IT/미디어/과학기술 분야 법률자문

 

IT/미디어/과학기술
분야 법률자문

 
제목EU GDPR(유럽 일반 개인정보 보호법) 안내서 ③ ‘컨트롤러와’ ‘프로세서’의 의무 및 책임 2017-12-27 10:15
작성자

 

며칠 전 있었던 2018 러시아 월드컵 아시아지역 최종예선 마지막 경기에서, 대한민국 축구 국가대표팀은 천신만고 끝에 9회 연속 본선 진출이라는 쾌거를 이뤘습니다. 그러나 헹가래를 치며 진출을 기뻐한 선수들과는 달리, 이들을 바라보는 국민들의 시선은 차갑기만 한데요.

 

최종예선기간 내내 다소 실망스러운 경기력을 보여줬던 대표팀을 두고, 내년에 있을 월드컵에 대한 국민들의 기대치는 그 어느 대회보다 낮은 듯합니다. 신태용 감독이 남은 9개월 동안 최선을 다해 준비하겠다고는 하나, 고작 9개월 동안 도대체 뭐가 바뀌겠느냐는 여론이 지배적인 상황이죠. 거기다 히딩크 감독의 재부임설까지 겹치면서 대표팀은 전례 없는 혼란에 놓여있습니다.

 

 

물론 해보지도 않았는데 무턱대고 안 될 것이라 말하는 것은 어떤 일에서든 좋은 영향을 미칠 리가 없습니다. 9개월이라는 시간은 그 쓰임새에 따라 얼마든지 충분할 수 있죠. 다만 어떤 무언가를 준비하는 입장에서는 남은 기간이 얼마든 부족하다고 느낄 수밖에 없는 게 현실인데요.

 

2018525, 시행까지 약 9개월가량을 남겨둔 GDPR도 마찬가지입니다. 위반 시 최대 2천만 유로(260억 원) 혹은 전 세계 매출의 4% 중 더 큰 금액이 과징금으로 부과되는 GDPR의 시행을 앞두고, 유럽에서 사업을 진행하거나 유럽 시민을 고용한 우리 기업들에도 비상이 걸렸습니다.

 

http://www.datanet.co.kr/news/articleView.html?idxno=113467

 

GDPR에 대한 대응 문제는 비단 우리나라의 것만은 아닙니다. 지난해 말 발표된 한 보고서에서는 글로벌기업 임원 중 54%GDPR에 대비하고 있지 않다고 답했으며, 해외 한 보안회사가 올해 실시한 설문조사에 따르면 글로벌 기업 임원 중 20%GDPR이 비즈니스에 어떤 영향을 미칠지 전혀 인지하지 못하고 있는 것으로 나타났는데요.

 

개인정보 처리원칙, 동의요건, 국외이전 등 심각한 위반을 제외한 일반적 위반이라 해도 천만 유로 또는 전 세계 매출의 2% 중 더 큰 금액이 과징금으로 부과되어 심각한 경영 위기를 맞을 수 있는 만큼, 해외 사업을 하고 있거나 예정인 국내외 기업들도 남은 기간 GDPR이 규정한 보호조치와 의무규정을 준수하기 위한 대책을 마련해야 합니다.

 

 

http://blog.naver.com/it-is-law/221091659597

 

EU GDPR(유럽 일반 개인정보 보호법) 안내서 편 포스팅을 통해, GDPR이 적용되는 대상과 물적·지리적 범위, 즉 어떤 정보가 적용되는지, 어떤 사람에게 적용되는지, 어떤 개인정보 처리수단에 적용되는지, EU 권역 내외에 어떻게 적용되는지 등에 대해 알려드렸었죠.

 

요약하자면, GDPR살아있는 자연인의 개인정보에 적용되며, EU에 사업장을 운영하며 개인정보 처리를 수반하는 경우와 EU에 사업장을 가지고 있지 않더라도EU 거주 정보주체에게 재화와 서비스를 제공하거나EU 내 정보주체의 모니터링을 하는 경우에 적용되는데요.

