2018. 5. 25.부터 시행되고 있는 GDPR은 EU 내에서 사업장을 운영하는 기업은 물론이고, 설령 EU 내에서 사업장을 운영하지 않더라도 EU 내 정보주체에게 상품·서비스를 제공하는 기업 및 EU 내 정보주체의 EU 내 행동을 모니터링하는 기업에도 적용되는바, 웹사이트 등을 통하여 EU 내 정보주체에게 서비스를 제공하는 기업은 당연히 GDPR을 준수해야 한다.
하지만 국내 개인정보 보호 관련 법령과 구성이 상이하고, 국내법에는 존재하지 않는 '컨트롤러', '프로세서', 'DPO'와 같은 개념이 있다는 측면에서, GDPR의 적용을 받는 스타트업이 구체적으로 어떠한 의무를 준수하여야 하는지 파악하기 어려운 것이 현실이다. 이에 이하에서는 EU에 진출하고자 하는 스타트업이 GDPR과 관련하여 유의하여야 할 사항 몇 가지를 소개하겠다.
1. 컨트롤러와 프로세서
'컨트롤러'란 개인정보 처리의 목적·방법을 결정하는 자연인·법인 등을 의미하고, '프로세서'란 컨트롤러를 대신하여 개인정보를 처리하는 자연인·법인 등을 의미한다.
컨트롤러는 개인정보 보호법의 개인정보처리자와 유사한 개념이다. 하지만 개인정보 보호법은 개인정보처리자를 "업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체, 개인 등"이라고 규정하여, '개인정보를 처리하는지' 여부만을 기준으로 개인정보처리자인지 판단하는 것과는 달리, GDPR은 '개인정보 처리의 목적·방법을 결정하는지'를 기준으로 컨트롤러인지 판단한다는 점에서 구별된다.
즉 실질적·기능적으로 개인정보 처리의 목적·방법을 결정하는 자가 컨트롤러가 되고, 그러한 컨트롤러를 대신하여 개인정보를 처리하는 자가 프로세서가 되는 것이다. GDPR은 컨트롤러 및 프로세서에게 각자 의무를 부여하고 있으므로, EU에 진출하고자 하는 스타트업은 당사가 컨트롤러인지 프로세서인지 판단하여 어떠한 의무를 수행하여야 하는지 확인하여야 할 것이다.
2. 처리의 적법성 확보 의무
GDPR은 제6조 제1항에서 정하고 있는 적법 처리 근거에 의하여 개인정보가 처리되어야 한다고 규정한다. 그 중 가장 대표적으로 적법성을 확보하는 방안은 정보주체로부터 동의를 얻는 것인데, GDPR은 처리가 동의에 근거하는 경우, 컨트롤러에게 정보주체가 개인정보 처리에 동의하였음을 입증할 의무도 부여하는바, GDPR이 서면에 의하여 동의를 받도록 강제하고 있지는 않지만, 향후 입증의 용이를 위하여 정보주체로부터 동의서 등을 징구하고 이를 보관할 것을 권유한다.
3. 정보 제공 의무
GDPR은 컨트롤러에 대하여, 개인정보를 정보주체로부터 직접 수집하든 제3의 출처로부터 획득하든 관계없이, 정보주체에게 정보를 제공할 의무를 부여한다. 구체적으로 제공하여야 하는 정보 내용은 GDPR 제13조와 제14조를 확인하면 된다.
또한 GDPR은 제12조 제1항에서 컨트롤러에 대하여, 모든 통지를 간결하고 투명하며 이해할 수 있고 쉽게 접근할 수 있는 형식으로 명확하고 쉬운 언어를 사용하여 제공하기 위하여 적절한 조치를 취하여야 한다는 점도 규정한다. 따라서 웹사이트 등을 통하여 서비스를 제공하는 스타트업은 웹사이트상에 개인정보 보호정책(Privacy Policy), 통지사항(Privacy Notice) 등을 게시함으로써 본 의무를 준수하여야 할 것이고, 정보주체가 어렵지 않게 Privacy Policy, Privacy Notice를 확인하고 이해할 수 있도록 적절하게 서식을 마련해야 하겠다.
4. DPO 지정 의무
GDPR은 컨트롤러 및 프로세서에 대하여, 핵심 활동이 정보주체에 대한 대규모의 정기적이고 체계적인 감시를 요구하는 처리 작업으로 구성되는 경우, 특수 범주의 정보 및 범죄경력 및 범죄행위와 관련된 개인정보의 대규모 처리로 구성되는 경우 등에는 DPO를 지정하도록 의무를 부여한다.
DPO는 개인정보에 관한 전반적인 사항을 처리하는 역할을 수행하는데, GDPR은 DPO가 되기 위한 별도의 자격 요건을 규정하고 있지는 않지만, "DPO는 전문적 자질, 특히 개인정보보호법과 실무에 대한 전문적 지식 및 제39조에서 언급된 직무를 수행할 능력에 근거하여 지정되어야 한다"고 규정하는바, 개인정보 보호법 및 실무에 대한 전문적 지식을 갖춘 자로 DPO를 임명해야 할 것이다.
위에 설명한 내용 외에도 처리활동 기록의무, 역내 대리인 서면 지정의무 등 컨트롤러 또는 프로세서가 준수하여야 하는 GDPR상 의무가 있으므로, EU에 진출하고자 하는 스타트업은 이와 관련하여 법률전문가의 조언을 얻을 것을 권장한다.
* 법무법인 민후 김도윤 변호사 작성, 디지털데일리(2021. 3. 2.) 기고.