[컴퓨터월드] 2018년 5월 25일, 2016년에 제정됐던 ‘유럽연합 일반개인정보보호법(EU General Data Protection Regulation, 이하 GDPR)’이 유예기간 2년을 거쳐 본격적으로 적용됐다. GDPR은 시행 이전부터 높은 과징금으로 이슈가 됐다. GDPR을 심각하게 위반할 경우 최대 2천만 유로(약 250억 원) 또는 전세계 매출액의 4%를 과징금이 부과돼 기업들은 치명상을 입을 수 있다. 기업뿐만 아니라 국가 차원에서 GDPR 대응에 나서고 있는 이유다.

우리나라도 국가 차원에서 GDPR에 대응하기 위해 노력해왔다. 행정안전부와 방송통신위원회, 한국인터넷진흥원을 중심으로 적정성 평가를 준비하고 있으며, 기업을 지원하기 위해 ‘우리기업을 위한 GDPR 가이드북’, ‘GDPR 가이드라인’ 등을 발표했다. 또한 국내 기업들을 대상으로 세미나를 개최하는 등 다양한 지원책을 마련하고 있다. GDPR의 세부 규정과 국내 기관 및 기업의 준비현황을 살펴봤다.

GDPR 본격 시행

2018년 5월 25일 GDPR이 본격적으로 적용됐다. 2016년 제정된 GDPR의 유예기간 2년이 끝난 것이다. 업계는 흔히 GDPR을 Y2K 문제와 유사한 양상으로 이슈가 되고 있다고 말한다. 김석환 한국인터넷진흥원장은 지난 25일에 개최된 ‘우리기업을 위한 GDPR 가이드북 콘서트’에서 “GDPR은 Y2K문제만큼 이슈가 되고 있다. GDPR은 Y2K 문제와 유사하면서도 차이점을 갖고 있는데, 비슷한 점은 Y2K 문제처럼 대응이 강조되지만, 시행되고 나서 세상이 급변하거나 어떤 일이 벌어지지 않는다는 것이다. 다만 Y2K문제는 당시의 문제지만, GDPR은 지속적인 대응이 필요한 게 차이점”이라고 말했다.

김석환 원장은 또 “GDPR은 2천만 유로 또는 매출액의 4%라는 무시무시한 과징금이 부과되긴 하지만, GDPR 위반사례가 있더라도 과징금이 부과되기 전 경고 조치 등 행정절차가 진행되기 때문에 크게 두려워할 필요는 없다”고 덧붙였다. 다만 GDPR 관련된 소송 등에 따른 문제는 있을 수 있다고 얘기했다.

GDPR 시행 직후 EU에서 구글, 페이스북이 제소당하는 일이 벌어졌다. 이 두 기업을 제소한 것은 오스트리아 개인정보보호단체인 Noyb.EU로, Noyb.EU는 페이스북과 구글이 서비스 이용자들에게 약관 동의를 강요한 행위가 GDPR에 저촉된다고 지적했다. 이런 상황에서 LA타임즈와 같이 GDPR을 우려해 대응 준비될 때까지 EU지역에 대한 서비스를 포기한 기업도 나오고 있다. 아직까진 국내기업이 제소당했거나 문제가 된 사례는 없지만 구글, 페이스북 사례에서 보듯이 안심할 수는 없는 상황이다.

개인정보 보호와 활용 위해 제정

GDPR은 자연인에 관한 기본권과 자유, 특히 개인정보보호에 대한 권리를 보호하고, EU 역내에서 개인정보의 자유로운 이동을 보장하는 것을 목적으로 한다. 특히 GDPR은 개인정보 삭제권, 처리 제한권, 개인정보 이동권, 반대권 등의 신규 권리 추가 및 기존 권리를 명확하게 해 95년 지침보다 정보주체의 권리를 확대·강화한 것이 특징이다. 이외에도 DPO 지정, 정보보호 체계 등의 내용을 포함해 기업의 책임성을 강화했다.

GDPR은 95년부터 운영돼 온 ‘유럽연합 정보보호법(Data Protection Directive 95/46/EC, 이하 95년 지침)’을 대체한다. 기존 95년 지침은 회원국이 준수해야할 최소한의 요건을 규정해 회원국이 이 지침에 맞는 국내법을 제정해야 했다. 95년 지침 자체로는 법적 구속력이 없었던 것으로 봐도 무방했다. 그러나 GDPR은 규칙(Regulation)으로 제정, 법 형식으로 규율돼 법적 구속력을 가지며, 모든 EU회원국에 직접 적용된다.

업계 전문가들은 기존 95년 지침에서는 회원국 간 개인정보보호 법제가 달라 규제에 어려움이 있었으나, GDPR이 규칙으로 규정되면서 보다 강력하고 통일된 개인정보보호 규제가 가능하게 됐다고 평가했다. 더불어 기존 95년 지침에서는 다수의 국가에 정보주체가 있을 경우 각 국가별 법제를 준수해야 했지만, GDPR은 법적 구속력 있는 단일한 규칙을 적용함으로써 기업이 사업 수행에 따르는 필요비용을 절약할 수 있을 것으로 전망했다.

GDPR은 전문 총 173개항, 본문 총 11장 11개 조항으로 이뤄져있다. 기존 95년 지침이 총 7장 34개 조항인 것과 비교하면 조문수가 크게 늘어났음을 알 수 있다.

