IT/미디어/과학기술 분야 법률자문

 

IT/미디어/과학기술
분야 법률자문

 
제목EU GDPR(유럽 일반 개인정보 보호법) 안내서 ⑤ GDPR 준수를 위한 주요 유의사항 – 동의, 아동 개인정보, 민감 정보 2017-12-27 10:22
작성자

 

http://news.inews24.com/php/news_view.php?g_serial=1032894&g_menu=022300&rrf=nv

 

지난 7월 유럽연합(EU) 반독점 당국은 구글의 불공정거래 혐의에 대해 무려 242000만유로(3조원)에 달하는 과징금을 부과했습니다. 이는 유럽에서 구글에 접속한 뒤 상품검색을 할 경우 구글이 운영하는 구글 쇼핑에 등록된 제품들이 가장 첫 페이지에 노출되는 점이 문제시된 사안으로, EU측은 구글이 검색 시장에서의 지배력을 활용해 쇼핑 서비스에서 부당한 이익을 얻고 경쟁업체의 권리를 침해했다는 결론을 내렸는데요.

 

한 애널리스트는 이에 대해 미국에서는 소비자의 편익을 해치거나 혹은 가격을 통한 독점기업의 횡포가 없는 이상 불법행위로 판단하지 않는다.”라며 반면 유럽에서는 불공정거래 위반 여부에 포커스를 맞추기 때문에 구글 사례처럼 경쟁의 형평성을 훼손하는 것에 대해 민감하다.”라는 의견을 내어놓았습니다.

 

물론 이번 과징금 처분을 두고 구글이 유럽 내에서 벌어들인 거대 수익에 대한 세금을 과징금이라는 방식으로 거둬들였다는 관측도 제기되고 있지만, 중요한 것은 로마에 가면 로마법을 따라야 한다.’는 점이겠죠. 단지 유럽기업뿐만 아니라 유럽연합 역내(EEA)에 설립된 우리 기업(자회사, 분점 등)이나 국내에서 EU 시민에게 재화와 서비스를 제공하는 기업에게도 적용되는 GDPR(유럽 일반 개인정보 보호법) 역시 마찬가지입니다.

 

 

http://blog.naver.com/it-is-law/221090870777

http://blog.naver.com/it-is-law/221091659597

http://blog.naver.com/it-is-law/221092451711

http://blog.naver.com/it-is-law/221096107782

 

지난 EU GDPR(유럽 일반 개인정보 보호법) 안내서 편 포스팅에서는, GDPR 규정 위반 시 발생하는 손해배상 의무와 과징금, 처벌 등에 대해 알려드렸었죠.

 

GDPR 규정 위반으로 인해 물질적또는 비물질적피해를 입은 사람은 누구든지 컨트롤러(위탁자) 또는 프로세서(수탁자)에게 손해배상을 청구할 수 있는데요.

 

이에 따라 개인정보 처리에 관여하는 컨트롤러는 위법한 정보처리로 인해 발생한 피해에 대해 손해배상 책임을 부담하며, 프로세서 또한 자신 또는 서브 프로세서의 개인정보 처리와 관련하여 GDPR상 의무 위반 또는 컨트롤러의 지시사항 위반으로 인해 발생한 손해에 대해 손해배상 책임을 부담합니다. 이때 복수의 컨트롤러 또는 프로세서가 관여되어 있다면, 모든 당사자는 발생한 손해 전체에 대해 책임을 부담합니다.

 

 

또한 컨트롤러와 프로세서의 GDPR 위반 등에 대해, ‘심각한 위반의 경우 전 세계 연간 매출액의 4% 또는 2천만 유로 중 높은 금액이 과징금으로 부과되며, ‘일반 위반의 경우 전 세계 연간 매출액의 2% 또는 1천만 유로 중 높은 금액이 과징금으로 부과됩니다.

 

GDPR에서 정한 과징금 부과 기준은 우리나라 개인정보 보호법령상 과징금 부과 기준에 존재하지 않는 경우도 있을뿐더러 부과액수 또한 비교할 수 없을 정도로 크기 때문에, 유럽연합 역내(EEA)에 설립된 우리 기업(자회사, 분점 등)이나 국내에서 EU 시민에게 재화와 서비스를 제공하는 기업이라면 업무상 개인정보 처리에 각별히 유의할 필요가 있는데요.

 

GDPR에서 규정한 심각한 위반이란, ‘동의를 비롯한 정보처리의 기본 원칙을 위반한 경우, 3국이나 국제기구의 수령인에게로 개인정보를 이전할 때 준수해야 할 규정을 위반한 경우 등을 말하며, ‘일반 위반이란 컨트롤러·프로세서의 의무를 위반한 경우나 인증기구 의무 및 모니터링 기구의 의무를 위반한 경우 등을 말하는 바, 특히 동의등 심각한 위반 사안이 될 수 있는 GDPR의 주요원칙에는 무엇이 있는지 상세히 알아둘 필요가 있습니다.

