이충수 개인정보 보호책임자의 디지털 시대의 새로운 에티켓, 개인정보 보호
근로시간 기록의 시대, 어디까지 기록할 것인가
근로시간의 체계적 기록은 이제 독일 노동시장에서 그 필요성에 관해서는 더 이상 본질적인 논쟁의 대상이 아니다. 유럽사법재판소의 판결과 이를 수용한 독일 연방노동법원의 해석을 통해, 사용자는 근로자의 근무 시작•종료 및 휴식시간을 객관적이고 신뢰성 있게 기록할 의무를 지니게 되었다. 이러한 기록 의무의 확립은 근로자 보호라는 노동법의 핵심 가치를 구현하기 위한 필수적 기반으로 평가된다.
그러나 기록 의무의 존재가 곧바로 기록 수단의 무제한적 선택 자유를 의미하지는 않는다. 최근 기업 현장에서 확산되고 있는 지문•안면인식 등 생체정보를 활용한 근태관리 시스템은, 근로시간 기록이라는 정당한 목적 아래에서도 허용될 수 있는지에 대해 별도의 법적 검토를 요구한다. 기술적 편의성과 관리 효율성이라는 실무적 이점에도 불구하고, 생체정보 처리가 근로자의 기본권에 미치는 영향을 간과할 수 없기 때문이다.
이 글에서는 근로시간 기록의 법적 의무가 근로자의 생체정보 처리까지 정당화할 수 있는가라는 질문을 중심으로, 생체정보의 법적 성격, 필요성 원칙의 적용, 관련 판례의 법리를 검토한다.
근로시간 기록 제도의 본질
근로시간 기록 제도의 본질은 사용자에 대한 관리 편의가 아니라 근로자 보호에 있다. 최대 근로시간 규제, 휴식시간 보장, 초과근무에 대한 보상이라는 규범은 기록 없이는 실효성을 가질 수 없다. 기록 의무는 이러한 보호 규범을 실질적으로 작동시키기 위한 보조적 장치로서, 사용자의 권한을 확대하기 위한 수단이 아닌 통제 장치로 기능한다. 따라서 근로시간 기록은 목적 달성에 필요한 최소 정보 처리를 전제로 하며, 그 목적과 무관한 추가적 식별 수단을 요구하지 않는다.
생체정보의 법적 지위
지문, 얼굴 이미지, 홍채 데이터는 일반적인 개인정보와 질적으로 구별된다. 이들은 단순히 개인을 식별할 수 있는 정보가 아니라, 신체에 본질적으로 결합된 정보다. 생체정보가 특별한 보호 대상이 되는 이유는 여러 측면에서 설명될 수 있다.
첫째, 정보의 변경 가능성이 사실상 없다. 주민등록번호나 비밀번호는 유출 시 변경 가능하지만, 지문이나 얼굴 정보는 신체에 고유하게 결합되어 있어 변경이 불가능하다. 둘째, 유출 시 회복이 불가능하다. 생체정보 유출로 인한 피해는 영구적이며 되돌릴 수 없다. 셋째, 다른 데이터와 결합될 경우 개인의 행동•생활 패턴을 포괄적으로 추론할 수 있다. 출입 기록과 결합된 생체정보는 개인의 일상적 동선과 생활 리듬을 상세히 재구성할 수 있게 한다.
이러한 특성 때문에 생체정보 처리는 원칙적으로 금지되며 예외적으로만 허용된다. 생체정보를 처리하려는 측은 일반 개인정보 처리보다 훨씬 높은 정당화 기준을 충족해야 한다. 단순한 편의성이나 효율성만으로는 정당화될 수 없다.
필요성 원칙과 대안의 존재
근태관리는 근로관계 이행을 위해 정당한 목적을 가진다. 그러나 정당한 목적의 존재만으로 모든 수단이 허용되는 것은 아니다. 여기서 핵심이 되는 기준은 필요성(Erforderlichkeit)이다. 필요성은 단순한 효율성이나 관리 편의성과 동일시될 수 없으며, 다음의 질문을 포함한다. 해당 수단이 목적 달성에 적합한가, 그리고 동일한 목적을 달성할 수 있는 덜 침해적인 대안이 존재하는가.
근태관리 영역에서는 이미 출입카드, PIN 번호, 소프트웨어 기반 기록, 수기 기록 등 다양한 비생체적 대안이 존재한다. 이러한 대안들은 실무에서 문제없이 운영되고 있으며, 근로시간 기록이라는 목적을 충분히 달성할 수 있다. 생체정보 사용이 조금 더 편리할 수는 있으나, 편리함이 곧 필수성을 의미하지는 않는다. 덜 침해적인 대안이 존재하는 상황에서 생체정보를 사용하는 것은 필요성 요건을 충족하기 어렵다.