▲ GDPR의 구성 체계(출처: 우리기업을 위한 EU GDPR 가이드북)

아시아·태평양 지역 GDPR 대응 기업 29%

국내 관련 부처와 기관 그리고 기업들도 GDPR 대응에 나서고 있다. 개인정보 처리 관련 국내 규정을 담당하는 행정안전부를 비롯해 관련 기관들은 그동안 국내기업을 대상으로 GDPR 관련 인식 제고와 대응 지원활동을 펼쳐왔다. 행정안전부는 국무조정실, 방송통신위원회, 산업통상자원부, 외교부, 중소벤처기업부 등 관계부처와 협력해 GDPR 준비 기업을 돕는 합동 체계를 구축하고 설명회를 개최할 예정이다.

또 범정부적 차원에서 ‘적정성 평가’를 진행하고 있다. EU는 우리나라와 일본을 적정성 평가 우선 대상으로 검토 중인 것으로 알려졌다. 우리 정부는 올해 말까지 적정성 평가를 통과해 화이트리스트에 등제되는 것을 목표로 하고 있다.

한국인터넷진흥원(KISA)은 ‘우리기업을 위한 EU GDPR 가이드북’ 등 GDPR 관련 교재를 배포하고, 교육 세미나를 개최하는 등 각종 지원 프로그램을 진행하고 있다. 특히 지난달 31일부터 이틀동안 진행된 국내 개인정보보호 컨퍼런스 ‘개인정보보호 페어 2018’에서 EU 사법총국 담당 베라 요로바 집행위원과 랄프 사우어 유럽집행위원회 역외이전 담당관을 초청해 GDPR 주요이슈에 대한 강연을 진행했다. ‘개인정보보호 페어 2018’은 행정안전부와 방송통신위원회, 개인정보보호위원회가 공동 주최하고, 보건복지부와 서울특별시, 경찰청 등 정부부처와 금융감독원과 금융보안원 등 31개 유관기관·협회·학회가 후원하는 국내 대표 개인정보보호 컨퍼런스다.

또한 KISA는 행사장에서 500개 기업을 대상으로 조사한 ‘우리 기업의 GDPR 대응현황’을 발표했다. 국내 GDPR 대응 현황을 진단하고, 이를 기반으로 기업에 맞는 맞춤형 지원에 나선 것이다.

한편 베리타스, ISACA 등은 자체적으로 GDPR 대응 현황에 대해 조사, 결과를 발표했다. ISACA는 아시아·태평양 지역에서 GDPR에 대비한 기업은 29%에 불과하다고 결과는 내놨다. 이 조사는 ISACA의 회원 중 6,000여 명을 대상으로 실시했으며, 응답기업의 절반은 연말까지 GDPR 대비를 마칠 수 있을 것이라고 예상했고, 40%는 언제 대응 준비를 마칠 수 있을지 모르겠다고 답해 아태지역 기업들의 GDPR 대응이 매우 미비하다는 사실을 보여줬다.

베리타스도 지난해 국내 기업 의사결정자 100명을 포함, 미국, 영국, 프랑스, 독일, 호주, 일본, 싱가폴 등의 비즈니스 의사결정자 900명을 대상으로 진행한 ‘베리타스 2017 GDPR 대비현황 보고서’를 발표했다. 이 보고서에 따르면, 전세계적으로 31%만 GDPR에 대한 준비가 돼있다고 응답했다. 국내응답자의 61%, 글로벌 응답자의 47%는 기한 내 GDPR 규정 준수를 위한 대비를 마칠 수 있을지에 우려하고 있는 것으로 나타났다.

국내 정보보호 컨설팅 기업 관계자들은 “GDPR의 높은 과징금이 이슈가 돼 기업들의 관심이 높은 것은 분명하지만, 실질적으로 컨설팅이 진행되는 상황은 드물다”고 지적했다. 또 이들은 “대기업들은 유럽지사에서 GDPR 대응을 준비하고 있지만, 유럽에서 서비스를 제공하는 중소기업들의 대응 현황은 아직 미비한 상황”이라고 덧붙였다.

