유럽연합 GDPR (개인정보 보호법) (13)
GDPR연재를 마치는 글
교포신문사는 유럽 및 독일에 거주생활하시는 한인분들과 현지에 진출하여 경제활동을 하시는 한인 사업가들을 위해 지식재산 전문단체인 “유럽 한인 지식재산 전문가 협회” [KIPEU, Korean IP (Intellectual Property) Professionals in Europe, 회장 김병학 박사, kim.bhak@gmail.com] 의 지식재산 상식을 격주로 연재한다. 연재의 각 기사는 협회 회원들이 집필한다.
KIPEU는 지식재산 분야에서 한국과 유럽의 교류 및 협력 증진을 도모하는 것을 목적으로 하는 공익단체로서, 유럽내 IP로펌 또는 기업 IP 부서에서 활동하는 한인 변호사/변리사 등의 지식재산 전문가들로 구성된 협회이다.
(지난 호에서 이어집니다)
필자는 지금까지 GDPR을 준수하기 위해 주로 컨트롤러 기업이 어떤 업무 매뉴얼을 가지고 준법 의무를 다해야 하는지 설명했습니다. 하지만 본 연재는 GDPR의 기본 지식을 배우려는 모든 분들을 위한 것이기도 합니다. 정보의 주인인 개인에게도 유익하고, 컨트롤러 기업을 돕는 프로세서 업체에도 필요하고, 대기업뿐만 아니라, 중소기업에도 동일하게 적용할 수 있는 실무용 GDPR 정보를 정리해 보았습니다.
각각의 회사와 단체는 스스로 컨트롤러이기도 하고 프로세서가 되기도 하며, 그 내부에 수많은 정보 주체들이 모여 있는 곳이기도 합니다. 회사 직원들의 재무정보, 단체 회원의 신상정보, 건강검진센터 고객들의 건강정보가 바로 개인정보입니다.
얼마전 다음과 같이 “당신의 비밀번호를 알고 있다”라는 협박 메일이 온 적이 있습니다.
I know ***** is one of your passwords on day of hack. … Best solution would be to pay me $4896. We are going to refer to it as a donation. in this situation, i most certainly will without delay remove your video. My BTC address: 17hrPzM64TaZr4prmjztrrfHRge6q67Vhd
상기 이메일에서 인용한 *****는 실제로 제가 오래전부터 사용하는 비밀번호입니다. 나의 비밀번호가 인터넷에 돌아다니고 있다는 것입니다. 이 해커는 나의 비밀스러운 비디오 파일 등 다른 정보도 가지고 있으며, 내가 경찰에 신고하면 즉시 해당 파일을 공개할 것이라고 협박하였습니다. 대신 4,896달러를 비트코인으로 바꾸어서 보내어 주면, 기부금으로 처리하고 협박에 사용한 내 정보를 다 삭제하겠다고 합니다.
제가 한때 실제로 사용했고 지금도 일부 사용하는 개인 비밀번호가 인터넷에 유출되어 있다는 사실에 매우 놀라고 불쾌했지만, 정보사고가 이제는 일상화되어 있음을 잘 알 수 있었습니다. 지인들과 고객사의 직원들이 원치 않는 사기꾼 업체들의 피싱(Phishing) 전화를 받는 경우도 많아졌습니다. 은행정보가 유출되어서 이것으로 금융사기를 당하기도 합니다. 이러한 일은 우리의 개인정보가 인터넷에 유통된다는 분명한 증거이기도 합니다. 보통은 개인정보 보호법이 지나치게 엄격하다는 생각이 들다가도, 이런 협박 메일을 한두 번 받아 보면 왜 개인정보의 보호 수준이 높아야 하는지 잘 이해할 수 있습니다.
