[GDPR 적용 특수 사례] 1. 고용관계의 GDPR 적용

직원 데이터

고용주는 채용, 혜택, 급여, 인력 파일, 질병 기록, 모니터링 및 평가, 인력 보고서 및 퇴직 등 다양한 목적으로 잠재적인, 현재 및 과거의 직원에 관한 개인 데이터를 수집하고 사용한다. 고용주는 고용법상의 의무를 준수하고 직원을 보호하기 위해 직원 데이터를 수집해야 할 수도 있다.

고용주는 직원의 개인 데이터를 처리할 때 해당 상황에 적용되는 회원국 고용법상의 의무를 항상 고려해야 한다. 예를 들어, 다양한 국가 노동 협의회와 협의해야 할 필요가 있을 수 있다(노동 협의회에 대한 자세한 내용은 아래 참조). 직원 권리 법률이 강력하고 데이터 수집이 직원의 개인정보 보호에 중요한 영향을 미치는 상황에서는 컨설팅이 종종 필요하다.

각국의 고용법은 EU 전 국가별로 상당히 다양하기 때문에 데이터 보호와 고용법의 혼합으로 인해 규정 준수가 복잡해질 수 있다. 또한 핀란드와 같은 일부 EU 국가는 직원 데이터를 다루는 특정 법률을 가지고 있거나, 독일처럼 감시를 둘러싼 구체적인 직장 개인정보 보호법을 시행할 수 있다. 사실 GDPR 제88조는 회원국이 직원의 개인 데이터 처리에 관한 보다 구체적인 규칙을 제공할 수 있음을 인정한다. 이 규칙에는, 기업 집단 또는 직장에서 공동 경제 활동 및 모니터링 시스템에 관련된 사업체 또는 기업 집단 내에서의 개인 데이터의 이전과 관련하여 특히 처리의 투명성(1장에서 다루는 개념)과 관련된, 데이터 주체의 인간 존엄성, 합법적인 이익 및 기본적 권리를 보호하기 위한 적절하고 구체적인 조치가 포함되어야 한다. 회원국이 국내법을 시행하는 경우 유럽 연합 집행위원회(Commission)에 그러한 법률을 통보해야 한다.

고용주는 직원에게 자신의 개인 데이터에 대한 액세스 권한을 부여하는 것을 포함하여 직원 데이터가 GDPR의 모든 측면에 따라 처리되도록 해야 한다.

직원의 개인 데이터 처리를 위한 법적 근거

고용주는 일반적으로 직원의 개인 데이터를 처리하기 위해 다음과 같은 근거에 의존한다.

•직원이 동의한 경우(아래에 설명된 바와 같이 동의에 의존하는 것은 상당한 단점이 있음에도 불구하고)

•사용자와 고용인 간의 고용계약을 이행하기 위해 처리가 필요한 경우

•사용자가 법적 의무를 이행하기 위해서는 처리가 필요한 경우

•처리는 고용주의 합법적 이익을 위해 필요한 경우

 

일반적으로 고용주와 고용인 간의 고용계약에는 고용주가 자신의 개인 데이터를 사용할 수 있다는 데 동의한다는 조항이 포함되어 있다.

종종 고용계약서는 직원에 대해 수집된 개인 데이터를 고용주가 사용하는 방법을 자세히 설명하는 대신, 직원용 안내서나 통지로 갈음한다.

동의

직원의 동의를 얻는 것이 직원 데이터를 처리하기 위한 쉬운 솔루션인 것처럼 보이지만 현실에서는 이를 피하는 것이 가장 좋다. 타당한 면에서 동의는 반드시 동의를 표명하는 직원의 희망에 대해 자유롭고 구체적이며 정보가 풍부하고 모호하지 않은 표시가 되어야 하기 때문에 EU 데이터 보호법에서 요구되는 진정한 동의로 판단되기가 매우 어렵다.

데이터 보호 당국(DPA)은 근로자가 진정한 자유 선택을 하고 피해를 받지 않고 동의를 철회할 수 있는 상황에 동의에 의존해야 한다고 규정했다. 동의가 어떠한 대가가 따른다면 유효하지 않은 동의가 될 가능성이 높다. DPA의 관심사는 고용주와 고용인 관계에서 불평등한 힘의 균형으로 인해 직원들이 진정한 자유를 누릴 수 없다는 것이다. GDPR의 Recital 43은 구체적으로 데이터 주체와 컨트롤러 간에 명확한 불균형이 있는 특정 경우에 동의가 개인정보 처리를 위한 유효한 법적 근거를 제공해서는 안 된다고 명시한다. 직원들은 거절하는 것을 두려워할 수 있으므로 데이터 사용에 대한 동의를 제공하라는 압박감을 느낄 수 있다. 따라서 고용주는 이후의 동의 철회가 처리 활동의 합법성이나 직원 고용에 해를 끼치지 않는 경우를 제외하고는 동의에만 의존하는 것은 바람직하지 않다.

직원이 동의하더라도 현지 법에 따라 직원 데이터 처리가 불법이거나 불공정하다는 것을 인식하는 것이 중요하다. 직원은 특정 개인 데이터 수집에 동의했을 수 있다. 예를 들어 현지 법률에 따라 이러한 유형의 처리에 대한 동의를 제공할 수 없다고 명시된 경우에도 마찬가지이다. 또는, 동의서에는 고용주가 추구하는 목적에 부합하지 않는 데이터 수집이 포함될 수 있다. 즉, 동의가 얻어지더라도 고용주는 여전히 데이터 보호법의 다른 모든 측면을 준수해야 한다.

동의는 사실상 절대적으로 필요한 경우에만 사용자가 기대는 마지막 수단이다. 이렇게 말하면서 특정 EU 국가들은 여전히 동의를 요구한다. 이는 고용주가 서면으로 직원의 동의를 얻어야 하며, 종종 고용주가 직원의 데이터를 사용하고자 하는 방법에 대해 자세히 설명하는 긴 통지를 할 수 있음을 의미할 수 있다.

