- 2015년 5월 25일 EU 개인정보보호규정(GDPR) 발효 -

 - 개인정보의 수집, 처리, 관리 등 전 과정에 이해 필요, 일정 규모 이상의 기업은 자체 분석 통한 대응 필요 -

□ 개요

    

  ㅇ 2018년 5월 25일부터 EU 개인정보보호규정(GDPR) 발효

    - GDPR은 개인 정보 보호권을 보호하고, EU 역내에서의 개인정보의 자유로운 보장을 목적으로 하고 있음.

    - 1995년 발효된 개인정보보호지침(Directive 95/46/EC)를 대체하며, EU 모든 회원국에 직접적인 법적 구속력을 가짐.

    - GDPR은 지침(Directive)가 아닌 규정(Regulation) 형식으로 규율돼 법적 구속력을 가지며 모든 회원국들에 직접적으로 적용됨.

□ 주요 내용

 

  ㅇ 개인정보

    - GDPR에서는 개인정보를 자연인을 직접 또는 간접적으로 식별할 수 있는 모든 형식의 정보를 의미하고 있으며, 민감정보를 처리하는 데 훨씬 강력한 통제를 하도록 돼 있음.

    - 개인정보는 이름, 주소, 이메일 주소, 사진, IP 주소, 위치 데이터, 온라인 쿠키(Cookies), 프로파일링 및 분석데이터를 의미함.

    - 민감 정보는 인종, 종교, 정치 의견, 조합 가입, 성적 취향, 건강, 생체 인식, 유전자 데이터를 의미함.

 

  ㅇ 적용 범위

    - GDPR은 '살아있는 자연인'의 개인정보에 적용되며, 개인정보를 처리하는 '자동화된 시스템'과 관련 있는 파일링 시스템의 일부를 구성하는 개인정보의 비자동화 수단(예: 수기)에 의한 개인정보 처리에 적용

    - EU에 사업장을 운영하며 개인정보 처리를 수반하는 경우와 EU에 사업장을 가지고 있지 않더라도 EU 거주 정보주체에게 재화와 서비스 제공 또는 EU 내 정보주체의 모니터링을 하는 경우 적용됨.

 

  ㅇ 정보 보호는 6가지 원칙을 준수해야 함.

    - 개인정보는 적법하고, 공정하고, 투명한 방식으로 처리돼야 함.

    - 특정한 목적을 위해서만 정보를 수집해야 함. 다만, 공익을 위한 목적, 과학 또는 역사적 연구 목적 등을 위한 추가 처리는 최초 수집 목적과 부합하지 않는 것으로 봄.

    - 개인정보 처리는 적절하고, 관련된 그리고 필요에 의해서만 수집돼야 함.

    - 개인정보는 정확하고 최신의 내용을 유지해야 함.

    - 개인정보 수집 목적을 달성하기 위한 기간만 보유해야 하고 필요 기간 경과 이후에는 정보 주체를 식별할 수 있는 형태로 보관해서는 안됨.

    - 개인정보는 적절한 보안과 무결성 및 기밀성의 원칙을 지켜야 함.  

 

  ㅇ 개인정보를 다루는 기업들은 책임과 적절한 관리 장치를 마련해야 하고 GDPR에 준수해 설명 할 수 있어야 함.

    - 책임 있는 역할을 할 수 있는 통제장치 마련

    - 모든 데이터 처리 과정에 대한 세부적인 기록 보유

    - 개인정보 보호에 대한 정책과 절차에 대한 문서화

    - 위험이 높은 처리 작업에 대한 데이터 보호 영향 평가(DIPA)

    - 개인정보 보호를 위한 적절한 조치

    - 직원의 교육 및 인식 정도

    - 필요 시 데이터 보호 책임자 임명

  ㅇ 기업은 정보주체의 명확한 동의를 받아야만 유효한 동의로 인정됨.

    - 개인정보 동의는 구체적인 내용과 충분한 설명이 필요로 하며 모호한 설명은 허용하지 않음.

