유럽 GDPR, 준비되셨습니까?

내년 5월25일 시행…위반된 매출 4% 과징금

컴퓨팅입력 :2017/05/16 15:08    수정: 2017/05/16 17:25

"GDPR 법 자체는 일반적인 내용을 담고 있지만, 각론으로 들어가면 주어진 시간 안에 준비하기 어렵다. 데이터 수집, 생성, 삭제까지의 체계를 갖춰 규제를 준수할 상태로 만드는게 생각만큼 쉽지 않다. 유럽 기업들은 GDPR을 준비하면서 예산확보보다 기간 내 준수를 최우선이라 한다. 한국 기업도 빨리 준비해야 한다."

박철한 베리타스 글로벌 정보 거버넌스 프랙티스 리드는 16일 베리타스코리아가 개최한 기자간담회에서 내년 5월 시행되는 유럽 일반개인정보보호법(GDPR)에 대해 이같이 밝혔다.

그는 “시행이 1년여 밖에 남지 않았는 데도 전 세계적으로 GDPR 대비가 시급하다는 사실을 간과하고 있는 기업들이 있다”며 “EU에 사업장이 있는지 여부와 관계없이 EU 국가를 대상으로 비즈니스를 하는 경우에는 모두 GDPR이 적용된다”고 강조했다.

그는 “기업들은 컨설팅을 통해 GDPR 준수를 위한 준비 상태를 점검하고 전략을 수립해야 한다”며 ”지금 대비하지 않으면 기업의 일자리, 브랜드 평판 및 비즈니스 생존이 위태로울 수 있다”고 경고했다.

박철한 베리타스 글로벌 정보 거버넌스 프랙티스 리드

베리타스코리아(대표 조원영)는 이날 기자간담회에서 한국을 포함한 전 세계 기업 비즈니스 의사결정권자들을 대상으로 실시한 ‘베리타스 2017 GDPR 보고서’를 소개했다.

조사에 참여한 국내 기업의 의사결정권자 93%가 유럽 일반 개인정보 보호법(General Data Protection Regulation, GDPR)을 준수하지 않을 경우 비즈니스에 심각한 악영향을 미칠 수 있다고 응답했다. 응답자 13%는 비즈니스 중단에 이를 수 있다고 답해 기업의 GDPR 대비 상황에 대한 우려를 나타냈다.

■ 개인정보 저장-이전 위치 등에 철저한 감독 요구

유럽연합(EU) 회원국들간의 개인정보에 대한 거버넌스를 통일성 있게 강화하기 위해 제정된 GDPR은 신용카드, 금융 및 의료 정보를 포함한 개인정보가 저장되거나 이전되는 위치 및 방법, 정보에 접근할 시 적용되는 정책 및 감사에 관한 철저한 관리감독을 요구한다. 2018년 5월 25일부터 시행되는 GDPR은 EU 내 사업장이 있는 기업뿐만 아니라 EU 거주 정보주체에게 재화 또는 서비스를 제공하거나 구매 습관을 추적하는 등 정보주체의 행동을 모니터링하는 기업에까지 전 세계적으로 확대 적용된다.

GDPR을 심각히 위반했을 경우 최대 2천만 유로(약 245억원) 또는 전 세계 연간 매출액의 4% 중 높은 금액으로 과징금을 부과 받게 된다.

GDPR은 EU 거주시민의 개인정보를 처리하는 모든 개인정보 처리자에 대하여 적용되며, IP주소 등 온라인 식별자나 위치정보도 개인정보에 포함된다.

이 규제는 개인정보의 정의를 대폭 확대하고 있다. GDPR의 개인정보는 식별되었거나 또는 식별가능한 자연인(정보주체)과 관련된 모든 정보를 의미한다. ‘식별가능한 자연인’은 직접적 또는 간접적으로 식별될 수 있는 사람을 의미하며, 특히 이름, 식별번호, 위치정보, 온라인 식별자 등의 식별자를 참조하거나, 하나 또는 그 이상의 신체적·생리적·유전적·정신적·경제적·문화적 또는 사회적 정체성에 대한 사항들을 참조하여 식별할 수 있는 사람을 뜻한다. IP 주소, 맥주소, 온라인 쿠키를 통해 개인 식별이 가능한 경우 온라인 식별자에 해당해 GDPR이 정하는 개인정보로 볼 수 있다.

