"유럽연합(EU)에 회사가 없더라도, 고객이 EU 시민이 아니더라도, 고객이 EU에 거주하기만 하면 GDPR(General Data Protection Regulation)이 적용됩니다. GDPR이 전격 시행되는 5월 25일 이후 '당신 회사는 GDPR을 준수합니까'라고 물어봤을 때, 답변할 수 있는 국내 회사 몇 개나 될 지, 한국 기업도 빨리 대응해야 합니다."
DLA파이퍼 이원조 한국총괄대표와 이성훈 변호사는 지난 20일에 열린 'EU 정보보호법(GDPR)에 대한 글로벌 대응 동향 및 사례 세미나'에서 이같이 말했다.
종합 정보보안 전문기업 SK인포섹이 글로벌 로펌 DLA Piper 외국법자문법률사무소(대표 이원조)와 함께 지난 20일 DLA Piper 서울사무소 대회의실에서 ‘EU 정보보호법(GDPR)에 대한 글로벌 대응 동향 및 사례 세미나’를 개최했다. 이번 세미나에서는 두달 후부터 본격적으로 시행되는 EU 정보보호법(GDPR)에 한국 기업들이 어떻게 대응해야 하는지에 대해 DLA파이퍼 로펌의 패트릭 반 에이커 파트너 변호사가 내한해 강의했다.
반 에이커 변호사는 “GDPR 시행이 코앞으로 다가왔는데도 규정준수에 대한 EU 정부의 가이드라인이 완벽히 구축되지 않아 GDPR 준비에 어려움을 겪고 있는 한국 기업들에게 가장 효과적인 대응책을 제시하고자 한국을 방문하게 됐다”고 말했다.
GDPR은 개인정보보호 강화를 위해 EU가 제정한 통합규정이다. 99개의 조항이 포함돼 있을 정도로 그 내용이 방대하다. GDPR은 사용자가 본인 데이터 처리 관련 사항을 받을 권리, 열람을 요청할 권리, 정정 및 삭제를 요청할 권리, 개인정보 이동 권리 등 EU 거주자의 개인정보에 대한 보호 정책 등을 담고 있다.
반 에이커 변호사는 유럽에서의 개인정보는 매우 넓은 의미를 가진다고 설명했다. 개인 이름뿐만 아니라 그 사람의 주소, 성향, 인터넷에서 어떤 것을 검색했는지 등 사람과 관련된 모든 것이 개인정보에 포함된다고 말했다. 즉, 모든 회사가 개인정보를 처리한다고 볼 수 있다고 해석했다.
DLA파이퍼 이원조 한국총괄대표는 “GDPR은 단순히 EU에 지사가 있는 회사나 EU 시민권을 가진 개인에게만 관련 있는 것이 아니다”라며 “EU에 거주하는 개인의 정보를 처리하기만 해도 적용된다는 점이 중요하다”고 GDPR의 엄격한 통제 기준을 강조했다.
■ “GDPR, 한국 개인정보보호법 보다 과징금 훨씬 높아”
반 에이커 변호사는 “한국기업은 유럽의 GDPR과 비슷한 개인정보보호법을 가지고 있기 때문에 조금 유리할 수도 있으나, 자세한 부분은 다르기 때문에 한국의 개인정보 보호법을 준수하고 있다고 해서 GDPR을 준수하고 있다고는 말할 수 없다”고 말문을 열었다.
한국의 개인정보보호법과 GDPR이 가장 차이가 나는 부분은 과징금과 관련된 부분이다.
한국은 개인정보보호법을 위반했을 경우 최대 5천만 원을 배상해야 한다. GDPR의 벌금 규정은 더욱 세다. 위반 정도에 따라 위반기업에 전년도 전 세계 연 매출 4% 또는 2천만 유로(약 262억 4천900만 원) 중 더 높은 금액의 과징금을 부과한다. 심지어는 정보유출 사태 발생 시 관계 당국(DPAs)에 72시간 내에 보고 하지 않은 경우, 위반 기업은 전년도 전 세계 연 매출의 2%와 1천만 유로(약 131억 2천730만 원) 중 높은 금액의 과징금을 부과받을 수 있다.