▲ 김승준 베리타스코리아 이사 <인터뷰> GDPR로 인해 긍정적인 비즈니스 효과도 기대 김승준 베리타스코리아 이사 “엄중한 처벌과 과징금을 피하려는 노력이 GDPR을 준수하려는 주요 동력이 되지만, 기업들은 GDPR을 통해 긍정적인 비즈니스 효과를 기대할 수 있다.” 김승준 베리타스코리아 이사는 ‘베리타스 2017 GDPR 대비 현황 보고서’에 대해 설명하면서, GDPR의 긍정적인 효과에 대해 설명했다. 김 이사는 “GDPR은 유렵연합 회원국 마다 달랐던 기존 개인정보 처리 방식을 하나로 통일하는 것이기 때문에 기업 입장에서는 하나의 일관된 정책으로 정보 처리가 가능해져 긍정적인 효과를 기대할 수 있다”고 설명했다. 이어 김 이사는 GDPR 대응과정과 대응 시 유의사항에 대해 설명했다. 김 이사는 “GDPR에 대응하기 위해서는 기업내 GDPR의 영향을 받는 영역을 도출해야 한다. 어떤 비즈니스가 EU 거주민 정보를 다루고 있는지를 알아내고, 기업의 역할이 컨트롤러인지, 프로세서인지 등의 파악이 필요하다. 또한 개인정보보호에 대해 기업의 현재 수준에 대한 정확한 진단이 필요하다”고 강조했다. 그는 또한 “베리타스는 글로벌 프랙티스와 업계 표준에 의해 개발된 ‘베리타스 정보 거버넌스 프레임워크’에 따라 GDPR의 핵심 요소를 중심으로 기업의 개인정보보호 체계가 얼마나 잘 대응할 수 있는가에 대한 평가를 실시하고 개선방향을 제시한다. 평가 영역으로는 기업 전체의 정보관리를 위한 정보 거버넌스 전략, 정보 관리와 관련된 업무를 수행할 인력 및 조직, 이들이 따라야 하는 정책 및 절차, 이를 뒷받침하는 기술 및 솔루션, 그리고 GDPR에서 새롭게 요구되는 프로세서의 의무 및 책임을 관리할 수 있는 체계 등을 들 수 있다”고 덧붙였다. 김 이사는 “기업들이 GDPR 규정을 준수하기 위해서는 개인정보에 대한 ▲위치 파악 ▲검색 ▲최소화 ▲보호 ▲모니터링과 같은 5가지 역량을 갖춰야 한다”고 말했다. 마지막으로 김 이사는 GDPR 대응을 위한 ‘베리타스 360 데이터 관리 솔루션’을 소개했다. 그는 “베리타스는 자문 서비스와 함께 기업들이 개인정보에 대한 ▲위치 파악 ▲검색 ▲최소화 ▲보호 ▲모니터링 역량을 갖출 수 있도록 관련 솔루션을 통해 지원하고 있다”며 “기업들이 보유중인 EU 거주자의 개인정보의 내용을 파악하고 요청에 따라 신속하게 해당정보를 제공할 수 있도록 통합적인 방식의 GDPR 준수를 지원한다”고 설명했다.     ▲ ‘베리타스 360 데이터 관리 솔루션’ 프레임워크 (출처: 베리타스)

GDPR 시행 직후 글로벌 IT 기업 제소

앞서 언급했듯이 GDPR 시행 직후 구글, 페이스북, 인스타그램 등 글로벌 IT 기업이 제소당했다. 다행히 제소당한 국내 기업은 아직 없지만 안심할 수만은 없는 상황이다. 우리 기업이 이들 세계적인 기업보다 GDPR에 더 잘 대응해 왔다고 볼 수 없기 때문이다.

국내 대기업의 경우 일반적으로 유럽지사 차원에서 대응하고 있으며, 넥슨, 넷마블, 엔씨소프트 등 세계 시장을 상대하는 대형 게임사들은 자체적으로 대응준비를 마친 것으로 알려지고 있다. 하지만 문제는 중소기업이다. 이들 중소기업은 비용적인 문제 등으로 인해 별다른 준비를 하지 못하고 있다는 것이다.

이런 문제를 해결하고자 현재 행정안전부, 한국인터넷진흥원 등 관련 부처 및 기관에서 적정성 평가 추진 및 다양한 지원 정책을 실행하고 있다.

한편 GDPR 시행으로 국내 중소게임사들의 매출이 줄어들 고 있는 것으로 전해진다. 중소게임사들은 주로 구글의 광고 수요가 매출로 직결되는데, GDPR 시행으로 구글의 타깃 광고가 줄고, 광고주들이 몸을 사리면서 무료게임 내 광고매출이 감소하고 있는 것이다.

이렇듯 GDPR이 본격 적용된 이후 많은 부분에서 영향이 나타나고 있다. 특히 GDPR 시행으로 실제 과징금이 부과되는 기업이 나온다면, 기업들의 반응이 180도로 바뀌게 될 것으로 업계 관계자들은 예상했다.

업계 관계자들은 GDPR에 대응하는 몇 가지 팁을 제시하고 있다. 우선 GDPR이 EU 회원국의 개인정보보호법의 기준이 되지만, 각 회원국 별 별도의 법률로 규정할 수 있도록 명시하고 있다는 점에 주목해야 한다고 말한다. 전체적인 대응 방향은 GDPR에 맞춰야 하지만, 각 국가별 법률도 검토해야 한다는 것이다.

두 번째로 정보보호체계를 마련함에 있어, GDPR은 특정 보안 솔루션 분야를 지정하지 않고 있다. 때문에 각 기업은 스스로 판단해서 보호체계를 구성해야 한다. 다만 이 때 보호체계를 구성한 이유 등을 기록해 향후 입증할 수 있도록 마련해야 한다.

마지막으로 역외이전의 경우, 정보주체에게 동의를 구하는 행위를 가장 후순위로 고려해야 한다고 강조했다. 동의 절차에 적정성 평가, 적절한 보호조치 등이 미비한 상황을 설명하고 그럼에도 동의를 구하는 방식으로 진행되기 때문에 절차가 까다롭다는 설명이다. 기업들은 BCRs 또는 감독기구의 계약조항 승인을 추진하는 것을 추천했다. 다만 BCRs은 비용이 많이 든다는 단점이 있다. 계약조항 승인의 경우, 계약조항이 변경될 때 마다 승인을 얻어야 한다는 번거로움이 있다.

