[디지털투데이 박근모 기자] 유럽 일반개인정보보호규정(GDPR) 전면 시행까지 6개월 앞으로 다가왔다. GDPR 요건을 기업들이 만족하지 못한다면, 유럽연합(EU)으로부터 260억원이 넘는 막대한 과징금을 받게돼 이에 대한 대비가 필요하다. 한국인터넷진흥원(KISA)과 행정자치부가 함께 GDPR 가이드라인을 작업하고 있지만, 현재 70% 수준에 그쳐 기간 내 국내 기업들의 GDPR 적용에 경고등이 켜졌다.

KISA는 국내 기업들의 GDPR 적용을 위한 가이드라인 작업을 내달 중 완료할 계획이며, EU 집행기관과 현지 간담회를 비롯해 국내에서도 'GDPR 준비 설명회' 등을 개최하는 등 대응에 안간힘을 쓰고 있다.

GDPR, 내년 5월 전면 시행...불이행시 연간 매출액 4% 과징금 부과

GDPR은 지난 1995년 10월 24일 EU가 채택한 '개인정보지침'에서 처음 시작됐다. 이후 인터넷 기술 및 환경 변화를 반영해 EU 회원국간의 규제 수준과 입법 절차를 걸쳐 합의에 의해서 2016년 5월 27일 GDPR이라는 명칭으로 채택됐다.

총 11장 173개 전문 99개 본문으로 구성된 GDPR은 2년간의 유예기간 후 모든 EU 회원국에게 별도 입법 과정 없이 직접적·강제적으로 적용된다. 즉, 2018년 5월 25일부터 전면 시행된다.

EU 집행위원회에 따르면 GDPR은 EU 권역 내의 국외 기업에게도 동일하게 적용되며, 잊힐 권리, 개인정보 이동권, 프로파일링 제한 등 개인 정보주체 권리보호에 관한 내용이 신설·추가됐다. 특히 기업 책임성을 강화를 위해 정보보호담당관(DPO) 임명(GDPR 제37조)과 영향평가 수행(GDPR 제35조)을 필수 요건으로 제시하고 있다.

만약 GDPR의 요건을 만족하지 못할 시 전세계 연 매출액의 4% 또는 2000만유로(한화 약 263억2천만원) 중 높은 금액을 과징금으로 부과받게 된다.(GDPR 제83조)

글로벌 기업들의 GDPR 대응 현황 (자료=2017 베리타스 GDPR 보고서)

지난 7월 한국, 일본, 미국, 호주 등 주요 9개국 비즈니스 의사 결정자 900명을 대상으로 조사한 '베리타스 2017 GDPR 보고서'에 따르면 대상 기업 중 86%는 GDPR이 자사의 비즈니스에 심각한 악영향을 미칠 것이라고 밝혔으며, 46%는 GDPR 준수를 위한 조치를 진행하고 있다고 응답했다. 또한 GDPR의 주요 요건을 제대로 준수하고 있다는 경우는 2%에 불과해 GDPR에 대한 정확한 이해나 대응에 어려움을 겪고 있다는 점을 확인할 수 있다.

또한 응답자의 3분의 1(31%)은 소속 기업이 GDPR의 주요 요건을 제대로 준수하고 있다고 대답했으나, 베리타스가 GDPR의 세부 조항에 대해 조사한 결과 GDPR 주요 규정을 준수하는 기업은 단 2%에 불과한 것으로 확인됐다.

국내 기업들의 GDPR 대비 어려움 (자료=KISA)

KISA가 국내 기업을 대상으로 GDPR 대비 과정에서의 우려 사항을 조사한 결과 42%가 데이터 분류 방법의 부재를 꼽았으며, 중요 데이터의 삭제 가능성 및 데이터 식별상의 어려움이 각각 39%로 꼽혔다. 이같은 점은 GDPR 대응에 있어서 국내 기업들이 기초적인 중요 데이터 분류나 식별 조차도 어려움을 느끼는 것으로, 이에 대한 대응책 마련이 필수로 꼽힌다.

KISA-행안부, GDPR 가이드라인 준비 중

KISA에서 GDPR을 담당하고 있는 정수연 개인정보협력팀 선임연구원은 "현재 GDPR 가이드라인 작업을 진행 중으로 약 70% 완성된 상태로 늦어도 올해 중 공개할 수 있을 것"이라며 "가이드라인을 발표하게 되면 문제 발생시 수정이 어렵고 혼란이 발생할 가능성이 크기 때문에 꼼꼼하게 확인하는 과정을 거치면서 일정부분 지연되고 있으나 빠른 공개를 위해 최선을 다하고 있다"고 전했다.

GDPR 진행 과정 (자료=KISA)

당초 KISA의 발표에 따르면 11월 초 국내 기업들을 위한 GDPR 가이드라인을 배포할 예정이었으며, 내년 초에는 제29조 작업반의 세부적인 GDPR 내용 반영 후 최종 가이드라인이 완성될 계획이었다.

EU 제29조 작업반은 ▲개인정보 이동권 ▲DPO ▲선임 감독기구 ▲개인정보 영향평가 ▲고위험 가능성을 내포한 개인정보 처리 ▲인증 ▲EU 개인정보보호 이사회 구조 ▲동의와 프로파일링 ▲투명성 ▲제3국으로의 개인정보 이전 ▲개인정보 침해 통지 등 총 11가지 GDPR의 핵심 내용에 관한 가이드라인을 만드는 조직이다. 현재 개인정보 이동권, DPO, 선임 감독기구, 고위험 가능성을 내포한 개인정보 처리 등 5가지에 대한 가이드라인만 발간됐으며, 나머지 6가지는 내년 5월 이전에 발간될 예정이다.

정수연 선임연구원은 "오는 19일부터 22일까지 벨기에 EU GDPR 집행위원회에 직접가서 GDPR 적용 대상 국내 기업 관계자들과 현지 간담회를 진행한다"라며 "참여하지 못한 기업들을 대상으로는 GDPR에 대한 문의사항을 수렴 후 현지에서 EU 집행위와 가이드라인에 대해 의견을 나눌 것"이라고 설명했다.

이어 "12월 중 EU 집행위와 진행한 간담회 결과를 공유하고 국내 기업들의 최종 GDPR 가이드라인을 포함한 정부의 향후 계획 및 대응 방안을 공개하는 자리를 마련할 계획"이라고 덧붙였다.

정수연 선임연구원은 "KISA와 행안부에서는 GDPR 가이드라인 외에도 해외 사업 시 개인정보로 인해 어려움을 겪는 민간이나 기업들을 대상으로 개인정보보호 국제협력센터를 개설해 지원을 하고 있다"라며 "이메일(GDPR@KISA.or.kr) 등을 통해 GDPR이나 개인정보 문제나 어려움에 대해 항상 대응할 채비를 갖추고 있다"고 강조했다.

이어 "기업들이 GDPR에 효과적으로 대응할 수 있도록 가이드라인뿐만 아니라 다양한 형태의 지원방안을 현재 마련 중에 있다"고 덧붙였다.

키워드

#GDPR #유럽 일반 개인정보보호규정 #개인정보보호법 #DPO #한국인터넷진흥원 #KISA #행정안전부 #개인정보 #EU #EU집행위원회 #유럽연합 #개인정보지침 #베리타스
저작권자 © 디지털투데이 (DigitalToday) 무단전재 및 재배포 금지