5월 25일 유럽 일반개인정보보호법(GDPR)이 시행된다. GDPR은 개인정보 유출 사고 시 막대한 과징금을 부과한다는 사실만이 부각되고 있지만, GDPR은 개인정보 주체의 결정권을 강화하면서 적법한 활용을 원칙으로 하고 있어 ‘막연한 불안감’에 시달릴 필요는 없다.
정현철 한국인터넷진흥원 개인정보보호본부 본부장은 “GDPR은 5월 25일 시행돼 유럽에서 비즈니스를 할 때 지속적으로 적용받는 규제이기 때문에 철저한 준비가 필요하다. 그러나 모든 개인정보 유출 사고마다 최고 수준의 과징금을 부과하는 것이 아니다”라며 “우리 기업이 적용 대상인지, GDPR에서 요구하는 개인정보 보호 정책과 현재 마련된 기업의 개인정보 보호 정책의 차이가 어떤 부분인지 살펴보고 이 차이를 줄여나가는 것이 급선무”라고 말했다.
명백하게 EU 타깃 활동 해야 GDPR 적용
GDPR 대응에 있어 가장 먼저 할 일은 GDPR 적용 대상인지 파악하는 것이다. 일부 법률회사, 컨설팅회사, IT 기업들이 GDPR에 철저하게 대응하지 않으면 중소기업, 온라인 쇼핑몰도 과징금 폭탄을 맞을 것이라고 주장하지만, 이는 지나친 주장이다.
EU 집행위원회 설명에 따르면 ‘정확하게 EU 시민을 타깃으로 한 비즈니스일 경우’ GDPR 적용을 받는다. 예를 들어 홈페이지를 영어로 제작하고, 제품/서비스 대금을 달러로 받도록 한 기업이라면, 이 기업에 유럽 시민이 가입했다고 해서 GDPR에 적용받는 것은 아니라는 설명이다. 그러나 홈페이지를 영어, 스페인어로 구축하고 스페인 국가 도메인을 별도로 만들었으며 유로로 비용을 받는다면 GDPR 적용을 받을 수 있다.
우리나라 병원이 영어, 중국어, 일본어 등의 언어를 지원하는 홈페이지를 만들고 해외 마케팅과 홍보활동을 했다면 GDPR 대상이 될까? 이 병원이 ‘명백하게’ 유럽을 타깃으로 한 마케팅·홍보 활동이 있었다면 GDPR 대상이 되지만, 단순히 유럽 시민이 이 병원을 이용했거나 홈페이지에 회원가입을 했다는 사실 만으로 GDPR 대상이 되지는 않는다.
O2O와 같이 다양한 기업과 고객을 연결해주는 플랫폼 사업자의 경우도 마찬가지다. 예를 들어 호텔 정보를 알려주고 숙박 예약을 도와주는 O2O 서비스 사업자가 유럽을 타깃으로 한 비즈니스 활동을 한다면 GDPR 대상이 된다. 글로벌 O2O 서비스 사업자라면 많은 경우 해당이 된다. 그러나 이 플랫폼에 가입한 개별 호텔 등은 별도로 판단해야 한다. 이 호텔이 유럽 시민 대상 타깃 비즈니스를 했다면 GDPR 적용을 받게 된다.
권현준 개인정보정책단장은 “지난해 EU 집행위원회와 간담회를 통해 이 부분에 대해서는 명백한 답을 얻었다. 단순히 유럽 시민이 서비스에 가입했다는 사실 만으로 GDPR 적용 대상이 되는 것이 아니라, 명확하게 EU를 타깃한 비즈니스를 했을 때 적용된다. EU 시민이 호텔에 투숙했다고 GDPR 적용을 받는 것은 아니지만, EU 시민에게 적극적인 홍보·마케팅 활동을 했다면 적용을 받을 것”이라고 말했다.
그는 “다만 모바일 게임, 온라인 게임 등의 글로벌 퍼블리싱은 GDPR 적용 대상이 되므로 주의해야 한다”고 덧붙였다.
