법제도/정책

시행 5개월 남은 EU GDPR, 무엇부터 지켜야 할까?

최민지

[디지털데일리 최민지기자] 유럽연합(EU) 일반 개인정보보호법(GDPR) 시행이 5개월 앞으로 성큼 다가왔다. 유럽과 비즈니스를 하거나 유럽시민의 정보를 취급하는 기업들 모두 GDPR에 해당하기 때문에 국내 기업도 예외는 아니다.

GDPR 위반 때 최악의 경우 전세계 연매출 4% 또는 2000만유로라는 막대한 과징금 폭탄을 떠안을 수 있다. 이에 기업들은 GDPR에 촉각을 세우고 있으나, 아직 완벽한 가이드는 없는 상황이다. 개인정보 국외이전·동의 등과 관련한 세부 가이드라인은 EU 집행위에서 발표하지 않았으며, 내년 4월경 완료될 예정이다.

당장 GDPR에 대응해야 하는 기업은 혹시나 제대로 준비하지 못할까 불안할 수밖에 없다. 이와 관련 정부는 기업의 이해를 돕기 위해 지난 11일 ‘GDPR 1차 가이드라인’을 우선적으로 공개했다.

행정안전부와 한국인터넷진흥원(KISA)은 11월 현재까지 발간된 EU 가이드라인을 포함해 국내 기업이 사전에 숙지해야 하는 사항과 기존 국내법에 규율하지 않았던 정보주체 권리보장 등 중요사항 중심으로 가이드라인을 내놓았다.

◆과징금 산정의 11가지 기준=GDPR 위반 때 책정되는 과징금 규모는 법규를 어긴 단일 지사나 법인의 매출이 아니라 기업사 전체 매출액을 기준으로 한다. 과징금 징벌성 성격을 확보하기 위한 조치로, 유령회사나 자매회사를 설립해 규제를 우회하는 편법을 사전에 예방하기 위함이다.

GDPR 과징금 산정에는 11가지 기준이 있다. 이 기준의 침해 수준에 비례해 과징금이 부과된다. 과징금 부과의 11가지 기준은 ▲위반의 성격·중대성·지속기간 ▲위반 의동성 또는 태만 여부 ▲정보주체 피해를 경감하기 위한 컨트롤러·프로세서 책임 수준 ▲컨트롤러·프로세서가 이전에 범했던 관련 법규 위반 여부 ▲위반을 해결하고 부정적 영향을 경감하기 위한 감독기구와의 협조 수준 ▲위반으로 인해 영향 받는 개인정보 종류 ▲감독기구가 위반을 인지하게 된 경우, 특히 컨트롤러·프로세서의 위반 통제 여부 등이다.

매출액의 4%는 11가지 기준을 심각하게 위배한 경우에 부과되는 최대치로, 장기간 의도적으로 발생한 심각한 침해사례에만 적용된다.

◆“개인정보 처리 6대원칙, 반드시 지켜야”=GDPR 준수는 인식활동부터 시작하는데, 개인정보 처리의 6대 원칙은 지켜야 하는 부분이다. GDPR 개인정보처리 6대 원칙은 ▲개인정보 최소화의 원칙 ▲목적 제한의 원칙 ▲보관기간 제한의 원칙 ▲적법성·공정성·투명성의 원칙 ▲정확성의 원칙 ▲무결성·기밀성의 원칙이다.

1차 가이드라인 집필진 중 한 명인 이진규 네이버 이사는 “국내 개인정보보호법과 정보통신망법 등에서도 개인정보처리 원칙을 제시하고 있으나, 선언적 내용에 그친다”며 “EU GDPR에서는 반드시 준수하도록 돼 있으며, 처벌 수위를 결정하는 의무사항”이라고 말했다.

기업에서는 6대 원칙을 준수하면서 인식제고 활동을 얼마나 해 왔는지 증명할 수 있도록 해야 한다. 이를 위해 의사결정을 내리는 기업 내 상위 관리자 그룹이 GDPR 대응 프로그램에 적극 참여하겠다는 약속부터 확보해야 한다. 이는 GDPR 준수를 위한 인식활동의 시작으로, 경영진의 GDPR 준수의지의 공식적 선언이 중요하다는 뜻이다.

◆“DPO를 선임하세요”=개인정보보호활동을 이끌 데이터보호담당자(DPO)도 선임해야 한다. DPO는 조직 내에서 또는 외부에서 계약을 통해 확보할 수 있다. 동일한 개인정보 처리활동에 관여하는 사업체 그룹의 경우 한 명의 DPO를 지정할 수 있다.

하지만, 대규모 개인정보 수집이나 프로파일링이 동반되지 않으면 DPO를 임명하지 않아도 된다. 의무적으로 DPO를 지정해야 하는 경우는 ▲공공기관이나 단체가 개인정보를 처리 ▲컨트롤러나 프로세서의 핵심활동이 정보주체에 대한 대규모의 정기적으로 체계적인 모니터링을 요구 ▲컨트롤러나 프로세서의 핵심활동의 대규모 민감정보 또는 범죄경력 연관 정보 처리로 구성됐을 때다.

여기서 기업들이 헷갈리는 부분이 핵심활동이다. 핵심활동이란 해당 활동 없이는 컨트롤러와 프로세서가 영업할 수 없는 불가결한 활동이다. 일반 제조업체의 핵심활동은 제품을 생산하고 판매하는 일인데, 이 과정에서 대규모 개인정보 수집이나 프로파일링이 동반되지 않기 때문에 DPO 임명 요건에 해당되지 않는다.

병원은 핵심활동이 의료서비스 제공이고, 이를 위해 개인의 건강과 관련한 정보를 수집해야 하기 때문에 DPO를 임명해야 한다. 또, 민감정보와 범죄기록 등 정보를 대량의 취급할 때도 DPO가 필요하다.

◆“명백히 EU시장 염두에 뒀을 때 적용”=GDPR의 지리적·내용적 접근 범위를 살펴보자. GDPR 적용을 받는 이는 시민권과 국적과 무관하며 EU에 살고 있는 사람이다. 위치를 기반으로 GDPR 저촉을 받게 된다. 한국인이라도 EU에 거주하고 있다면 GDPR에 적용받는다.

윤재석 KISA 팀장은 “GDPR은 정보 주체의 위치를 기준으로 보기 때문에 달러나 영어만 활용한다면 규제대상은 아니다”며 “프랑스어, 독일어 등으로 홈페이지를 구성하면 명백한 적용대상이나, 달러나 영어만 활용한다면 GDPR 규제대상이 아니다”고 설명했다.

개인정보를 수집·보관하는데, 이를 처리하지 않는다면 GDPR 적용대상이 아니다. 그러나 유출될 경우에는 해당 정보의 EU 역내 처리 여부에 따라 GDPR 적용 가능성이 존재한다.

EU 외 지역에서 개인정보를 처리하는 경우라도 EU 정보주체에 재화나 서비스를 제공하거나 정보주체가 수행하는 활동을 모니터링한다면 GDPR에 적용된다. 이 경우, EU 내 대리인을 지정해야 한다.

이날 김석환 KISA 원장은 “방송통신위원회와 KISA는 지난달 유럽에서 GDPR 관련 대략적 합의를 이끌어냈으며, 영상회의를 통해 협의를 지속하고 있다”며 “그 결과물이 이번에 나온 1차 가이드라인이며, 곧 2차 가이드라인도 배포될 예정이니 기업에게 좀 더 보탬이 되기를 바란다”고 말을 보탰다.

<최민지 기자>cmj@ddaily.co.kr

최민지
cmj@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널