튀르키예 개인정보 관리자(Data Controller) 등록 의무

 

2018년부터 튀르키예 개인정보보호법이 발효되며, 개인정보를 취급하는 기업 및 개인은 튀르키예 개인정보 보호 기관(KVKK)에 정보 관리자(Data controller)로 등록할 의무가 생겼다. 이는 튀르키예 거주 여부와 관계없이 튀르키예에서 생산되는 개인정보 관련 데이터를 취급한다면 모두 등록 해당된다. 등록을 하지 않을 경우 2024년 기준 최대 180만 리라(약 5만6000달러 2024.04.02. 기준)의 벌금이 부과된다. VERBIS 등록 여부는 아래 링크에서 확인 가능하다.

*VERVIS 데이터 관리자 확인 링크: https://verbis.kvkk.gov.tr/Query/Search

개인정보 관리자 등록은 데이터 책임자 등록 정보 시스템(VERBIS)에서 온라인으로 가능하며, 개인 및 기업도 직접 수행할 수 있다. 필요한 정보는 아래와 같다.

*VERBIS 등록 링크: https://verbis.kvkk.gov.tr/DataResponsible/Register

 

1. 튀르키예 역내 거주인/기업

 

① 납세번호/튀르키예 ID NO.(기업은 납세번호, 개인은 ID NO. 등록)

* 기업의 경우 등록된 지역 세무서 정보 입력 / 개인은 해당사항 없음

② 자동 등록 방지 답변 입력

③ Unvanı/Adı Getir 버튼 클릭

* 해당 버튼을 누르면 ①의 정보에 따라 기업명 또는 개인의 이름이 Veri Sorumlusunun Unvanı(데이터 책임자 이름)에 자동으로 입력됨

④ Veri Sorumlusunun E-posta Adresi에 E-mail 입력

⑤ Veri sorumlusunun Telefon Numarası에 전화번호 입력

⑥ Veri sorumlusunun Adres Numarası에 주소지 번호 입력

*주소지 번호를 모를 경우 https://adres.nvi.gov.tr/VatandasIslemleri/AdresSorgu 해당 링크에서 조회 가능

⑦ (기업에 한하여 있을 경우) KEP(Registered Electronic Mail) 주소 입력

⑧ Kaydet 버튼 입력을 눌러 저장

 

<VERBIS 역내 거주자용 등록 화면>

[자료: KVKK]

 

2. 튀르키예 역외 거주인/기업

 

① Veri Sorumlusunun Unvanı(데이터 책임자 이름)에 기업명 또는 개인의 이름 입력

② Veri Sorumlusunun E-posta Adresi에 E-mail 입력

③ Veri sorumlusunun Telefon Numarası에 전화번호 입력

④ Veri sorumlusunun Adresi에 주소 입력

⑤ Veri sorumlusunun Yerleşik Olduğu Ülke에 기업의 소재/개인의 거주 국가 입력

⑥ Veri Sorumlusu Temsilcisi Atamaya İlişkin Karar Tarihi에 데이터 담당자 임명 날짜(공문 등이 있다면 해당 서류의 발급일) 입력

⑦ Veri Sorumlusu Temsilcisi Atamaya İlişkin Kararın Varsa Sayısı (있을 경우) 상기 문서의 문서번호 입력

⑧* 해외 상주 기업/개인이 튀르키예 역내 거주 기업/개인을 데이터 담당자로 임명하는 경우 ⑧번부터의 내용은 상기 1번의 절차와 동일

⑨ Kaydet 버튼 입력을 눌러 저장

 

<VERBIS 해외 거주자용 등록 화면>

[자료: KVKK]

 

튀르키예 개인정보보호법 개정

 

튀르키예는 2018년 4월 7일부 개인정보보호법(Protection of Personal Data Law, 이하 PPDL)을 발효했다. 튀르키예 국민이 생성하는 데이터를 기반으로 법률의 효력이 발생한다. 따라서 튀르키예 국민의 데이터를 수집할 경우, 튀르키예 역내 거주인 및 기업은 물론, 튀르키예에 거점을 두지 않은 개인과 기업도 PPDL의 적용을 받는다.

