GDPR 시행 3년, 부과된 누적 과징금 3628억원…한국기업 있을까

2018년 5월 유럽연합(EU) 일반개인정보보호법(GDPR)이 발효된 지 3년 가까이 지났다.

GDPR이 제정·시행된 이후 그동안 가장 많은 관심을 모았던 것은 바로 과징금 규모였다. EU에 진출한 사업자이거나 EU 거주자의 개인정보를 수집·처리하는 경우 의무적으로 준수해야 하는 GDPR 위반이 중대한 경우 최대 전세계 연간 매출액 4% 또는 2000만유로 가운데 액수가 더 큰 금액으로 과징금으로 부과된다.

2019년 1월 프랑스 개인정보보호감독기구인 정보자유국가위원회(CNIL)가 구글에 처음 과징금을 부과한 이후 현재까지 EU 각국의 개인정보보호감독기구가 법 위반 사업자에 부과한 과징금 규모는 얼마나 될까?

한국인터넷진흥원(KISA)에 따르면, GDPR 시행 후 지금까지 부과된 누적 과징금 규모는 2억7287만유로, 즉 우리돈 3628억원에 달하는 것으로 나타났다.

---

개인정보 적법한 처리근거 부족 위반 가장 많아

---

GDPR 위반 과징금이 가장 많이 부과된 사업자는 구글로, 5000만유로(664억원)다.

두번째는 패션의류업체로 잘 알려진 H&M으로, 2020년 10월 독일 감독기구로부터 3500만유로(465억원)의 과징금 철퇴를 맞았다. 3위는 통신업체인 텔레콤이탈리아모바일(TIM)로 2020년 1월 이탈리아 감독기구로부터 2780만유로(369억원), 4위 영국항공(British Airways) 2200만유로(293억원), 5위는 호텔체인인 메리어트인터내셔널로 영국 감독기구로부터 2045만유로(271억원)의 과징금을 각각 부과받았다.

대부분 고객 개인정보의 적법한 처리 근거가 부족했거나 기술적·관리적 보안조치가 미흡했다는 것이 이유다. H&M은 고객센터(콜센터)에서 직원들의 개인정보를 적법한 근거 없이 처리하다 내부고발에 의해 언론에 보도돼 감독기구에 보고된 사례였다. 영국항공과 메리어트인터내셔널은 대규모 고객 개인정보 유출 사고로 알려진 기업들이다.

정수연 KISA 개인정보협력팀 책임연구원은 “GDPR에서 중대한 위반으로 보고 높은 과징금 상한선 규모를 부과하는 경우가 대부분 개인정보의 적법한 처리 근거 부족이나 개인정보 처리 원칙 위반”이라며 “실제 위반 사례가 가장 많은 것도 적법 처리 근거 부족과 기술적·관리적 보안조치 미흡, 개인정보 처리 원칙 위반으로, 이 부분을 염두에 두고 적용해야 한다”고 강조했다.

GDPR 시행 후 과징금이 부과된 유형 상위 10가지 가운데 첫 번째가 적법한 처리근거 부족으로, 219건(1억6460만유로, 60%)에 달했다. 기술적·관리적 보안조치 미흡은 129건(6533만유로, 24%)이며, 개인정보 처리 원칙 위반 108건(2010만유로, 7%), 정보주체 권리 이행 미흡 55건(1595만유로, 6%), 정보 제공 의무 이행 미흡 34건(565만유로, 2%) 순이다.

---

미디어·방송통신 업종 위반 가장 많아…한국기업은 아직 없어

---

업종별로는 미디어·방송통신이 1만2778만유로(1699억원)으로 가장 높았고, 고용 4731만유로(629억원) 교통·에너지 3460만유로(460억원) 숙박 2094만유로(460억원) 금융·보험·컨설팅 1710만유로(227억원) 순이었다. 건강·의료, 제조·커머스, 공공·교육, 개인, 부동산이 상위 10위권이다.