반 에이커 변호사는 “GDPR은 단지 과징금 부과 위험만 가지고 있는 게 아니다. GDPR을 준수하지 않았을 경우 사람들이 회사를 상대로 집단 소송을 할 수도 있으며, 회사 이미지가 나빠질 수 있다”고 지적했다. 또 “이미 전 세계의 많은 국가가 개인정보를 보호하지 못해 하루 만에 주식이 폭락하는 것을 많이 목격한다”며 “기업들은 GDPR을 잘 준수해 소비자에게 좋은 이미지를 주는 것이 중요하다”고 덧붙였다.
■ “유럽과 연관성이 조금만 있더라도 바로 GDPR 영향 받아”
반 에이커 변호사는 “여러분의 회사가 유럽에 있지 않고, 서울에만 있더라도 GDPR은 여러분에게 분명히 영향을 끼치게 된다”며 한국 기업이 GDPR의 영향에서 자유로울 수 없다는 것을 강조했다. 사업상 유럽 거주자의 개인 정보를 다룰 가능성이 있기 때문이다.
반 에이커 변호사는 이런 GDPR의 강력한 통제 규정은 '유럽에서 수집한 개인정보는 유럽을 떠날 수 없다'는 유럽 규제를 만든 사람들의 생각에서 비롯됐다고 설명했다.
한국에 있는 기업들이 제품을 만들어 유럽회사에 판매하게 될 때에도 한국회사는 GDPR에서 자유로울 수 없다. 유럽회사들은 다른 회사와 계약을 하거나 일을 할 때, GDPR에 우호적인 성향을 가진 회사들과 일을 해야 하는 의무를 지고 있기 때문이다. 한국기업에서 소프트웨어를 살 때도 유럽회사들은 GDPR을 준수하고 있는지 한국 기업에 물어보고, 준수하고 있지 않다면 거래를 하지 않을 수 있다.
■ 사례에 따른 GDPR 적용 여부
다음은 반 에이커 변호사가 설명한 사례에 따른 GDPR적용 여부다.
사례 1) 한국기업이 유럽에 계열사를 가지고 있다면?
유럽에 기반을 둔 회사는 무조건 GDPR을 준수해야 한다. 원칙적으로 유럽에 거주하고 있는 직원들의 정보를 가져올 수 없다. 하지만 정보 이전이 허용되는 화이트리스트에 올라간다면 국가끼리의 정보 이전이 자유롭게 이관될 수 있다. 현재 한국과 일본이 화이트리스트 등재와 관련해 논의하고 있다.
사례 2) 유럽에 기반을 두지 않은 한국 기업이 유럽에 있는 사람들한테 서비스할 경우에는?
어떤 서비스나 상품의 타깃을 유럽 시장으로 한다면 GDPR을 따라야 한다. 즉, 서울에 있는 회사여도 유럽에 서비스나 제품을 판매할 경우 한국회사도 GDPR을 준수해야 한다. 또 유럽에 어떤 제품과 서비스도 제공하고 있지 않아도 유럽에 있는 사람들을 관찰하거나 모니터링한다면 GDPR을 준수해야 한다.
사례 3) 데이터를 이전할 때도, GDPR을 준수해야 하나?
한국 회사의 자회사가 EU 국가에 있다면, 그 자회사가 유럽 내에 수집한 정보를 서울에 있는 본사로 이전하려고 할 때는 GDPR을 준수해야 한다. 양사 간의 데이터 이전 계약서를 체결해야 하고, 그 약정 안에는 서울 본사가 GDPR 준수하겠다는 내용이 포함돼 있어야 한다.
설령, 유럽에 있는 자회사가 어떤 결정권도 없는 단지 데이터 정보 처리를 해주는 아웃소싱 회사인 경우라도 데이터 컨트롤러인 본사와 데이터 프로세서인 자회사 모두 GDPR을 준수해야 한다.
사례 4) 유럽시장을 타깃으로 한 회사가 아닌데 만약 회사 온라인 사이트를 통해 유럽 거주자가 상품을 구매했다면 회사는 GDPR에 영향을 받게 되나?
회사의 온라인 사이트 도메인이 .kr로 되어있는지 .eu로 되어있는지에 따라 달라진다. 적극적으로 유럽 시장을 타깃으로 했다는 증거가 있다면 GDPR에 영향을 받게 될 것이고, 그런 증거가 없다면 GDPR에 적용되지 않을 것이다.