GDPR은 개인정보 주요 처리원칙을 규정하고 있다. ▲적법성·공정성·투명성의 원칙 ▲목적 및 보유기간 제한원칙 ▲최소 처리원칙 ▲정확성의 원칙 ▲무결성 및 기밀성의 원칙 ▲책임성의 원칙에 따라 개인정보를 처리해야 한다.

또 강화된 정보주체의 권리를 특징으로 한다. ▲정보를 제공받을 권리 ▲정보주체의 열람권 ▲정정권 ▲삭제권(잊혀질 권리) ▲처리에 대한 제한권 ▲개인정보 이동권 ▲반대할 권리 ▲자동화된 결정 및 프로파일링 관련 권리 등을 포함한다.

기업은 GDPR 정책을 채택해 시행해야 하고, 개인정보 처리활동을 기록해야 하며, 리스크가 있는 처리 활동 전에 영향평가를 실시해야 하고, DPO(Data Protection Officer)를 지정할 의무가 있다. 개인정보 침해발생 시 기업은 침해 인지 후 72시간 이내에 감독기구에 알려야 하며 정보주체에게도 지체 없이 알려야 한다. EU 시민의 개인정보는 GDPR의 규정에 부합할 경우(적정성 결정, 구속적 기업규칙(BCR), 표준계약 조항, 인증, 행동규약 등 적절한 보호조치가 있는 경우 등)만 EU 밖으로 이전할 수 있다.

베리타스가 발표한 보고서에 따르면 국내 응답자의 61%가 기한 내 GDPR 규정 준수를 위한 대비를 마칠 수 있을지에 대해 우려하고 있는 것으로 나타났다.

■ "많은 기업들, 어떤 데이터가 어디 있는지도 잘 몰라"

GDPR 미준수로 인해 발생할 수 있는 부정적인 결과에 대해 국내 응답자 중 23%는 GDPR 위반으로 인한 과징금 징수가 인원 감축과 잠재적 정리 해고로 이어질 수 있다고 우려하는 것으로 나타났다. 또한 개인정보 침해를 인지한 경우 정보주체에게 고지해야 할 의무가 신설됐기 때문에 GDPR 위반 사실이 외부에 공개될 경우 브랜드 이미지에 미칠 부정적인 영향에 대해서도 우려를 나타냈다. 국내 응답자의 21%(글로벌 평균 19%)는 미디어 및 SNS 상의 부정적인 노출로 인해 고객을 잃을 수 있다고 응답했으며, 18%(글로벌 평균 12%)는 브랜드 가치가 하락할 것이라고 답했다.

많은 기업들이 GDPR 준수의 중요한 첫 단계인 어떤 데이터를 보유하고 있는지, 해당 데이터가 어디에 있는지, 비즈니스와 어떤 관련이 있는지 파악하는데 심각한 어려움을 겪고 있는 것으로 나타났다. 많은 기업들이 이러한 어려움을 겪고 있는 것은 GDPR 준수를 위한 적절한 기술을 갖추지 못하고 있기 때문인 것으로 조사됐다.

국내 응답자의 40%는 실시간으로 데이터를 모니터링할 수 있는 툴을 갖추고 있지 않아 효율적인 데이터 관리가 불가능하다고 응답했다(글로벌 평균 32%). 이는 곧 GDPR 준수의 핵심 요건인 데이터 검색과 발견, 검토를 어렵게 할 수 있다.

국내 응답자의 29%는 소속 기업이 관련 데이터를 정확하게 식별하거나 위치를 파악하지 못한다고 답했다(글로벌 평균 39%). GDPR은 요구가 있을 경우 기업은 30일 이내에 정보주체에게 개인정보의 사본을 제공하거나 해당 데이터를 삭제할 수 있어야 한다고 규정하고 있어 데이터의 정확한 식별과 위치 파악 역량을 갖추는 것이 중요하다.