정 책임연구원은 “개인정보를 많이 보유하고 있는 업종에서 과징금 부과액과 건수도 많다”며 “과징금은 법 위반 정도와 정보주체의 피해, 그리고 사업자가 위반을 최소화하기 위해 노력했는지 등 11가지 기준을 바탕으로 책정된다. 위반 사항에 따라 사업자 가진 개인정보 꼭 많은 과징금 부과되는 건 아니다”라고 설명했다.

국가별로는 이탈리아가 가장 많았고 프랑스 독일 영국 스페인 스웨덴 네덜란드 불가리아 폴란드 노르웨이 순이었다. 아직까지 한국 기업이 GDPR 위반으로 적발돼 과징금 처분을 받는 사례는 없는 것으로 파악된다. 현재 한국 기업들이 가장 많이 진출해 있는 EU 내 국가는 독일로, 300개가 넘는다. 체코, 폴란드 등 동유럽에도 제조기업들이 많이 활동하고 있다.

정 책임은 “지금까지 감독기구의 조사를 받은 후 행정처분 받은 한국 기업은 없다. 만약 민원을 통해서나 언론에 보도돼 감독기구에 사안이 접수되면 사업자에게 먼저 확인을 받게 된다. 이 과정을 적절히 잘 대응하면 행정처분까지 안가는 사례도 있다. 감독기구로부터 연락받은 기업이 있을 수는 있으나 행정처분 받은 사례는 없는 것으로 파악된다”고 밝혔다.

윤재석 KISA 개인정보협력팀장은 “고객 개인정보 관리도 중요하지만 내부정보보호도 매우 중요하다. EU 진출 기업에 현지인의 개인정보를 안전하게 관리해야 한다고 안내하고 있다”고 강조했다.

---

GDPR 적정성 초기결정 완료…“연내 개인정보 역외이전 부담 해소”

---

GDPR은 EU 내 사업장을 운영하면서 EU 거주자의 개인정보를 처리하는 기업뿐 아니라 인터넷·전자상거래 등을 통해 EU 거주자에 서비스를 제공하거나 이들의 행동을 모니터링하는 경우도 모두 적용 대상이 된다.

그리고 EU 내에서 수집된 개인정보의 역외 이전을 원칙적으로 금지하고 있다. 이로 인해 EU 내에 직접 진출해 사업하지 않더라도 국내 기업들이 EU 역내에서 수집된 개인정보를 국내로 역외 이전하게 되면 자칫 GDPR을 위반할 수 있는 위험성이 있다.

GDPR에서 EU 역외이전을 허용하는 조건이 있긴 하다. EU집행위원회가 개인정보보호법 수준과 집행 체계와 현황 등을 검토해 적정하다고 판단한 국가로의 이전은 허용한다. 바로 GDPR 45조의 적정성 결정에 근거한 이전이다. 그렇지 않으면 기업들이 개인정보보호 표준계약조항(SCC) 등 추가 개인정보 보호·안전 장치를 적용해야 가능하다.

적정성 결정은 GDPR 적용을 받는 우리나라 기업들이 EU 역내에서 수집된 개인정보를 국내로 역외 이전시 추가적 보호조치 등 규제 준수 부담을 국가 차원에서 해소할 수 있다. 이로 인해 이미 GDPR 시행 전에 스위스, 아르헨티나, 이스라엘, 우루과이, 뉴질랜드 등 12개 국가가 적정성 결정을 받았고, 시행 직후인 2019년 1월에 일본도 받았다. 영국도 브렉시트 후 적정성 결정 초기결정을 받고 절차를 진행하고 있다.

우리나라도 2017년 1월부터 적정성 논의가 공식 시작됐지만 개인정보감독기구 독립성 요건이 충족되지 않는다는 이유로 협의가 중단되고 지난해 초 개인정보보호법이 개정된 이후에서야 다시 본격화됐다.