 

 

 

1. 동의

 

동의 의무 위반 시 전 세계 연간 매출액의 4% 또는 2천만 유로 중 더 높은 금액의 과징금이 부과됩니다.

 

동의는 자유로운 의사에 의해 이루어져야 하며, 정보주체의 진술 또는 적극적 행동을 통한 모호하지 않은 의사표시여야 합니다.

 

동의 획득 시에는 구체적이고 명확한 정보가 제공되어야 하고, 간결하고 쉬운 언어를 사용해야 합니다.

 

정보주체는 언제든지 본인의 동의를 철회할 권리를 가집니다.

 

1) 동의의 정의

 

GDPR상 동의라 함은 정보주체가 진술 또는 적극적 행동을 통해 자신의 개인정보 처리에 대한 긍정의 의사를 표현하는 것을 의미합니다. 이는 기존 법에 비해, 표시가 모호하지 않아야 하고, 명확하고 적극적인 행위가 따라야 한다는 점이 추가된 것입니다.

 

2) 동의의 중요성

 

동의는 적법한 개인정보 처리 근거 중 하나입니다. 또한 명시적 동의는 민감 정보의 처리, 프로파일링을 포함한 자동화된 결정 또는 개인정보 역외 이전 관련 처리의 적법한 근거가 됩니다. 특히 동의의무 위반 시 전 세계 연간 매출액의 4% 또는 2천만 유로 중 더 높은 금액의 과징금이 부과됩니다.

 

3) 유효한 동의

 

자유롭게 부여

 

동의란 정보주체에게 본인의 개인정보 처리에 관한 실질적인 선택권과 통제권을 부여하는 것을 의미하는 바, 개인에게 실질적인 선택권이 없다면 유효한 동의로 간주되지 않습니다.

 

따라서 동의 거부에 따른 불이익이 없어야 하며, 언제든지 동의를 쉽게 철회할 수 있어야 합니다. 또한 이용약관으로부터 동의를 분리하여야 합니다.

 

정보주체와 컨트롤러 사이의 명백한 불균형이 있는 경우에는, 동의를 개인정보 처리에 유효한 법적 근거로 볼 수 없습니다. 예를 들어, 서비스 제공 등의 계약 이행이 동의 없이 이루어질 수 있음에도 동의에 근거하여 진행된다면, 해당 동의는 자유롭게 제공된 것으로 간주되지 않습니다. 다시 말해 GDPR에서는 해당 서비스에 필요하지 않는 한 동의를 서비스 제공 조건으로 묶어서는 안 된다고 명시하고 있습니다.

 

구체적이고 명확

 

동의 획득 시에는 컨트롤러의 신원, 개인정보 처리 목적, 언제든지 동의를 철회할 권리 등에 관한 구체적인 정보가 주어져야 합니다.

 

(진술 또는 적극적인 행위에 대한) 모호하지 않은 의사 표시

 

정보주체가 동의했다는 사실과 동의한 내용이 분명해야 합니다. 이를 위해서는 동의 조건을 읽었음을 확인하는 것만으로는 부족하며, 동의를 한다는 명확한 신호가 있어야 합니다. GDPR 전문 제32조는 적극적 행위에 관한 추가지침을 제시하고 있습니다.

 

전문 제32: “동의는 전자 수단이나 구두 진술을 포함한 서면 진술과 같은 명확한 적극적 행위를 통해 부여되어야 한다. 인터넷 웹사이트의 개인정보처리 동의란 체크, 정보사회서비스에 대한 기술 설정 선택, 또는 본인의 개인정보처리 수락을 의미하는 정보주체의 행동이나 기타 진술이 포함된다. 따라서 침묵, 사전 자동체크 된 개인정보처리 동의나 부작위는 동의에 해당하지 않는다.”

 

4) 동의의 언어 및 기록(입증)

 

개인정보 처리가 정보주체의 동의에 근거하는 경우, 컨트롤러는 정보주체가 처리방식에 대해 동의하였음을 입증할 수 있어야 합니다. 동의는 명확·간결하고 이해하기 쉬워야 하며 불공정한 용어를 포함해서는 안 됩니다.

 

5) 아동, 민감정보, 프로파일링을 포함한 자동화된 결정

 

16세 미만의 아동에게 정보사회서비스를 제공하는 경우 친권자의 동의를 얻어야 하며, 민감정보 및 프로파일링을 포함한 자동화된 결정 처리 시 명시적 동의를 획득해야 합니다. 다만 GDPR은 명시적 동의의 정의를 규정하고 있지는 않습니다.

 

< 개인정보보호법 4,15,16,17,18,19,22 >

 

 

 

2. 아동 개인정보

 

16세 미만의 아동에게 온라인 서비스 제공시 아동의 친권을 보유한 자의 동의를 얻어야 합니다.

 

1) 아동에 대한 특별한 보호 필요성

 

아동은 개인정보 처리에 따른 위험성과 그 결과 및 본인의 권리를 잘 인지하지 못할 수 있으므로, 아동의 개인정보와 관련하여 특별한 보호가 필요합니다. 이에 GDPR은 아동의 동의 관련 규정 이외에도 법 전반에 걸쳐 아동에 관한 보호를 강조하고 있습니다.

