• 검색

'문턱 낮아진' EU 개인정보 역외 이전…"방심 말아야"

  • 2021.04.25(일) 12:00

유럽 정보보호와 동등한 수준 제도 '첫걸음'
과징금 철퇴 걱정 덜어…"대비책 갖춰야"

한국 기업이 유럽연합(EU)에서 별도 비용·절차 없이도 EU 시민의 개인정보를 자유롭게 이전할 수 있는 길이 곧 열림에 따라 개별 기업이 개인정보 보호 역량을 더 체계적으로 갖춰야 한다는 주장이 제기됐다.

25일 정수연 한국인터넷진흥원 개인정보협력팀 책임은 "한국이 지난달 말 EU로부터 'GDPR 적정성 초기 결정'을 받은 데 이어 연내 GDPR 최종 결정을 받으면 한국 기업이 EU시민의 개인정보를 역외로 자유롭게 이전할 수 있다"면서도 "최종 결정을 받는다고 해도 GDPR을 준수하지 않아도 되는 것은 아니다. 더 체계적으로 개별 기업이 GDPR 컴플라이언스를 준수해야 할 것"이라고 강조했다.

빠르면 올해 안에 EU GDPR 적정성 최종 결정이 내려지면 한국 기업은 표준 계약 조항(SCC)와 같은 별도 절차를 거치지 않고도 EU 시민의 개인 정보를 국내로 들여올 수 있다.

다만 개인정보 역외이전 과정에서 각 기업이 개인정보 보호 규정을 위반하면 막대한 과징금을 내야 한다. 기업이 EU에서 거둔 매출만이 아닌 세계에서 벌어들인 연매출의 4% 또는 2000만유로(269억원) 가운데 더 높은 금액이 과징금으로 산정된다. 

정 책임은 EU에서 사업을 진행하는 한국 기업들이 거액의 과징금을 부과받지 않기 위해 조직 차원의 적극적인 노력이 필요하다고 주문했다.

그는 "개인정보를 저장·이용·운영하기 위해서는 해당 부서만이 아닌 경영진을 비롯한 조직 차원의 적극적인 관심이 필요하다"고 말했다.

또 정 책임은 EU법상 개인정보 보호 준수 규정이 명확하지 않아 개별 기업이 이에 대한 대비책을 갖춰야 한다고도 언급했다.

정 책임은 "국내 법과 달리 EU 법은 사업자가 개인정보 보호를 위해 어떤 조치를 취해야 할지를 명확히 기술하지 않았다"며 "사업자에 정보 보호 책임 의무를 일임하되 문제가 생겼을 때 얼마나 체계적으로 보안조치를 취했는지에 대해 감독기구가 검토하는 것"이라고 EU GDPR에 대해 설명했다. 

한국 기업이 EU법에 대응하기 위해 정 책임은 "각 기업은 원칙에 따라 최소한, 꼭 필요한 정보만 수집했는지, 개인정보를 처리하고 이를 삭제했는지 등을 확인할 수 있는 역량을 갖춰야 한다"고 말했다.

윤재석 한국인터넷진흥원 개인정보협력팀 팀장은 개인정보 보호에 있어 기록 관리의 중요성을 강조했다. 그는 "개인정보 유출 등 사고가 발생할 경우 EU 감독기구가 조사에 착수한다"며 "이때 개인정보를 관리 및 처리하는 여러 수준·방법에 대해 상세하게 기록하면 기업 책임이 상당부분 경감된다"고 조언했다.

naver daum
SNS 로그인
naver
facebook
google