상단여백
HOME 뉴스 컴퓨팅
EU의 'GDPR' 앞으로 1년...EU 상대 국내기업 무방비 상태GDPR 위반시 매출 4% 과징금...행정자치부-KISA, 가이드라인 작업 중

[키뉴스 박근모 기자] 내년 5월 본격 시행될 유럽연합(EU)의 '개인정보보호일반규칙(GDPR)'을 앞두고 국내 기업 대다수가 이에 대한 인지 및 대응 준비를 갖추지 못하고 있는 것으로 나타났다. GPDR이 발효됨과 동시에 이 규정을 지키지 못하는 기업들은 EU로부터 막대한 제재를 받게된다. EU 회원국을 상대로 사업을 하는 국내기업이 GDPR 규정을 지키지 못할 경우 매출의 4% 혹은 2000만유로(한화 약 245억원)의 과징금을 내야한다. 이에 정부에서는 GDPR 가이드라인를 개발하는 등 대응마련에 분주한 상태다.

한국인터넷진흥원(KISA)에 따르면 지난달 28일 '우리기업을 위한 유럽개인정보보호법 안내서'를 발간해 개인정보 포탈(www.privacy.go.kr)을 통해 공개했다. 해당 안내서는 EU에 진출했거나 진출할 계획이 있는 우리나라 기업이 GDPR에 대한 대응 마련을 할 수 있도록 EU의 'GDPR' 규정에 관한 내용이 상세히 설명돼 있다.

행정자치부는 이달 중 산업통상자원부, 무역협회, 코트라 등과 협력해 GDPR 안내서에 관한 기업 간담회를 열고 기업들의 GDPR 학습에 나설 계획이다. 또한 올 7월 중 GDPR 법률을 분석한 '개요안내서' 작업을 완료해 배포한다. 특히 GDPR에 대한 추가되는 사항을 업데이트 해 기업들의 구체적 대응 방안을 제공하는 '가이드라인'을 올 하반기까지 완료해 제공할 계획이다.

KISA 관계자는 "국내의 경우 GDPR과 같은 정보보호규정에 관한 기업들의 인식이 낮은 상태"라며 "중소기업은 물론 대기업들도 이에 대한 대응 마련이 미비한 것으로 나타나 정부 주도로 대응마련에 나서고 있는 상태"라고 설명했다.

EU의 GDPR 체계도 (자료=행정자치부, KISA)

지난 2016년 4월 EU는 1995년 제정된 '개인정보보호지침' 중 정보보호 측면을 대폭 강화하는 방향으로 개정한 '개인정보보호일반규칙(General Data Protection Regulation, GDPR)'을 채택했다. 특히 2년의 준비기간을 거쳐 2018년 5월 25일부터 GDPR이 EU 소속 28개국 회원국들에게 일관되고 통일적인 방식의 개인정보보호법체제가 시행된다.

GDPR은 EU 회원국간 개인정보의 자유로운 이동을 보장하는 동시에 정보주체의 개인정보보호 권리를 강화하기 위한 것으로 쉽게 말해 EU의 회원국의 소비자를 대상으로 개인정보, 금융, 의료, 상품 판매 정보 등 모든 개인정보데이터를 저장하거나 전송하는 방식, 해당 정보 접근과 사용에 따른 방법 등에 있어서 EU가 직접 관리·감독에 나서게 된다.

특히 EU에서 회원국을 상대로 사업을 하는 기업이 EU 회원국의 개인정보를 이용할때 GDPR 규정을 모두 만족시키지 못할 경우 매출액의 4% 또는 최대 2000만유로(한화 약 245억원)에 해당하는 과징금을 받게 된다.

지난 3월 베리타스가 조사한 결과에 따르면 전세계 31%의 기업만이 GDPR의 요건을 충족하고 있는 것으로 나타났으며, 국내 기업들의 경우 소수의 대기업을 제외하고 거의 대비를 하지 못한 것으로 나타났다. 특히 중소·중견 기업의 경우 GDPR에 대해 제대로 된 인지도 못하고 있는 실정으로 나타나 업계에서는 정부의 적극적인 대응 마련에 나서 주길 기다리고 있는 형편이다.

김원 KISA 개인정보보호본부장은 "GDPR의 경우 매우 높은 수준의 정보보호에 관한 규제를 명시하고 있다"라며 "기업들이 EU 내에서 사업을 하고 있지 않더라도, 언제 어디서나 EU 회원국의 정보를 수집해 이용하면 GDPR의 제재 대상으로 간주된다"고 전했다.

GDPR상 개인정보의 정의 내용에 따르면 IP주소 온라인 식별자 정보들을 비롯해 가명화된 정보도 개인을 식별할 수 있다면 GDPR의 대상이 된다. 단, 익명화 과정을 통해 개인 식별이 불가능하다면 GDPR에 적용은 되질 않는다.

또한 GDPR은 '특별한 유형의 개인정보'로 민감정보를 지정하고 있다. 여기에는 인종·민족, 정치적 견해, 종교·철학적 신념, 노동조합의 가입여부, 유전자 또는 생체정보, 건강, 성적 취향 등 다양한 정보를 포함한다. 이런 민감한 개인정보는 특별한 경우를 제외하고는 원칙적으로 이용이 금지된다.

여기에 EU의 경우 하나의 국가가 아닌 여러 회원국이 존재함에 따라 GDPR의 일부 규정에 중에서는 회원국 마다 별도 입법(GDPR 제84조 제1항)이 요구되는 경우도 있어 각 회원국의 개인정보보호 관련 입법 동향도 모니터링도 필요할 것으로 전망된다. 이에 따라 기업 단위가 아닌 국가가 GDPR 대응 마련에 나서야 하는 것이 나니냐는 주장에 힘이 실리고 있다.

김원 KISA 본부장은 "EU 시민의 개인정보를 한국 기업이 이용할 수 있을려면 한국의 개인정보보호 수준이 EU 보호수준과 같아야 한다"라며 "내년 5월 GDPR의 본격적인 시행 전에 개인정보보호에 관한 가이드라인을 마련하는 등 GDPR로 인해 국내 기업들이 피해를 입지 않도록 최선을 다할 것"이라고 강조했다.

박근모 기자  suhor@kinews.net

<저작권자 © 키뉴스, 무단 전재 및 재배포 금지>

#EU#유럽연합#GDPR#개인정보보호일반규칙#한국인터넷진흥원#행정자치부#KISA

박근모 기자의 다른기사 보기
icon인기기사
여백
여백
여백
키뉴스 TV
여백
여백
여백
여백
여백
여백
여백
여백
Back to Top