고용계약 이행에 필요한 처리

고용계약을 성취하기 위해서는 고용주가 직원 개인 데이터를 처리해야 한다. 예를 들어, 고용인은 고용인의 이름과 은행 세부 사항을 처리해야 한다. 또는 고용주의 통신 시스템을 사용함으로써 고용인에 관한 특정 정보가 수집되어 고용주에 의해 처리된다.

법적 의무에 필요한 처리

특정 법률에 따라 고용인 데이터를 처리해야 하는 고용주에게 특정 의무가 부과될 수 있지만 GDPR은 EU 또는 회원국 법이어야 한다는 것이 분명하다. 예를 들어 고용주는 일반적으로 지방 세무 당국에 급여에 대한 세부 사항을 제공해야 한다.

합법적 이익

많은 경우 고용주는 직원에 대한 개인 데이터를 처리하기 위해 합법적인 이익 기반에 의존할 수 있다. 예를 들어 고용주가 이전 급여 시스템에서 새 고용 통계 시스템으로 직원 데이터를 이전하기 위해 구조적 시스템 변경을 수행하는 경우 이는 합법적인 이익을 기반으로 처리될 수 있다. 그러나 공공 당국은 직원 데이터를 처리하는 경우에도 합법적 이익 기반에 전혀 의지할 수 없다.

민감한 직원 데이터 처리

인종 또는 민족, 정치적 견해, 종교적 또는 철학적 신념, 노동조합 가입, 유전자 데이터, 생체 인식 데이터 또는 건강 또는 성생활에 관한 데이터(모두 광범위하게 해석될 수 있음)에 대한 민감한 개인 데이터를 수집하고 처리하는 경우, 사용자는 GDPR 제9조에 명시된 예외 사항 중 하나를 준수하는지 확인해야 한다. 이러한 예외 중 첫 번째는 개인의 명시적인 동의에 의존하지만 이 옵션은 고용주와 직원 관계에서 직원의 유효한 동의를 얻는 데 어려움이 있으므로 고용주의 최후의 수단이 되어야 한다. 또한 일부 회원국에서는 고용주가 직원으로부터 동의를 얻더라도 민감한 개인 데이터 처리에 대한 금지를 해제할 수 없다.

GDPR 제9조 (2)항은 EU 또는 회원 국가 법률 또는 단체협약에 의해 승인된 고용법, 사회보장법 및 사회보호법에 따라 컨트롤러가 의무를 수행하고 특정 권리를 행사하는 데 필요한 민감한 개인 데이터 처리를 인정한다. 많은 관할 지역에서 민감한 직원 데이터를 처리할 수 있는 정도는 수반되는 고용법 또는 노동법에 따라 다르다. 예를 들어, 폴란드의 노동법은 고용주가 고용인이나 고용 후보자에게 요청할 수 있는 데이터를 제시한다. 포르투갈에서는 고용주가 직원에 대한 중요한 데이터를 처리하기 위해 DPA의 허가를 받아야 한다. 또는 지역 DPA는 직원 데이터 처리와 관련된 특정 권한을 발급할 수 있다. 이탈리아 DPA는 직원의 동의없이 중요한 데이터를 처리하는 것과 관련된 여러 가지 권한을 발급했다. 이것은 ‘직업 및/또는 인구 위생 및 안전, 사회보장 및 지원과 관련하여 고용주와 직원 간 관계 관리와 관련한 법률, 규정 또는 EU 법률에 명시된 특정 업무 및 의무를 수행’하는 데 필요한 처리를 포함한다.

고용주가 부당 해고에 대한 청구와 관련하여 법적인 배상을 확립, 행사 또는 방어하기 위해 고용인이 민감한 개인 데이터를 처리해야 할 수도 있다. 고용주는 적용되는 모든 관련 고용 규칙을 포함하여 현지 법률에 따라 사용할 수 있는 근거를 면밀히 검토해야 한다.

통지 제공

직원 데이터를 처리하는 데 사용된 합법적인 근거와 관계없이, 직원에게 데이터 사용에 대해서, 어떤 목적을 위한 것인지, 질문을 하기 위해 누구에게 연락해야 하는지, 데이터와 관련하여 어떤 권한이 있는지에 대한 정보를 직원에게 적절히 알리는 것이 필요하다. 고용주는 직원 핸드북을 통해 또는 모든 신입 사원에게 제공되고, 회사의 인트라넷에서와 같이 요청에 따라 사용할 수 있는 특정 통지 문서를 통해 이를 수행하도록 선택할 수 있다. 통지는 최신 상태로 유지되어야 하며 새로운 목적이 추가될 때 직원에게 통보해야 한다. 특히 GDPR에 따르면, 통지는 필요한 수준의 세부 정보를 제공하여 직원이 처리 목적, 법적 근거, 합법적 이익이 무엇인지, 그 근거가 신뢰되는지, 어디로 이전되는지, 얼마나 오래 저장하는지도 이해할 수 있도록 세부사항을 제공해야 한다.

인사 기록 보관

고용주는 개인이 직책에 지원하는 순간부터 직원에 대한 세부 정보를 수집하기 시작한다. 직원과 관련된 기록은 모집, 병가, 의료 보험 및 연봉에서 감정 평가, 성과 평가 및 퇴직에 이르기까지 광범위한 활동을 포괄한다. 이러한 기록에는 데이터 보호 규칙에서 필요한 것보다 오래 보관해서는 안 되는 개인 데이터가 포함되어 있다. 일반적으로, 개인이 현재 직원인 동안 고용주는 직원의 데이터를 보유할 정당한 이유가 있다. 그러나 직원이 퇴직하면 그 이유가 줄어들 수 있다.

