GDPR 1차 가이드라인의 경우, 이진규 네이버 이사, 성경원 SK인포섹 이사, 윤수영 이베이코리아 팀장, 김경하 제이앤시큐리티 대표, 정윤정 김앤장 자문위원이 KISA와 함께 집필진으로 참여했다.

이번 가이드라인은 지난 5월 발간한 ‘우리 기업을 위한 GDPR 안내서’를 보다 구체화한 것이다. EU 개인정보보호 전문연구 그룹인 제29조 작업반에서 발표한 가이드의 주요 내용이 포함돼 있고, 국내 개인정보보호법에는 없는 주요 사안에 대한 가이드도 추가했다.

이날 설명회에서는 대상여부부터 개인정보 범위 등 GDPR과 관련한 기업들의 질문 사항이 쏟아졌다. 다음은 GDPR 1차 가이드라인 집필진과 설명회에 참여한 기업 간 일문일답이다.

Q. 모바일 게임개발 업체인데, 퍼블리싱 대행사를 통해 유럽에 진출할 계획이다. 실제 운영도 퍼블리싱 업체며, 고객 개인정보도 모두 퍼블리싱 업체 서버에 저장된다. 단, 유지보수를 위해 자사 임직원이 데이터베이스(DB) 서버에 접근할 수 있다면 GDPR 적용대상인가?

▲(이진규 네이버 이사) 계약 내용에 따라 달라진다. 개인정보 사용과 처리 방법을 각사가 규율하는 내용으로 담겨 있으면 컨트롤러로 직접적인 GDPR 대상이다. 리스크를 갖지 않기 위해 게임만 제공하고 모든 것은 퍼블리싱 업체가 처리하며 수익만 배분한다고 계약에 명시돼 있으면 대상이 되지 않을 수도 있다. 그러나 DB서버에 접근할 수 있다면 당연히 GDPR 적용 대상이다. 개인정보 처리가 발생하기 때문이다.

Q. 개인정보 사용 이력을 프로파일링 해서 자동 차단하는 정책을 시행하는 것은 GDPR에 위배되는 행위인가? 특정 개인정보에 비인가된 접속이 해킹으로 인식돼서 자동차단하는 경우도 프로파일링 관련 권리를 위배하는 것인가?

▲(윤수영 이베이코리아 팀장) 1차 가이드라인 내 ‘자동화된 결정 및 프로파일리 관련 권리’ 부분의 체크리스트를 확인하고 프로파일링 여부를 판단해야 한다. 자동으로 처리된다면 프로파일링 기반 행위라고 봐야 한다. 정보주체에게 별도 동의를 받아야 하는 사항은 아니지만, 정보주체 권리보장과 여타의 보호조치를 취해야만 한다.

Q. 정보 주체가 제3자에게 정보 이동을 요구하면 어떤 형식으로 그 파일을 전달해야 하며, 전달해줘야 하는 개인정보 범위는 어느정도인가?

▲(정윤정 김앤장 자문위원) EU에서 제시한 표준은 없다. 구글의 경우, 정보 주체에게 이메일 또는 구글 드라이브로 전달하고 있다. 개인정보 범위는 정보 이전을 신청받은 경우 개인정보 이동권 범위에 해당하는지 살펴봐야 한다. 이동권 범위에 해당하는 정보는 정보주체와 관련된 개인정보, 정보주체가 컨트롤러에게 제공한 개인정보, 가명정보 등이다.

Q. GDPR에 본사와 서버관리 업체 사이의 별도의 계약을 체결하도록 하는 규정이 있는가?

▲(성경원 SK인포섹 이사) 국내에서는 수탁자에게 업무를 내려주고 관리·감독하는 구조다. GDPR에서는 컨트롤러가 처리 목적과 전반적 기준을 제시하고 실제 프로세서가 잘 준수할 수 있도록 역할을 해야 한다. 기본적으로 문서나 계약상 요구하는 부분들이 있다. 지시사항에 대한 처리를 프로세스가 해야 하는 역할이 필요하다. 처리에 각각의 보안활동이 포함되며, 정보주체 권리 보장 조치를 해야 한다. 관계가 종료되면 개인정보를 반환하고 폐기한다.

Q. EU 현지법인(A)의 임직원 개인정보를 서버전문 업체(B)에 지정하고 있으며, 해당 포털과 서버는 한국에 있다. 단 B가 EU에 사업장이 없으면 현지 대리인을 지정해야 하는가? 지정한다면 담당하는 A의 임직원을 대리인으로 지정해도 되는가?

▲(김경하 제이앤시큐리티 대표) 국내서버에 저장되니 국외이전 적정성이나 표준계약을 수행해야 한다. 애매한 점은 서버 운영업체를 프로세서로 볼 수 있느냐인데, 데이터만 저장하고 모든 정보 처리를 A사에서 한다면 배제할 수 있는 가능성이 있다. B사가 프로세서라면 현지 대리인을 지정해야 한다. A사 직원을 대리인으로 하면 모든 법적 책임은 해당 직원이 지게 된다. 우선은, B사가 프로세서 지위에 있는지 봐야 하고 프로세서가 맞다면 현지대리인을 지정해야 한다. 지정요건은 없지만, 대리인은 대표성을 갖기 때문에 책임을 지게 된다.

Q. EU 거주자가 국내 항공사에 탑승하는 경우, 탑승객 개인정보를 국내에 보관하기 위해 필요한 조치가 있는가? 데이터를 EU에 저장한다면 국내에서 열람하는데 필요한 조치가 있는가?

▲(김경하 대표) 항공사 간 대응책을 만들거나, 개별 항공사별로 명시적 동의를 받을 필요가 있다. 해외로 여행가는 EU 거주자 입장에서는 자신의 개인정보를 보내는 것을 인정할 수밖에 없다. 동의를 받아 한국에서 처리할 수 있도록 하는 것이다. 이를 회피하기 위해 현지에 서버를 두고 국내에서 조회를 하는 경우도 있는데 국외이전으로 볼 가능성이 크다. 유럽의 개인정보를 한국에서 조회하는 행위는 네트워크를 타고 국경을 넘어 한국으로 개인정보가 오는 셈이다. 회사 차원에서 표준계약을 하거나 적정성평가를 받거나 명백한 동의를 얻어야 한다.

Q. IT개발 프로젝트 때 GDPR 준수 관련 기록 의무는 어떤 형태로 수행돼야 하며, 종업원 수 250명 이하의 기업에서도 별도의 기록 및 문서화가 필요한 경우가 있는지?

▲(성경원 이사) 실제로 개인정보 처리 활동, 컨트롤러 연락처, 처리 목적, 범죄 설명, 수령 범주 등을 기록으로 남겨야 한다. 기술적·조직적인 조치 설명이 돼야 한다. 근거를 남겨야 한다. 개발 프로젝트의 경우, 개인정보 처리 시스템이라고 가정하면 인증, 접근통제, 보호조치가 있어야 한다. 근거와 로그가 남고 산출물이 있어야 한다. 250명 이상이라고 명시돼 있으나, 그 이하라도 민감정보 등을 취급할 경우 예외사항은 있으니 따져봐야 한다.

<최민지 기자>cmj@ddaily.co.kr