유럽집행위원회(European Commission)는 2012년 1월 25일 강력한 개인정보보호법안을 성안하여 제출하였습니다. 이 법안은 유럽에서 사업을 영위하는 기업에 상당한 규제가 추가되어, 법규 준수를 위하여 시간, 비용 및 인력 부담이 증가될 것으로 보이고, 위반한 경우 상당한 벌금이 부과되도록 되어 있습니다.
이 법안이 유럽연합 의회를 통과하게 되면, 그것이 Regulation의 형태를 띨 것이므로 각 EU 회원국에 직접적인 효력을 가지게 될 것으로 예상됩니다.
이하에서는 새로운 법안의 내용을 간략하게 정리해 드리겠습니다.
EC가 제안한 Regulation 초안은 다음과 같은 내용을 담고 있습니다.
벌금 Fines
각 EU 회원국의 개인정보보호 규제당국은 기본적인 규제법상의 의무를 지키지 않을 경우 해당 기업에 글로벌 총 매출액의 2%까지 벌금을 부과할 수 있는 권한을 가지게 됩니다. 자칫 어마어마한 벌금이 부과될 가능성도 있는 것입니다.
정보보호 책임자 Data Protection Officers
250명 이상을 고용한 사적 기업이나, 공적 기관 등은 DPO(Data Protection Officers), 즉, 개인정보보호책임자를 반드시 두어야 합니다.
DPO는 소속 기관 내에서 개인정보보호법규를 준수하는지 여부에 관해 독립적으로 접근, 조사할 수 있고, 이를 이사회에 보고할 수 있는 권한이 부여되어 있습니다. 법안은 특히 DPO가 개인정보보호 영향평가 권한 및 데이터 보안에 관한 전반적인 주도권을 행사하도록 요구하고 있습니다. DPO는 그 소속 기관이 양질의 개인정보보호 정책과 절차를 채택하도록 할 책임을 가지고 있는 것입니다.
개인정보영향 평가 Audits, data protection by design and privacy impact assessments
대상기관은 영국의 ICO(Information Commissioner's Office)의 PIA(Privacy Impact Assessment) 기준과 같은 산업표준을 이용하여 정규적인 개인정보보호 감사와 영향평가를 수행해야 합니다. 반드시 이러한 개인정보 준수와 리스크 최소화 조치를 취한 연후에야 새로운 개인정보 처리 시스템과 활동이 도입되어야 합니다. DPO의 핵심적인 역할은 전반적인 개인정보 설계 권한을 통해 그러한 개인정보 보호를 조정하는데 있을 것입니다. 규제당국은 수범기관으로 하여금 개인정보처리 시스템을 가동하기 전에 PIA를 적극적으로 가동하도록 지시할 수 있습니다. 새로운 법안은 우선 개인의 경제적 상황, 주거지, 건강, 개인적 기호 및 행동신뢰성에 관한 정보를 이용한 모든 활동을 위 규제대상에 포함시킬 것으로 보입니다.
보안유출 사고 통지제도 Security breach notification
대상 기관이나 조직은 개인정보보호 규제당국에 개인정보유출이 발생한 경우 24시간 이내에 보고해야 합니다. 이 때문에 유출로 의심되는 정보영역을 확인하고 어떤 정보가 유실되었는지에 관하여 이를 신속하게 확인할 수 있는 능동적인 내부 절차가 필요합니다.
동의 요건 확대 Expanded consent requirements
이번 법안에는 해당 기관이 정보를 처리하기 전에 얻어야 하는 정보주체의 동의에 관하여 대폭적인 손질이 가해졌습니다. 특히 개인정보 이용 동의는 반드시 사전에 그것도 옵트인(OPT-IN) 방식으로 획득되어야 합니다. 다만 당초 초안과 달리 18세 미만의 정보를 이용하기 위하여 부모의 동의를 얻도록 하는 부분은 13세 미만으로 변경되었다고 합니다.
정보 이동성 강화 Data portability
개인정보주체는 자신의 정보를 그가 정한 형식으로 해당 기관으로부터 제3자에게 이전하도록 요구할 권리가 주어졌습니다.
적용대상 Jurisdictional reach
이 법안은 EU 내에서 정보를 처리하는 자 및 EU 외에서 EU 국민에게 상품이나 서비스를 제공하는 자 모두에게 적용됩니다. 다국적 조직의 경우 그 유럽 본부의 소재지에 따라 준거 회원국의 법률 및 규제당국이 결정됩니다. 개인의 경우 정보이용기관을 상대로 그 개인의 관할 법원이나 상대 기관이 위치한 나라의 법원에 모두 소송을 제기할 수 있습니다. 한편, 무역협회(trade association)와 같은 단체도 그 소속 회원을 위하여 단체 소송을 제기할 수 있게 되었습니다.
정보 이전 Data transfers
개인정보 이용 조직은 비유럽의 제3자와 정보를 공유할 수 있게 되었습니다. 특히 정보 이전과 관련된 규범 준수를 가능하게 하는 메커니즘인 Binding Corporate Rules이라고 알려진 정책이 채택되어 다국적 기업에는 다행이라고 할 수 있습니다.
잊혀질 권리 The right to be forgotten
자신에 관한 정보가 온라인으로 출판된 경우 그 당사자는 이를 삭제하거나 재출판하지 않도록 요구할 수 있는 권한이 부여되어 있습니다. 이러한 요구를 받은 조직은 반드시 다른 웹사이트 운영자에게 그가 받은 요청을 알려주기 위해 합리적인 노력을 다해야 할 의무가 있습니다. 이 권리는 특히 소셜미디어 비즈니스에게 중요할 수 있는데, 이 규정에는 몇 가지 적용 예외가 있습니다. 그 예외에는 공익목적으로 글을 출판하는 언론인(journalist)이 포함되는데, 문제는 웹사이트에 특정 의견을 포스팅하는 블로거도 언론인에 포함되는가가 논란이 되고 있다고 합니다.
개인정보보호를 둘러싼 규제 강화는 세계적인 추세가 되어가는 느낌입니다. 한국의 새로운 개인정보보호법의 시행을 따라 적용대상 기업이나 기관은 많은 새로운 부담을 지고 있습니다. 이번에 새로이 발표된 EC의 개인정보보호법안이 통과될 경우, 유럽을 무대로 활동하는 기업의 경우 특별한 주의가 필요합니다. 본건과 관련하여 도움이 필요하시면 언제든지 저희에게 연락주시기 바랍니다.
|