목차
1. GDPR과 감사 업무의 교차점 2. 감사 데이터에서 개인정보 식별 3. 법적 근거와 처리 원칙 4. 실무 적용 사례 5. 준수 체크리스트 6. 일반적 실수 7. 관련 자료
Gdpr과 감사 업무의 교차점
감사 업무에서 개인 데이터 처리가 불가피한 이유
감사기준서 230.9는 감사인이 충분하고 적절한 감사 증거를 문서화하도록 요구한다. 이 과정에서 급여 대장이나 이사회 의사록, 고객 계약서 등 개인 데이터가 포함된 문서를 검토해야 한다. GDPR 제4조(1)에 따르면 개인 데이터는 "식별되거나 식별 가능한 자연인과 관련된 모든 정보"다.
조서에 들어가는 대표적 개인 데이터는 다음과 같다. - 급여 명세서의 직원 이름, 주민등록번호 - 매출 거래의 고객 연락처 정보 - 이사회 의사록의 임원 개인정보 - 출장비 영수증의 카드 번호 일부
감사인의 GDPR 의무
감사법인은 GDPR 제4조(7)에 따른 '처리자(processor)' 또는 제4조(8)에 따른 '공동 관리자(joint controller)'가 될 수 있다. 피감사회사가 데이터 관리자인 경우가 대부분이지만 감사법인이 독립적으로 데이터 처리 목적과 방법을 결정하면 공동 관리자가 된다.
GDPR 제28조는 처리자에게 다음을 요구한다. - 관리자의 문서화된 지시에 따른 처리 - 처리 직원의 기밀 유지 의무 - 기술적, 조직적 보안 조치 구현 - 하위 처리자 사용 시 사전 승인
감사 데이터에서 개인정보 식별
직접 식별 정보 vs 간접 식별 정보
직접 식별 정보 (GDPR 제4조(1) 직접 적용): - 성명, 주민등록번호, 여권번호 - 이메일 주소, 전화번호 - 신용카드 번호, 계좌번호
간접 식별 정보 (추가 정보와 결합 시 개인 식별 가능): - 부서명 + 급여 금액 + 입사일 조합 - 거래처별 매출 + 지역 정보 - IP 주소, 로그인 시간, 거래 패턴
조서에서 가장 자주 놓치는 개인 데이터는 Excel 파일의 메타데이터다. 파일 속성에 작성자 이름과 최종 수정자, 회사명이 자동 저장된다. 이것도 GDPR 적용 대상이다. 막상 해보니까 이 부분이 감리에서 잘 안 걸리지만 EU 감독청 검사에서는 바로 걸린다.
특수 범주 개인정보의 처리
GDPR 제9조는 다음 데이터의 처리를 원칙적으로 금지한다. - 인종, 민족적 출신 - 정치적 견해, 종교적 신념 - 건강 정보, 성생활
감사 업무에서 마주치는 특수 범주 데이터는 다음과 같다. - 직원 건강보험료 내역 - 종교 단체 기부금 내역 - 노동조합 관련 거래
GDPR 제9조(2)(f)는 "법적 청구의 제기, 행사, 방어"를 위한 처리를 허용한다. 법정감사는 이 예외에 해당할 수 있지만 데이터 최소화 원칙을 적용해야 한다.
법적 근거와 처리 원칙
감사 업무의 법적 근거 (GDPR 제6조)
6조(1)(c) 법적 의무 이행: EU 감사 지침 2014/56/EU와 각국 감사법은 감사인에게 특정 절차 수행을 의무화한다. 명확한 법적 근거다.
6조(1)(f) 정당한 이익: 법정감사가 아닌 경우 정당한 이익을 입증해야 한다. 3단계 테스트를 거친다. 1. 정당한 이익 존재 (재무제표 신뢰성 확보) 2. 처리의 필요성 (감사 목적 달성을 위한 필수성) 3. 균형성 테스트 (데이터 주체의 이익과 자유가 우선하지 않음)
데이터 처리 원칙 (GDPR 제5조)
적법성, 공정성, 투명성 (제5조(1)(a)): 피감사회사에 개인 데이터 처리 사실과 목적을 고지해야 한다. 감사 약정서에 GDPR 준수 조항을 넣어두는 것이 안전하다.
목적 제한 (제5조(1)(b)): 감사 목적 외 사용 금지. 마케팅이나 영업 개발에 사용할 수 없다.
데이터 최소화 (제5조(1)(c)): 감사 목적에 필요한 최소한의 개인 데이터만 처리한다. 전체 급여 대장이 아니라 표본 추출된 항목만 복사한다.
