유럽연합(EU) 일반 개인정보 보호법(General Data Protection Regulation, “GDPR”)이 2018. 5. 25.부터 시행되었습니다.

전세계적으로 개인정보 보호가 중요한 이슈로 부각되는 가운데, EU가 GDPR을 제정하여 시행하게 되었는데, GDPR은 개인정보 보호와 관련하여 EU 회원국 소재 기업들은 물론 일정한 요건을 충족하는 EU 이외 국가에 소재하는 기업들에 대해서도 “직접적으로” 효력을 가지는 첫 입법입니다.

1. GDPR의 적용범위

GDPR은 유럽기업들뿐만 아니라, EU를 무대로 활동하고 있는 한국기업 및 금융기관들에 대해서도 적용됩니다. 구체적으로 (1) EU 내에 자회사/지사 등 사업장이 있는 경우, (2) EU 내에 사업장이 있지 않더라도 EU 내에 있는 개인(정보주체)의 개인정보를 처리하는 경우 등에 적용될 수 있습니다. 특히 고객의 개인정보를 대규모로 처리하는 경우는 물론, 소수의 임직원의 개인정보나 거래 법인의 소속 임직원의 개인정보 등을 수집하여 활용하는 경우에도 GDPR의 적용대상이 되므로, 아래의 사항들을 준수해야 합니다.

2. 개인정보 처리 원칙의 확립

개인정보를 처리하는 경우 (1) 적법성, 공정성, 투명성 원칙, (2) 수집 목적 제한의 원칙, (3) 개인정보 최소화 원칙, (4) 정확성 원칙, (5) 저장 제한 원칙, (6) 무결성 및 기밀성 원칙을 모두 준수해야 합니다. 이상과 같은 각종 원칙이 기업의 각종 개인정보 처리 관행상 제대로 지켜지고 있는지를 상세히 검토하고 분석할 필요가 있습니다.

3. 개인정보 처리의 적법근거 확보

정보주체의 동의, 정보주체와의 계약 이행이나 계약 체결 전 정보주체의 요청에 따른 조치를 취하기 위해 필요한 처리, 컨트롤러 또는 제3자의 적법한 이익 추구 목적을 위해 필요한 처리(단, 정보주체의 이익, 권리 또는 자유가 그 이익보다 중요한 경우는 제외) 등 개인정보 처리가 GDPR에서 제시하고 있는 적법한 처리 근거에 기초하여 이루어지고 있는 것인지 또한 살필 필요가 있습니다.

특히 GDPR의 경우, 정보주체의 동의의 유효성이 매우 엄격한 기준에 따라 논해지고 있을 뿐만 아니라 언제든 철회할 수 있는 성격이어서, 우리나라의 경우와는 달리 개인정보 보호와 이용에 있어서 정보주체의 동의가 갖는 중요성이 상대적으로 낮고 다른 적법성 요건을 세심하게 검토할 필요가 있습니다.

4. 개인정보 국외이전 메커니즘 확립 

개인정보의 EU 외부로의 국외이전은 (1) 적정성 평가를 받은 제3국으로 이전하는 경우, (2) 적절한 보호조치를 제공하고 정보주체 권리 행사가 가능하며, 효과적인 법적 구제수단이 존재하는 경우, (3) 명시적 동의, (4) 계약 이행 등의 경우에만 가능합니다.

5. 정보주체의 권리 확대

정보주체는 열람권(제15조), 정정권(제16조), 삭제권(제17조), 처리제한권(제18조), 개인정보 이동권(제20조), 반대권(제21조), 프로파일링을 포함한 자동화된 처리의 결과를 적용받지 않을 권리(제22조) 등의 권리를 갖습니다. 특히 기업으로서는 위와 같은 정보주체의 권리를 적절히 보장할 수 있는 전자적 방식의 방안(tool)을 제공해야 할 필요가 있습니다.

6. GDPR 위반에 따른 제재

주요조항을 위반했을 때에는 전세계 매출액의 4%에 해당하는 금액 또는 2,000만 유로(한화 약 270억 원) 중 더 큰 금액을 한도로 하는 과징금이 부과될 수 있다고 규정되어 있습니다.

한국의 개인정보 보호법제는 전세계적으로도 매우 엄격한 수준인 것으로 알려져 있지만, GDPR이 우리 법제보다 더 강한 규제를 하고 있는 부분도 있어서 EU와 관련이 있는 한국 내 기업 입장에서도 점검해보아야 하는 부분들이 있습니다.

특히, EU 내에 자회사/지사를 두고 있는 기업이라면 GDPR과 자회사/지사 소재국의 정보보호 법령, 한국의 개인정보 보호법령 등이 중첩적으로 적용되므로 더욱 면밀한 검토가 필요합니다.

GDPR 도입에 따른 다양한 법률이슈는 GDPR의 문언 자체는 물론, 개인정보 보호 이슈에 대한 경험, EU 현지에서의 논의 및 관련 당국들의 입장 등에 대한 전반적인 이해가 있어야 효과적인 대응이 가능하므로, 기업 입장에서는 (1) EU 내 정보주체의 개인정보 처리현황 분석, (2) GDPR 분석 및 현황과 GDPR의 gap 분석 (3) 필요 조치사항의 특정 및 시행, (4) 체계적인 준수 상황 모니터링 등의 순서로 점검할 필요가 있을 것으로 생각됩니다.