국제

새로운 EU 개인정보 보호법, 기업에 철저한 개인정보 관리 요구

by eknews02 posted Oct 24, 2017
?

단축키

Prev이전 문서

Next다음 문서

ESC닫기

+ - Up Down Comment Print
새로운 EU 개인정보 보호법, 기업에 철저한 개인정보 관리 요구


기존 어느 개인정보 보호법보다도 엄격하고 정보주체의 권리와 기업의 책임성이 한층 강화된 유럽연합(EU) 일반 개인정보보호법(GDPR)은 위반 시 부과되는 막중한 과징금뿐만 아니라, 기업의 브랜드 이미지와 평판에도 심각한 영향을 미칠 수 있어, 사전에 체계적인 개인정보 관리를  위한 프로세스를 확립하고 빈틈없이 대비하는 것이 자세가 요구된다.

유럽연합(EU)은 회원국 간 개인정보 보호 권리를 강화하기 위해 제정된 EU 일반 개인정보 보호법(General Data Protection Regulation, 이하 GDPR)을 2018년 5월 25일부터 EU 회원국에서 전면적으로 시행한다.

GDPR은 전 세계 개인정보 보호법 중에서 가장 포괄적이고, 제재 강도도 매우 높은 것으로 꼽히며, 모든 EU 회원국에서 직접적인 법적 구속력을 갖고, 더 나아가 이를 위반한 기업에 강도 높은 제재를 가한다는 점에서 시행 여파가 클 것으로 예상된다.

EU 집행위원회 등의 보도자료를 인용한 폴란드 바르샤바KBC에 따르면 GDPR이 시행되면 폴란드 개인정보 보호청을 비롯한 EU 회원국 내 관련기관에서 불시에 기업을 방문해, 기업 내 고객 및 회사 직원들의 개인정보 보호 모니터링 시스템을 제대로 실행하고 있는지의 조사가 이루어질 수 있음을 유의해야 한다.

특히, 회사 직원들의 개인정보 보호는 개인정보 보호법뿐만 아니라 회원국 노동법에서도 규율하는 중요한 사항이므로, 직원들의 개인정보 보호 정책을 마련해 유·노출 사고가 발생하지 않도록 사전 예방을 철저히 하는 것이 중요하다.

GDPR의 적용 대상
GDPR은 개인정보 범위를 구체적으로 정의하고 있으며, 이는 식별됐거나 또는 식별 가능한 자연인인 정보주체와 관련된 모든 정보를 의미한다.

이름, 전화번호 등과 같은 일반적인 개인정보 외에도 IP 주소 등 온라인 식별자, 유전정보, 위치정보 등이 모두 포함된다. 

GDPR의 적용 범위 
GDPR에서는 EU 국가 내에서 회사를 운영하며 EU 국민의 개인정보를 취급하는 기업뿐만 아니라, EU 내 현지 사업장을 운영하지 않더라도 EU 국민에게 재화 또는 서비스를  제공하거나, EU 내에서 정보주체의 활동을 모니터링하는 경우에도 적용 대상으로 포함된다.

예를 들어, 한국 등 해외 기업이 운영하는 웹사이트라고 하더라도 그 내용 및 구성방식 등에 비추어, EU 내 정보 주체들에게 재화나 용역 공급을 예정하고 있다면 GDPR 적용이 가능하다.

GDPR의 개인정보 처리의 근거
GDPR에서는 유효한 개인정보 처리의 근거로 동의 요건을 강화함. 개인정보가 어떻게 이용되고 처리될 것인지에 대한 약관이 사용자가 이해하기 쉽게 명시돼야 하며, 동의 전에 동의를 철회할 수 있는 권리가 있다는 사실을 알려야 한다

특히 개인정보 처리자는 동의를 받았다는 입증자료를 반드시 보관해야 한다. 정보주체의 동의 외에도 정보주체를 당사자로 하는 계약의 이행, 법적 의무의 준수 등 여러 상황들이 개인정보 처리의 근거가 될 수 있다.

