중동부유럽
전문가오피니언
[전문가오피니언] 터키의 새로운 정보 보호법
튀르키예 홍태화 KOTRA 이스탄불 무역관 과장 2018/06/01
가히 개인정보 홍수의 시대이다. 정보통신 기술의 발전에 따라 오늘날보다 개인정보의 축적 및 전송이 어렵던 적이 없다고 표현될 만큼 개인정보가 많이 수집되고 전송되고 있다. 이러한 개인정보는 인터넷 뱅킹, 온라인 쇼핑 등 가상 현실세계 거래에 있어 개인을 식별하는 중요한 도구이나, 수집되는 양이 확대됨에 따라 유출방지를 위한 적합한 조치를 취하기 어려워지면서 유출사고가 점차 늘어나고 있다.
이에 대응해 세계 각국은 자국 내 개인정보 보호를 위한 법을 제정해 국민들의 개인정보를 보호하는데 앞장서고 있다. 한국은 지난 2008년부터 개인정보의 유출, 오남용 사례 방지를 위해 개인정보 보호법을 시행 중에 있다. 그리고 지난 5월 25일, 유럽연합 내 국가에서는 역사상 가장 강력한 개인정보 보호법이라 칭해지는 「GDPR(General Data Protection Regulation) 」 이 발효되었다.
유럽연합 가입을 꿈꾸고 있는 터키 역시 금년도 4월 9일부터 「PPDL(Protection of Personal Data Law)」이라 불리우는 새로운 개인정보 보호법이 발효되었다. 2016년 3월 24일 발표된 후 2년간의 유예기간을 거친 PPDL은 터키 내 최초의 개인정보 보호 전반에 관련된 법규로, 터키 내 개인의 정보를 취급하는 모든 주체가 그 적용을 받게 되므로 터키 관련 사업을 하는 외국인 역시 각별한 주의가 필요한 법규이다.
PPDL 이전의 터키 내 개인정보 보호법
유럽평의회(Council of Europe)는 1981년 OECD의 회원국 대상 개인정보 보호 관련 권고를 기초로, 유럽평의회 회원국 내 개인정보 보호 강화를 목적으로 「개인정보의 자동처리에 관계되는 개인의 보호에 관련된 조약(Convention for the Protection of Individuals with Regard to Automatic Processing of Personal Data)」 을 발표하였다. 터키는 유럽평의회의 46개 회원국 중 하나로, 1981년 이 협약에 서명하였으나, 실제 국회 비준에 실패해 발효되지는 않았다.
이후 2016년 발표된 PPDL이 터키 내 최초의 개인정보 보호 법규이나, 이전까지 터키 내 개인정보 보호 관련 법규가 전혀 없었던 것은 아니다. 이전에는 터키 헌법, 민법, 형법, 은행법 등에 분야별 개인정보 보호 관련 조항이 있었다.
<표 1>과 같은 법규들이 터키 내 개인정보의 유출, 오남용을 일부 규제하고 있었으나, 전세계적인 개인정보 유출 사례의 확산 그리고 유럽연합 가입을 위한 유럽연합 수준의 개인정보 보호체계 구축을 위해 터키 정부는 2000년대 들어 유럽연합의 개인정보 보호법(2001년 발표)에 근거해 터키 내 개인정보 보호법 제정을 추진하였다. 최초 2004년 말 제정을 목표로 추진했던 터키 개인정보 보호법은 그 시기가 차일피일 미뤄져 2016년에서야 발표가 되었고, 2년여의 유예기간을 거친 후 2018년 유럽연합의 새로운 개인정보 보호법 GDPR과 함께 발효가 되었다.
PPDL과 GDPR의 비교
유럽연합 가입조항 35개 중 1개 밖에 충족시키지 못한 터키의 유럽연합 가입은 요원해 보이는 것이 사실이다. 그러나 터키정부는 지속적으로 유럽연합 가입을 추진 중에 있으며, PPDL 발효 역시 유럽연합 가입을 위해 유럽연합의 기존 개인정보 보호법을 기초로 만들어졌다. 이에 향후 터키 내 개인정보 보호법 역시 GDPR과 유사한 형태로 변경될 것으로 예상되며, PPDL과 GDPR의 비교를 통해 향후 터키 내 개인정보 보호법의 방향을 예상해볼 수 있을 것이다.
PPDL의 주요 내용
1) 개인정보 보호 기본 원칙
PPDL은 아래 원칙을 통해 개인정보를 수집 및 처리토록 요구하고 있다. 개인정보 제공동의의 구체적인 절차 및 요건을 명시한 GDPR과 달리 PPDL은 그 절차 및 요건을 명시하고 있지 않아 향후 개인정보 주체의 정보제공 자체가 암묵적인 동의로 해석될 가능성이 있다.