각기 다른 현지 법률에 따라 고용주는 직원 데이터를 보관해야 한다. 여기에는 회사법, 고용법 및 보건 안전법상의 의무가 포함된다. 후자에는 기계를 조작하는 개인에 대한 건강 및 안전 점검과 관련하여 고용주가 보관해야 하는 기록이 포함될 수 있다. 고용주는 또한 근로자의 개인 데이터를 노동, 세금 및 사회보장 법령을 준수하는 데 필요한 정도로 또는 직원의 개인 데이터를 보존해야 하는 다른 규정과 함께 유지해야 할 수도 있다.

그러나 누군가의 고용이 끝나면 고용주는 일반적으로 전 직원의 기록에 대한 내부 액세스 권한을 변경해야 한다. 인사 부서가 전직 직원의 기록에 액세스하는 데 필요한 일상적인 요구 사항은 거의 없다. 이러한 상황에서 보유해야 하는 전 직원에 대한 데이터는 안전하게 보관해야 한다.

직장 내 모니터링 및 데이터 손실 방지

직원은 직장에서의 사생활 침해에 대한 권리를 잃지 않는다. 유럽의 법률은 직장의 사적인 영역이 보호되고 있음을 인정한다. 그러나 이 프라이버시 권리는 고용주가 사업을 운영하고 회사 또는 조직을 직원의 불법 행위로부터 보호할 수 있는 합법적 권리와 균형을 이룬다.

배경 점검

잠재적인 직원과 기존의 직원에 대한 배경 조사가 점점 더 보편화되고 있다. 이러한 증가의 원인 중 하나는 데이터 유출이 파렴치한 직원의 작업일 수 있다는 인식이다. 사슬의 약한 고리는 기술적인 것이 아니라 인간에 의한 것이 많다. 또한 아웃소싱 또는 서비스 회사는 고객이 고객 프로젝트를 수행할 담당자에 대한 배경 검사를 요청할 수 있다. 배경 조사는 소셜 네트워크 웹 사이트의 개인 상태 확인부터 과거 범죄 활동 확인을 위한 교육 배경 검증까지 다양한 단계에서 작동할 수 있다. 고용주는 배경 조사 절차의 일환으로 블랙리스트를 작성하거나 고용하지 않을 개인을 식별하지 않도록 주의해야 한다.

블랙리스트는 개인의 사생활 침해로 간주되며 일반적으로 불법이다. 경우에 따라 관할 지역은 배경 점검을 구체적으로 다루는 법률을 가지고 있다. 핀란드에서는 점검을 수행할 수 있는 사람을 정의하고 점검의 대상인 개인의 사전 서면 동의가 필요한 2002년 배경 조사법이 있다. 그렇지 않으면 배경 조사를 수행할 때 지켜야 할 규칙은 데이터 보호 및 고용법에 의해 결정되며 이는 회원국마다 다를 수 있다.

데이터 손실 방지

데이터 손실 방지(DLP) 기술은 최근 몇 년 동안 사용자들에게 점점 인기를 얻고 있다. 기업은 외부 및 내부 위협으로부터 IT 인프라와 기밀 비즈니스 정보를 보호하기 위해 DLP 도구를 사용한다. DLP 도구는 필연적으로 직원 및 기타 제3자 개인 데이터를 처리해야 한다. 직원이 개인 활동에 사용할 수 없더라도 개인정보가 포함될 수 있는 전자 메일 교환 서버와 같은 직원이 사용하는 네트워크 및 시스템에서 작동하기 때문이다. DLP 도구의 사용은 조직의 데이터 손실 방지에 중점을 두는 것이 도구의 최우선 의도이지만 직원 모니터링의 한 형태이다.

직원 모니터링

작업장에서 생성된 직원에 관한 개인 데이터는 데이터 보호 규칙에 따라 고용주가 계속 사용한다. 고용주는 관련 지역 고용법 및 전자 통신의 개인정보 보호와 관련된 특정 규칙을 준수해야 한다. 고용주는 직원이 고용주 장비를 사용하거나 승인되지 않은 활동으로 의심되는 경우를 포함하여 여러 가지 이유로 직원을 모니터하기로 결정할 수 있다.

고용주가 작업장 모니터링을 수행하기를 원할 경우 특히 다음과 같은 데이터 보호 원칙을 준수해야 한다:

•필요성: 고용주는 모니터링이 실제로 필요하다는 것을 증명할 수 있어야 한다.

•합법성: 고용주는 개인 데이터 및 해당되는 경우 중요한 개인 데이터를 수집하고 사용하기 위한 합법적인 근거가 있어야 하며, 처리는 공정해야 한다.

•비례성: 발생하는 모든 모니터링은 고용주가 다루는 문제에 비례해야 한다.

•투명성: 사용자는 수행할 모니터링을 직원에게 명확하게 알려야 한다.

 

모니터링 활동을 통해 수집된 직원에 관한 모든 개인 데이터는 직원이 회사 정책이나 법률을 위반했는지 여부를 결정하는 것과 같이, 안전하게 보존하고 합법적인 이유가 있는 회사 내부 직원만 액세스해야 한다. 이러한 데이터는 더 이상 필요가 없어지면 삭제해야 한다. 물론 유지해야 할 사업적인 필요가 있을 수 있다. 회사가 데이터를 보존해야 할 필요가 있는 한 가지 예는 모니터링을 통해 얻은 정보로 인해 해고된 직원이 해고에 이의를 제기한 경우이다.

필요성

고용주는 계획된 모니터링 활동을 진행하기 전에 그 목적을 위해 실제로 필요하다는 것을 확신해야 한다. 즉, 사용자는 모니터링을 시작하기 전에 다른 덜 침투적인 감시 방법을 고려해야 한다. GDPR에 따르면 사용자가 모니터링하여 개인의 권리와 자유에 대한 높은 위험을 초래할 가능성이 있는 경우, 사용자는 데이터 보호 영향 평가(DPIA) 또는 개인정보 영향 평가(PIA)를 수행해야 한다. DPIA를 수행하면 계획된 모니터링이 실제로 필요하고 비례하는지 여부를 결정하는 데 도움이 된다.