    - 동의 요청은 명확하고 일반적인 언어로 이해 할 수 있어야 함.

    - 침묵이나 사전 체크 박스 및 비활성화 등의 방식은 동의로 충분하지 않음.

    - 개인정보 제공자는 언제든지 동의를 철회 할 수 있음.

    - 13세 미만 아동의 온라인 서비스에 대한 동의는 부모의 승인을 받은 경우에만 유효

    - 기업은 개인정보 제공자의 동의 내용을 증명 할 수 있어야 함.

 

  ㅇ 정보 주체의 권리 보장

    - 정보를 제공받고 요청 할 수 있는 권리로 컨트롤러는 '공정하고 투명한' 처리 원칙을 보장하기 위해 개인정보 사용 내용을 간결, 명료하게 제공해야 함.

    - 정보주체는 개인정보가 부정확하거나 불완전 하다면 정정을 요구 할 권리가 있으며 컨트롤러는 정보주체의 정정권리를 보장 할 수 있도록 조치 해야 함.

    - 특정한 경우에 개인정보 삭제를 요청할 수 있는 권리를 가지며, 개인정보 처리 목적의 달성, 정보주체의 동의 철회 등의 경우 정보주체의 개인정보를 삭제해야 함.

    - 정보주체는 본인의 특정 상황을 근거로 프로파일링 등 본인과 관련한 개인정보 처리에 대해 반대할 권리를 가짐.

    - 정보주체는 개인정보를 여러 다른 서비스에 걸쳐 재사용할 수 있도록 개인정보의 이동을 요구할 수 있는 권리를 가짐.

 

  ㅇ 개인정보의 국외 이전

    - GDPR 규정 조건에 부합한 경우에만 적법하게 EU 밖으로 개인정보 이전이 가능함.

    - 현재 처리 중이거나 제3국 또는 국제기구로의 이전 후에 처리될 예정인 개인정보는 GDPR의 규정에 따라 컨트롤러와 프로세서가 GDPR에 규정된 조건을 준수하는 경우에만 이전이 가능함.

    - EU 밖으로 개인정보 이전은 제3국이 적정성 평가를 획득하거나 개인정보를 이전하려는 기업이 적절한 보호 조치를 갖춘 경우임.

    - 우리나라는 아직 적정성 평가를 획득하지 못했으므로 EU 내 정보주체의 개인정보를 제3국으로 이전하기 위해서는 기업 규칙 또는 표준 개인정보보호 조항 등 적절한 보호 조치가 필요함.

 

  ㅇ DPO(Date Protection Office) 지정

    - 기업은 자유롭게 DPO를 지정 할 수 있으나, 공공기관, 정보주체에 대한 대규모의 정기적이고 체계적인 모니터링이나 민감정보나 범죄경력 및 범죄 행위에 대한 대규모의 처리가 핵심 활동인 경우에는 DPO를 필수적으로 지정해야 함.

    - DPO의 업무는 '다른 직원들에게 GDPR 및 다른 정보보호 법규들의 준수 의무에 대해 알리고 자문', '내부 정보보호 활동 관리 등 GDPR 및 다른 정보보호 법규 이행상황 모니터링', '컨트롤러 또는 프로세서에게 정보제공, 조언 및 권고사항 제시', '개인정보 영향평가에 대한 자문 및 평가 이행감시' 등이 있음.

 

□ (인터뷰1) GDPR의 첫 단계는 비즈니스 프로세스 분석에서 시작

Mr. Ventsislav Karadjov(Chairman of Commission for personal data protection)

Q.  GDPR은 왜 도입됐는가?

A. 개인정보 보호와 관련된 법률은 1995년에 처음으로 체계를 갖추기 시작했지만 몇 가지 주요한 이유로 2012년부터 개정이 시작됐다. 1995년에는 IT 기술의 급속한 발전, 소셜 네트워크, 개인 정보의 대량 공유, 특히 개인 정보 처리로 인한 서비스와 상품의 제공, 주소와 신용카드 정보, 이름을 기재한 후 진행하는 온라인 상거래는 기대도 할 수 없는 등 개인 정보가 이토록 영향력을 가질 것이라고 예측하지 못했다. 각 주 및 지방자치단체에서도 매우 많은 양의 개인 정보를 관리하며, 개인 식별 번호뿐만 아니라, 주소지, 건강 정보, 서비스 관련 정보-장애 연금, 대중교통 특혜 카드 등을 포함하고 있다. 현 시대에는 이러한 정보들의 보호에 있어서 반드시 더 높은 기준이 제시돼야 하며, 새로 발효된 GDPR을 통해 실현하고자 한다.

