개인정보보호위원회가 우리 국민의 개인정보 보호를 위해 해외사업자가 준수해야 할 사항을 종합적으로 담은 '해외사업자의 개인정보 보호법 적용 안내서'를 펴냈다.
안내서에선 개인정보보호법의 적용 대상이 되는 해외사업자의 유형을 크게 세 가지로 나눴다. 구체적으로 △해외사업자가 한국 정보주체를 대상으로 재화 또는 서비스를 제공하는 경우 △해외사업자의 개인정보 처리가 한국 정보주체에게 영향을 미치는 경우 △해외사업자의 사업장이 한국 영토 내에 존재하는 경우 등이다.
안내서엔 개정 개인정보보호법과 관련해 해외사업자가 특히 유의해야 할 사항에 대한 법적의무 이행도 담았다.
해외사업자도 국내사업자와 마찬가지로 정보주체의 개인정보 유출을 인지한 후 72시간 내 개인정보위에 신고해야 하고, 해당 정보주체에게 통지할 의무가 있다. 이때 구체적 내용 확인 전이라도 해당 시점까지 알게 된 내용을 중심으로 우선 통지·신고해야 한다.
또 해외에서 한국 정보주체의 개인정보를 처리할 경우, 처리 사실과 해당 국가·사업자명 등을 명확히 기재할 의무가 있다. 정보주체에게 열람되는 개인정보 처리방침은 개인정보보호법에서 정한 항목을 모두 포함해 가독성을 높일 필요가 있다.
아울러, 국내 법인이 존재하는 해외사업자가 국내대리인을 지정해야 하는 경우, 해당 법인을 우선 국내대리인으로 지정하는 것이 바람직하다.
안내서는 개인정보위 홈페이지와 개인정보 포털 등에서 확인할 수 있다. 영문 안내서도 이달 중 홈페이지 등에 게시할 계획이다.
개인정보위 관계자는 “글로벌 온라인 서비스가 보편화된 환경 하에서, 국내·외 사업자를 막론하고 보호법은 동일하게 적용된다”며 “이번 안내서를 계기로 해외사업자가 국내의 법적 요건을 좀 더 깊이 이해하고 준수해, 우리 정보주체의 개인정보를 안전하게 보호하는 데 기여해줄 것”을 당부했다.
조재학 기자 2jh@etnews.com