-
새롭게 발효된 터키 개인정보보호법, GDPR과 관계는?
- 통상·규제
- 튀르키예
- 이스탄불무역관 홍태화
- 2018-05-02
- 출처 : KOTRA
-
- 2016년 발표된 터키 개인정보보호법, 4월 7일부 발효 개시 –
- GDPR 이전 EU 개인정보보호법에 기초, 향후 GDPR 기준 관련 법 변경 대비 필요 -
□ 조사 배경
ㅇ 터키 정부가 2016년 발표한 개인정보보호법(Protection of Personal Data Law, 이하 PPDL, 터키 관보 제29677호 게재)이 2018년 4월 7일부 발효 개시
- 적용대상 : 터키 내 사업장 및 터키 내 사업체와 거주자의 개인정보를 취급하는 해외에 소재한 개인/회사
ㅇ PPDL은 터키의 EU 가입규정 충족을 위해 EU의 기존 개인정보보호법에 기반해 제정됨.
- 이후 EU는 강화된 개인정보보호법 GDPR을 발표하였으며, 터키 정부가 EU 가입 지속 추진 중임을 감안시 터키 내 개인정보보호법 역시 GDPR 수준으로 강화될 것으로 예상됨. 이에 우리 기업의 터키내 개인정보보호활동 계획 수립을 위해서는 PPDL 뿐 아니라 GDPR 내용 숙지 필요함.
□ 개인정보 처리 관련 기본 용어
ㅇ 개인정보(Personal Data): 개인을 식별할 수 있는 모든 정보 (이름, 주소, 고향, 온라인ID, 건강정보, 정치성향, 종교 등)
- 민감정보(Sensitive Data): 인종, 민족, 정치적 성향, 종교적 신념, 성적 취향 등 개인의 특이사항을 포함한 정보
ㅇ 개인정보 주체(Data Subject): 특정 개인정보에 해당이 되는 사람
ㅇ 개인정보 관리자(Data Controller) : 개인정보 수집 업체에서 지정된 정보 관리 전담자
ㅇ 개인정보 처리자(Data Processor) : 개인정보 관리자의 지정을 받아 실제 정보를 처리하는 사람
개인정보 관리 체계도
자료원 : KOTRA 이스탄불 무역관 자체 자료
□ GDPR(EU)과 PPDL(터키)의 비교
ㅇ GDPR과 PPDL은 EU 및 터키에서 신규 발효되는 개인정보보호법으로 기본 정보는 아래와 같음.
구분
GDPR
PPDL
정식 명칭
General Data Protection Regulation
(정보보호 일반규정)
Protection of Personal Data Law
(개인정보보호 법규)
발표주체
유럽연합(EU)
터키 정부
발표일자
2016.4.27
2016.3.24
발효일자
2018.5.25
2018.4.7
적용대상
EU내 개인의 정보를 취급하는 모든 주체(소재지 불문)
터키내 개인의 정보를 취급하는 모든 주체(소재지 불문)
주요 내용
◦ 적합(적법, 공정, 투명)절차 기반 정보처리
◦ 목적에 부합한 정보처리
◦ 목적 달성 이후 정보파기 조치
◦ 수집정보 최소화
◦ 기밀성 보장 위한 적법조치 시행 등
◦ 적법절차 기반 정보처리
◦ 목적에 부합한 정보처리
◦ 목적 달성 이후 정보파기 조치
◦ 기밀성 보장 위한 적법조치 시행 등
- GDPR은 PPDL 대비 발전된 법규로, PPDL 내용 대비 적합(공정, 투명) 젗라 기반 정보처리, 수집정보 최소화 등의 조항을 추가로 포함하고 있음.
ㅇ 현지 전문로펌 Dundar Sir, Bertan Sir 변호사는 인터뷰를 통해 GDPR과 PPDL의 주요 분야별 차이점을 아래와 같이 밝힘.
1) 개인정보 수집 및 처리 절차
ㅇ GDPR은 하기 원칙을 통해 개인정보 수집 및 처리를 요구함.
- 모든 개인정보는 개인정보 주체의 구체적이고, 명확한 동의를 받아 수집되어야 함. (Consent)
- 수집된 모든 개인정보는 평등하고, 적법적인 절차에 따라, 투명하게 처리되어야 함.(Fairness, Lawfulness, Transparency)
- 개인정보 수집의 목적은 구체적으로 피수집자에게 공지되어야 함.(Purpose Limitation)
- 개인정보는 사용목적에 의거해, 최소한 수집되어야 함.(Data Minimization)
- 개인정보는 정확하고, 최신화된 상태로 보관되어야 함.(Accuracy)
- 개인정보는 목적 외 사용 불가함.(Original Purpose)
- 개인정보는 수집 목적 달성시 파기되어야 함.(Storage Limitation)
- 개인정보 수집자는 유출방지를 위한 적합한 기술적, 조직적 조치를 취해야 함.(Integrity and Confidentiality)
ㅇ PPDL은 기본적으로 GDPR과 유사하나, ① 투명한 개인정보 처리, ② 수집 개인정보 최소화를 의무화하고 있지는 않음.2) 등록절차
ㅇ PPDL은 개인정보 관리자(Data Controllers)를 개인정보 관리자 등록소(Data Controllers Registry)에 등록 의무화하고 있음.- 현재 명시적인 개인정보 관리자 등록소에 대한 정보를 발표하지 않은 상황이며, 향후 등록 등록소와 관련된 정보와 면제 대상에 대한 시행령이 발표될 것으로 예상됨.
