EU의 GDPR(General Data Protection Regulation)은 전년도 전 세계 매출의 최대 4%까지 벌금 부과를 가능하게 하는 등 지난 20년간 알려진 데이터 보호에 관한 법률 중 가장 야심 차고 포괄적인 변화를 제시하고 있습니다. 이는 EU 시민의 데이터 자산을 처리하는 전 세계 모든 회사에 적용됩니다.
본 기고에서는 2018년 5월 25일 발효되는 GDPR의 핵심사항과 벌금조항은 무엇이고, GDPR에 맞춰 개정한 첫 번째 사례인 독일 데이터 보호법의 주요 개정사항에 대하여 살펴보도록 하겠습니다.
GDPR에 대한 이해
GDPR의 도입배경은 아래와 같습니다.
•DPR은 유럽연합 회원국에 동일하게 적용되는 개인정보보호 일반법으로서,
•정보 주체에게 더 많은 통제권을 부여하고,
•디지털 단일 시장 활성화를 위하여 개인정보 보호에 관한 공통의 법제 환경을 제공하기 위함
지금부터 GDPR이 제정되어 온 과정을 살펴보도록 하겠습니다.
EU는 현재 1995 European Directive 95/46/EC(‘95.10.24, 이하 Directive)에 기반하여 개인정보를 처리하고 있습니다.
Directive의 핵심 원칙은 ‘공정하고 합법적인 처리’, ‘처리목적의 제한 및 상세화’, ‘최소보관 기간’, ‘처리의 투명성’, ‘데이터 품질’, ‘데이터 보안’, ‘특정 범주의 데이터’, ‘데이터 최소화’ 등이며, 이러한 원칙은 EU 회원국별 데이터 보호법에 구현되었습니다. 그러나, 회원국의 데이터 보호법은 동일한 Directive에서 비롯되었으나, 실제 내용과 절차적인 면에서 회원국마다 많은 차이가 있습니다.
GDPR은 지난 4년 동안 회원국 간의 협상 과정을 거쳐, 2016년 4월 27일, ‘Regulation 2016/679’로 공식 채택되었고, 각국 정부와 기업에서 준비할 수 있도록 2년의 유예기간을 부여했습니다. 회원국이 GDPR에 준하여 개인정보보호법을 개별적으로 제정하지 않더라도, 2018년 5월 25일 EU 전 지역에 직접 적용될 예정입니다.
참고로, GDPR은 30개 이상 영역에서 회원국의 개별 조항(Opening Clauses) 제정을 허용했으며, 해당 항목에 대한 회원국 간의 다양한 해석과 시행이 가능하게 되었습니다. 따라서 GDPR이 시행되는 시점에 EU 회원국 간의 세부적이고 절차적인 면에서 중대한 차이가 발생할 가능성은 여전히 존재합니다.
지금부터 EU GDPR 데이터 보호 프레임워크의 주요 변경 사항을 살펴보도록 하겠습니다.
- 영토적 범위의 확장
EU내에 설립된 회사의 개인정보 처리 활동이 우선적으로 포함되며, 이에 추가로 ① EU 밖에서 EU에 있는 정보 주체에게 재화나 용역을 제공하거나, ② EU 내에 있는 정보 주체의 활동을 모니터링 하는 기업에 적용합니다. Directive와 비교하여 훨씬 더 많은 해외 기업이 적용대상으로 포함되며, ①과 ②의 경우, EU 내에 사업장이 없는 기업은 반드시 EU 내 대리인을 지정해야 합니다.
- 강력한 제재
‘그룹(group of undertakings)’ 매출 기반으로 과징금을 부과하며 ① GDPR 규정의 심각한 위반의 경우 직전 회계연도의 전 세계 매출액의 4% 또는 2천만 유로(약 257억 원) 가운데 더 큰 금액, ② GDPR 규정의 일반적 위반의 경우 직전 회계연도의 전 세계 매출액의 2% 또는 1천만 유로(약 128억 원) 가운데 더 큰 금액으로 부과할 수 있습니다.
- 개인정보 범주 확대
IP address, Cookie identifiers, RFID tags 등의 ‘온라인식별자’와 위치 정보를 개인정보의 한 유형으로 분류했고, 민감한 개인정보를 ‘특별한 유형(Special Categories)’의 개인정보라고 정의하며, 유전정보(Genetic Data)와 바이오 정보(Biometric Data)를 포함했습니다. 개인정보의 가명처리(Pseudonymization) 개념을 적용하여, 개인정보 최소화 원칙을 실행할 수 있는 하나의 방법으로 권고했습니다.
