[개인정보보호] CNIL의 내부고발 경보시스템 실행 표준 권고안 분석 (2020.01)

안녕하세요. 황컴플라이언스 입니다.

[개인정보보호] CNIL의 내부고발 경보시스템 실행 표준 권고안 분석 (2020.01) 입니다.

업무에 참고하시기 바랍니다.

 

○ 자료명 : CNIL의 내부고발 경보시스템 실행 표준 권고안 분석

○ 발행일 : 2020년 01월

○ 주관부처 : 한국인터넷진흥원

---

[개요]

○ 발표

프랑스의 개인정보보호 감독기구 CNIL은 조직 내 부당행위나 위법 사항을 알리는 내부고발(l emetteur de l'alerte) 및 공익 제보와 관련, 이에 따른 경보시스템(les dispositifs d'alertes professionnelles)의 실행과 개인정보 처리 방안을 다룬 표준 권장사항을 채택 (2019.12.10)

• 이는 2019년 7월 18일 공개된 자료에 대한 의견수렴 과정을 거쳐 진행
• 내부고발자 경보시스템 설치와 관련하여 자주 묻는 질문을 지원하기 위한 별도의 FAQ도 함께 발간

---

(배포용) CNIL의 내부고발 경보 시스템 실행 표준 권고안 분석(2020.01).pdf

0.33MB

CNIL의 내부고발 경보시스템 실행 표준 권고안 분석 (2020.01) : 한국인터넷진흥원

---

○ 배경

동 표준안은 CNIL이 수행한 공공자문을 토대로 채택된 안(案)으로, 기존에 CNIL이 제공했던 '내부고발 단일 승인 규정(L'autorisation unique AU-004)을 대체

• CNIL은 EU GDPR 준수를 위해 2018년 개정된 프랑스 데이터보호법(French Data Protection Act)에 의거하여 동 표준안 작성 권한을 부여받은 기관
• 동 표준안이 법적 강제성을 갖는 것은 아니며, GDPR 하의 특정 데이터 처리 행위를 수행하기 위한 가이드 제공에 역점을 두고 있음

○ 구성

동 표준안은 △적용 대상, △범위,  △목적, △처리를 위한 법적 근거, △내부 고발 이후의 경보 각 단계별 개인정보의 수집 및 처리 등과 관련된 사항, △정보 수령인(recipients of information), △보유 기간, △개인정보, △개인의 권리, △보안 등 10개 항목으로 구성

○ 의의

동 표준안은 내부고발 경보시스템 운영 및 이와 관련한 개인정보 처리에 대해 GDPR과 프랑스 데이터보호법을 포괄하여, 개인정보영향평가(DPIA)에도 활용 가능

• 이와 함께 동 표준안은 프랑스 노동법이나 부패 방지 및 투명성 촉진법인 Sapin ll Law(2016.12)의 관련 규정도 함께 포괄
• 프랑스 노동법에서는 내부고발자에 대한 차별이나 보복을 금지
• Sapin ll 법에서는 내부고발 핫라인의 의무적 설치를 위한 조직의 조작과 관련, ① 프랑스 내 60인 이상의 직원을 둔 기업들은 직원과 하청 업체들에게 일반적인 내부고발 라인을 설치할 것을 의무화(제8조)하고 ② 500명 이상 및 1억 유로 매출 이상의 기업일 경우 뇌물 및 부당 거래와 관련된 기업 행동 규약 위반 행위를 하기 위한 내부고발 핫라인 설치를 의무화(제17조)

---

[주요 내용]

○ 적용 범위

프랑스 법률 또는 기업 자체 내규에 의한 내부고발 경보시스템에서 진행되는 데이터 처리에 동 표준안을 적용

• 프랑스 실시 의무에 관한 법률(loi relative au devoir de vigilance)이나 특별법(Sapin ll Law 등)에 의해 규제되는 내부고발 경보시스템이 직원 수나 매출과 상관없이 모든 기업에게 적용될 수 있음
• 상기에 언급된 것과 같이 국가가 정하는 법률 이외에도 기업이 자체적으로 수립한 내부 규정에 따라 부적절하고 비윤리적인 행동을 방지하기 위해 자체적으로 실행하는 내부 보고용으로 적용
• 표준안은 모든 유형의 내부자 보고 경보시스템에 공통적으로 적용할 수 있는 데이터 보호 규정의 프레임워크를 제시

○ 처리를 위한 법적 근거

• 내부고발 경보(alert)와 관련, 일정 규모 이상의 조직은 프랑스 국내의 일반법과 특별법에 따라, 내부고발 경보시스템을 설치해야 할 의무가 있음
• 단, 내부고발 경보시스템 설치에 대한 법적 의무가 적용되지 않는 조직이라도, 조직이나 데이터 수령자가 추구하는 합법적인 이익 실현이 정보주체의 기본권과 자유를 침해하지 않아야 함

○ 개인정보의 수집 및 처리 등과 관련된 사항

(시작 단계) 데이터 컨트롤러는 처리 목적에 부합한 데이터만이 실제 수집되고 가공되도록 해야 하며, 경보시스템의 실행으로 인해 정보주체의 인권, 자유, 법적 이해가 침해되지 않도록 해야 함

• 경보시스템 하에서는 내부고발자만이 경보 전파 과정에서 소통되는 정보(특히 개인정보)의 속성과 규모를 결정할 수 있음

(조사 단계) 조사 단계는 조직에 의해 경보가 접수되기 시작한 시점에서 후속 조치가 이뤄지기까지의 시점을 의미

• 이 기간 동안 경보시스템은 조직에 의해 수행되는 실시(due diligence) 자료를 문서화하는데 활용할 수 있음
• 처리 목적에 부합한느 필수적인 정보만을 경보시스템에 수집 및 지정하여야 하며 일반적으로 다음과 같이 범주를 적용

1. 내부고발자의 ID, 역할, 상세 연락처
2. 피고발인(내부 고발을 당한 사람)의 ID, 역할, 상세 연락처
3. 경보 수집 및 처리를 담당하는 당사자의 ID, 역할, 상세 연락처
4. 보고된 사실
5. 보고된 사실을 입증하기 위해 수집된 자료
6. 검증 활동 수행에 관한 보고서
7. 후속 조치

(내부고발자의 ID 처리) 내부고발자가 스스로를 인증해야 할 경우 이 사람의 ID는 조직이나 경보 관리자에 의해 기밀로 다뤄져야 함

• 활용되는 개인정보의 필요성과 적절성이 확보된 이후, 조직은 정보 처리 생애주기 전반에 걸쳐 정보의 정확성과 최신성을 확보해야 함