콘텐츠 해외수출, 영문계약서작성 및 검토 & 영문웹사이트 GDPR, Privacy Policy(개인정보 보호정책) 기업 비즈니스 법률자문
안녕하세요, 서초 법무법인 라온의 이창엽 변호사입니다.
내수 경기가 좋지않다보니까 해외쪽으로 눈을 돌리는 기업들이 많아지고 있습니다.
그러다보니, 영문계약서검토나, 웹사이트에 들어갈 영문 Privacy Policy나 Terms and Conditions에 대한 작성을 문의해주시는 분들이 많아지고 있는데요, 오늘은 이 부분이 왜 중요한지에 대해서 이야기를 해보고자 합니다.
얼마 전에, SK 해킹으로 사회적으로 큰 난리가 났었죠.
요즘은, 오프라인에서 물건을 훔치는게 아니라, 온라인 해킹이나 보이스피싱으로 피해를 입으시는 분들이 많으시기 때문에, 웹사이트를 통해서 창업이나 비즈니스를 하신다면 이용약관과 개인정보정책을 신경쓰셔야 합니다.
그런 일은 없어야 겠지만, 간혹 해킹으로 또는 서버 다운으로 인해서 문제가 발생하는 경우, 이용자에게 발생되는 피해에 대해서 어떻게 보상을 하고 대처를 할 것인지, 이런 꼼꼼한 부분들을 잘 명시를 해 놓는 것이 유리합니다.
특히, 유럽으로 제품이나 서비스를 제공하는 경우에는 GDPR에 대해서 잘 이해를 하시고, 안내문을 웹사이트에 기제를 해 놓아야 합니다.
한국과 달리, 해외의 경우 개인정보에 대한 규제가 강하기 때문에, 이 것을 지키지 않는다면, 벌금 폭탄을 맞을 수 있죠.
GDPR은 유럽엽합의 개인정보 보호를 규정한 개인정보 보호법입니다.
2018년 5월 25일에 시행이 되었는데, 유럽에 거주하는 개인의 개인정보를 수집, 저장, 처리하는 모든 기업이나 조직에게 적용이 됩니다.
특히, 유럽인들이 웹사이트에 접속을 했을 때, 개인들은 해당 웹사이트가 어떤 정보를 수집하고 어떻게 이용하는지, 정보가 잘못 되었다면 어떻게 수정을 하고, 원치 않는다면 개인정보 삭제를 요청할 수 있는 등, 개인이 개인에 대한 정보를 통제할 수 있는 권리를 가지게 하는 겁니다.
- 정보 접근 권리(Right to Access)
- 정정 요청 권리(Right to Rectification)
- 삭제 요청 권리(Right to Erasure)
- 처리 제한 권리(Right to Restric Processing)
- 이의 제기 권리(Right to Object)
- 데이터 이동 권리(Right to Data Portability)
이때, 기업은 개인 정보 수집 시, 명확하고 구체적인 동의를 개인으로 부터 받아야 하고, 개인 정보 수집 목적과, 보관 기간, 처리 방식을 명확히 명시해야하며, 개인정보가 유출이 된 경우에는 72시간 이내 신고를 해야합니다.
또한, 일정 조건을 충족하는 기업의 경우에는 외부 데이트 보호 책임자를 두어야 합니다.
GDPR을 위반하게 되면 최대 2,000만 유로 또는 전 세계 매출의 4% 중 높은 금액의 벌금을 내야하기 때문에 정말 신경을 쓰셔야 합니다.
실제 사례를 예로 들어보겠습니다.
H&M 아시죠?
2020년에, H&M이 3,500만 유로의 벌금을 내야했습니다.
H&M 위반한 내용은, 직원들의 사생활 정보를 무단 수집 및 저장한 것이 적발되어, GDPR을 위반을 했다는 것인데, 외부 고객뿐만 아니라 내부 직원들의 개인정보도 보호가 되어야 한다는 것입니다.
또한, WhatApp(Meta/Facebook) 은 아일랜드에서 2억 2,500만 유로의 벌금을 내야했는데, 이유는 사용자 및 비사용자에게 개인정보 처리 방식에 대한 투명석이 부족했고, 특히, 정보 공유 범위와 제 3자 제공 등에 대한 설명이 부족한 것이 문제가 되었습니다.
마지막으로 구글의 예를 한번 들어보겠습니다.
구글은 프랑스에서 벌금 5천만 유로(약 65억원)의 벌금을 납부해야 했는데, 이유는 프랑스인들에게 투명하지 않은 방식으로 개인정보를 수집하고 명확한 동의없이 맞춤 광고에 사용한 것이 문제가 되었던 것이죠.
잘 아시겠지만, 유튜브를 시청하다보면 구글 맞춤형 광고가 뜨게 되는데, 개인이 이전에 검색한 정보를 바탕으로 관련된 상품이나 서비스를 제공합니다.
이전에는, 불법적으로 수집한 개인정보를 이용하여 맞춤형 광고를 개인에게 띄웠는데(아주 오랜기간동안), 그동안은 아무런 이의를 제기하지 않았습니다.
그러던 어느 날부터, 개인들의 정보를 보호해야 한다는 목소리가 커지기 시작했는데, 이렇게 해외의 경우는 개인들의 정보를 보호하기 위해 법적으로 움직이는 반면 국내는 별다른 움직임이 없습니다.
만약, 소송을 한다고 해도, 벌금은 해외 수준의 절반도 안되는.. 그냥 뭐 말도 안되는 금액에 마무리가 되죠.
이번 SK 유심 사건 역시 그렇습니다.
이런 일이 만약, 미국에서 발생했다면, 이 사건은 수 조억의 벌금이 발생하는 문제인데, 그냥 당시에만 사회적 이슈로 이목을 끌고 지금은 어떻게 진행이 되는지, 개인들은 자신의 개인정보가 누출이 되어도 별로 신경이 쓰지 않죠.
SK 개인 정보가 털리고 난 지금, SK 이용자들에게 보이스피싱 문자와 전화가 미친듯이 가고 있습니다.
그런데, 아무런 움직임이 없습니다.
이상하죠..
이런 상황을 그냥 개인의 일로 치부하고 지나쳐 가고 있는 우리들은, 한번 생각해 보아야 합니다.
저희 법무법인 라온으로 연락으 주시면, 기업의 프라이버시 정책 작성 및 리스크 자문을 드리며, 국제 이커머스 및 SaaS 기업의 GDPR 준수 여부 점검 및 데이트 위반 대응 및 규제기관 대응에 대한 자문을 해드립니다.
잘 아시다시피, 유럽인을 대상으로 서비스를 운영하는 경우, GDPR 준수는 선택이 아니라 필수 사항입니다.
