[EU GDPR과 개인정보 보호①] GDPR 대응 비상 걸렸다
상태바
[EU GDPR과 개인정보 보호①] GDPR 대응 비상 걸렸다
  • 김선애 기자
  • 승인 2017.08.03 15:06
  • 댓글 0
이 기사를 공유합니다

내년 5월부터 시행되는 EU GDPR…위반시 전 세계 매출 최대 4% 과징금 물어야

유럽연합의 개인정보보호법(EU GDPR)이 내년 5월 시행된다. 유럽에서 사업을 하거나 유럽 시민을 고용하는 등 유럽시민의 개인정보를 사용하고자 하는 기업/기관은 반드시 GDPR에 대응해야 한다. 그러나 상세한 세부 규정을 지키는데 익숙한 우리나라 기업/기관에서 GDPR을 정확하게 이해하고 대응하는 것은 어려운 상황이다. EU GDPR은 개인정보의 자기결정권을 강화하면서도 유연한 활용을 폭넓게 허용하고 있기 때문이다. EU GDPR의 주요 사항을 살펴보고, 개인정보의 합법적인 활용 방안을 제안한다.<편집자>

유럽연합(EU)이 내년 5월 25일부터 강력한 개인정보 보호 규제인 일반정보보호규정(GDPR)을 시행한다. 이에 따라 유럽에서 사업을 진행하거나 유럽 시민을 고용한 기업들이 비상에 걸렸다.

GDPR은 정보주체의 자기결정권을 강화한 것이 주요 골자이며, 위반 시 최대 2000만유로(약 260억원) 혹은 전 세계 매출의 4% 중 더 큰 금액이 과징금으로 부과된다. 한 해 200조원의 매출을 올리는 글로벌 기업이라면 과징금이 무려 8조에 이르는 셈이다. 일반적 위반의 경우라 해도 1000만유로 혹은 전 세계 연간 매출액의 2% 중 더 높은 금액이 부과돼 심각한 비즈니스 피해를 입을 수 있다.

9개월 앞으로 다가온 GDPR 대응 비상

GDPR 대응에 비상이 걸린 것은 우리나라만의 문제는 아니다. NTT시큐리티가 7월 발표한 보고서에 따르면 글로벌 기업 임원 20%는 GDPR이 비즈니스에 어떤 영향을 미칠지 인지하지 못하는 것으로 나타났다.

비 IT 분야 글로벌 기업 임원 1350명을 대상으로 실시한 이 설문조사에서 응답자의 40%만이 GDPR이 자사에 적용될 것으로 생각하고 있으며, 19%는 자사에 적용되는 GDPR이 무엇인지 모른다고 답했다. 심지어 지난해 EU를 탈퇴한 영국의 기업들도 39%만이 자사가 GDPR을 준수해야 한다고 답했으며, 20%는 모른다고 답했다.

또한 GDPR의 핵심 구성 요소 중 하나인 데이터 관리·저장과 관련, 응답자의 1/3이 데이터 저장 위치를 알지 못하며, 알고 있다 해도 GDPR이 자사 데이터 저장 방식에 어떤 영향을 미칠지 인지하는 의사결정권자는 45%에 불과했다.

지난해 말 조사에서는 더 많은 기업들이 GDPR 대응에 미흡하다고 답했다. 베리타스가 1월 발표한 보고서에서는 임원 54%가 GDPR에 대비하고 있지 않다고 답했으며, GDPR 책임자 지정에 혼란을 겪고 있다고 답했다.

응답자의 35%는 데이터 파편화와 가시성 부족으로 인해 GDPR 준수가 어렵다고 답했으며, 관리되지 않는 클라우드 기반 파일 스토리지와 개인 사용자 파일 공유 서비스가 증가하고 있어 컴플라이언스 우려가 커지고 있다.

25%의 응답자가 클라우드 기반 서비스인 박스(BOX), 구글 드라이브, 드롭박스, EMC 심플리시티, 마이크로소프트 원드라이브를 사용 중이라고 답했는데, 이는 회사 정책에 반하는 것으로 파악됐다. 또 다른 25%는 파악되지 않은 오프사이트 파일 스토리지 서비스를 이용하고 있어 IT 부서가 승인된 툴로 사용 관리하는 것을 더욱 어렵게 만들고 있는 것으로 나타났다.