DPIA는 개인에게 제안된 데이터 처리 활동의 개인정보 위험을 고려하는 프로세스이다. 이는 개인 데이터를 처리하기 위한 개시의 초기에 시작되어야 하는 투명하고 협의적인 프로세스이다. 예를 들어 회사에서 직원 활동을 모니터링하는 DLP 소프트웨어를 사용하기로 결정한 경우 DPIA가 적합하다. DPIA를 수행하면 조직에서 초기 단계에서 개인정보 위험을 식별하고 위험을 완화하기 위해 수행해야 할 작업을 고려할 수 있다.

합법성

고용주가 수행하고자 하는 모니터링은 합법적이어야 한다. 즉, 모니터링을 위한 합법적인 기반이 있어야 한다. 고용주는 인터넷 사용을 모니터링하여 직원들이 포르노그라피를 다운로드하거나 고용주에 대한 기밀 정보를 외부인에게 공개하지 않도록 할 수 있다. 또는 모니터링은 작업자의 안전을 보장하기 위한 것일 수 있다. 데이터 보호 측면에서 볼 때 이는 합법적인 이익 균형 테스트에 의존한다는 것을 의미한다. 고용주는 기밀 정보가 경쟁자에게 보내지는 것을 방지하는 것과 같은 중대한 위협으로부터 비즈니스를 보호하기 위한 합법적인 이해관계를 가지고 있다. 따라서 고용주는 합법적인 이익 기반이 요구하는 균형 테스트를 수행해야 한다. 합법적 이익의 근거와 달리, WP29는 근로자의 전자 메일 모니터링을 합법화하기 위한 동의의 사용이 매우 제한적이라고 지적했다. 동의의 사용이 매우 제한적이라는 동일한 원칙은 모든 유형의 모니터링에도 적용된다.

민감한 데이터 수집과 관련된 모니터링은 문제가 될 수 있다. 그러나 제9조는 EU나 회원국 법 또는 적절한 안전 조치를 제공하는 주 법 또는 단체협약에 의해 승인된 경우, 고용법, 사회보장법 및 사회보호법에 따라 의무를 이행하고 고용주의 구체적인 권리를 행사할 목적으로 필요한 경우에 민감한 데이터를 처리할 수 ​​있다. 따라서 고용주는 모니터링이 인종, 민족, 종교, 정치적 견해 및 성생활과 관련된 데이터 처리를 포함할 것으로 예상되는 경우, EU 및 현지 법에 대한 지침을 필요로 한다. 경우에 따라 모니터링 활동을 통해 직원의 중요한 데이터를 처리할 수 있는 근거가 충분하지 않을 수 있다.

고용주는 현지 고용법을 참조해야 한다. 개인을 모니터링하는 것이 항상 합법적인 것은 아니며 일부 EU 국가에서는 어떤 유형의 모니터링이 합법적인 것으로 간주되는지에 관한 규칙이 엄격하다.

또한 근로자가 5명 미만인 회사의 경우 독일과 같은 국가에서 단체협약을 고려하거나 근로 협의회와 상의할 필요가 있다(직원 데이터 사용과 관련하여 어떤 보호조치가 있는지 확인하기 위해 필요하다). 한 가지 예로서, 오스트리아에서는 고용법이 직장 협의회와 먼저 합의하지 않고 인간의 존엄성을 저해하는 모니터링 시스템을 고용주가 구현하는 것을 제한한다. 근로자 경험의 중대한 변화에 대해 고용주와 단순히 상의해야 할 수도 있는 직장 협의회 간의 합의는 어떤 유형의 모니터링이 허용되는지 구체적으로 제시할 수 있다. 고용주의 다른 모니터링은 불법일 수 있다.

직원 모니터링은 침해가 있는 것으로 간주되지만, 침해에도 수준이 있다. 예를 들어, WP29는 바이러스를 탐지하고 원치 않는 상업성 전자 메일을 필터링하기 위해 전자 메일을 검사하는 것이 적절한 보안 조치를 보장하는 일환으로 정당화된다고 지적했다. 특정 관할 지역에서는 인터넷 시간 또는 업무와 무관한 번호로 발신하는 전화 통화의 규칙성을 모니터링 할 수 있지만, 방문한 웹 사이트 내용이나 전화 대화 내용을 녹음하는 것을 허용하지 않는다. 또한 모니터링이 구현되기 전에 직원들이 고용주의 설비를 오용하는 것을 방지하기 위한 다른 메커니즘을 찾는 것이 좋다. 고용주는 직원들이 그러한 웹 사이트에서 시간을 보내는 것을 방해하는 방법으로 방문한 특정 웹 사이트에 대한 액세스를 차단할 수 있다. WP29는 특히, 탐지보다 예방이 중요하다는 것을 강조하였다.

또한 기본권에 대한 CJEU의 결정과 유럽 ​​인권 협약에 대한 유럽 인권 법원의 결정을 포함하여, 인권법상의 함의를 고려할 필요가 있다.

비례성

고용주가 모니터링을 수행하기를 원할 때 제안된 모니터링이 고용주의 우려에 비례하는지 여부를 고려해야 한다. 직원이 고용주에 대한 기밀 정보를 전달하지 않도록 모든 직원의 이메일을 철저히 모니터링하는 것은 불균형을 낳는다. 그러나 이메일의 대량 자동화 모니터링은 시스템의 약점을 탐지하는 기술적 수단을 사용하여 그러한 모니터링이 수행되는 고용주의 IT 시스템 보안을 보장하는 데 비례할 수 있다.

따라서 모니터링 활동은 잠재적 또는 알려진 위협에 대한 합리적이고 현실적인 대응책으로 고안되어야 한다. 비례에 대한 필요성은 데이터 최소화 규정에 따라, 개인 데이터가 적절하고 관계 있으며 처리 목적과 관련하여 필요한 것으로 제한되어야 한다는 원칙과 연결된다. 따라서 가능한 경우 이메일을 모니터링하는 사람은 이메일을 보낸 사람과 메시지의 내용을 모니터링하는 것이 아니라, 이메일을 통해 생성된 트래픽 데이터로 제한되어야 한다. 기술적인 방법을 사용하여 전자 메일의 크기와 수를 평가할 수 있다. 실제로 전자 메일을 열어 내용을 읽는 것은 보통 불균형한 경우에 해당된다.

