[신문과방송] 유럽 GDPR이 가져올 변화 : 기업의 개인정보 활용, 더 엄격해진다

국제협약이나 해외의 주요 법제가 때때로 우리나라에 상당한 영향을 미치는 경우가 없진 않았지만, 2018년 5월 발효된 유럽연합의 ‘일반정보보호규정(General Data Protection Regulation, GDPR)’만큼 국내에서 많은 관심과 주목을 받은 경우도 흔치 않다.

GDPR의 정식 명칭은 ‘지침 95/46/EC를 폐지하면서, 개인정보 처리와 관련한 자연인의 보호 및 개인정보의 자유로운 이동에 관한 규정(REGULATION (EU) 2016/679 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC)’이다.

EU 회원국 국민 정보 보호 강화

GDPR은 그 이름에서도 알 수 있듯 개인정보 처리와 관련한 자연인의 보호 및 개인정보의 자유로운 이동에 관해 규정하는 것을 목적으로 한다. 즉, 자연인의 기본적 권리와 자유, 특히 개인정보 보호를 위한 권리 보호를 목적으로 한다. 아울러 EU 단일시장 및 하나의 공동체를 공고히 하기 위해 EU 역내에서 개인정보의 자유로운 이동이 제한되거나 금지되지 않도록 보장하고 있다.

GDPR의 발효로 변화되는 주요 사항을 살펴보면, 대체로 EU 역내에서의 개인정보 보호 강화 및 동등 규제로 요약할 수 있다. 또한 글로벌 환경에서 EU 회원국 국민의 개인정보 보호 실효성을 강화한다는 점도 주목할 만한 변화다. GDPR 제정으로 EU 회원국 내에서 개인정보를 처리하는 기관들도 법 준수 부담으로부터 완전히 자유로울 수 없겠지만, EU 역내 기관보다도 EU 외에서 EU 회원국 국민의 개인정보를 처리하는 사업자나 기관들의 법 준수 부담이 높아진 것을 주요 특징 중 하나로 꼽을 수 있다.

GDPR은 EU 회원국 정보 주체에게 유상이든 무상이든 재화 및 용역을 제공하는 활동을 처리하거나, EU 내에서 EU 회원국 정보 주체의 활동 모니터링과 관련한 활동을 처리하는 EU 밖 정보 컨트롤러(data controller)나 프로세서(data processor)에게도 적용되기 때문에 EU 역외의 컨트롤러나 프로세서도 GDPR을 준수해야 한다.

이와 함께 GDPR은 합리적인 규제 수단으로 EU 단일 법 및 ‘원스톱 숍(One-Stop Shop)’을 규정했다. 즉, GDPR은 EU 회원국의 별도 이행 입법 없이도 EU 전역에서 동일하게 적용되기 때문에, 해외 컨트롤러들은 EU 역내의 어떠한 회원국과 관련한 개인정보 처리 활동을 하더라도 단일한 GDPR 규정을 준수하면 된다는 것이다. 또한 실제 규제 집행 측면에서 EU 회원국은 개인정보 관련 민원을 접수‧처리하고 행정 제재를 부가하기 위한 독립된 감독기구(Supervisory Authority)를 설치하는데, 이때 사업자가 EU에 여러 사무소를 두는 경우에는 주된 사업장이 소재하는 지역의 주 감독기관(lead supervisory authority, GDPR 제56조)의 단일한 감독을 받게 해 규제기관 측면에서 중복을 피하고자 했다. 주 감독기관은 EU 전역에서 해당 사업자의 개인정보 처리를 감독하는 소위 ‘원스톱 숍’의 기능을 수행한다.

한편 개인정보를 처리하는 기준과 절차 측면에서도 의미 있는 변화가 생겨났다. 예를 들면, 일정 기준(공공기관이나 12개월 동안 5,000명 이상 정보 주체의 정보를 처리하는 기업 등)에 해당하는 컨트롤러나 프로세서는 정보보호책임자(Data Protection Officer)를 지정해야 하고(GDPR 제37조부터 제39조), 컨트롤러에게는 GDPR의 각 규정 준수를 위한 일정한 의무가 부과된다. 이를테면 문서보관 의무나 정보보호영향평가(GDPR 제35조)를 받을 의무가 있으며, 컨트롤러는 정보보호를 위해 기획 단계에서부터 기본적으로 정보보호가 높은 수준으로 설정될 수 있도록 정보보호활동을 수행해야 한다(privacy by design and by default, GDPR 제25조). 정보보호책임자는 충분한 전문 지식을 갖춰야 하며, 그 구체적인 내용은 정보보호 책임자가 책임지게 되는 개인정보 처리 활동에 따라 달라진다. 정보보호책임자는 컨트롤러에 고용되어 활동할 수 있지만 서비스 계약하에서 관련 활동을 수행할 수도 있다. 또한 하나의 기업 그룹은 단일 정보보호책임자를 임명할 수도 있다.