정확성 (제5조(1)(d)): 부정확한 개인 데이터 발견 시 피감사회사에 알리고 수정을 요구한다.
보존 제한 (제5조(1)(e)): 감사기준서 230.A29는 조서를 최소 5년간 보존하도록 요구한다. GDPR과의 조화 방안은 다음 섹션에서 다룬다.
무결성 및 기밀성 (제5조(1)(f)): GDPR 제32조의 적절한 기술적, 조직적 조치를 구현해야 한다.
실무 적용 사례
케이스 스터디: 김동건 회계법인의 유로피언 클라이언트 감사
김동건 회계법인이 독일 뮌헨에 본사를 둔 바이에른 자동차 부품 GmbH(매출 8,500만 유로)를 감사한다고 가정해보자. 이 회사는 한국 부산에 제조 자회사를 두고 있다.
1단계: 개인 데이터 매핑 - 급여 샘플 25개 항목 (직원명, 세전소득, 사회보험료) - 고객 계약서 15건 (서명자 성명, 연락처) - 이사회 의사록 12회분 (참석자 명단) - 문서화 노트: 개인정보 처리 목록을 별도 Excel 시트로 관리
2단계: 법적 근거 확립 김동건 회계법인은 독일 상법(HGB) 제316조에 따른 법정감사 의무를 법적 근거로 설정한다. - 문서화 노트: 감사 약정서에 "GDPR 제6조(1)(c) 법적 의무 이행 근거"를 명시
3단계: 데이터 최소화 적용 전체 직원 850명의 급여 대장 대신 ISA 530에 따른 표본 25개만 추출한다. - 문서화 노트: 표본 선택 근거와 개인정보 보호 고려사항을 조서에 기록
4단계: 기술적 보호조치 - 파일 암호화 (AES-256) - 접근 권한 제한 (담당 감사인 2명만) - 전송 시 보안 채널 사용 - 문서화 노트: 보안 조치 적용 내역을 별도 체크리스트로 관리
결과: GDPR 제83조의 과태료 위험을 낮추면서 감사기준서 230의 문서화 요구사항을 충족했다. 독일 데이터보호청(BfDI)의 감독에 대비한 체계를 구축했다.
준수 체크리스트
감사 업무에서 GDPR 준수를 위한 6단계 체크리스트는 다음과 같다.
1. 감사 약정서에 GDPR 조항 포함 - 개인 데이터 처리 목적과 법적 근거, 보존 기간을 명시한다. GDPR 제13조의 정보 제공 의무를 충족한다.
2. 개인 데이터 처리 기록부 작성 - GDPR 제30조에 따른 처리 활동 기록을 감사업무별로 관리한다. 직원 250명 미만 회계법인도 법정감사는 기록 의무가 있다.
3. 데이터 최소화 원칙 적용 - 감사 목적에 필요한 최소한의 개인 데이터만 수집하고 처리한다. 표본 추출 시 개인정보 노출을 고려한 샘플링을 실시한다.
4. 기술적 보호조치 구현 - 파일 암호화와 접근 권한 관리, 네트워크 보안을 적용한다. GDPR 제32조의 적절한 보안 수준을 유지한다.
5. 데이터 주체 권리 대응 절차 수립 - 정보 제공과 접근, 정정, 삭제 요구에 대한 내부 절차를 마련한다. 1개월 내 응답 의무를 준수한다.
6. 보존 및 폐기 정책 확립 - 감사기준서 230의 5년 보존 의무와 GDPR의 보존 제한 원칙을 조화시킨 정책을 운영한다.
자주 나오는 실수
- 개인 데이터 범위 과소평가 - Excel 메타데이터와 이메일 헤더, 로그 파일에 포함된 개인 정보를 놓치는 경우가 많다. 유럽 데이터보호위원회(EDPB) 가이드라인은 간접 식별 정보도 개인 데이터로 분류한다고 명시한다.
- 하위 처리자 고려 부족 - 클라우드 저장소와 번역 서비스, IT 지원업체도 GDPR 제28조의 하위 처리자다. 각각과 데이터 처리 계약을 체결해야 한다.
관련 자료
- 개인정보 보호 체크리스트 - GDPR 준수를 위한 감사법인용 체크리스트 도구 - 데이터 보존 정책 템플릿 - 감사기준서 230과 GDPR을 동시에 충족하는 보존 정책 템플릿 - GDPR과 감사 문서화 - 감사 파일에서 개인정보 처리 기록 방법에 대한 심화 가이드