교포신문 : 긴급점검: 유럽 개인정보보호법,(GDPR: General Data Protection Regulation)
HOME 회사소개 시작페이지로 즐겨찾기추가 기자회원신청
로그인 회원가입
뉴스홈 > 뉴스플러스 > 기고/연재
2018년06월25일 00시00분 123
글자크기 기사내용 이메일보내기 뉴스프린트하기 뉴스스크랩하기
긴급점검: 유럽 개인정보보호법,(GDPR: General Data Protection Regulation)
유럽연합의 새로운 개인정보보호 규정 (2)
- 기업이 구체적으로 고려해야 할 사항은 무엇이며 이것을 어떻게 실천에 옮길 수 있을까
이동준 변호사
 
2018525일부터 유럽 전역에서 일괄적으로 적용되는 개인정보보호 규정은 "관료주의의 괴물"이라 불리는데 이는 단순한 과장에 지나치는 것이 아니라, 이 규정의 엄청난 규모에 걸맞은 호칭이다. 지금까지 유럽 전역에 직접 적용되는 유럽연합의 법률은 아주 드물었는데, 이 규정은 포괄적인 범위에 걸쳐 적용되고 여러 부문에 속속들이 영향을 미쳐 기업 운영상 중대한 변화를 초래할 것이다. 다시 말하자면, 이는 기업이 변경된 새로운 규정을 도입하여 실천에 옮기고, 특히 모든 관련 자료를 문서화해야 한다는 것을 의미한다. 개인정보를 일부 또는 전부 자동처리하고 있다면 이 규정의 적용대상이 되는데, 거의 모든 기업이 여기에 속한다고 할 수 있다.
 
감독 기관의 과징금과 특히 경쟁 업체로부터의 경고를 받는 것을 막으려면, 적어도 다음 사항을 자세히 검토하여 충분히 파악하고 있어야 한다.
 
개인정보보호 책임자 임명
개인정보를 자동처리하는 기업은, 10명 이상의 직원이 정규적으로 이러한 개인정보를 담당하여 처리하는 경우 개인정보보호 책임자를 선정하여야 한다.
 
개인정보보호 책임자는 기업의 운영책임자에게 개인정보보호에 관한 제반 문제에 대해 조언을 하고, 무엇보다도 기업이 개인정보보호 규정이 요구하는 모든 사항을 준수하고 있는지 확인할 임무가 있다.
 
기업은 인트라넷을 비롯하여 고객의 개인정보를 처리하면 기업의 웹 사이트에도 개인정보처리 담당자의 이름 및 연락처를 게시해야 한다.
 
개인정보보호 영향평가를 해야 할 법률적 의무가 있으면, 기업은 고용하고 있는 직원의 수에 무관하게 개인정보보호 책임자를 임명해야 한다. 인종민족과 같은 정보, 성생활 또는 성적 취향 혹은 종교나 건강과 같은 민감한 개인정보를 처리하는 경우가 이에 속한다.
이를 제외한 경우에는 개인정보보호 책임자를 임명할 필요가 없다. 개인정보보호 규정상 경영 이사 또는 사업주도 개인정보보호 책임자가 될 수 있다.
 
물론 기업의 외부인사도 개인정보보호 책임자가 될 수 있다. 기업의 사원이 개인정보보호 책임자로 임명되면 해고에 관한 고용자보호 규정에 따라 포괄적인 보호를 받으며, 정당한 이유 없이 해고할 수 없음은 물로이고 징계와 같은 이유로 인한 비통상적 해고는 극도로 제한된 범위에서만 가능하다.
 
개인정보 처리 활동의 기록
해당하는 모든 기업은 소위 말하는 "개인정보 처리 활동의 기록"을 작성해야 한다. 대체로는 기업이 어떤 정보를 언제, 어떻게, 왜 수집하였는지를 보여주는 목록으로 충분하다: 예를 들어 이름, 주소, 전화번호와 같은 고객 개인에 관한 정보. 이러한 문서기록의 구체적인 내용은 물론 해당 기업의 실정에 맞게 조정되어야 한다. 예를 들어 수공업체와 운송 업체는 처리하는 고객의 개인정보가 다르다.
 
요주의: 담당자의 이름 및 연락처, 인사/경리(회계) 자료와 같은 기업 내부의 관련 서류도 문서화해야 함을 명심.
 
위탁(수탁)처리
요즘은 기업이 요금 및 급여의 결제 대행사, 마케팅 대행사, 웹 호스팅 및 콜센터와 같은 서비스 대행업체에 업무를 위탁하는 것이 흔하다. 이들 수탁업체는 맡은 업무를 수행하기 위해 고객이나 직원의 개인정보에 액세스해야 한다. 즉 이들 업체는 위탁기업을 대신하여 정보를 처리하는 것이다.
 
