국내 이용자를 대상으로만 영업을 하는 기업에는 영향이 없을 수 있으나, EU에 현지 영업소를 두거나 EU 거주민을 대상으로 영업을 하는 기업은 GDPR 준수를 위한 준비 필요"

(1단계) 해당 기업 내 개인정보 처리 현황 등을 점검하여 해당 개인정보 처리가 GDPR 적용 대상인지 확인

(2단계) GDPR 적용 대상인 경우, 기 배포된 안내서 및 가이드라인 등을 참고하여 DPO 지정 등 즉시 조치 가능한 사항을 시행해야 함

(3단계) 개인정보 처리 방법의 적절성, 동의 획득 절차, 국외 이전 여부, 대리인 지정 필요성 등을 점검하여 법 위반 우려가 있는 사항은 신속한 개선 조치 필요

( 'EU GDPR 시행 대비 기업이 준비해야 할 사항' 참조)"

이전 EU 지침은 권고 차원의 규정인 점에 반해, GDPR은 모든 회원국 등이 의무적으로 준수해야하는 강행 규정이라는 점에서 큰 차이가 있음(위반시 과징금 부과)

아울러, GDPR은 DPO 지정, 개인정보 처리활동의 기록․유지, 개인정보 영향평가 실시, 역내 대리인 지정 등 기업의 책임성을 강화하고, 처리제한권, 정보이동권 등 정보주체 권리를 신설하는 내용이 추가되었음"

단순히 영어를 사용하여 상품이나 서비스를 제공하고 있다는 것만으로는 그 컨트롤러나 프로세서가 하나 이상의 EU 회원국 내의 정보주체에게 서비스를 제공하는 것으로 판단하는 것은 제한적일 것으로 보여지므로 GDPR이 바로 적용되지는 아니할 것으로 생각됨. 단, EU 거주자를 대상으로 서비스를 제공하기 위하여 개인정보를 수집‧처리한다면 GDPR이 적용될 수 있음"

한국을 방문한 EU 시민은 EU 역내의 정보주체가 아니므로 이 경우 일반적으로는 GDPR이 적용되지 않을 것으로 판단"

DPO는 개인정보보호 관련 전문지식을 갖추고 기업 내 조언자이자 감독자 역할을 수행하는 사람임

※ 우리나라의 임원급 개인정보보호책임자(CPO, Chief Privacy Officer) 지정 제도와 유사하지만 지위, 역할, 책임 등에 있어 차이가 있으며 전문지식에 대한 요건도 필요.

한편, ① 개인정보를 처리하는 공공기관

② 정보주체에 대한 정기적이고 체계적인 모니터링을 하는 경우

③ 건강정보, 범죄경력 등의 민감한 정보를 처리하는 기업의 경우에는 필수적으로 지정해야 함"

전문성을 갖춘 한 명의 외부 DPO가 여러 기업의 DPO를 겸할 수 있고 외부 인력도 DPO로 임명할 수 있으나, 각 기업-DPO-감독기구간 상시 커뮤니케이션 체계가 전제되어야 함. 즉 어떤 경우에도 DPO는 담당하는 모든 기업의 개인정보 처리 시스템이나 업무 현황에 자유롭게 접근이 가능해야 하며, 기업은 DPO에게 이러한 업무 환경을 보장해주어야 할 필요가 있음"

GDPR 제37조 제7항은 “컨트롤러 또는 프로세서는 개인정보보호책임자의 연락처를 공개하고 감독기관에 통지하여야 한다.”고 규정하고 있으므로, DPO를 지정한 후에는 그 연락처를 감독기관에 통지하여야 함"

GDPR 제37조 제5항은 “개인정보보호책임자는 전문적 자질, 특히 개인정보보호법과 실무에 대한 전문적 지식 및 제39조에서 언급된 직무를 수행할 능력에 근거하여 지정되어야 한다.”고 규정하고 있음.

따라서, DPO가 되기 위한 별도의 자격증이 필요한 것은 아니고 반드시 내부 임직원이어야 할 필요도 없음. 다만 위와 같은 전문적 자질이 반드시 필요하며, 관련 자격증을 보유하고 있다면 그러한 자질이 있음을 입증하는 데에 도움이 될 수 있음.