- 모든 개인정보는 개인정보 주체의 동의를 받아 수집되어야 함(Consent)
- 수집된 모든 개인정보는 적법적인 절차에 따라, 평등하게 처리되어야 함(Lawfulness, Fairness)
- 개인정보 수집 목적은 구체적으로 개인정보 주체에게 공지되어야 함(Purpose Limitation)
- 개인정보는 정확하고, 최신화된 상태로 보관되어야 하며, 목적 외 사용이 불가함(Accuracy, Original Purpose)
- 개인정보는 수집 목적 달성 즉시 파기되어야 함(Storage Limitation)
- 개인정보 수집자는 유출방지를 위한 적합한 기술적, 조직적 조치를 취해야 함(Integrity and Confidentiality)
2) 개인정보의 처리
PPDL은 개인정보 관리자 등록소(Data Controllers Registry)에 등록된 개인정보 관리자(Data Controllers)만이 개인정보를 처리할 수 있도록 규정하고 있다. (그러나, 아직 개인정보 관리자 등록소에 관련된 세부정보를 발표하지 않은 상황이다.) 만일 터키 내 소재하고 있지 않은 회사가 터키 내 개인정보를 취급시에는 터키 내에 개인정보 관리자를 지정하고 개인정보 관리자 등록소에 등록할 의무가 있다.
3) 개인정보 보안 유지
PPDL은 개인정보 보안유지를 위해 개인정보 관리자가 모든 종류의 조치를 취할 것을 의무화하고 있으며, 유출시 최대한 빨리 터키 정보보호 위원회(Turkish Data Protection Board)로 보고토록 하고 있다.
4) 개인정보의 제3국 반출
터키 내 개인정보 주체의 동의가 있을 경우, 해당 개인정보의 제3국 이전이 가능하다. 충분한 정보보호 조치를 취하거나, 터키 정보보호 위원회의 승인을 받는다면 개인정보 주체의 동의가 없어도 제3국으로의 개인정보 반출이 가능하다.
5) 개인정보 주체의 열람권
개인정보 주체는 개인정보 관리자를 대상으로 아래의 정보공유를 요청할 수 있고, 개인정보 관리자는 이러한 요청에 30일 이내 응답해야 한다.
- 개인정보 사용 여부 및 사용관련 정보
- 개인정보 사용 목적 및 사용여부에 부합한 사용 여부
- 제3자 대상 개인정보 공개 여부
- 비정확한 개인정보의 삭제 요청
- 개인정보 삭제 여부
- 처리과정 중 개인정보 손상 여부
- 비적법한 개인정보 처리에 따른 피해보상 요청
6) 미준수에 따른 처벌
PPDL 미준수시 해당 기업에는 최대 100만 TL의 벌금이 부과가능하다. 이와 별도로 관리자를 대상으로 터키 형법에 의거해 최대 4년 반의 징역형이 부과될 가능성이 있다.
PPDL에 대한 대응
새롭게 발효된 터키의 PPDL은 2001년 발표된 유럽연합의 개인정보 보호법을 근간으로 하고 있다. 다수의 글로벌 기업은 이미 PPDL의 기준을 초과하는 개인정보 보호체계를 구축하였고, 아직까지 개인정보 관리자 등록소 등과 관련된 세부 사항이 발표되지 않았기에 현지에서 이와 관련된 특별한 움직임은 포착되지 않고 있는 상황이다. 그러나, 실제 법이 발효되고 있는 점을 감안해 터키 내 사업을 운영 중인 업체에서는 변호사 자문 등을 통해 회사 내 개인정보 보호체계를 정비해야 할 것이다. 또한, 터키의 PPDL이 2001년 발효된 유럽연합 개인정보 보호법을 기반으로 하는, GDPR의 하위 호환 버전임을 감안해 전사 차원의 GDPR 대응 전략을 수립 후 이를 터키에 수정 적용하는 것도 우리 기업의 좋은 전략이 될 수 있을 것이다.
본 페이지에 등재된 자료는 운영기관(KIEP) 및 EMERiCs의 공식적인 입장을 대변하고 있지 않습니다.
| 이전글 | [동향세미나] 브렉시트 이행기: EU-제3국 간 FTA의 영국 적용 관련 논의 동향 | 2018-05-25 |
|---|---|---|
| 다음글 | [이슈트렌드] 라트비아, 지하경제 비율 증가 | 2018-06-07 |