GDPR의 정보주체의 권리보장
GDPR에서는 현행 EU 개인정보 보호지침보다 한층 더 다양화된 정보주체의 권리들에 대해 규정하고 있다.

열람 및 정정을 요구할 수 있는 권리에서 더 나아가 삭제권리(Right to be forgotten), 처리 제한을 요구할 수 있는 권리(Right to restriction of processing), 정보의 이동을 요구할 수 있는 권리(Right to data portability) 등이 정보주체의 권리로서 보장돼 있다.  

1110-국제 2 사진.png
지난 13일(금) 개최되었던 유럽연합(EU) 정상회의에서 영국과 Brexit 1단계 협상에서 시민의 권리 보장, 영국의 탈퇴 정산금 및 아일랜드와 북아일랜드 국경 문제 등 3가지 우선 협의안건에 대한 충분한 진전이 없을 경우 2단계 협상 즉, 통상 분야를 포함한 미래관계 협상을 개시할 수 없다는 EU의 확고한 입장이 유연해진 것이라는 분석이다. 또한, 영국과의 미래관계 협상 준비를 촉구한 것과는 달리, 독일과 프랑스 정부는 유럽사법재판소 관할권에 관한 내용을 포함시켜야 한다고 주장했다. 유럽사법재판소 관할권 문제와 관련하여 EU측은 Brexit 이후에도 시민의 권리에 관한 분쟁의 최종적인 해결은 유럽사법재판소가 관할해야 한다고 주장하는데 반해, 영국 정부는 Brexit 이후 영국이 사법주권을 회복함에 따라 영국 국내 법원이 동 관할권을 행사해야 한다는 입장이다.

GDPR의 기업의 책임성 강화
기업은 개인정보 처리가 GDPR에 따라 실행되고 있음을 보장하고 증명하기 위해 적절한 기술적, 관리적 조치들을 이행해야 한다.

특히 리스크가 있는 정보 처리 활동 전에 반드시 영향평가를 실시해야 하며, 개인정보 침해가 발생하면 72시간 이내에 관련 감독기구 및 정보주체에도 지체없이 통지해야 한다.

GDPR의 국외 이전 
EU 시민의 개인정보를 EU 밖으로 이전하는 것은 EU 집행위원회로부터 적정성 결정을 받은 국가로의 이전, 구속력 기업규칙(BCR), 표준계약조항, 행동 규약 등을 충족하는 경우에만 가능하며, 이를 위반할 경우 과징금 대상이 된다.

GDPR의 과징금 
개인정보 처리원칙, 동의 요건, 국외이전 등 심각한 위반 시 최대 2000만 유로 또는 전 세계 연간 매출액의 4% 중 높은 금액으로 산정되며, 그외 일반적 위반의 경우 전 세계 연간 매출액의  2% 또는 2000만 유로 중 높은 금액이 과징금으로 부과될 수 있다.

이와같이 대폭 강화된 EU의 GDPR에 대해 바르딘스키 엔 파트너스(Wardynski & Partners) 로펌, 개인정보 보호법 변호사는 폴란드 바르샤바 무역관의 인터뷰를 통해 "GDPR이 실행되면 기업은 적법성, 공정성, 투명성의 원칙에 따라 개인정보를 처리해야 한다.

기업들은 GDPR 규정에 따라 개인정보에 대한 위치 파악과 검색, 데이터 최소화, 데이터 모니터링 등의 역량을 갖출 수 있도록 개인정보 보호 전문기업의 GDPR 진단 컨설팅을 통해 체계적인 개인정보 관리를 위한 프로세스를 확립해야 한다."고 밝혔다.

유로저널 김세호 기자
eurojournal01@eknews.net


유로저널광고

Articles

나눔글꼴 설치 안내


이 PC에는 나눔글꼴이 설치되어 있지 않습니다.

이 사이트를 나눔글꼴로 보기 위해서는
나눔글꼴을 설치해야 합니다.

설치 취소

Designed by sketchbooks.co.kr / sketchbook5 board skin

Sketchbook5, 스케치북5

Sketchbook5, 스케치북5

Sketchbook5, 스케치북5

Sketchbook5, 스케치북5