검색
LAW&스마트

GDPR 대응 전략

144016.jpg

지난 5월 25일자로 유럽서 GDPR(General Data Protection Regulation, 개인정보보호규정)이 발효되었다. 그리고 바로 그날 페이스북을 상대로 소송을 제기하여 미국과 유럽 사이의 세이프 하버(Safe Harbor) 협정이 무효라는 판결을 이끌어냈던 막스 슈렘스는 구글, 페이스북, 인스타그램, 왓츠앱을 상대로 GDPR 위반을 이유로 소를 제기하여 화제가 되기도 하였다. 그 소송의 내용은 해당 기업들의 프라이버시 정책에 대하여 이용자들이 동의할 수밖에 없도록 강요하였다는 것인데, 향후 어떠한 결론에 이르게 될지는 주목하지 않을 수 없다.


국내에서도 인터넷진흥원을 비롯한 여러 유관 기관에서 국문으로 된 가이드북을 발간하고 여러 차례 세미나를 개최하는 등 GDPR 준수를 위한 많은 도움을 주고 있기는 하지만, 기업들이 자체적으로 준비하기에는 여러 가지 역부족인 것 또한 사실이다. 


그럼, GDPR 대응을 위해서 무엇을 먼저 하여야 할까. 지면 관계상 간략하게만 설명하면, 먼저 역외적용 여부 등 법적용해당 여부를 검토하고, 그 적용의 대상이 된다고 판단하면 개인정보보호책임자(DPO, Data Protection Officer), 역내 대리인(Representative)의 지정 여부 등을 검토하여야 한다. 그리고, 개인정보 수집을 위한 적법한 근거(Lawful basis)를 마련하여야 하는데, 우리나라처럼 반드시 동의(Consent)만을 기반으로 할 수는 없는 경우들이 있으므로 주의할 필요가 있다. 물론, 개인정보처리정책(Privacy Notice)을 GDPR에 맞게 수정하고, 그에 따라 각종 수집 프로세스 상의 유저인터페이스(UI) 등의 수정 작업도 필요하다. 특히 GDPR에서 강화된 이용자의 권리 보호를 위한 각종 보호조치들을 절차 상, 시스템 상으로 맞게 수정할 필요가 있고, 개인정보 처리 프로세스에 대한 영향 평가를 통하여 그 결과에 따른 적절한 프로세스를 취할 필요가 있다. 나아가, 민감 정보 및 아동 정보를 수집하는 경우에는 그 보호를 위한 특별한 프로세스들을 구비하는 것도 고려하여야 한다. 복잡하고 어려워 보이지만 한걸음씩 차근차근 진행하면 충분히 해결할 수 있는 문제임을 유념할 필요가 있다.

 

강태욱 변호사 (법무법인 태평양)

 

관련 법조인

미국변호사