유럽 GDPR 초읽기 …우리기업 대응 전략은?

[아이뉴스24 성지은기자] 개인정보 보호의 패러다임을 바꿀 유럽 일반개인정보보호법(GDPR)이 시행 초읽기에 들어갔다.

GDPR은 유럽연합(EU) 회원국 간에 개인정보의 자유로운 이동을 보장하며 동시에 정보주체의 개인정보 보호권을 강화한 것이 특징으로, 내년 5월 25일 본격 시행된다.

GDPR은 EU 소재 기업은 물론 EU 내에서 사업을 하는 역외 기업에도 적용된다. 또 심각한 위반 시엔 해당 기업의 유럽 시장 내 사업을 제재하며 과징금 폭탄을 부과한다.

우리 기업들의 대응전략 마련이 시급한 가운데 정부가 11일 '우리 기업을 위한 GDPR 세미나'를 열 고 GDPR 대응 전략을 공유했다.

이날 행사에서는 현재까지 EU에서 발간된 가이드라인 내용을 바탕으로 작성한 '우리 기업을 위한 GDPR 가이드라인'이 발표됐다.

◆"GDPR 과징금 폭탄, 두려워할 필요 없어"

GDPR과 관련 기업들이 가장 걱정하는 부분은 '과징금'이다. GDPR은 기업이 해당 법을 심각하게 위반했을 경우, 해당 기업의 전체 연간 매출 4% 또는 2천만유로(한화 약 257억원) 중 높은 금액을 과징금으로 부과한다.

높은 과징금 때문에 기업 내에선 GPDR에 대한 두려움이 증가하고 있으나, 필요 이상으로 과징금에 대해 두려워할 필요가 없다는 게 한국인터넷진흥원(KISA) 측 설명이다.

윤재석 KISA 팀장은 "GDPR 과징금 산정에는 11가지 기준이 있다"며 "11가지 기준을 심각하게 오랜 기간 위반했을 경우 최대 과징금을 부과한다"고 설명했다.

GDPR이 제시하는 과징금 부과 기준은 ▲위반의 성격·중대성·지속기간 ▲위반의 의도성 또는 태만 여부 ▲정보주체의 피해를 경감하기 위한 조치 등 11가지다.

◆DPO 선임, 의무 대상 여부 등 파악해야

이와 함께 데이터보호담당자(DPO) 선임을 두고도 기업 내 혼란이 가중되고 있다. GDPR은 해당 법 제37조 제1항에서 3가지 조건 중 하나라도 해당될 경우 DPO를 채용토록 의무화했는데, 해석이 모호해 기업이 자체적으로 해당 여부를 판단하는 데 어려움이 있다.

가령 DPO를 의무 채용토록 한 3가지 조건 중 하나는 '핵심 활동이 정보 주체에 대한 대규모의 정기적이고 체계적인 모니터링을 요구하는 경우'인데, 핵심 활동을 두고 해석이 분분한 것.

이와 관련 윤 팀장은 "핵심 활동이란 목적을 이루기 위해 반드시 수행해야 하는 활동"으로 "해당 활동 없이는 영업을 할 수 없는 불가결한 활동을 의미한다"고 설명했다.

즉, 사업을 위해 대규모의 개인정보를 정기적이고 체계적으로 모니터링해야 하는 경우, 해당 조건에 부합한다고 볼 수 있다.

가령 대다수 일반 제조업체의 핵심 활동은 제품을 생산·판매하는 행위고 이 과정에서 대규모 개인정보 수집이나 프로파일링은 동반되지 않는다. 따라서 DPO를 임명할 필요가 없다.

반면 병원의 경우 핵심 활동은 의료 서비스 제공이고, 서비스 제공을 위해 개인의 건강 관련 정보를 반드시 활용해야 한다. 이 경우 핵심 활동에 개인정보 활용이 있는 만큼 DPO를 임명하고 개인정보를 체계적으로 관리해야 한다.

◆개인정보처리 6대 원칙, 실질적으로 준수해야

GDPR에 대비하기 위해 '개인정보처리 6대 원칙'을 지키는 일도 강조된다. GDPR은 개인정보처리 6대 원칙으로 ▲개인정보 최소화의 원칙 ▲목적 제한의 원칙 ▲보관기간 제한의 원칙 ▲적법성·공정성·투명성의 원칙 ▲정확성의 원칙 ▲무결성·기밀성의 원칙을 제시하고 있다.

그동안 개인정보처리 원칙은 선언적으로 제시됐지만, GDPR에서 제시하는 6대 원칙의 경우 실제 기업에서 준수하고 해당 과정을 입증해야 한다는 설명이다.

가이드라인 제작에 참여한 이진규 네이버 이사는 "우리나라 또한 개인정보보호법, 정보통신망법 등에서 개인정보처리 원칙을 제시하고 있지만 선언에 그치고 있는 게 현실"이라며 "GDPR은 6대 원칙을 준수하기 위해 기업이 어떤 활동을 했는지 확인하고 문제가 발생했을 시엔 이 같은 원칙을 준수했느냐에 따라 처벌 수위를 정한다"고 설명했다.

이어 "따라서 기업은 6대 원칙을 준수하고 해당 과정을 문서로 기록하는 등 일련의 인식제고 활동을 이어가야 한다"고 강조했다.

◆국내법과 다른 내용 주목…내년 2차 가이드라인 발간

GDPR은 한국의 개인정보보호법과 다른 부분들이 있어 기업들의 주의가 요구된다. 삭제권(잊힐권리), 설계 단계부터의 프라이버시 보호 내재화(Data Protection by Design and Default) 등이 대표적인 내용이다.

이번 가이드라인은 주요 내용을 포함한 총 51개 가이드라인을 제시하고 있다.

김석환 KISA 원장은 "방송통신위원회, 행정안전부 등 정부 부처와 함께 GDPR에 적극적으로 대응하고 있다"며 이번 세미나에서 1차 가이드라인을 배포하고 향후 업데이트되는 내용을 포함해 내년 초 2차 가이드라인을 내놓을 계획"이라고 말했다.

KISA는 우리 기업이 GDPR 적용에 따른 이해를 높이기 위해 GDPR 관련 교육 콘텐츠를 개발하고 프로그램을 운영할 계획이다. 또 어려움을 문의할 수 있는 온라인 채널(gdpr@kisa.or.kr)을 운영할 계획이다.

한편, 이번 GDPR 가이드라인은 개인정보보호 종합지원 포털과 개인정보보호 국제협력센터 홈페이지에서 무료로 내려받을 수 있다.