▲ GDPR 대응 프레임워크(출처: 제이엔시큐리티)

김경하 제이엔시큐리티 대표는 ‘우리기업을 위한 EU 가이드북 콘서트’에서 GDPR 대응 프레임워크를 제시했다. 김경하 대표는 “GDPR의 대응 과정을 8단계로 구성했다. 먼저 GDPR 적용 여부를 파악해야 하며, 적용된다면 개인정보 처리 단위별 현황 및 법적 요구사항이 무엇인지 확인해야 한다. 이어 처리단위 별 흐름 분석과 갭분석, 보안조치 적정성 평사, 개인정보 영향평가 및 수행 등을 진행해야 한다. 이외에도 침해사고 대응체계 구축과 전 과정을 관리할 수 있는 체계도 마련해야 한다. 필요조치 적용 및 이런 일련의 행위들은 모두 기록해 문서화 해야 한다”고 설명했다.

▲ 김태전 퀘스트소프트웨어코리아 상무 <인터뷰> 내부직원 감사 솔루션으로 GDPR 대응 김태전 퀘스트소프트웨어코리아 상무 “퀘스트소프트웨어는 직원에 대한 컴플라이언스에 초점을 맞춰 서비스하고 있다.” 김태전 퀘스트소프트웨어코리아 상무는 퀘스트소프트웨어가 GDPR에 대응하고 있는 부분에 소개하면서 이같이 밝혔다. 김태전 상무는 퀘스트의 GDPR 대응 솔루션에 대해 3가지 특징을 꼽았다. 김 상무의 설명에 따르면, ‘발견&부과(Discover&Assess)’ 영역에서는 사용자 현황분석에 초점을 맞췄다. 사용자의 권한 등의 현황을 분석해 GDPR에 저촉되는지 판단한다. 두 번째로 ‘모니터&조사(Monitor&Investigate)’ 영역에서는 내부 직원 감사 기능과 관제 기능을 중점으로 다루고 있다. 감사를 위해 내부직원의 행위 등을 관제하고 필요시 기록하는 기능을 제공한다. 마지막 ‘관리&컨트롤(Govern&Control)’ 기능은 내부 직원의 권한 등을 관리하고 조정하는 기능을 제공해 내부직원의 권한을 최소화하는 것에 초점을 맞추고 있다. 그는 “GDPR과 관련해 직원들의 과도한 권한은 문제가 될 수 있다. 퀘스트는 GDPR 대응 솔루션을 통해 내부 직원의 과도한 권한 사용을 방지하고, 계정을 중앙에서 관리함으로써 분산 관리의 부작용을 개선한다. 더불어 일련의 과정에 대한 기록을 제공해 GDPR에서 규정하는 문서화 부분에도 대응할 수 있다”고 강조했다. 이어 “GDPR 관련 기업의 니즈와 시장 형성을 주도하는 것은 컨설팅이나 로펌 관련 사업부가 하고 있으며, 퀘스트는 관련 사업부와 제휴함으로써 시장 구축활동 및 마케팅에 주력한다. 일련의 활동들로 글로벌 고객의 반응을 유도하고 있다”고 덧붙였다.

GDPR 세부규정 분석
 

GDPR, 95년 지침보다 구체적으로 명시

GDPR은 개인정보 처리에 대해 적용되는 규정으로 판례 및 개별법 등을 통해 표명된 개인정보의 개념을 조문에 포함함으로써 적용대상을 구체적으로 명시했다. GDPR의 특징은 개인정보 중에도 ‘민감정보(Special Categories of Personal Data)’를 규정하고 있다는 점인데, 민감정보에는 인종·민족, 정치적 견해, 종교적·철학적 신념, 노동조합 가입 여부, 유전자·생체정보, 건강, 성생활 또는 성적 취향에 관한 정보 등을 포함한다. 민감정보는 정보주체의 명시적인 동의 획득 경우를 제외하고는 원칙적으로 처리가 금지된다.

GDPR은 정보주체인 ‘살아있는 자연인’의 개인정보에 국한되며, 국적이나 거주지에 관계없이 개인정보 처리와 관련된 개인에 적용된다. 다만 사망한 사람의 개인정보 처리와 관련해서는 개별 회원국이 별도 조항을 두는 것을 제한하지 않으며, GDPR 범위에는 ‘법인’으로 설립된 사업체의 이름, 형태, 연락처 등은 포함되지 않는다. 전체 또는 부분적으로 자동화된 수단에 의한 개인정보 처리에 적용되며, 이는 데이터베이스나 컴퓨터로 운영되는 파일링시스템 등이 포함된다.

GDPR에서 특히 중요한 부분은 지리적 범위다. EU 역내에 사업장을 운영하며 개인정보 처리를 수반하는 경우는 당연히 해당되며, EU 역내에 사업장을 두고 있지 않더라도 EU내에 있는 정보주체에게 서비스를 제공하는 경우 또는 정보주체의 행동을 모니터링하는 경우는 적용범위에 포함된다. 이는 정보주체가 서비스 비용을 지불하는 것과는 무관하다.

GDPR은 EU 개별 회원국의 형사법과 관련해 수행되는 행동이거나, 개별 회원국에서 수행하는 EU의 공동 외교 안보 정책과 관련된 활동, 자연인이 순수하게 수행하는 개인 또는 가사 활동, 공공 안전에 대한 보호와 예방을 포함해 관할 감독기구의 범죄예방, 수사, 탐지, 기소 및 형사처벌 집행과 관련된 행동 등은 적용예외사항으로 규정됐다.

