[이슈분석]시행 200일 앞둔 EU GDPR '어기면 250억원 과징금 폭탄'

[이슈분석]시행 200일 앞둔 EU GDPR '어기면 250억원 과징금 폭탄'

유럽의 일반개인정보보호규정(GDPR)이 내년 5월 28일 시행된다. 200일 앞으로 다가왔다. 유럽연합(EU)을 대상으로 사업을 하는 모든 곳에 적용된다. 이를 위반하면 전 세계 연간 매출액 4% 또는 2000만유로(약 250억원)에 이르는 과징금을 부과한다. 위반 기업에는 엄중한 제재가 동반된다. 각 기업의 정보 보호 담당자는 GDPR 제정 취지를 이해하고, 경영층은 이에 대한 투자와 위험 요소를 파악해야 한다.

EU GDPR 시행이 200일 앞으로 다가왔다. GettyImages
EU GDPR 시행이 200일 앞으로 다가왔다. GettyImages

◇GDPR란

EU는 2016년 5월 개인 정보 보호 권리 신장과 디지털 단일 시장에서 개인 정보의 자유로운 이동을 원활하게 하는 GDPR를 채택했다. 내년 5월 발효되는 가운데 EU가 기존에 채택한 개인정보보호지침을 대체한다. EU는 1995년 개인정보보호지침을 내놓은 지 21년 만에 GDPR를 채택했다. 20여년 전에 만들어진 EU개인정보보호지침(95/46/EC)은 현재 개인 정보 처리 환경과 보호에 한계를 드러냈다. GDPR는 인터넷과 정보통신기술(ICT) 발전을 고려, 개인 정보를 어떻게 보호하고 활용해야 할지 방안을 제시했다.

GDPR는 EU 입법 형식 가운데 규칙 형식이다. 모든 회원국에 직접 적용된다. EU는 역내 개인 정보의 자유로운 이동을 보장하고 역외로의 이동을 규제한다. 자국민 개인 정보 보호권을 강화한 셈이다.

박노형 고려대 법학전문대학원 교수는 “GDPR는 정보 주체를 보호하고 개인 정보 처리자와 수탁 처리자의 책임을 강화했다”면서 “빅데이터 분석을 포함한 디지털 경제 활성화를 도모하는 등 개인 정보 보호와 활용 사이의 균형을 유지하려는 것으로 보인다”고 분석했다.

◇적용 대상은

EU 역내에서 비즈니스 활동을 하는 모든 기업이 GDPR을 준수해야 한다. GettyImages
EU 역내에서 비즈니스 활동을 하는 모든 기업이 GDPR을 준수해야 한다. GettyImages

EU 역내에서 비즈니스 활동을 하는 기업은 모두 GDPR를 준수해야 한다. EU 역내 소재 기업들과 비즈니스를 하는 기업, EU 회원국에 저장된 모든 개인 정보가 대상이다. EU 내에 설립된 법인 외에 EU 바깥에 있더라도 EU 국민의 개인 정보를 처리하는 모든 기업은 GDPR 규정을 준수해야 한다. 예를 들어 한국에서 인터넷 쇼핑몰을 운영하는데 EU 회원국인 독일의 통화와 언어를 지원하고 독일로 상품을 배송하면 GDPR가 적용될 수 있다.

EU에 진출했거나 진출을 희망하는 우리 기업은 GDPR가 시행되는 2018년 5월 25일까지 GDPR가 규정한 보호 조치를 마련하고 의무 규정 준수 대책을 마련해야 한다.

GDPR는 개인 정보의 국외 이전 금지를 원칙으로 한다. EU 집행위원회가 제3국이나 국제 조직 등이 적합한 보호 수준을 보장한다고 판단하면 예외로 허용한다. 정보 관리자가 구속적기업규칙이나 EU 집행위 표준정보보호계약 사용, 유럽정보보호인증 획득 등을 제시하면 예외가 될 수 있다.

