유럽연합(EU) 일반 개인정보보호법(GDPR)은 단연 올해 기업들이 주목하는 주요 이슈다. EU를 대상으로 사업을 하거나 EU 국민들의 정보를 수집·취급하는 모든 비즈니스에 적용되는 만큼, 한국기업들도 촉각을 곤두세우고 있다. GDPR 시행까지 겨우 5개월가량 남았지만, 상당수 기업이 이에 대한 준비가 미흡한 실정이다. 현재 과징금 등 제재에만 관심이 쏠려있지만, 제대로 접근한다면 새로운 수익모델을 모색하고 기업 내 정보관리 정책을 효과적으로 수립할 수 있는 기회다. <디지털데일리>는 새해를 맞아 본격 카운트다운에 돌입한 GDPR에 대해 분석하고 국내 기업들에게 필요성을 제고하는 한편, 성공적인 대응을 위한 방법 등을 제시하는 자리를 마련했다. <편집자주>

[디지털데일리 최민지기자] 유럽의 일반개인정보보호규정(GDPR)이 오는 5월25일 시행된다. 기업들이 대처할 수 있는 기간이 약 137일 남았다. 발 등의 불이 떨어진 셈이다. 국내외 기업들도 GDPR 대응의 중요성을 인지하고 있지만, 차질 없이 준비가 완료됐냐는 질문에 자신감 있게 답할 수 있는 기업은 거의 없다고 봐도 무방하다.

‘베리타스 2017 GDPR 보고서’에 따르면 응답자 31%만이 소속기업이 GDPR의 주요 요건을 준수하고 있다고 답했는데, 세부 조사 결과 GDPR의 세부 조항까지 준수하고 있는 기업 비율은 단 2%에 불과했다.

정부도 이런 상황을 잘 알고 있다. 이에 행정안전부와 한국인터넷진흥원(KISA)은 지난달 ‘EU GDPR 1차 가이드라인’을 공개했다. 개인정보 국외이전, 인증·동의 등 기업들이 궁금해 하는 주요 세부사항은 EU 집행위 측에서 가이드라인을 발표하지 않은 관계로 자세한 사항은 제외됐다. 그러나 선제적 대응과 내부 대응체계 확립을 위해 1차 가이드라인부터 내놓게 됐다.

올해는 GDPR이 시행되는 해인만큼, 상당수 기업들의 GDPR 준비가 시급하다. 이에 현시점에서 참고할 수 있는 안내서인 이번 가이드라인을 되짚었다.

◆GDPR 적용범위부터 확인해야=기업은 물적, 지역적, 인적 관점에서 GDPR 적용범위에 해당되는지부터 확인해야 한다. 정보주체의 국적이 아닌 위치가 기준이기 때문에 시민권과 무관하게 EU에서 거주하고 있다면 GDPR 저촉을 받게 된다.

가이드라인에 따르면 개인정보가 자동화된 수단에 의해 처리되고, 자동화된 수단이 아니더라도 파일링 시스템의 일부를 구성하거나 이를 목적으로 하는 개인정보 처리라면 GDPR에 적용된다. 익명정보는 개인정보에 해당되지 않는다.

EU 외의 지역에서 개인정보를 처리하더라도 EU 정보주체에게 재화나 서비스를 제공하거나, 정보주체가 수행하는 활동을 모니터링한다면 GDPR 요건을 갖춰야 한다. EU 내 대리인을 지정하는 것도 필요하다.

EU 회원국의 언어와 통화 등을 사용하는 기업도 포함된다. GDPR은 정보 주체의 위치를 기준으로 보기 때문에 달러·영어를 활용하면 규제 대상으로 보지 않으나, 프랑스어·독일어 등으로 홈페이지를 구성하면 규제 대상에 속하게 된다.

GDPR은 특정 개인을 식별할 수 있는 정보만을 개인정보로 정의한다. 예를 들어, 이동수단에 탑승하고 있는 사람을 특정할 수 있다면, 이 기계가 수집하는 지리적 정보는 해당인의 신원을 파악할 수 있는 개인정보다. 일례로, 고정 IP는 개인정보지만 매번 변경되는 유동 IP는 사용자 개인으로 연결하기 어렵기 때문에 개인정보가 아니다.

법인의 정보나 사망한 사람도 적용대상이 아니다. EU 공통의 해외·안보정책과 관련된 활동 및 관할 감독기구가 범죄 및 예방, 수사, 탐지, 기소 등의 목적으로 수행하는 활동도 예외로 규정된다.