단체 교섭 협약은 모니터링 활동의 비례를 고려하는 고용주에게 유용한 기준점이 된다. 단체협약서에 특정 상황에서 고용주가 특정 모니터링 활동을 수행할 자격이 있다는 사실이 인정되면 비례에 관한 이해 관계의 균형이 깨질 수 있다.

투명성

GDPR에 따른 고시 요구 사항에 따라 고용주는 직원에게 모니터링 활동에 대한 충분한 정보를 제공해야 한다. 이러한 투명성은 통지 요건을 충족시키는 것뿐만 아니라, 직장에서의 시간이 모니터링되는 방식에 대한 직원의 기대치를 설정하는 데 중요하다. 기대치를 설정하는 것은 모니터링이 합법적임을 보장하는 데 있어 핵심이다. 직원이 고용주의 장비 사용과 관련하여 작업장에서 기대되는 기준을 사전에 통보받고, 또 이 사용이 모니터링될 것이라는 것을 통보받는 경우, 직원은 향후 자신의 활동이 기준에 위배된다는 사실을 알지 못한다고 주장할 범위가 작다. 과거에는 직원들에게 모니터링에 대한 정보를 미리 제공해야 한다는 요구 사항은 법원이 이 문제를 어떻게 보는지에 대해 매우 중요한 영향을 주었다. 고용주가 그들의 활동이 모니터링될 것임을 직원에게 알리지 않으면, 고용주는 모니터링을 통해서만 행동을 포착한 악의적인 직원에 대한 소송에서 질 수 있다.

만약 직원들이 자신의 행동이 직장에서 모니터링될 것이라고 듣지 않았다면, 그들은 프라이버시에 대한 더 큰 기대를 가질 수밖에 없다. 직원에게 모니터링 방법을 알리면 기대치가 낮아질 수 있다. 하지만 그렇다고 해서 고용주가 직장 프라이버시가 없다고 경고했기 때문에 직장에서의 프라이버시가 부족한 것이 수용가능 하다고 고용주가 주장하는 것은 불가능하다. 근로자가 완전히 프라이버시가 근절될 수 없는 작업장에서 일정 수준의 사생활을 누리고 있음을 법이 인식했기 때문에, 법원 또는 DPA는 그러한 포괄적인 경고를 합법적인 것으로 인정하지 않을 것이다.

따라서 고용주는 모든 신규 및 기존 직원의 주의를 끌 수 있는 허용 가능한 사용 정책(AUP)을 소개하고 고용주의 통신 장비(예: 전화, 인터넷, 전자 메일)의 예상 사용 기준을 자세하게 설명하고 해당 직원의 사용을 모니터링할 수 있다. AUP는 고용주 장비의 사적 사용이 허용되는 양을 명시해야 한다. 일반적으로 직원의 사적인 통신은 열어보거나 모니터링해서는 안 된다. 고용주는 고용주 장비의 사적 사용이 허용되지 않는다고 AUP에 명시함으로써 이 규칙을 우회하도록 유혹받을 수 있다. 그러나 특정 DPA뿐만 아니라 법원들도 직원이 고용주의 장비를 제한적인 개인 용도로 사용할 권리가 있다고 말하였다. 이메일 사용을 다루는 또 다른 방법은 고용주가 회사 이메일 계정을 회사 업무용으로만 사용할 수 있다고 규정하는 것이지만, 직원은 제한된 개인용으로 회사 장비에서 개인 이메일 계정을 사용할 수 있다.

고용주는 또한 직원의 회사 장비 사용에 관한 기대치와 고용주의 모니터링 권리에 대해 상기시킬 수 있다.(예를 들어 직원이 회사 컴퓨터에 로그온할 때 팝업되는 팝업 상자를 통해)

물론, 고용주가 은밀한 모니터링을 고려하는 것이 필요한 상황이 있을 수 있다. 왜냐하면 모니터링되고 있음을 특정 개인에게 알리는 것은 그 사람이 잘못된 행동을 의심받는 것이라는 암시를 하는 것이기 때문이다. 고용주가 도난 사실을 의심할 만한 합리적인 근거가 있는 경우, 비밀리에 조사하는 것이 적절할 수 있다. 일부 EU 관할권에서는 이러한 종류의 은밀한 감시가 아주 좁은 환경에서만 허용되며 특정 관할에서는 전혀 허용되지 않다. 대신 경찰이 개입해야 한다. WP29는 현지 법이 허용하는 경우를 제외하고 고용주가 은밀한 이메일 모니터링을 허용하지 않는다고 명시했다. 이러한 모니터링은 직원의 특정 범죄 행위가 확인되었을 경우일 가능성이 크다.

고용주가 제공해야 할 정보

WP29는 고용주가 직원에게 제공해야 하는 정보에 관한 지침을 아래와 같이 제시했다.

•회사 이메일/인터넷 정책: 직원이 개인/개인 통신을 위해 회사 소유의 통신 시설을 사용할 수 있는 범위(예: 시간 및 사용 기간 제한을 자세히 설명해야 한다.)

•감시가 있는 경우 그 이유와 목적: 고용주가 회사의 통신 시설을 명백한 사적 목적으로 사용하도록 허용한 경우, 그러한 사적인 통신은 매우 제한된 상황에서 정보 시스템의 보안을 보장하기 위해(예: 바이러스 검사 또는 중재인 예방) 감시 대상이 될 수 있다.

•수행된 감시 조치의 세부 사항: 누가, 무엇을, 어떻게, 언제 감시하는지

•근로자가 내부 정책 위반에 대해 통보를 받는 방법과 시기에 대해 설명하고 그러한 요구에 대응할 수 있는 기회를 제공하는 시행 절차에 대한 세부 정보

 

특히 이메일 모니터링과 관련해서는 아래와 같은 구체적인 지침을 제시하고 있다.

