[KISDI] GDPR시대 개인정보정책의 주요 쟁점 및 대응방안

 

[구글, 페이스북, 애플의 GDPR 준비 현황]

 

 

 

 

*** 출처: [KISDI] GDPR시대 개인정보정책의 주요 쟁점 및 대응방안

*** 문서:

GDPR시대 개인정보정책의 주요 쟁점 및 대응방안.pdf

 

 

 

 

 

■ 2018년 5월 25일 GDPR 발효의 의미

 

 

○ 전문(recital) 총 173개 조항, 본문 총 11장 99개 조항으로 구성되어 있으며, 정보주체의 권리(열람청구권, 정정·삭제권, 정보이동권 등), 정보처리자의 책무(DPO:개인정보보호 책임자 지정, 개인정보 영향평가 실시 등) 등이 포함됨

 

○ 글로벌 ICT 기업의 데이터 독점에 대한 선제적 대응이자 디지털 시대의 개인정보보호 법제 방향성 제시

 

○ 개인의 '프라이버시 보호' 목적 이외에 '개인정보의 자유로운 이동 보장'이라는 새로운 방향성 제시

 

- 개인정보 활용주체를 기업·기관에서 개인으로 확대하는 등 개인의 정보 활용에 대한 자유와 권리를 강화함

 

○ 개인정보의 국외 이전에 대한 선도적인 법제도 기준 제시

 

 

 

■ 기업에 영향을 주는 GDPR 주요 조항과 기업 대응 동향

 

 

○ OECD 프아이버시 8원칙에 기초한 개인정보 처리에 관한 기본원칙 규정(제5조)

 

- '목적 제한'과 관련하여 국내법과 크게 차이가 없지만, 국내법에 있는 "특정 개인을 알아볼 수 없는 형태"라는 단서의 문구 해석의 모호함 때문에 해당 조항(개인정보 보호법 제18조 4항)은 거의 사문화되어 왔음, 최근 해당 조항을 '비식별조치 후 활용가능한 정보'의 법적 근거로 재해석하자는 의견이 제시되면서 주목 받음

 

 

○ 적법한 개인정보 처리의 근거로서 동의(consent) 조건 및 철회 등을 규정(제4조(11), 제7조)

 

- GDPR에서 ‘동의(consent)’는 “진술에 의하거나 명확한 긍정적 행위(clear affirmative action)에 의한 분명한 의사표시”이며, ‘명확한 긍정적 행위’란 “정보주체가 의도적인 행동을 취하여 특정한 (데이터) 처리에 동의하였다”는 것을 의미함

 

- 즉, 동의 의사를 표하기 위한 구체적인 말 혹은 행위를 끌어내지 못하는 형식으로는 적법한 동의를 받았다고 할 수 없음

 

- 정보주체는 언제든 동의를 철회할 수 있는 권리를 가지며 쉬운 방법으로 철회할 수 있어야 함

 

 

○ 정보주체의 권한으로 삭제권, 정보이동권, 자동화된 개별 의사결정 제한 등을 신규 도입

 

- 삭제요구 권한은 개인정보 처리를 위탁 받은 제3자에까지 미침

 

※ 국내법은 삭제권을 보장(개인정보 보호법 제36조, 제37조제4항, 제21조; 정보통신망법 제44조2)하고 있으나 정보처리자로부터 개인정보를 제공받은 제3자에 대한 파기·삭제 의무 조항은 없음

 

 

- 프로파일링을 포함한 자동화된 의사결정(제22조) 조항은 정보 주체에게 법적 효과 혹은 그와 유사한 영향을 미칠 수 있는 개인에 대한 평가와 결정이 자동화된 처리에만 근거하는 것을 거부할 권리임

 

 

○ GDPR 제4장은 주요 수범자인 컨트롤러와 프로세서의 의무를 규정

 

- 한국인터넷진흥원의 기업대상 GDPR 안내에 따르면, 특히 개인정보보호책임자(DPO) 지정, 개인정보처리 활동 기록·유지·관리, 역내대리인 지정 등이 기업 대응 우선 사항임

 

 

○ 개인정보보호 업무 수행을 보장하는 DPO를 공식적으로 지정할 의무(제37조~제39조)

 

- 여러 사업자가 단체로 한 명의 DPO를 지정할 수도 있음

 

 

○ 처리활동 기록 의무(제30조)

 

- 특별한 경우가 아니면 250인 미만을 고용하는 기업·조직은 의무대상에서 제외됨

 

- 기록 의무에는 ①정보처리자와 그의 대리인, DPO의 이름과 연락정보, ②처리 목적, ③정보주체 범주와 개인정보 범주에 대한 설명, ④개인정보가 공개되었거나 공개될 수령자 범주 등이 포함됨

 

 

○ EU 내에 설립되어 있지 않은 정보처리자의 경우 대리인지정 의무(제27조)

 

- 역외의 정보처리자인 경우 EU 역내에 대리인(representatives)을 서면으로 지정해야 함

 

- 처리가 간헐적으로 수행되거나 특정범주의 개인정보 혹은 범죄 경력·행위에 대한 대규모 처리를 포함하지 않거나 개인의 권리와 자유에 대한 위험 초래가능성이 낮거나 공공기관·기구인 경우는 예외임

 

 

○ 일련의 시정절차와 함께 혹은 시정절차를 대신하여(제58조) 높은 수준의 과징금 부과(제83조)

 

 

○ GDPR 제5장은 개인정보의 역외이전에 대해 규정

 

- EU 회원국 내 개인정보를 이전받게 될 제3국·국제기구 등의 개인정보보호 법제 수준이 GDPR에 준한다고 평가(적정성 평가)되면 해당국가·기구의 개별 정보처리자는 명시적 동의 혹은 별도의 안전장치 의무 없이 개인정보의 역외이전이 가능함(제45조)

 

- 국가 수준의 적정성 평가와는 별도로 개별 기업(정보처리자)이 적절한 안전장치를 제공하는 경우 개인정보의 역외이전이 가능함(제46조)

 

- 안전장치에는 ①공공기관의 법적 구속력이 있고 집행가능한 문서, ②구속력이 있는 기업 규칙, ③EU 집행위 승인을 받은 정보보호 표준조항, ④승인된 행동 규약, ⑤인증제도 등이 포함됨

 

 

 

■ 국내 기업의 대응 현황

 

 

○ 정부 차원에서 유럽시장 진출 혹은 계획 중인 중소기업·스타트업의 GDPR 대응을 지원

 

- 한국인터넷진흥원을 통해 GDPR 가이드라인 발간, 중소기업 대상 GDPR 대응 교육 등을 시행하고 있음

 

 

○ 그러나 아직 국내 기업의 GDPR에 대한 이해와 준비 정도는 낮은 수준

 

- 특히 GDPR의 기업 책임과 관련해서 개인정보 처리활동 기록, DPO지정, 개인정보 영향 평가 등에 대한 준비가 부족한 것으로 나타남

 

- 정보주체 권리 강화와 관련된 동의요건 강화 및 정보이동권 보장 등을 위한 IT 컴플라이언스 대응도 부족함