invest Seoul

개인정보보호위원회는 2024년 4월 4일 「해외사업자의 개인정보 보호법 적용 안내서」를 발간하여 해외사업자가 개인정보 보호법 적용 여부 판단 기준 및 놓치기 쉬운 개정 개인정보 보호법에 대한 법적 의무사항을 제공하고 있습니다. 

1. 해외사업자에 대한 개인정보 보호법 적용 여부 판단 기준

▣ (한국 정보주체 대상 재화 또는 서비스 제공 여부)
해외사업자가 한국 정보주체를 대상으로 재화 또는 서비스를 제공하는 경우 개인정보 보호법 적용

• 해외사업자가 한국 정보주체를 대상으로 재화 또는 서비스를 제공한다고 판단되는 사례

또한 언어(한국어), 통화(currency), 서비스 제공 형태 및 방식 등을 종합적으로 고려하였을 때, 한국 정보주체를 대상으로 재화나 서비스가 제공된다고 판단될 경우에도 개인정보 보호법이 적용됨

• 반면, 해외사업자에게 개인정보 보호법이 적용되지 않는 사례는 아래와 같음 

▣ (한국 정보주체에게 미치는 영향)
해외사업자가 한국 정보주체의 개인정보를 처리하여 한국 정보주체에게 직접적이고 상당한 영향을 미칠 경우 개인정보 보호법 적용

• 아래와 같이 해외사업자가 한국 정보주체를 대상으로 재화 또는 서비스를 제공하지 않더라도 한국 정보주체에게 직접적이고 상당한 영향을 미칠 수 있고, 스스로 그 내용과 영향을 예측할 수 있다면 개인정보 보호법이 적용될 수 있음

▣ (한국 영토 내 사업장 존재 여부)
해외사업자가 글로벌 서비스를 제공하면서 한국 영토 내 개인정보가 처리되는 사업장을 두고 있는 경우 개인정보 보호법 적용

• 사업장은 법인뿐만 아니라 개별 오피스나, 연락사무소, 그리고 수탁자의 사업장 등을 모두 포함
• 단, 해외 사업자의 글로벌 서비스와 관련한 개인정보 처리가 한국 사업장의 활동과관련성이 없는 경우에는 달리 판단될 수 있음 
  ※ 예컨대 한국에 영업 조직을 두고 소프트웨어 판매 및 유지보수를 하는 해외사업자가 이와 별개로 해외에서 온라인 쇼핑몰을 운영하면서 한국 정보주체를 대상으로 서비스를 제공하지 않는다면, 온라인 쇼핑몰은 개인정보보호법을 적용받지 않을 수 있음
• 해외사업자가 글로벌 서비스를 제공하면서 한국 사업자를 설립하여 한국 정보주체의 개인정보처리자로 명시한 경우는 한국 사업자에게 개인정보 보호법을 적용할 수도 있음

2. 개인정보 보호법의 적용을 받는 해외사업자가 놓치기 쉬운 법적 의무사항

※ 원칙적으로 개인정보 보호법이 적용되는 해외사업자는 개인정보 보호법상 모든 규정을 준수하여야 하며, 안내서는 해외사업자의 특성을 고려하여 일부 유의해야 할 사항을 설명함

▣ 유출 통지 및 신고

• 유출된 개인정보의 규모 등이 정확하게 확인되지 않은 상황이라도 개인정보 유출 사실 자체가 확인되고 국가별로 정보주체를 구분하여 개인정보처리시스템 등을 운용하고 있지 않다면, 한국 정보주체의 개인정보 유출 사실을 알 수 있는 상태에 이르렀다고 판단될 수 있음. 따라서 72시간 이내 개인정보 보호법 제34조에 따른 유출 통지 및 신고를 완료하여야 함
• 다만, 사고분석 결과, 72시간 내 한국 정보주체의 개인정보가 유출되지 않은 것을 확인하였다면 신고하지 않을 수 있음

▣ 개인정보 처리방침 공개 방법

• 개인정보 처리방침을 수립·공개할 때에는 한국어로 작성하여야 하고, 다른 국가의 처리방침을 단순히 번역하는 것이 아니라 개인정보 보호법에서 정하고 있는 내용에 따라 작성·공개하여야 함
• 전 세계적으로 동일하게 제공되는 재화 또는 서비스의 경우 국가별로 이를 제공하는 개인정보 처리자가 다를 수 있기 때문에, 개인정보 처리방침에는 한국 정보주체의 개인정보를 처리하는 개인정보처리자가 누구인지 명확히 기재하여야 하고, 해외에서 한국 정보주체의 개인정보가 처리되는 경우 해외에서 개인정보를 처리한다는 사실, 해당 국가 및 개인정보를 처리하는 사업자명 등을 명확하게 기재하여야 함

