유럽 일반 개인정보보호법(GDPR: General Data Protection Regulation)이 시행된 지 벌써 1년이 지났다. EU 회원국의 새로운 개인정보보호 법령인 GDPR은 기존의 ‘지침(Directive)’에서 더 나아가 EU 시민의 개인정보 무단 이용을 막기 위해 마련된 ‘규정(Regulation)’으로 EU 시민의 개인정보를 수집하고 역외로 이전·활용하는 모든 기업이 따라야 하는 강제성을 가지고 있다. 개인정보 침해사고가 발생하거나 규정을 심각하게 위반했을 시에는 엄청난 규모의 과징금을 부과하는 등 강한 제재가 이뤄진다.

실제로 2018년 5월 25일부로 GDPR이 시행된 이후 구글을 비롯한 여러 기업들에게 GDPR 위반에 따른 과징금이 부과되었다. 누구보다 재빠르게 준비에 돌입했던 구글이 GDPR 대응에 어려움을 겪고 있다는 사실은 특히 시사하는 바가 크다. GDPR에 대해 갈피를 잡지 못한 기업에게는 더 큰 타격이 발생할 수 있기 때문이다. 국내 기업 상당수 역시 GDPR 적용 대상에 포함되나 아직 국내에서는 GDPR을 심층적으로 분석하거나 대응한 사례가 많지 않아 이에 대한 우려는 더욱 커지고 있다.

먼저, GDPR 규제 사항에 대해 간략히 설명하고자 한다. GDPR은 의무 준수가 요구되는 대상, 정보 주체의 권리, 개인정보 정의 범위, 전담 개인정보 보호 책임자(DPO) 지정 등 여러 면에서 한국의 개인정보보호법과는 차이가 있다. 먼저, EU 내 사업장 존재 유무와는 상관없이 EU 내 정보 주체들에게 재화·서비스를 제공하거나 이들의 활동을 모니터링하는 모든 기업·기관들과 이를 대신해 데이터를 처리·분석·가공하는 개인정보 수탁 처리자들은 모두 GDPR 규제 대상에 포함된다.

또한 심각한 수준의 위반 시에는 전례 없이 높은 과징금이 부과될 수 있으며, 특정 개인을 식별할 수 있고 이들의 성향을 유추할 수 있는 모든 정보가 개인정보에 포함된다는 점 역시 괄목할만하다(고정 IP 주소나 쿠키 값 등). 더불어, 7가지 원칙에 따라 개인정보 처리에 대한 ‘적법한’ 처리 조건을 확보해야 하고 개인정보 국외 이전 등의 항목을 정보주체(소비자)에게 이해하기 쉬운 형태로 제시해 동의를 얻어야 하는 등 개인정보 적법 처리 기준을 한층 강화했다는 점에도 주목할 필요가 있다.

국내에서는 생소한 개념인 ‘전담 개인정보 보호 책임자(DPO)’ 지정 역시 새로운 부분이다. DPO는 GDPR 대상이 되는 개인정보처리자에게 GDPR과 정보보호 법규 준수 의무를 알리고, 법령에 의해 규정된 개인정보 보호활동을 실질적으로 수행하며, 정보주체 및 정부기관과의 의사소통을 수행하는 등 개인정보 처리와 보호에 관련된 각 주체 사이를 매끄럽게 연결하는 윤활제 역할을 담당하게 된다. 따라서, 개인정보 처리 과정과 법률에 대한 지식과 함께 원활한 소통 능력이 요구된다. 

GDPR 제37조에 따라 아래와 같은 특정 요건에 1개라도 해당되는 개인정보처리자는 DPO를 의무적으로 채용하도록 되어있다. 또한, 요건에 해당되지 않는 것으로 판단해 DPO를 미지정할 경우에도 반드시 관련 사항을 문서화하여야 한다.

