비밀번호

커뮤니티2

CZ/SK 비즈니스/법률

체코, EU GDPR에 따른 자국법 하원 통과(12/2018)

체코, EU GDPR에 따른 자국법 하원 통과
2018-12-31 정지연 체코 프라하무역관

- 2018년 12월 5일 GDPR에 따른 체코 자국법 하원 통과 -
- 공공기관 최대 행정 과태료 수준 낮추고 표현의 자유를 위한 개인정보 처리 허용 -
- GDPR 시행 후 체코 내 GDPR 과징금 부과 사례 없으나, 자국법 통과에 따라 추후 상황 주시 필요 -


□ GDPR 개요

  ㅇ EU의 강화된 개인정보 보호 규정인 GDPR(General Data Protection Regulation)이 2018년 5월 25일부터 전면 시행됐음.
    - GDPR은 기존의 개인정보에 대한 가이드라인 역할에 제한됐던 지침에서 EU 회원국에 법적 구속력을 가지는 규정(Regulation)으로 강화됐으며, EU에 소재하는 기업뿐만 아니라 EU 시민에게 재화나 서비스를 제공하는 기업이 모두 해당돼 기업활동에 큰 영향을 미침.

  ㅇ 과징금 수준도 강화돼 대리인 미지정 위반 등의 일반적인 위반사항에 대해서는 전 세계 매출액의 2% 또는 1000만 유로 중 높은 금액이, 개인정보의 국외 이전 규정 위반 등 중요한 위반사항에 대해서는 전 세계 매출액 4% 또는 2000만 유로 중 높은 금액이 부과됨.

  ㅇ EU는 각 회원국이 별도로 각 자국법에서 규정이 필요한 일부 규정 항목을 명시했으며, GDPR 발효일로부터 2년까지 규정 항목에 따라 채택하는 자국법의 조문을 집행위원회에 통보해야 한다고 명시함.


□ 체코 개인정보 보호법 진행 상황

  ㅇ 체코는 GDPR에 따른 자국법 도입이 가장 늦은 EU 회원국 중 하나임.
    - GDPR 시행이 미리 예고된 만큼 주요 유럽국가들은 GDPR 시행에 맞춰 관련 자국법을 도입했으나, 체코는 시행을 조금 앞둔 2018년 3월 말에서야 체코 내무부가 GDPR에 따른 자국법 초안을 의회에 제출함.

  ㅇ 체코의 개인정보 보호법 신규 법안이 2018년 12월 5일에 하원을 통과함.
    - 신규 법안이 발효되기 전까지 상원 통과 및 대통령의 승인 절차가 아직 남아 있음.
    - 체코 경제지 Hospodarske noviny에 따르면 상원도 개정안에 동의할 것으로 예상되며, 개정안 발효는 2019년 1분기로 예상된다고 보도함.


□ 체코 개인정보 보호법 초안 주요 내용

  ㅇ 기존의 개인정보 보호법(No. 101/2000 Coll.)을 대체하는 신규 법안은 개인정보보호 담당기관, 과태료, 표현 및 정보의 자유권과 개인정보 보호권과의 균형 유지(조화) 등 회원국이 유럽 집행위에 규정 통보가 필요한 항목에 대해 규정함.

  ㅇ 체코의 개인정보보호 담당기관은 체코 개인정보보호국(The office for personal data protection, UOOU)으로 GDPR하에 일반 관할권을 가진 감독당국임.

  ㅇ 공공기관 및 기구 부과 최대 행정 과태료 수준 낮춤
    - GDPR 규정(제83조 7항)에 각 회원국은 공공기관 및 기구에 부과하는 행정 과태료를 규정할 수 있다고 명시함. (회원국의 법제가 행정 과태료를 규정하지 않는 경우 GDPR 규정에 따름)
    - 이에 따라 체코 개인정보 보호법 초안 60조 및 61조에서는 공공기관에 부과하는 최대 과태료를 GDPR 최대 과징금 수준보다 낮은 1000만 코루나(약 39만 유로)로 규정함.
    - 또한, 학교, 지자체 및 지자체 소속기관에 부과하는 최대 과태료는 1500만 코루나(약 58만 유로)로 규정함.

  ㅇ 공개금지가 법으로 규정된 개인정보의 공개에 대한 벌금
    - 체코 개인정보 보호법 초안 59조에는 법(예: 형사 소송법)으로 공개금지가 규정된 개인정보의 불법적 공개에 대한 행정위반 벌금이 100만 코루나(약 4만 유로)에 달할 수 있다고 명시돼 있음.
    - 또한, 이러한 행정위반이 인쇄물, 영화, 라디오, 텔레비전 및 공개적으로 접근 가능한 컴퓨터 네트워크 또는 기타 유사한 수단을 통해 수행되는 경우에는 최대 500만 코루나(약 20만 유로)의 벌금이 부과됨.

  ㅇ 표현의 자유를 위한 개인정보 처리 허용
    - GDPR 규정(제85조 1항 및 2항)에 언론 목적이나 학술, 예술 또는 문학적 표현의 목적으로 시행되는 개인정보 처리에 대해 회원국이 개인정보 보호권과 표현 및 정보의 자유권 사이의 균형을 유지시켜야 한다고 명시함.
    - 이에 따라 체코 개인정보 보호법 초안 16조에 언론 목적이나 학문, 예술 또는 문학적 표현을 목적으로 한 적절한 수단으로서 개인정보 처리를 허용함을 명시함.
 

