개인정보 보호법 적용 기준 및 주요 준수사항을 사례 중심으로 알기 쉽게 안내
국내외 사업자(개인정보처리자) 간 차별 없다는 점 강조
[표지=개인정보보호위원회]
[보안뉴스 김경애 기자] 개인정보보호를 위해 해외사업자가 준수해야 할 사항을 종합적으로 담은 ‘해외사업자의 개인정보 보호법 적용 안내서’(이하 ‘안내서’)가 발간돼 관심이 모아지고 있다.
개인정보보호위원회(위원장 고학수, 이하 개인정보위)는 “이번 안내서는 특히 지난해 개인정보 보호법(이하 보호법) 전면 개정과 관련해 해외사업자들이 그간 이행을 소홀히 했거나 개정 보호법 하에서 놓치기 쉬운 법적 의무사항을 명확히 하고 있다”며, 관련 전문가 자문 및 지난 1월 해외사업자 대상 현장 간담회에서 제시된 의견 등이 종합적으로 반영된 것이라고 밝혔다.
안내서에서는 우선 보호법의 적용 대상이 되는 해외사업자의 유형을 크게 세 가지로 나누었다. 구체적으로는 ①해외사업자가 한국 정보주체를 대상으로 재화 또는 서비스를 제공하는 경우 ②해외사업자의 개인정보 처리가 한국 정보주체에게 영향을 미치는 경우 ③해외사업자의 사업장이 한국 영토 내에 존재하는 경우 등이다.
첫째, 해외사업자가 한국 정보주체를 대상으로 재화 또는 서비스를 제공하고 있다면 보호법을 준수해야 한다. 이때 한국 정보주체를 대상으로 재화 또는 서비스를 제공하고 있는지 여부는 언어(한국어), 통화(currency), 서비스 제공 형태 및 방식 등을 종합적으로 고려해 판단한다.
둘째, 한국 정보주체를 대상으로 재화 또는 서비스를 제공하지 않더라도 한국 정보주체의 개인정보를 처리해 한국 정보주체에게 직접적이고 상당한 영향을 미치는 경우에는 해당 해외사업자에게도 보호법이 적용될 수 있다.
예컨대, 해외사업자가 제공하는 서비스가 한국 정보주체를 대상으로 하지 않더라도 한국 정보주체의 개인정보를 수집해 웹사이트에 공개하고 있다면 상당한 영향을 미치는 경우에 해당하므로 보호법을 준수해야 한다.
마지막으로, 해외사업자가 재화 또는 서비스를 제공하면서 한국 내 개인정보가 처리되는 사업장을 두고 있는 경우에도 보호법이 적용될 수 있다. 예를 들어, 글로벌 서비스 업체가 개인정보 처리방침상 한국 정보주체에 대한 개인정보처리자로 한국 법인을 명시하고 있다면 해당 한국 법인이 보호법 적용 대상이 된다. 다만, 개인정보의 처리가 한국 사업장의 활동과 련성이 없는 경우에는 달리 판단될 수 있다.
다음으로, 안내서는 개정 보호법과 관련해 해외사업자가 특히 유의해야 할 사항에 대한 법적의무 이행을 강조했다. 법적의무 이행은 14세 미만 아동 법정대리인(제22조의2), 국외이전(제28조의8), 처리방침 공개방법(제30조), 유출통지 및 신고(제34조), 열람, 정정‧삭제, 처리정지 등 정보주체 권리보장(제35~38조) 등이다.
해외사업자도 국내사업자와 마찬가지로 정보주체의 개인정보 유출을 인지한 후 72시간 내에 개인정보위에 신고해야 하고, 해당 정보주체에게 통지할 의무가 있다. 이때 구체적 내용 확인 전이라도 해당 시점까지 알게 된 내용을 중심으로 우선 통지 및 신고해야 한다고 명시했다.
