유럽연합 GDPR (개인정보 보호법) (8)
교포신문사는 유럽 및 독일에 거주생활하시는 한인분들과 현지에 진출하여 경제활동을 하시는 한인 사업가들을 위해 지식재산 전문단체인 “유럽 한인 지식재산 전문가 협회” [KIPEU, Korean IP (Intellectual Property) Professionals in Europe, 회장 김병학 박사, kim.bhak@gmail.com] 의 지식재산 상식을 격주로 연재한다. 연재의 각 기사는 협회 회원들이 집필한다.
KIPEU는 지식재산 분야에서 한국과 유럽의 교류 및 협력 증진을 도모하는 것을 목적으로 하는 공익단체로서, 유럽내 IP로펌 또는 기업 IP 부서에서 활동하는 한인 변호사/변리사 등의 지식재산 전문가들로 구성된 협회이다.
(지난 호에서 이어집니다.)
2) 정보처리활동 기록부 양식과 내용
정보처리활동 기록부 (또는 기록부) 작성은 번거로운 업무가 아니라, 기업의 GDPR 준법 실무를 가능하게 하는 매우 유익한 문서이다. 기초 문서인 기록부를 작성하지 않고 GDRP의 규정을 제대로 준법할 방법은 없다고 생각한다.
GDPR은 규정 전체에서 투명성(transparency)과 책임성(accountability) 원칙을 강조하고 있다. 투명성이란 정보처리활동을 빠짐없이 기록하라는 요구이고, 책임성은 준법의 증거를 남기라는 요구이다. 이 두 가지 요구를 가장 손쉽고 빠르게 충족하는 방법이 정보처리활동 기록부의 작성이다.
이 기록부를 항상 잘 작성해 두면 감독기관의 감사가 있을 경우 좋은 평가를 받을 수 있다. 감독기관은 감사 대상 회사를 선별할 때에 다음과 같은 간단한 질문을 하는 것으로 보이는데, 그중 하나가 정보처리활동 기록부의 작성 여부이다. 이 질문들은 해당 기업의 GDPR 준법 수준을 쉽게 판단할 수 있게 해준다. 자신의 기업에 대하여도 같은 질문을 해보자.
1. 우리 회사는 정보보호책임자 (DPO, Data Protection Officer)를 지정하였는가?
2. 우리 회사 홈페이지에 정보보호정책 (Privacy Policy) 문서가 잘 작성되어 있는가?
3. 우리 회사는 정보처리활동 기록부를 신속하게 제출할 수 있는가?
이와 같이 정보처리활동 기록부는 항상 제출할 준비를 해 두어야 한다. 미리 잘 작성된 기록부를 제출함으로써 감독기관의 감사를 피할 수도 있고, 감사를 받더라도 신뢰를 받아 신속하게 감사를 마칠 수 있다.
GDPR 제30조 1항은 정보처리활동 기록부의 구성(양식)과 내용을 규정하고 있다.
(a) 컨트롤러의 이름과 연락처, 정보처리의 목적
(b) 관련 정보주체의 카테고리 및 관련 개인정보의 카테고리
(c) 관련 개인정보의 수신자 카테고리
(d) 경우에 따라 제3국으로의 역외전송 관련 정보
(e) 삭제 예정 시점 명기, 기술적 조직적 안전 조처
기록부는 대외적으로 공개하는 문서도 아니고, 정보주체에게 제공할 문서도 아니다. 각 회사가 GDPR에 근거하여 개인정보를 잘 보호하고 있는지 자체적으로 점검하기 위한 내부 문서이며, 감독기관이 요청할 때에나 제출하는 문서이다. 기록부는 독일어나 프랑스어 등 주재국의 언어로 작성하는 것이 원칙인데, 독일 주재 한국기업에게 독일어가 어렵다면, 우선은 영어로라도 작성하는 것이 좋다. 초기 GDPR 시스템을 잘 구축한 다음에 필요하면 주재국의 언어로 번역을 하면 된다. 영어를 사용하면 주재원이 관리하고 본사와 소통하기에 유용하다.
주무관청에서 표준문서로 제시하는 것은 종이문서 양식이 일반이지만, 실무에서는 온라인 입력을 하거나 엑셀 등의 전자 문서를 사용하는 것이 보통이다. 필자가 기업에서 기록부 작성을 교육할 때에는 종이 표준문서로 작성 연습을 해보게 한다. 종이 문서를 작성하는 과정에서 기록부의 의미와 작성법, 정정 방식을 배울 수 있어서 기록부를 빨리 이해하는 데 도움이 되기 때문이다. 추후에 종이 기록부를 엑셀로 변경하는 것은 어려운 일이 아니다.
아래에는 정보처리활동 기록부를 엑셀로 변경한 예시이다. 정보처리활동 기록부의 양식과 내용을 이해하는 데 도움이 되기를 바란다.
저자: 조익제 변호사, 핵심분야: 지식재산권법, GDPR 정보보호법, 부동산 프로젝트 및 한국 스타트업 자문, 거주지: 독일 프랑크푸르트, 소속: PLC 법률 사무소 파트너, 연락처: cho@plc-law.de 및 TNBT (The Next Big Thing) 법률 사무소 대표 변호사, 연락처: cho@tnbt-law.eu
1255호 16면, 2022년 2월 18일