•근로자가 순수하게 개인 용도로 이메일 계정을 가지도록 허용되는지, 업무에 웹 메일 계정 사용이 허용되는지, 그리고 근로자가 순수히 개인 용도로 이메일에 접근하기 위한 목적으로 개인 웹 메일 계정을 사용하는 것을 고용주가 권장하는지 여부

•근로자의 이메일의 내용 접근에 대한 합의(예를 들어 예기치 않게 결근하는 경우) 그리고 그러한 접근의 구체적 목적

•메시지 백업 복사본의 저장 기간

•이메일이 서버에서 완전히 삭제되는 시기에 관한 정보

•근로자 대표의 정책 수립 참여

 

인터넷 사용 모니터링과 관련된 구체적인 지침도 아래와 같이 제시하고 있다.

•인터넷의 사적인 사용이 허용되는 조건의 명확한 묘사 및 열람이나 복사가 불가능한 자료의 지정: 이러한 조건과 한계는 근로자에게 설명되어야 한다.

•특정 사이트에 대한 액세스를 방지하고 오용을 탐지하기 위해 구현된 시스템에 대한 정보: 이러한 모니터링의 범위는 특정되어야 한다. 예를 들어 이러한 모니터링이 회사의 개인 또는 특정 섹션과 관련될 수 있는지 또는 방문한 사이트의 내용이 특정 상황에서 고용주가 보거나 기록하는지 여부. 또한 정책은 누가 어떤 사이트를 방문했는지와 관련하여 수집된 데이터로 인해 어떤 용도로 사용될 것인지 명시해야 한다.

•이 정책의 시행과 위반 혐의 조사 시, 고용주 대리인의 개입에 관한 정보

 

고용주가 고용주의 장비를 오용한 사실을 발견한 경우 고용주는 그 사람에게 알리지 않고 감시를 정당화할 중요한 이유가 없는 한, 직원에게 오용을 즉시 통보해야 한다.

고용주는 지역 법률 또는 단체협약의 요구 사항에 따라 직장 협의회에 정보를 제공해야 할 수도 있다. 경우에 따라, 노동 협의회는 모니터링 준비에 관해서 협의만 하면 된다. 그러나 일부 단체협약은 특정 모니터링을 시작하기 전에 사용자가 직장 협의회의 동의를 얻도록 요구한다. 현지 법은 다양하다. 지역적 차이의 예로, 벨기에 단체 교섭 협약(1983년 12월 13일)에 따라 근로 조건에 중대한 영향을 미칠 신기술이 도입되기 전에 고용주는 직원 대표에게 신기술의 성격, 그것의 소개 및 결과를 정당화하는 요인에 대한 정보를 제공해야 한다.

피고용인의 권리

고용주는 잠재적인 직원의 인터넷 오용을 처리할 때 주의해야 한다. 명확하지 않은 하이퍼 텍스트 링크나 오입력을 통해 웹 사이트를 무의식적으로 방문할 수 있다는 점에서 고용주는 사실을 개인에게 제시하고 개인에게 자신의 행동을 설명할 기회를 제공하지 않고는 직원의 의도에 대한 결론을 내리지 않아야 한다. 고용주는 경우에 따라 직원 대표 또는 직장 협의회를 참여시켜야 할 수도 있다.

고용주의 불법적인 모니터링

일반적으로 민감한 개인 데이터 수집과 관련된 모니터링을 정당화하는 것이 더 어렵다. 또한 특히 부분적으로 침해하는 모니터링도 일반적으로 불법이다. 특정 관할지에서는 사용자가 DPA로부터 사전 허가를 얻거나 예외가 적용되지 않는 한 은밀한 감시는 불법으로 간주된다. 또는 고용주가 업무 관련 이메일 계정을 통해 수신된 경우에도 그러한 이메일이 비공개로 표시된 경우 직원의 개인적인 통신에 액세스하는 것은 불법이다.

이 규칙을 준수하지 않으면 벌금 및/또는 잠재적인 형사 범죄를 포함하여 고용주에게 심각한 결과를 초래할 수 있다.

직장 협의회

직원 데이터를 다룰 때는 고용주가 데이터 보호를 컴플라이언스의 고립된 영역으로 간주하지 않는 것이 중요하다. 노동법 및 노동 협의회와의 고용계약 및 단체협약에 따른 의무를 고려해야 한다. 직장 협의회는 고용인을 대표하고 고용주가 직원 데이터를 사용하는 데 영향을 주는 현지 법률에 따라 특정 권리를 가진 단체이다. 직장 협의회는 일반적으로 데이터 보호 및 개인정보 보호 권리를 포함하여 직원 권리를 보호할 의무가 있으므로 직원의 개인 데이터가 처리될 수 ​​있는지 여부를 결정할 수 있다. 일반적으로 직장 협의회는 프랑스, ​​독일, 이탈리아와 같은 특정 관할 구역에서 보다 적극적이다. 대조적으로, 영국은 직장 협의회가 없으며 영국 노조는 고용주가 직원 데이터를 사용하는 방법에 영향을 주지 않는다.

그러나 특정 상황에서는 직장 협의회가 상당한 권한을 행사한다. 예를 들어, 독일 직장 협의회 법(German Works Council Act)에 따르면 직장 협의회는 직원 모니터링 장비의 사용에 반대할 수 있다.

일반적으로 고용주는 다음 3가지 방법 중 하나 이상을 통해 직장 협의회에 참여해야 한다:

•직장 협의회에 통보: 현지 법률에 따라 고용주가 근로자의 근로 조건에 영향을 줄 수 있는 근로 환경의 변화에 ​​대해 직장 협의회에 통보하도록 요구할 수 있다.

•직장 협의회와의 상담: 현지 법률에 따라 고용주가 제안된 데이터 처리 활동에 관해 직장 협의회와 협의할 것을 요구할 수 있다. 직장 협의회는 고용주가 해당 의견에 구속되지 않을지라도 활동에 대한 의견을 제시할 권리가 있다.