ㅇ GDPR상에는 개인정보 관리자 등록 의무는 없으나, 개인정보 관리자는 개인정보 영향평가(Data Protection Impact Assessment)를 시행해야 하며, 시행결과 높은 위험을 초래할 가능성이 있을시 국립 정보보호위원회(National Data Protection Authority)에 자문을 구해야 함.3) 대리인 지정
ㅇ GDPR은 유럽연합 내 소재하지 않은 회사가 유럽연합내 개인정보를 취급 시 유럽연합의 승인을 받은 개인정보 관리자(Data Controller) 및 개인정보 처리자(Data Processor)를 지정토록 의무함.
ㅇ PPDL은 터키 내 소재하지 않은 회사가 터키내 개인정보를 취급 시 개인정보 관리자 등록소(Data Controllers Registry)에 등록된 개인정보 관리자(Data Controller)를 지정토록 의무함. 그러나 개인정보 처리자 지정의 의무는 없음.4) 개인정보 보안유지
ㅇPPDL은 개인정보 보안유지를 위해 개인정보 관리자가 모든 종류의 기술적, 조직적 조치를 취할 것을 의무화하고, 개인정보 유출 시 실행가능한(Practicable) 시간내에 터키 정보보호위원회(Turkish Data Protection Board)로 보고할 것을 의무화하고 있음.ㅇ GDPR은 보다 구체적인 개인정보 보안유지 조치를 포함하고 있으며, 개인정보를 가명처리(Pseudonymisation) 및 암호화(Encryption) 보관을 의무화하고 있음. 또한 개인정보 처리자가 개인정보 유출 72시간 내 개인정보 관리자에게 유출여부를 보고토록 규정하고 있음.
5) 처리 기록 보관
ㅇ GDPR은 250인 이내 사업장의 모든 개인정보 처리기록을 보관토록 규정하며, 국립 정보보호위원회의 요청 시 개인정보 처리기록 제출을 의무화함. 그러나 PPDL은 이와 관련된 의무를 규정하고 있지 않음.6) 관련 정부기관과의 협력
ㅇ GDPR은 개인정보 관리 주체의 국립 정보보호위원회 요청사항 수행을 의무화하고 있음. PPDL은 관련 의무를 규정하고 있지 않으나, 개인정보보호법규 위반 시 벌금이 부과되는 점을 감안시 터키 내에서도 관련 정부기관 요청사항 수행은 불가피할 것으로 판단됨.7) 정보보호 담당관(Data Protection Officer) 지정
ㅇ GDPR은 개인정보 처리 주체내 정보보호 담당관을 지정 후 국립 정보보호위원회 신고를 의무화하고 있음. 정보보호 담당관은 국립 정보보호위원회와의 연락을 담당하며, 회사 내 개인정보보호활동 수행의 의무가 부과됨.
ㅇ PPDL은 개인정보 처리 주체 내 정보보호 담당관 지정의무를 부과하고 있지 않음.8) 개인정보의 제3국 반출
ㅇ GDPR은 개인정보를 아래 조건 충족 시 제3국 반출 가능토록 하고 있음.- 유럽집행위원회가 지정한 개인정보보호 조치 보유 분류 국가 : 안도라, 아르헨티나, 캐나다, 페로 제도, 이스라엘, 뉴질랜드, 스위스, 우루과이, 미국 등 12개국
- 적절한 보호조치에 의한 이전: 구속력 있는 기업 규칙(binding Corporate Rules)에 근거한 이전, 유럽 집행위원회가 제시한 표준 개인정보보호조항에 근거한 이전 등
- 예외적인 EU 역외 개인정보 이전이 가능한 경우
① 정보주체가 발생할 수 있는 위험을 고지 받은 후 명시적으로 이전에 동의한 경우
② 정보주체와 정보관리자 간 계약 이행을 위해 또는 정보주체 요청에 이해 취해진 계약 전 사전조치의 이행을 위해 정보 이전을 해야하는 경우
③ 중요한 공익상 이유로 정보이전이 반드시 필요한 경우
④ 법적 권리의 확립, 행사, 수호를 위해 정보이전이 필요한 경우
⑤ 정보주체가 물리적 또는 법률적으로 동의할 수 없을시, 정보주체 또는 타인의 생명과 관련한 주요 이익을 보호하기 위해 정보이전이 필요한 경우 등
ㅇ PPDL은 개인정보 주체의 동의가 있을 시 제3국 이전이 가능토록 규정하고 있으며, 제3국 이전에 대한 동의가 없을 경우, ① 정보보호조치가 충분한 경우, ② 터키 정보보호위원회가 승인한 경우에 한해 제3국 이전 가능함.