GDPR, 지속적인 규제준수 노력 기울여야
GDPR은 5월 25일 정식 시행되기 때문에 유럽을 타깃으로 비즈니스를 하는 기업은 마지막 점검 작업을 철저히 해야 한다. 또한 GDPR은 시행 과정에서 지속적인 개정 작업이 이뤄질 것이므로 지속적으로 규제준수를 위한 노력을 기울여야 한다.
EU 각국에서는 자국에서 시행중인 개인정보보호법과 GDPR이 충돌하는 부분이 있어 자국 법을 개정해야 하는 문제도 있다. 현재 독일과 오스트리아는 GDPR에 맞춰 자국 법을 개정했으며, 다른 국가는 개정 작업을 진행 중이다. 일부 국가는 GDPR의 특정 조항을 개정해야 한다는 강력한 의지를 피력하기도 해 향후 지속적인 개정이 있을 것으로 보인다.
한국인터넷진흥원(KISA)이 4월 개최한 ‘EU GDPR 대응 포럼’에서 박노형 고려대 법학전문대학원 교수는 “진정한 의미에서 GDPR이 유럽연합 시장을 통합한 것은 아니다. 회원국마다 개인정보보호에 있어 다소 차이를 드러내고 있기 때문”이라며 “GDPR은 EU 전역에 직접 적용되지만, 공공당국에 대한 과징금 부과 여부와 수준, 피고용인의 개인정보 처리 등에 관해서는 회원국 법으로 규정하도록 허용하고 있어 해당 국가의 관련 법도 잘 살펴봐야 한다”고 조언했다.
성실한 관리자의 의무 다해야
GDPR은 심각한 위반 시 전 세계 매출의 4% 혹은 2000만 유로에 이르는 막대한 과징금을 부과하게 된다. 그래서 글로벌 기업들은 유럽 법인을 통해 GDPR에 대응하도록 하고 있으며 유럽 현지 로펌, 글로벌 로펌 등과 대응 준비를 진행하고 있다. 각 국가 정부들도 기업이나 기관의 GDPR 대응을 위한 지원 노력을 기울이고 있다.
만일 심각한 위반 사례가 있어 과징금이 부과된다면 국가간 무역분쟁으로 이어질 수도 있어 과징금을 어느 정도 강도로 적용할지 선례가 없어 지속적인 관심이 필요하다. EU에서는 과징금 부과의 기준을 11가지로 정리했는데, 이 모든 항목을 어겼을 때 ‘심각한 위반’이라고 판단하게 된다.
11가지 기준은 다음과 같다.
▲ 위반의 성격, 중대성 및 지속기간
▲ 위반의 의도성 또는 태만 여부
▲ 정보주체의 피해를 경감하기 위한 컨트롤러 또는 프로세서의 조치
▲ 기술적, 조직적 조치를 고려한 컨트롤러 또는 프로세서의 책임 수준
▲ 컨트롤러 또는 프로세서가 이전에 범했던 관련 법규의 위반 여부
▲ 위반을 해결하고 위반으로 인한 부정적 영향을 경감하기 위한 감독기구와의 협조 수준
▲ 위반으로 인해 영향을 받는 개인정보의 종류
▲ 감독기구가 위반을 인지하게 된 경우, 특히 컨트롤러 또는 프로세서의 위반 통지 여부
▲ 동일한 사안에 대하여 컨트롤러 또는 프로세서에게 감독기구의 명령이 부과된 바가 있는지 여부
▲ 승인된 행동강력 또는 인증 메커니즘의 준수 여부
▲ 위반으로 인해 직간접적으로 얻은 금전적 이익 또는 회피한 손실 등 가중 및 경감 요소
(자료: 과징금 부과 11가지 기준, 29조 작업반 가이드라인, wp253, KISA 정리)
권현준 KISA 개인정보정책단 단장은 “EU 가이드라인에 따르면 성실한 관리자의 의무를 다했다면 경감의 사유가 주어지게 된다. 개인정보 보호 의무를 다하려고 노력해고, 법규를 위반하지 않기 위해 감독기구와 협조했는지 등을 종합적으로 판단하게 될 것”이라고 설명했다.
