한국인터넷진흥원(KISA) ‘EU 개인정보보호 협력센터의 개인정보보호법 사례 소개
정수연(EU 개인정보보호 협력센터장)
어떠한 시상식에서든 일어나서는 안 되는 일이 노벨상에서 벌어졌다.
지난 4일 노벨 화학상 수상자의 명단이 공식 발표 4시간 전 유출되는 초유의 실수가 발생한 것이다. 노벨상 123년 역사 중 수상자가 미리 알려진 것은 이번이 처음으로, 노벨상의 권위에 지울 수 없는 오점을 남겼다. 사고는 스웨덴 왕립과학원이 수상자 명단이 첨부된 이메일을 잘못된 수신인에게 발송하면서 시작됐다.
이처럼 데이터, 특히 개인정보가 포함된 데이터와 관련해 발생하는 실수는 금전적 손실뿐만 아니라 재화의 가치로 환산할 수 없는 평판과 이미지, 신뢰도 등에 치명적인 피해를 초래할 수 있다.
영국의 개인정보 감독기관인 Information Commissioner Office(약칭 ICO)에서는 개인정보를 처리하면서 가장 빈번하게 발생하는 실수와 이러한 실수 발생 시 대응하는 방법을 소개했다.
(※ 출처: ICO, Common data protection mistakes and how to fix them)
ICO에 따르면 개인정보 처리자의 가장 흔한 실수는 바로 이메일 발송에서 발생한다고 한다.
이메일은 이용 방법이 간편하고, 신속하게 전달되며, 인터넷만 연결되면 언제 어디서나 이용할 수 있는 강점이 있다. 또한, 한 통의 이메일에 파일을 손쉽게 첨부해 많은 정보를 한꺼번에 전달할 수 있으며, 최소한 한 명에서, 많게는 수십·수백에 동시에 연락할 수 있어 전 세계적으로 이용이 증가하고 있다.
하지만 이러한 편리성 덕분에 많은 실수도 일어나게 되는데, 그중 가장 빈번히 발생하는 실수는 잘못된 수신인에게 이메일이 발송되는 것이다. 기업의 기밀, 고객정보, 계약서 등 제3자에게 유출되어서는 안 되는 파일이 실수로 인해 잘못된 수신인에게 발송되는 사고가 종종 벌어진다. 또한, 한국에서는 이메일 동보 발생으로 인해 이메일 주소가 수신자 간 유출되는 사고가 지속해서 발생하고 있다.
ICO는 메일 주소 자동완성 도구를 제한적으로 이용하는 것만으로도 발송 실수를 줄일 수 있다고 한다. 메일 주소 자동완성 기능은 첫 알파벳만 써도 예전 기록이 나타나기 때문에 빠르게 수신인의 메일 주소를 완성할 수 있다는 장점이 있지만, 이러한 편리성으로 인해 수신인 메일 주소 입력에 주의를 기울이지 않아 잘못된 수신인이 추가될 수 있는 확률이 높아지기 때문이다.
이러한 주의를 기울였음에도 불구하고 발송 실수가 발생했다면, ICO는 실수를 인지한 즉시 발송을 취소하도록 안내한다. 만약 발송 취소가 적용되지 않는 경우 수신인에게 개별 연락을 취해 해당 메일과 관련 파일 등에 대해 삭제를 요청하도록 권장하고 있다. 또한, 발송된 이메일로 인해 개인정보 침해가 예상된다면 사실을 인지한 72시간 내 감독기관에 신고해야 한다(GDPR 제33조 제1항)고 강조한다.
또 다른 빈번한 실수는 적법 근거 없이 개인정보를 저장하는 것이다.
GDPR 제5조에 따라 목적을 달성한 개인정보는 즉시 삭제가 원칙이다. 물론 타법 등에 따라 추가적 저장이 필요한 경우는 예외가 된다. 하지만 현장에서는 만에 하나를 대비하여, 목적을 달성한 개인정보를 삭제하지 않고 저장하곤 한다. 저장된 개인정보로는 고객정보부터, 퇴사자, 구직자 등 그 종류와 범위, 민감도 역시 다양하다.
적법한 근거 없이 개인정보를 저장하는 것은 GDPR 제5조 개인정보 원칙 위반이다. 또한, 만에 하나를 위해 저장된 개인정보를 관리하기 위해 발생하는 비용과 보안 기준 유지, 관리 등은 개인정보 처리자의 부담으로 오롯이 남게 된다.
ICO는 불필요한 개인정보 저장에 따른 부담을 없애기 위해 개인정보 처리자에게 개인정보별 저장 정책과 근거를 기록하고 정책대로 개인정보가 정기적으로 분류되고 삭제되는지는 확인하고 관리할 것을 권장하고 있다.
이 밖에도 정보주체의 권리행사와 관련하여 개인정보 처리자로 고용된 직원의 부적절한 대응도 빈번하게 발생하고 있다. GDPR 시행 이후, 점점 더 많은 정보주체가 자신의 권리에 대해 인지하고 있으며, 적극적으로 권리행사를 요구하고 있지만, 현장에서는 직원의 인식 부족 또는 부주의로 인해 정보주체의 권리행사 요구를 무시하거나 부주의하게 응대하는 경우가 자주 발생하고 있다. ICO는 이를 개선하기 위해 직원을 대상으로 한 지속적인 개인정보 교육과 인식 제고 활동의 필요성을 강조했다.
독일의 정치가인 비스마르크는 ‘어리석은 자는 경험에서 배우고, 지혜로운 자는 역사에서 배운다.’라고 했다. 이 말은 현명한 자는 남의 실수를 통해 배움을 얻지만, 어리석은 자는 자신이 직접 경험해보고 나서야 비로소 깨닫게 된다는 뜻이다.
타인의 실수와 시행착오는 우리에게 가지 말아야 할 길을 직관적으로 알려주는 지도와 같은 역할을 한다. 이러한 맥락에서 개인정보보호위원회와 한국인터넷진흥원은 EU에 진출한 우리 기업을 위해 GDPR 주요 위반처분에 대해 ‘사건의 개요, 위반 사항, 최종 결정, 시사점과 전망’ 등으로 심층 분석한 자료를 ‘GDPR 대응지원 센터’ 홈페이지에 제공하고 있다. 현재까지 110여 건의 처분사례가 게시되어 있다.
앞으로도 EU 진출 기업의 GDPR 준수를 위한 유용하고 실질적인 자료를 제공하고 기업의 애로사항을 청취해 해소방안을 제공할 수 있도록 더욱 노력하겠다.
| 개인정보보호위원회와 한국인터넷진흥원은 독일 에쉬본에 EU 개인정보보호 협력센터를 설립(‘21.11.10.)하여, 우리 기업의 개인정보보호 활동을 지원하고 있습니다. 이번 기고에서 언급된 ‘EU GDPR 위반 및 과징금 부과사례’는 GDPR 대응지원센터 홈페이지(https://gdpr.kisa.or.kr/)에서 확인하실 수 있습니다. o GDPR 대응지원센터 홈페이지 → 신고 및 위반 사례 → EU GDPR 위반 및 과징금 부과사례 |
1335호 17면, 2023년 10월 20일