정수연(EU 개인정보보호 협력센터장)
한국인터넷진흥원(KISA, 원장 이원태)은 EU에 진출한 한국 기업의 개인정보보호법(GDPR, General Data Protection Regulation) 대응 지원을 위해 ‘EU 개인정보보호 협력센터’를 독일 에쉬본(Eschborn)에 개소했다.
협력센터는 매달 주요 GDPR 위반처분 결과를 분석하여, 실무에서 GDPR 준수에 적용하고 참고할 수 있는 구체적인 사례를 교포신문 지면을 통해 안내하고자 한다.
누군가를 처음 만났을 때 주고받는 가장 일반적인 대화는 아마도 “안녕하세요, 제 이름은 OOO입니다.” 일 것이다.
이름은 나를 다른 사람들로부터 구분하고, 식별하게 해주는 나와 관련된 가장 일반적인 정보이다. 이렇듯 자연인을 타인으로부터 구분(식별)해 주는 정보가 바로 개인정보이다.
개인정보의 오·남용으로 인한 피해는 금전적 손해에서 그치지 않고 자연인의 일상과 삶에 되돌릴 수 없는 피해를 초래할 수 있어 개인정보보호는 언제나 중요한 이슈로 강조됐다. 이러한 개인정보가 더욱 안전하게 보호받고, 자신의 개인정보에 대한 자연인의 권리를 보장받을 수 있도록 법의 테두리 안에 들어오게 된 것은 아마도 정보화 사회(Information Society)의 등장 때부터일 것이다.
컴퓨터와 정보․통신 기술의 발달로 인해 도래된 정보화 사회에서는 대량의 정보를 신속하고 편리하게 처리·유통·소비할 수 있게 됐다. 이런 장점으로 인해 정보는 글로벌 무역에서 가장 핵심적인 자원이 됐다. 대량 정보의 신속하고 손쉬운 처리와 국경 간 이전은 시장의 발전과 확장을 이끌었으나, 이로 인한 개인정보 오·남용 피해 역시 증가했다. 이에 따라 개별 국가와 국제기구는 개인정보의 이용과 개인정보보호 간 상충하는 문제를 해소하기 위해 활발한 논의를 진행했다.
개인정보보호를 위한 개별법이 처음 등장한 것은 1970년 독일 헤센 주였으며, 독일의 연방법은 1977년 제정됐다. 이후 프랑스(1978), 영국(1984) 등 주변국에서도 개인정보 보호법이 등장하기 시작했다.
개인정보보호와 관련한 국제적인 합의는 1980년부터 등장했다. 가장 먼저 경제협력개발기구(OECD)가 ‘사생활 보호와 개인정보의 국제적 유통에 관한 가이드라인(Guideline on the Protection of Privacy and Transborder Flows of Personal Data, 1980)’을 발표했다. OECD는 가이드라인을 통해 개인정보보호 8원칙을 발표했다. 8원칙은 ①수집 제한, ②정보 정확성, ③목적 명확화, ④이용 제한, ⑤안정성 확보, ⑥공개, ⑦개인 참여, ⑧책임성이다. 위 원칙은 현재까지도 널리 적용되고 있다.
이듬해 유럽회의(Council of Europe)는 모든 개인의 기본적 자유와 권리를 보장하기 위해 1950년 발표된 유럽인권조약에 근거하여 세계 최초이자 유일한 개인정보보호 관련 국제협약인 ‘개인정보의 자동처리와 관련한 개인의 보호를 위한 협약(Convention for the Protection of Individuals with regards to Automatic Processing of Personal Data, CETS No. 108, 1981)’을 발효했다. 협약은 OECD의 개인정보보호 8원칙을 반영하여 참여국의 협력과 의무사항을 규정했다. 참고로 지난 2018년 유럽회의는 기술발전과 시대 변화를 반영한 현대화된 협약(Modernisation of CoE 108)을 채택했다.
유럽연합 차원의 법규범은 1995년 제정된 ‘개인정보 처리 관련 자연인의 보호 및 정보의 자유로운 이동에 관한 지침(Directive 95/46/EC, on the protection of individuals with regard to the processing of personal data and on the free movement of such data)’부터 시작됐다. 유럽연합의 지침은 법의 통일성을 확보하기 위해 마련된 법규범으로서, 회원국들은 지침을 어떻게 자국법으로 편입할 것인지 검토 후 반영한다.
