1차 GDPR 가이드라인은 이날 서울 프레지던트 호텔에서 열리는 ‘우리 기업을 위한 GDPR 세미나’를 통해 공개되고, 온라인과 현장배포 등을 통해 기업들에게 대응전략을 소개한다.

한국인터넷진흥원(KISA)에 따르면 1차 GDPR 가이드라인은 ▲발간 배경 및 GDPR 시행에 따른 주요 변화 ▲GDPR 인식 제고·준비 ▲기업 책임성 강화 ▲정보주체 권리 강화로 구분된다. GDPR 인식 제고·준비에서는 GDPR 준수를 위한 인식제고, 적용범위, GDPR 준수 검토 및 모니터링에 대해 공유한다.

기업 책임성 강화 부분에서는 ▲데이터 프로텍션 바이 디자인 앤드 디폴트(Data Protection by Design and Default) ▲개인정보 영향평가(DPIA) ▲데이터보호 책임자(DPO) 임명 ▲개인정보 국외이전 ▲신임 감독 기구 파악에 대한 내용을 확인할 수 있다.

데이터 프로텍션 바이 디자인 앤드 디폴트는 미국에서 말하는 프라이버시 바이 디자인과 비슷한 개념으로 이해하면 된다. 개인정보를 보호하는 시스템을 설계 단계부터 내재화하라는 의미다.

채승완 KISA 개인정보정책단장은 “개인정보를 관리하고 모니터링할 때 유리하며, 언제 어디서나 데이터를 시시각각 관리하고 통제할 수 있는 시스템이 필요하다”며 “처음부터 데이터 프로텍션 바이 디자인 앤드 디폴트 기준으로 설계해 준비를 철저히 해야 한다”고 말했다.

고위험군의 데이터를 관리할 때는 개인정보 영향평가를 거쳐야 한다. 민감한 정보, 대규모 정보, 시스템을 이용한 감시 등에 활용되는 데이터에 대해서는 미리 영향평가를 받고 개인정보 수집·저장·이용을 해야 한다.

채 단장은 “국내에서는 개인정보보호 시행령에 따라 공공부문의 경우 데이터 규모에 따라 영향평가와 비슷한 제도를 시행하고 있으며, 민간은 자율적으로 수행하도록 한다”며 “그러나 GDPR에서는 DPIA를 시행해야 하는 9개의 고위험군 데이터를 명시하고 있으며, 설명회를 통해 이해하기 편하도록 알릴 예정”이라고 설명했다.

이날 설명회에서는 국외이전에 대한 내용도 다룬다. GDPR은 적합한 보호 수준을 준수했다고 판단한 국가를 제외하고는 국외이전을 원칙적으로 금지하고 있다. 만약, 국내 기업이 GDPR 규정에 따르지 않고 EU 국민들의 정보를 다루게 되면 막대한 과징금에 직면할 수 있다. GDPR 위반 때 전세계 연간 매출액 4% 또는 2000만유로 중 더 높은 금액을 부과한다.

EU 국민의 데이터를 이용하거나, EU와 거래하는 기업, 서비스를 제공하는 국내 기업 모두 대상인 만큼 ‘국외이전’에 대한 조항은 GDPR에서 가장 기업들이 관심 있는 조항 중 하나다.

채 단장은 “EU 집행위 측에서 국외이전 가이드라인을 곧 제시할 예정”이라며 “기업들과 각 국가들의 문의가 많은 만큼, 회원국들의 검토를 거친 후 연말 또는 내년 초에 발표될 것으로 예상하고 있다”고 말을 보탰다.

정보주체 권리강화에서는 삭제권(잊힐 권리), 개인정보 이동권, 자동화된 결정 및 프로파일링 관련 권리에 대해 알린다. 1차 가이드라인에 이 세 가지 권리부터 소개하는 이유는 개인정보보호법에 없는 부분이기 때문이다.

채 단장은 “1차 가이드라인을 통해 기업들의 GDPR 대응에 도움이 되기를 바란다”며 “개인정보 국외이전·동의와 관련한 EU 측의 가이드가 제시되면 내년 상반기 최종 가이드라인을 내놓을 계획”이라고 전했다.

<최민지 기자>cmj@ddaily.co.kr