행자부, 유럽 진출 기업 위한 GDPR 안내서 배포
상태바
행자부, 유럽 진출 기업 위한 GDPR 안내서 배포
  • 김선애 기자
  • 승인 2017.04.25 14:21
  • 댓글 0
이 기사를 공유합니다

개인정보 국외이전시 동의 받은 입증자료 보관해야…5월 관계기관 토론회 열어

행정자치부와 한국인터넷진흥원(KISA)은 '우리기업을 위한 유럽 개인정보 보호법안내서‘를 발간하고 28일 개인정보 포탈(www.privacy.go.kr)을 통해 공개한다. 이 안내서는 유럽연합(EU)에 진출한 우리 기업이 유럽개인정보보호법(GDPR)에 대한 이해를 높일 수 있도록 GDPR의 주요 내용을 상세히 담고 있다.

내년 5월부터 시행될 GDPR은 유럽연합이 회원국에 포괄적으로 적용할 개인정보보호법으로, 유럽 단일시장에서의 자유로운 데이터 이전을 보장하고 정보 주체의 권리를 강화할 목적으로 제정됐다. 온라인상에서 잊힐 권리, 개인정보 이동권, 프로파일링에 대한 정보주체의 권리를 보호하는 한편, 유출통지의무 및 국외이전의 제한, 법위반시 강력한 제재 등의 내용이 담겨있다.

GDPR 적용대상은 EU 거주시민의 개인정보를 처리하는 모든 개인정보처리자이며, IP주소 등 온라인 식별자나 위치정보도 개인정보에 포함된다. EU에 사업장을 운영하면서 개인정보를 처리하는 경우 해당되며, EU에 사업장을 가지고 있지 않더라도 EU 거주시민을 대상으로 재화와 서비스를 제공하기 위해 개인정보를 수집하는 경우도 적용된다.

GDPR은 적법성‧공정성‧투명성의 원칙, 목적 및 보유기간 제한원칙, 최소 처리원칙, 정확성의 원칙, 무결성 및 기밀성의 원칙과 책임성의 원칙에 따라 개인정보를 처리해야 하고, 국외이전이나 개인정보를 처리하기 위하여 동의를 받을 때에는 정보주체의 자유로운 선택에 의한 동의가 보장되어야 하며, 개인정보처리자는 동의를 받았다는 입증자료를 보관해야 한다.

GDPR에서는 정보를 제공받을 권리, 열람권, 정정권, 삭제권, 개인정보 이동권, 프로파일링을 포함한 자동화된 결정 관련 권리 등 정보주체의 권리를 확대했다. 기업은 GDPR 정책을 채택해 시행해야 하고, 개인정보 처리활동을 기록해야 하며, 리스크가 있는 처리활동 전에 영향평가를 실시하여야 하고, 데이터 보호 담당자(Data Protection Officer)를 지정할 의무 등이 있다.

개인정보 침해발생시 기업은 개인정보 침해 인지 후 72시간 이내에 감독기구에 알려야 하며 정보주체에게도 지체없이 알려야 한다. EU 시민의 개인정보는 적정성 결정, 구속적 기업규칙(BCR), 표준계약 조항, 인증, 행동규약 등 적절한 보호조치가 있는 경우 EU 밖으로 이전할 수 있다.

개인정보 처리 원칙, 동의요건, 국외이전 등 심각한 위반시 전세계 연간 매출액의 4% 또는 2천만 유로 중 높은 금액이, 그외의 일반적 위반의 경우 전세계 연간 매출액의 2% 또는 2천만 유로 중 높은 금액이 과징금으로 부과될 수 있다. 징금 대상에 해당하지 않는 GDPR 위반 사항에 대하여 각 회원국은 추가적인 처벌 규정을 둘 수 있으므로 향후 회원국의 입법 추이도 살펴보아야 한다.

GDPR의 내용이 복잡해 EU 내 시민들의 개인정보를 잘못 취급했다가는 천문학적 벌금을 물게 되기 때문에 유럽에 진출하는 국내기업의 피해를 줄이기 위해 정부가 GDPR의 효과적인 활용을 위한 안내에 적극 나선 것이다. 행자부는 5월 중 산업통상자원부, 무역협회, 코트라와 협력해 GDPR 안내서에 관한 기업 간담회를 열고 GDPR 학습 및 토론의 기회를 가질 예정이다.

홍윤식 행정자치부장관은 “유럽연합의 GDPR은 글로벌 개인정보 보호법 중 규제가 매우 강한 제도로 전세계 기업에 많은 영향을 미칠 것으로 예상된다”라며 “우리 기업들이 이번에 발간하는 안내서를 활용해 유럽 진출시 피해를 보지 않도록 철저하게 준비해 주시기를 당부한다”고 말했다.

 


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.