공공기관 최대 행정 과태료 수준 낮추고 표현의 자유를 위한 개인정보 처리 허용
GDPR 시행 후 체코 내 GDPR 과징금 부과 사례 없으나, 자국법 통과에 따라 추후 상황 주시 필요
[보안뉴스 원병철 기자] 체코가 EU 국가 중 늦게 GDPR에 따른 자국법을 통과시켰다. 다만 이제 하원을 통과했으며, 상원과 대통령 승인도 남았기 때문에 완전 적용까지는 시간이 더 걸릴 것으로 보인다.
▲체코 성 비투스 대성당[이미지=iclickart]
KOTRA 체코 프라하무역관은 체코가 2018년 12월 GDPR에 따른 자국법이 하원을 통과했다고 설명했다. KOTRA에 따르면 체코는 GDPR에 따른 자국법 도입이 가장 늦은 EU 회원국 중 하나로, GDPR 시행이 미리 예고된 만큼 주요 유럽 국가들은 GDPR 시행에 맞춰 관련 자국법을 도입했으나, 체코는 시행을 조금 앞둔 2018년 3월 말에서야 체코 내무부가 GDPR에 따른 자국법 초안을 의회에 제출했다.
체코의 개인정보 보호법 신규 법안은 2018년 12월 5일에 하원을 통과했다. 물론 신규 법안이 발효되기 전까지 상원 통과 및 대통령의 승인 절차가 아직 남아 있지만, 체코 경제지 ‘Hospodarske noviny’는 상원도 개정안에 동의할 것으로 예상되며, 개정안 발효는 2019년 1분기로 예상된다고 보도한바 있다.
체코 개인정보 보호법 초안 주요 내용
체코 개인정보 보호법 초안 주요 내용을 살펴보면, 기존의 개인정보 보호법(No. 101/2000 Coll.)을 대체하는 신규 법안은 개인정보보호 담당기관, 과태료, 표현 및 정보의 자유권과 개인정보 보호권과의 균형 유지(조화) 등 회원국이 유럽 집행위에 규정 통보가 필요한 항목에 대해 규정하고 있다. 체코의 개인정보보호 담당기관은 체코 개인정보보호국(The office for personal data protection, UOOU)으로 GDPR하에 일반 관할권을 가진 감독당국이다.
먼저 체코 개인정보 보호법 초안에는 공공기관 및 기구에 부과하는 최대 행정 과태료의 수준을 낮췄다. GDPR 규정(제83조 7항)에 각 회원국은 공공기관 및 기구에 부과하는 행정 과태료를 규정할 수 있다고 명시했는데(회원국의 법제가 행정 과태료를 규정하지 않는 경우 GDPR 규정에 따름), 이에 따라 체코 개인정보 보호법 초안 60조 및 61조에서는 공공기관에 부과하는 최대 과태료를 GDPR 최대 과징금 수준보다 낮은 1,000만 코루나(약 39만 유로)로 규정했다. 또한, 학교, 지자체 및 지자체 소속기관에 부과하는 최대 과태료는 1,500만 코루나(약 58만 유로)로 규정했다.
또한, 공개금지가 법으로 규정된 개인정보의 공개에 대한 벌금 항목도 있는데, 체코 개인정보 보호법 초안 59조에는 법(예: 형사 소송법)으로 공개금지가 규정된 개인정보의 불법적 공개에 대한 행정위반 벌금이 100만 코루나(약 4만 유로)에 달할 수 있다고 명시돼 있다. 그리고 이러한 행정위반이 인쇄물, 영화, 라디오, 텔레비전 및 공개적으로 접근 가능한 컴퓨터 네트워크 또는 기타 유사한 수단을 통해 수행되는 경우에는 최대 500만 코루나(약 20만 유로)의 벌금이 부과된다.
표현의 자유를 위한 개인정보 처리 허용도 담겼다. GDPR 규정(제85조 1항 및 2항)에는 언론 목적이나 학술, 예술 또는 문학적 표현의 목적으로 시행되는 개인정보 처리에 대해 회원국이 개인정보 보호권과 표현 및 정보의 자유권 사이의 균형을 유지시켜야 한다고 명시되어 있다. 이에 따라 체코 개인정보 보호법 초안 16조에는 언론 목적이나 학문, 예술 또는 문학적 표현을 목적으로 한 적절한 수단으로서 개인정보 처리를 허용할 수 있다고 명시되어 있다.
