유럽은 강력한 개인정보 보호법을 시행하고 있습니다. 유럽 내 법이지만, 이를 유럽만의 사정이라고 보기 어려운 이유가 우리가 이레지던시를 통해 유럽에 법인을 설립한다면 이 규정의 적용을 받기 때문입니다. GDPR이 무엇인지 간략히 살펴 보시고, 링크를 클릭하면 고용 관계시 주의해야 하는 GDPR에 대해 정보를 확인하실 수 있습니다. EU GDPR이란 유럽연합 일반 개인정보 보호법 ‘General Data Protection Regulation’ 2016년 5월, 유럽연합(이하 ‘EU’)에서 디지털 단일 시장에서 EU 회원국간 개인정보의 자유로운 이동을 보장하는 동시에 정보주체의 개인정보 보호 권리를 강화하는 내용의 ‘일반 개인정보 보호법(General Data Protection Regulation, 이하 “GDPR”)을 발효함에 따라, 2018년 5월 25일부터는 GDPR이 기존에 EU 개인정보 보호 기준을 제시하였던 ‘1995년 개인정보보호 지침’(Data Protection Directive 95/46/EC, 이하“Directive”)을 대체하여 적용됩니다. GDPR 제정 목적 GDPR은 자연인에 관한 개인정보 보호권을 보장하면서(제 1조 제2항) 동시에 EU 내에서의 개인정보의 자유로운 이동(제 1조 제3항)을 보장하기 위해 제정되었습니다. 기존 Directive(지침)에서는 회원국들 간에 개인정보 보호 관련 법제가 서로 달라 기업들이 개인정보를 자유롭게 이동시키고, 관련 활동함에 있어서 여러 가지 문제가 발생하였습니다. 따라서 지침이 아닌, 법적 구속력을 가지는 GDPR의 제정을 통해 보다 강력하고 통일적인 개인정보 보호 규제가 가능하게 되었습니다. 다만, 일부 규정에 대해서는 회원국에 입법을 위임하여 스스로 결정할 수 있는 여지를 두고 있습니다. GDPR 개인정보 처리 원칙 1. 적법성, 공정성, 투명성의 원칙 (Lawfulness, fairness and transparency) 2. 목적 제한의 원칙 (Purpose limitation) 3. 개인정보처리의 최소화 (Data minimisation) 4. 정확성의 원칙(Accuracy) 5. 보관기간 제한의 원칙 (Storage limitation) 6. 무결성 및 기밀성의 원칙 (Integrity and confidentiality) 7. 책임성의 원칙 (Accountability) 개인정보 처리의 적법성 개인정보는 필요에 의해 맘대로 처리되어서는 안되며, 반드시 법적 근거에 의해서만 처리되어야 합니다. GDPR 제6조 1항에는 여섯 가지 적법 처리 근거가 나와 있습니다. 따라서 개인정보를 처리하기 전 이 중에서 어느 근거에 의한 처리인지를 먼저 확인해야 하며, 처리 목적은 해당하는 근거에 의해 결정되어야 합니다. GDPR 여섯 가지 적법 처리 근거 내용 보기 정보주체의 권리 GDPR에서는 정보주체의 여러가지 권리를 명시하고 있습니다. 특히, 삭제권(‘잊힐권리’), 개인정보 이동권, 프로파일링을 포함한 자동화된 처리에 대한 선택권 등과 같은 권리를 명문화하여 기존 Directive보다 정보주체의 권리를 강화했습니다. GDPR에서는 정보주체의 각 권리와 관련하여 컨트롤러(controller)가 취해야 할 조치들을 규정하고 있으므로, 기업에서는 이러한 내용을 확인하여 GDPR에서 요구하는 수준으로 정보주체의 권리를 보장할 수 있는 방법과 절차를 마련해야 합니다. GDPR에 나오는 정보주체의 권리 보기 GDPR 물적 & 지리적 적용범위 GDPR은 EU에 사업장을 가지고 있는 기업 뿐만 아니라, EU에 사업장을 가지고 있지 않더라도 ① EU 내 정보주체인 거주자에게 재화나 서비스를 제공하거나 ② EU 내 정보주체인 거주자의 EU 내에서의 행동을 모니터링하는 기업 또한 적용 대상으로 규정하고 있습니다. GDPR의 적용 범위 자세히 알아보기 GDPR 제재 규정 GDPR 규정을 위반하는 경우, 기업들은 위반으로 인해 발생한 손해를 입은 정보주체에게 손해배상 책임을 져야하며, 위반 사항에 대해서는 과징금이 부과됩니다. 특히, 심각한 위반으로 판단되는 경우 직전 회계년도의 전세계 연간 매출액 4% 또는 2천만 유로 중 높은 금액을 과징금으로 부과하고 있습니다. GDPR에서 과징금 부과 대상에 해당하지 않는 위반 사항에 대해서는 각 회원국에서 별도로 규정하는 처벌 조항에 의해 제재를 받게 됩니다.