사례 5) 회사 내 직원들의 개인정보수집 동의는 근로계약의 일종으로 봐서 하지 않아도 되나. 이미 회사와 직원은 갑을관계여서 동의를 불공정하게 받을 수 있는데 이럴 경우 직원들의 동의는 어떻게 받아야 하나?
유럽에서도 논의되고 있는 부분이다. 일단 직원에게 동의를 받지 않을 것을 추천드린다. 동의를 받더라도 직원과 회사와의 관계는 불평등해 그 동의는 법적으로 유효하지 않을 것으로 보인다.
기업에서 직원의 개인정보수집을 정당하게 하기 위해서는 3가지의 피라미드 형식을 거치는 것이 좋다. 먼저 첫 번째는 임금을 지급하는 등의 계약 이행을 위한 정보만을 수집하는 것이다. 계약 이행을 위한 정보라고 말하기 부족한 경우에는 특정 이유가 있어야 한다. 계약이행을 위한 정보 혹은 특정한 이유가 없는 정보 수집은 직원의 동의를 직접 받아서 수집해야만 한다.
따라서 필수적인 정보와 그렇지 않은 정보가 무엇인지 분류하는 것이 중요하다. 예를 들어, B2B 회사라고 한다면 컨택한 회사 이름이나 연락처는 필수적인 정보가 되겠지만 회사 대표의 취미와 같은 부분은 필수적이지 않은 정보라고 분류할 수 있다.
■ 개인 정보 수집 “ 최소화, 즉시 폐기, 투명성” 중요
반 에이커 변호사는 개인정보를 수집할 때 3가지를 꼭 고려해야 한다고 말했다.
정보 수집은 최소화를 목표로 하고 있기 때문에 필요한 목적에 맞게 필요한 만큼만 수집해야 한다고 강조했다. 하지만 아직도 많은 기업이 개인정보를 어떻게 사용할지 모르고 일단 수집하는 경향이 많아 어려움을 겪고 있다고 전했다.
기업이 어려움을 겪고 있는 또 하나의 부분은 바로 정보 폐기다. GDPR에서는 정보가 더 이상 사용할 필요가 없게 되면 바로 폐기해야 한다고 규정하고 있다. 하지만 반 에이커 변호사는 자체 조사에 따르면 고객사의 90%가 정보를 영원히 보관한다고 답했다며 고객사들이 현실적으로 많이 어려워하는 부분이라고 설명했다.
마지막으로 GDPR에서 중요한 부분은 투명성이다. GDPR은 기업에게 개인정보를 수집할 때는 개인정보 주체에게 그 사실을 투명하게 통지할 의무를 부여하고 있다. 어떤 목적으로, 얼마나 오랫동안 보관하는지도 모두 통지해야 한다. 반 에이커 변호사는 “예전에는 기업들이 이런 통지 문구를 어렵게 써 아무도 읽지 않았지만, 이제는 GDPR에서 개인정보 주체들이 이해하기 쉽게 기술할 것을 의무적으로 부과하고 있다”고 밝혔다.
관련기사
- 유럽 GDPR D-100 "오해 그만, 당장 준비"2018.03.22
- "기업들, EU GDPR 대비해 DPO·대리인 지정해야"2018.03.22
- SAP-구글, 유럽 GDPR 대응 솔루션 내놨다2018.03.22
- EU 개인정보보호법 'GDPR' 바로보기 세미나 열린다2018.03.22
이어 반 에이커 변호사는 GDPR 규정에 패널티를 받지 않기 위해서는 적극적으로 GDPR을 준수하기 위해 노력했다는 기록을 남겨놓을 것을 강조했다. 그는 “단지 내가 액션을 취했다는 것만으로는 충분하지 않다”며 “액션을 취했다는 걸 ‘보여주는 것’이 중요하다. 그렇기 때문에 모든 걸 기록해놔야 한다”고 말했다.
성경원 SK인포섹 팀장은 “GDPR 규제에 대응하기 위해서는 평상시에 기술적, 조직적 조치를 얼마나 했고, 미리 감독기구와 협조를 했는지 등의 사전 노력이 중요하다”며 “국내법으로는 규제되지 않았던 부분을 추가해서 실무 중심적으로 빠르게 개선하는 방안이 필요하다”고 지적했다.