보안정보
전문화된 보안 관련 자료, 보안 트렌드를 엿볼 수 있는
차세대 통합보안관리 기업 이글루코퍼레이션 보안정보입니다.
국내 기업 및 조직에 대한 GDPR의 적용과 DPO의 이해
2019.07.31
8,320
1. 개요
EU 28개 회원국의 새로운 개인정보보호 법령인 유럽 일반 개인정보보호법(이하 GDPR)이 2018년 5월 25일부터 본격 시행된 지 1년이 지났다. GDPR은 기존의 지침(Directive)에서 규정(Regulation)으로 제정되면서, 교역 국가로 하여금 GDPR를 따르도록 강제되었고 개인정보 침해사고가 발생할 경우 엄청난 규모의 과징금을 부과하는 등 제재가 강화되어 시행 전부터 많은 우려와 관심을 모았다. GDPR 시행 이후 가장 큰 규모의 제재 조치는 프랑스 개인정보 보호위원회(CNIL)에서 글로벌 기업 구글(Google)을 상대로 부과한 5천만 유로의 과징금이다.
프랑스 개인정보보호위원회에서는 구글을 상대로 GDPR 제5조 ‘개인정보 처리원칙’에 대한 위반을 지적하였다. ▲데이터 처리 목적 및 저장 기간에 대한 정보를 한 곳에서 제공하지 않고 5-6회 이상 클릭하도록 한 부분, ▲일반적이고 모호한 설명으로 명확하고 포괄적인 정보를 제공하지 않은 부분, ▲개인 맞춤형 광고에 ‘유효한 동의’를 획득하지 않은 부분에서 GDPR 제6조 ‘처리의 적법성’을 어긴 것으로 지적되고 있다. 구글은 항소 의사를 밝힌 상태이지만 5천만 유로(한화로 약650억 이상)의 과징금은 결코 작지 않은 제재다. 이처럼 구글과 같은 글로벌 기업에서도 GDPR에 대응하는 것은 결코 쉬운 일이 아니기 때문에 GDPR에 적용되는 국내 기업 및 조직에서도 여전히 GDPR의 동향에 대해 촉각을 기울여야 한다.
GDPR 시행 후 1년이 지났지만 여전히 국내에서는 GDPR에 대한 분석이나 대응 사례가 많지는 않은 편이다. 지금부터 GDPR 시행에 따른 주요 변화 사항과 EU 대상으로 서비스와 재화를 제공하고 있는 기업 및 조직이 GDPR의 규정 및 절차에 적극적으로 대응하기 위해서 필수적인 존재인 DPO(Data Protection Officer)에 대해서 상세히 알아보고자 한다.
2. EU GDPR 시행에 따른 주요 변화와 DPO(Data Protection Officer)
|
|
항목 |
|
1 |
영토적 범위의 확장 |
|
2 |
강력한 제재 |
|
3 |
확대된 개인정보의 정의 |
|
4 |
규정 다수를 프로세서(수탁처리자)에게도 직접 적용함 |
|
5 |
개인정보 처리 원칙의 확립 |
|
6 |
적법 처리 기준의 상향 |
|
7 |
개인정보 국외이전 메커니즘 확립 |
|
8 |
개인정보 유출통지 제도의 도입 |
|
9 |
정보주체의 권리 확대 |
|
10 |
DPO의 의무 지정 |
|
11 |
책임성과 거버넌스 강화 |
|
12 |
One Stop Shop의 도입 |
[표 1] GDPR 시행에 따른 주요 변화
[표 1]은 GDPR 시행에 따른 주요 변화를 정리한 항목이다. GDPR의 영토적 범위가 확장되면서 EU 밖에서 EU 내에 있는 정보 주체에게 재화나 용역을 제공하거나, EU 내의 정보 주체의 활동을 모니터링 하는 기업에게도 GDPR의 적용범위가 확장되었다. 또한 강력한 과징금을 통한 제재가 적용되었으며, IP주소나 쿠키 값도 GDPR에서 정하는 개인정보의 예시로 제시되었다. 개인정보 수탁 처리자에게도 GDPR의 규제 사항이 직접 적용이 되며, 적법 처리 기준이 강화되었다. 특히 국내의 기업 및 조직은 개인정보 국외이전 항목에 주의해야 한다. 개인정보 국외이전은 적정성 평가*로 허가된 국가에 한해서 가능하거나, 또는 적절한 보호조치를 제공하는 경우 또는 그 외 예외적으로 인정하는 항목에 한해서만 가능하므로 주의 깊게 파악해야 할 항목 중 하나다.