- 다수의 규제사항이 수탁처리자(Processor)에도 적용
GDPR은 Directive와는 달리 ‘수탁처리자(Processor)’의 개인정보 처리를 직접 규제하는 내용을 포함하고 있습니다. 수탁처리자는 적절한 문서화 의무, 적절한 보안 기준 적용, 정기적인 개인정보 영향평가 수행, 개인정보 역외전송 기준 준수, 감독기관 협조 의무 등의 의무를 수행해야 합니다.
또한, 수탁처리자는 이전과 달리 제재의 직접적 적용대상이 되며, GDPR 요구사항을 충족하지 못할 경우 정보 주체로부터 배상을 요구받을 수 있습니다.
- 개인정보처리원칙의 확립
Directive의 원칙과 대부분 유사하지만, 적법한 처리의 기준은 강화되었고, 책임성의 원칙이 추가되었습니다. 개인정보를 처리하는 경우, (1) 처리의 적법성, 공정성, 투명성 원칙, (2) 수집 목적 제한의 원칙, (3) 개인정보 최소화 원칙, (4) 정확성 원칙, 5) 보관 기간 제한의 원칙, 6) 무결성 및 기밀성의 원칙 등 6가지 원칙을 모두 준수해야 합니다.
정보처리자(Controller)는 이와 같은 원칙을 준수함에 대하여 입증의 의무 즉, ‘책임성의 원칙’을 부담해야 합니다.
- 강화된 적법 처리 기준
개인정보의 처리는 적법성, 공정성, 투명성 원칙에 따라 법률에서 허용한 하나 이상의 요건에 해당해야 적법 처리로 인정됩니다. 특히,
- 개인정보의 역외이전
역외이전이 가능한 경우는 Directive의 역외이전 제도를 대부분 수용하여 큰 변경사항은 없으나, 위반할 경우, 전년도 글로벌 매출의 4% 또는 2천만 유로(약 257억 원) 중 최댓값의 벌금부과가 가능하도록 강화되었습니다.
GDPR에서 제3국으로의 데이터 이전이 가능한 조건은 다음과 같습니다.
- 개인정보 유출 통지 제도 도입
GDPR 발효 후 가장 중대한 변화 중 하나는 감독 당국과 영향을 받는 정보 주체에게 개인정보 유출을 알려야 하는 요구 사항입니다. 정보처리자(Controller)는 개인정보 유출 사실을 알게 된 때로부터 가능한 경우 72시간 이내에 감독 당국에 신고해야 하며, 정보 주체의 자유와 권리에 고위험(High Risk)이 예상될 때에는 부당한 지연 없이 유출 사실을 정보 주체에게 통지해야 합니다.
또한, 수탁처리자(Processor)는 개인정보 유출 사실을 알게 된 때에 정보처리자(Controller)에게 그 사실을 부당한 지연 없이 알려야 합니다.
- 정보 주체의 권리 확대
GDPR은 Directive에서 정의한 권리들을 강화하고, 정보 주체에게 데이터 이전권(Data Portability)이라는 권리를 신규로 추가했습니다. 이러한 권리는 보상을 위한 손해 배상을 요구하고 소비자 그룹이 소비자를 대신하여 권리를 집행하는데 용이하게 사용될 수 있습니다.
정보처리자(Controller)는 개인정보 처리에 관한 다양한 정보를 간결하고, 투명하고, 쉽게 접근 가능한 형태로, 명확하고 평범한 언어를 사용하여 정보 주체에게 전달해야 합니다. 개인정보가 수집되는 시점에 정보처리자(Controller)의 정보와 상세연락처, 처리목적과 법적 근거, 보관기관, 역외이전 상세내역 등의 정보를 제공해야 합니다. 처리목적과 법적 근거, 보관기관, 역외이전 상세내역 등의 정보를 제공해야 합니다.
- DPO (Data Protection Officers) 지정
GDPR은 거버넌스 측면의 중요한 요소로써, DPO임명을 기업에 요구하고 있습니다. 현재 독일은 대부분 기업을 대상으로 DPO를 지정하도록 요구하고 있지만, 그 외 회원국은 권고 또는 일부 산업 분야만 지정을 의무화하도록 제한하고 있습니다. 이 조항은 적정한 인력 확보 등 기업에는 부담스러운 신규 요구사항입니다.
공공기관(Public Authorities)이거나, 정보처리자(Controller)나 수탁처리자(Processor)의 핵심 활동이 ①정보 주체에 대한 대규모의 정기적이고 체계적인 모니터링에 해당하거나, ②민감정보나 범죄경력 및 범죄 행위에 대한 대규모 처리인 경우에는 DPO를 의무적으로 지정해야 합니다.
