상품 및 서비스 제공하도자 하는 ‘의도’ 나타나면 적용돼
[보안뉴스 오다인 기자] 일주일 뒤면 유럽 일반개인정보보호법(GDPR: General Data Protection Regulation)이 시행된다. 지금 이 순간 국내 기업들 사이에 가장 큰 관심은 ‘우리 기업은 GDPR의 적용을 받을까?’ 하는 부분이다. 특히 웹사이트를 운영하는 기업들은 자사가 GDPR의 적용을 받는 것인지 아닌지 혼란스러워 하는 상황이다.
[이미지=iclickart]
어떤 기업이 GDPR의 적용을 받는지, 그리고 웹사이트를 운영하는 기업이라면 모두 GDPR의 적용을 받는지와 관련해 IT 및 개인정보보호 전문변호사인 이명준 하모니 법률사무소 대표변호사에게 전문적 소견을 듣고 핵심 질문 3가지로 간략히 정리해 봤다.
보안뉴스 : GDPR을 준수해야 하는 기업은 어떤 곳인가요?
이명준 변호사 : GDPR은 △EU 내에서 사업장을 운영하며 개인정보 처리를 수반하는 경우 △EU에 사업장을 가지고 있지 않더라도 EU 내의 정보주체인 거주자에게 재화나 서비스를 제공하는 경우 △EU 내의 정보주체인 거주자에 대해 EU 내에서의 행동을 모니터링 하는 경우 GDPR이 적용된다고 규정하고 있습니다. 이는 국내 기업에도 적용될 수 있습니다.
보안뉴스 : 왜 국내 기업들 사이에 적용 대상인지 아닌지 혼란이 생기나요?
이명준 변호사 : EU에 사업장을 가지고 있지 않더라도 EU 내의 정보주체인 거주자에게 재화나 서비스를 제공하는 경우와 관련해 해석의 여지가 남기 때문입니다. 기업의 웹사이트는 전 세계적으로 접근(access)할 수 있습니다. 이에 대한 해석에 따라 글로벌 비즈니스를 하는 대부분의 회사에 GDPR을 준수할 가능성이 생깁니다.
보안뉴스 : 웹사이트를 운영하는 기업이라면 EU 내의 정보주체인 거주자에게 상품과 서비스를 제공한다고 보는 것인지요?
이명준 변호사 : GDPR은 ‘웹사이트 그 자체만으로는 상품 및 서비스를 제공하고자 하는 ’의도‘를 나타내지는 않으나 △EU 회원국에서 일반적으로 쓰이는 언어로 상품 및 서비스를 판매하는 경우 △EU 회원국 통화(유로화, 영국 파운드화, 스위스 프랑 등)로 가격을 표시하는 경우 △기업이 광고 등에서 EU 거주자인 고객을 인용하는 경우에는 이러한 ’의도‘를 보여주는 것(Recital 23, 24)’이라고 해설하고 있습니다.
EU 사법재판소(Court Justice of EU)도 이러한 ‘의도’가 나타나는 사례와 관련해 △EU 회원국 내 접근을 용이하게 하기 위해 검색 엔진에 돈을 지불하는 것 △국제 관광 명시 △국제 전화번호 사용 △도메인명 사용(예: de 또는 eu) 등을 든 바 있습니다.
결론적으로, 국내 기업이 자사 웹사이트에 △국제 전화번호 명시 △EU 회원국 도메인명(예: .eu, .ie, .de) 사용 △EU 언어 번역 옵션 제공 △EU 통화 변환 옵션 제공 △EU 거주자 명시 광고 등을 했다면 GDPR의 적용을 받을 가능성이 크다고 볼 수 있습니다.
한편, 오는 5월 31일부터 6월 1일까지 서울 강남구 코엑스에서 열리는 ‘개인정보보호 페어(PIS FAIR) 2018’에는 베라 요로바(Věra Jourová) 유럽연합(EU) 사법총국 담당 집행위원이 직접 참석해 GDPR에 대한 국내 이해도를 높일 예정이다. 요로바 집행위원은 EU 집행위원회에서 사법 및 소비자 보호·권리, 성 평등 부문을 담당하고 있다.
[오다인 기자(boan2@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>