GDPR 시행 후 현황
GDPR은 각 회원국의 자국법 도입 여부와 상관없이 법적 구속력을 가지나, 체코 자국법이 마련되지 않아 체코에 소재한 기업들은 GDPR 준수여부에 대한 혼란이 있었다. 체코 인터넷개발협회(SPIR) 매니저 Jana Břeská에 따르면, 체코 자국법이 도입되지 않아 GDPR 실행 점검 및 적응에 혼란을 불러오고 상황을 복잡하게 만들었다고 한다. 또한, GDPR 컨설팅을 진행하는 Iora 법률사무소 현지 변호사에 따르면, 체코 내 기업이 GDPR 시행 후 대부분 적극적인 대응책 마련보다는 기본적인 내부정비 단계로 대응하는 것으로 파악된다. 향후 체코 개인정보 보호법이 발효된 후 담당기관인 UOOU의 감독 및 대응 변화가 있을 때까지 주시하는 상황이라는 의견도 제시됐다.
이후 강화된 개인정보보법으로 인해 개인정보 남용이 공개적으로 논의되기 시작했고 개인정보에 대한 개인 권리 인식이 높아졌다. 그 증거로 2018년 8월까지 체코 개인정보보호국(UOOU)에 접수된 개인정보 관련 불만이 전년 동기 대비 2배 수준인 2,230건으로 증가했다. 그러나 아직 자국법이 발효되기 전이기 때문에 법률 위반으로 인해 과징금을 부과한 경우는 없다.
주요 불만사항은 불필요하고 불법적인 동의 및 텔레마케팅, 연락처 정보 재판매 등으로 나타다. 또한, 고객뿐만 아니라 비즈니스 파트너 관계에서도 불필요한 개인정보 처리 계약이 불만사항 중 하나로, Rowan Legal 법률사무소 담당자에 따르면 일반적인 공급업체와 고객사 관계에서는 개인정보 처리 계약이 불필요하다고 밝혔다.
GDPR 시행에 따라 대다수의 기업이 고객의 개인정보 활용에 대한 동의서를 배포했으나, 이 중에는 불필요한 동의 요청도 많은 것으로 나타났다. UOOU 회장 Ivan Janů에 따르면, 은행업무 또는 통신 서비스 제공의 경우 고객의 정보로 업무를 수행하는 것이 운영자와 고객 간의 계약을 기반으로 하고, 특히 은행은 돈세탁 방지 법률에 따라 고객정보를 요청할 수 있기 때문에 동의가 불필요하다. GDPR에 따르면 이는 개인정보를 수집하고 보유하는 타당한 이유라고 밝힘. 고객의 정보를 필요로 하지 않는 기업에서도 개인정보 처리 권한을 고객에게 요청하거나 일부는 신규 고객을 얻기 위한 마케팅 전략으로도 불필요한 동의요청을 하는 경우가 있는데, 필요 이상의 정보 동의 요청도 GDPR에 따른 위반사항이기 때문에 주의가 필요하다.
이번 체코 자국법의 하원 통과로 2019년에는 개정된 개인정보 보호법이 발효될 것으로 예상되고 감독 당국의 감시활동 및 위반대응도 보다 활발해질 것으로 예상됨에 따라 체코 소재 우리 기업은 더 각별한 주의가 요구된다. 자국법 내에서 규정할 수 있는 부분을 도입한 것으로 기본적인 위반사항 및 정보보호 규정은 GDPR을 따르는 것이나, 자국법이 마련됨에 따라 체코 개인정보보호국에서 보다 확실한 기준을 가지고 감독활동을 수행할 것으로 보인다. 특히, 개인정보 처리를 주된 비즈니스로 하는 기업이나 대량의 고객 개인정보를 주기적으로 다루는 기업의 경우 철저한 대비가 필요하다.
또한 EU 역내 기업은 이미 자국법에 따라 EU 역외 기업보다 엄격한 개인정보보호 기준을 마련하고 있기 때문에, 한국에서 통용되는 개인정보라고 해도 EU 역내에서는 불법인 경우가 있으므로 개인정보에 대한 인식 제고가 필요하다. 예를 들면, 체코에서는 직원의 개인정보 중에 오직 현재 직무수행과 관련된 정보만 수집이 가능하고 그 외 직원의 가족사항, 재산사항, 직무수행과 관련 없는 건강사항, 종교, 노동조합 가입여부 등의 개인정보 수집은 불법이다. 따라서 이와 같은 개인정보로 인해 문제가 발생하지 않도록 유의해야 한다.
Iora 법률사무소 현지 변호사의 의견에 따르면 GDPR의 목적은 기업의 활동 감시가 아닌 EU 내의 개인정보보호를 단일화하고 체계적으로 하기 위함이 크기 때문에 모든 기업이 GDPR에 대해 과도한 불안감을 가질 필요는 없다. 물론 GDPR을 인지하고 대응하는 것은 중요하기 때문에 내부적인 개인정보 관리체계를 정비 및 문서화하고 이를 준수하는 기본적인 것부터 시작해야 한다. 또한 개인정보 활용 정도에 따라 기업의 상황에 맞는 개인정보 보호체계 구축을 위한 적절한 투자를 고려해야 할 것이다.
