2021년 협력센터 개소 이후, 현지 진출기업 관계자분들로부터 가장 많이 들었던 질문 중 하나이다.
EU에서 직원의 개인정보를 처리할 때, 직원의 동의를 받으면 처리할 수 있을까?
회사는 채용, 급여, 질병, 모니터링 및 평가, 복지 제공 등 다양한 목적으로 잠재적인, 현재 또는 과거의 직원에 대한 정보를 처리하게 된다. 이렇게 회사가 처리하는 직원과 관련된 정보는 특정 개인을 식별할 수 있는 정보이므로, 개인정보에 해당한다.
따라서 EU에서 개인정보 처리 시 준수해야 하는 GDPR이 적용된다. 다만, 일부 EU 회원국에는 직원의 개인정보 처리에 대한 특별법이 제정되어 있기 때문에, 회원국별 상황에 대한 확인이 필요하다.
독일은 직원의 개인정보 처리에 대한 특별법이 제정되어 있지 않다. 따라서 직원의 개인정보를 처리하는 회사는 GDPR과 개인정보 처리와 관련한 독일의 일반법이자 GDPR에 준하여 제·개정된 연방 개인정보 보호법(Bundesdatenschutzgesetz, 이하 BDSG), 주별 개인정보 보호법의 준수 의무를 갖는다.
독일의 개인정보 처리자는 독일의 개인정보 감독기관 협의체 DSK(Datenschlzkonferenz)의 지침과 가이드라인, 의견서 등을 참고하면 보다 구체적인 해석을 바탕으로 대응 방안을 마련할 수 있다.
다시 질문으로 돌아가, 질문에 대한 답은 BDSG 제26조와 DSK 지침 제14호(직원의 개인정보보호)에서 확인할 수 있다.
BDSG(제26조)에 따르면 회사는 ① 고용 관계의 수립·유지 또는 종료에 따른 목적인 경우, ② 단체협약, 사업장 내부 협약에 근거한 경우 또는 ③ 예외적으로 인정되는 때에만 직원의 동의를 기반으로 개인정보를 처리할 수 있다고 규정하고 있으며, 지침 제14호는 동의에 대해 ‘고용 관계에서 동의는 일반적으로 유효한 동의로 인정하지 않는다.’라고 강조하고 있다.
EU에서는 왜 회사의 직원 개인정보 처리 적법 근거로 ‘동의’를 제한적으로만 인정하는 것일까?
그 이유는 GDPR에서 동의가 유효하기 위해서는 GDPR의 동의 조건(제7조)을 충족해야 하기 때문이다.
GDPR의 동의는 ① 자유로운(freely given) 상태에서, ② 개별적으로 특정(specific)된 ③ 사전에 관련된 필요한 정보를 충분히 제공 받고(requirement that consent must be informed) ④ 개인정보 처리 전에(opt-in), ⑤ 정보 주체로부터 명확한 의사표시를 받았음을 입증할 수 있어야 하고 ⑥ (개인정보 처리자는 정보 주체에게) 언제든 동의를 철회할 수 있음을 알리고, 이러한 철회가 손쉽게 될 수 있도록 보장한 상태에서 획득한 경우가 유효한 동의로 인정받을 수 있다.
특히 동의 조건에서 자유로운(free/freely given) 상태는 정보 주체가 자신의 개인정보 처리에 대해 실질적인 선택권과 통제권을 갖는 것을 의미하는데, 일반적으로 수직적인 관계를 갖는 고용 관계에서 직원이 자신의 개인정보 처리에 대해 선택권과 통제권을 가진 상태에서 외부의 강압 없이 자유로운 의사의 표시로 개인정보 처리에 대해 동의했다고 보기는 어렵기 때문이다.
그렇다면 예외적으로 직원의 동의가 인정되는 경우는 어떤 때일까? BDSG 제26조 제2항은 ‘직원이 법적 또는 경제적 이익을 얻거나 고용주와 직원이 같은 이익을 추구하는 경우’ 회사는 동의를 기반으로 처리할 수 있다고 규정하고 있다.