 

Q. 규정 이행을 위해 기업이 투자해야 할 부문은?

A. 필요한 투자 규모를 정의하기 위해서는 사업분야가 무엇인지, 개인 정보가 얼마나 필요한지를 명확히 해야 한다. 첫번째 단계는 분석이다. 상대하는 고객의 유형과, 그들에게 제공할 재화 또는 서비스, 서비스 제공을 위해 필요한 개인 정보를 분석한 후, 최소한의 정보만 제공받도록 한다. 기업 분석 이후에는 개인 정보 수집 및 처리 방법을 평가해 불법 배포의 위험이 없도록 하고 제재를 받아야 하는데, 이를 위해 명확한 체계가 필요하다. 그런 다음 기업은 개인정보를 문서로 처리할지, 전자상으로 처리할지 등의 행정, 기술적 규칙을 결정한다. 개인 정보 이용 절차가 체계화돼 있을 때 기업은 개인 정보가 어떤 용도로 수집되고 누구에게 공개되는지, 또는 얼마 동안 보관되는 지 등 알 권리가 있는 고객의 요청에 즉시 대응해야 한다. 제 3자에게 정보를 제공해야 한다면, 정보가 암호화돼 제공되는지, 안전한 형태로 제공되는지, 인터넷을 통해 접근이 가능한지 등의 처리 방법에 대해 명확한 비즈니스 계획을 수립해야 한다. 이와 관련해 정보 보호 전문가는 내부 정보 보호 시스템을 설계하고 각 직무 구조상 필요한 개인 정보를 기록해야 하며, 이렇게 보호된 정보에는 특정 직무를 담당하는 자만 접근이 가능하다. 예를 들어 인사 담당자는 고용 계약을 체결해야 하기 때문에 신분증 번호, PIN번호, 주소 등 보다 구체적인 정보를 다루게 되고, 임금 지불을 위해 개인 정보를 NSSI에 제공하게 된다.

 

Q. GDPR 시행으로 불가리아 내에서 영향을 받은 사업자의 수는?

A. 불가리아에는 현재 개인정보보호법에 따라 45만 명의 개인 정보 관리자가 등록돼 있다. 등록을 위해 회사가 CPDP에 신청서를 제출해 개인 정보를 합법적이고 양심적으로 처리하겠다는 인증서를 발급받아야 한다. 새 규정에 따르면, 다음의 세 경우에 DPO를 임명한다. ① 직원 수가 250명 이상인 경우, ② 대용량 개인 정보를 업무를 목적으로 처리하는 경우, ③ 또는 중요한 개인 정보를 다루는 경우이다. 45만 명의 관리자를 대상으로 한 CPDP통계 조사에 따르면 최소 4만5000명의 개인 정보 보호 책임자를 임명해야 법을 준수 할 수 있다. 또한 개인 정보가 합법적으로 처리되지 않을 경우, 현행 법과는 달리 정보 보호에 관한 제재는 계속 강화되는데, 현재 제재 기준은 10만 leva이며, 새로운 규제 하에 1000만 유로 또는 2000만 유로까지 이를 수 있다.

 

Q. 새로운 규제로 가장 큰 영향을 받게 될 부문은?

A. 병원 및 제약 회사는 민감한 개인 정보를 처리하기 때문에 DPO직원을 임명해야 하는데, 특히 IT및 통신 분야의 기업들이 이러한 정보를 대량으로 생산하고 있다. 이와 별개로, 관리자들이 수집한 개인 정보를 한 개인이 다른 관리자에게 전송할 수 있도록 하는 권리도 충족시켜야 하기에 이동 통신사는 PIN, 주소 등의 정보를 기계 판독 가능한 형태로 수집해야 한다.