9) 개인정보 주체의 열람권
ㅇ PPDL은 개인정보 주체가 하기의 항목에 대한 정보공유를 요청할 경우, 개인정보 관리자가 30일 이내 관련 정보를 공유토록 규정하고 있음.- 개인정보 사용 여부 및 사용관련 정보
- 개인정보 사용 목적 및 사용여부에 부합해 사용하고 있는지 여부
- 제3자 대상 개인정보 이관 여부
- 정확하지 않거나, 완벽하지 않게 처리된 개인정보의 삭제 요청
- 개인정보 삭제 여부
- 개인정보 처리과정 중 손상여부
- 비적법한 개인정보처리에 따른 피해보상 요청
ㅇ GDPR은 PPDL 내 규정하는 모든 개인정보 주체의 열람권을 보장하고 있으며, 개인정보보호 주체의 잊혀질 권리(본인의 개인정보를 삭제요청할 수 있는 권리)를 보장하고 있음.
ㅇ GDPR은 미준수 시 최대 2천만 유로 또는 해당 업체 전 세계 매출액 4%를 부과할 수 있으며, PPDL은 미준수 시 최대 100만 터키리라(약 25만 달러)의 벌금이 부과됨.
□ 시사점
ㅇ 2018년 4월 7일부 신규 발효된 터키 개인정보보호법(PPDL)은 유럽연합의 기존 개인정보보호법에 근거하고 있는 유럽연합의 신규 개인정보호법(GDPR) 대비 느슨한 개인정보보호법임.- 그러나 법규 미준수 시 최대 100만 터키리라(약 25만 달러) 벌금이 부과되는 바, 자문변호사 등과 협의 통해 사내 개인정보보호시스템 확립 필요함.
- 아울러 향후 개인정보 관리자 등록 절차, 개인정보 관리자 등록 예외사항 등 PPDL 추가시행령이 발표될 것으로 예상되는 바, 관련 동향에 주목할 필요가 있음.
ㅇ 터키 정부의 EU 가입 추진에 따라 터키 역시 향후 GDPR 수준의 개인정보보호법이 제정될 것으로 예상되는 바, GDPR 분석 및 선제 대응 필요
- 터키 내 관련 법 개정에 상당기간 소요될 것으로 예상되나, 법 개정에 따른 피해 예방을 위해 중장기 차원의 개인정보보호 전략 수립 필요함.
자료원 : Dundar Sir Law Firm 인터뷰 자료, KOTRA Global Strategy Report ‘EU의 일반개인정보보호법(GDPR) 발효와 대응과제’, KOTRA 이스탄불 무역관 자체자료 등
<저작권자 : ⓒ KOTRA & KOTRA 해외시장뉴스>
KOTRA의 저작물인 (새롭게 발효된 터키 개인정보보호법, GDPR과 관계는?)의 경우 ‘공공누리 제4 유형: 출처표시+상업적 이용금지+변경금지’ 조건에 따라 이용할 수 있습니다. 다만, 사진, 이미지의 경우 제3자에게 저작권이 있으므로 사용할 수 없습니다.
-
1
중국의 디지털 경제 시대 도래 → 사이버 보안을 위한 3대 법적기둥 체계
중국 2021-12-08
-
2
터키 건설업체, 세계 건설시장 중앙무대로 진출
튀르키예 2007-03-20
-
3
[기고] 중국 개인정보보호법의 역외 적용 가능성 및 개인정보 경외 이전 관련 컴플라이언스
중국 2022-02-15
-
4
튀르키예 건설시장 동향
튀르키예 2023-05-18
-
5
[기고] 영국의 고용법: 코로나19 백신접종 의무화 및 법률리스크 대응
영국 2022-02-18
-
6
코스타리카 무역보호주의 동향
파나마 2018-08-07
-
1
2021 터키 플라스틱 산업 정보
튀르키예 2022-01-26
-
2
2021년 터키 철강 산업 정보
튀르키예 2022-01-24
-
3
2021 터키 자동차 산업 정보
튀르키예 2022-01-21
-
4
2021년 터키 방위산업 정보
튀르키예 2022-01-20
-
5
2021년 터키 건설 산업 정보
튀르키예 2022-01-20
-
6
2021년 터키 섬유 산업 정보
튀르키예 2022-01-19