얼마 전에는 예전에 자동차를 구매한 자동차 판매 회사에서 다음과 같은 내용의 안내문을 받기도 하였습니다. 대한민국 자동차 회사의 투자를 받은 회사이기도 합니다. 영문으로 번역하면 다음과 같은 내용입니다. 해킹을 당해서 개인정보가 유출되었으니 비밀번호, 은행 정보 등을 바꾸라는 안내입니다. 이 회사가 친절해서 이런 편지를 보낸 것이 아닙니다. 지난 호에 설명해 드린 바와 같이 정보사고를 당한 컨트롤러 회사는 자체적으로 위험을 평가하고, 주무관청과 정보주체에게 정보사고를 알리는 안내문을 발송해야 하는 의무가 있어서 발송한 것입니다. GDPR이 없었다면, 정보사고를 당해도 이런 피해사례들을 감추었을 것입니다. 저는 곧 어떤 정보가 유실되었는지 그 상세한 내용을 공개해달라는 서신을 보낼까 고민 중입니다.
Dear customer, for some time now, reports of cyberattacks on companies around the world have been increasing. Unfortunately, Our group’s email was also the target of a criminal cyberattack. Unfortunately, some personal data was stolen during the attack on our company….
최근 들어 GDPR에 따른 개인정보 처리 기준은 더욱 엄격해지고 있습니다. 이를 위반할 시 부과되는 범칙금이 점점 더 높아지고 있는데, 2천만 유로 (한화로 약 270억 원)까지도 범칙금을 부과할 수 있게 됐습니다. 이 범칙금의 규모는 기업을 파산시킬 수도 있는 정도이기 때문에, 이제 많은 기업들이 GDPR을 지키고자 노력하고 있는 것입니다.
최근 1&1의 경우 GDPR 위반으로 990만 유로(130억원)를 부과받은 일이 있었습니다. 이 기업은 높은 범칙금 부과에 대하여 법원 소송을 진행했고, 법원 소송에서 자신들이 평소 어떻게 GDPR을 준수하려고 노력하고 있었는지 소명하기 위하여 정보처리기록부 등의 자료를 제출하고 990만 유로 범칙금을 90만 유로(12억원)로 성공적으로 낮출 수 있었습니다.
이 사건은 GDPR 위반사실이 적발되더라도 평소의 성실한 준법 노력을 입증할 필요가 있음을 잘 보여준 경우입니다. 저도 1&1의 고객이었기 때문에 정보사고의 상세한 내용을 공개해달라는 요청을 하려고 합니다. 특히 1&1는 저에게 아무런 안내 서신을 보내지 않았기 때문에 추가의 불법이 있는 것으로 짐작됩니다.
더 높은 벌금을 부과받은 사례도 있습니다. 2021년 7월 정보보호 당국은 아마존에 대하여 1조 원의 범칙금을 부과하였습니다. 물론 아마존은 이 범칙금을 그대로 수용하지 않고 법적인 저항을 할 것입니다. 아마존이 범칙금을 성공적으로 낮출 수 있을지 관련 업계가 주목하고 있습니다.
기업들이 GDPR을 준수하는 이유는 범칙금이 두려워서만은 아닙니다. EU 현지 법인 기업은 적극적인 GDPR 준수를 통해 장기적으로는 회사의 경쟁력을 높일 수 있습니다. GDPR 준법 이행의 전 과정을 상세하게 기록하고 입증할 준비를 미리 함으로써 유럽 법인 경영을 더욱 투명하게 만들 수 있기 때문입니다. 투명성은 기업의 효율성과 경쟁력을 높입니다.
지면의 한계로 본 연재에서 다 설명하지 못한 부분은 추후 책이나 기업 세미나에서 설명해 드릴 기회가 있기를 바랍니다. 본 연재를 계기로 GDPR에 관심 있는 기업, 기관, 개인 분들께 다가가는 첫걸음을 뗄 수 있게 되어 기쁜 마음으로 연재를 마칩니다. 감사합니다.
저자: 조익제 변호사, 핵심분야: 지식재산권법, GDPR 개인정보 보호법, 부동산 프로젝트 및 한국 스타트업 자문, 거주지: 독일 프랑크푸르트, 소속: PLC 법률 사무소 파트너, 연락처: cho@plc-law.de 및 TNBT (The Next Big Thing) 법률 사무소 대표 변호사, 연락처: cho@tnbt-law.eu
1265호 19면, 2022년 5월 6일