 

지난 2024년 3월 12일 PPDL의 일부 내용이 개정됐다. 튀르키예 정부는 ①특수 개인정보의 처리와 ②개인정보 해외 이전의 간편화에 관한 부분을 개정했다.현지 로펌 Pirşen & Dönmez에 따르면 이번 개정 목적은 해당 법령의 전신이 되는 EU의 개인정보보호법 GDPR에 근접하기 위함이다. 튀르키예는 EU 가입을 추진하며 자국의 많은 법령을 EU 수준으로 제정하고 있는데, 초기 법령 발효 당시 일부분이 GDPR과 일치하지 않는 부분이 있었다고 한다. 이에 따라 이번에 개정된 내역은 그러한 부분들을 일치시키기 위한 조치였다.

 

개정 내용

 

1. 특수 개인 데이터 처리 절차 효율화

본 법령에서 지칭하는 특수 개인 데이터(Özel nitelikli kişisel veri)는 해당 데이터를 통해 개인이 차별을 당하거나 피해를 초래할 수 있는 정보를 지칭한다. 이러한 데이터로는 대표적으로 인종 또는 민족, 특정 정당이나 노조의 가입, 정치적 견해, 건강정보, 외모, 결혼여부, 범죄기록, 종교적 신앙, 유전 데이터 등이 있다. 이러한 정보들은 일반적인 개인정보보다 더욱 조심스럽게 취급된다.

 

따라서 튀르키예 정부는 해당 정보를 다루는 것에 대해 엄격히 규제했다. 그러다 보니 법령을 적용하는 동안, 고용주가 직원의 병가와 사회보장세를 내는 업무를 처리하는 중에도 규제로 인한 실무적 애로가 발생했다. 직원의 병원 방문 기록 등도 특수 개인 데이터에 해당하기 때문이다. 이러한 점에 기반하여, 튀르키예 정부는 법령을 보다 포괄적이되, 효용성 있게 개정했다. 이제는 데이터 제공 당사자의 ‘명시적 동의’와 함께 합법적인 근거만 있다면 특수 개인 데이터 처리가 용이해 진다.

*명시적 동의: 특정 주제에 관한 사전 동의를 바탕으로 자유 의지로 표현된 동의

 

Pirşen&Dönmez에 따르면 과거에는 당사자의 동의가 있더라도 튀르키예 정부 측에서 법에 위배된다는 판결을 내리며 무척 제한적인 사용만 용인했다. 그러나 이번 2024년 3월 법령 개정을 통해, 합법적인 범위 내에서 사용하는 목적의 근거가 타당하다면 특수 개인 데이터 역시 처리 가능하도록 규제를 완화했다.

 

2. 튀르키예에서 수집된 개인정보를 해외로 전달 시 ‘적절성 결정’이 중요

원칙적으로 KVKK 규정에 따라 데이터를 해외로 전송하는 방법에는 1) 국가 자격 절차, 2) 개인정보보호에 관한 구속력 있는 강력한 회사 내규, 3) 서약서 등 3가지 방법이 있었다. 그러나 실무에서는 기업이 데이터 제공자의 명시적 동의를 얻어 데이터를 전송하는 방식이 주를 이루었다.

 

그러나, 이번 개정을 통해 해외로 개인 정보 반출 절차를 강화하며, 2024년 3월 개정에 따라 개인정보보호법의 제5조와 제6조에 명시된 기준에 근거 ‘적절성 결정(yeterlilik kararı)’을 보유하고 있어야만 반출이 가능하다. 만약 적절성 결정이 없을 시에는 보증 절차, GDPR 논리를 갖춘 표준 계약서 등을 준비해야 한다. 개인정보 반출 과정은 유예기간이 필요하다고 판단 되어 2024년 6월 1일부터 시행될 예정이다. 아울러 명시적 동의를 활용한 개인정보 반출은 2024년 9월 1일까지만 허용 되며 그 이후부터는 불가하다.