GDPR는 개인 정보 처리에 적용된다. GDPR상 개인 정보 정의는 좀 더 구체화됐으며, IP 주소 등 온라인 식별자 정보는 개인 정보가 된다. 가명화 정보는 추가 정보를 이용, 개인을 식별하는 정보다. 익명화 돼 더 이상 식별할 수 없는 정보에는 GDPR가 적용되지 않는다. GDPR는 '특별한 유형의 개인 정보'를 민감 정보로 규정한다. 인종, 민족, 정치 견해, 종교, 철학 신념, 노동조합 가입 여부, 유전자나 생체 정보, 건강, 성 생활, 성 취향 등에 관한 정보다. 민감한 개인 정보는 정보 주체가 명시한 동의를 받은 경우를 제외하고 처리가 금지된다.

김경환 법무법인 민후 변호사는 “GDPR는 가명 처리에 관심이 많다”면서 “빅데이터 처리를 위해 비식별화 필수 개념인 가명 처리에 신경 썼다”고 말했다. 그는 “GDPR는 개인 정보 보호 조치 불준수에 대해 과징금 등 강력한 제재 조치를 도입했다”면서 “EU에서 서비스하고 있는 국내 기업이 가장 주의해야 할 부분”이라고 조언했다.

◇대응 방법은

GettyImages
GettyImages

EU에서 비즈니스하는 기업은 국내 개인정보보호책임자(CPO)와 유사한 데이터프로텍션오피서(DPO)를 선임해야 한다. DPO가 선임되면 GDPR를 이행하기 위해 기업이 어떤 대응책을 마련해야 하는지 분석이 필요하다. 현재 기업 내 정책, 절차, 기술이 GDPR에 적합한지를 확인해야 한다.

고객 가운데 EU 거주자의 개인 식별 데이터를 관리할 체계화 방안을 수립한다. 클라우드 컴퓨팅 서비스 제공자와 계약을 재검토해서 데이터 호스팅의 위치와 백업, 암호화 방법을 논의한다.

GDPR에는 8대 정보 주체 권리라는 것이 있다. 국내 개인정보보호법에 관련 조항이 없는 개인정보 이동권, 반대할 권리, 자동화된 결정 및 프로파일링 관련 권리 등이다.

GDPR는 영세한 중소기업 상황을 고려해 종업원 수 250명 이상 기업에 한해 개인 정보 처리 활동 기록을 문서화해서 보유하는 것을 의무화하도록 규정한다. 그러나 종업원 수 250명과 무관하게 정보 주체 권리와 자유에 위험을 초래할 가능성이 있는 개인 정보 처리, 민감 정보, 범죄 경력, 범죄 행위에 대한 정보 처리는 모두 기록을 남겨야 한다.

기업은 개인 정보 처리 활동을 기록하고 보유해야 한다. 컨트롤러의 이름과 연락처, 처리 목적, 정보 주체의 유형, 개인 정보 범죄, 개인 정보 수령인의 범주를 기록한다. 제3국으로 개인 정보가 이전되는 경우 국외 이전 방식과 보호 조치를 문서화한다.

기업은 개인 정보 보호를 검토하고 처리 활동에 반영했음을 입증하는 기술 및 조직 조치를 할 의무가 있다.

기업은 개인 정보 침해 사고가 발생하면 감독 기구에 72시간 이내 통지를 해야 한다. 침해 관련 정보 주체와 개인 정보 기록, 개수 등을 알려야 한다. 개인 정보 침해로 발생할 수 있는 결과도 포함된다. 기업은 정보 주체에도 지체 없이 침해 범위와 이로 인해 발생할 수 있는 결과 등을 직접 통지해야 한다. 통지 의무를 위반하면 전 세계 매출액의 2%와 최대 1000만유로 가운데 더 높은 금액의 과징금이 부과된다.

김인순 보안 전문기자 insoon@etnews.com