지난 3월 30일 개인정보보호위원회와 EU집행위원회 사법총국은 한국과 EU 간 적정성 논의가 성공적으로 마무리됐다고 발표했다. 적정성 초기결정이 완료됨에 따라 EU집행위의는 다음 단계인 의사결정 절차에 바로 착수했다. 유럽개인정보보호이사회(EDPB)와 EU 회원국 대표들로 구성된 커미톨로지, EU 의회 소위원회인 자유사법내무위원회(LIBE)의 의견수렴을 거쳐, 최종 결정된다. 개인정보보호위원회와 KISA는 연내 적정성 결정이 완료될 것으로 예상하고 있다.

적정성 결정이 내려지면 한국이 개인정보 국외이전에 있어 EU회원국에 준하는 지위를 부여받게 돼 SCC 등 개인정보 역외 이전을 위해 소요했던 시간과 인력, 비용 등을 크게 절감할 수 있다.

개인정보보호위원회에 따르면, LG·SKT·네이버 등 EU에 진출한 기업에서는 SCC를 이용한 계약 체결을 위해 면밀한 법률 검토, 현지 실사, 기타 행정절차 등으로 인해 건별로 3개월에서 1년 정도의 시간과 프로젝트별로 약 1~2억원의 비용이 소요되는 것으로 파악했다. 중소기업의 경우 이 계약 절차가 어려워 EU 진출을 포기하고 있는 사례도 있는 것으로 분석하고 있다.

정 책임연구원은 “그동안 국내 사업자들은 SCC를 통해 스스로 역외이전 문제를 해결해왔다. SCC를 체결하려면 계약조항 검토부터 계약서 작성, 이후 계약조건 변경과 갱신, 연장 등이 필요하다. 이로 인한 인력과 예산 등 꽤 많은 비용과 노력이 투자돼야 한다”며 “적정성 결정이 내려지면 정부 차원에서 EU에서 수집된 개인정보가 한국으로 이전되는 것이 명확하게 허용된다. SCC에 소요됐던 비용 절감뿐 아니라 SCC로도 해결하지 못했던 사각지대를 완벽하게 해소할 수 있다. EU집행위가 적정성 결정을 개인정보 역외이전에 대한 가장 경제적이고 효과적인 수단이라고 하는 이유”라고 말했다.

한편, KISA는 국내 개인정보보호법에서도 현행 정보주체의 사전 동의 방식 외에 개인정보 역외이전을 위한 방안을 마련해야 한다는 의견에 대해 검토하고 있는 상태다. 이른바 ‘한국형 적정성 결정’을 도입해야 한다는 의견이 있어 이번 GDPR 적정성 결정 이후 EU와의 상호 적정성 검토나 제3국과의 적정성 결정 추진 등을 검토한다는 방침이다.

---

GDPR 비롯 40개국 해외 개인정보보호법 준수 지원 사업 강화

---

KISA는 국내 기업들의 GDPR 준수 지원을 위해 ▲GDPR 대응지원센터 오픈 ▲국가별 감독기구 정보 제공 ▲행정처분 사례 결과 분석 정보 제공▲자가진단도구 개발 제공 ▲GDPR 가이드북 제공 ▲실무교육 콘텐츠 제공 ▲중소·영세기업을 위한 법제 준수컨설팅(15개사) ▲법률 수시 상담 등을 진행해왔다.

GDPR 적용을 받는 유럽지역 28개국 외에도 비롯해 러시아, 중국, 일본, 베트남, 싱가포르, 호주, 캐나다, 미국 관련 개인정보보호 법제 정보를 제공하고 있다. 올해에는 동남아시아지역 주축으로 4개국을 추가해 총 40개국가의 법률 지원을 확대하고, 컨설팅 역시 중견기업까지 지원할 방침이다.

오는 4월 말 GDPR과 미국 캘리포니아 소비자보호법(CCPA) 종합 컨설팅 지원 사업을 공고해 함께할 법률회사를 선정한 뒤 중소중견기업들을 대상으로 무료 컨설팅을 지원할 방침이다.

글. 바이라인네트워크
<이유지 기자>yjlee@byline.network