 

법령 개정을 통한 기대효과

 

현지 법률 전문가들은 이번 개정을 통해 기업이 특수 개인 데이터를 처리하기 위해 정부의 승인을 받는 절차가 보다 효율적으로 변할 것이라고 평가한다. 법령 발효 이후 일련의 과도기적 시기를 거쳤으나, GDPR의 취지를 따라, 개인 정보 보호를 우선시하되, 정보를 취급해야 하는 상황에서 기업이합리적인 일처리를 할 수 있는 환경을 마련한 것이다.

 

개인정보 처리 절차에서 기업의 책임이 더 커지기는 하지만, 효용화를 위한 조치는 즉시 시행하고, 규제가 강화되는 부분에 대해서는 유예기간을 정한 덕분에 기업들이 개정되는 내용을 숙지하고 준비할 기간이 있다. 이로 인해 현지 법률 전문가들은 개정 이전에 비해, 튀르키예 내에서 수집된 개인정보가 해외로 무분별하게 유출되는 것을 줄일 수 있을 것이라고 평가한다.

 

시사점

 

2018년부터 데이터 관리자 등록 의무화 이후, 다수의 기업들이 데이터 관리자 등록을 마쳤다. 그러나, 일부 외국 기업들이 해당 법령에 대한 정보가 부족하여 데이터 관리자를 등록하지 않는 경우가 있다. 이러한 경우 현지 법무법인들이 KVKK에서 기업의 등록 여부를 확인 후 데이터 관리자 미등록 기업에 메일을 보내 당사를 통하여 등록할 것을 제안한다. 데이터 관리자를 등록하지 않으면, 향후 벌금을 내야하기 때문에 등록 절차를 진행해야 하는 것은 맞다. 기업 및 개인이 직접 등록이 가능하기 때문에 반드시 변호사가 대행할 필요는 없지만, 향후 등록된 정보가 잘못됐거나 허위 사실일 경우 이 또한 과태료를 물 수 있기 때문에 변호사를 통해 진행하는 것이 안전한 편이다.

 

튀르키예와 관련하여 개인 정보를 취급하는 기업들은 법령 개정에 따라 개인정보정책, 개인정보 처리방침, 쿠키 정책, 개인정보 수집에 대한 이용문을 업데이트 해야 한다. 아울러 기업 내 직원들의 개인정보 사용과 관련한 안내문을 개정된 법령에 맞추어 수정할 필요가 있다.

 

해외로 개인정보를 이전/반출하는 기업은 데이터를 이전하는 국가의 목록을 작성하고, 데이터 이전 방법 매뉴얼을 작성하여 튀르키예 개인정보 보호 위원회(Kişisel Verileri Koruma Kurulu)에 2024.6.1.까지 제출이 필요하다.

 

튀르키예 현지 법률 전문가들은 이번 개정이 PPDL을 보다 GDPR에 근접화 하기 위한 조치라고 평가한다. Pirşen&Dönmez에 따르면, PPDL은 GDPR을 전신으로 삼아 재정된 법안이 맞지만, 보다 튀르키예의 현황에 맞춘 법안이었다. 따라서, GDPR과 일부 차이점들이 존재했으며 지속적인 개정을 통해 바꿔 나가는 방법을 택했다. 이에 따라,향후 GDPR처럼 더 포괄적인 법령으로 계속 개정해 나갈 예정이며, 벌금 등의 규제도 강화될 것으로 전망한다.

 

자료: 튀르키예 개인정보호법, Pirşen&Dönmez Law Firm, KVKK, KVKSIS, KOTRA 이스탄불 무역관 자료 종합