‘적절성 결정’ 획득 서둘러야

또한 기존의 EU 정보보호지침(Directive of the European Parliament of individuals with regard to the processing of personal data and on the free movement of such data, 95/46/EC)보다 강화된 동의 요건을 설정했다는 점도 수범자에게는 법 준수 의무의 가중으로 다가올 수 있다. 즉, GDPR에 따른 유효한 동의는 수집된 개인정보가 이용되는 목적에 대한 명시적인 동의여야 한다(GDPR 제7조 및 제4조). 컨트롤러는 동의를 받았다는 사실을 증명할 수 있어야 하고, 해당 동의는 철회될 수 있다. 또한 16세 미만의 아동의 경우 아동의 부모나 보호자의 동의를 받아야 하며, 입증할 수 있어야 한다(GDPR 제8조). 이외에 정보 주체는 접근권(제15조), 정정권(제16조), 삭제권 또는 잊힐 권리(제17조), 처리제한권(제18조), 정정‧삭제‧처리제한과 관련해 고지받을 권리(제19조), 정보이동권(제20조), 거부권(제21조), 프로파일링 등 자동화된 개인적 의사 결정과 관련한 권리(제22조) 등의 실체적인 권리를 보장받게 된다.

한편 GDPR은 EU 역내뿐 아니라 글로벌 환경에 대한 규제도 의도하고 있는 만큼, EU 회원국 국민의 개인정보가 EU 역외로 이전·처리되는 경우를 상정해 규제 대상으로 삼고 있다. 다만 개인정보 처리를 무조건 제한하기보다는 EU 회원국 국민의 개인정보를 실질적으로 보호할 수 있는 체계를 구축하는 데 초점을 맞춘 것으로 보인다. 이를 위해 GDPR은 제5장(제44조부터 제49조)에서 국경 간 개인정보의 이전을 규정한다. 즉 GDPR은 개인정보를 역외로 이전해 처리할 수 있는 매우 다양한 법적 근거를 제시한다.

그 대표적인 근거가 바로 ‘적절성 결정(adequacy decision)’이다. 며칠 전 일본이 EU로부터 적절성 결정을 획득했다는 소식이 전해졌다. EU 시장에 진출하려는 일본 기업들을 위한 일본 정부의 지속적이고 적극적인 대응 노력에 대비해 우리나라가 진행하고 있는 적절성 결정 추진 경과가 재조명되기도 했다. 무역 대국 중 하나인 일본도 깊은 관심을 갖고 추진한 만큼, 세계 각국 정부는 향후 EU GDPR에 대한 주요한 대응 방안의 하나로 적절성 결정을 추진할 가능성이 높다.

적절성 결정이 없는 경우라 하더라도 적절한 세이프가드(appropriate safeguards)에 의한 이전이 있는 경우 합법적인 이전으로 인정된다. 이외에도 구속력 있는 기업 규칙(binding corporate rules), 외국 법원이나 행정청이 GDPR에 의해 허용되지 않는 이전을 명령하는 상황, 적절성 결정이나 적절한 세이프가드가 없는 경우의 특정 상황에서의 수정 조건 등이 충족될 때도 개인정보의 EU 역외 이전이 허용된다.

GDPR이 인정하는 적절한 세이프가드의 예로는

• 공공기관 간에 법적으로 구속력 있고 집행 가능한 법률문서
• 제47조에 따른 구속력 있는 기업규칙
• 집행 위원회가 채택한 표준 정보보호 조항
• 감독기구가 채택하고 집행위원회가 승인한 표준 정보보호 조항
• 제3국에서 적절한 세이프가드를 적용하는 컨트롤러나 프로세서의 구속력 있고 집행 가능한 약정과 함께 제40조에 따른 승인된 행동강령
• 제3국에서 적절한 세이프가드를 적용하는 컨트롤러나 프로세서의 구속력 있고 집행 가능한 약정과 함께 유럽정보보호인장(European Data Protection Seal)

과 같은 제42조에 따른 승인된 인증 체계(approved certification mechanism)가 있다.

