공공기관 간 BCR(Binding Corporate Rules) 도입

우리나라 공공기관은 이차 활용을 위하여 각기 다른 특별법을 근거로 하고 있어 공공정보 공동이용에 소극적인 면이 있다. 따라서 공공기관의 개인정보 관리자가 해당 기관의 내부 개인정보 보호 규칙을 잘 준수하면서 동시에 다른 공공기관의 개인정보보호 수준을 신뢰하는 것이 필요하다. 그런 측면에서 BCR 제도는 무엇보다 제3의 수익자(third party beneficiary)의 권리가 보장될 수 있도록 법적 구속력이 있다는 점에서 유용하다. 이와 더불어 하나의 표준화된 규칙을 마련함으로써 시간과 비용을 절약할 수 있는 장점이 있다. 물론 BCR은 법률을 대신하는 것이 아니며 어디까지나 다른 정보보호 장치의 보완적인 용도로서만 이용되어야 한다.

본 연구에서는 유럽공동체 BCR의 사례에서 우선 정보주체에게 정보수집의 목적 및 정보관리자가 누구인지를 고지하는 점을 장점으로 파악하였다. 특히 제3자가 이전을 요청할 때는 정보를 받는 기관이 개인정보보호 감독기관의 승인을 얻어 개인정보를 포함한 정보를 이전할 수 있도록 하고 있다.

아래에서는 유럽공동체의 BCR과 비교할 수 있는 규칙으로서 APEC의 CBPR을 대상으로 하여「BCR 및 CBPR의 개인 데이터 보호 및 프라이버시 자격 요건에 관한 참조문서」²⁶⁵⁾를 비교분석하였다. 그 결과, 두 규칙에 대한 공통사항 22가지를 추출하였다. 그 후 공통사항에 대한 설명을 추가 하였다. 공공기관이 BCR 문서를 작성 할 때, 다음의 원칙들이 실질적인 절차를 수립하는데 활용되기를 기대한다.

265) Joint work between experts from the Article 29 Working Party and from APEC Economies, on a referential for requirements for Binding Corporate Rules submitted to national Data Protection Authorities in the EU and Cross Border Privacy Rules submitted to APEC CBPR Accountability Agents. 참조.

(1)개인정보관리자의 내부 개인정보 보호 규칙의 목적

∙이전을 위한 개인정보의 처리에 대하여 적절한 보호 수준을 제공하기 위한 것이다.

∙내부 개인정보 보호 규칙으로서 준수해야 하며, 실행 의무로 받아들여 져야 한다.

(2)개인정보처리자의 내부 개인정보 보호 규칙의 범위

∙지리적 관할 범위

∙데이터의 성격, (잠재)고객, (잠재)내부직원, 공급자

∙내부 개인정보 보호 규칙의 대상으로서 단위 조직

(3)조직 내부에서의 이행 의무

∙인증을 받으려는 모든 기관은 정보주체와 해당 규제기관이 집행하는 법률에 따라 내부 개인정보 보호 규칙을 만들어 의무사항으로서 준수해 야 한다.

(4)법적 의무 이행

∙개인정보처리자의 내부 개인정보 보호 규칙은 공통된 원칙으로써 각 공공기관에 대하여 법 이행의무를 부여하고 있어야한다.

(5)제3자로의 이전에 관한 의무의 이행

∙개인정보의 수령자를 대상으로 해당 내부 개인정보 보호 규칙이 어떻게 집행되는지에 대해 설명할 수 있어야한다.

(6)공공기관의 정보관리자와 위탁 처리자(Processors)와의 관계

∙위탁 처리자를 활용할 경우 정보관리자는 기술적 안전성 및 관리적 조치 등을 충분히 보장할 수 있는 위탁 처리자를 선정하고 준수여부를 보장해야 한다.

∙정보관리자는 위탁처리자에게 안전성, 기밀사항, 규칙을 지도해야한다.

∙정보처리자는 통제자의 지시에 의해서만 개인정보를 처리할 수 있다.

(7)외부 위탁자 및 개인정보처리자로의 이전 및 재 이전의 제한

∙이전하는 개인정보관리자의 내부 개인정보 보호 규칙에도 이전 받는 계약자의 의무요건으로서 ‘개인정보보호 내용’을 명시해야한다.

(8)용어의 정의

어야 한다.

∙모든 정보주체는 개인정보관리자가 보유한 자신의 모든 개인정보의 사 본을 획득할 수 있어야 하며, 이 경우 제약 없이, 합리적인 시간 내에, 과 도하지 않은 비용으로 제공돼야 한다.

(15)반대권, 선택권

∙적용되는 법률에 따라 달리 요구되어지는 경우, 개인정보처리자는 해당 적용 법률에 의거하여 정보주체에게 당해 개인정보 처리를 반대하거나 혹은 개인정보가 처리되지 않도록 선택권을 제공해 줄 수 있어야한다.

(16)보안 및 기밀유지

∙사고, 불법 파손, 사고 손실, 변조(alteration), 미승인 된 공개 및 접근, 기타 모든 형태의 불법적 처리에 대한 기술적․관리적 보호조치가 적절히 수행되어야한다.

(17)교육 프로그램

∙해당 개인정보관리자를 대상으로 공통규칙에 관한 적절한 교육 프로그 램을 제공해야한다.

(18)모니터링 및 검사 프로그램

∙해당 개인정보관리자의 내부 개인정보 보호 규칙의 적용 및 준수에 대한 모니터링 사항을 명시해야한다.

(19)규정 준수 및 준수여부의 감독

∙해당 개인정보관리자의 내부 개인정보 보호 규칙의 준수여부를 감독 및 확인하기 위하여 적절한 네트워크 및 직위를 제공해야한다.

(20)내부 민원처리

∙그룹의 일부 구성원이 개인정보관리자의 내부 개인정보 보호 규칙을 준수하지 않고 있을 경우 모든 정보주체는 이에 대한 민원요청을 할 수 있다.

(21)개인정보처리자의 내부 개인정보 보호 규칙의 개정

∙개인정보처리자의 내부 개인정보 보호 규칙 또는 담당자 목록에 대한 주요 변경사항 발생 시 모든 그룹 구성원에게 통보해야한다.

(22)유효기간

∙개인정보처리자의 내부 개인정보 보호 규칙에 대한 유효기간을 지정해야 한다.

BCR를 작성할 때에는 정보의 이전 및 처리에 대한 수요를 분석할 수 있는 관리자와, 기술적으로 처리가 가능한지 판단할 수 있는 IT전문가, 규칙을 지킬 의무가 있는 공공기관의 담당자 및 법률전문가가 공동으로 참여하는 것이 바람직하다.²⁶⁶⁾ 그리고 목적과 정보의 내용에 따라 BCR의 내용을 달리해야 한다. 무엇보다 이를 승인하고 정보 이전 허가서의 기능을 할 수 있는지 여부는 개인정보보호 감독기관이 객관적으로 판단 할 수 있도록 맡기는 것이 바람직할 것이다.