이에 대해 DSK 지침 제14호는 ‘고용 관계 자체가 아닌 고용주가 제공하는 추가 혜택의 경우’라고 명시하며, ‘업무용 차량·전화·컴퓨터 기기 등에 대한 사적 이용 허용, 직원 복지를 위한 건강관리시스템 도입 등’을 예로 들고 있다. 이와 더불어 동의는 원칙적으로 서면 또는 전자 형태로 이뤄져야 하며, 회사는 개인정보 처리의 목적과 동의 철회권 등 직원이 가지는 권리와 관련 정보에 대해 문서의 형태로 제공해야 할 의무가 있음을 강조하고 있다. 또한 직원의 동의가 GDPR 제7조에서 요구하는 동의의 조건을 충족하여 획득했음을 증명할 수 있어야 한다고 명시하고 있다.
따라서 회사는 직원의 개인정보 처리에 대한 법적 근거를 수립할 때, 해당 처리가 ① 직원과의 고용계약을 이행하기 위함인지, ② (타법에 근거한) 회사의 법적 의무를 이행하기 위해서인지 또는 ③ 회사의 정당한 이익을 위함인지 등을 먼저 검토해야 한다. 물론 지침(제14호)에서 명시하고 있는 것과 같이 직원의 복지를 위해 또는 경제적 혜택을 제공하기 위한 경우에는 직원의 동의를 근거로 개인정보를 처리할 수 있다.
EU에 GDPR이 있다면, 한국에는 개인정보보호법이 있다.
한국의 개인정보보호법은 ‘개인정보의 처리 및 보호에 관한 사항을 정함으로써 개인의 자유와 권리를 보호하고, 나아가 개인의 존엄과 가치를 구현함을 목적’으로 하고 있어, 정보주체의 권리와 기본권을 보호를 가장 중시하는 GDPR와 결이 같다. 한국인터넷진흥원은 한국의 유일한 개인정보 전문기관으로 개인정보보호법의 준수와 역량 강화, 인식제고를 위해 개인정보 정책 개발과 제도운영, 인재 양성과 인식제도 등 다양한 사업을 진행하고 있다.
이러한 맥락에서, 한국인터넷진흥원은 개인정보보호위원회와 함께 EU에 진출한 우리 기업의 GDPR 준수 역량을 제고하고, 실질적인 도움을 제공하기 위해 2018년부터 교육, 상담, 컨설팅, 가이드북 제작 등 다양한 지원사업을 진행하고 있다. 이 중 현지 기업의 애로사항을 청취하고 보다 밀착하여 지원하기 위해 설립된 협력센터는 특히 독일의 개인정보 감독기관과 소통하고 있으며, 이 과정에서 DSK의 지침을 확인할 수 있었다. 이번 기고에서 소개한 모든 내용은 DSK 지침에서 확인할 수 있다.
현재까지 DSK가 공개한 지침 20개 중 우리 기업에서 가장 많이 문의한 주제 4개를 선별하여 [‘DPO(제12호)’, ‘직원의 개인정보보호(제14호),’ ‘직원의 개인정보 처리에 따른 의무(제19호)’, ‘동의(제20호)’]을 번역, GDPR 대응지원센터에 게시했다. 이번 자료가 현장에서 개인정보 관련 업무를 담당하는 우리 기업 관계자분들께 실질적으로 도움 되는 유용한 자료가 되길 희망한다.
개인정보보호위원회와 한국인터넷진흥원은 독일 에쉬본에 EU 개인정보보호 협력센터를 설립(‘21.11.10.)하여, 우리 기업의 개인정보보호 활동을 지원하고 있습니다. 이번 기고에서 언급된 DSK 지침은 GDPR 대응지원센터 홈페이지(https://gdpr.kisa.or.kr/)에서 확인하실 수 있습니다. o GDPR 대응지원센터 홈페이지 → EU 개인정보보호 협력센터 |
정수연 (EU 개인정보보호협력센터장)
1324호 17면, 2023년 7월 24일