국내의 조직 및 기업이 GDPR의 적용 대상이 될 경우 개인정보보호 책임자(DPO, Data Protection Officer) 지정 의무가 부과될 수 있다. 한 분석에 따르면 GDPR을 준수하기 위해서는 유럽에서만 2만 8000명, 전세계적으로 7만 5000명, 한국에서는 1400명의 DPO가 필요할 것으로 예상되었다. GDPR 도입 초기에는 페이스북이나 구글과 같은 글로벌 기업조차 DPO 선정에 있어서 어려움을 겪기도 하였으며 GDPR 시행 후 1년이 지난 지금도 여러 기업과 조직이 어려움을 겪고 있다. DPO는 법률적 지식이 특히 강조되어 개인정보 보호책임자와는 차별성을 보이는 직책으로 현재 우리나라에 없는 포지션이기 때문에 대응이 더욱 까다로울 것이다.
3. GDPR의 개인정보 보호책임자(DPO, Data Protection Officer)
GDPR에서는 일정한 요건에 해당하는 개인정보처리자 등에게 DPO 지정 의무(제37조)를 부과하고 있다. 지정 요건에 해당하는 경우 DPO를 지정하여야 하며, 해당하지 않는 것으로 판단하여 미지정 할 경우에는 관련 사항을 문서화(GDPR의 책임성 원칙에 따른 ‘문서화’요건) 하도록 하고 있다.
ㆍ 공공 기관이나 단체가 개인정보를 처리하는 경우 ㆍ 컨트롤러나 프로세서의 핵심활동이 정보주체에 대한 대규모의 정기적이고 체계적인 모니터링을 요구하는 경우 ㆍ 컨트롤러나 프로세서의 핵심활동이 대규모의 민감 정보 또는 범죄경력 연관 정보의 처리로 구성된 경우 |
[그림 1] 의무적으로 DPO를 지정해야 하는 경우 : 제37조 1항
물론 [그림 1]의 요건에 해당하지 않더라도 DPO를 자발적으로 지정할 수 있다. 하지만 자발적으로 DPO를 지정한 경우라도 DPO의 지정, 지위, 책무 등에 관련한 GDPR 제37-39조는 적용되므로 준수에 유의해야 한다.
전문적 자질, 개인정보보호 법령에 대한 지식, 감독 기관과의 협업 경험, 관계자와의 커뮤니케이션 능력을 고려
DPO 지위에 대한 충분한 이해가 필요. 특히, 업무의 독립성과 이해의 충돌에 관심을 가져야 함
DPO는 자신의 책무를 수행함에 있어 개인정보 처리의 성격, 범위, 맥락 및 목적 등에 따라 개인정보 처리활동과 관련된 위험을 고려해야 함
ㆍ 전문적 자질, 개인정보보호 법령에 대한 지식, 감독 기관과의 협업 경험, 관계자와의 커뮤니케이션 능력을 고려 ㆍ DPO 지위에 대한 충분한 이해가 필요. 특히, 업무의 독립성과 이해의 충돌에 관심을 가져야 함 ㆍ DPO는 자신의 책무를 수행함에 있어 개인정보 처리의 성격, 범위, 맥락 및 목적 등에 따라 개인정보 처리활동과 관련된 위험을 고려해야 함 |
[그림 2] DPO 지정시 고려사항
DPO 지정 시 고려해야 할 사항 중 업무의 독립성을 강조하고 있는 조항에서 우리나라 법제의 개인정보 보호책임자(CPO)의 개념과의 차별성을 확인할 수 있다. 즉, 내부담당자인 CPO를 그대로 DPO로 지정할 경우 독립성 부분에서 문제가 될 수도 있다.
