유럽연합(EU) 일반개인정보보호법(GDPR)이 25일 발효됐다.

GDPR은 EU 회원국 간 개인정보의 자유로운 이동을 보장하는 동시에 정보주체의 개인정보보호 권리를 강화하기 위해 제정한 통합 규정이다.

EU 개인정보보호 기준을 제시했던 1995년 개인정보보호 지침(Data Protection Directive 95/46/EC)은 권고 차원의 규정에 불과했지만, GDPR은 28개 모든 회원국에 공통으로 적용되는 법률이자 의무적으로 준수해야 하는 강행 규정이다.

EU 내에 사업장을 운영하며 EU 시민의 개인정보를 처리하는 기업뿐 아니라 인터넷·전자상거래 등을 통해 EU 거주자에게 재화나 서비스를 제공하는 기업, EU 거주자의 행동을 모니터링하는 경우 모두 의무 적용대상이다.

EU 주민의 건강, 유전자, 범죄경력 등과 같은 민감정보나 아동의 정보를 처리하는 경우, CCTV처럼 공개적으로 접근 가능한 장소에 대한 대대적이고 체계적인 모니터링을 하는 기업은 특히 주의해야 한다.

GDPR은 개인정보 처리 원칙인 ▲적법성, 공정성, 투명성의 원칙 ▲목적 제한의 원칙 ▲개인정보처리의 최소화 ▲정확성의 원칙 ▲보관기간 제한의 원칙 ▲무결성 및 기밀성 ▲책임성에 근거해 적법하게 개인정보를 처리토록 하고 있다.

정보주체의 개인정보 동의 요건은 이전보다 강화됐다.  처리제한권·정보이동권이 신설되고 삭제권과 프로파일링 거부권이 강화되는 등 정보주체의 권리를 보장하는 항목이 확대됐다고 평가된다.

또한 기업의 책임성을 강화하기 위해 전문지식과 임무수행 능력을 가졌으며 독립성을 확보하고 있는 개인정보보호책임자인 DPO(Data Protection Officer)를 지정토록 하고 있다.

EU와 동등한 개인정보보호 수준을 인정받으면 자유로운 EU역외 이전도 가능하다. 이를 위해 한국과 EU가 일괄 협상을 진행 중이다.

GDPR을 위반한 경우엔 과징금은 최대 2000만유로 또는 전세계 연간 매출액의 4% 중 높은 금액으로 부과될 수 있다.

이날 GDPR이 시행됐지만 국내 기업은 물론 전세계적으로 아직까지 적용 대상 기업들의 GDPR 대응은 미흡한 것으로 조사되고 있다.

GDPR을 준수해야 하는 기업에 도움이 될 수 있도록 한국인터넷진흥원(KISA)은 홈페이지 내 GDPR 안내 페이지와 가이드라인, 가이드북을 제공하고 있다.

KISA는 지난해 12월 ‘GDPR 1차 가이드라인’을 발표한 데 이어 GDPR 시행 당일인 25일 오후 ‘우리 기업을 위한 EU 일반 개인정보보호법(GDPR) 가이드북’을 공개하고, 북콘서트를 열었다.

이번 가이드북은 ▲GDPR 주요 원칙 ▲컨트롤러·프로세서의 역할 ▲정보주체 권리 강화 ▲기업의 책임성 강화 ▲개인정보 역외 이전 ▲개인정보 침해 발생 시 조치 사항 ▲피해 구제·제재 규정 등 GDPR의 세부 지침 및 주요 개념에 대한 해석을 전반적으로 다루고 있다.

네이버도 프라이버시센터를 최근 개편해 GDPR 인포그래픽 등 관련 정보를 제공하는 GDPR 페이지(메뉴)를 오픈해 운영하고 있다.


[AD] 금융권을 위한 멀티 클라우드 애플리케이션 서비스 전략

네이버 프라이버시센터 GDPR 메뉴는 ▲GDPR의 이해 ▲GDPR 준수 등 총 네 가지 카테고리로 구성된다. ‘GDPR의 이해’는 GDPR의 제정 목적, 적용범위, 제재와 관련한 규정 등 기본적인 정보를 확인할 수 있으며, ‘GDPR 준수’에서는 기업이 GDPR 준수를 위해 수행해야 하는 활동을 확인할 수 있다. 특히, 이러한 정보들을 일반 이용자나 전문인력이 부족한 스타트업 등이 이해하기 쉽도록 인포그래픽으로 제공하고 있다.

이진규 네이버 CISO/CPO/DPO는 “GDPR 시행이 얼마 남지 않은 상황임에도 유럽 로펌에서조차 구체적인 가이드라인을 확인하기 힘든 상황”이라며, “일정 규모 이상의 기업 조차도 GDPR 대응에 어려움이 많은데, 스타트업 등은 GDPR 준수에 더욱 어려움이 많을 것으로 예상돼 네이버 내부의 GDPR 관련 노하우와 지식 등을 외부에 공유하기로 했다”고 밝혔다.

김석환 KISA 원장은 “GDPR 시행에 맞춰 공개된 이번 가이드북이 우리 기업들의 준비점검에 도움이 되길 바란다”며, “KISA는 지속적으로 GDPR 대응방안을 모색하고 공유하여 국내 기업들의 부담과 혼란을 줄이기 위해 노력하겠다”고 말했다.

글. 바이라인네트워크
<이유지 기자>yjlee@byline.network