[원병철 기자(boanone@boannews.com)]
GDPR 시행 후 체코 내 GDPR 과징금 부과 사례 없으나, 자국법 통과에 따라 추후 상황 주시 필요
[보안뉴스 원병철 기자] 체코가 EU 국가 중 늦게 GDPR에 따른 자국법을 통과시켰다. 다만 이제 하원을 통과했으며, 상원과 대통령 승인도 남았기 때문에 완전 적용까지는 시간이 더 걸릴 것으로 보인다.
▲체코 성 비투스 대성당[이미지=iclickart]
KOTRA 체코 프라하무역관은 체코가 2018년 12월 GDPR에 따른 자국법이 하원을 통과했다고 설명했다. KOTRA에 따르면 체코는 GDPR에 따른 자국법 도입이 가장 늦은 EU 회원국 중 하나로, GDPR 시행이 미리 예고된 만큼 주요 유럽 국가들은 GDPR 시행에 맞춰 관련 자국법을 도입했으나, 체코는 시행을 조금 앞둔 2018년 3월 말에서야 체코 내무부가 GDPR에 따른 자국법 초안을 의회에 제출했다.
체코의 개인정보 보호법 신규 법안은 2018년 12월 5일에 하원을 통과했다. 물론 신규 법안이 발효되기 전까지 상원 통과 및 대통령의 승인 절차가 아직 남아 있지만, 체코 경제지 ‘Hospodarske noviny’는 상원도 개정안에 동의할 것으로 예상되며, 개정안 발효는 2019년 1분기로 예상된다고 보도한바 있다.
체코 개인정보 보호법 초안 주요 내용
체코 개인정보 보호법 초안 주요 내용을 살펴보면, 기존의 개인정보 보호법(No. 101/2000 Coll.)을 대체하는 신규 법안은 개인정보보호 담당기관, 과태료, 표현 및 정보의 자유권과 개인정보 보호권과의 균형 유지(조화) 등 회원국이 유럽 집행위에 규정 통보가 필요한 항목에 대해 규정하고 있다. 체코의 개인정보보호 담당기관은 체코 개인정보보호국(The office for personal data protection, UOOU)으로 GDPR하에 일반 관할권을 가진 감독당국이다.
먼저 체코 개인정보 보호법 초안에는 공공기관 및 기구에 부과하는 최대 행정 과태료의 수준을 낮췄다. GDPR 규정(제83조 7항)에 각 회원국은 공공기관 및 기구에 부과하는 행정 과태료를 규정할 수 있다고 명시했는데(회원국의 법제가 행정 과태료를 규정하지 않는 경우 GDPR 규정에 따름), 이에 따라 체코 개인정보 보호법 초안 60조 및 61조에서는 공공기관에 부과하는 최대 과태료를 GDPR 최대 과징금 수준보다 낮은 1,000만 코루나(약 39만 유로)로 규정했다. 또한, 학교, 지자체 및 지자체 소속기관에 부과하는 최대 과태료는 1,500만 코루나(약 58만 유로)로 규정했다.
또한, 공개금지가 법으로 규정된 개인정보의 공개에 대한 벌금 항목도 있는데, 체코 개인정보 보호법 초안 59조에는 법(예: 형사 소송법)으로 공개금지가 규정된 개인정보의 불법적 공개에 대한 행정위반 벌금이 100만 코루나(약 4만 유로)에 달할 수 있다고 명시돼 있다. 그리고 이러한 행정위반이 인쇄물, 영화, 라디오, 텔레비전 및 공개적으로 접근 가능한 컴퓨터 네트워크 또는 기타 유사한 수단을 통해 수행되는 경우에는 최대 500만 코루나(약 20만 유로)의 벌금이 부과된다.
표현의 자유를 위한 개인정보 처리 허용도 담겼다. GDPR 규정(제85조 1항 및 2항)에는 언론 목적이나 학술, 예술 또는 문학적 표현의 목적으로 시행되는 개인정보 처리에 대해 회원국이 개인정보 보호권과 표현 및 정보의 자유권 사이의 균형을 유지시켜야 한다고 명시되어 있다. 이에 따라 체코 개인정보 보호법 초안 16조에는 언론 목적이나 학문, 예술 또는 문학적 표현을 목적으로 한 적절한 수단으로서 개인정보 처리를 허용할 수 있다고 명시되어 있다.
