우리나라 개인정보보호법은 사고 시 반드시 본인에게 알리도록 하고 있으나 GDPR에서는 개인의 자유를 침해할 위험이 낮은 경우 본인에게 통지하지 않아도 되며 당국에만 통보하면 된다. 이 경우 사고의 위험이 낮다고 판단한 근거를 분명하게 남겨놔야 나중에 분쟁이 생겼을 때 근거자료로 사용될 수 있다.
데이터 유출 사고를 인지한 후, 유출된 데이터를 파악하고, 피해 확산을 차단하며, 유출된 데이터로 인해 어떤 피해가 발생할지 예측·분석하고, 어떤 근거로 해당 피해가 심각하지 않다고 판단했는지 구체적으로 밝혀놓아야 한다.
권현준 한국인터넷진흥원 개인정보정책단장은 “GDPR 준수를 입증하기 위해 상시적으로 기록하고 유지해야 한다. 얼마나 진지하게 개인정보를 처리했는지가 과징금 부과의 기준이 되기 때문”이라고 설명했다.
GDPR에서는 개인정보 보호 책임자인 DPO를 지정하도록 돼 있는데, DPO 역시 우리나라의 개인정보보호 최고 책임자(CPO)와 성격이 다르다. DPO는 핵심 비즈니스에서 대량의 민감 정보를 처리하는 기업은 의무적으로 지정해야 하며, GDPR에 대한 전문적인 지식을 갖고 있어야 하고,다른 임원의 간섭을 받지 않는 위치에 있어야 한다.
개인정보 국외이전의 경우, EU 적정성평가 국가로 지정되면 개인정보가 이동할 때 별도의 동의를 받지 않아도 된다. 적정성평가는 EU가 해당 국가의 개인정보보호 수준이 GDPR과 비슷하다고 판단한다면 화이트리스트로 지정하는데, 우리나라와 일본이 최우선 대상 국가로 지정돼있다.
KISA, 유럽 GDPR 지원 센터 설립 추진
정부는 우리나라 기업의 GDPR 대응을 지원하기 위해 월 2회 세미나를 진행하고 있으며, 한국인터넷진흥원 홈페이지를 통해 EU에서 발표한 가이드라인과 베스트 프랙티스 등을 번역해 제공하고 있다. 또한 내년에는 유럽 현지와 국내에에 GDPR 대응 지원센터를 개소해 직접 지원할 예정으로, 중소기업과 스타트업 지원을 확대해 나갈 방침이다.
우리나라는 개인정보보호법으로 인해 개인정보 관리가 비교적 잘 돼 있는 편이라고 자신하지만, 사고로부터 안전하다고 과신해서는 안 된다. 클라우드나 외부 협력사 등과 공유하는 개인정보 관리 문제나 개인정보 이동과 활용의 투명성 및 가시성을 확보하지 못한다면 GDPR 위반이 될 수 있다.
KISA가 국내 주요 온·오프라인 기업 개인정보보호 담당자 5명을 심층인터뷰한 결과, 이들은 공통적으로 GDPR에 대한 정확한 법률 해석이 미비한 상황이라고 인식하고 있었다. 개인정보 역외이전에 대해서도 대비책을 마련해둔 상태이지만, 예측하지 못한 상황이 발생할 것을 부담스러워하고 있으며, 유럽에서의 기업 활동을 활성화 할 수 있도록 정부차원의 적정성 승인을 완료해 줄 것을 요청하고 있다.
이 조사에 응한 기업은 10명의 개인정보보호 담당 인력이 있으며, 40억원의 예산을 사용하고 있고, 유럽 현지 로펌과 GDPR 대응을 위한 협력을 맺었거나 계약을 진행하고 있다고 밝혔다.
