[이슈분석]EU서 사업하려면 DPO 반드시 선임해야

유럽연합(EU)에 진출했거나 희망하는 기업은 GDPR에 따라 반드시 DPO(Data protection officer)를 지정해야 한다. DPO는 컨트롤러와 프로세서, 임직원에게 GDPR와 정보보호 법규 준수 의무를 알리고 자문한다.

행정안전부와 한국인터넷진흥원은 '우리기업을 위한 GDPR 안내서'를 내놨다. EU에 진출한 기업은 반드시 기업 책임성 의무 준수를 입증하기 위해 행동 강령과 인증제도를 이용해야 한다. 개인정보 침해 사고가 발생하면 기업은 72시간 내 감독기구에 통지해야 한다.

EU에서 사업을 하는 기업은 개인정보를 공정하고 투명한 방식으로 처리해야 한다. 구체적이고 적법한 목적에 따라 개인정보를 수집한다. GDPR에서 정보주체가 스스로 개인정보 처리에 동의해야 한다. 동의의무를 위반하면 세계 연간 매출액 4%나 2000만유로 중 높은 쪽 과징금이 부과된다.

EU에서 개인정보를 수집한 기업은 정보주체에게 처리 정보를 알려야 한다. 개인정보 처리 목적과 법적근거, 제3국으로 이전한 상세 내용과 보호 방법, 언제라도 동의를 철회할 수 있는 권리 등을 간결하고 명료하며 이해하기 쉽게 알려야 한다.

기업 내 GDPR 컨트롤러(Controller)는 개인정보 처리 성격과 범위, 목적, 위험성을 고려해 이를 입증할 수 있는 기술·조직적 조치를 이행해야 한다. 컨트롤러란 개인정보 처리 목적과 수단을 결정하는 주체를 말한다. 자연인을 비롯해 법인, 공공기관, 에이전시, 기타 단체가 컨트롤러가 될 수 있다.

컨트롤러가 의무를 준수하기 위해 행동강령이나 인증제도를 이용할 수 있다. 컨트롤러는 최신 기술, 실행 비용, 개인정보 처리 성격과 범위, 상황, 목적, 개인정보 처리로 개인 권리와 자유에 발생하는 변경 가능성, 위험성을 고려해 적절한 기술·조직적 조치를 해야 한다. 기업이 새로운 기술을 사용할 때 개인 권리와 자유에 위험을 초래할 경우 개인정보 처리 영향평가를 수행해야 한다.

GDPR가 정의한 개인정보는 식별됐거나 식별가능한 자연인(정보주체)과 관련된 모든 정보를 의미한다. 이름, 전화번호 등과 같이 일반 개인정보 외에 온라인 식별자나 위치정보도 GDPR가 정의하는 개인정보에 해당한다.

프로세서란 컨트롤러를 대신해 개인정보를 처리하는 자연인, 법인, 공공기관, 에이전시 등을 의미한다. 컨트롤러 지시에 따라 개인정보를 처리한다. 컨트롤러는 구속력 있는 서면 계약에 의해 프로세서를 지정해야 한다.

GDPR에서 컨트롤러와 프로세서 개념은 국내 개인정보보호법에서 정한 위탁자와 수탁자 개념과 유사하지만 차이가 있다. 국내 법상 위탁자는 직접 수집한 개인정보를 수탁자에게 제공한다. 이와 달리 컨트롤러는 개인정보 처리 목적과 수단을 규정한다. 개인정보를 직접 수집해 프로세서에게 제공할 필요는 없다.

가명화(pseudonymisation)는 개인정보를 수정 가공해 추가 정보를 사용하지 않고는 더 이상 원래 개인정보를 알아 볼 수 없는 상태로 만드는 경우다. 익명화돼 더 이상 식별될 수 없는 정보는 GDPR에 적용되지 않는다.

GDPR는 인종, 민족, 정치견해, 종교, 철학적 신념, 노동조합 가입여부, 유전자와 생체정보, 건강, 성적취향 등 민감정보를 '특별한 유형의 개인정보'로 규정한다. 민감 개인정보는 정보주체의 명시적 동의 획득 경우를 제외하고 원칙적으로 처리가 금지된다.

GDPR 제재 규정 (자료:우리기업을 위한 GDPR 안내서)
GDPR 제재 규정 (자료:우리기업을 위한 GDPR 안내서)

김인순 보안 전문기자 insoon@etnews.com