검색 본문 바로가기 회사정보 바로가기
> 산업 >

유럽GDPR 시행 눈앞…기업들 "개인정보 수집동의 어떻게 일일이?"

글로벌 로펌 DLA파이퍼 '유럽 개인정보보호법' 세미나 개최

(서울=뉴스1) 차오름 기자 | 2018-03-20 20:40 송고
글로벌 로펌 'DLA파이퍼'는 SK인포섹 고객사를 대상으로 'GDPR에 대한 글로벌 동향 및 사례 세미나'를 20일 개최했다.(SK인포섹 제공)© News1
글로벌 로펌 'DLA파이퍼'는 SK인포섹 고객사를 대상으로 'GDPR에 대한 글로벌 동향 및 사례 세미나'를 20일 개최했다.(SK인포섹 제공)© News1

개정 유럽 개인정보보호법(GDPR)이 오는 5월25일부터 시행될 예정인 가운데 적용 대상 기업들이 대응책 마련에 고심하고 있다. 이에 글로벌 로펌 'DLA파이퍼'는 SK인포섹 고객사를 대상으로 'GDPR에 대한 글로벌 동향 및 사례 세미나'를 20일 개최했다.

GDPR은 기존 개인정보보호법보다 적용 대상지역, 벌칙규정, 개인정보에 대한 정의 등 규정이 엄격해진 것이 특징이다. 유럽에 회사를 두거나 유럽 거주자의 개인정보를 다루는 기업, 유럽 내에서 이용자 행동을 관찰하는 기업까지 GDPR 적용 대상에 포함된다.

GDPR 위반 벌칙규정에 따르면 기업은 위반 정도에 따라 전년도 전세계 연매출의 4% 또는 2000만유로 중 더 높은 금액의 과징금을 부과받을 수 있다. 또 정보유출 사태가 발생했을 때 유럽연합 개인정보보호당국(DPAs)에 72시간 내에 보고하지 않으면 전년도 세계 매출의 2%와 1000만유로 중 높은 금액을 부과받을 수 있다.

이날 세미나에서는 개인정보 수집 동의를 받는 방식에 대한 논의가 주로 오갔다.

발표를 맡은 패트릭 반 에이커 DLA파이퍼 브뤼셀사무소 GDPR 총괄 변호사는 "정보를 수집할 때 모든 개인에게서 항상 동의를 받아야 하느냐는 질문을 가장 많이 받는다"며 "꼭 그렇지는 않다"고 밝혔다.

그러면서 "계약수행에 꼭 필요한 정보일 경우, 정보주체나 다른 사람의 핵심적인 이익을 보호하기 위한 경우, 공익 목적이거나 공무를 수행할 경우 등 규정된 상황에서는 반드시 동의를 받지 않아도 된다"며 "GDPR은 정보주체가 자유로운 상태에서 내용을 충분히 인지하고 구체적이고 명확하게 의도를 표현한 것을 동의라고 정의한다"고 설명했다.

이어 "동의를 반드시 '동의서' 형식으로 받아야 하는 것은 아니다"며 "웹사이트 체크박스를 통해서도 동의를 구할 수 있다"고 덧붙였다. 하지만 GDPR에 '투명성 의무'가 추가되면서 기업은 개인정보 수집 목적과 수집기간 등에 대해 '정보주체가 이해하기 쉽도록' 기재해야 한다. 일부러 설명을 어렵게 적어 동의를 단순히 형식적인 절차로 만들어서는 안된다는 의미다.

패트릭 에이커 변호사는 또 "이번 GDPR에 새로 들어간 내용 중 16세 미만의 청소년에게서 정보를 수집할 때 보호자 동의를 받아야 한다는 조항이 있다"며 "국가에 따라 연령은 14세까지 낮출 수 있다"고 전했다.

참석 기업들은 기업과 직원, 기업과 기업 사이 개인정보가 오가는 상황에 어떻게 대비해야 하는지 에이커 변호사에게 조언을 구하기도 했다.

예를 들어 회사가 직원들에게서 정보를 수집할 때 그 자체가 근로계약 이행을 위해 꼭 필요한 정보이므로 별도의 동의절차가 필요없다는 입장이 있는 반면 회사와 근로자는 불평등한 관계이기 때문에 근로자의 동의가 공정한 절차에 따른 것이 아니라는 주장도 있다. 이에 대해 한 대기업 정보보호 담당자는 "근로자의 동의를 얻기 위해 어떤 방식이 적합하느냐"고 질문했다.

에이커 변호사는 "월급을 주기 위해 이름과 계좌 등 꼭 필요한 정보를 받는 것은 정당하다"며 "하지만 회사에서 파티를 열어 직원 사진을 찍은 후 웹사이트에 올린다며 동의를 구한다면 이는 비자발적인 동의가 될 수 있다"고 답했다. 계약 이행에 꼭 필요한 정보와 그렇지 않은 것을 구분해야 한다는 말이다.

이밖에 한국기업의 외국지사 정보를 국내로 가져오는 등 기업 간 정보 이동은 GDPR이 정한 절차를 거쳐야 한다. 에이커 변호사는 "기업이 구성원과 내부정보 유출을 방지하기 위해 데이터를 모니터링하고 저장하는 것은 정당한 사유에 해당된다"면서도 "하지만 유럽 밖으로 정보를 가지고 나가는 것은 별도의 검토가 필요하다"고 말했다.

그러면서 "회사간 정보를 이전할 때는 정보주체의 동의를 일일이 구하거나 정보를 반출해간 국가에서도 GDPR을 이행하겠다는 내용의 '정보이전계약'을 작성해야 한다"고 설명했다.

세미나에는 대기업과 계열사, 게임사 등 약 15곳의 보안 관계자들이 참석했다. 한 게임사 관계자는 "직접적인 GDPR 대상에 해당돼서 세미나에 참석했다"며 "기존의 국제표준인증 ISO27001, ISO 29100, BS10012 등이 GDPR 요건과 60%가량 겹치는 부분이 있어 이를 바탕으로 개인정보수집 방침을 개정해나갈 계획이다"고 밝혔다.

이 관계자는 "GDPR이 눈앞에 닥쳤지만 다른 기업들도 마찬가지로 학습단계인 상황"이라며 "우선순위를 부여해 단기에 가능한 과제와 당장 대외적으로 보이는 사항부터 먼저 조치할 것"이라고 했다.


rising@

이런 일&저런 일

    더보기