이 경우 이들 업체와 유효한 수탁처리 계약을 체결해야 한다.
 
새로운 개인정보보호 규정에 따르면 제3자에게 정보를 제공하는 것은, 미리 개인정보의 수집이용 및 제공에 대해 정보주체에게 알리고 동의를 구하여, 정보주체가 이에 사전동의를 한 경우와 정보처리에 관한 위탁 및 수탁계약에 의한 수탁 정보처리일 경우에만 허용되기 때문이다. 따라서 그러한 계약이 이미 체결되어 있다면 기업은 해당 정보주체에게 동의를 요청할 필요가 없다.
 
이때 중요한 것은 위탁 및 수탁계약이 체결되었음을 개인정보보호 기관에 입증할 수 있어야 한다는 점이다. 따라서 관련된 모든 계약서는 필요할 때 즉각 찾을 수 있도록 서류에 철해 보관해야 한다.
 
개인정보보호 규정 침해사고 시 신고통지의무
새로운 개인정보보호 규정에 따르면 기업은 72시간 이내에 감독기관에 개인정보 침해사고 사실을 신고해야 한다. 개인정보 침해사고의 전형적인 예로는 해킹으로 인한 개인정보 유출을 들 수 있다.
 
독일의 각 주정부는 자체 감독 기관을 두고 있으며, 노르트라인 베스트팔렌 주의 경우 Helga Block(연락처: Kavalleriestr. 2-4, 40213 Düsseldorf)이 개인정보 보호 및 정보의 자유를 담당하고 있는 위원이다.
 
개인정보가 유출된 경우, 유출 사실을 정보주체인 피해자에게도 통지해야 한다. 개인정보가 암호화 기술을 통해 보호된 경우라면 개개인에게 통지할 필요가 없다.
 
따라서 기업은 시대에 부합하는 신기술을 사용하여 개인정보보호를 위협하는 행위에 합리적으로 대처하고 보호하기 위한 적절한 기술적 및 조직적 조처를 해야 한다.
신고 의무를 태만히 하면 과징금이 부과된다.
 
이러한 새로운 규정을 준수하자면 기업은 기존 IT 인프라를 철저히 검사하여 관리해야 할 것이다. 대부분은 소프트웨어 및 하드웨어를 개인정보 손실에 대비하여 기술적으로 업그레이드하거나, 새로운 백업 시스템 및 방화벽과 같은 소프트웨어 및 하드웨어 등을 기존 컴퓨터 시스템에 설치해야 할 것이다.
 
어찌했든 또 중요한 것은, 누가 개인정보에 액세스할 수 있는 권한이 있는지를 확실히 정하고 필요한 경우 사내조직을 재구성해야 한다는 점이다.
 
**********
본 기고문의 저자는 법률학 석사학위를 소지하고 있는 이동준(Peter Lee) 변호사로 전문분야는 지식재산권, 상법 및 회사법입니다. 연락처: Lee/ Toubar/ von Schwech/ Burghartz 합동법률사무소, 주소: Immermannstr. 14-16, 40210 Düsseldorf, 전화번호: 0211/303 301 10, 인터넷: www.rhein-anwalt.com, 이메일: lee@rhein-anwalt.com
 
108014
관련기사가 없습니다
뉴스스크랩하기
편집실 (redaktion@kyoposhinmun.de) 기자 
 
이기자의 다른뉴스보기
기고/연재섹션 목록으로
[기고/연재]독일 내 한국학의 ...
[기고/연재]가을에 붙여서
[기고/연재]한국상사와 개인사...
[기고/연재]한국상사와 개인사...
[기고/연재]김재승 한의사의 ...
 

이름 비밀번호
[1]
다음기사 : 정원교의 중인환시(衆人環視) (19) (2018-06-25 00:00:00)
이전기사 : 김재승 한의사의 건강칼럼(49) (2018-06-18 00:00:00)
해당섹션에 뉴스가 없습니다
파세연 창립 11주년 기념행사 안...
# 시청료 없는 한국방송 # 휴대...
장애인총연합회 건강교육세미나
혜민스님 쾰른행사 안내 -주최측...
건강세미나 주제: Pflegestufe -...
자동차퍽치기 당하다!?
책&삶에서 독일 소식을 전해줄 ...
한글로망 자랑스런 한글 세계화
    답변 : 한국을 한국이라 말...
독일의사들 선운사에서 한국기공...
피해 보는 일이 없기를 바랍니다...
Damenmode bis 80% Duesseldorf-...
아름다운공간
CoOpera 가이드 모집공고
총신대 한국어교원양성과정과 함...
2016학년도 재외동포 국내초청교육(모국수학) 과정 수...
회사소개 개인정보보호정책 이용약관 이메일주소무단수집거부 알립니다 독자포럼 정기구독