1990년대부터 시작된 인터넷의 확산, 컴퓨터·모바일 기기의 보급, 정보통신기술의 발전은 구글·아마존·페이스북과 같은 글로벌 기업의 등장과 성장을 이끌었다. 하루가 다르게 발전하는 기술 덕분에 우리 삶은 더욱 편리해졌고, 어느새 온라인을 통해 생활하고 소비하고 소통하는 것이 익숙하고 자연스러워졌다.
기술발전으로 경제·사회 전반의 디지털 전환이 빠르게 진행됐고, 개인정보를 포함한 데이터의 처리는 급증했다. 하지만 기존 개인정보 보호법은 이러한 환경 변화를 반영하지 못해, 적용에 많은 한계와 문제를 야기했다.
2009년 EU 집행위는 기술발전과 세계화라는 환경 변화와 회원국 간 법의 불균형이라는 지침의 한계를 인정하며 개인정보보호를 위한 개혁의 필요성을 발표했다. 이후 유럽연합은 디지털 환경을 반영하고, 회원국 간 법의 균형을 제공하기 위한 새로운 법안에 대한 논의를 시작했다. 2012년 초안 발표 후, 4년간의 공론화 과정에서 4000번이 넘는 수정과 유럽의회 역사상 가장 많은 로비가 이뤄진 법안으로 기록된 ‘일반개인정보보호법(General Data Protection Regulation, 이하 GDPR)은 2016년 5월에 제정되었으며, 2년간의 유예기간을 거쳐 2018년 시행됐다.
유럽연합은 GDPR을 통해 회원국 간 법의 균형을 확보할 수 있게 됐다. GDPR은 규범(Regulation)으로서 지침과는 달리 회원국과 유럽경제지역(European Economic Area) 3개국(노르웨이, 리히텐슈타인, 아이슬란드)에 직접 적용 가능하며, 법적 구속력을 갖기 때문이다.
GDPR은 전문 157개와 99개의 조문으로 이루어져 있으며, 정보 주체의 권리 강화와 이를 위한 기업의 책임성 강조가 주요 골자다. GDPR은 개인정보를 처리하는 사업자 스스로가 개인정보 처리에 따른 위험을 적극적으로 검토하고 유·노출 등 침해 발생 시 피해를 최소화하는 ‘위험관리기반(Risk-based approach)’으로 접근하여 대응 방안을 수립하도록 하고 있다. 기업에서는 처리하는 개인정보와 처리 환경 등을 면밀히 검토하고, 더욱 유연하고 창의적인 방법으로 최선의 GDPR 준수 방안을 마련할 수 있다. 물론 이에 대한 입증 책임 역시 기업이 가진다.
유럽연합의 감독기관은 GDPR 준수를 지원하기 위한 구체적인 방안이나, 해설서 등을 제공하지 않기에 현장에서는 실무에서 참고하고 활용할 수 있는 구체적인 방안이나 모범 사례 공유의 수요가 높지만, 이를 찾기는 쉽지 않다.
하지만 개인정보처리자가 하지 말아야 하는 선택이나 처리를 확실하게 알려주는 자료가 있다. 바로 GDPR 위반 처분 사례이다. GDPR 위반 처분 사례는 유사한 개인정보 처리를 하는 기업에 ‘해야 하는 것(TO-DO)’과 ‘하지 말아야 하는 것(NOT-TO-DO)’을 확실하게 구분하고 구체적인 대응 방안까지 도출할 수 있는 길잡이가 될 수 있다고 생각한다.
따라서 다음 회부터는 독일을 포함한 주요 감독기관의 GDPR 위반 처분 사례를 소개하고, 사례별 시사점을 함께 다루고자 한다. 이러한 정보 공유가 현지 기업들이 GDPR 준수 방안을 수립할 때 참고할 수 있는 유용한 자료로 활용되기를 기대해 본다.
1315호 17면, 2023년 5월 19일