유럽연합(EU)의 일반 개인정보보호법(GDPR)이 오는 25일 발효됩니다. 유럽 시장 진출이 활발한 국내 기업의 경우 철저한 준비가 필요한데요. 관련 법을 위반하면 과징금이 최대 248억원 또는 전세계 매출 4% 중 높은 쪽을 내야 합니다.
그런데 GDPR이 무엇인지 잘 모르겠다고요? 'General Data Protection Regulation'의 약자인데요. Regulation이라는 것은 규칙이라서 법적 구속력이 있다고 합니다. 우리 사정에 맞게 해석하면 그냥 법이라고 봐도 무방하다고 합니다. GDPR은 모든 EU 회원국에 직접적으로 적용되고 별도 입법이 불필요하죠.
또 EU 내 정보 주체의 정보를 처리하는 EU 역외의 기업에도 적용되므로 이 지역 정보 주체의 개인정보를 처리하는 국내 기업도 적용 대상입니다. 요즘 국내 모바일 게임들이 글로벌 시장에서 흥행하고 있는데요, 이런 회사들은 당장 적용 대상이므로 더욱 철저한 준비가 필요하겠습니다.
이제 GDPR에 대해 더욱 자세히 알아보겠습니다.
GDPR은 기업의 개인정보와 관련한 책임을 강화하고 정보 주체의 권리도 강화한 것이라 요약할 수 있는데요. 기업의 경우 개인정보 사용과 관련한 고지 및 동의 조건이 강화되며 DPO(Data protection officer) 지정, '프로세서'의 책임 강화 등을 주된 내용으로 하고 있습니다.
예를 들어 기업은 개인정보 처리의 적법성과 개인정보 처리에 대한 동의 방법의 구체성을 확보해야 하며, 만 16세 미만 아동 개인정보에 대한 강한 보호, 인종·가치관·노동조합 가입·건강·성적 취향 등 민감정보의 명시적 동의 없는 처리 금지 원칙 등을 준수해야 합니다.
이에 따라 일반 개인 등 정보 주체는 개인정보 관련 열람권, 삭제권(잊힐 권리), 처리 제한권, 이동권과 같은 권리를 보장 받을 수 있습니다.
앞서 언급한 과징금 부과는 다음의 11가지 기준에 따라 결정된다고 합니다.
▲위반의 성격, 중대성 및 지속 기간 ▲위반의 의도성 또는 태만 여부 ▲정보주체의 피해를 경감하기 위한 컨트롤러 또는 프로세서의 조치 ▲기술적·조직적 조치를 고려한 컨트롤러 또는 프로세서의 책임 수준 ▲컨트롤러 또는 프로세서가 이전에 범했던 관련 법규의 위반 여부 ▲위반을 해결하고 위반으로 인한 부정적 영향을 경감하기 위한 감독기구와의 협조 수준 ▲위반으로 인해 영향을 받는 개인정보의 종류 ▲감독기구가 위반을 인지하게 된 경위, 특히 컨트롤러 또는 프로세서의 위반 통지 여부 ▲동일한 사안에 대하여 컨트롤러 또는 프로세서에게 감독기구의 명령이 부과된 바가 있는지 여부 ▲승인된 행동 강령 또는 인증 매커니즘의 준수 여부 ▲위반으로 인해 직간접적으로 얻은 금전적 이익 또는 회피한 손실 등 가중 및 경감 요소 등입니다.
이런 기준 가운데 프로세서, 컨트롤러라는 개념이 생소할 수 있는데요.
컨트롤러는 개인정보의 처리 목적 및 수단을 단독 또는 제3자와 공동으로 결정하는 자연인, 법인, 공공 기관, 에이전시, 기타 단체 등을 의미하고, 프로세서는 컨트롤러를 대신해 개인정보를 처리하는 자연인, 법인, 공공 기관, 에이전시, 기타 단체 등을 뜻합니다.
사실 GDPR의 적용 기준 등은 각각 사례에 따라 굉장히 다양하게 해석 가능할 텐데요. 한국인터넷진흥원(KISA)에 따르면 국내 대기업의 경우 GDPR에 대한 학습이 상대적으로 잘 이뤄지고 있다고 하지만 중소기업이나 스타트업의 경우 이에 대한 대비가 부족한 것으로 파악되고 있습니다.
특히 스타트업은 창업 초기 단계부터 글로벌 시장을 겨냥하는 경우가 있으나 내부 법무팀 구성 등 해외 법 관련 준비는 여의치 않을 수 있으니 KISA 등 전문 기관과의 기본적인 상담이 필요하고요. 그렇다고 KISA가 만능은 아니므로 더욱 복잡한 법적인 해석은 민간 로펌 등의 자문을 얻는 것이 좋을 것입니다.