◆‘DPO’ 꼭 필요한가요?=데이터보호담당자(DPO)는 개인정보보호활동을 이끌어간다. 조직 내에서 지정할 수도 있고, 조직 외부에서 계약을 통해 확보 가능하다. 동일한 개인정보 처리활동에 관여하는 사업체 그룹은 1인의 DPO를 지정할 수 있다.

DPO 임명 요건을 따질 때는 핵심활동부터 파악해야 한다. 개인정보 처리가 공공기관이 단체에 의해 수행되거나, 정보주체에 대한 대규모의 정기적인 체계적인 모니터링을 요구하거나, 대규모의 민감정보 또는 범죄경력 관련 정보의 처리로 구성됐다면 반드시 DPO를 지정해야 한다.

GDPR에서 민감정보는 국내보다 훨씬 포괄적이다. 인종·민족, 정치적 견해, 종교·철학적 신념, 노동조합의 가입여부를 드러내는 개인정보, 유전자정보, 바이오인식 정보, 건강 관련 정보, 성생활·성적취향 정보 등이 포함된다.

의료서비스를 제공하는 병원은 개인의 건강정보를 반드시 활용하기 때문에 DPO를 지정해야 하지만, 제조업체의 핵심활동은 제품 생산·판매이며 이 과정에서 대규모 개인정보 수집 등이 동반되지 않는다면 DPO를 임명하지 않아도 된다. 다만, 지정 유무에 상관없이 관련 결정을 내린 사유를 문서화해야 한다.

◆정보 유출 사고 발생 때 대처자세=EU 역내의 개인정보가 합법적으로 국외이전된 경우, 한국에서 발생한 정보 유출 사고에 대해서는 한국법에 근거해 처벌된다. 단, 기존의 EU에서 활용된 정보가 한국으로 이전된 후 유출됐다면 GDPR에 근거해 제재가 가해질 수도 있다.

개인정보 유출사실을 인지한 때부터 가능한 72시간 내 감동 당국에 신고해야 한다. GDPR은 자유와 권리에 대한 침해정도를 기준으로 삼기 때문에 얼마나 유출됐느냐보다, 무엇이 유출됐는지가 더 중요하다.

과징금 규모는 기업사 전체 매출액을 기준으로 하며, 11가지 기준을 고려해 산정된다. 심각한 위반의 경우 직전 회계연도의 전세계 매출액 4% 또는 2000만유로 중 더 큰 금액으로 결정된다. 이는 최대치로, 장기간 의도적으로 발생한 중대한 침해 사례에만 고려된다.

이 때문에 인식제고가 중요하다. 이번 가이드라인 집필진 중 한 명인 이진규 네이버 이사는 “개인정보처리원칙은 GDPR에서 반드시 준수해야 하며, 처벌수위를 결정하는 의무사항”이라고 밝힌 바 있다.

개인정보처리 6대 원칙은 ▲개인정보 최소화의 원칙 ▲목적 제한의 원칙 ▲보관기간 제한의 원칙 ▲적법성·공정성·투명성의 원칙 ▲정확성의 원칙 ▲무결성·기밀성의 원칙이다. 국내 개인정보보호법과 정보통신망법 등에서는 선언적 내용에 그치고 있지만, GDPR에서는 문제가 발생하면 원칙 준수와 함께 이러한 활동을 위한 문서와 기록을 보고 처벌 수위를 정한다.

의사결정권자는 GDPR 준수를 위한 인식활동을 시작해야 하며, 경영진은 법규 준수 의지를 위한 공식적 선언을 해야 한다. 모든 개인정보 처리 과정에 6대 원칙을 고려해 체계적인 기록도 필요하다.

이 외에도 ▲설계단계부터 기술적으로 프라이버시 보호 ▲개인정보영향평가(DPIA) ▲자동화된 결정 및 프로파일리 관련 권리 등이 가이드라인에 포함돼 있다. 오는 5월 이전 EU 제29조 작업반에서 ▲개인정보 국외이전 ▲인증·투명성·동의 ▲유럽 개인정보보호 이사회 구조 등을 담은 가이드라인을 발간하며, 국내에서도 이를 반영한 최종 가이드라인을 선보일 방침이다.

<최민지 기자>cmj@ddaily.co.kr