 

다만 1) EU 법률의 범위를 벗어나는 활동, 2) EU의 일반적 해외·안보 정책과 관련하여 개별 회원국에서 수행하는 활동, 3) 자연인이 순수하게 수행하는 개인 또는 가사 활동, 4) 공공안전의 위협에 대한 보호 및 예방을 포함하여, 관할 감독기구의 범죄 예방, 수사, 탐지, 기소 및 형사처벌 집행 관련 활동 등에 관련된 개인정보 처리에는 GDPR 적용이 배제된다는 것이 핵심내용이었습니다.

 

 

이어지는 오늘 포스팅에서는 우리나라 개인정보 보호 법령상 개인정보 위탁자와 유사한 컨트롤러와개인정보 수탁자와 유사한 프로세서의 의무 및 책임에 대해 알아보도록 하겠습니다.

 

컨트롤러란 개인정보의 처리 목적과 수단을 단독 또는 제3자와 공동으로 결정하는 자연인, 법인, 공공기관, 에이전시, 기타 단체를 의미하며, ‘프로세서란 컨트롤러를 대신하여 개인정보를 처리하는 자연인, 법인, 공공기관, 에이전시, 기타 단체를 의미합니다.

 

여기서 주의할 것은 컨트롤러와 프로세서의 개념이 우리나라 개인정보 보호법령에서 정하고 있는 위탁자·수탁자 개념과 일견 유사하면서도 차이가 있다는 점인데요.

 

한 예로 위탁자는 자신의 사무 처리를 위해 통상 직접 수집한 개인정보를 수탁자에게 제공해야 하는데 반해, 컨트롤러는 개인정보 처리의 목적과 수단을 규정하기만 하면 족할 뿐 자신이 개인정보를 직접 수집하여 프로세서(수탁자)에게 제공할 필요는 없습니다.

 

 

[ 컨트롤러와 프로세서의 일반적인 의무 ]

 

1. 컨트롤러의 책임

 

컨트롤러는 개인정보 처리의 성격, 범위, 목적, 위험성 등을 고려하여, GDPR 준수 하에 개인정보 처리가 수행되는 것을 보장하고, 이를 입증할 수 있는 적절한 기술적·조직적 조치를 이행해야 합니다.

 

1) 행동강령 또는 인증제도

 

컨트롤러의 의무 준수를 담보하기 위한 방안으로, 행동강령 또는 인증제도가 이용될 수 있습니다.

 

2) 공동 컨트롤러

 

둘 이상의 컨트롤러가 공동으로 개인정보 처리 목적과 수단을 정하는 경우 공동 컨트롤러가 됩니다. 공동 컨트롤러는 당사가 간 합의를 통해 정보주체의 권리보장 등 GDPR에 따른 책임에 대해 각자의 의무를 투명하게 결정해야 합니다.

 

이러한 컨트롤러 간 합의는 공동 컨트롤러 간의 관계를 충분히 반영해야 하며, 합의의 본질적 내용은 정보주체에게 공개되어야 합니다.

 

정보주체는 합의 내용과 관계없이 GDPR에 따라 각 개별 컨트롤러에게 권리를 행사할 수 있습니다.

 

간단히 종합하자면, 컨트롤러는 개인정보에 관해 모든 1차적인 책임을 진다고 하겠습니다.

 

 

2. (EU 내에 설립되지 않은) 컨트롤러 또는 프로세서의 대리인

 

1) 대리인 서면 지정의무

 

EU 내에 설립되지 않은 컨트롤러 또는 프로세서는 EU 역내 대리인을 서면으로 지정해야 합니다.

 

2) 적용 예외

 

다음 중 하나의 경우에는 이러한 대리인 지정의 의무가 적용되지 않습니다.

 

해당 처리가 간헐적으로 발생하고, 대규모의 처리가 아니면서, 민감정보 또는 유죄판결 및 형사범죄에 관련된 개인정보의 처리를 포함하지 않으며, 개인정보 처리의 성격·상황·범위·목적을 고려했을 때 개인의 권리와 자유에 대한 위험을 초래할 가능성이 낮은 경우

 

공공기관 및 기구의 경우

 

3) 대리인의 설립

 

대리인은 정보주체가 거주하고, 재화 또는 서비스 제공과 관련하여 개인정보가 처리되거나, 정보주체의 행동이 모니터링되는 회원국 중 한 곳에 설립되어야 합니다.

 

대리인은 컨트롤러 또는 프로세서와 함께, 또는 이들을 대신하여 GDPR을 준수하기 위한 목적으로 개인정보 처리에 관련된 모든 사안을 진행합니다.