한편, DPO 규정은 국가별 개별 법령에 따른 제한이 있을 수 있는바, 이러한 내용을 살펴볼 필요가 있음"

GDPR 제37조는 DPO의 지정 의무는 컨트롤러 혹은 프로세서 해당 여부와 무관하게 적용됨. 즉 DPO 의무 지정사유를 누가 충족하느냐에 따라 어떤 경우에는 컨트롤러만, 어떤 경우에는 프로세서만, 혹은 양 측 모두가 DPO를 지정해야 함"

EU에서 인정한 적절한 보호조치가 있는 경우 이전 가능

예를 들어 개별 기업간의 표준계약 체결, 구속력있는 기업규칙(BCR), 공인 행동강령 또는 개인정보보호인증 등의 방법이 있음

또한, '적정성 결정'을 통해 개인정보 보호 수준이 EU와 동등하다고 인정되는 국가에는 위의 절차를 거치지 않고도 개인정보 국외 이전이 가능하며, 현재 한국과 EU간 '적정성 결정' 협의 진행 중"

BCRs의 경우 하나의 기업 집단(그룹 내 계열사 및 계열사의 국내외 법인 등) 내에서 발생하는 개인정보 이전에 대한 포괄적인 적합성을 인정받을 수 있다는 장점이 있음. 단, BCRs 승인에 긴 시간(12개월 이상)이 소요되며, 특정 기업 집단 외부로 이전하는 경우에는 보호조치가 적용되지 않는다는 단점이 있음

반대로 표준계약서의 경우, 계약 절차가 간단하며 양식에 맞춰 계약을 체결하는 즉시 보호조치가 실행된다는 것이 장점. 단 계약 당사자가 많아질 경우, 모든 상대방과 계약을 체결해야 한다는 부담이 발생한다는 단점 존재

※ BCRs 승인 기업 리스트

  (https://ec.europa.eu/info/law/law-topic/data-protection/data-transfers-outside-eu/binding-corporate-rules_en)

※ 표준계약서 양식

  (http://ec.europa.eu/justice/data-protection/international-transfers/transfer/index_en.htm)"

원칙적으로 EU 적정성 결정(Adequacy Decision)을 받으면 별도의 보호조치 없이 개인정보를 EU 역외로 이전하는 것이 가능"

적정성 결정은 개인정보의 역외이전에 대한 승인이므로, GDPR의 다른 규정이 적용 면제되는 것은 아님. 따라서 정보주체의 권리 보장 및 DPO 임명, 처리활동 기록 등 자사에 적용되는 GDPR 조항들은 모두 준수해야 함"

'명시적’이란 정보주체에 의해 동의가 표현되는 방식을 의미하며 이는 일반적인 동의에 비해 정보주체의 동의가 명확하게 확인될 수 있는 방식을 의미함

구체적으로, 이메일에 동의 의사를 표시하여 제출하거나, 전자서명을 하는 방식, 동의에 대한 2단계 검증 등이 있음. 역외이전에 대한 유효한 명시적 동의 획득을 위해서는 보호조치가 갖추어지지 않은 국가 혹은 기업으로 개인정보가 이전된다는 사실과 그 위험성에 대한 사전 고지 및 정보 수령인과 그 유형, 이전되는 정보의 유형, 정보가 이전될 국가 등에 대해서도 알려야 함"

GDPR에 의하면 컨트롤러는 '개인정보의 처리 목적 및 수단을 결정하는 자연인 또는 법인 등'을 의미. 즉 본사와 해외 법인 중, 현지에서 개인정보를 수집하는 목적과 수단을 규정하는 측이 컨트롤러라고 할 수 있기에 본사가 무조건 컨트롤러고 현지 법인이 프로세서라고 볼 수 없음

개인정보 수집과 관련하여 본사가 해외 법인의 활동 범위를 결정한다면 본사가 컨트롤러가 될 것이나, 본사의 특별한 지침이 없이 해외 법인이 자체적으로 개인정보의 처리방식을 정한다면 해외 법인이 컨트롤러가 될 수도 있음"

<컨트롤러/프로세서 공통>

  ① 개인정보 처리활동 기록 (종업원 250명 이상 기업 등)

  ② DPO 지정

  ③ EU 내 설립되지 않은 컨트롤러/프로세서의 경우 EU 역내 대리인 지정

  ④ 개인정보 침해 인지 시 정보주체 통지 의무 (컨트롤러는 감독기구, 프로세서는 컨트롤러에게)

