입증할 수 있도록 경영 시스템을 수립해야 한다.
② 내부 GDPR 담당 부서 또는 담당자를 지정한다
경영진이 준법 프로그램을 주도해야 하지만 GDPR 준법을 진행할 구체적인 실무자가 필요하다.
우선 총무팀 또는 IT 부서의 담당자를 실무자로 지정해야 한다. 서너 사람으로 구성된 TF팀을 지정하는 것도 한 방법이다. 담당자들은 프로젝트의 목표를 정하고 목표에 따라 GDPR을 준법할 수 있는 시스템을 만들거나 업데이트하는 프로젝트를 추진한다. 프로젝트의 목표를 정하기 위해서는 회사의 GDPR 준법 현황(Gap 분석)을 살펴봐야 한다. 필요한 경우 담당자들이 10~15시간 교육을 받을 수 있는 예산도 편성해야 한다(적정선 3,000유로). 프로젝트를 추진하기 위해서 자문업체로부터 프로젝트에 대한 제안서를 받고 예산을 확보해야 한다(적정선 20,000유로).
③ GDPR 이행을 위한 예산을 확보한다
아무런 예산이 없이 총무부의 직원 등이 혼자서 업무를 추진하는 경우가 있다. 이것은 지속 가능한 모델이 아니며, GDPR 준법의 중요성에 걸맞은 방안이 아니다. GDPR 준법의 요체는 처음부터 완벽한 시스템을 만드는 것이 아니라, 매달 개선할 수 있는 준법 매뉴얼을 만들기 시작하는 일이다.
이러한 개선 상황은 늘 기록으로 남겨야 한다. 꾸준히 개선해가는 준법 매뉴얼을 통해서, 준법의 의지를 축적하고 표현하는 것이 중요하다. 준법 매뉴얼의 개선과 이에 대한 개선책 시행 기록을 통해, 추후 문제가 발생하더라도 범칙금을 낮출 수 있다. 범칙금 예방의 차원에서라도 적절한 수준의 예산을 책정해야 한다. 준법 매뉴얼 시행을 통해서 불법을 방지할 수 있음은 물론이다.
④ 유럽 현지 기업 정보관리자(DPO)를 지정한다
GDPR은 벌써 10명 이상의 직원을 둔 작은 업체에도 DPO를 임명할 것을 요구한다. 독일 개인정보보호법(BDSG)은 유럽 GDPR 규정을 완화하여 10명이 아닌 20명 이상의 업체부터 DPO 임명 의무를 부과하고 있다. 그러나 GDPR 제9조에서 말하는 바의 “민감한 개인정보”를 다루는 회사는 직원 숫자와 관계없이 반드시 DPO를 지정해야 한다. 병원이나 보험사 그리고 헬스케어 업체가 여기에 해당한다.
각 회사의 DPO는 유럽 GDPR 규정과 각 국가별 개인정보 보호법(예를 들어 독일 BDSG)의 공통점과 차이점을 교육하여 준법 경영을 돕고, 그 준법 시행 조치를 사후적으로 감시한다. 임직원 교육, 개인정보 처리 기록부 작성, 감사 이행, 정책 준수 모니터링도 업무범위에 포함된다.
DPO는 개인정보 영향평가(PIA, privacy impact assessment)에 참여하고 감독 기관과 기업 간 소통의 창구 역할을 한다. 회사 내부 직원을 선임할 수도 있고 외부에서 선임할 수도 있다. 기억해야 할 것은 DPO의 업무가 강력한 독립성을 요구한다는 점이다. 내부 직원을 선임하는 경우 DPO에 선임된 직원을 해고하는 것은 매우 어렵다. DPO가 회사에 종속되지 않게 하려는 노력이다.
⑤ EU 역내 지정 대리인을 지정한다
EU 역내에 사업체를 두지 있지 않지만, EU 거주민의 정보를 취급하는 “역외업체”는 EU 역내에 지정 대리인을 선임해야 한다(GDPR 제27조). 예를 들어서 지난 회에 예를 든 카카오톡은 역외 업체이지만, EU 거주민의 개인정보를 처리하므로, EU 역내 대리인을 반드시 선임해야 한다.
EU 대리인은 앞서 설명한 DPO가 아니다. DPO는 조력하고 감시하지만, EU 대리인은 GDPR 업무에 관하여 회사를 EU에서 대리한다. EU 대리인은 공식적인 대리권 문서를 통해 명시적으로 지정되어야 하고, 회사의 GDPR 준법 의무를 대리하여 수행하며, 대관업무를 수행한다. 여기에는 GDPR을 준수하기 위한 모든 조치에 관해 감독기관과 협력하는 것이 포함된다. 현지 변호사가 이 업무를 수행하는 것이 일반적이다.
(다음 호에 계속)
저자: 조익제 변호사, 핵심분야: 지식재산권법, 정보보호법, 부동산 프로젝트 및 한국 스타트업 자문, 거주지: 독일 프랑크푸르트, 소속: PLC Park & Lemke 법률 사무소 파트너, 연락처: cho@plc-law.de 및 The Next Big Thing TNBT 법률 사무소 대표 변호사, 연락처: cho@tnbt-law.eu
1245호 16면, 2021년 12월 3일