brunch

연재 중 Global HR 담당자 이야기 02화
라이킷 17 댓글 공유

You can make anything
by writing

C.S.Lewis

프로젝트 리스트 바로가기
계정을 잊어버리셨나요?
by 인사를 합니다 Nov 03. 2024

Global Compliance - 유럽 GDPR

EU 일반 개인정보보호법


기업이 국경을 넘어 사업을 운영하고 확장하려면 여러 국가 또는 지역에서 적용되는 Global Compliance(기업경영이 법률, 규정, 윤리 관행을 준수하는 통제 장치)를 준수해야 하는 부분이 중요해진다.


유럽의 경우 2019년 5월 25일부터 시행된 모든 EU국가에 적용되는 개인정보보호법 GDPR(General Data Protecting Regulation)을 준수해야 한다.


# GDPR에서 정의하는 개인정보는?


개인정보란 식별되었거나 식별할 수 있는 모든 정보, 음성, 숫자, 그림, 사진 형태 등을 포함하고 파편 되어 있어도 추가 정보를 참조하여 정보 주체를 식별할 수 있으면 개인정보로 분류한다


# GDPR 대상 범위는?


GDPR는 앞서 다룬 미국 FCPA처럼 적용대상 범위가 넓다.

1) EU 지역 내 설립된 기관과 사업장을 운영하는 기업

2) EU 역내 사업장은 없지만, 인터넷 등을 통해 EU에 거주하는 대상에게 물품, 서비스를 제공하는 기업

(현지어로 마케팅 활동을 하거나 현지 통화로 결제하는 경우 포함)

3) EU 역내 거주자의 행동을 모니터링하는 기업 (CCTV, 정보트레킹 등)


참고로 HR정보 등 특정 분야에 대해서는 각 EU국가의 개별 개인정보보호법에 따라 상세 규정 되어 있어서 GDPR과 함께 사업을 수행하는 각 EU국가별 개인정보보호법도 고려가 필요하다.


# GDPR 적용 범위는?


Controller(개인정보의 처리 목적과 수단을 결정하는 회사/기관) 뿐만 아니라 Processor(Controller를 대신하여 개인정보를 처리하는 회사/기관)도 직접 적용을 받는다.


Controller와 Processor는 역할 및 책임, 개인정보 보안 조치 사항, 유출 시 조치 사항, 감사권한과 역외 이전 제한 규정 등이 포함된 개인정보처리 계약(DPA, Data Processing Agreement)을 서면으로 체결해야 한다.


# GDPR 개인정보 기본 처리 원칙?


1) 개인정보 처리의 적법성, 공정성, 투명성의 원칙 :개인정보 처리 전 정보주체의 동의가 필요하고 정보주체가 이해하기 용이하고 접근하기 쉬운 방식으로 개인정보 처리 행위 입증

2) 개인정보 수집 목적 제한의 원칙 : 구체적이고 명시적이며 적법한 목적을 위해서만 수집 가능하나 공익적 기록 보존 및 과학적 /역사적 연구, 통계적 목적은 가능

3) 개인정보 처리의 최소화 원칙 : 처리 목적을 위하여 필요한 정보 범위로 한정

4) 정확성의 원칙 : 필요한 경우 최신의 것이어야 하고 부정확한 정보의 즉각적인 삭제 또는 정정

5) 보유기간 제한의 원칙 : 처리 목적 달성에 필요한 기간 동안만 보관

6) 무결성과 기밀의 원칙 : 적절한 기술적, 관리적 조치

7) 책임성 원칙: Controller는 6가지 기본 처리 원칙을 준수할 책임이 있음


기본 처리 원칙에 맞는지는 아래 체크리스트를 통해 확인할 수 있다.


[GDPR Checklist]

GDPR compliance checklist - GDPR.eu

Use this GDPR compliance checklist to plan your organization's data privacy and security measures. Document your steps to show compliance.

gdpr.eu

 

* 출처 : gdpr.eu


# GDPR 위반에 따른 제재


전 세계 매출액 4% 또는 2천만 유로(약 250억) 중 높은 금액으로 과징금이 부과된다.


최근 제재 내용을 보면,

2019년 프랑스의 개인정보 감독기구(CNIL)는 구글의 개인정보 수집, 처리 절차 안내가 복잡하고 모호하여 유효한 동의를 얻었다고 볼 수 없는 점, 계정을 만드는 과정에서 맞춤형 광고 사용 여부 옵션 설정이 디폴트로 되어 있고 처리 동의 내용이 구체적이지 않아 유효한 동의를 얻었다고 볼 수 없다는 이유로 2019년 5천만 유로의 과징금을 부과했다.


2023년 아일랜드 데이터보호위원회(DPC)는 TikTok이 13~17세 미성년자들의 프로필 기본 설정을 '공개'로 해놓아 EU이용자 누구나 미성년자 계정에 올라온 내용을 볼 수 있도록 허용하는 등 특정 위험에 대한 적절한 기술 및 조직적 조치를 취하지 않았다는 이유로 3억 4,500만 유로의 과징금을 부과했다


EU 내 자회사/지사를 두고 있거나 EU 거주자를 대상으로 사업을 하고 있는 경우라면 GDPR에 대한 면밀한 검토가 필요하다.


참고로 개인정보 역외이전은 원칙적으로 금지되나,

한국은 한국정보보호법이 EU법과 동등한 수준으로 개인정보를 보호한다는 점을 21년도에 인정받아 EU 역내 정보주체의 개인정보를 추가적인 인증이나 절차 없이 한국 이전 가능하다.

단, 금융기간이 보유한 개인 신용정보 역외 이전은 동일하게 표준 계약 체결 등 추가적인 절차가 필요하다.


[GDPR 원문]

General Data Protection Regulation (GDPR) – Legal Text

The official PDF of the Regulation (EU) 2016/679 – known as GDPR – its recitals & key issues as a neatly arranged website.

gdpr-info.eu

 

*출처 : gdpr-info.eu

                    

keyword
일요일 연재
연재 Global HR 담당자 이야기
전체 목차 보기
인사를 합니다 소속 직업 회사원

15년차 직장인으로 바라본 일의 가치, 일에 대한 고민, 조직생활에 대한 희노애락을 함께 나누고자 합니다
구독자 6
이전 01화 Global Compliance - 미국 FCPA
브런치는 최신 브라우저에 최적화 되어있습니다. IE chrome safari