[디지털데일리 최민지기자] 유럽 일반 개인정보보호법(GDPR)이 내년 5월 시행을 앞두고 있다. 유럽연합(EU)을 대상으로 비즈니스를 하는 모든 곳에 적용되기 때문에 한국도 예외는 아니다. 이를 위반할 경우 전세계 연간 매출액 4% 또는 2000만유로(한화 약 250억원) 중 더 높은 금액을 과징금으로 부과한다. 국내기업들의 재빠른 대응태세가 필요한 대목이다.

이는 정부가 GDPR 가이드라인을 발간키로 한 이유이기도 하다. 행정안전부와 한국인터넷진흥원(KISA)은 GDPR에 기업이 원활하게 대응할 수 있도록 10월말~11월초에 1차 가이드라인을 배포하고 내년 초에 최종 가이드라인을 내놓기로 했다.

GDPR 규제 대상 여부 판단기준, 정부주체의 권리 및 기업 책임성 강화조치, 개인정보 국외 이전 등 주요 쟁점사안을 중심으로 우선적으로 기업 대응 프로세스를 알리고, 개별 사례 및 기업 질의 사항을 반영해 최종 가이드라인을 만들기로 한 것.

정부까지 팔을 걷고 대응하기 위해 나선 GDPR, 실제 시행까지 7개월가량 남은 상황에서 한국기업들은 어떻게 GDPR에 대처해야 할까? 이와 관련 <디지털데일리>는 법무법인 민후의 김경환 대표변호사<사진>와의 질의응답을 진행했다.

김경환 변호사는 “GDPR의 의미는 매우 큰데, 다시 말하면 GDPR의 제기한 문제의식과 방향은 향후 많은 나라에 영향을 미칠 것”이라며 “그런 의미에서 GDPR의 준수는 미래 규제에 대한 준비라 할 수 있기 때문에 GDPR에 좀 더 큰 관심을 가져야 할 것”이라고 강조했다.

다음은 김경환 법무법인 민후 대표변호사와의 일문일답.

-EU GDPR과 국내 개인정보보호법 간 가장 큰 차이점은 무엇인가?

▲EU GDPR은 국가연합 체제의 통일적 적용을 위한 조문이 다수인 반면, 국내 개인정보보호법에서는 그런 조항이 없다. 그게 가장 큰 차이지만, 실질적으로 구체적인 개인정보보호 규범은 큰 틀에서는 차이가 없다. 다만 GDPR은 프로파일링 등 최근의 개인정보 활용 추세를 많이 반영하거나 또는 빅데이터 등의 흐름이 잘 반영됐다면, 국내 개인정보보호법은 최근의 활용 추세에 대해서는 침묵하고 있는 점이 개인정보적으로는 다른 점이다.

-국내 기업과 정부는 현재 EU GDPR을 어느 정도 준비하고 있다고 생각하는가?

▲일부 글로벌 기업 중심으로 준비를 하고 있지만, 아직 공공이나 민간 모두 준비가 돼 있지 않다고 본다. 예를 들어 역내 대리인이라든지, 개인정보보호책임자(DPO) 등은 지금이라도 준비할 수 있는 영역인데, 그에 대한 준비가 제대로 되지 않고 있다는 생각이다. 베리타스 조사 결과에 따르면 국내 응답자 61%는 기한 내 GDPR 규정 준수를 위한 대비를 마칠 수 있을지 모르겠다고 답했다고 하는데, 이것이 그 단면을 보여주는 예다.

-EU GDPR에서 주의 깊게 살펴봐야 하는 부분은?

▲GDPR은 가명처리에 관심이 많다. 빅데이터 처리를 위해서 필수적인 비식별화 개념인 가명처리에 큰 관심을 보이고 있다는 점이 눈에 들어온다. 더불어 GDPR은 개인정보보호조치 불준수에 대해 과징금 등의 강력한 제재 조치를 도입했다. EU에서 서비스를 하고 있는 국내 기업이 가장 주의해야 할 부분이다. 하지만 모든 불준수 행위에 대하여 과징금 부과가 되는 것이 아다. 이에 행위 태양을 미리 습득해 놓는 게 좋다. 또, 정보주체의 권리보장이 추가됐다. 예컨대 프로파일링에 대한 권리, 약한 잊혀질 권리로서 삭제권, 정보이동권 등이 있다.

-국내 기업과 정부가 EU GDPR에 대처해야 하는 이유는?

▲현실적으로 GDPR은 역외 적용이 된다. 즉 EU 정보주체에게 서비스를 제공하는 국내 기업은 역외 적용 대상이 되기 때문에 GDPR의 강력한 제재를 받을 수 있다. 역외 적용이 된다는 것은 EU 정보주체에게 서비스를 제공하는 국내 기업에게 직접적으로 GDPR이 적용된다는 것을 의미한다. EU 정보주체에게 서비스를 제공하는 기업은 EU 역내에 대리인을 설정해야 하는 의무가 있다. 그 외에 개인정보보호책임자(DPO), 개인정보영향평가제도(PIA) 등에 대해서도 관심을 보여야 한다.

-EU GDPR에 대응하기 위해 가장 먼저 선결돼야 하는 조건은?

▲GDPR의 새로운 제도에 대한 이해다. 새로운 제도가 어떠한 영향을 주는지에 대한 철저한 분석이 있어야 한다. 이 과정에서 기술전문가나 법률전문가 등의 도움을 받으면 좋다.

-GDPR과 관련해 국내법을 정비해야 한다는 주장이 나오고 있다.

▲단순히 GDPR이 나왔으니 우리도 따라가야 한다는 주장은 바람직하지 않다. 다만 GDPR은 새로운 기술현상이나 개인정보 활용 실태에 맞춰 정보주체에게 새로운 권리를 인정하고 더불어 더 강력한 보호체계를 유지하도록 조치했다. 그 가운데 가명처리 등의 활용도 신경을 썼다. 그런데 국내 개인정보보호법령은 이러한 인식 이해가 약하다. 사회가 바뀌면 법도 바뀌어야 하는데, 새로운 기술현상이나 개인정보 활용 실태에 업데이트가 돼 있지 않는 게 현실이다. 이에 새로운 기술현상이나 개인정보 활용 실태에 맞춰 전면 개정할 필요성이 매우 큰 게 사실이다.

-GDPR을 통해 얻을 수 있는 이점은 무엇입니까?

▲GDPR은 규제적 측면도 있지만 개인정보 활용적 측면도 신경썼다. 이 부분에서 일단 국내 기업이 얻을 수 있는 이점이 있을 것이고, EU 내의 모든 나라에서 동일한 법령이 적용되기 때문에 이제 각 EU 회원국의 세부 법령에 맞춰 서비스를 할 필요가 약해졌다. 물론 각 회원국의 재량에 따라 처리될 수 있는 부분이 있지만 그대로 대체적으로 법령이 통일화되고 일원화됐다는 점은 큰 이점이다.

<최민지 기자>cmj@ddaily.co.kr