개인정보 처리 7대 원칙 수립

GDPR은 개인정보처리 원칙을 7개로 정리하고 있다. 먼저 ‘적법성·공정성·투명성의 원칙(Lawfulness, Faimess and Trnasparency)’은 정보주체의 개인정보는 적법하고 공정하며 투명한 방식으로 처리돼야 한다고 명시하고 있다. 여기서 투명성은 개인정보를 처리하는 행위에서 정보주체에게 이해하기 용이하고 접근하기 쉬운 공개된 방식으로 처리행위를 입증하는 것을 뜻한다.

두 번째 ‘목적 제한의 원칙(Purpose Limitation)’은 구체적·명시적이며 적법한 목적을 위해 개인정보를 수집해야하며, 해당 목적과 부합하는 않는 방식의 추가 처리는 허용하지 않는다고 규정하고 있다. 세 번째 원칙은 ‘개인정보 처리 최소화(Data Minimisation)’다. 개인정보의 처리는 적절하며 관련성 있고, 그 처리 목적을 위해 필요한 범위에 한정돼야 한다는 의미다.

네 번째는 ‘정확성의 원칙(Accuracy)’이다. 개인정보 처리는 정확해야 하며, 필요시 처리되는 정보는 최신으로 유지해야 한다. 처리 목적에 비춰 부정확한 정보의 즉각적인 삭제 또는 정정을 보장하기 위한 모든 합리적인 조치가 취해져야 한다. 다섯 번째는 ‘보유기간 제한의 원칙(Storage Limitation)’으로, 개인 정보는 처리 목적상 필요한 경우에 한해 정보주체를 식별할 수 있는 형태로 보유돼야 한다.

여섯 번째는 ‘무결성과 기밀성의 원칙(Integrity and confidentiality)’으로, 개인정보는 적절한 기술적·관리적 조치를 통해 권한 없는 처리, 불법적 처리 및 우발적 손·망실, 파괴 또는 손상에 대비한 보호 등 적절한 보안을 보장하는 방식으로 처리돼야 한다고 명시하고 있다. 마지막 ‘책임성의 원칙(Accountability)’은 컨트롤러는 위의 원칙을 준수할 책임을 지며 이를 입증할 수 있어야 한다고 명시해, 개인정보 처리에 대한 모든 기록을 남겨 입증할 수단을 마련해야 한다는 점을 명확히 하고 있다.

여기서 얘기하는 ‘컨트롤러(Controller)’는 개인정보 처리의 목적과 수단을 결정하는 주체를 의미하며, 이와 같은 결정은 컨트롤러 단독으로 하거나 제3자와 공동으로 할 수 있다. 컨트롤러는 자연인을 비롯, 법인, 정부부처 및 관련기관, 기타 단체 등이 될 수 있다. 이와 관련된 ‘프로세서(Processor)’는 컨트롤러를 대신해 개인정보를 처리하는 개인 및 단체를 의미하며, 프로세서는 컨트롤러의 지시에 따라 개인정보를 처리해야 한다.

GDPR에 따른 적법한 처리를 위해 기업은 개인정보 처리 전에 법적 근거를 확인해야 한다. GDPR은 개인정보 처리를 위해 적용 가능한 적법 처리 근거를 명시하고 있는데, ▲정보주체가 특정한 목적을 위해 개인정보 처리에 동의한 경우 ▲정보주체가 당사자인 계약의 이행을 위해 또는 계약 전 정보주체 요청에 응하기 위한 경우 ▲컨트롤러에게 적용되는 법적 의무 이행을 위해 필요한 경우 ▲공익을 위해 수행되는 직무의 이행 또는 컨트롤러에게 부여된 공적 권한의 행사에 필요한 경우 ▲컨트롤러 또는 제3자의 적법한 이익 추구 목적을 위해 필요한 경우 등이다. 그러나 정보주체가 아동인 경우와 같이 정보주체의 이익과 권리 또는 자유가 그 이익보다 중요한 경우는 제외된다.

정보주체 권리 행사에 기업은 1개월 내 조치해야

앞서 GDPR의 목적에서 언급했듯이, GDPR은 정보주체의 권리와 기업의 책임성을 강화하기 위한 규정이다. GDPR은 ‘제3장 정보주체의 권리’ 조항에 정보주체의 권리 행사와 강화에 대한 내용을 담고 있다. 크게 살펴보면 ▲정보를 제공받을 권리 ▲열람권 ▲정정권 ▲삭제권 ▲처리 제한권 ▲이동권 ▲반대권 ▲프로파일링을 포함한 자동화된 의사결정을 반대할 수 있는 권리 등이 포함됐다. 이를 규정함으로써 컨트롤러가 정보주체의 개인정보를 처리할 때 보다 안전한 기술적·관리적 조치를 취하게 하고, 기업의 책임성을 강화하고 투명성을 입증하도록 유도한다.