 

Q. 현재 불가리아 내 사업체들이 새로운 규제에 대해 잘 인지하고 있는가?

A. 새로운 요건을 충족시키기 위해 아직 이루어져야 할 부분이 많다. 특히 개인 정보를 체계적으로 처리하는 통신사에서 많은 변화가 일어나고 있다. 게다가 우편 서비스와 같은 공공 사업체들은 훨씬 더 많은 노력을 기울여야 한다. 새로운 규제는 과소 평가된 경향이 있으나 그 제재는 매우 크다. 마케팅 조사업체들의 경우 또한 업체들 간에 더 많은 소통이 필요한데, 왜냐하면 그들 대부분이 개인 정보를 구입해 이용하기 때문이다. 직접적인 마케팅 방법도 바뀔 필요가 있다.

 

Q. 프로세스가 시작됐는가?

A. 계획과 분석 단계는 시작됐으나, 직무 수행할 직원을 파악하고 전문 교육을 시행하는 부문은 가속화돼야 한다. 이를 위해 개인 정보 보호 법을 개정해 국가 훈련 센터를 설립하자고 제안했고, 국가 승인과 자금 지원을 기다리고 있다. 최소 3개월 프로그램으로 원하는 사람은 누구나 참여 할 수 있다. 또한 최대 1만 명까지 수용가능한 온라인 학습 프로그램도 계획 중이다.

 

Q. 증명서 취득이 개인 정보 관리자에게 의무인가?

A. 의무는 아니지만 규정에 따르면 개인 정보 관리자는 직접 등록부에 입력할 수 있을 정도의 실질적, 이론적 지식이 요구되며, 이는 교육 수료증이나 계약서를 통해 증명될 수 있다. CPDP는 등록시 점검할 사항과 지시 기준을 구체화할 것이다.

 

Q. GDPR의 도입에 따라 생겨난 새로운 서비스는?

A. 정보 보호 위반에 따른 제재는 조세 정책 위반시에 받는 제재보다 훨씬 강력하기 때문에, 이해관계와 새로운 지침 파악을 위해 컨설팅 회사 고용이 늘어날 것이며, 이는 많은 법률 및 IT기업들에게 사업 기회를 제공할 것이다.

 

□ (인터뷰 2) GDPR에 대한 소문과 현실

 

Boris Goncharov(Chief Cyber Security Strategist at AMATAS)

 

(소문 1) 새로운 규정은 개인 정보 보호에 대한 권고 사항일 뿐이므로 심각하게 받아들일 필요는 없다.

(현실) 이 규정은 개인 정보 보호를 위한 근본적인 변화이며 개인 정보를 다루는 모든 회사에 큰 변화를 가져올 것이다. GDPR과 이전 지침의 주요 차이점은 규정 불이행 및 위반에 대해 매우 큰 제재를 부과한다는 점이다. 지금까지 회사들은 서류를 구입해 정책과 절차를 기재하는 방식으로 진행해왔으나, GDPR 발효 후에는 기재되는 규정이 매우 구체적이고 실질적이어야 하고 이는 반드시 준수돼야 한다.

 

(소문 2) 사업 규모가 작으면, 책임 소재가 없을 것이다.

(현실) GDPR은 회사를 규모로 구분하는 것이 아니라 체계적으로 데이터를 처리하는지 여부로 구분한다. 사업 규모와 매출이 적은 중소 기업들도 여기에 속할 수 있다. 예를 들어, 어떤 소기업들은 온라인 상으로 수 천명의 개인 정보 또는 이외의 특정한 정보를 수집, 처리하기도 하는데, 그 규모에 상관없이 GDPR에 따라 운영해야 할 것이다.

 

(소문 3) 개인 ID카드나 식별 번호를 수집 또는 이용하지 않으니 본 규정과 관련이 없을 것이다.

(현실) 개인 식별이나 신원 확인이 가능한 모든 정보는 각각 개인 정보 보호 법과 GDPR의 적용을 받는다. 여기에는 이름, 주소, 전화번호, 위치, IP주소, 쿠키 등이 포함된다. 특히 유전자 정보, 건강 상태, 범죄 경력, 신앙 등과 같은 민감한 정보를 다루는 회사는 더욱 주의해야 한다.

 

(소문 4) GDPR은 개인에게 더 많은 권한을 부여하므로 개인이 언제든 관리자에게 개인 정보 삭제를 요청할 수 있고 관리자는 삭제해야 한다.

(현실) 개인은 기업에 개인 정보 이용 중단이나 삭제를 요구할 수 없다. 이러한 요청의 이행은 국가법의 요건에 따라야 하는 동시에 특정 기준에 따라야 하는데, 예를 들어 정보 이용 목적의 달성시 개인의 정보 이용 동의를 철회하기로 한 경우나 불법적으로 정보를 수집한 경우가 그 예이다. 직접적인 마케팅 수단으로서 개인 정보를 이용할 시에 중단이나 삭제를 요청하는 경우에만 정보의 주체로서의 개인이 권리를 행사할 수 있으며, 관리자는 이에 따라야 한다.

    

(소문 5) GDPR에 부합하는 조직을 구축하려면 변호사나 IT 전문가가 필요하다.

(현실) GDPR준수는 기술이나 법적 문제에만 국한된 것이 아니라 복잡한 문제이기 때문에, 정보 보안을 이해하지 못하면 규정 준수가 불가능하다. IT 전문가가 있는 대부분의 회사는 GDPR 구현에 대해 논의하는 데 필요한 역량 수준을 갖추지 못하고 있으며, 도움을 받기 위해 접근한 관련 조직을 오도할 수 있다. 따라서 정보 보안에 관련된 구체적인 전문 지식이 필요하다. 또한 변호사들도 정보 보안에 필요한 전문 지식이 부족하기에 규정의 요구 사항을 올바르게 해석하고 구현하기 위해서는 적절한 역량을 발휘해 조화를 이루는 것이 필수적이다.

 

(소문 6) 특정 '제품'을 구입하면 GDPR과 관련해 걱정할 필요가 없다.

(현실) GDPR은 제품 및 기술 구매 시 발생하는 것이 아니라 개인 정보 보호를 위한 포괄적인 접근 방식의 문제이다. 물론 규제 사항을 충족하는 데 도움이 되는 솔루션도 있지만, 일반적으로 솔루션은 조직에 따라 상이하다.

(소문 7) 모든 회사에 DPO(Data Protection Officer)가 있어야 한다.

(현실) 많은 양의 데이터와 특수 범주의 데이터를 처리하는 기업에는 DPO가 있어야 한다. 문제는 '적합한 사람'을 찾는 것이 어렵다는 것이다. 이외에, 외부 업체로부터 서비스 형태로 도움을 받는 것도 가능하다.

□ 불가리아 내 GDPR 관련 서비스 및 솔루션 제공업체

 

  ㅇ Cervice Centrix

    - Address: Sofia 1715, Mladost 4 region, 85 Al. Malinov Blvd, fl6, office 20

    - Tel: +359 2 4837690; +359 88 4121760

    - E-mail: info@servicecentrix.com

    - Web: www.servicecentrix.com

 

  ㅇ TIMECS-BG Ltd

    - Address: Sofia 1408, 19A D. Manov Str.

    - Contact person: Mrs. Albena Topalova / CEO

    - Tel: +359 700 14 050; +359 2 852 99702

    - E-mail: timex@timex.bg

    - Web: timex.bg

 

  ㅇ National Archives Corp.

    - E-mail: info@nacorp-bg.com; sales@nacorp-bg.com

    - Tel: +359 (2) 491 12 20; ++359 (2) 491 12 10

    - Web: www.nacorp-bg.com

 

  ㅇ VELINOV & Partners Law Firm

    - Contact person: Mr. Asen Velinov and Mr. Svetoslav Gerdjikov

    - Tel: +359 2 441 6200; +359 889 163 200

    - E-mail: info@advokatite.bg

    - Web: www.advokatite.bg

 

  ㅇ Data Protection Solutions Ltd

    - Web: www.dpsbg.com,

    - E-mail: office@dpsbg.com; e.lalova@dpsbg.com

    - Contact person: Mrs. Elena Lalova / CEO

    - Tel: +359 886 600 866

 

  ㅇ EVOLINK

    - E-mail: sales@evolink.com

    - Web: www.evolink.com

    - Tel: +359 2 9691 555

    - Address: Sofia, 16B Barzaritsa Str.

 

  ㅇ AMATAS

    - www.amatas.com

    - Contact person: Mr. Boris Goncharov / Chief Cyber Security Strategist

    - Tel: +359 899 911 911

    - Address: Sofia, 14 Srebarna Str.

  

□ 시사점

 

  ㅇ 불가리아는 개인정보 관리를 위한 정부 차원의 작업이 진행 중

    - 유럽 GDPR 발효에 따라 불가리아는 제도에 대한 해석 기준을 마련 할 예정이며, 태스크포스(Task Force) 팀을 구성 및 최근 개인정보 보호 위원회를 설립했음.

    - 행정부는 민간 기업에 적용되는 규제에 대한 세부적인 절차를 검토하고 있으며, 자체 행정부 직원들을 교육, 관리 및 감독이 필요함.

    - 특히 IT 분야의 종사자가 많은 불가리아 기업 특성상 개인정보 보호 수집과 처리가 많아 각별한 준비가 필요 할 것으로 보임.

 

  ㅇ 개인정보 보호 관련 규정 숙지 및 지속적인 관심

    - 개인정보 수집 범위를 최소화, 적법하고 공정한 방식으로 개인정보를 수집하고 관리해야 함.

    - 기업의 산업, 활동 분야에 따른 고객 분석이 필요하며, 이후 불필요한 정보 수집과 부정확한 관리로 인해 발생하는 리스크를 사전에 예방하기 위한 자체 분석이 필요하며, 규모가 큰 기업의 경우 전문가의 자체 컨설팅을 권장함.

    - EU 밖으로 개인정보를 이전하는 경우, 우리나라가 적정성 평가를 획득했거나 개인정보를 이전하려는 기업이 적절한 보호조치를 간춘 경우임. 우리나라는 아직 적정성 평가를 획득하지 못했으며, 방송통신위원회와 EU 간 적정성 평가 협의를 추진하고 있는 등 지속적인 관심을 통한 기업별 대처방안 마련이 필요함.

 

  ㅇ 중소기업의 경우 개인정보 수집, 처리, 보관 시 자체적인 내부 절차 마련 필요

    - 수집하는 개인정보의 종류, 수집 이유 및 사용처 명시

    - 반드시 필요한 정보가 무엇인지, 정보 이용에 대한 법적 근거가 확보됐는지 여부 확인

    - 개인정보 수집부터 파기까지 처리 과정 검토

    - 불필요한 데이터 삭제, 구체적인 법적근거 마련 등 GDPR을 준수하고 있다는 입증자료 준비

    - 개인 정보를 상업적 목적으로 이용 할 때는 사용 동의 여부를 확실히 한 후 정보를 수집해야 함. 이때 동의는 자발적이고 분명하며 특정한 목적에 대한 것이여야 할 것

    - 기업이 수집한 개인정보를 직원 또는 제3의 계약자에게 제공 및 처리시 GDPR에 부합하는지 검토, 필요시 수정 필요

    - GDPR 관련 직원 교육을 실시하고 정책 및 절차 준수를 위한 매커니즘을 설정해야 함.

 

자료원: EU 집행위 사이트, 불가리아 전문가 인터뷰 자료, 한국인터넷진흥원, KOTRA 소피아 무역관 자체자료 종합