IP 전문가 협회 KIPEU의 지식재산 상식 (49)

유럽연합 GDPR (개인정보 보호법) (7)

(지난 호에서 이어집니다.)

이번 호부터는 “정보처리활동 기록부 = processing records”에 대해 알아보자. “우리 회사도 정보처리활동 기록부 작성의무를 가지는가?“ 하는 점을 살펴보자.

4. GDPR 준법을 위한 첫 번째 프로젝트: 정보처리활동 기록부 만들기

(이하 “정보처리 기록부“ 또는 “기록부“로 약칭함)

한국인터넷진흥원 KISA (Korea Internet & Security Agency)는 2020년 5월에 <EU 일반 개인정보보호법(GDPR) 가이드북>이라는 훌륭한 안내책자를 출간하였고, 누구나 무료로 다운로드 받을 수 있게 해 두었다. 가이드북은 167~169 쪽에 “정보처리활동 기록부”를 설명하고 있다.

가이드북은 아쉽게도 이 중요한 주제에 관하여 겨우 3페이지만을 할애하고 있는데, “정보처리활동 기록부 작성”을 GDPR 준법 책임성을 강화하기 위한 여러 가지 조처 중의 하나, 즉 1/n의 비중으로 이해하였기 때문으로 보인다.

그러나 EU 기업 실무에서의 “기록부 작성”의 중요성은 훨씬 더 높다. 기록부 작성은 전체 GDPR 준법 프로젝트의 50% 이상의 실무적 가중치를 가진다는 것이 필자의 경험이고 의견이다. GDPR 제30조 5항은 얼핏 보면 근로자 250명 미만의 업체는 기본적으로 기록부를 작성할 의무가 없는 듯한 인상을 주기 때문에 추가의 설명이 필요하다. 결론적으로 250명이라는 기준은 거의 유명무실하다고 볼 수 있다.

한국 기업들은 거의 다 정보처리활동 기록부를 작성해야 한다. 필자는 기록부 작성의 의무 여부를 따지는 것은 의미가 없다고 본다. 설령 기록부 작성의 의무가 없다고 하더라도 기록부를 작성하지 않으면 GDPR 준법이 어렵기 때문이다.

기록부는 마지못해서 작성해야 하는 귀찮은 의무가 아니라 기업이 스스로의 이익을 위하여 자발적으로 작성해야 하는 좋은 준법 체크리스트로 이해하자. “우리같이 작은 규모의 회사도 기록부를 작성해야 합니까? 우리 회사는 직원도 얼마 되지 않고, 처리하는 개인정보 수도 많지 않습니다. 우리는 B2B 업체여서 개인정보를 많이 처리하지 않습니다” 와 같은 질문을 수시로 받기 때문에 작성의무와 그 예외를 한번 설명해 두고자 한다.

1) 정보처리활동 기록부 작성 의무와 예외, 그리고 예외의 예외, 실무의 결론

가. 제30조 1항: 컨트롤러는 정보처리 활동에 관하여 기록부를 작성해야 한다 (의무).

나. 제30조 5항: 직원 250명 미만의 기업은 이 의무가 없다 (예외).

다. 제30조 5항 단서: 민감정보 처리 등의 경우에는 항상 정보처리 기록부 작성의 의무가 있다. 크게 3~4가지가 있다 (예외의 예외).

GDPR 제30조 처리활동의 기록

(1) 각 컨트롤러는…(중략)….본인의 책임하에 진행되는 처리활동의 기록을 보존해야 한다.

(5) 제1항…(중략)….에 규정된 의무는 직원 250명 미만의 기업이나 조직에는 적용되지 않는다. 단, 해당 기업이 수행하는 정보처리가 개인정보주체의 ①권리와 자유에 위험을 초래할 가능성이 있는 경우, ②간헐적이지 않은 정보처리의 경우 또는 ③제9조 (1)에 규정된 특정 범주의 개인정보를 포함하는 경우, 제10조에 규정된 ④범죄경력 및 범죄행위에 관련된 개인정보를 다루는 경우는 예외로 한다.

라. 실무의 결론: 보통의 한국기업의 경우 상기 ① ② ③ ④ 로 표시된 “예외의 예외” 중 하나는 항상 적용된다. 특히 ③번이 그렇다. GDPR 제9조에 규정되어 있어서 ‘제9조 정보’라는 불리는 민감한 개인정보에는 종교정보와 건강정보 등이 포함되는데, 모든 기업은 종교세 원천징수와 병가관리를 위해서 이 민감한 개인정보들을 처리하고 있다. 유럽주재 한국기업은 이러한 민감정보를 항상 취급하기 때문에 정보처리활동 기록부 작성의 의무가 늘 있다고 해석해야 한다.

다음 호는 정보처리활동 기록부의 양식과 내용에 관하여 살펴보자.

(다음 호에 계속)


저자: 조익제 변호사, 핵심분야: 지식재산권법, GDPR 정보보호법, 부동산 프로젝트 및 한국 스타트업 자문, 거주지: 독일 프랑크푸르트, 소속: PLC 법률 사무소 파트너, 연락처: cho@plc-law.de 및 TNBT (The Next Big Thing) 법률 사무소 대표 변호사, 연락처: cho@tnbt-law.eu


교포신문사는 유럽 및 독일에 거주, 생활하시는 한인분들과 현지에 진출하여 경제활동을 하시는 한인 사업가들을 위해 지식재산 전문단체인 “유럽 한인 지식재산 전문가 협회” [KIPEU, Korean IP (Intellectual Property) Professionals in Europe, 회장 김병학 박사, kim.bhak@gmail.com] 의 지식재산 상식을 격주로 연재한다. 연재의 각 기사는 협회 회원들이 집필한다.
KIPEU는 지식재산 분야에서 한국과 유럽의 교류 및 협력 증진을 도모하는 것을 목적으로 하는 공익단체로서, 유럽내 IP로펌 또는 기업 IP 부서에서 활동하는 한인 변호사/변리사 등의 지식재산 전문가들로 구성된 협회이다.

1253호 16면, 2022년 2월 5일