우리 회사가 다음 달에 유럽에 진출한다면?! GDPR 준수 첫걸음
지난 포스팅은 정보보호 담당자를 위한 ‘해외 법제 공부 방법론'이었습니다.
오늘은 우리 회사가 ‘다음 달에 유럽을 진출한다면?! GDPR 준수 첫걸음’으로 국내 사업자가 GDPR 준수를 위해 최우선으로 하셔야 할 세 가지에 대해 준비했습니다.
사장님이 ‘우리 다음 달 유럽갈테니 준비해'라고 말씀하신다면, 저라면 가장 먼저 전략을 수립하겠습니다. 가야 하는 방향이 있어야 무얼 해야 할지 세부적인 계획안이 도출되기 때문입니다. 그리고 다음에는 EU 역외데이터 이전에 대해 고민하겠습니다. 그리고 마지막으로 유럽 내 흩어져있는 고객의 정보를 감독할 주 감독기구(One Stop Shop)를 EU 중 어떤 국가에 지정할지에 대해 검토하겠습니다.
국내 사업자가 GDPR을 준수해야 하는 사항은 다음 세 가지 - 전략 수립, EU 역외데이터 이전을 위한 근거마련, 원스톱숍을 위한 자료조사, 시작하겠습니다.
[전략 수립]
GDPR 준수를 위한 전략 수립은 1. 방법론 측면과 2. GDPR 법률 측면으로 고려할 수 있습니다.
1. 방법론 측면 접근: GDPR 준수를 위해서는 환경 분석/현황 분석/개선모델 및 이행계획 수립의 체계적인 접근이 필요합니다.
1) 환경 분석: 비즈니스에 영향을 주는 규제와 적용 대상, 적용 범위 확인
(1) 내부 환경 요인 분석 : 국내 법령 및 그룹사 정책
(2) 외부 환경 요인 분석 : GDPR 및 추가로 고려해야 할 규제 등 확인 (ex. HIPPA 등)
- GDPR 적용 대상인지 확인
- GDPR 적용 범위(시스템, 서비스) 확인
2) 현황 분석
(1) 핵심 서비스 업무 현황 분석
(2) GDPR 법령 분석
(3) Gap 분석 : AS-IS와의 차이 분석
3) 개선모델 수립
(1) 시스템 및 정책 개선 방향성 도출
(2) 유사 사업 및 서비스 벤치마킹
(3) 단기/중기/장기 플랜 수립
- 단, 서비스의 출시에 따른 일정 계획 필요
4) 이행계획 수립: PDCA사이클을 통해 지속적 개선 및 보호 대책 강화
(1) 계획(Plan): 발견된 Gap 수정을 위한 원인 분석
(2) 실행(Do): 해결방안이 효과적으로 수행될 수 있도록 실행계획을 개발하고 계획 실행
(3) 검토(Check): 실행과정을 점검하고, 결과의 효과성을 점검
(4) 조치(Action): 점검결과를 근거를 기반으로 평가. 미이행된 부분은 개선작업 후 필요할 경우 Plan부터 다시 수행
2. GDPR 법률 측면: GDPR 위반 시 과징금 등 행정처분이 부과되므로 EU와 거래하는 국내 기업도 이 GDPR에 위반되지 않도록 주의해야 합니다.
1) 개인정보보호 기업 책임 강화
(1) 개인정보보호 책임자(DPO) 지정
- 컨트롤러와 프로세서의 개인정보 처리 활동 전반을 자문하는 전문가를 DPO로 지정
- 기업으로부터 업무상 지시를 받지 않고 최고 경영진에게 직접 보고하는 권한이 보장되어야 함
(2) 개인정보 영향평가 추가
개인정보 처리가 정보주체 자유와 권리에 높은 위험을 초래할 가능성이 있으면 개인정보 영향평가 수행
(3) 위반 발생 시 72시간 내 감독기관 보고
데이터 유출은 물론 개인에게 위험이 되는 일이 발생할 경우 조직은 위반을 처음 인지한 시점부터 72시간 이내에 감독기관에 보고를 완료해야 함
(4) 개인정보보호 기반 설계(Privacy by design)
데이터 보호를 추가 조항이 아니라 시스템 설계 시점부터 포함해야 함
2) 정보 주체 권리 강화
(1) 정보주체 동의
특정 이용 목적에 대해 정보주체의 명시적 동의를 받아야 하며, 동의는 분명하고 알기 쉬운 방식으로 제공해야 함. 또한 동의를 제공할 때처럼 철회하기도 쉬워야 함
(2) 잊힐 권리
잊힐 권리는 내가 수집을 동의한 개인정보를 삭제할 것을 요구하는 권한인 ‘개인정보 삭제 청구권’. GDPR은 ‘잊힐 권리’의 성립을 4가지로 구분.
