"유럽진출기업, GDPR 어기면 연매출 4% 벌금"

행자부, 유럽개인정보보호법(GDPR) 안내서 발간

컴퓨팅입력 :2017/04/25 15:35

행정자치부가 내년 시행되는 유럽개인정보보호법(GDPR) 안내서를 인터넷으로 무료 발간했다.

GDPR은 유럽연합(EU) 회원국 시민들 개인정보를 취급할 때 적용되는 원칙과 정보주체의 권리보장 및 기업책임성 강화를 위한 조치사항, 개인정보의 국외이전, 제재 등을 포함한 법이다. 지난해 5월 유럽의회를 통과했고 내년(2018년) 5월부터 시행될 예정이다. 법은 개인정보를 잘못 취급한 기업이 심각한 법 위반시 세계 연매출 4%와 2천만유로 중 높은 금액을 과징금을 받을 수 있단 내용도 담았다. 회원국에 포괄적으로 적용할 개인정보보호법 제정 논의 끝에 나온 결과물이다.

행자부는 GDPR 시행으로 유럽에 진출한 한국 회사들이 EU 회원국 시민들의 개인정보를 잘못 다룰 경우 천문학적 벌금을 물게 될 수 있다며 관련 내용을 설명한 안내서를 인터넷으로 발간하기로 했다고 25일 밝혔다.

안내서는 GDPR 개요, 주요 처리원칙, 정보주체의 권리보장 및 기업책임성 강화를 위한 조치사항, 개인정보 국외이전, 제재 등 총 10장으로 구성돼 있다. EU 거주시민의 모든 개인정보처리자에 적용된다. 안내서는 오는 28일 개인정보포털을 통해 공개될 예정이다.

법에서는 IP주소, 맥어드레스, 온라인쿠키를 통해 개인이 식별가능한 경우 온라인 식별자에 해당해 GDPR상 개인정보로 볼 수 있고, 위치정보도 개인정보에 포함한다고 여긴다. GDPR의 개인정보처리원칙은 적법성, 공정성, 투명성, 목적 및 보유기간 제한, 최소처리, 정확성, 무결성, 기밀성, 책임성 등을 아우른다. 정보주체는 선택에 의해 개인정보처리와 국외이전을 하도록 동의하는 절차를 보장받아야 하고, 개인정보처리자는 동의를 받았다는 입증자료를 보관해야 한다.

GDPR이 보장하는 정보주체의 권리는 정보를 제공받을 권리, 열람권, 정정권, 삭제권, 개인정보 이동권, 프로파일링을 포함한 자동화된 결정 관련 권리 등을 아우른다.

기업은 GDPR정책을 채택해 시행하고 개인정보처리활동을 기록하며 리스크가 있는 처리활동 전 영향평가를 실시하고 데이터보호담당자(DPO)를 지정할 의무를 갖는다. 기업은 개인정보침해 인지 후 72시간 이내에 감독기구에 알리고 정보주체에게 지체없이 알려야 한다. EU 시민 개인정보는 GDPR 규정에 부합해야만 EU밖으로 이전할 수 있다. GDPR 규정은 적정성 결정, 구속적 기업규칙(BCR), 표준계약조항, 인증, 행동규약 등 보호조치가 있는 경우를 의미한다.

기업이 개인정보처리 원칙, 동의요권, 국외이전 등 규정을 어긴 심각한 위반시 전세계 연간 매출 4% 또는 2천만유로 중 높은 금액을 과징금으로 부과받을 수 있다. 또 일반 위반시 연간 매출 2% 또는 2천만유로 중 높은 금액을 과징금으로 부과받을 수 있다. 다만 과징금 부과 여부와 금액 결정은 회원국 감독기구 권한이다. 과징금 대상에 해당하지 않는 GDPR 위반사항에 대해 회원국이 추가 처벌규정을 둘 수도 있다.

관련기사

행자부는 다음달(5월)중 산업통상자원부, 무역협회, 코트라와 협력해 GDPR 안내서에 관한 기업간담회를 통해 GDPR 학습 및 토론을 진행한다.

홍윤식 행정자치부장관은 "유럽연합의 GDPR은 글로벌 개인정보 보호법 중 규제가 매우 강한 제도로 전세계 기업에 많은 영향을 미칠 것으로 예상된다"며 "우리 기업들이 이번에 발간하는 안내서를 활용해 유럽 진출시 피해를 보지 않도록 준비해주길 당부한다"고 말했다.