GDPR에 대한 가이드라인과 지침, 의견서 등은 언제나 EDPB에 의해 개발되고 공개된다.
EDPB는 어떤 조직이며, 어떤 역할을 하기에 GDPR에 대한 자료는 늘 EDPB로부터 시작되는 것일까?
이번 글에서는 EDPB에 대해 소개해 보려 한다.
EDPB는 European Data Protection Board의 줄임말로, 유럽 개인정보보호 이사회로 번역하고 있다. EDPB는 GDPR(제68조~제76조)에 근거하여 일관성 있는 법의 적용과 집행을 보장하기 위해 설립된 독립기구로 유럽연합 회원국(27개국)과 유럽 경제 지역(European Economic Area)의 3개국(아이슬란드, 리히텐슈타인, 노르웨이) 등 30개국의 개인정보보호 감독기관(Data Protection Authority)과 EU의 개인정보보호 자문기구인 European Data Protection Supervisor(약칭 EDPS)가 참여하고 있다.
EDPB의 의장단(Chairmanship)은 의장(Chair) 1명과 부의장(Deputy Chair) 2명, 총 3명으로 구성되며 선거를 통해 선출된다. EDPB의 초대 의장은 오스트리아 감독기관의 안드레아 엘리니크(Andrea Jelinek)가 GDPR이 시행된 2018년 5월 25일 선출되어 지난 5년간 제1대 의장으로 활동했다.
올해 5월 25일 개최된 제80차 총회(Plenary meeting)에서 핀란드 감독기관의 아누 타루스(Anu Talus, 2023.5.25 ~ 2028.5.24)가 제2대 의장으로 선출됐으며, 사이프러스 감독기관의 아이렌 로이지도우 니콜라이도우(Irene Loizidou Nicolaidou)와 네덜란드 감독기관의 알레이드 볼프센(Aleid Wolfsen)이 부의장으로 선출됐다.
EDPB는 설립 후 지금까지 GDPR에 대한 구체적인 해석과 가이드라인을 제공하고, 회원 간 이견이 있는 사안에 대해 조율하고, 분쟁 발생 시 중재하는 등 GDPR의 안정적이고 일관성 있는 적용 환경 조성을 위해 활동하고 있다.
2020년 12월 EDPB는 2021-2023 전략(Strategy 2021-2023)을 통해 4개 분야에 대한 전략적 목표를 발표했다. 전략적 목표는 ①실용적이고 이해하기 쉬우며 실무친화적인 도구를 개발하여 규제 준수를 지원, ②감독기관 간 협력과 소통 강화를 통한 집행력 제고, ③신기술과 정보 주체의 기본권 및 잠재적 영향에 관한 연구 분석 강화, ④글로벌 개인정보보호 수준 향상을 위한 글로벌 협력 강화 등이다.
이중 첫 번째에 해당하는 규제 준수 지원의 하나로 EDPB는 지난 4월 27일 중소기업을 위한 개인정보보호 가이드(Data Protection Guide for Small Business)를 공개했다. 이름에서 확인할 수 있듯 해당 자료는 중소기업의 GDPR 준수를 더욱 쉽고 직접적으로 지원하기 위해 그간 EDPB가 축적해 온 경험과 노하우를 바탕으로 제작됐다.
* https://edpb.europa.eu/sme-data-protection-guide/home_en
가이드는 3개 부분으로 구분할 수 있다.
첫 번째 장은 개인정보보호의 필요성과 효과, GDPR의 주요 용어와 개념 등을 구체적인 예시와 인포그래픽 등을 활용하여 설명하고 있으며, 개인정보 처리에 따른 순서도와 체크리스트 등 실무에 바로 적용할 수 있는 다양한 도구를 제공하고 있다.
두 번째 장은 특정 조건 혹은 상황에 따라 개인정보 처리자가 준수해야 하는 ‘DPO’, ‘개인정보 침해/유출’, ‘정보 주체의 민원 제기 시 취해야 하는 단계별 활동’, ‘개인정보 역외이전’ 등에 대해 자세히 안내하고 있다.
일례로 ‘DPO’ 부분을 살펴보면, 먼저 나의 조직에서 DPO 임명 필요 여부를 확인할 수 있도록 자가 점검 테스트를 제공하고 있으며, 이후 DPO의 역할과 권한, 자격 등에 대해 실사례와 예시를 들어 안내하고 체크리스트를 제공하여 자신의 상황을 확인할 수 있도록 하고 있다.
마지막으로 개인정보 감독기관과 EDPB의 역할과 기능, 권한 등을 안내하고 있다. 또한 회원국별 개인정보 감독기관이 중소기업을 위해 각국의 언어로 개발한 참고 자료를 한 번에 확인하고 다운받을 수 있으며, 관련 자료와 개인정보 처리자를 위한 FAQ를 제공하고 있다.
개인정보보호위원회와 한국인터넷진흥원은 EU에 진출한 우리 기업의 GDPR 준수 지원을 위해 그동안 EDPB에서 발표한 71개의 가이드라인 중 34건을 국문으로 번역하여 GDPR 대응지원센터를 통해 제공해 왔다. 이번 EDPB의 중소기업을 위한 가이드 역시 우리 기업에게 유용한 자료가 될 수 있을 것으로 판단, EDPB 사무국의 협조를 바탕으로 해당 가이드를 국문으로 번역해 GDPR 대응지원센터를 통해 제공하고 있다.
EU에 진출한 많은 기업은 GDPR의 내용이 모호하고 다양한 해석이 가능하여 대응 방안을 마련하기가 어렵다고 토로한다. GDPR은 준수 방안 마련을 위한 명확한 기준이나 범위, 대응 방안을 제시하는 것이 아니라 개인정보 처리자 스스로 처리하는 개인정보에 따른 위험을 판단하고 최소화하는 위험 관리 접근(Risk based approach)으로 대응 방안을 마련하도록 하고 있기 때문이다. 물론 개인정보 처리자 별로 처리하는 개인정보의 양·빈도·민감 정도 등이 다르므로, 규제 준수를 위한 일정한 기준이나 범위 등을 제안하는 것은 GDPR의 유연한 적용과 선제 대응 방안 마련을 저해하는 요소가 될 수도 있다.
하지만 인력과 예산이 상대적으로 적은 영세·중소기업에는 가능한 명확한 지침과 기준을 제시하여 개인정보보호 규제 준수에 대한 부담을 낮추고 역량을 강화할 수 있도록 길잡이를 제공해 주는 것이 필요하다고 생각한다.
이번 EDPB의 가이드가 그간 GDPR 준수에 대한 부담을 안고 있던 우리의 영세·중소기업의 부담을 덜어내고, GDPR 준수 방안 마련을 위한 좋은 기초자료가 되길 기대해 본다. 앞으로도 개인정보보호위원회와 한국인터넷진흥원은 더 실질적으로 도움 되는 자료를 발굴하여 EU에 진출한 우리 기업에 힘이 될 수 있도록 더욱 노력하겠다.
정수연(EU 개인정보보호 협력센터장)
1332호 23면, 2023년 9월 22일