국내 응답자의 절반 가량(45%)은 가치에 따라 어떤 데이터를 저장하거나 삭제해야 하는지 결정할 수 있는 메카니즘이 없다고 답해 데이터 보존에 대한 우려도 높은 것으로 나타났다(글로벌 평균 42%). GDPR에 따르면 기업은 개인정보 데이터를 수집할 때 정보주체에게 고지된 목적으로 사용하는 경우에는 데이터를 보유할 수 있지만 해당 목적으로 더 이상 필요하지 않은 경우에는 삭제해야 한다.

이번 보고서에 따르면, 국내 응답자의 31%만이 소속 기업이 GDPR에 준비가 되어있다고 생각하는 것으로 나타났다. 또한 국내 응답자들은 GDPR 대비를 위해 평균 약 112만 달러(약 13억원) 이상 투자가 필요할 것으로 예측했다. 글로벌 평균은 140만 달러(약 15억원)다.

GDPR 미준수로 인해 발생할 수 있는 부정적인 결과(글로벌 조사결과, 자료: 베리타스코리아)

베리타스 2017 GDPR 보고서에 의하면 여러 국가들이 GDPR에 대한 준비가 상당히 뒤처져 있는 것으로 나타났다. 국내 응답자의 61%가 GDPR 시행 기한을 지키지 못할 것이라고 응답해 일본(63%)에 이어 조사 국가 중 두 번째로 많은 응답자가 준비가 미흡하다고 답했다(글로벌 평균 47%).

GDPR 미준수가 초래할 수 있는 비즈니스 중단에 대해서는 미국과 호주에서 가장 많이 우려하고 있는 것으로 나타났다. 국내 응답자는 13%가, 미국과 호주 응답자는 약 25%가 GDPR 미준수로 인해 조직의 존속 자체가 위협받을 수 있다고 응답했다.

국내 응답자의 23%는 GDPR 미준수에 따른 여러 가지 우려사항 중 인력 감축을 가장 큰 우려사항으로 꼽았다. 미국과 호주에서는 이보다 높게 각각 26%, 29%의 응답자가 인력 감축의 가능성을 우려하는 것으로 나타났다.

아시아태평양 지역의 기업들은 GDPR 위반이 브랜드 평판에 미치게 될 영향에 대해 많이 우려하는 것으로 나타났다. 싱가포르는 응답자의 20%, 일본과 한국은 응답자의 21%가 미디어와 SNS의 부정적인 보도로 고객을 잃을 수 있다고 답했다.

관련기사

박경동 베리타스코리아 글로벌서비스 상무는 “EU에 법인을 설립했거나 EU 거주자를 대상으로 비즈니스를 진행하는 국내 하이테크, 자동차, 항공, 금융, 미디어 및 콘텐츠 기업을 중심으로 GDPR 솔루션 및 컨설팅에 대한 문의가 늘어나고 있다”며 “베리타스코리아는 기업 법무팀 및 IT 담당자와의 진단 미팅을 통해 기업의 GDPR 대비 현황을 점검하고 평가 결과에 맞는 컨설팅 및 솔루션을 제시함으로써 GDPR 대응을 위한 체계적인 데이터 관리 방안을 제공하고 있다”라고 말했다.

베리타스 2017 GDPR 대비 현황 보고서는 베리타스의 의뢰로 시장조사 전문업체인 밴슨 본이 2017년 2월부터 3월까지 한국의 100명을 포함해 미국, 영국, 프랑스, 독일, 호주, 싱가포르, 일본의 비즈니스 의사결정자 총 900명을 대상으로 실시했다. 응답자는 업종에 관계 없이 직원 수 1천명 이상, EU 내에서 비즈니스를 하고 EU 거주자에 대한 개인식별정보(PII)를 보유하는 기업의 직원으로 구성됐다.