•직장 협의회의 승인 얻기: 지역 법률은 직장 협의회에 고용주의 특정 결정을 승인하거나 거부할 권리를 부여할 수 있다. 이것은 공동 결정에 대한 권리라고도 한다. 직장 협의회가 결정을 거부하는 경우, 고용주의 유일한 옵션은 지방 법원에 이 문제를 제기하는 것일 수 있다.

 

특정 관할 지역은 근로자 데이터의 사용에 관한 의사결정에 직장 협의회가 관여하는 전통이 강하고, 고용주는 직장 협의회에 관련된 의무에 주목해야 한다. 직원 데이터가 포함된 처리 활동이 DPA와의 상호 작용을 포함하는 경우, DPA는 직장 협의회가 참여하지 않는 한 처리를 승인할 수 없다.

따라서 고용주는 자신의 개입이 필요한 모든 처리 작업에서 직장 협의회에 참여하는 데 필요한 시간을 고려해야 한다. 직장 협의회에 참여하지 못하면 특정 국가에서 데이터 처리가 불법이며 직장 협의회가 금지 명령을 요구할 권리가 있으며, 고용주는 재정적 처벌을 받을 수 있음을 의미할 수 있다.

내부 고발 제도

회사 내에서 불법적이거나 부적절한 활동이 일어나고 있는 경우, 종종 회사의 직원이 먼저 이를 관찰하고 더 많은 권한을 가진 사람에게 보고함으로써 이를 중지시킬 수 있다. 직원이 그러한 활동을 보고할 수 있도록 절차를 수립할 때, 회사는 적절한 개인정보 보호 장치가 설치되어 있는지 확인하고자 할 것이다.

사베인-옥슬리 법

직원들이 직장 내에서 일어나는 모든 불법적이거나 부적절한 활동을 폭로하도록 허락하는 내부 고발 제도는 오래 전부터 있었다. 그들은 2002년에 미국의 사베인-옥슬리 법안(SOX, Sarbanes-Oxley)의 통과 이후 특정 명성을 얻고 있다. 이는 EU에 자회사 또는 계열사를 보유한 미국 회사가 SOX에 구속됨에 따라 EU 데이터 보호법에 영향을 받으므로, SOX의 영향이 EU 회사의 운영에 미치게 된다. 종종 EU 회사는 SOX와 관련하여 충돌을 일으킬 수 있는 2가지 제도를 준수해야 한다. 하나는 SOX와 관련하여 직원이 부당 행위에 대한 혐의를 제기할 수 있는 능력을 갖추도록 회사에 요구되는 경우와, 다른 하나는 이러한 상황에서 개인에 대한 잠재적인 편견 때문에 개인정보의 사용을 제한하는 EU 데이터 보호법과 관련된 경우가 있다.

SOX는 글로벌 기업과 관련된 많은 기업 및 회계 스캔들에 따라 통과되었다. SOX의 목표는 회사 및 회계의 의사결정이 보다 책임 있음을 보장하는 것이다. SOX가 규제하는 회사는 회사가 자산의 부당 이용으로 인한 실제 또는 잠재적 사기 및/또는 재무 보고의 중대한 허위 진술에 대한 불만 사항을 비밀리에 받고 처리해야 한다. 이러한 불만 사항은 일반적으로 내부 통제를 붕괴시킬 수 있는 증언을 할 직원 및 기타 내부자로부터 나온다.

대부분의 SOX 규제 기업은 다음을 통해 이 요구 사항을 준수한다.

(1) 내부 통제에 대한 엄격한 준수를 강화하는 회사 정책 구현

(2) 실제 또는 잠재적 사기에 대한 지식이 있는 사람들에게 그러한 사례를 보고하도록 장려하는 것

(3) 보고의 기밀성과 내부 고발자에 대한 보호 반복

 

이러한 불만 사항을 적절히 관리하고 내부 고발자를 방지할 수 있는 보고 프로세스를 피하기 위해 많은 회사에서는 모든 직원이 불만 사항을 신고할 수 있는 독립적 인 제3자 고발 또는 윤리 핫라인 제공 업체를 고용한다. 전화 또는 이메일 주소와 같은 내부 고발 매커니즘을 통해 직원은 회사의 다른 직원에 대한 혐의를 제기할 수 있다.

특정 EU 관할권(예: 스페인 및 포르투갈)은 직원이 익명으로 신고할 수 있도록 하는 데 특히 민감하다. 우려되는 점은 혐의의 대상이 혐의를 주장하는 사람에게 회신할 권리가 없다는 것이다. 또한 사람들은 악의적인 보고를 함으로써 익명성 기능을 악용할 수 있다.

준수 문제

내부 고발 제도를 운영하는 동안 GDPR을 준수하고자하는 고용주는 다음 사항을 고려해야 한다.

•개인 데이터 보호에 미치는 영향을 평가하기 위해 계획된 내부 고발 체계에 대한 DPIA

•현지 고용법 또는 단체협약에 따라 직장 협의회와 연락

•처리는 유럽 연합 이외의 지역의 프로세서와 계약을 맺는 계약으로 프로세서 지정과 관련된 GDPR 및 국제 데이터 이전의 합법성에 대한 요구 사항 준수 여부

•추가 처리를 위해 EU 외부의 보고서에서 개인 데이터를 비EU 기반 회사로 전송하는 메커니즘: 일반적으로 표준 계약 조항 또는 BCR(Binding Corporate Rules)을 기반으로 한다.

