개인정보보호법 개정 설명회(9/13) 참석 후기

한동안 온라인 교육 위주로 수강해오다 오랜만에 오프라인 교육(설명회)에 참석하고 왔다.
 
개정법 시행이 코앞이었기 때문에 중요성을 느껴 참석을 했고, 같은 생각을 가진 사람이 많았는지 150좌석을 준비한 설명회에 200명이 넘어 보이는 인원들이 몰려와 서서 듣는 사람과 바닥에 앉아 듣는 사람도 제법 있었다.
 
입구에서 제공해 준 자료가 너무 두꺼워 "두 시간의 설명회 시간 동안 다 할 수 있는 내용인가?"라는 생각을 하고 열어본 결과, 법과 시행령 신구조문대비표가 포함되어 있기 때문임을 알 수 있었다. 한동안은 자주 봐야 할 필요성이 있어 회사에 두고 필요할 때마다 살펴볼 예정이다.
 
법령 개정사항 안내는 그간 여러 세미나와 컨퍼런스에서 다뤘던 내용이기도 하고, 회사 보고용 자료 작성을 위해 여러 번 읽어보며 문서화도 했기 때문에 대부분 특별한 점이 없었지만 몰랐던 사실 두 가지를 이번 설명회에서 알게 되었다.
 
1. 법률 제22조(동의를 받는 방법)과 달리 시행령 제17조(동의를 받는 방법)은 시행일이 2024년 9월 15일이다.
법률 제15조(개인정보의 수집ㆍ이용)제1항제4호 "4. 정보주체와 체결한 계약을 이행하거나 계약을 체결하는 과정에서 정보주체의 요청에 따른 조치를 이행하기 위하여 필요한 경우"에 근거해 필수 동의를 걷어낼 수도 있지만, 제15조제1항제1호에 "정보주체의 동의를 받은 경우"가 아직 남아 있기 때문에, 동의를 근거로한 현재 체제를 유지하려는 회사도 많은데 이를 어렵게 하는게 시행령 제17조제1항제1호인 "1. 정보주체가 자유로운 의사에 따라 동의 여부를 결정할 수 있을 것"이다.
 
관련해서 국내 해설서는 아직 없기 때문에 GDPR 가이드(Guidelines 05/2020 on consent under Regulation 2016/679) 번역본을 참고해보면 자유는 정보주체의 진정한 선택과 통제로 조건의 협상 불가능한 부분으로 일괄 처리되는 경우 자유로이 주어지지 않은 것으로 간주, 계약 또는 서비스의 이행을 해당 계약 또는 서비스의 이행에 필요하지 않은 개인정보 처리에 대한 동의요구와 결합하는 상황은 바람직하지 않고 자유로운 동의가 아님으로 간주한다 등을 봤을때 현재와 같은 회원가입시 반 강제적인 동의절차는 유효하지 않다는 해석을 개인정보보호위원회에서 내릴 가능성이 높다. 
 
하지만 시행령 제17조제1항제1호의 시행일은 내년이기 때문에, 즉 내년 9월 15일까지는 동의기반 체제를 유지해도 이슈는 없을 것으로 판단한다.
 
2. 개인정보의 안전성 확보조치 기준 개정(안)에서 정보주체 접속기록을 생성해 3개월 이상 보관해야 하는 의무가 삭제되었다.
듣고 깜짝놀랐다. 행정예고된 버전의 제8조(접속기록의 보관 및 점검) 제1항에 "개인정보처리자는 개인정보처리시스템에접속한 자에 대한 접속기록을 생성하고 3개월 이상 보관·관리하여야한다."가 있었고 부칙에서 2023년 9월 15일부터 시행을 규정하고 있었기 때문에 당연히 9월 15일에 같이 시행되는줄 알았는데 아니라니..
 
개인정보보호정책과 사무관님이 말씀해주신 사항을 요약해보면 "심사가 늦어졌고 행정예고 버전에서 변경이 있었으니 변경여부를 확인해야 하며, 9/15 이후에 시행될 것이다."였다.
 
향후 개정된 내용이 공개되면 다시 한번 살펴봐야겠다.
 
그리고 개인정보보호 정책과장님이 바뀌셨다. 위원회 조직에서 검색이 되지 않는 걸로 봐선 다른 곳으로 가신듯하다. 법 개정 등 고생이 많으셨을 텐데 좋은 곳으로 가셨길 바래본다.