▲ 정보주체의 권리(출처: 우리기업을 위한 EU GDPR 가이드북)

이 규정을 통해 정보주체는 언제, 어디서든 컨트롤러에게 개인정보 처리에 대한 정보와 삭제, 이동, 반대, 열람, 정정 등 개인정보에 대한 권한을 요구할 수 있다. 컨트롤러는 해당 요구를 받은 때로부터 1개월 이내에 무료로 이행해야 한다. 다만 이 요구가 복잡한 사안인 경우 해당 이유를 정보주체와 감독당국에 설명하고 최대 2개월까지 연장할 수 있다. 또한 이런 요구에 대한 조치를 하지 않은 경우 정보주체에게 그 이유와 함께 민원을 제기할 권리와 사법적 구제를 청구할 권리가 있다는 것을 알려줘야 한다.

GDPR은 기업의 책임성 강화를 위한 조항도 명시돼 있다. 기존 95년 지침에는 기업의 책임성을 요구하는 암묵적인 사항이 있었으나 GDPR은 개인정보 처리에 대한 책임 준수와 그 입증을 구체적으로 명시하고 있다. 책임성 강화 부문은 ▲개인정보 처리 활동의 기록 ▲암호화 등 데이터 보안 체계 마련 ▲개인정보 영향평가(DPIA) ▲DPO(Data Protecition Officer) 지정 ▲행동규약과 인증 등 크게 5가지로 나눠 볼 수 있다.

먼저 GDPR은 영세 및 중소기업을 고려해 직원 250명 이상의 기업에 한해 개인정보 처리활동을 의무적으로 문서화하고 보유하도록 규정하고 있다. 그러나 정보주체의 권리와 자유에 위험을 초래할 가능성이 있는 개인정보 처리, 민감정보 처리, 범죄경력 및 범죄행위와 관련된 개인정보 처리 등의 상황에서는 직원 수와 상관없이 개인정보 처리 활동 기록을 남겨야한다.

또한 기업은 내부적으로 컨트롤러, 컨트롤러의 대리인 및 DPO의 이름과 연락처 그리고 처리의 목적, 정보주체의 범주와 개인정보 범주에 대한 설명을 기록해야 한다. 또 역외이전의 경우 이전방식에 대한 보호조치를 기록·보유해야 하며, 가능한 경우 보유기간과 기술적·관리적 보호조치에 대한 일반적인 설명 등을 기록해 문서화해야 한다.

보안체계는 기업 자체적 판단, 대신 판단 근거 남겨야

암호화 등 데이터 보안 체계 마련 규정은 처리 수단의 결정 시점과 처리 당시 시점에서 개인정보보호의 원칙을 적용하는 데 의의가 있다. 이때 컨트롤러는 최신 기술, 실행 비용, 개인정보 처리의 성격과 범위, 상황, 목적, 개인정보 처리로 인해 개인의 권리와 자유에 대해 발생할 수 있는 변경 가능성, 중대성 및 위험성을 고려해 적절한 조치를 취해야 한다. 이런 조치는 개인정보 처리의 최소화, 정보주체의 권리 보장, 가명처리와 같은 개인정보 비식별화 등이 해당된다.

또한 기본설정을 통해 처리 목적에 필요한 범위 내에서 개인정보가 처리될 수 있도록 조치를 이행해야 한다. 이는 수집되는 개인정보의 양, 해당 처리의 범위, 개인정보의 보유기간 및 접근 가능성에 대해서도 적용된다.

컨트롤러는 또한 개인정보 처리에 있어 새로운 기술을 사용하거나 그 처리 유형이 ‘개인의 권리와 자유에 높은 위험’을 초래할 가능성이 있는 경우 개인정보 처리에 대한 영향평가를 시행해야 한다. 개인정보 영향펑가에는 위험을 완화하고 개인정보보호를 보장하며, GDOR 준수를 입증하기 위한 보안조치 및 메커니즘이 포함돼야 한다. 특히 자동화된 처리에 근거한 의사결정이 해당 정보주체에게 법적 효력 등의 중대한 영향을 미치는 경우, 민감정보 또는 범죄경력 등의 정보에 대한 대규모 처리를 하는 경우, CCTV와 같은 공개적인 장소에 대한 대규모의 모니터링 등의 서비스를 제공하는 기업은 개인정보 영향평가를 의무적으로 수행해야 한다.

▲ DPIA 수행단계 흐름도(출처: 우리기업을 위한 EU GDPR 가이드북)

또한 컨트롤러와 프로세서는 경우에 따라 DPO를 지정해야 한다. DPO를 필수적으로 지정해야하는 경우는 정부부처와 관련된 기관의 경우이거나 정보주체에 대한 대규모의 정기적이고 체계적인 모니터링, 민감정보에 대한 대규모의 처리 등을 진행하는 경우다. 기업은 DPO를 지정하거나 또는 지정요건에 해당하지 않아 지정하지 않는 경우, 그와 같은 결정을 내린 사유를 문서화해 보관해야 한다. 기업은 자발적으로 DPO를 지정할 수도 있다.

DPO는 GDPR에 대한 이해와 개인정보보호 법률에 관한 지식, 개인정보 처리작업에 대한 이해, 정보기술 및 보안에 대한 이해, 기업 및 조직에 대한 지식, 조직 내에서 개인정보보호 문화를 활성화할 수 있는 능력 등의 자질이 요구된다. 기업은 DPO를 외부인사로 지정할 수도 있으나, 독립적인 지위를 보장해야 하며, DPO가 개인정보보호와 관련된 모든 문제에 시기적절하게 관여할 수 있도록 보장해야 한다. DPO는 GDPR 준수 여부에 대해 개인적인 책임을 지지는 않지만, 컨트롤러 또는 프로세서가 GDPR을 준수해 개인정보를 처리했다는 것을 보장하고 이를 입증할 수 있는 기술적·관리적 조치를 이행해야한다.

