5월 25일 발효, EU 밖에도 적용…위반시 최대 263억원 벌금
데이터 해외이전 제한…"정보 수집 최소화하고 필요 없으면 폐기"

페이스북이 개인정보 유출 사건으로 주가 폭락과 이미지 훼손 등 위기를 겪는 가운데, 유럽 개인정보보호법(General Data Protection Regulation·GDPR) 시행이 두 달 앞으로 다가오면서 국내 관계 기관과 정보보호업계의 발걸음도 빨라지고 있다.

우리나라 정부가 작년 12월 GDPR 대응 가이드라인을 발표했지만, 대다수 국내 기업에 GDPR은 여전히 낯선 주제다.

전문가들은 GDPR의 적용 범위가 넓고 위반 시 거액의 과징금이 부과되는 만큼 철저하게 준비해야 한다고 조언한다.

◇ 5월 25일부터 EU 회원국에 적용…규정위반시 과징금 최대 264억원
21일 글로벌 로펌 DLA 파이퍼(Piper)와 보안업체 SK인포섹에 따르면 GDPR은 EU 회원국 간 자유로운 개인정보 이동과 개인정보보호를 강화하기 위해 유럽연합(EU)이 제정한 통합 규정으로, 5월 25일부터 EU 소속 28개 회원국에 공통으로 적용된다.

조항만 99개에 달할 정도로 적용 범위와 내용이 광범위하다.

특히 비회원국 기업도 규정 위반 시 최대 2천만유로(한화 약 264억원)나 글로벌 매출액의 4% 중 많은 금액을 과징금으로 부과받을 수 있어 주의해야 한다.

GDPR의 핵심은 EU 거주자의 개인정보보호다.

국적과 상관없이 EU 회원국 거주자라면 GDPR의 보호를 받는다.

GDPR은 인간과 관계된 모든 정보를 개인정보로 정의한다.

이름, 성별, 주소 등과 같은 정보주체가 누구인지 알 수 있는 기본 정보 외에 개인 성향, 인터넷 검색 기록도 이에 해당한다.

기업이나 기관이 EU 거주자의 개인정보를 수집하고 보관한다면 GDPR을 준수해야 한다.

EU와 거래하는 해외 기업도 예외가 아니다.

한국 기업이 EU에 실제로 상품이나 서비스를 판매하지 않고 유럽 거주자의 정보를 모니터링만 해도 GDPR의 적용을 받는다.

◇ 개인정보 해외이전 제한…한국 '화이트 리스트' 등재 논의
EU 거주자의 정보를 해외로 이전하는 일도 엄격히 제한된다.

가령 유럽에 있는 자회사나 하청업체가 수집한 개인정보를 한국 본사로 이전한다면 한국 본사와 데이터 이전 계약서를 체결해야 한다.

계약서에는 GDPR 규정을 준수해야 한다는 약정이 있어야 한다.

GDPR은 또한 ▲ 정보를 수집·처리하는 회사가 공공기관인 경우 ▲ 민감한 정보를 다루는 경우 ▲ 대중의 성향과 행동을 모니터링하는 경우 정보보호책임자(DPO)를 지정하도록 요구한다.

GDPR의 규정은 이처럼 복잡하고 까다롭지만, 기본적으로 한국의 개인정보보호법과 유사하다.
가장 큰 차이는 벌금의 규모다.

개인정보보호법상 최대 벌금은 5천만원에 불과하지만, GDPR은 최대 2천만유로(263억원)를 부과한다.

벌금보다 더 무서운 건 기업 이미지 훼손이다.

대표적인 게 최근의 페이스북 정보 유출 파문이다.

페이스북은 개인정보 유출 사건으로 여론의 뭇매를 맞으며 이틀간(19∼20일) 주가가 9% 넘게 급락했다.

DLA 파이퍼의 GDPR 총괄 파트너인 패트릭 반 에이커 변호사는 20일 을지로 서울사무소에서 열린 GDPR 세미나에서 페이스북 사례를 언급하며 "데이터 보호는 주식 가치와도 직결된다"고 말했다.

그는 "GDPR 준수뿐 아니라 액션을 취했다는 걸 보여주는 것이 중요하다.

그래서 모든 것을 기록할 필요가 있다"고 조언했다.

개인정보의 해외이전 제한과 관련해 "유럽에서 수집한 개인정보는 유럽을 떠날 수 없다는 게 GDPR의 기본 원칙"이라며 "하지만 EU와 정부 차원의 합의가 이뤄진다면 이전이 가능해질 것"이라고 말했다.

정보이전 허용국가, 이른바 '화이트 리스트' 등재와 관련해 한국과 일본 정부가 현재 EU와 협의 중인 것으로 알려졌다.

◇ 과도한 정보 수집 금물…필요 없어지면 폐기해야
GDPR에 대비하기 위해서는 체크 리스트를 만들어 단계적으로 대응할 필요가 있다.

무엇보다 개인정보를 과도하게 수집하지 않고, 필요가 없어지면 삭제·폐기해야 위험을 줄일 수 있다.

개인정보 수집 시에는 정보 수집 대상의 동의 여부를 기업이 증명해야 한다.

모든 사람에게 동의서를 받을 필요는 없지만 명백한 법적인 근거를 갖고 정보를 수집해야 한다.

개인정보를 수집한 기업은 보관 기간, 처리 방법 등을 정보 주체에게 통보하고, 기록해야 한다.

반 에이커 변호사는 "GDPR은 정보수집의 최소화(minimization)를 요구한다.

필요한 만큼 수집하고, 필수 정보 외에 더 많은 정보를 수집했다면 동의를 받아야 한다"고 조언했다.

이어 "기업에 취득한 개인정보를 보관하는 기간을 물어보면 90%가 '영원히'라고 답한다"며 "이는 GDPR 위반이며, 필요가 없어지면 폐기해야 한다"고 강조했다.

SK인포섹 성경원 팀장은 "국내법이 규제하지 않는 부분에 대해 실무적인 개선안을 마련해야 한다"며 "적용 대상을 명확히 파악하고 이해관계자의 협조를 요청해야 한다.

담당자 몇 명만 움직여서 될 문제는 아니다"라고 말했다.

/연합뉴스

ⓒ 한경닷컴, 무단전재 및 재배포 금지