전 세계 매출액의 4%까지 과징금이 부과될 수 있는 EU 단일 개인정보보호법(GDPR)이 2018년 5월부터 시행된다. 한국인터넷진흥원(KISA)은 유럽에 진출한 한국 기업들이 GDPR에 미리 대비할 수 있도록 개인정보보호 가이드라인을 개발, 제공한다.

11일 정부 관계자들에 따르면, KISA가 연내에 ‘EU 진출 한국기업 대상 개인정보보호 가이드라인’을 개발해 내년 초 배포할 계획이다.



KISA 관계자는 “지난 5월 EU 단일 개인정보보호법(GDPR)이 통과돼 2년 후인 2018년 5월부터 시행된다”며 “한국의 경우 개인정보처리가 라이프사이클로 돼 있는데 유럽 쪽은 이와 달라 한국기업들이 익숙하지 않을 수 있다”고 말했다.

이 관계자는 “유럽에 진출한 한국기업들이 주의해야 할 사항과 준비할 것 등을 가이드라인으로 만들려고 한다”며 “특정 영역, 국가를 대상으로 개인정보보호 가이드라인이 만들어지는 것은 이번이 처음”이라고 말했다.

한국무역협회에 따르면, 5월 4일 EU 집행위는 EU 개인정보보호 관련 법령을 관보에 공표했다.

이번 발표된 규정에 따라 회원국은 2018년 5월 6일까지 개정 규정을 자국법에 적용시켜야 하며 규정은 2018년 5월 25일부터 발효된다. 대상은 EU 역내 기업뿐 아니라 유럽에서 상업 활동을 하는 모든 역외기업이다.

EU는 단일법을 통해 정보제공자가 언제든지 본인의 정보 제공에 대한 동의를 철회할 수 있도록 했으며 잊혀질 권리를 도입해 당사자가 원하지 않을 시 인터넷에 올라온 본인의 개인정보를 삭제할 수 있는 권리도 부여했다.

또 개인이 기업에 본인의 정보 열람이나 정보처리현황을 요구할 수 있도록 했으며 마케팅 목적으로 활용될 수 있는 본인의 개인정보처리에 대해서 거부할 권리도 명시했다. 이와 함께 자신의 정보 전체를 제 3자로 이전을 요구할 권리도 부여했으며 민감한 정보를 주기적으로 수집하는 기업의 경우 데이터보호 관리자(DPO)를 임명하도록 했다.

이밖에도 EU는 제3국에 대해 개인정보보호 적정성 평가를 실시하며 보호체계가 높다고 인정된 국가에 한해서만 정보이동을 승인할 방침이다.

무역협회는 규정에 기업이 준수해야 할 많은 절차가 담겨있어 한국기업들에 상당한 부담으로 작용할 것으로 예상되며 또 다른 비관세장벽으로 작용할 가능성도 있다고 분석했다.

특히 EU는 규정을 위반한 기업에게 전 세계 매출액의 4%까지 과징금을 부과할 수 있다. 전 세계 매출이 100조원인 한국 기업 규정을 위반하면 최대 4조원까지 과징금을 물어낼 수도 있다는 뜻이다.

전문가들은 한국기업들이 새로운 EU 개인정보보호법을 모르고 활동을 하다가 규정을 위반하거나 사고가 발생할 경우 막대한 손해를 볼 것으로 예상하고 있다. KISA도 이런 상황을 우려해 미리 가이드라인을 만들어 2018년 5월 이전에 기업들이 준비할 수 있도록 돕겠다는 것이다.

보안전문가들은 가이드라인을 만드는 것도 중요하지만 기업들이 유럽의 상황을 인식하고 대응방안을 마련해야 한다고 지적하고 있다.

한편, KISA는 이번 가이드라인 개발, 활용사례를 검토해 권역별, 국가별 개인정보보호 가이드라인을 추가로 만드는 방안도 고민하고 있다.

KISA 관계자는 “내년에 추가로 시장 규모가 큰 1개 국가 또는 권역의 가이드라인을 만드는 방안을 계획하고 있다”고 말했다.

[테크M = 강진규 기자(viper@techm.kr)]