□ GDPR 시행 후 현황

  ㅇ GDPR은 각 회원국의 자국법 도입 여부와 상관없이 법적 구속력을 가지나, 체코 자국법이 마련되지 않아 체코에 소재한 기업들은 GDPR 준수여부에 대한 혼란이 있었음.
    - 체코 인터넷개발협회(SPIR) 매니저 Jana Břeská에 따르면, 체코 자국법이 도입되지 않아 GDPR 실행 점검 및 적응에 혼란을 불러오고 상황을 복잡하게 만들었다고 밝힘.
    - GDPR 컨설팅을 진행하는 Iora 법률사무소 현지 변호사에 따르면, 체코 내 기업이 GDPR 시행 후 대부분 적극적인 대응책 마련보다는 기본적인 내부정비 단계로 대응하는 것으로 파악된다고 밝힘. 또한, 향후 체코 개인정보 보호법이 발효된 후 담당기관인 UOOU의 감독 및 대응 변화가 있을 때까지 주시하는 상황이라고 의견을 밝힘.

  ㅇ 강화된 개인정보보법으로 인해 개인정보 남용이 공개적으로 논의되기 시작했고 개인정보에 대한 개인 권리 인식이 높아짐.
    - 그 증거로 2018년 8월까지 체코 개인정보보호국(UOOU)에 접수된 개인정보 관련 불만이 전년동기 대비 2배 수준인 2230건으로 증가함. 그러나 아직 자국법이 발효되기 전이기 때문에 법률 위반으로 인해 과징금을 부과한 경우는 없음.
    - 주요 불만사항은 불필요하고 불법적인 동의 및 텔레마케팅, 연락처 정보 재판매 등으로 나타남.
    - 또한, 고객 뿐만 아니라 비즈니스 파트너 관계에서도 불필요한 개인정보 처리 계약이 불만사항 중 하나로, Rowan Legal 법률사무소 담당자에 따르면 일반적인 공급업체와 고객사 관계에서는 개인정보 처리 계약이 불필요하다고 밝힘.

GDPR_고발_예시_1.png
[ 자료원: 체코 개인정보보호국(UOOU), Hospodarske noviny ]

  ㅇ GDPR 시행에 따라 대다수의 기업이 고객의 개인정보 활용에 대한 동의서를 배포했으나, 이 중에는 불필요한 동의 요청도 많은 것으로 나타남.
    - UOOU 회장 Ivan Janů에 따르면, 은행업무 또는 통신 서비스 제공의 경우 고객의 정보로 업무를 수행하는 것이 운영자와 고객 간의 계약을 기반으로 하고, 특히 은행은 돈세탁 방지 법률에 따라 고객정보를 요청할 수 있기 때문에 동의가 불필요함. GDPR에 따르면 이는 개인정보를 수집하고 보유하는 타당한 이유라고 밝힘.
    - 고객의 정보를 필요로 하지 않는 기업에서도 개인정보 처리 권한을 고객에게 요청하거나 일부는 신규 고객을 얻기 위한 마케팅 전략으로도 불필요한 동의요청을 하는 경우가 있음. 필요 이상의 정보 동의 요청도 GDPR에 따른 위반사항이기 때문에 주의가 필요함.


□ 시사점

  ㅇ 체코 자국법 하원 통과로 2019년에는 개정된 개인정보 보호법이 발효될 것으로 예상되고 감독 당국의 감시활동 및 위반대응도 보다 활발해질 것으로 예상됨에 따라 체코 소재 우리 기업은 더 각별한 주의가 요구됨.
    - 자국법 내에서 규정할 수 있는 부분을 도입한 것으로 기본적인 위반사항 및 정보보호 규정은 GDPR을 따르는 것이나, 자국법이 마련됨에 따라 체코 개인정보보호국에서 보다 확실한 기준을 가지고 감독활동을 수행할 것으로 보임.  
    - 특히, 개인정보 처리를 주된 비즈니스로 하는 기업이나 대량의 고객 개인정보를 주기적으로 다루는 기업의 경우 철저한 대비가 필요할 것임.

  ㅇ EU 역내 기업은 이미 자국법에 따라 EU 역외 기업보다 엄격한 개인정보보호 기준을 마련하고 있기 때문에 한국에서 통용되는 개인정보라고 해도 EU 역내에서는 불법인 경우가 있으므로 개인정보에 대한 인식 제고가 필요함.
    - 예를 들면, 체코에서는 직원의 개인정보 중에 오직 현재 직무수행과 관련된 정보만 수집이 가능하고 그 외 직원의 가족사항, 재산사항, 직무수행과 관련 없는 건강사항, 종교, 노동조합 가입여부 등의 개인정보 수집은 불법임. 따라서 이와 같은 개인정보로 인해 문제가 발생하지 않도록 유의해야 함.

  ㅇ Iora 법률사무소 현지 변호사의 의견에 따르면 GDPR의 목적은 기업의 활동 감시가 아닌 EU 내의 개인정보보호를 단일화하고 체계적으로 하기 위함이 크기 때문에 모든 기업이 GDPR에 대해 과도한 불안감을 가질 필요는 없다고 답함.
    - 물론 GDPR을 인지하고 대응하는 것은 중요하기 때문에 내부적인 개인정보 관리체계를 정비 및 문서화하고 이를 준수하는 기본적인 것부터 시작하고, 개인정보 활용 정도에 따라 기업의 상황에 맞는 개인정보 보호체계 구축을 위한 적절한 투자를 고려해야 할 것이라고 답함.

자료원: Hospodarske noviny, UOOU, EU GDPR 홈페이지, 현지 변호사 인터뷰 및 KOTRA 프라하 무역관 자료 종합

http://news.kotra.or.kr(KOTRA 해외시장뉴스) ]
번호
제목
이름
날짜
조회
추천
96
운영진
02.18
3,877
0
1 2 3 4 5 6 7