2) 정보처리 계약서 (Data Processing Agreement = Controller-Processor Agreement = DPA 또는 CPA) 작성하기
(지난 호에서 이어집니다.)
각 회사는 배경이 되는 업무 계약관계에 따라 “컨트롤러”이기도 하고, “프로세서”가 되기도 한다. 모든 회사는 자기 직원들의 인사정보 처리에 관하여는 당연히 컨트롤러의 입장에 서지만, 서비스를 제공할 때는 다른 회사의 업무를 처리하는 프로세서 회사의 입장이 되기도 한다.
컨트롤러 회사는 업무를 위임할 때 프로세서 회사와 개인정보 처리에 관하여 data processing agreement인 DPA 또는 CPA를 작성해야 한다. 저자가 CPA라는 용어를 선호하는 이유는 Controller와 Processer가 체결하는 Agreement라는 의미가 잘 전달되기 때문이다. 컨트롤러 또는 프로세서라는 용어는 한국에서도 GDPR의 용어로 잘 알려져 있다.
CPA는 프로세서 회사가 오직 컨트롤러 회사의 지시에 따라서만 정보를 처리하며 정보처리 시 보안에 만전을 기한다는 의무를 상세히 규정하고 있다. 미리 작성된 계약서이기 때문에 약관 (General Terms and Conditions)의 성격을 가진다. 컨트롤러는 CPA 약속을 잘 이행할 수 있는 프로세서를 선정할 의무가 있으며 또한 프로세서 회사를 상시로 관리 감독할 의무를 진다.
실무에서는 구글이나 아마존같이 전 세계적인 서비스를 제공하는 갑의 입장에 선 대형 프로세서 회사가 있기도 하고, 로컬에서 간단한 급여 지불업무를 돕는 을의 입장에 선 작은 프로세서 회사도 있다.
그러므로 때에 따라서 컨트롤러 회사가 CPA 약관을 제공하는 경우도 있지만, 반대로 프로세서 회사가 CPA 계약서 약관을 제공하는 경우도 있다. 아마존 AWS (Amazon Web Service)는 프로세서 회사가 CPA 약관을 제공하는 경우이다.
이와는 달리 컨트롤러 회사가 프로세서 회사에 CPA를 제공하는 경우도 있는데, 삼성전자 등과 같은 대기업들은 개인정보 유출사고를 방지하기 위해서 자신들의 정보처리 안전기준에 맞추는 CPA를 요구하는 것이 보통이다. 프로세서 회사는 컨트롤러 회사의 지시에 따라서 업무를 수행하면 되지만, 컨트롤러 회사는 정보처리에 관한 최종적인 법적 책임을 부담하기 때문에 높은 수준의 CPA를 요구하게 된다.
아래는 CPA 표준약관의 스크린 캡처이다. 영문판 등 다양한 언어로 작성되어 있다.
(다음 호에서 이어집니다.)
저자: 조익제 변호사, 핵심분야: 지식재산권법, GDPR 개인정보 보호법, 부동산 프로젝트 및 한국 스타트업 자문, 거주지: 독일 프랑크푸르트, 소속: PLC 법률 사무소 파트너, 연락처: cho@plc-law.de 및 TNBT (The Next Big Thing) 법률 사무소 대표 변호사, 연락처: cho@tnbt-law.eu
1259호 16면, 2022년 3월 18일