- 첫째, 정보가 수집 또는 처리 목적에 더 이상 부합하지 않는 경우
- 둘째, 정보주체가 동의를 철회하거나 보유기간이 만료한 경우, 정보를 처리할 법적 근거가 없는 경우
- 셋째, 정보주체가 레귤레이션 제19조에 의해 개인정보의 처리에 반대하는 경우
- 넷째, 정보처리 절차가 다른 이유로 레귤레이션을 만족시키지 못하는 경우
(3) 정보 이동권
정보주체가 컨트롤러에게 제공한 본인의 개인정보를 체계적으로 구성하여, 일반적으로 사용하는 기계 판독이 가능한 형식으로 제공받을 권리를 의미. 또한 정보주체는 그 정보를 다른 컨트롤러에게 직접 전송할 것을 요구할 수 있음
(4) 개인정보의 자동 프로파일링 및 활용에 관한 결정 권리
정보주체가 본인에게 중대한 영향을 미치는 사안에 대해 프로파일링 등 자동화된 처리에 의한 결정을 반대할 권리를 의미
3) 과징금 부과
GDPR을 준수하지 않는 조직은 전 세계 연간 총매출의 최대 4% 또는 2,000만 유로 둘 중 큰 금액을 벌금을 부과받을 수 있음. 기존에는 회원국별 자체 법률(과거 Directive)에 따라 부과됐다면 이제는 모든 회원국이 통일된 기준으로 부과되었다는 차이점
[EU 역외데이터 이전을 위한 근거마련]
국내 사업자는 EU 연합 기준으로 제3국에 분류되므로, 개인정보의 국제 이전에 해당되므로 '국제 데이터 이전’에 대한 고려가 필요합니다. 다국적 기업의 경우, 데이터 처리 활동이 실제로 이루어지는 장소와 관계없이 EU 데이터 보호관행을 운영 전반에 걸쳐 적용하는 것이 필요합니다. GDPR은 제45조 (1)항에 의거해, 적절한 수준의 보호를 적용한 경우 제3국으로 개인 데이터 이전이 가능하다고 명시했습니다. 적절한 수준의 보호는 집행위원회로부터 타당성이 결정됩니다. 타당성을 획득하기 위해서, 조직은 집행위원회가 고안한 적정성 기준에 따라 실행 가능한 글로벌 데이터보호준수 프로그램을 개발하고 준수해야 합니다.
1. 계약상의 방법: 적절한 수준의 보호를 제공하지 못하는 국가의 국제 데이터 이전을 합법화하기 위해서는 '표준 개인정보보호 조항'을 적용할 수 있습니다.
표준 개인정보보호 조항은 컨트롤러와 컨트롤러 또는 컨트롤러와 프로세서 사이의 개인정보 역외 이전 계약 체결을 위하여 사용되는 통일된 양식의 정보 이전 조항을 의미합니다. 표준 개인정보보호 조항의 양식은 EU 집행위원회에서 채택하였으며, EU의 개인정보보호 원칙을 포함하고 있으므로 표준 개인정보보호 조항에 근거한 개인정보 이전은 적정 수준의 보호조치를 보장하고 있는 것으로 인정됩니다.
2. 행동 강령 및 인증 메커니즘: GDPR은 적절성 메커니즘으로 행동 강령 및 인증 메커니즘을 명시적으로 추가했습니다. BCR(구속력 있는 기업 규칙, Binding Corporate Rules) 요건을 법제화했습니다.
BCR은 다국적 기업 및 그룹이 EU 데이터 보호법에 따라 국경을 초월한 개인정보의 조직 내 이전을 가능하게 하기 위해 개발되었습니다. BCR은 다국적 기업이 자발적으로 작성하여 따르는 유럽 개인정보 보호 표준을 기반으로 한 글로벌 규칙 세트로, 국가 규제 기관은 자체 법률에 따라 승인합니다. DPA(현지 데이터 보호 당국)은 일관성 메커니즘에 따라 BCR 세트를 승인하는 데, 이는 법적 구속력을 보유하고 있습니다.
[원스톱숍(One stop shop) 지정을 위한 자료조사]
유럽에서 서비스하기 위해서는 EU 내 개인정보보호대리인(DPO) 지정이 필요합니다. 이에 앞서 원스톱숍(One stp sohop)에 대한 고려가 필요합니다.
원스톱숍은 처리되는 개인정보의 정보주체가 EU 내 여러 국가에 흩어져 있는 경우에 주 사업장이나 단일 사업장이 소속된 국가의 감독기구가 주 감독기구의 역할을 수행하면서 다른 회원국의 감독기구와 수시로 협력함으로써 컨트롤러·프로세서가 하나의 감독기구만을 대상으로 대응 가능한 집행 체계를 말합니다. 회사가 상품을 판매하는 국가가 독일, 헝가리, 이탈리아라고 가정했을 때, 주 사업장을 독일로 지정하고 독일의 법률을 준수한다면 독일과 헝가리나, 이탈리아의 법률 내용을 준수한 것으로 인정해주는 제도입니다. 따라서, 원스톱숍 메커니즘을 통해 컨트롤러와 프로세서는 여러 국가에 흩어져 있는 정보주체의 개인정보 처리에 대하여 하나의 감독기구(주 감독기구)를 대상으로 대응이 가능합니다.
원스톱숍을 지정한 후에는 GDPR을 준수하는 것에서 한발 더 나아가 회원국 자국의 법률을 준수하는 것이 필요합니다. 과징금 부과 대상에 해당하지 않는 GDPR 위반사항에 대해서도 EU 각 회원국은 자국의 법률에 추가적인 처벌이 규정되어 있을 수도 있습니다.
원스톱숍을 지정한 후에도 해당 국가 동향에 대해 주기적인 모니터링이 필요합니다. 이유는 EU는 유럽연합이기 때문에 영국의 브렉시트처럼 연합에서 탈퇴하는 국가가 생길 경우, 유럽에 진출한 서비스의 법적 제약이 생길 수도 있기 때문입니다. 따라서 단발성으로 규제를 준수하는 것이 아닌, 대내/외 상황을 항상 주시하며 환경 변화에 대응해야 합니다.