- 책임성과 거버넌스 강화
처리 활동의 세부 기록 유지, 고위험의 개인정보 처리에 대한 개인정보 영향평가 수행, DPO 지정, 개인정보 유출 통지, Data Protection by Design and by Default 이행 등 개인정보 처리에 대한 책임성 및 거버넌스를 강화했습니다.
- 주요 개방 조항들(Opening Clauses)
GDPR은 Directive 때 회원국에 허용했던 개별법과 유사하게 특정조항에 대하여 개별 채택을 허용했습니다. 회원국은 온라인에서 유효한 동의를 구할 수 있는 아동의 연령을 16세에서 13세까지 낮출 수 있습니다.
회원국은 DPO 지정 의무화 조건을 해당 국가에 맞게 지정할 수 있습니다. 회원국 별로 임직원 개인정보 처리에 대해서 추가적인 제한조건을 도입할 수 있습니다. 회원국은 국가식별번호(National identification number)의 처리를 위한 특정 조건을 지정할 수 있습니다.
- Cross-Border 법 집행(One Stop Shop)
복수의 EU 회원국에 주재하는 정보처리자(Controller)를 위하여 One-stop-shop의 개념을 도입했습니다. 주사업장의 감독기관을 “선임 감독기관(Lead supervisory authority)”으로 지정하고, EU내 회원국에 공통적으로 관련된 개인정보 이슈에 대하여 주관하도록 합니다. 물론 필요한 경우, 선임 감독기관은 회원국의 감독기관과 협업하며, 단일 국가에만 해당하는 사안의 경우는 해당 국가의 감독기관이 처리할 권한을 가집니다.
GDPR 주요 벌금 조항
지금부터는 주요항목에 대한 위반 시 벌금부과 사항을 살펴보도록 하겠습니다.
•4%는 GDPR 규정의 심각한 위반의 경우 직전 회계연도의 전 세계 매출액의 4% 또는
2천만 유로(약 257억 원) 가운데 더 큰 금액을 가리키며,
•2%는 GDPR 규정의 일반적 위반의 경우 직전 회계연도의 전 세계 매출액의 2% 또는
1천만 유로(약 128억 원) 가운데 더 큰 금액을 나타냅니다.
(1) 개인정보처리원칙
(2) 정보 주체의 권리보장
(3) 정보처리자(Controller)와 수탁처리자(Processor)
(4) 역외이전
GDPR에 맞춰 최근 개정된 독일 데이터보호법
지금까지는 GDPR의 주요 변경사항과 벌금조항을 살펴보았습니다. 지금부터는 GDPR에 기반을 둔 지난 7월에 개정된 독일 데이터 보호법에 대해 살펴 보도록 하겠습니다.
독일은 지난 2017년 7월 5일, GDPR을 기반으로 한 새로운 독일 연방 데이터 보호법(German Federal Data Protection Act, ‘Bundesdatenschutzgesetz’), 이른바 독일 데이터보호개정법(German Data Protection Amendment Act, GDPAA)를 최종 통과시켰습니다.
독일 입법부는 GDPR의 개방조항(Opening Clauses)을 광범위하게 사용했고, 기업대상의 조항을 많이 추가했습니다.
맺음말
2017년 5월 공정거래위원회가 발표한 국내 그룹별 공식 자산총액•매출액•당기순이익을 살펴보니, 최대 부과 가능한 과징금이 그 해 벌어들인 수익(당기순이익 기준)과 맞먹는 금액이거나 심지어 그 이상인 경우도 절반 가까이 될 정도로 GDPR의 제재는 전례가 없는 강력한 수준입니다.
EU 역내 디지털 마켓 시장의 활성화가 GDPR 제정 배경의 하나이지만, 한-EU FTA 발효 후 EU에서 활발하게 사업을 확대하고자 하는 우리 기업들에는 또 다른 비관세 무역장벽으로 작용할 것으로 보입니다.
5개월 정도 남은 지금 시점에서 우리 기업들이 기억해야 할 몇 가지 사항을 정리하면서 이 글을 마치겠습니다.
지금까지 GDPR의 주요 규제 및 벌금조항이 무엇인지 살펴보고, 이를 기반으로 하는 독일의 개인정보보호법 개정 사례를 살펴보았습니다.
GDPR에 대한 이해 및 독일 사례에 대한 이야기는 여기에서 마치도록 하겠습니다.
[참고문헌]
DLA Piper Global Law Firm, EU GENERAL DATA PROTECTION REGULATION, August 2017
Lennart Schüßler, Natallia Karniyevich, Germany is the first EU Member State to enact new Data Protection Act to align with the GDPR 07 July 2017
A Guide to GDPR Fines. Gemserv, www.gemserv.com, 2017
공정거래위원회 ‘상호출자제한 기업집단’ 지정 현황, 5월 2017