우리나라의 경우 정보통신서비스 제공자 등의 개인정보 처리를 규율하는 정보통신망법(정보통신망 이용촉진 및 정보보호 등에 관한 법률), 개인정보 보호처리자에게 일반적으로 적용되는 개인정보보호법에 의거하여 개인정보 보호책임자를 지정하도록 하고 있으며, GDPR의 DPO와는 다음과 같은 차이점을 보인다.
|
|
DPO |
개인정보 보호책임자 |
|
지정요건 |
1)공공기관에 해당하거나,
2)기업/단체의 핵심활동이 정보주체의 활동을 대규모로 모니터링 하거나,
3)기업/단체의 핵심 활동이 민감정보나 범죄정보의 대규모 처리에 관여된 경우
|
상시 종업원 5인 이상의 정보통신서비스 제공자 등(정보통신망법) 또는 개인정보처리자(개인정보보호법) |
|
책무 |
개인정보 보호를 위해 GDPR이 정하고 있는 구체적 활동 |
법령 위반사항 확인 시, 개선조치 및 경영진 보고(정보통신망법) 또는 개인정보 보호를 위해 법에서 정하고 있는 구체적 활동(개인정보보호법) |
|
자격 |
전문가로서의 지식 |
대표자, 임원 또는 개인정보 보호를 위해 법에서 정하고 있는 구체적 활동(개인정보보호법) |
|
업무 독립성 |
강력한 독립성 보장 |
언급 없음 |
|
업무에서의 불이익 |
업무로 인한 불이익 받지 않음 |
언급 없음(정보통신망법) 또는 제한적 불이익 제한 규정 존재(개인정보보호법) |
|
고용형태 |
Internal or Outsourced (Flexible) |
Internal Only (Rigid) |
|
전문성 |
법과 실무에서의 전문적 지식 요구 |
전문성 요구 없음 |
[표 2] DPO와 개인정보 보호책임자의 비교 (출처 : NAVER 개인정보보호 공식 블로그)
이처럼 DPO는 반드시 내부 직원 일 필요는 없으며, 서비스 계약을 기반으로 업무를 수행하는 외부인도 DPO로 지정될 수 있다. 전문성을 갖춘 한 명의 외부 DPO가 여러 기업의 DPO를 겸할 수 있으나, 각 기업-DPO-감독기구간 상시 커뮤니케이션 체계가 전제되어야 한다. 즉 어떤 경우에도 DPO는 담당하는 모든 기업의 개인정보 처리 시스템이나 업무 현황에 자유롭게 접근이 가능해야 하며, 기업은 DPO에게 이러한 업무 환경을 보장해주어야 할 필요에 대해서 강조되고 있다.
4. 기업, 국가별 DPO 관련 사례
▶ DPO를 지정한 페이스북
글로벌 기업 페이스북(Facebook)은 2017년 6월 유럽 지역 본사가 있는 아일랜드 더블린에서 근무할 DPO를 공개 채용하였다. 페이스북은 채용 공고를 통해 DPO가 정기적인 내부 규정 준수 검사를 수행하며 유럽 및 국가별 데이터 보호법을 모니터링 해야 한다고 적시하였다. 또한 DPO는 GDPR 등 정책을 준수하고 있는지 확인하며, 이에 대한 최신의 기록을 유지하고 브리핑 할 수 있어야 한다고 설명하였다. 아울러 내부적인 데이터 보호, 개인정보 보호에 대한 교육과 감독을 실시하는 등 GDPR과 관련한 다양한 업무 추진을 요구하고 있으며 "DPO 지원자는 훌륭한 의사 소통가여야 한다"며 "최고 경영층과 소통해야 하고, 최고의 작가가 돼 규제 당국, 정책입안자 등과 효과적으로 서면 통신할 수 있어야 한다"고 강조하였다. 이를 통해 페이스북은 Vodafone에서 CPO로 일했던 Stephen Deadman을 DPO로 결정하였다. 이러한 페이스북의 채용절차는 DPO가 단순한 법 전문가여서는 안되고, 해당 법을 사업과 연계해 영향을 예측하며 내·외부 조직과 소통해 법에 적극 대응하는 역할을 기대하고 있음을 시사한다.