<컨트롤러>

  ① GDPR 준수를 입증할 수 있는 적절한 기술적/조직적 조치

  ② 프로세서에 대해 구체적인 법적 의무를 부과 (예: 개인정보 처리활동 기록)

  ③ Data Protection by Design and Default

  ④ 개인정보영향평가 (Data Protection Impact Assessment)

  ⑤ 행동강령/인증제도 이용 (가능 시)

<프로세서>

  ① 컨트롤러의 문서화된 지시사항에 의한 처리

  ② 개인정보 처리의 보안을 위해 요구되는 모든 조치 강구

  ③ 컨트롤러의 정보주체 권리 보장을 위해 필요한 조치 지원 활동

  ④ 컨트롤러와 관계 종료 시 컨트롤러 선택에 따라 개인정보 반환 또는 파기

  ⑤ GDPR 준수여부를 입증하기 위해 필요한 모든 정보를 컨트롤러에 제공 등이 있음"

정보주체가 개인정보의 이동을 요구하는 경우, 컨트롤러 및 프로세서는 체계화되고 일반적으로 사용되며 기계가 있을 수 있는 판독이 형식으로 이를 전달해야 함

단, 정보주체의 동의 또는 계약에 근거하여 처리되는 개인정보에 대해서만 이동권을 행사할 수 있으며, 컨트롤러 혹은 프로세서가 기존에 수집한 개인정보들을 바탕으로 추론 및 재생산한 개인정보는 이동권의 대상에서 제외됨"

‘프로파일링’이란 자연인과 관련된 일정한 개인적 측면을 평가하기 위하여, 특히 그 자연인의 업무 능력, 경제 상황, 건강, 개인적 선호, 관심사, 신뢰도, 행동, 위치 또는 이동과 관련된 측면을 분석하거나 예측하기 위하여 개인정보를 사용하는 모든 형태의 자동화된 개인정보 처리를 의미함"

GDPR에 규정된 과징금 액수는 최대 한도의 과징금을 말하며, 실제 부과 금액은 위반의 내용, 의도성, 피해경감 노력 등의 11개 기준을 종합적으로 검토하여 과징금이 결정되므로 차분히 준비할 필요 있음"

GDPR에 규정된 과징금 액수는 최대 한도의 과징금을 말하며, 구체적 위반 사항별 과징금 액수는 위반의 성격, 중대성, 의도성, 태만 여부, 피해경감 노력 등 11가지 기준에 따라 실제 부과될 최종 과징금 금액이 산정됨"

GDPR 안내서, 가이드라인, 가이드북 발간(행안부, 방통위, KISA), 기업 설명회 개최(산자부, 중기부, 방통위, KISA) 등 다양한 인식 제고 활동을 추진하는 한편, EU 집행위원회와 개인정보 상호 이전을 위한 일괄 타결(적정성 결정*) 협의 중

˚적정성 결정(Adequacy Decision) : 개인정보보호 수준이 EU와 동등한 수준으로 인정될 경우 기업이 별도의 조치 없이 개인정보 역외이전이 가능하다는 EU 집행위원회의 결정"

과징금 부과대상에 해당하지 않는 GDPR 위반사항에 대하여도 각 회원국은 자국의 법률에 추가적인 처벌(징계 등)을 규정할 수 있음 따라서, 특정 국가에서 사업을 영위하는 경우에는 해당 국가의 법률을 지속적으로 모니터링 해야 함

※ EU에 사업장을 운영하는 기업은 현지 법률 컨설팅 활용 필요"

GDPR 관련 문의사항은 무역협회·KOTRA, 전국 14개 중소기업수출지원센터, 중소기업중앙회 등에서 운영하는 애로사항 접수창구를 이용할 수 있고 전문적인 상담은 한국인터넷진흥원의 상담서비스를 활용"

식별되거나 식별 가능한 정보주체(자연인)와 관련된 모든 정보를 의미하며, 다른 정보와의 결합을 통해 개인을 식별할 수 있는 정보도 개인정보로 정의. 가명정보는 재식별이 가능하기 때문에 개인정보로 분류되며, 익명정보는 개인정보로 간주되지 않음. 예시) 성명, 주소, 이메일 주소, 신분증 번호, 위치 정보, IP 주소, 쿠키ID, 휴대전화의 광고식별자, 병원이나 의사가 보유한 정보 중 개인을 식별할 수 있는 정보"