위 요건에 해당하지 않는 개인정보처리자도 DPO를 자발적으로 지정할 수 있다. 하지만 이 경우에도 DPO의 지정, 지위, 책무 등에 관련된 아래 조항을 준수해야 한다.

‘전담 개인정보 보호 책임자(DPO)’는 우리나라 법제에 따라 지정되는 ‘개인정보 보호책임자(CPO)’와 여러 가지 측면에서 차이가 있다. DPO와 CPO의 차이점은 아래 표와 같이 설명할 수 있다.

특히, DPO의 강력한 업무 독립성과 자격 요건에 대해 주목할 필요가 있다. 다시 말해, 우리나라 정보통신망법과 개인정보보호법에 의거해 지정된 CPO를 그대로 DPO로 선임할 경우에는 독립성 부분 및 법률과 관련된 업무 수행에서 문제가 발생할 수도 있다. 따라서, GDPR 적용 대상인 국내 기업은 CPO와는 업무 독립성 및 법률 전문성 측면에서 CPO와는 명확한 차이가 있는 DPO의 역할을 정확히 이해하고 이에 따라 GDPR에 대응할 필요가 있다고 생각된다.

DPO의 고용 형태 및 권한 역시 CPO와는 차이가 있다. CPO와 달리 서비스 계약을 토대로 업무를 수행하는 외부인도 DPO로 지정될 수 있고, 합당한 전문성을 갖춘 한 명의 외부 DPO가 여러 기업의 DPO를 겸임하는 것도 가능하다. 단, 반드시 각 기업-DPO-감독 기구가 상시 연결될 수 있는 소통 체계가 뒷받침되어야 한다. 또한, DPO는 담당 기업의 개인정보 처리 시스템 및 업무 프로세스에 대한 자유로운 접근이 가능해야 하며, 기업은 DPO에게 이러한 업무 환경을 보장해 주어야 한다.

까다로운 자격 요건이 요구되고 업무의 독립성이 보장되는 만큼, DPO 선정은 결코 쉽지 않다. DPO의구체적인 자격 조건이나 지명 절차 등이 확립되지 않았던 GDPR 도입 초기에는 거대 글로벌 IT 기업 역시 DPO 확보의 어려움을 겪었으며, 시행 1년이 지난 지금에도 많은 기업과 조직들이 전문성을 갖춘 DPO 채용에 난색을 표하고 있는 실정이다. 특히 우리나라에는 그동안 없었던 역할이었던 만큼 국내 기업의 대응은 더욱더 어려운 면이 있다고 볼 수 있다. 

지금까지 GDPR과 GDPR의 핵심 요소 중 하나인 DPO에 대해 알아보는 시간을 가져보았다. 우리나라 법제와는 큰 차이가 있는 법률이기에 두려움이 앞서는 것이 사실이다. 그러나, 이를 기존의 데이터 관리 방식을 개선할 수 있는 계기로 삼는다면, 되레 기업 경쟁력을 높이는 긍정적인 효과가 발생할 수도 있을 것이다. 실제로, GDPR 시행에 따라 타격을 받을 것으로 예상되었던 거대 IT 기업들의 매출 및 이용자 수는 오히려 증가하고 특히 광고 물량은 눈에 띄게 늘어난 것으로 나타났다.

다시 말해, 전문적인 DPO 확보를 통해 적극적인 GDPR 대응에 나선 기업과 그렇지 않은 기업의 경쟁력은 눈에 띄게 차이가 날 수 있다. 이에, EU 시민을 대상으로 서비스를 제공하고 있는 GDPR 대상 기업이라면 이를 계기로 기업이 보유한 정보에 대한 가시성을 높일 수 있는 체계적인 데이터 관리 방안을 모색하였으면 한다. 또한 국가적 차원에서도 DPO 전문 인력을 양성하고 이들이 독립적으로 업무를 수행할 수 있는 방안을 마련하는 등 GDPR 대응에 더욱 힘을 실어주길 바란다.