해외 개인정보보호 동향 보고서 (2020.01)

안녕하세요. 황컴플라이언스 입니다.

해외 개인정보보호 동향 보고서 (2020.01) 입니다.

업무에 참고하시기 바랍니다.

 

○ 자료명 : 해외 개인정보보호 동향 보고서

○ 발행일 : 2020년 01월

○ 주관부처 : 한국인터넷진흥원

---

(배포용) 1월_4주_CNIL의 내부고발 경보 시스템 실행 표준 권고안 분석(2020.01).pdf

0.33MB

해외 개인정보보호 동향 보고서 (2020.01) : 한국인터넷진흥원

---

[개요]

○ 발표

프랑스의 개인정보보호 감독기구 CNIL은 조직 내 부당행위나 위법 사항을 알리는 내부고발 및 공익 제보와 관련, 이에 따른 경보시스템의 실행과 개인정보 처리 방안을 다룬 표준 권장사항을 채택(2019.12.10)

• 이는 2019년 7월 18일 공개된 자료에 대한 의견수렴 과정을 거쳐 진행
• 내부고발자 경보시스템 설치와 관련하여 자주 묻는 질문을 지원하기 위한 별도의  FAQ도 함께 발간

○ 배경

동 표준안은 CNIL이 수행한 공공자문을 토대로 채택된 안으로, 기존에 CNIL이 제공했던 내부고발 단일 승인 규정을 대체

• CNIL은 EU GDPR 준수를 위해 2018년 개정된 프랑스 데이터보호법(French Data Protection Act)에 의거하여 동 표준안 작성 권한을 부여받은 기관
• 동 표준안이 법적 강제성을 갖는 것은 아니며, GDPR 하의 특정 데이터 처리 행위를 수행하기 위한 가이드 제공에 역점을 두고 있음

○ 구성

동 표준안은 △적용 대상 △범위 △목적 △처리를 위한 법적 근거 △내부고발 이후의 경보 각 단계별 개인정보의 수집 및 처리 등과 관련된 사항 △정보 수령인(recipients of information) △보유기간 △개인의 권리 △보안 등 10개 항목으로 구성

○ 의의

동 표준안은 내부고발 경보시스템의 운영 및 이와 관련한 개인정보 처리에 대해 GDPR과 프랑스 데이터보호법을 포괄하여 개인정보영향평가(DPIA)에도 활용 가능

• 이와 함께 동 표준안은 프랑스 노동법이나 부패 방지 및 투명성 촉진법인 Sapin ll Law(2016.12)의 관련 규정도 함께 포괄
• 프랑스 노동법에서는 내부 고발자에 대한 차별이나 보복을 금지
• Sapin ll 법에서는 내부고발 핫라인의 의무적 설치를 위한 조직의 조건과 관련, ① 프랑스 내 50인 이상의 직원을 둔 기업들은 직원과 하청 업체들에게 일반적인 내부고발 라인을 설치할 것을 의무화(제8조)하고 ② 500명 이상 및 1억 유료 매출 이상의 기업일 경우 뇌물 및 부당 거래와 관련된 기업 행동 규약 위반 행위를 하기 위한 내부고발 핫라인 설치를 의무화(17조)

[주요내용]

○ 적용 범위

프랑스 법률 또는 기업 자체 내규에 의한 내부고발 경보시스템에서 진행되는 데이터 처리에 동 표준안을 적용

• 프랑스 실사 의무에 관한 법률(loi relative au devoir de vigilance)이나 특별법(Sapin ll Law 등)에 의해 규제되는 내부고발 경보 시스템이 직원 수나 매출과 상관없이 모든 기업에게 적용될 수 있음
• 상기에 언급된 것과 같이 국가가 정하는 법을 이외에도, 기업이 자체적으로 수립한 내부 규정에 따라 부적절하고 비윤리적인 행동을 방지하기 위해 자체적으로 실행하는 내부 보고용으로 적용
• 표준안은 모든 유형의 내부자 보고 경보시스템에 공통적으로 적용할 수 있는 데이터 보호 규정의 프레임워크를 제시