2020년 베를린-브란덴부르크 주노동법원(Landesarbeitsgericht Berlin-Brandenburg)의 판결은 이러한 원칙을 명확히 했다. 사용자가 지문 인식 기반 근태관리 시스템을 도입하고, 지문 제공을 거부한 근로자에게 경고장을 발부한 사건에서, 법원은 근로자의 거부권을 인정했다.
법원은 지문에서 추출된 정보 역시 생체정보에 해당하며, 근로시간 기록이라는 목적만으로는 생체정보 처리의 필요성이 인정되지 않는다고 판시했다. 특히 동일한 시스템이 카드 기반으로도 운영 가능했다는 점에서, 생체정보 사용은 덜 침해적인 대안이 존재함에도 선택된 수단에 불과하다고 보았다.
근로관계에서의 동의
생체정보 근태관리를 정당화하기 위해 제시되는 논거 중 하나는 근로자의 동의다. 그러나 근로관계에서의 동의는 구조적으로 제한된 자유 아래에서 이루어진다. 근로자는 사용자와의 경제적 의존 관계에 놓여 있으며 업무 평가, 계약 연장, 조직 내 지위 등이 동의 여부에 영향을 미친다. 이러한 권력 비대칭 구조 속에서 이루어진 동의는 법적으로 제한적 의미만을 가질 수밖에 없다. 따라서 근로관계에서의 동의는 보조적 근거일 수는 있으나, 필요성이 부정되는 경우 이를 대체할 수 없다.
앞서 언급한 판결도 이러한 입장을 분명히 했다. 근로자의 동의가 있더라도 필요성이 결여된 경우 정당화 기능을 상실하며, 근로관계에서 생체정보는 예외 중의 예외로만 허용될 수 있다.
기록 의무와 수단의 구분
근로시간의 체계적 기록 의무는 분명히 존재한다. 그러나 이 의무는 기록의 내용과 신뢰성에 관한 것이지, 기록 수단이 기본권을 제한하는 강도를 무제한 허용하는 규범은 아니다. 체계적 기록 의무가 요구하는 것은 객관성, 신뢰성, 보호 목적의 실현이다. 이러한 요건들은 근로자의 신체를 식별 대상으로 삼을 것까지 요구하지 않는다. 출입카드, PIN 번호, 전자적 시스템 등 비생체적 수단도 충분히 객관적이고 신뢰할 수 있는 기록을 가능하게 한다.
근로시간 기록 의무는 그 보호적 성격상 최소침해 원칙에 부합하는 방식으로 이행되어야 한다. 근로자를 보호하기 위한 제도가 오히려 근로자의 기본권을 과도하게 침해하는 수단으로 운영된다면, 이는 제도의 본질과 모순된다. 체계적 기록 의무는 시간을 정확히 기록하라는 의무일 뿐, 근로자의 신체를 식별하고 추적하라는 의무가 아니다.
기술적 가능성은 법적 정당성을 보장하지 않는다
근태시간 기록 의무는 근로자를 보호하기 위한 제도이지, 근로자의 신체를 식별•통제하기 위한 수단이 아니다. 생체정보는 그 회복 불가능성과 광범위한 추적 가능성 때문에, 특히 근로관계에서는 예외적으로만 활용되어야 한다. 출입카드, PIN, 전자 기록 시스템 등 이미 목적을 충분히 달성할 수 있는 덜 침해적인 수단이 존재하는 이상, 단지 편의성과 효율성을 이유로 생체정보를 수집•처리하는 것은 필요성과 비례성 원칙을 충족하지 못한다. 기술적으로 정교한 시스템이라 하더라도, 근로시간 기록이라는 정당한 목적을 위해 근로자의 신체 정보를 상시적으로 활용하는 것은 과도한 수단이며, 근로자 보호를 위한 규범이 오히려 근로자의 기본권을 잠식하지 않도록 그 한계를 명확히 설정해야 한다.
교포신문사는 독일에 진출한 기업과 재독 한인들을 대상으로 이충수 개인정보 보호책임자의 개인정보 보호 관련 상식을 격주로 연재한다. 이충수 개인정보 보호책임자는 다년간 국내 기업에서 개인정보 보호책임자(DPO/Datenschutzbeauftragter)로서 근무하였으며, 현재 교포신문의 개인정보 보호책임을 맡고 있다. lee@mygood.company
1445호 16면, 2026년 2월 6일