개인정보의 처리는 개인정보의 수집, 저장, 변경, 삭제, 공개, 전송, 결합 등을 포괄하는 개념

GDPR은 전체적 또는 부분적으로 자동화 시스템의 일부를 구축하기 위한 목적일 경우, 비자동화 된 수단에 의한 개인정보 처리 활동에도 적용됨

예시) ① 임직원 관리 및 급여 관리 ② 광고성 메일 발신 ③ 개인정보를 포함하고 있는 연락처에 대한 접근 및 조회 ④ 개인정보를 포함하고 있는 문서의 파쇄 ⑤ 개인의 사진을 온라인에 게시 ⑥ IP 주소 및 MAC 주소의 저장 ⑦ 동영상 녹화(CCTV) 등"

1) EU 내에 설립된 기업이 개인정보를 처리하는 경우

2) EU 외부에 설립된 기업이 EU 역내에 재화나 서비스를 제공하거나 EU 역내의 정보주체를 모니터링*하는 경우

*온라인을 통해 정보주체를 추적해 개인의 특성을 평가하고 예측하는 활동

예시)

- (GDPR이 적용되는 경우) 교육 업체가 EU 내의 스페인권과 포르투갈어권 대학에 강좌를 개설, 서비스 제공을 위해 고객의 ID와 비밀번호를 요구하는 경우

- (GDPR이 적용되지 않는 경우) EU 역외에 설립된 기업이 EU 역내의 정보주체를 구체적으로 상정(Targeting)하지 않은 상황에서, EU 내 정보주체가 서비스를 활용하는 경우"

컨트롤러는 개인정보 처리의 목적과 방법을 결정하는 주체를 의미하며, 이와 같은 결정권을 제3자와 공동으로 행사할 경우, 공동 컨트롤러(joint controller)의 지위를 획득함

프로세서는 컨트롤러를 대신해 개인정보를 처리하는 주체로 프로세서의 책임과 의무는 양자 간의 서면 계약서에 명시되어야 함

예시) 한 기업이 급여 관리 대행사와 직원의 임금 관리 업무 계약을 맺고, 대행사가 IT 시스템을 구축해 직원들의 정보를 처리하는 경우, 업무를 요청한 기업은 컨트롤러가 되고 급여 대행사는 프로세서가 됨"

수집 목적을 달성하거나 불법으로 수집된 정보에 대해서 정보주체는 기업에게 개인정보의 삭제를 요구할 수 있으며, 정보주체가 아동일 때 제공한 개인정보는 상시적으로 삭제 요청이 가능함

다만, 삭제권은 절대적인 권리가 아니며, 표현의 자유나 과학 연구를 위한 경우에 컨트롤러는 삭제 요청을 거부할 수 있음

예시)

1) 삭제해야하는 경우

- 정보주체가 SNS 서비스를 활용하다 탈퇴한 후 정보 삭제를 요청한 경우

- 정보 삭제에 의한 개인의 이익이 정보 공개에 의한 공익을 능가하는 경우

(검색 엔진에서 개인 정보가 담긴 링크나 웹 페이지 삭제)

2) 즉시 삭제가 될 수 없는 경우

다른 개별법에서 개인정보의 보관을 명문화한 경우(이 경우, 정보주체는 자신의 정보에 대한 처리의 제한을 요구할 수 있음)"

정보주체의 동의나 계약에 의거하여 개인정보가 처리되는 경우, (기술적으로 실현 가능한 경우) 정보주체는 기업에게 자신의 정보를 본인이나 다른 기업에 전송해줄 것을 요청할 수 있음

예시) SNS 서비스의 고객이 타 SNS 서비스로 사진 등 개인정보의 이동을 요청한 경우"

DPO는 컨트롤러‧프로세서의 개인정보 처리 활동 전반에 관한 자문 역할을 하는 전문가로, 조직의 관리 체계 구축‧임직원 교육‧감독기관과의 의사소통 등의 역할을 수행함

