"우리나라 법은 상세하고 체계적으로 기술적, 관리적 개인정보 보호 조치를 안내하고 있는 반면, 유럽연합(EU)은 사업자에게 많은 부분을 맡기고 있다. 기업마다 취급하는 양이나 정보, 민감정보 다 상이하기 때문에 하나의 기준으로 이를 정의할 수 없다고 보는 입장이다."
정수연 한국인터넷진흥원(KISA) 개인정보협력팀 책임연구원은 EU 일반 개인정보보호법(GDPR)에서 기업에 요구하는 개인정보 보호 조치에 대해 지난 23일 이같이 표현했다.
지난달 30일 우리나라가 EU로부터 GDPR 적정성 결정 국가로 지정받기 위한 실무적 절차인 '초기결정'을 완료함에 따라 유럽 데이터 시장에 대한 기업 관심이 높아지고 있다.
초기결정 외 남은 절차를 완료해 적정성 결정 국가로 지정되면 EU 시민의 개인정보를 별도 절차 없이 한국으로 이전할 수 있게 된다. EU가 국내법상 개인정보 보호 수준이 GDPR과 비교했을 때 적정하다고 판단함에 따른 결과다. 이에 따라 유럽에서 발생한 데이터를 분석, 활용하기 용이해지게 된다.
이런 상황에서 유럽 사업을 확대하며 현지에 진출하는 국내 기업도 늘고 있다. 특히 독일의 경우 300개 이상 국내 기업이 진출해 있다는 게 KISA 설명이다. 체코, 폴란드 등 동유럽 등에 진출한 국내 기업도 상당수다.
이 기업들 중 GDPR을 준수하는 개인정보 관리 체계를 구축하는 데 어려움을 겪는 곳들이 많다는 지적이다. 특히 GDPR이 위반 시 과징금을 최대 기업 연간 매출의 4% 또는 2천만 유로(약 269억4천만원)로 막대한 금액을 부과하고 있어 이에 대한 기업 우려가 크다는 것이다.
정수연 KISA 책임은 GDPR 과징금 부과 사례를 유형별로 분석한 결과, '적법 처리 근거 부족'과 '기술적·관리적 보안 조치 미흡'이 각각 60%, 24%의 비중을 차지해 위반 사례의 대부분이 여기에 해당된다고 언급했다. 국내 기업도 GDPR과 관련해 이 부분들을 가장 어려워한다고 말했다.
정 책임은 "GDPR은 기술적·관리적 보호 조치에 대해 각 사업자에게 일임하되, 얼마나 체계적으로 보안 조치를 취하고 있는지를 당국이 검토하도록 하고 있다"며 "구체적으로는 DPO(Data Protection Officer) 지정 여부, 개인정보 영향평가 시행 여부, 개인정보 처리 현황 등을 검토한다"고 설명했다.
이어 "국내 기업들이 GDPR을 준수하는 기술적·관리적 보호 조치가 무엇인지 모르겠다는 문의를 많이 한다"면서 "기업 문의가 오면 원칙에 따라 최소한의 정보만 수집하는지, 수집 목석이 달성되면 개인정보를 바로 삭제하는지, 개인정보 처리 과정에서의 암호화는 적절한지, 개인정보 관련 체계적인 기술이나 정책을 갖고 있는지 등을 살펴보라고 조언하는 상황"이라고 덧붙였다.
윤재석 KISA 개인정보협력팀장은 "개인정보 관련 사고가 발생하면 감독기구의 조사를 받게 되는데, 과징금 경감 기준 11가지에 근거해 최종 금액이 결정된다"며 "이런 점을 감안해 기업이 개인정보를 관리하는 과정에서 여러 기록들을 작성하고, 잘 관리한다면 문제가 발생했을 때 책임이 경감되거나 면제될 수도 있다"고 조언했다.
관련기사
- 페북, EU서 '전세계 매출 4%' 벌금 폭탄 맞나2021.04.15
- 개인정보보호법 개정안이 우려되는 이유2021.04.07
- 국내 기업, GDPR 과징금 철퇴 걱정 덜었다2021.03.30
- 한국 기업, 유럽 시민 정보 활용할 길 열린다2021.03.30
아울러 소비자 개인정보뿐 아니라 현지 직원의 개인정보도 중요한 이슈가 되고 있다고 강조했다.
KISA에 따르면 GDPR에 따른 행정처분을 받은 국내 기업은 아직 없는 상황이다. 올해 KISA는 국내 기업의 GDPR 준수를 지원하기 위한 컨설팅을 실시하고, 독일에 현지 협력 채널도 올 하반기 구축할 예정이다.