마지막으로 GDPR은 의무적인 것은 아니지만, 기업의 GDPR 준수 입증을 위해 승인된 행동규약과 인증제도를 이용하도록 권장하고 있다. 행동규약은 정보주체를 포함한 관련 이해관계자들의 협의를 통해 작성돼 감독기구의 승인을 받아야 인정된다. 인증제도에 관해서 회원국, 감독기구, 유럽개인정보보호이사회 또는 EU 집행위원회는 투명성과 법령 준수를 향상하기 위한 인증제도 수립을 장려해야 하며, 인증서는 감독기구나 인정된 인증기관이 발행한다고 규정하고 있다. 이 인증의 유효기간은 3년이며, 인증 의무를 충족하지 않는 경우는 인증이 철회될 수 있다고 명시돼 있다.

개인정보 침해사고 발생시, 인지 후 72시간 내 신고

GDPR은 개인정보의 파괴, 손실, 변경, 허가받지 않은 공개 또는 접근 등을 일으키는 보안 위반을 개인정보 침해로 인정한다. 컨트롤러 또는 프로세서는 개인정보 침해를 인지했을 때 감독기구 또는 정보주체에 통지할 의무가 있다. 감독기구 신고는 72시간 내에 이뤄져야 한다. 여기서 개인정보 침해사고의 인지 시점 기준은 개인정보의 침해로 이어진 보안사고의 발생을 컨트롤러가 합리적인 수준에서 확신한 때로 본다. 72시간을 넘기는 경우 지체된 사유를 함께 통지해야 한다.

▲ 개인정보 침해유형과 사례(출처: 우리기업을 위한 EU GDPR 가이드북)

컨트롤러가 책임성의 원칙에 따라 해당 개인정보 침해가 개인의 권리와 자유에 위험을 초래할 가능성이 낮다고 입증할 수 있는 경우에는 통지할 의무가 면제된다. 다만, 이런 일련의 과정은 기록으로 확인할 수 있어야 한다. 컨트롤러는 개인정보 침해와 관련된 사실, 그 영향과 취해진 구제 조치 등 모든 침해사고와 관련된 사안을 문서화할 의무가 있다.

정보주체에 직접 통지해야 하는 경우는 감독기구와 긴밀한 협력 아래 합리적으로 가능한 선에서 신속하게 이뤄져야 한다고 규정하고 있다. 다만 ▲침해 당시 적절한 기술적·관리적 보호조치가 이행됐고, 피해 정보주체도 이런 조치가 적용된 경우 ▲컨트롤러가 정보주체의 권리와 자유에 위험을 초래할 가능성이 없도록 후속조치를 취한 경우 ▲통지에 과도한 노력이 수반되는 경우 등에는 통지를 하지 않아도 된다.

그러나 이렇게 통지가 불필요하다고 판단하는 경우에도 판단한 근거 등을 기록해야 한다. 이 통지의 의무를 위반했을 때 전세계 매출액의 2% 또는 1,000만 유로의 과징금이 부과된다.

최대 과징금 전세계 매출의 4% 또는 2,000만 유로 부과

GDPR은 정보주체를 위해 구제제도도 규정하고 있다. 정보주체는 행정적·사법적으로 구제 받을 권리를 제한 또는 침해받지 않고 감독기구에 민원을 제기할 수 있다. 민원을 접수한 감독기구는 민원 처리 경과 및 결과를 알려줘야 할 의무가 있다. 또 정보주체는 감독기구의 법적 구속력 있는 결정에 반해 유효한 사법 구제를 청구할 권리가 있다. 감독기구가 민원을 처리하지 않거나 민원 제기 후 3개월 안에 민원 처리 경과 및 결과를 알리지 않는 경우 사법구제를 청구할 수 있다.

마지막으로 권리가 침해된 정보주체는 위반 책임이 있는 컨트롤러나 프로세서를 상대로 유효한 사법구제를 청구할 권리가 있다. 이런 법적 절차는 컨트롤러 또는 프로세서의 사업장이 있는 회원국 법원에서 진행되며, 컨트롤러와 프로세서는 GDPR 위반으로 피해를 입은 정보주체를 대상으로 발생한 피해만큼 손해배상을 해야 한다.

기업들이 가장 많은 관심을 보이고 있는 과징금은 자동으로 적용되지 않으며 개별 사례별로 부과된다. 과징금을 부과하는 위반 행위는 다양하며, 감독기구는 부과여부 및 가액을 결정할 때 GDPR 제83조에 명시된 사안별로 평가한다. 동일하거나 관련된 개인정보 처리가 GDPR의 여러 규정을 위반한 경우 과징금은 가장 중한 침해에 지정되는 액수를 초과할 수 없다.