 

2) 아동에게 제공되는 온라인 서비스 및 친권자 동의

 

16세 미만의 아동에게 직접 정보사회서비스 제공 시, 부모 등 친권을 보유한 자의 동의를 받아야 합니다. 뿐만 아니라 각 회원국은 자국의 법률을 통해 친권자 동의를 요하는 아동의 연령 기준을 만13세 미만까지 낮추어 규정할 수 있습니다.

 

3) 아동에 대한 통지

 

GDPR 12조 및 전문 제58조는, 정보주체에게 제공하는 정보를 간결하고 투명하며 쉬운 언어로 작성해야 할 의무를, ‘특히 아동에게 제공하는 정보의 경우에 더 엄격히 준수해야 한다고 규정하고 있습니다.

 

< 개인정보보호법 22 >

 

 

 

3. 민감정보

 

1) 일반 원칙(9조제1)

 

인종·민족, 정치적 견해, 종교·철학적 신념, 노동조합 가입여부를 나타내는 개인정보의 처리와 유전자 정보, 자연인을 고유하게 식별할 수 있는 생체정보, 건강정보, 성생활·성적 취향에 관한 정보(이하 민감정보’)에 관한 정보의 처리는 금지됩니다.

 

2) 민감정보 처리가 가능한 경우(9조제2)

 

컨트롤러와 프로세서는 다음의 경우에 한해 민감정보를 처리할 수 있습니다.

 

정보주체의 명시적 동의(, 동의에 근거하는 것이 EU 또는 회원국 법률에 의해 금지되지 않은 경우)

 

고용, 사회 안보나 사회보장법 또는 단체협약에 따른 의무의 이행을 위해 필요한 경우

 

물리적 또는 법적으로 동의를 할 능력이 없는 정보주체의 중대한 이익을 보호하기 위해 필요한 경우

 

정치, 철학, 종교 목적을 지닌 비영리단체나 노동조합이 하는 처리로서, 회원이나 전 회원(또는 그 목적과 관련하여 정규적인 접촉을 유지하는 자)에 관해서만 처리하며 또한 동의 없이는 제3자에게 공개하지 않는 경우)

 

정보주체가 일반에게 공개한 것이 명백한 정보

 

법적 주장의 구성, 행사나 방어 또는 법원의 사법권 행사를 위해 필요한 경우

 

중대한 공익을 위해서 또는 EU나 회원국 법률을 근거로 하는 처리로서, 추구하는 목적에 비례하며 적절한 보호 조치가 있는 경우

 

EU나 회원국 법률 또는 의료 전문가와의 계약을 근거로, 예방 의학이나 직업 의학, 종업원의 업무능력 판정, 의료 진단, 보건·사회·복지·치료, 보건이나 사회복지 시스템의 관리 및 서비스 등의 제공을 위해 필요한 경우

 

보건에 대한 국경을 넘은 심각한 위협으로부터의 보호 또는 의료혜택 및 약품이나 의료장비의 높은 수준의 확보 등 공중보건 영역에서의 공익을 위해 필요한 경우

 

공익을 위한 저장 목적이나 과학적·역사적 연구 목적이나 통계 목적을 위해 제89조제1항에 따라 필요한 경우

 

3) 유전정보, 생체인식 정보 또는 의료정보

 

회원국은 GDPR 9조제4항에 따라 유전정보, 생체인식 정보 또는 의료정보에 관하여 추가적 조건 및 한도를 유지하거나 부과할 권한이 있습니다.

 

4) 유죄 판결 및 형사범죄 정보

 

GDPR은 민감정보 유형에 유죄 판결 및 형사범죄 정보를 포함시키고 있지 않습니다.

 

 

 

http://news.naver.com/main/read.nhn?mode=LSD&mid=sec&oid=081&aid=0002852159&sid1=001

 

여러 차례 강조해드렸듯, GDPR은 개인정보 처리원칙, 동의요건, 국외이전 등 심각한 위반사안이 발생할 경우, 최대 2천만 유로(260억 원) 혹은 전 세계 매출의 4% 중 더 큰 금액을 과징금으로 부과하도록 규정하고 있습니다.

 

또한 우리나라도 여기어때운영사 위드이노베이션에 이례적인 과징금을 부과하는 등 점점 개인정보 유출 사건에 대해 강도 높은 징계를 내리고 있는데다, 앞으로의 개인정보 보호정책에 대한 가이드라인으로 GDPR이 제시되고 있어 규제강도가 훨씬 강해질 가능성이 높아 보이는데요.

 

따라서 해외 사업을 하고 있거나 예정인 국내외 기업들은 물론 개인정보를 다루는 모든 기업들은 GDPR규정을 미리 숙지함으로써 손해배상 의무, 과징금, 처벌을 피해야 할 것입니다.