EU가 구글에게 GDPR 위반으로 5000만유로 과징금 부과를 결정함에 따라 우리 기업 발걸음도 바빠진다. 전문가들은 GDPR에 대한 근거 없는 공포부터 없앨 것을 주문한다.
GDPR는 EU 내 정보주체의 정보보호를 위한 규정이다. 유럽에서 사업장을 운영하거나, 유럽 내 정보주체 대상으로 재화 또는 서비스를 제공하는 경우에 적용된다. 유럽시장 진출을 하지 않았고 유럽 역내 구성원과 접점이 없는 기업은 GDPR 위반을 걱정할 필요가 없다.
다만 모바일·인터넷 서비스와 게임 등 콘텐츠 사업자는 기업 규모에 상관없이 GDPR 이해와 대비가 필요하다. 이러한 사업은 국경을 넘나들기 때문이다.
프랑스 정보보호기관 CNIL가 구글에 지적한 문제는 크게 개인정보 수집·처리 과정의 투명성 부족과 이용자 동의 절차상 선택권 부여 미흡으로 요약된다. 전문가들은 이에 대해 우리 기업들로서는 당장 크게 문제 될 부분은 없다고 설명한다. 일례로 개인정보를 한 곳에서 확인할 수 있어야 한다는 내용의 투명성 관련 규정은 우리 개인정보보호법과 유사하다.
KISA는 유럽 이용자 동의 관련해 GDPR에 규정된 6가지 개인정보 적법 처리 조건을 활용할 것을 권장한다. △정보주체 동의 △정보주체와 계약 이행이나 체결을 위해 필요한 처리 △법적 의무 이행을 위해 필요한 처리 △정보주체 또는 중대한 이익을 위해 필요한 처리 △공익을 위한 임무 수행 또는 정보 관리자에 부여된 공적 권한의 행사를 위해 필요한 처리 △정보 관리자 또는 제3자의 적법한 이익 추구 목적을 위해 필요한 처리 등이다.
기업이 활용할 수 있는 조건으로 정보주체와 계약 이행·체결을 위한 개인정보 처리를 대표적으로 꼽을 수 있다. 예를 들어 배달 음식을 주문받는 경우에는 이용자 주소 정보를 얻고자 별도 동의를 구하지 않아도 되는 식이다.
이창범 KISA 동국대 경찰사법대학 교수는 “세간에는 GDPR 과징금에 대한 막연한 공포가 남아있는 것 같다. 심각한 위반 시 최대한도가 높게 책정됐을 뿐이고, 대개 과징금 부과 전에 시정 절차를 먼저 거친다”며 “GDPR가 무서워 데이터 활용을 주저하는 우를 범하지 말아야 한다”고 강조했다.
GDPR의 과징금 액수는 11가지 기준에 의거해 책정된다. △위반 성격, 중대성과 지속시간 △위반 의도성 또는 태만 여부 △정보주체 피해 경감을 위해 취한 조치 △기술적·조직적 조치를 고려한 책임 수준 △과거 법규 위반 여부 △감독기구와 협조 수준 △위반으로 영향 받는 개인정보 종류 △위반 발생 시 통지 여부 △동일 사안에 대해 감독기구 명령이 부과된 이력 △승인된 행동강령 또는 메커니즘 준수 여부 △위반에 따른 직간접적으로 취한 금전적 이득 등이 고려된다. 각 기준마다 심각성을 가늠하고 종합해 과징금을 책정한다.
우리나라 대기업은 GDPR에 대응하고 있다. 중소중견기업과 스타트업은 미흡하다. KISA도 이러한 문제점을 인지, 올해부터 중소기업 대상 GDPR 지원을 강화할 계획이다. 컨설팅 사업을 진행할 예정이며, 자가점검 가이드 마련도 준비하고 있다.
고영대 삼정KPMG 이사는 “GDPR에 대해 일부 기업에서는 과거 개인정보보호법 시행 때와 마찬가지로 불필요하다고 여기는 등 안이한 태도를 보인다. 경각심을 갖고 자사가 제공하는 재화나 서비스가 GDPR를 적용받을 만한 게 있는지부터 파악할 필요가 있다”면서 “세계적인 정보보호인증이 있을 경우 GDPR를 준수한 것으로 인정해주는 방안이 현재 논의 중인 것으로 안다. 중소중견기업과 스타트업은 이를 시작으로 차근차근 역량을 키워가는 것을 추천한다”고 말했다.
팽동현기자 paing@etnews.com