또한 해외에서 한국 정보주체의 개인정보를 처리할 경우, 처리 사실과 해당 국가‧사업자명 등을 명확히 기재할 의무가 있음을 강조하고, 정보주체에게 열람되는 개인정보 처리방침은 보호법에서 정한 항목을 모두 포함시켜 가독성을 높일 것을 권고했다.
이를테면 해외사업자 본인이 아닌 제3자가 개인정보를 처리하도록 하는 경우, 그 내용을 보호법에 따라 제3자 제공 또는 위탁으로 구분해 작성해야 하고, 이를 일괄해 공유(Share)로 작성해서는 안 된다.
아울러, 국내 법인이 존재하는 해외사업자가 국내대리인을 지정해야 하는 경우, 해당 법인을 우선적으로 국내 대리인으로 지정하는 것이 바람직하다고 안내했다.
해당 법인 기준은 ①전년도 전체 매출액 1조원 이상 ②전년도 말 기준 직전 3개월 간 개인정보가 저장‧관리되고 있는 국내 정보주체의 수가 일일평균 100만 명 이상 ③자료의 제출을 요구받은 자로서 국내대리인을 지정할 필요가 있다고 보호위원원회가 심의‧의결한 자이다.
개인정보위는 이번 안내서가 적극 활용될 수 있도록 개인정보위 누리집(개인정보위 누리집>법령‧정책>법령정보>지침(가이드라인)에서 내려받기 가능) 및 개인정보 포털(개인정보 포털>자료>지침자료에서 내려받기 가능) 등에 공개하는 한편, 영문 안내서도 4월 중 누리집 등에 게시하고 주요 해외 감독기구 등과 공유할 계획이다.
개인정보위는 “글로벌 온라인 서비스가 보편화된 환경 하에서, 국내외 사업자를 막론하고 보호법은 동일하게 적용된다”라고 강조하면서 “이번 안내서를 계기로 해외사업자들이 국내의 법적 요건을 좀 더 깊이 이해하고, 준수함으로써 우리 정보주체의 개인정보를 안전하게 보호하는 데 기여해 줄 것”을 당부했다.
[김경애 기자(boan3@boannews.com)]
국내외 사업자(개인정보처리자) 간 차별 없다는 점 강조
[표지=개인정보보호위원회]
[보안뉴스 김경애 기자] 개인정보보호를 위해 해외사업자가 준수해야 할 사항을 종합적으로 담은 ‘해외사업자의 개인정보 보호법 적용 안내서’(이하 ‘안내서’)가 발간돼 관심이 모아지고 있다.
개인정보보호위원회(위원장 고학수, 이하 개인정보위)는 “이번 안내서는 특히 지난해 개인정보 보호법(이하 보호법) 전면 개정과 관련해 해외사업자들이 그간 이행을 소홀히 했거나 개정 보호법 하에서 놓치기 쉬운 법적 의무사항을 명확히 하고 있다”며, 관련 전문가 자문 및 지난 1월 해외사업자 대상 현장 간담회에서 제시된 의견 등이 종합적으로 반영된 것이라고 밝혔다.
안내서에서는 우선 보호법의 적용 대상이 되는 해외사업자의 유형을 크게 세 가지로 나누었다. 구체적으로는 ①해외사업자가 한국 정보주체를 대상으로 재화 또는 서비스를 제공하는 경우 ②해외사업자의 개인정보 처리가 한국 정보주체에게 영향을 미치는 경우 ③해외사업자의 사업장이 한국 영토 내에 존재하는 경우 등이다.
첫째, 해외사업자가 한국 정보주체를 대상으로 재화 또는 서비스를 제공하고 있다면 보호법을 준수해야 한다. 이때 한국 정보주체를 대상으로 재화 또는 서비스를 제공하고 있는지 여부는 언어(한국어), 통화(currency), 서비스 제공 형태 및 방식 등을 종합적으로 고려해 판단한다.
둘째, 한국 정보주체를 대상으로 재화 또는 서비스를 제공하지 않더라도 한국 정보주체의 개인정보를 처리해 한국 정보주체에게 직접적이고 상당한 영향을 미치는 경우에는 해당 해외사업자에게도 보호법이 적용될 수 있다.
