[민후의 기·꼭·법]GDPR 시행을 앞두고 국내 기업이 체크해야 할 점

유럽연합 홈페이지

[법무법인 민후 이혜윤 변호사] EU의 GDPR 시행이 열흘 앞으로 다가왔다. 2018년 5월 25일부터 시행될 예정이므로 국내 기업들의 경우, 특히 글로벌 기업이 아닌 경우 더더욱 해당 기업에 GDPR이 적용되는지 면밀히 살펴보아야 할 것이다.

그 구체적인 적용 여부와 범위는 개개의 기업 및 해당 기업이 수집하는 정보의 종류나 방법에 따라 상이하다. 본고에서는 기업 실무자들이 쉽게 오해할 수 있는 몇 가지 내용을 소개함으로써 GDPR에 대응해야 하는지 여부에 대한 판단 기준을 설명하고자 한다.

GDPR은 EU 내에 소지한 회사에만 적용된다?

GDPR은 EU 내의 컨트롤러(우리나라 개인정보보호법령의 개인정보처리자 개념과 유사) 또는 프로세서(우리나라 개인정보보호법령의 수탁자 개념과 유사)의 사업장에서 개인정보가 처리되는 경우에는 당연히 적용된다.

그런데 EU 내에 컨트롤러 또는 프로세서의사업장이 없다 하더라도 GDPR이 적용되는 경우가 있다. EU 지역 밖에서 EU 내의 정보주체에게 유·무상을 불문하고 재화나 용역(서비스)을 제공(offering)하는 경우 또는 EU 정보주체가 EU에서 수행하는 활동을 모니터링 하는 경우가 그것이다.

이 때 EU 내의 정보주체라 함은 EU 시민권자를 의미하는 것이 아니며 그 국적과 무관하게 EU 내에 거주하는 자로 해석해야 한다.

따라서 기업의 사업장이 EU 내에 없다 하더라도, EU 내의 정보주체에게 재화나 용역을 제공하는 과정에서 해당 정보주체의 정보를 수집한다면 GDPR이 적용될 가능성이 매우 높다.

EU 내 정보주체가 우연히 우리 회사 이용해도 적용?

이때 EU 회원국 내의 정보주체에게 서비스 제공을 했다고 모두 GDPR이 적용되는 것은 아니다. 적어도 해당 기업이 EU 회원국 내의 정보주체에게 상품이나 서비스 제공을 ‘예상’하는 것이 ‘분명한’경우에 해당해야 한다.

예를 들어, 기업이 인터넷 홈페이지를 운영하면서 미국 소비자에게만 판매를 전제하고 있고, EU 지역의 소비자를 전혀 언급하거나 전제하지 않고 있는 경우에는 몇 명의 EU 지역 내 소비자가 기업의 인터넷 홈페이지에 개인정보를 제공한다 하더라도 GDPR이 적용되지 않는다.

그러나 기업의 인터넷 홈페이지에서 컨트롤러나 프로세서의 국가와 관련 없는 EU 회원국의 언어를 공식 언어로 제공하고 있거나, 도메인 이름에 EU 회원국의 최상위 도메인 명칭(예를 들어, .de/.fr/.es 등)을 사용하고 있는 경우, 또는 이미 EU 내에 높은 비율의 소비자를 보유하고 있으며 재화나 서비스 홍보를 위해 EU내의 소비자를 언급하고 있는 경우에는 서비스 제공을 예상하는 것이 분명하며, 이 경우 GDPR이 적용될 것이다.

AWS같은 프로세서가 Privacy Shield 준수하면 문제없나

국내 기업들은 아마존 클라우드 서비스를 이용하고 있는 경우가 많은데 아마존 클라우드 서비스(AWS)는 프라이버시실드(Privacy shield)를 준수하고 있어 EU에서 AWS 미국으로의 개인정보 역외 이전이 가능하다.

그렇다면 국내 기업들은 추가적으로 아무런 의무 이행을 하지 않아도 될지 의문을 가질 수 있다.

국내 기업은 컨트롤러이며, 아마존 클라우드 서비스는 일종의 프로세서입니다. 국내 기업은 아마존 클라우드 서비스를 이용함으로써 EU 내의 정보주체의 개인정보를 아마존 클라우드 서비스가 위치한 미국으로 이전하게 되는 것입니다.

따라서 위와 같은 경우 국내 기업들이 EU내 정보주체의 개인정보를 미국으로 이전하는 것은 AWS가 프라이버시실드를 준수하고 있어 별도의 문제가 없으나, 이는 개인정보의 역외 이전의 차원 및 프로세서의 의무 관련 문제일 뿐이며, 위 경우에도 국내 기업은 컨트롤러로서의 GDPR상 의무와 책임을 이행해야 한다.

따라서 기업은 GDPR의 동의 조건과 절차를 준수하여야 하며, 적절한 데이터보호정책(Data protection policy)을 제공해야 할 것이다.

법무법인 민후 이혜윤 변호사