이충수 개인정보 보호책임자의 디지털 시대의 새로운 에티켓, 개인정보 보호
사진도 개인정보다 – 언제 GDPR이 적용되는가?
사진 속 인물이 식별 가능한 경우, 해당 사진은 개인정보로 간주되어 GDPR(유럽개인정보보호법)이 적용됩니다. 얼굴 뿐 아니라 유니폼, 배경, 위치 정보 등을 통해 간접적라도 개인이 특정될 수 있다면 이는 개인정보입니다.
GDPR 제6조에 따르면 이러한 개인정보의 처리는 합법적인 근거가 있어야 합니다. 가장 일반적인 근거는 ‘명시적 동의’이며, 그 외에는 법적 의무, 계약 이행, 공적 이익, 정당한 이해관계 등이 있을 수 있습니다. 하지만 사진처럼 민감하고 시각적으로 노출되는 데이터는 원칙적으로 명시적인 동의를 요구하는 경우가 많습니다.
이때 ‘처리’란 단순히 사진을 찍는 행위만이 아니라, 저장, 게시, 편집, 전송 등 일련의 모든 행위를 포함합니다. 따라서 사진을 찍어 폴더에 보관하는 것도, SNS에 올리는 것도 모두 GDPR의 적용을 받습니다.
단, 예외가 있는데요 ‘가정적 또는 순전히 개인적인 활동’으로 이루어진 사진 촬영은 GDPR 적용을 받지 않습니다. 예를 들어 가족끼리의 생일파티에서 사진을 찍는 행위는 개인정보보호법의 통제를 받지 않지만, 그 사진을 SNS에 공개한 순간 ‘사적 영역’을 벗어나면서 법적 문제가 발생할 수 있습니다.
학교•직장에서 사진을 찍을 때 주의할 점
학교나 유치원은 사진 촬영과 관련하여 가장 민감한 장소 중 하나입니다. 미성년자는 성인보다 훨씬 강력하게 보호되며, 학부모의 동의 없이 아이들의 얼굴이 담긴 사진을 촬영하거나 게시하는 것은 법적으로 문제가 됩니다.
예를 들어, 학예회에서 단체사진을 찍는 경우에도 사전에 모든 학부모의 동의를 받는 것이 원칙이며, 동의한 범위 안에서만 사용해야 합니다. 단순히 학교 내부에서 열람하는 용도의 인쇄물과, SNS 또는 웹사이트에 게시하는 경우는 법적 구속력에 큰 차이가 있습니다. 일부 학부모는 “인쇄물은 허용하지만 온라인 게시에는 반대”와 같은 제한적 동의를 하기도 하므로, 이를 정확하게 분류하여 관리해야 합니다.
직장 내에서도 마찬가지입니다. 팀 빌딩 행사, 송년회, 회사 소개용 사진 등에서 직원들이 식별되게 촬영되었다면, 이에 대한 자발적이고 명시적인 동의가 필요합니다. 특히 고용 계약서 안에 포함된 일반적인 사진사용 조항은 명시적 동의로 간주되지 않으며, 별도의 동의서를 받는 것이 바람직합니다.
행사 시 실무 팁! ‘촬영 제외 스티커’ 활용
행사나 모임 등에서 사진이나 영상 촬영이 이루어질 때, 참석자가 자신의 촬영 거부 의사를 명확하게 표시할 수 있도록 도와주는 실용적인 방법을 소개합니다.
참석자가 눈에 띄는 색깔이나 문구가 적힌 스티커를 명찰이나 옷, 가방 등에 부착하여 자신이 사진 촬영을 원하지 않는다는 의사를 시각적으로 표현하고, 촬영자가 이를 확인하는 방법입니다.
예를 들어, 행사 입장 시 “촬영을 원치 않는 분은 빨간 점 스티커를 명찰에 붙여주세요”라는 식의 안내가 제공되며, 이후 촬영자는 빨간 점이 있는 참석자를 식별해 촬영을 피하거나 사후 편집 시 모자이크 처리 등의 비식별화 조치를 취하게 됩니다.