GDPR 시행 후 현황
GDPR은 각 회원국의 자국법 도입 여부와 상관없이 법적 구속력을 가지나, 체코 자국법이 마련되지 않아 체코에 소재한 기업들은 GDPR 준수여부에 대한 혼란이 있었다. 체코 인터넷개발협회(SPIR) 매니저 Jana Břeská에 따르면, 체코 자국법이 도입되지 않아 GDPR 실행 점검 및 적응에 혼란을 불러오고 상황을 복잡하게 만들었다고 한다. 또한, GDPR 컨설팅을 진행하는 Iora 법률사무소 현지 변호사에 따르면, 체코 내 기업이 GDPR 시행 후 대부분 적극적인 대응책 마련보다는 기본적인 내부정비 단계로 대응하는 것으로 파악된다. 향후 체코 개인정보 보호법이 발효된 후 담당기관인 UOOU의 감독 및 대응 변화가 있을 때까지 주시하는 상황이라는 의견도 제시됐다.
이후 강화된 개인정보보법으로 인해 개인정보 남용이 공개적으로 논의되기 시작했고 개인정보에 대한 개인 권리 인식이 높아졌다. 그 증거로 2018년 8월까지 체코 개인정보보호국(UOOU)에 접수된 개인정보 관련 불만이 전년 동기 대비 2배 수준인 2,230건으로 증가했다. 그러나 아직 자국법이 발효되기 전이기 때문에 법률 위반으로 인해 과징금을 부과한 경우는 없다.
주요 불만사항은 불필요하고 불법적인 동의 및 텔레마케팅, 연락처 정보 재판매 등으로 나타다. 또한, 고객뿐만 아니라 비즈니스 파트너 관계에서도 불필요한 개인정보 처리 계약이 불만사항 중 하나로, Rowan Legal 법률사무소 담당자에 따르면 일반적인 공급업체와 고객사 관계에서는 개인정보 처리 계약이 불필요하다고 밝혔다.
GDPR 시행에 따라 대다수의 기업이 고객의 개인정보 활용에 대한 동의서를 배포했으나, 이 중에는 불필요한 동의 요청도 많은 것으로 나타났다. UOOU 회장 Ivan Janů에 따르면, 은행업무 또는 통신 서비스 제공의 경우 고객의 정보로 업무를 수행하는 것이 운영자와 고객 간의 계약을 기반으로 하고, 특히 은행은 돈세탁 방지 법률에 따라 고객정보를 요청할 수 있기 때문에 동의가 불필요하다. GDPR에 따르면 이는 개인정보를 수집하고 보유하는 타당한 이유라고 밝힘. 고객의 정보를 필요로 하지 않는 기업에서도 개인정보 처리 권한을 고객에게 요청하거나 일부는 신규 고객을 얻기 위한 마케팅 전략으로도 불필요한 동의요청을 하는 경우가 있는데, 필요 이상의 정보 동의 요청도 GDPR에 따른 위반사항이기 때문에 주의가 필요하다.
이번 체코 자국법의 하원 통과로 2019년에는 개정된 개인정보 보호법이 발효될 것으로 예상되고 감독 당국의 감시활동 및 위반대응도 보다 활발해질 것으로 예상됨에 따라 체코 소재 우리 기업은 더 각별한 주의가 요구된다. 자국법 내에서 규정할 수 있는 부분을 도입한 것으로 기본적인 위반사항 및 정보보호 규정은 GDPR을 따르는 것이나, 자국법이 마련됨에 따라 체코 개인정보보호국에서 보다 확실한 기준을 가지고 감독활동을 수행할 것으로 보인다. 특히, 개인정보 처리를 주된 비즈니스로 하는 기업이나 대량의 고객 개인정보를 주기적으로 다루는 기업의 경우 철저한 대비가 필요하다.
또한 EU 역내 기업은 이미 자국법에 따라 EU 역외 기업보다 엄격한 개인정보보호 기준을 마련하고 있기 때문에, 한국에서 통용되는 개인정보라고 해도 EU 역내에서는 불법인 경우가 있으므로 개인정보에 대한 인식 제고가 필요하다. 예를 들면, 체코에서는 직원의 개인정보 중에 오직 현재 직무수행과 관련된 정보만 수집이 가능하고 그 외 직원의 가족사항, 재산사항, 직무수행과 관련 없는 건강사항, 종교, 노동조합 가입여부 등의 개인정보 수집은 불법이다. 따라서 이와 같은 개인정보로 인해 문제가 발생하지 않도록 유의해야 한다.
Iora 법률사무소 현지 변호사의 의견에 따르면 GDPR의 목적은 기업의 활동 감시가 아닌 EU 내의 개인정보보호를 단일화하고 체계적으로 하기 위함이 크기 때문에 모든 기업이 GDPR에 대해 과도한 불안감을 가질 필요는 없다. 물론 GDPR을 인지하고 대응하는 것은 중요하기 때문에 내부적인 개인정보 관리체계를 정비 및 문서화하고 이를 준수하는 기본적인 것부터 시작해야 한다. 또한 개인정보 활용 정도에 따라 기업의 상황에 맞는 개인정보 보호체계 구축을 위한 적절한 투자를 고려해야 할 것이다.
[원병철 기자(boanone@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg){kind=spacer}
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
