#1 프랑스에서 한국여행상품을 운영하는 A여행사는 프랑스인 고객 개인정보를 모아서 한국에 있는 숙박업소와 음식점에 보내 예약을 하려한다. 별다른 조치 없이 이메일, 팩스 등으로 여행 신청 시 받은 고객정보를 바로 한국으로 이전할 수 있을까.
#2 유럽 청소년 대상 게임을 출시한 B게임업체는 회원 가입 시 서비스이용 약관에 한국으로의 역외이전에 대한 동의문구를 포함했다. 이용자가 스크롤바를 연속적으로 내려 고지사항을 읽은 경우 동의한 것으로 간주된다는 내용을 알리는 방법으로 동의를 받았다. 개인정보를 한국으로 이전해도 GDPR상 적법할까.
#3 유럽에서 신규사업을 론칭한 C회사는 유럽지사 직원 월급과 인사배치를 효율적으로 관리하기 위해 본사직원과 함께 한국 내 시스템에서 통합관리하려고 한다. 이 경우 고용 계약 시 작성한 유럽직원 개인정보를 한국으로 전송해 통합관리해도 문제가 없을까.
#4 인터넷기업 D는 유럽지사직원 급여관리를 위해 한국 IT업체와 아웃소싱 계약을 체결했다. 이때 국외 클라우드 서비스이용을 위해 직원정보를 한국 업체로 전송하기 위해 어떤 방법으로 하는 것이 좋을까.
위 사례 중 과징금 처벌을 받지 않고 개인정보를 한국으로 가져올 수 있는 것은 무엇일까.
EU GDPR(개인정보보호법)에 따르면 사례 A만 적법한 경우이고 나머지 사례 B, C는 위법이다. 네 번째 사례 역시 별도조치 없이 전송했다면 위법이 되므로 표준계약 등 조치가 필요하다.
국내법과 GDPR상 가장 큰 차이가 있는 역외이전 규정에 대해 EU의 구체적 기준을 미리 엿볼 수 있는 가이드라인안(案)이 나왔다.
행정안전부가 제공하는 '역외이전 가이드라인(Guideline on Article 49 of Regulation 2016/679)'은 EU에서 현재 검토 중인 초안이다. 국내 개인정보보호법과 달라 관심이 큰 역외이전의 원칙과 예외에 대해 구체적 사례를 소개한다. 우리 기업이 쉽게 이해하도록 원문과 번역문, 핵심요약을 소개한다.
가이드라인안에서 가장 눈여겨봐야 할 것은 국내법과 EU GDPR는 정보주체 동의에 대한 적용 요건이 다른 점이다. 국내법에서는 동의가 가장 기본적 역외이전 방안이지만 GDPR에서는 매우 예외적으로만 인정된다.
원칙적으로 해당 국가 적정성 결정이나 개별기업의 적절한 안전조치가 있어야 EU 시민정보를 한국으로 가져올 수 있다. 정보주체의 명시적 동의나 계약이행 등은 엄격하게 제한적으로만 가능하다.
동의 방식도 사전에 공지된 사항에 대해 명백하고 적극적 의사표시를 하도록 한다. 국내법상 동의방식보다 엄격하게 규정한다. 자필서명이 포함된 종이문서나 스캔문서, 전자서명이 포함된 이메일, 정보주체가 송신자임을 확인할 수 있는 이메일 등이다. 인터넷 홈페이지 클릭으로 동의를 받을 때에는 정보주체가 사전고지 사항을 확인(access)했음을 기업이 입증해야 한다.
국내법에서 폭넓게 인정되는 정보주체와 계약이행을 위한 목적의 역외이전에서도 차이가 난다. GDPR에서는 이러한 역외이전은 꼭 필요한 사안에 대해 때때로(occasionally) 허용한다.
EU 집행위원회는 해당 기업이 GDPR를 준수하고 있음을 인증하는 인증기관 지정 가이드라인(초안)도 검토 중이다. 앞으로 EU 회원국별로 인증기관이 인가되면 기업은 적절한 안전조치를 취했음을 인증 받아 역외이전을 하는 방법도 가능하다.
통상 가이드라인 초안이 의견수렴을 거쳐 최종결정이 나오기까지는 4~6개월이 소요된다. 올해 하반기 중 확정 발표된다. 한국인터넷진흥원 GDPR 자료실에서 내려 받을 수 있다.
김부겸 행정안전부 장관은 “이번 가이드라인안에 대한 안내 콘텐츠를 통해 우리 기업이 어려워하는 EU GDPR의 역외이전 규정을 보다 쉽게 이해하고 한발 앞서 대비하는데 도움이 되길 기대한다”고 말했다.
김인순 보안 전문기자 insoon@etnews.com