유럽연합 GDPR (개인정보 보호법) (6)
지난 호에 이어서 GDPR 준법을 위해서 기본적으로 점검해야 할 항목들을 마저 살펴보자.
⑪ 정보주체에게 제공할 정보제공 문서를 준비한다
컨트롤러 회사는 정보의 주인인 정보주체에게 개인정보의 활용 목적, 보존 기간, 동의 필요성 여부 등 정보주체의 권리를 안내해 주어야 한다. 컨트롤러가 선제적으로 제공하여야 하는 정보가 있고, 정보주체가 서면 요청 시 제공해야 하는 정보가 있다. 보통 서면으로 정보를 제공해야 하며, 미리 준비한 표준문서를 사용하면 된다 (GDPR 제12조, 13조, 14조).
⑫ 정보영향평가(PIA)를 실시한다
이 PIA 의무는 초기에는 무시해도 좋다. GDPR 준법의 기본을 갖추고 난 다음에 시행해야 하는 2단계 의무이기 때문이다. 정보처리 기록부를 작성하기 전에는 이행할 수도 없는 의무이다. 따라서 처음 GDPR 준법 프로그램을 만들고 있는 상황이라면, 이 PIA 의무는 다음 단계로 미루는 것이 좋다. 다만 PIA가 무엇인지 간단히 설명은 해두고자 한다:
PIA는 무엇인가?
모든 컨트롤러 회사가 개인정보처리 시스템을 크게 변경하거나, 새로운 개인정보처리 시스템을 도입할 때 발생하는 평가 의무이다. 즉, 개인정보보호의 수준에 영향을 주는 정보처리의 변경이 있는 경우 혹은 좀 더 높은 개인정보에 관한 위험이 발생할 것이 예상될 경우에는 정보영향평가, 즉 PIA를 실시해서 그 잠재적인 위험을 살펴보고 도입 여부를 결정하거나 또는 필요한 보완 조처를 해야 한다.
예를 들어, 회사에서 정보처리의 효율성을 높이고자 새로운 IT 시스템을 도입하고자 할 때, 새로운 IT 시스템이 회사 업무 효율에는 장점이 있겠지만, 개인정보보호의 관점에서는 개인의 프라이버시를 더 침해할 위험이 없는지를 평가해야 한다. 각 주의 감독관청은 정보영향평가를 반드시 실시해야 하는 경우(black list)와 그럴 필요가 없는 경우(white list)에 대한 안내를 하고 있다. 컨트롤러는 이러한 정보를 숙지하고, PIA 실시의 경우 그 수행 내용을 문서로 기록해야 한다.
⑬ 정보 사고 대응책을 포함한 “정보 보호 가이드라인 (IT Security Guideline, ITSG)”을 준비한다
ITSG는 조직적(organizational) 보안 조처에 해당한다. 컨트롤러 회사 직원이 개인정보가 포함된 노트북이나 스마트폰을 분실한 경우 또는 개인정보가 포함된 회사 서버가 해킹을 당한 경우를 두고 ‘정보 사고가 발생했다’고 표현한다. 정보 사고는 언제든지 발생할 수 있는데, 중요한 것은 기업이 정보 사고에 얼마나 잘 대응하느냐이며, 대응하는 모든 과정을 꼼꼼하게 얼마나 잘 문서화하는가 하는 점이다.
컨트롤러 회사의 정보 보호 가이드라인은 사고가 발생할 경우를 대비한 내부 대응 프로세스이다. 정보 보호 가이드라인은 ‘72시간 이내에 문제를 파악했는가, 주무관청에 신고했는가, 정보주체에게 통지해야 하는가’와 같은 구체적인 내용이 담겨있다. 가이드라인을 잘 만들어 두고 그 매뉴얼을 잘 수행하면 GDPR정보 사고를 예방할 수 있고, 정보 사고가 발생하더라도 범칙금을 낮출 수 있으며, 최종적으로는 준법 경영을 잘했다는 그룹 내 평가를 받을 수 있다. 유럽 내 법인의 불법은 본사에도 영향을 미친다는 점을 유념해야 한다.