▲NTT 시큐리티 GDPR 준비도

유럽 일반 개인정보 보호법(General Data Protection Regulation)

유럽연합(EU)이 회원국 국민의 개인정보 보호 권리를 강화하기 위해 제정한 ‘유럽 일반 개인정보 보호법(GDPR)’은 개인정보 관리에 대한 매우 강도 높은 규제 수준을 포함하고 있으며, 기존 개인정보보호 지침과 달리 그 자체로 EU의 모든 회원국들에게 직접적인 법적 구속력을 가진다.

적용 대상: EU 거주시민의 개인정보를 처리하는 모든 개인정보 처리자에 대하여 적용되며, IP주소 등 온라인 식별자나 위치정보도 개인정보에 포함된다.

개인정보의 정의: 식별됐거나 또는 식별가능한 자연인(정보주체)과 관련된 모든 정보를 의미한다. ‘식별가능한 자연인’은 직접적 또는 간접적으로 식별될 수 있는 사람을 의미하며, 이름, 식별번호, 위치정보, 온라인 식별자(Online Identifier) 등의 식별자를 참조하거나, 하나 또는 그 이상의 신체적·생리적·유전적·정신적·경제적·문화적 또는 사회적 정체성에 대한 사항들을 참조해 식별할 수 있는 사람을 뜻한다. IP 주소, MAC 주소, 온라인 쿠키 를 통해 개인 식별이 가능한 경우 온라인 식별자에 해당하여 GDPR이 정하는 개인정보로 볼 수 있다.

적용 범위: EU에 사업장을 운영하며 개인정보 처리를 수반하는 경우를 포함해 EU에 사업장을 가지고 있지 않더라도 EU 거주 정보주체에게 재화와 서비스 제공 또는 EU 내 정보주체의 모니터링을 하는 경우도 GDPR을 준수해야 한다.

개인정보 주요 처리원칙
   - 적법성·공정성·투명성의 원칙
   
- 목적 및 보유기간 제한원칙
   
- 최소 처리원칙
   
- 정확성의 원칙
   
- 무결성 및 기밀성의 원칙
   
- 책임성의 원칙

강화된 정보주체의 권리: 정보주체의 권리 확대
   - 정보를 제공받을 권리
   
- 정보주체의 열람권
   
- 정정권
   
- 삭제권(잊혀질 권리)
   
- 처리에 대한 제한권
   
- 개인정보 이동권
   
- 반대할 권리
   
- 자동화된 결정 및 프로파일링 관련 권리

기업의 책임성 강화: 기업은 GDPR 정책을 채택해 시행해야 하고, 개인정보 처리활동을 기록해야 하며, 리스크가 있는 처리 활동 전에 영향평가를 실시해야 하고, 데이터 보호 최고 책임자(DPO)를 지정할 의무가 있다.

개인정보 침해발생 시 조치사항: 기업은 개인정보 침해 인지 후 72시간 이내에 감독기구에 알려야 하며 정보주체에게도 지체 없이 알려야 한다.

국외 이전: EU 시민의 개인정보는 GDPR의 규정에 부합할 경우(적정성 결정, 구속적 기업규칙(BCR), 표준계약 조항, 인증, 행동규약 등 적절한 보호조치가 있는 경우 등)만 EU 밖으로 이전할 수 있다.

과징금: 개인정보 처리 원칙, 동의요건, 국외이전 등 심각한 위반의 경우, 전 세계 연간 매출액의 4% 또는 2000만 유로 중 더 높은 금액이 과징금으로 부과된다. 그 외의 일반적 위반의 경우 전세계 연간 매출액의 2% 또는 1000만 유로 중 더 높은 금액이 과징금으로 부과된다.

GDPR 시행에 따라 EU에 진출했거나, 진출을 희망하는 기업은 GDPR이 시행되는 2018년 5월 25일까지의 기간 동안 GDPR이 규정하고 있는 보호조치를 마련하고, 의무 규정들을 준수하기 위한 대책을 적용해야 한다.

(자료: 베리타스코리아)

 



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.