기업은 DPO로 조직 내부의 직원을 임명할 수 있으며, 외부 서비스 계약에 의한 DPO 임명도 고려할 수 있음. 또한 DPO는 기업으로부터 업무상 지시를 받지 않으며, 최고 경영진에게 직접 보고할 수 있는 권한이 보장되어야 함

다음의 경우에 컨트롤러‧프로세서는 DPO를 필수로 지정해야 함

    ① 기업의 핵심 활동이 민감정보의 대규모 처리를 포함하는 경우

    ② 기업의 핵심 활동이 개인에 대한 대규모의 정기적이고 체계적인 모니터링을 포함하는 경우

    ③ 공공기관(법원 제외)

* 예시)

1) DPO를 필수로 임명해야 하는 경우

    · 민감정보를 대규모로 처리하는 병원

    · 쇼핑몰이나 공공장소를 모니터링 하는 보안 회사

    · 개인의 프로필을 축적하는 헤드헌팅 업체

2) DPO를 임명하지 않아도 되는 경우

    · 환자의 정보를 처리하는 의사 개인

    · 고객의 정보를 처리하는 소규모 법무법인</p>"

정보주체의 자유와 권리에 고위험을 초래할 가능성이 있는 경우 개인정보 영향평가를 수행해야 하며, 영향평가가 특히 요구되는 경우는 아래와 같음

1) 정보주체의 개인적 측면에 대한 체계적이고 광범위한 평가

2) 대규모의 민감 정보 처리

3) 공공장소에 대한 체계적인 대규모의 모니터링

개인정보 영향평가는 처리 이전 단계에서 수행되어야 하며, 해당 조치를 통해서도 완화될 수 없는 위험이 있는 경우에는 감독기구와 협의가 필요함

예시)

① 영향평가가 필요한 경우

 - 은행이 신용 정보를 활용해서 고객을 검열하는 경우

 - 병원에서 환자의 건강 정보를 포함해 새로운 건강 정보 데이터베이스를 구축하려는 경우

 - 버스 회사가 기사와 승객의 행동을 감시하기 위해 차내 카메라를 설치하는 경우 등

② 영향평가가 불필요한 경우

 - 의사가 한정된 숫자의 환자의 개인정보를 처리하는 경우에는 해당 처리가 대규모로 이뤄지지 않기 때문에 영향평가가 불필요"

EU 역내에서 수집한 개인정보는 다음의 경우 EU 역외로 이전 가능

1) EU 집행위원회로부터 적정성 결정 (Adequacy Decision)을 받은 경우

2) 적정성 결정을 받지 않았지만, 아래의 보호조치를 마련한 경우

 ① 구속력 있는 기업 규칙(Binding Corporate Rules, BCRs)

 ② 표준 개인정보보호 조항에 의거한 개인정보 이전 계약

 ③ 승인된 행동 강령(code of conduct) 및 인증제도(certification)

3) 정보주체가 명시적으로 동의한 경우

예시)

 - 우루과이와 아르헨티나는 적정성 결정을 승인 받았기 때문에, 별도의 보호조치 없이 개인정보의 이전이 가능

 - 브라질은 적정성 결정을 받지 않았기 때문에, 위의 3가지 보호조치 중 하나를 채택한 경우에만 역외 이전이 가능"

GDPR 규정을 위반하는 경우, 사안의 경중에 따라 최대 전 세계 매출액의 4% 또는 2천만 유로 중 높은 금액의 과징금 부과

※ 과징금은 다음의 11가지 기준을 종합적으로 고려하여 산정함

1. 위반의 성격, 중대성 및 지속 기간

2. 위반의 의도성 또는 태만 여부

3. 정보주체의 피해를 경감하기 위한 컨트롤러‧프로세서의 조치

4. 기술적‧조직적 보호조치를 고려한 컨트롤러‧프로세서의 책임 수준

5. 컨트롤러‧프로세서가 이전에 범했던 관련 법규의 위반 여부

6. 위반을 해결하기 위한 감독기구와의 협조 수준

7. 위반으로 인해 영향을 받게 되는 개인정보의 종류

8. 컨트롤러‧프로세서의 위반 통지 여부

9. 동일한 사안에 대한 감독기구의 명령이 부과된 바가 있는지 여부

10. 승인된 행동 강령 또는 인증 메커니즘의 준수 여부

11. 위반으로 인해 직간접적으로 얻은 금전적 이익 또는 회피한 손실"