▣ 정보주체 권리보장

• 해외사업자는 한국 정보주체가 권리를 쉽게 행사할 수 있는 방법을 마련하고 이를 명확히 한국어로 안내하여야 함
• 다른 국가 법령에서 한국 정보주체가 열람 요구한 정보의 공개를 제한하고 있다고 하더라도 곧바로 열람·제공을 거부할 수 있는 것은 아니므로, 해외사업자는 해당 국가 법령에 따른 비공개의무가 한국의 헌법, 법률 등의 내용과 취지에 부합하는지, 개인정보를 보호할 필요성에 비해 해당 법령을 존중해야 할 필요성이 현저히 우월한지, 실질적으로 비공개 의무를 부담하는지 여부 등을 검토하여야 함

▣ 14세 미만 아동 법정대리인

• 해외사업자는 아동(만 14세 미만)을 대상으로 재화 또는 서비스를 제공하거나, 아동의 개인정보가 필수적으로 수집되는 재화 또는 서비스를 제공하는 경우 정보주체의 연령정보를 확인하여 법정대리인 동의 없이 아동의 개인정보가 수집되지 않도록 주의하여야 함

▣ 손해배상의 보장

• 해외 본사와 한국 지사가 각각 한국 정보주체에게 서비스를 제공하고 있다면, 본사와 지사는 각각의 이용자 수와 매출액을 판단하여 손해배상 의무대상자에 해당하면 보험 또는 공제에 가입하거나 준비금을 적립하여야 함
  ※ 본사에서 가입한 보험 또는 공제의 보장범위에 한국 지사의 개인정보 보호법 위반행위에 대한 손해배상책임이 포함된다면 한국 지사가 별도로 보험 또는 공제에 가입하여야 하는 것은 아님

▣ 국내대리인

• 국내대리인을 지정해야 하는 해외사업자는 자신이 설립한 국내 법인이 있거나 임원 구성, 사업 운영 등에 대하여 지배적인 영향력을 행사하는 국내 법인이 있는 경우 해당 법인을 국내대리인으로 지정하는 것이 바람직함
• 직원이 응대하지 않고 녹음된 음성으로 전자우편 또는 온라인 양식을 이용하도록 안내하거나, 직원이 정보주체의 불만 처리 및 피해구제와 관련하여 아무런 조치를 할 수 없는 경우에는 개인정보 보호책임자의 업무를 대리하는 국내대리인을 지정하였다고 보기 어려움

▣ 개인정보 처리위탁

• 한국 개인정보 보호법은 개인정보처리자가 정보주체의 개인정보를 제3자에게 이전하거나 제3자와 공동으로 이용하는 것에 대해 ‘개인정보의 제공’과 ‘개인정보처리(취급) 업무의 위탁’을 구분하여 규정하고 있는 것에 유의하여 각 경우에 따른 법적 근거를 갖추어야 함
• 개인정보 제3자 제공은 정보를 제공받는 자의 업무처리와 이익을 위하여 개인정보가 이전되는 경우인 반면, 개인정보의 처리위탁은 위탁자 본인의 업무처리와 이익을 위하여 개인정보가 이전되는 경우를 의미함

▣ 조사 및 사전 실태점검

• 개인정보보호위원회는 조사 및 개인정보 보호실태를 점검하기 위하여 해외사업자에게 관계 물품·서류 등 자료를 제출하게 할 수 있고, 소속 공무원으로 하여금 해외사업자의 사무소나 사업장에 출입하여 대표자, 대리인, 그 밖의 임직원 등 관계인에게 진술을 요구하거나 관계인을 참관시킨 후 업무 상황, 장부 또는 서류 등을 검사하게 할 수 있으며, 필요한 경우에는 해외사업자에게 관계인의 출석·진술을 요구할 수도 있음

▣ 시정조치 및 과징금 등

• 개인정보보호위원회는 해외사업자가 개인정보 보호법을 위반한 사실을 확인한 경우, 개인정보 침해행위의 중지, 개인정보 처리의 일시적인 정지, 그 밖에 개인정보 보호 및 침해 방지를 위하여 필요한 조치를 명하거나 개인정보 처리 실태의 개선을 권고할 수 있으며, 과태료 또는 전체 매출액의 100분의 3 이하의 과징금을 부과할 수 있고, 해외사업자 및 그 대표자 등을 수사기관에 고발하거나 징계를 권고할 수도 있으며, 처분 등 사실을 보호위원회가 공표하거나 해외사업자에게 처분 등을 받았다는 사실을 공표할 것을 명할 수 있음
• 해외사업자에게 과징금을 부과하는 경우 전체 매출액에서 위반행위와 관련이 없는 매출액을 제외한 매출액을 기준으로 과징금을 산정하는데, 전체 매출액은 한국 내에서 발생한 매출액으로 한정되지 않은 전 세계 매출액을 의미하며 위반행위와 관련이 없는 매출액의 입증책임은 해외사업자가 부담

위 내용은 법무법인 세종(유)과의 업무협력을 통해 제공 받았음을 알려드립니다.