⑭ IT 보안 관리 (IT Security management, ITSM) 문서를 준비한다
ITSM은 기술적(technical) 보안 조처에 해당하며, 이것 역시 문서화해야 한다. 문서의 이름을 예를 들어서 “Documented IT Security management, ITSM“으로 할 수 있다. 초기에는 간단한 문서로 작성하고 내용을 확장해 가는 것이 좋다. 알지 못하는 내용을 담은 복잡한 문서는 소용이 없다. 회사의 실무를 반영한 소박한 문서에서 시작해서 보완관리의 수준을 높여가야 한다.
⑮ 개인정보보호를 위한 TOM (Technical Organizational Measures) 문서를 작성한다.
15번 TOM 문서는 개인정보보호를 위한 필수 수단이며 모든 컨트롤러 회사가 다 갖추고 있어야 하고, 내용적으로는 13번과 14번의 문서를 포함하는 문서이다. 추상적으로 생각하지 않는 것이 좋다.
개인정보 문서가 많은 회사에 도둑이 들어서도 안 되고, 해커가 와서도 안 된다. 직원이 다른 직원의 정보를 유출해서도 안 된다. 이를 위해서 사무실의 잠금 시스템과 경보 시스템이 있는지, 적합한 IT 백업 및 복구 방안을 가지고 있는지, 문서 접근권을 차등화했는지 등 기본 항목을 점검하는 체크리스트 같은 기본 문서 세트로 이해하면 쉽다. 보기만 좋은 복잡한 TOM 문서를 형식적으로 만들어 두는 것이 목적이 아니다. 처음에는 부실하더라도 현실을 반영한 내용을 담은 문서로 시작해서 천천히 내실 있게 확대해 가면 된다.
⑯ 정기적으로 임직원 교육을 한다
임직원이 정보관리를 잘못해서 개인정보가 유출될 경우 해당 임직원의 개인 책임이기도 하지만, 어차피 최종적인 책임은 법인장과 법인이 부담한다. 해외에 법인을 둔 본사도 함께 책임을 부담한다. 범칙금의 기준은 해당 그룹의 전 세계 매출을 기준으로 하며, 이론적으로는 전 세계 매출의 2% 또는 4%에 해당하는 범칙금 부과가 가능하고, 상한이 없다는 이야기이기도 하다.
개인정보 관리 담당 직원의 실수로 정보 사고가 나는 경우가 많다. 그렇기 때문에 1년에 한 번씩 온라인 또는 오프라인 교육을 수행하는 것이 필요하다. 교육 참가 증명서 작성 등 회사에서 준법 교육을 잘하고 있다는 기록도 문서화하는 것이 좋다.
⑰ 정기적으로, 반복적으로 GDPR 체크리스트를 점검한다
상기의 16가지 리스트는 정기적으로 GDPR 준비 상태를 확인하는 체크리스트가 되어야 한다. 우선 상기 리스트에서 부족한 부분들을 채워 나가는 것이 GDPR 준법의 첫걸음이다. GDPR 셋업이 어느 정도 완료된 다음에는 다시 한 번 1에서 17번의 체크리스트를 정기적으로, 반복적으로 점검하자.
이상으로 GDPR 준법을 위해서 기본적으로 점검해야 할 총 17개의 항목을 살펴보았다. 다음 호부터는 “정보처리 기록부 processing records”에 대하여 구체적으로 알아보자.
(다음 호에 계속)
저자: 조익제 변호사,
핵심분야: 지식재산권법, GDPR 정보보호법, 부동산 프로젝트 및 한국 스타트업 자문,
거주지: 독일 프랑크푸르트,
소속: PLC 법률 사무소 파트너, 연락처: cho@plc-law.de 및
TNBT (The Next Big Thing) 법률 사무소 대표 변호사, 연락처: cho@tnbt-law.eu
교포신문사는 유럽 및 독일에 거주·생활하시는 한인분들과 현지에 진출하여 경제활동을 하시는 한인 사업가들을 위해 지식재산 전문 단체인 “유럽 한인 지식재산 전문가 협회” [KIPEU, Korean IP (Intellectual Property) Professionals in Europe, 회장 김병학 박사, kim.bhak@gmail.com] 의 지식재산 상식을 격주로 연재한다.
연재의 각 기사는 협회 회원들이 집필한다. KIPEU는 지식재산 분야에서 한국과 유럽의 교류 및 협력 증진을 도모하는 것을 목적으로 하는 공익단체로서, 유럽내 IP로펌 또는 기업 IP 부서에서 활동하는 한인 변호사/변리사 등의 지식재산 전문가들로 구성된 협회이다.
1251호 16면, 2021년 1월 21일