•직원의 동의가 필요한지 여부, 필요하다면 어떤 형태인지

•DPA의 정책으로 인해, 특정 관할의 준수가 복잡해지는지 여부(예를 들어, 포르투갈)

•직원에게 계획의 범위와 해당 계획과 관련하여 개인 데이터의 사용 방법을 투명하게 알려주는 내부 고발 정책 및 프로세스 개발하기

•데이터 보호법에 의거하여 개인의 권리를 계획에 따라 적절히 보호하기

 

내부 고발 정책

WP29는 내부 고발에 대한 의견을 발표했다. 이것은 EU 데이터 보호법에 따라 내부 고발 제도의 적법성을 고려한 최초의 DPA 중 하나인 프랑스 DPA의 지침을 따라가는 것이다. 프랑스 DPA와 WP29가 제공한 지침을 고려하여 회사의 내부 고발 정책은 다음과 같은 특정 요소를 다루어야 한다.

•개인 보고: 고발된 사람의 잠재적 행위에 대해 알 수 있는 위치에 있는 사람에게 내부 고발 제도를 통해 부당 행위 또는 위법 행위를 신고할 자격이 있는 사람을 제한하는 것을 고려해야 한다(즉 모든 회사 직원이 보고서를 작성할 자격이 있을 수 있지만 모든 사람이 다른 사람에게 보고할 권한이 있는 것은 아니다.).

•유죄 판결을 받은 사람: 유죄 판결을 받은 사람들을 보고하는 사람들이 동일한 섹션이나 부서에서 일하기 때문에 알려지거나 알려질 가능성이 있는 사람들을 제한하는 것을 고려해야 한다.

•기밀성 vs. 익명성: 내부 고발자의 신원을 기밀로 유지해야 하며, 회사의 정책 자료에서 이를 분명히 해야 하며, 그러한 보고는 심각한 문제임을 강조해야 한다. 익명의 보고는 권장해서는 안 되며, 경박한 보고서의 예는 설명을 위해 포함시켜야 한다. 내부 고발자의 신원을 제공하면, 보다 정확하고 철저한 조사가 이루어질 수 있다는 정책을 지적하는 것을 고려해야 한다.

•보고 범위: 보고 대상 범위를 조직의 기업 지배 구조에 현실적으로 영향을 미치는 사람들로 제한하는 것을 고려해야 한다. 따돌림과 괴롭힘에 대한 보고는 내부 고발 제도보다는 HR 채널을 통해 처리되어야 한다.

•보고서 관리: 보고서가 내부적으로 또는 서비스 제공 업체에 의해 수집되고 처리되는지 여부에 관계없이 객관적인 기밀 및 공정한 조사를 받아야 한다. 일관된 방식으로 보고서를 관리할 수 있는 특정 메커니즘을 수립하는 것이 좋다.

•데이터 보존: (1) 보고된 사실(예: 2 개월)에 대한 조사가 완료된 후 엄격한 데이터 보존 기간 설정; (2) 완전히 근거가 없는 것으로 밝혀진 보고서를 즉시 삭제하는 것.

•정보 제공: 회사의 정책이 고발 정책에 명시된 대로 고발 제도가 작동하는 방식에 대해 명확해야 한다. 회사의 회사 강령에 내부 고발 정책 자체에 대한 링크 또는 계획의 잠재적 사용자 관점에서 작성된 내부 고발 정책 버전에 대한 링크를 삽입하는 것이 좋다. 모든 고지 사항은 투명성 GDPR의 요구 사항을 충족해야 한다.

•유죄가 입증된 사람의 권리: 유죄가 입증된 개인의 데이터 보호 권리(정보 제공, 액세스, 수정, 삭제 및 제한)가 제한될 수 있는 특정 상황을 설정하는 것을 고려해야한다.(예: 유죄가 입증된 사람에게 통보하는 것이, 혐의를 조사할 수 있는 회사의 능력을 위태롭게 하는 경우)

•보고서 보안: 내부 고발 체계를 통해 수집된 보고서를 다루는 특정 정보 보안 정책을 채택하는 것을 고려해야 한다.

•EEA 외부로의 이전: EU에서 발생한 보고서가 유럽 경제 지역(EEA) 외부에서 처리되는 경우, 데이터는 EU 데이터 보호 표준에 따라 처리되어야 한다. 따라서 내부 고발 정책은 국제적인 데이터 이전을 합법화하기 위해 사용된 메커니즘을 명시해야 한다.

 

BYOD(Bring Your Own Device)

많은 고용주들은 직원들이 직장에서 의사소통을 위해 자신의 개인 장치(예: 스마트 폰/태블릿)를 사용할 수 있도록 허용한다. 직원은 자신의 업무용 이메일을 개인용 장치에 통합하여 개인용 및 업무용 통신 모두에 하나의 장치를 사용할 수 있다.

개인의 장치를 가져오면 고용주는 업무용 전자 메일 설정을 사용하여 업무 관련 목적으로 직원의 장치에서 처리되는 개인 데이터의 컨트롤러 역할을 계속 수행하기 때문에 특정 데이터 보호 준수 문제를 제기한다. 그러나 이 장치에는 고용주가 일반적으로 액세스할 합법적인 이유가 없는 고용인의 개인 생활에 대한 정보도 들어 있다. 그러나 고용주는 근로자의 근로 시간과 관련된 데이터를 보유하고 있다고 가정할 때 장치에 대한 강력한 보호를 추구할 충분한 이유가 있다. 또한 직장 밖의 직원의 휴대 기기는 분실되거나 오용되기 쉽다.

BYOD를 직장에 적용한 회사는 다음 사항을 고려하는 것이 바람직하다.

•직원에게 BYOD 사용 방법과 책임 사항을 설명하는 BYOD 정책 수립

•장치를 통해 처리되는 데이터가 저장되는 위치와 데이터를 안전하게 유지하기 위해 취해야 하는 명확한 조치

•개인 장치에서 회사 서버로의 데이터 전송이 가능한 한 가로채지지 않도록 안전하게 보장할 것

•직원이 퇴사하거나 장치를 도난당하거나 분실했을 때 장치에 보관된 개인 데이터를 관리하는 방법 고려(모바일 기기 관리 소프트웨어를 사용하여 장치를 찾고 필요할 때 데이터를 제거할 수 있다.)

 

%d bloggers like this: