- GDPR은 폴란드에서 직접적인 법적 구속력을 가지게 될 예정 -

- 기업의 개인정보 보호 실태 불시조사도 예상되므로 투자 기업들의 주의가 요망 -

 

 

□ 철저한 개인정보 관리를 요구하는 EU 개인정보 보호법

 

  ㅇ EU 회원국 간 개인정보 보호 권리를 강화하기 위해 제정된 EU 일반 개인정보 보호법(General Data Protection Regulation, 이하 GDPR)이 2018년 5월 25일부로 EU 회원국에서 전면적으로 시행될 예정

 

  ㅇ GDPR은 전 세계 개인정보 보호법 중에서 가장 포괄적이고, 제재 강도도 매우 높은 것으로 꼽힘. 특히 기존의 EU 개인정보 보호지침 (Directive 95/46/EC)과는 달리 GDPR은 모든 EU 회원국에서 직접적인 법적 구속력을 갖고, 더 나아가 이를 위반한 기업에 강도 높은 제재를 가한다는 점에서 시행 여파가 클 것으로 예상

 

  ㅇ GDPR의 주요 내용은 다음과 같음.

    - (적용 대상) GDPR은 개인정보 범위를 구체적으로 정의하고 있으며, 이는 식별됐거나 또는 식별 가능한 자연인인 정보주체와 관련된 모든 정보를 의미함. 이름, 전화번호 등과 같은 일반적인 개인정보 외에도 IP 주소 등 온라인 식별자, 유전정보, 위치정보 등이 모두 포함됨.

    - (적용 범위) GDPR에서는 EU 국가 내에서 회사를 운영하며 EU 국민의 개인정보를 취급하는 기업뿐만 아니라, EU 내 현지 사업장을 운영하지 않더라도 EU 국민에게 재화 또는 서비스를  제공하거나, EU 내에서 정보주체의 활동을 모니터링하는 경우에도 적용 대상으로 포함됨. 예를 들어, 국내기업이 운영하는 웹사이트라고 하더라도 그 내용 및 구성방식 등에 비추어, EU 내 정보 주체들에게 재화나 용역 공급을 예정하고 있다면 GDPR 적용이 가능함.

    - (개인정보 처리의 근거) GDPR에서는 유효한 개인정보 처리의 근거로 동의 요건을 강화함. 개인정보가 어떻게 이용되고 처리될 것인지에 대한 약관이 사용자가 이해하기 쉽게 명시돼야 하며, 동의 전에 동의를 철회할 수 있는 권리가 있다는 사실을 알려야 함. 특히 개인정보 처리자는 동의를 받았다는 입증자료를 반드시 보관해야 함. 정보주체의 동의 외에도 정보주체를 당사자로 하는 계약의 이행, 법적 의무의 준수 등 여러 상황들이 개인정보 처리의 근거가 될 수 있음.

    - (정보주체의 권리보장) GDPR에서는 현행 EU 개인정보 보호지침보다 한층 더 다양화된 정보주체의 권리들에 대해 규정하고 있음. 열람 및 정정을 요구할 수 있는 권리에서 더 나아가 삭제권리(Right to be forgotten), 처리 제한을 요구할 수 있는 권리(Right to restriction of processing), 정보의 이동을 요구할 수 있는 권리(Right to data portability) 등이 정보주체의 권리로서 보장돼 있음.  

    - (기업의 책임성 강화) 기업은 개인정보 처리가 GDPR에 따라 실행되고 있음을 보장하고 증명하기 위해 적절한 기술적, 관리적 조치들을 이행해야 함. 특히 리스크가 있는 정보 처리 활동 전에 반드시 영향평가를 실시해야 하며, 개인정보 침해가 발생하면 72시간 이내에 관련 감독기구 및 정보주체에도 지체없이 통지해야 함.

    - (국외 이전) EU 시민의 개인정보를 EU 밖으로 이전하는 것은 EU 집행위원회로부터 적정성 결정을 받은 국가로의 이전, 구속력 기업규칙(BCR), 표준계약조항, 행동 규약 등을 충족하는 경우에만 가능함. 이를 위반할 경우 과징금 대상이 됨.

    - (과징금) 개인정보 처리원칙, 동의 요건, 국외이전 등 심각한 위반 시 최대 2000만 유로 또는 전 세계 연간 매출액의 4% 중 높은 금액으로 산정되며, 그외 일반적 위반의 경우 전 세계 연간 매출액의  2% 또는 2000만 유로 중 높은 금액이 과징금으로 부과될 수 있음.

□ 폴란드 정부, 국내 개인정보 보호법 개정 초안 발표

 

  ㅇ 현재까지 폴란드에서의 개인정보 보호는 1997년 제정된 '개인정보보호법'과 기타 시행령 등 국내 규정에 따라 실시되고 있으며, 기존의 EU 개인정보 보호지침(Directive 95/46/EC)은 국내법보다 상위법이긴 하지만 간접적으로만 적용돼 왔음.

  ㅇ 내년 5월 25일부터 시행될 예정인 GDPR은 국내 개인정보 보호법의 상위법으로서 직접적인 법적 구속력을 가지게 됨.

    - 기존의 폴란드 개인정보 보호 규정 내용은 내년 5월 GDPR 도입과 함께 폐지되며, 대신 폴란드 국내 개인정보 보호법은 개인정보 감사기관(개인정보 보호청)의 구성, 기능, 감사절차 등에 대한 규정만 포함하게 됨.

    - 올 9월 중순 폴란드 디지털행정부는 개인정보 보호법의 개정판 초안을 제정해 발표했으며, 현재 초안 내용과 관련해 폴란드 사회단체와와 협의 중임.  

    - 사회단체와의 협의가 마무리 되면 폴란드 의회를 통과, 대통령의 서명을 마지막으로 내년 4월경 발효될 예정임.

EU 개인정보 보호 규정의 폴란드 국내 적용 현황

 

  ㅇ 개인정보 보호법 주요 개정 내용을 보면, 현행법상 개인정보 보호 최고기관인 개인정보 보호 감독관(Generalny Inspektor Ochrony Danych Osobowych)이 개인정보 보호청(Urząd Ochrony danych osobowych)으로 변경되며, 개인보호청의 사장은 폴란드 상원의 동의 아래 의회가 임명할 예정

    - 개인정보 보호청은 동 기관의 자문기관 격인 개인정보 보호위원회와 함께 공동으로 운영될 계획임.

  ㅇ 현행법상 개인정보가 침해되거나 기업이 개인정보 법규정을 위반할 경우, 불법행위로 간주되기는 했어도 실제적으로 과징금이 기업에 부여되는 경우는 극소수에 불과했음. 그러나 GDPR의 높은 과징금 규정이 내년 5월 25일부터는 폴란드에서도 동일하게 적용될 예정이므로 기업들의 각별한 주의가 요구됨.

    - 개인정보 보호 위반 관련 과징금은 전액 폴란드 폴란드 정부 예산으로 사용될 예정임. 특히 폴란드는 두 자녀 이상 가정 양육비 지원, 연금 수령 연령 하향조정 등 국가지출에 계속적인 출혈이 예상됨. 이에 따라 폴란드 정부는 국가 수입원을 증가시키기 위해 다방면으로 많은 노력을 기울이고 있음. 이러한 상황 속에서 과징금이 매우 높은 개인정보 보호감찰에 폴란드 정부가 더욱 더 심혈을 기울일 것으로 예상됨.

    - 개인정보 보호 위반자가 일반 사기업이 아닌 폴란드 국내 공공기관일 경우 최대 10만 즈워티(약 3100만 원)의 낮은 과징금이 부과될 예정임.

    - 개인정보 누출 시 GDPR 법상의 과징금과는 별개로 폴란드 국내법상 개인정보 유출 피해자에게 피해보상을 지급해야 된다는 사실을 숙지해야 함. 

 

□ 전문가 인터뷰

 

  ㅇ 바르딘스키 엔 파트너스(Wardyński & Partners) 로펌, 개인정보 보호법 변호사

    - GDPR이 실행되면 기업은 적법성, 공정성, 투명성의 원칙에 따라 개인정보를 처리해야 함. 기업들은 GDPR 규정에 따라 개인정보에 대한 위치 파악과 검색, 데이터 최소화, 데이터 모니터링 등의 역량을 갖출 수 있도록 개인정보 보호 전문기업의 GDPR 진단 컨설팅을 통해 체계적인 개인정보 관리를 위한 프로세스를 확립해야 함.

    - 내년 초 신설될 폴란드 개인정보 보호청 소속의 공무원들이 불시에 기업을 방문해, 기업 내 고객 및 회사 직원들의 개인정보 보호 모니터링 시스템을 제대로 실행하고 있는지의 조사가 이루어질 수 있음을 유의해야 함.

    - 회사 직원들의 개인정보 보호는 개인정보 보호법뿐만 아니라 폴란드 노동법에서도 규율하는 중요한 사항이므로, 직원들의 개인정보 보호 정책을 마련해 유·노출 사고가 발생하지 않도록 사전 예방을 철저히 하는 것이 중요함.

    - 폴란드에 투자진출한 기업들은 현행 개인정보 보호법 내용과 GDPR 개인정보 보호 규정 내용을 비교, 분석하고 특히 내년부터 적용되는 새로운 규정들은 사전에 반드시 숙지해야 함.

 

사례 분석   Q. 폴란드 투자진출한 한국 기업인 B사는 폴란드에서 현지 생산법인을 운영을 막 시작함. 현행 폴란드 개인정보 보호법에 의하면 회사에 고용된 직원의 개인정보 데이터 및 거래처 정보 처리에는 반드시 개인정보 처리정책 및 정보 시스템 관리 지침을 작성해 문서화해야 하는 것으로 알고 있음. 그러나 새로운 GDPR 규정에 의하면 이러한 관리지침 문서화는 더 이상 의무사항이 아님. 그럼에도 불구하고 B사는 개인정보 처리정책 및 정보시스템 관리지침을 작성해야 하는가?      A. 개인정보 처리정책 및 정보시스템 관리지침의 문서화 의무는 폴란드 국내 개인정보 보호법에서 규정하고 있는 사항이므로 GDPR이 시행되는 내년 5월 25일부터는 더 이상 유효하지 않다고 볼 수 있음. 그러나 GDPR은 개인정보처리에 앞서 개인정보 처리자로 하여금 그러한 정보처리에 대한 위험성을 반드시 자체적으로 평가('개인정보 영향평가')하고 평가결과를 문서화해야 되는 의무를 새롭게 부여함. 그러므로 개인정보 영향 평가 등을 체계적으로 관리해 관할 기관의 불시조사 시 불이익을 받는 상황이 발생하지 않도록 하는 것이 중요함.

 

  ㅇ PwC 폴란드 법인, 사이버 보안팀 관계자

    - 체계적인 개인정보 관리를 위한 정책과 프로세스를 확립하고 적절한 시스템을 도입하려면, 기업마다 적지않은 비용이 추가적으로 발생할 수 있음. 그러나 이러한 비용 발생을 감수하더라도 기업리스크를 최소화하기 위해 과감히 투자하는 것이 현명하다고 생각함.

    - 개인정보 처리와 밀접하게 연관된 기업의 법무팀, 인사팀, 마케팅 담당 직원들뿐만이 아니라 모든 직원을 대상으로 개인정보 보호 관련 사내교육을 주기적으로 실시하는 것도 바람직함.

 

□ 시사점

 

  ㅇ 기존 어느 개인정보 보호법보다도 엄격하고 정보주체의 권리와 기업의 책임성이 한층 강화된 EU GDPR은 위반 시 부과되는 막중한 과징금뿐만 아니라, 기업의 브랜드 이미지와 평판에도 심각한 영향을 미칠 수 있어 기업들의 각별한 주의가 요구됨. 기업의 이미지는 한번 훼손되면 금전적으로 환산하기 어려운 피해를 초래하며, 다시 회복하기도 힘듦. 이에 따라, 사전에 체계적인 개인정보 관리를  위한 프로세스를 확립하고 빈틈없이 대비하는 것이 자세가 요구됨.

 

  ㅇ 폴란드 디지털행정부와 개인정보 보호청은 개인정보 보호법 전문가들의 감수를 받아 GDPR 세부 지침서를 조만간 발간할 예정임. 이 지침서는 법적 구속력은 직접적으로 없으나 기업들에 GDPR 실무 가이드 라인을 제공할 목적이므로, 폴란드 투자진출 우리 기업들이 폴란드 정부의 GDPR 지침서 발간 정보를 주기적으로 모니터링할 것을 권장함.

  

 

자료원: EU 집행위, 폴란드 개인정보 보호법, 보도자료, 바르딘스키 로펌, PwC 폴란드, KOTRA 바르샤바 무역관 자료 종합