GDPR을 심각하게 위반하는 경우 직전 회계연도 전세계 매출액의 4% 또는 2,000만 유로(약 250억 원) 중 더 큰 금액을 과징금으로 부과한다. 여기서 심각한 위반은 ▲‘동의’를 비롯한 개인정보 처리의 기본 원칙을 위반한 경우 ▲정보주체의 권리를 보장하지 않은 경우 ▲개인정보를 이전할 때 준수해야할 규정을 위반한 경우 ▲감독기구가 내린 명령 또는 정보 처리의 제한에 불복하는 경우 ▲이동명령을 준수하지 않거나 열람권을 보장하지 않아 GDPR 제58조 1항을 위반한 경우 등이 해당된다.

전세계 연간 매출액의 2% 또는 1,000만 유로의 과징금이 부과될 수도 있는데 ▲컨트롤러, 프로세서의 의무를 위반한 경우 ▲인증기관의 의무를 위반한 경우 ▲행동규약 준수 모니터링의 의무를 위반한 경우 등이 여기에 해당된다. 이외에 각 회원국이 법률로 규정하는 바에 따라 과징금 이외에 벌칙이 있을 수 있다.

역외이전과 관련한 적정성 평가, BCRs 등 대응책 마련

우리 기업들이 가장 관심을 보이는 분야는 역외이전에 관한 조항이다. 국내 기업이 유럽에 진출한 경우 대부분 개인정보 처리를 위해 정보를 우리나라로 이전해야 되는 데 이 때 역외이전 규정의 적용을 받아야 하기 때문이다.

GDPR은 EU 28개 회원국 및 아이슬란드·노르웨이·리히텐슈타인 등으로 구성된 EEA(European Economic Area)간 데이터 이전 외에는 모두 역외이전 규정을 준수토록 하고 있다.

GDPR에서 역외이전이 가능한 경우로 5가지를 명시하고 있다. ▲적정성 결정(Adequacy Decision) ▲표준 개인정보보호 조항(Starndard Data Protection Clauses) ▲구속력 있는 기업 규칙(BCRs, Binding Corporate Rules) ▲승인된 행동규약 및 인증제도 ▲특정 상황에 대한 예외 등이다.

우리나라에서 현재 국가 차원에서 대응하는 부분은 ‘적정성 결정’이다. ‘적정성 결정’은 적정성 평가 결과 집행위원회가 제3국 또는 국제기구에 대해 적정한 보호 수준을 보장한다고 결정한 경우 역외이전이 가능하다. 집행위원회는 보호수준을 평가할 때 유럽 개인정보보호이사회와 협의하고 적정성 결정에 대해 최소 4년마다 정기적인 검토를 실시해야 한다고 규정하고 있다. 또 집행위원회에는 적정성 결정을 폐지, 개정, 정지할 수 있는 권한이 부여된다.

적정성 결정을 받지 않은 국가에도 적절한 보호조치가 이뤄졌다면 개인정보 역외이전이 가능하다. 이 적절한 보호조치에 포함되는 사항은 표준 개인정보보호 조항에 의한 이전, 승인 받은 BCRs에 따른 이전, 행동규약과 인증제도에 따른 이전 등이다.
적정성 결정을 받지 않았더라도 정부부처 또는 관련기관과 법적 효력을 전제로 하는 협약 등을 맺었을 경우 역외이전이 허용된다. 또 EU 규제기관의 승인을 받은 다국적 기업의 BCRs을 채택한 경우 적절한 보호 체계가 갖춰지지 않은 제3국에 위치한 그룹사로 이전하는 것이 가능하다.

표준개인정보보호 조항을 준수해도 가능하다. 기존의 집행위원회나 감독기관이 채택하고 집행위원회가 승인한 표준 개인정보보호 조항은 수정, 교체, 폐지되지 않는 한 그대로 이전된다. 이외에 컨트롤러와 프로세서를 대변하는 기구가 GDPR 적용을 명시할 목적으로 행동규약을 작성해 승인을 받았다면, 적절한 보호조치에 의한 역외이전이 인정된다. 인증제도도 마찬가지로 승인된 인증을 획득했다면 역외이전이 가능하다.

▲ 개인정보 역외이전 흐름도(출처: 우리기업을 위한 EU GDPR 가이드북)

감독기구의 승인을 받아서 개인정보 역외이전을 할 수도 있다. 컨트롤러나 프로세서가 제3국이나 국제기구의 컨트롤러 프로세서 또는 개인정보 수령인 사이의 계약 조항 등에 대해 감독기구의 승인을 받는다면 역외이전이 가능하다. 또 정부부처 또는 관련기관 간 강제성 있고 유효한 행정협정에서 정보주체 권리를 포함한 규정이 마련돼 있다면 역외이전을 허용한다.

이외에 적정성 결정, 적절한 보호조치 등 앞에 나열한 방법들을 충족하지 않아도 역외이전할 수 있는 예외조항이 마련돼 있긴 하다. 하지만 조건이 까다로워, 앞에서 언급한 방법들로 역외이전을 승인받는 게 좋다는 것이 관계자들의 공통된 의견이다.

예외조항을 살펴보면 정보주체가 적정성 결정 및 적절한 보호조치가 없음으로 인해 발생할 수 있는 위험을 고지 받은 후 명시적으로 동의한 경우에 국외이전이 가능하다. 또 정보주체의 이익을 위해 체결된 계약의 이행을 위해 정보 이전이 필요한 경우도 인정된다. 이외에 중요한 공익상의 이유 또는 법적 권리를 위한 경우, 또 다른 사람의 중대한 이익을 보호하기 위한 경우 등이 예외사항에 포함돼 있다.