예컨대, 해외사업자가 제공하는 서비스가 한국 정보주체를 대상으로 하지 않더라도 한국 정보주체의 개인정보를 수집해 웹사이트에 공개하고 있다면 상당한 영향을 미치는 경우에 해당하므로 보호법을 준수해야 한다.
마지막으로, 해외사업자가 재화 또는 서비스를 제공하면서 한국 내 개인정보가 처리되는 사업장을 두고 있는 경우에도 보호법이 적용될 수 있다. 예를 들어, 글로벌 서비스 업체가 개인정보 처리방침상 한국 정보주체에 대한 개인정보처리자로 한국 법인을 명시하고 있다면 해당 한국 법인이 보호법 적용 대상이 된다. 다만, 개인정보의 처리가 한국 사업장의 활동과 련성이 없는 경우에는 달리 판단될 수 있다.
다음으로, 안내서는 개정 보호법과 관련해 해외사업자가 특히 유의해야 할 사항에 대한 법적의무 이행을 강조했다. 법적의무 이행은 14세 미만 아동 법정대리인(제22조의2), 국외이전(제28조의8), 처리방침 공개방법(제30조), 유출통지 및 신고(제34조), 열람, 정정‧삭제, 처리정지 등 정보주체 권리보장(제35~38조) 등이다.
해외사업자도 국내사업자와 마찬가지로 정보주체의 개인정보 유출을 인지한 후 72시간 내에 개인정보위에 신고해야 하고, 해당 정보주체에게 통지할 의무가 있다. 이때 구체적 내용 확인 전이라도 해당 시점까지 알게 된 내용을 중심으로 우선 통지 및 신고해야 한다고 명시했다.
또한 해외에서 한국 정보주체의 개인정보를 처리할 경우, 처리 사실과 해당 국가‧사업자명 등을 명확히 기재할 의무가 있음을 강조하고, 정보주체에게 열람되는 개인정보 처리방침은 보호법에서 정한 항목을 모두 포함시켜 가독성을 높일 것을 권고했다.
이를테면 해외사업자 본인이 아닌 제3자가 개인정보를 처리하도록 하는 경우, 그 내용을 보호법에 따라 제3자 제공 또는 위탁으로 구분해 작성해야 하고, 이를 일괄해 공유(Share)로 작성해서는 안 된다.
아울러, 국내 법인이 존재하는 해외사업자가 국내대리인을 지정해야 하는 경우, 해당 법인을 우선적으로 국내 대리인으로 지정하는 것이 바람직하다고 안내했다.
해당 법인 기준은 ①전년도 전체 매출액 1조원 이상 ②전년도 말 기준 직전 3개월 간 개인정보가 저장‧관리되고 있는 국내 정보주체의 수가 일일평균 100만 명 이상 ③자료의 제출을 요구받은 자로서 국내대리인을 지정할 필요가 있다고 보호위원원회가 심의‧의결한 자이다.
개인정보위는 이번 안내서가 적극 활용될 수 있도록 개인정보위 누리집(개인정보위 누리집>법령‧정책>법령정보>지침(가이드라인)에서 내려받기 가능) 및 개인정보 포털(개인정보 포털>자료>지침자료에서 내려받기 가능) 등에 공개하는 한편, 영문 안내서도 4월 중 누리집 등에 게시하고 주요 해외 감독기구 등과 공유할 계획이다.
개인정보위는 “글로벌 온라인 서비스가 보편화된 환경 하에서, 국내외 사업자를 막론하고 보호법은 동일하게 적용된다”라고 강조하면서 “이번 안내서를 계기로 해외사업자들이 국내의 법적 요건을 좀 더 깊이 이해하고, 준수함으로써 우리 정보주체의 개인정보를 안전하게 보호하는 데 기여해 줄 것”을 당부했다.
[김경애 기자(boan3@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