이 제도는 특히 학교 행사, 기업 워크숍, 공공 세미나 등에서 효과적으로 활용될 수 있으며, 사전 안내와 사후 편집 시스템이 함께 운영된다면 실무에서 GDPR 준수를 실질적으로 돕는 유용한 방법이 될 수 있습니다.
다만 유의할 점은 스티커가 없다고 해서 촬영 자동 동의로 간주해서는 안 되며 사전 동의서가 가능하다면 병행하는 것이 바람직합니다. 스티커를 분실했거나 붙이지 않은 참석자에 대해서도 상황에 맞는 배려와 유연한 대응이 필요하며 모든 참석자에게 선택권이 있으며, 이 방법은 촬영 비동의를 쉽고 시각적으로 보장하는 장치임을 분명히 사전 설명되어야 합니다.
무단 사용 시 발생할 수 있는 법적 책임
사진이 개인 식별 정보를 포함하고 있고, 명확한 동의 없이 촬영되거나 공개적으로 사용된 경우, GDPR 제82조에 따라 손해배상 청구가 가능합니다.
실제로 독일에서 아래와 같은 직원의 손해배상 청구 판례들이 존재합니다:
– 2023년, LAG Baden-Württemberg: 퇴사한 직원의 사진을 회사가 9개월간 무단으로 웹사이트에 게재한 사건에서 법원은 10,000유로의 배상 판결을 내림.
– 2021년 AG Münster: 광고 브로셔에 직원 사진을 무단 사용한 사건에서 5,000유로 배상 명령.
이러한 판례들은 GDPR에 따른 동의가 단순히 한번 받은 것으로 끝나는 것이 아니라, ‘시점, 범위, 목적’에 따라 계속해서 관리되어야 함을 보여줍니다.
실무에서 지켜야 할 원칙과 권고사항
실무에서는 아래와 같은 체크리스트를 통해 GDPR에 따른 사진 촬영과 사용을 보다 체계적으로 관리할 수 있습니다:
1. 사전 안내: 촬영 여부, 목적, 활용 매체에 대해 참석자에게 명확히 고지
2. 사전 동의: 가능한 경우 개별적 서면 동의서 확보
3. 선택권 보장: 촬영 제외 스티커 또는 비참여 선택 수단을 제공
4. 사진 보관: 암호화 저장, 접근 권한 통제, 보관 기간 명시
5. 철회 대응: 동의 철회 요청 시 즉시 삭제 또는 사용 중단 조치
또한, 동의서는 구체적으로 촬영 및 사용 목적, 사용될 매체, 철회방법 및 연락처, 보관기간 등의 항목을 포함해야 합니다:
이러한 절차를 갖추는 것은 단지 준법의 목적이 아니라, 행사조직과 참여자 간의 신뢰를 구축하는 조건일 것입니다.
존중과 동의: 안전한 사진 문화의 시작
오늘날 사진 한 장이 단순한 추억을 넘어 개인의 중요한 정보가 될 수 있다는 점을 잊지 말아야 합니다. 따라서 사진 촬영 전에는 반드시 상대방의 동의를 구하고, 거절할 권리를 존중해야 하며, 동의한 이후에도 언제든지 철회할 수 있는 권리가 보장되어야 합니다. 이러한 기본 원칙을 지킴으로써 우리는 서로의 권리를 보호하고, 모두가 안심할 수 있는 소통 문화를 만들어 갈 수 있을 것입니다.
교포신문사는 독일에 진출한 기업과 재독 한인들을 대상으로 이충수 개인정보 보호책임자의 개인정보 보호 관련 상식을 격주로 연재한다. 이충수 개인정보 보호책임자는 다년간 국내 기업에서 개인정보 보호책임자(DPO/Datenschutzbeauftragter)로서 근무하였으며, 현재 교포신문의 개인정보 보호책임을 맡고 있다. lee@mygood.company