 

 

3. 프로세서

 

프로세서가 컨트롤러를 대신하여 다른 프로세서와 함께 일하는 경우, 다른 프로세서가 개인정보 보호 의무를 불이행한다면 프로세서는 다른 프로세서의 의무 불이행에 대해 컨트롤러에게 전적인 책임을 집니다.

 

1) 컨트롤러의 서면 승인

 

프로세서는 컨트롤러의 특정 또는 일반 서면 승인 없이는 다른 프로세서가 업무를 관여하게 할 수 없습니다. 다만 컨트롤러의 일반 서면 승인의 경우, 프로세서는 다른 프로세서의 추가 또는 대체에 관해 컨트롤러에게 고지하여, 컨트롤러가 이러한 추가 또는 대체에 대해 반대할 수 있는 기회를 제공해야 합니다.

 

컨트롤러는 프로세서로 하여금 개인정보 처리 시 GDPR을 준수하게 해야 하고, 정보주체의 권리를 보호하는 적절한 기술적·조직적 조치를 이행한다는 충분한 보증을 제공하는 프로세서만 이용해야 합니다.

 

2) 프로세서의 의무

 

프로세서가 수행하는 개인정보의 처리에는 계약이나, EU 또는 회원국의 법률이 적용됩니다. 이를 통해 컨트롤러는 프로세서에 대해 구속력을 갖게 되고, 개인정보 처리의 대상과 기간·성격·목적·유형 및 정보주체의 유형과 컨트롤러의 권리·의무가 정해집니다.

 

GDPR이 구체적으로 규정하고 있는 프로세서의 의무는 다음과 같습니다.

 

원칙적으로 컨트롤러의 문서화된 지시사항에 의해서만 처리해야 한다.

 

관련 개인정보를 처리하는 자에게 기밀 준수를 약속하였거나 또는 실정법상 기밀준수 의무를 지고 있음을 보장해야 한다.

 

개인정보 처리의 보안을 위해 요구되는 모든 조치를 취해야 한다.

 

다른 프로세서의 지정과 관련한 규정을 준수해야 한다.

 

컨트롤러가 정보주체의 개인정보 권리를 보장하기 위해 필요한 조치에 있어 지원활동을 이행해야 한다.

 

회원국 개인정보 보호 당국의 승인을 받기 위한 컨트롤러의 활동을 지원해야 한다.

 

컨트롤러와의 관계 종료 시, 컨트롤러의 선택에 따라 개인정보를 반환 또는 파기해야 한다. EU 또는 회원국 법률이 해당 개인정보의 보관을 요구하는 경우는 예외로 한다.

 

GDPR 준수여부를 입증하기 위해 필요한 모든 정보를 컨트롤러에게 제공해야 한다. 또한 컨트롤러 또는 컨트롤러가 위임한 다른 감사자가 수행하는 감사를 받아야 하며, 컨트롤러의 지시가 GDPR 또는 기타 회원국의 개인정보 보호규정을 위반한다고 판단되는 즉시 컨트롤러에게 통지해야 한다.

 

3) 프로세서의 의무 위반

 

프로세서가 처리의 목적 및 수단을 결정함으로써 GDPR을 위반하는 경우, 프로세서는 해당 처리와 관련하여 컨트롤러로 간주됩니다.

 

4) 프로세서가 컨트롤러를 대신하여 다른 프로세서와 함께 일하는 경우

 

다른 프로세서의 기술적·조직적 조치가 적절한 지 여부에 대한 충분한 보증을 제공해야 합니다. 만약 다른 프로세서가 개인정보 보호의 의무를 이행하지 않을 경우 프로세서는 다른 프로세서의 의무이행에 대해 컨트롤러에게 전적인 책임을 져야 합니다.

 

5) 컨트롤러 및 프로세서의 권한에 따른 처리

 

프로세서와 컨트롤러 또는 프로세서의 권한 안에서 개인정보에 접근할 수 있는 자는 EU 및 회원국 법률에서 요구하지 않는다면 컨트롤러의 지시에 따른 경우를 제외하고 해당 정보를 처리할 수 없습니다.

 

 

이어지는 GDPR 관련 포스팅에서는, GDPR에서 정한 주요 원칙에 대해 알아보도록 하겠습니다.