▶ DPO의 업무를 수행하고 있는 구글의 CPO
글로벌 기업 구글(Google)의 경우, 개인정보보호 관련 법률 자문으로 오랫동안 일해 온 Keith Enright가 2018년 5월 CPO(chief privacy officer)로 채용되어 개인정보보호 관련 정책을 수립하고 규제 당국 및 의회 대응 업무를 담당하고 있다. Keith Enright는 EU GDPR 위반 혐의로 CNIL이 Google에 부과한 벌금 제재에 대한 반박 및 법정 대결 등을 담당하는 등 일반적인 DPO의 역할보다는 개인정보보호 관련 의사결정 및 대관(代官) 대응을 하는 책임자의 역할을 수행하고 있다.
▶ 영국의 개인정보보호 감독기구
영국의 개인정보보호 감독기구인 ICO는 EU GDPR 시행과 관련하여 기업 및 여타 조직들이 DPO와 관련해 검토해야 할 사항들을 정리한 자료를 제공하고 있다.
▶ 프랑스의 개인정보보호 감독기구
프랑스의 개인정보보호 감독기구 CNIL은 데이터컨트롤러가 지정한 DPO의 역량을 인정한다는 의미로 일정 자격을 갖춘 DPO가 조직 내부와 외부에서 사용할 수 있는 로고를 제작하여 공개하고 있다.
[그림 3] 프랑스의 CNIL에서 배포하는 DPO 로고 (출처 : CNIL 공식 홈페이지)
5. 결론
DPO의 구체적인 자격조건이나 지명 절차 등이 확립되지 않아, 제도 시행 초기 기업들의 DPO 지명 과정에 어려움이 많았으며, 적지 않은 조직들이 DPO를 확보하지 못하였다. 전문성과 독립성을 지닌 DPO 확보가 쉽지 않은 상황으로 DPO 역할을 수행할 개인정보보호 전문인력 양성과 독립적인 업무 권한을 보장할 방안 등이 GDPR 시행 1년이 지난 지금에도 가장 중요한 과제로 여겨지고 있다.
여기서 특이할 만한 점은 GDPR 시행 전에는 GDPR 준수를 위해 높은 추가 비용이 발생하여 거대 IT기업들이 타격을 받을 것으로 보았지만, 분석에 따르면 오히려 구글, 페이스북의 매출 및 이용자 수에는 큰 변동이 없었으며 오히려 상승세가 지속되었다는 것이다. 광고 물량 또한 구글과 페이스북으로 더 집중되었는데, 정일영 과학기술정책연구원 신사업전략연구단(STEPI) 부연구위원은 “데이터를 보호하고 지킬 수 있는 기업은 결국 돈이 많은 구글, 페이스북이고 데이터는 계속 이들 기업에게 몰릴 수 밖에 없다”고 분석하였다. 결국 전문적인 DPO를 통한 적극적이고 높은 수준의 GDPR 규정 준수와 철저한 대비만이 EU 시장에서 살아 남는 길이라고 여겨지는 바이다.
우리나라의 개인정보 보호책임자는 법률상 업무의 독립성이 확보되지 않기 때문에 기업이나 단체의 개인정보 보호 측면에서 개선이 필요한 점을 확인하더라도 이를 독자적으로 개선하지 못하는 상황에 처할 수 있다. 이와 달리 GDPR의 DPO는 업무 독립성을 보장받으며, 전문가로서의 지식을 자격 요건으로 규정하고 있다. 또한 DPO는 법령에 의해 규정된 다양한 활동 및 실질적인 개인정보 보호활동과, 정보주체 및 정부기관의 사이에서 커뮤니케이션을 매개하는 등 개인정보의 처리와 보호에 관여된 각 주체간의 윤활제 역할을 수행한다. GDPR 적용 대상이 되는 기업 및 조직은 국내 법에서 규정하고 있는 개인정보 보호책임자와 업무적 독립성에서 크게 차이를 보이는 DPO의 역할에 대한 정확한 이해를 통해 적극적인 독립성 및 전문성 보장, GDPR 대응에 주의를 기울여야 할 것이다.