위반 시 과징금 폭탄 우려

우리나라를 포함한 세계 각국이 유독 GDPR에 경각심을 가지는 이유는 앞서 살펴본 동의 요건의 강화, EU 역외로의 개인정보 이전 규율, EU 회원국 국민의 개인정보를 처리하는 경우 보장해줘야 할 정보 주체의 권리, 컨트롤러나 프로세서의 개인정보 처리와 관련한 각종 의무 준수도 중요한 부분을 차지하지만, 무엇보다 이러한 규정을 포함하는 GDPR을 위반할 시 강력한 경제적 제재를 부과할 근거가 규정됐기 때문이다. GDPR은 감독기구가 전 세계 연간 매출액의 4% 또는 2,000만 유로 이하의 범위 내에서 더 높은 금액을 GDPR 위반에 대한 과징금으로 부과할 수 있도록 규정하고 있다. 예를 들면, 국제적인 개인정보 이전에 관한 요건을 위반한 경우나 동의 요건과 같은 개인정보 처리의 기본 원칙을 위반한 경우, 과징금이 부과될 수 있다(GDPR 제83조제5항). 한편 GDPR 제8조, 제11조, 제25조부터 제39조, 제42조와 제43조에 따른 컨트롤러나 프로세서의 의무 위반과 같은 경우에는 전 세계 연간 매출액의 2% 또는 1,000만 유로 이하의 범위 내에서 더 높은 금액을 과징금으로 부과할 수 있다(제83조제4항). 물론 이러한 과징금 제재가 얼마나 실효성 있게 집행될 수 있을지에 대해서는 의문을 제기할 수도 있겠지만, 전 세계 GDP의 28%에 육박하는 EU 경제공동체의 실질적 영향력을 고려할 때 GDPR의 규범력을 간과할 수도 없다.

앞서 살펴본 GDPR의 의미나 일반적 영향력은 우리나라 미디어에 대해서도 동일하게 적용될 수 있다. 그런데 더 나아가 우리 미디어가 EU 시장을 향해 서비스를 제공하거나 EU 회원국 국민의 개인정보를 수집‧처리하는 서비스를 제공하는 경우, 특별히 주목할 만한 내용으로는 GDPR 초안 공개 때부터 격렬한 논의를 촉발시킨 ‘잊힐 권리(right to be forgotten)’일 것이다. GDPR이 제정되기 전 ‘구글-스페인 사건에 관한 유럽사법재판소 판결(Google Spain SL, Google Inc. v Agencia Espanola de Proteccion de Datos, Mario Costeja Gonzalez)’을 통해서 잊힐 권리가 주목받은 이후, 최종적으로 발효된 GDPR에서는 삭제권(잊힐 권리, right to be forgotten)이 규정됐다(GDPR 제17조).

이에 따르면 잊힐 권리란 정보 주체가 개인정보 처리에 대한 동의를 철회하고 더 이상 합법적인 처리 근거가 없는 일정 상황에서, 정보 주체가 부당한 지체 없이 해당 정보의 삭제를 컨트롤러에 요구할 수 있도록 인정한 것이다. 그런데 국내에 일부 잘못 소개된 것과는 달리, GDPR은 무조건적인 삭제나 무제한적인 잊힐 권리를 규정한 것은 아니고 합법적 이익과 조화를 꾀한다는 측면에서 일정한 예외를 설정하고 있다. 대표적인 예외 사유가 바로 표현의 자유나 정보의 자유에 대한 것이다(제17조 제3항(a)). 언론 표현의 자유와 같이 표현의 자유와 충돌하는 경우에 필요한 범위 내에서 잊힐 권리는 제한된다. 또한 한류 바람을 타고 우리 미디어가 EU에 확산돼 EU 회원국 국민의 개인정보를 포함한 글로벌 환경에서 수집된 개인정보를 우리나라에서 일괄적으로 처리하는 경우에는 앞서 살펴본 개인정보의 역외 이전에 관한 법적 근거 중 하나를 충족해야 할 것이다.

EU 진출 미리미리 대비하자

EU GDPR의 발효로 당장 우리 미디어 시장에 엄청난 영향력을 미칠 것으로 심각하게 우려할 필요는 없다. 특히 우리나라의 개인정보 보호에 관한 법규 수준이 상당히 높고 까다롭기 때문에 우리나라 관련법을 바탕으로 해외까지 확장해 실행한다면 EU GDPR을 포함한 여러 국가의 개인정보 보호 기준을 충족하는 것은 그리 어렵지 않을 것 같다. 그러나 향후 우리 미디어의 EU 시장 진출이나 EU 회원국 국민의 개인정보를 처리하는 사례가 증가할 경우를 대비, GDPR의 각 규정을 준수하기 위한 체계적인 대응 방안을 구축할 수 있도록 미디어 참여자 모두가 공동의 노력을 기울여야 할 것이다.

출처 : http://blog.naver.com/PostView.nhn?blogId=kpfjra_&logNo=221333492266&redirect=Dlog