유럽연합(EU) 개인정보보호규정(GDPR)을 준수하지 않으면 막대한 과태료는 물론 제품과 서비스 수출 자체에 영향을 미칠 것으로 전망된다. EU 기업이 자체 GDPR 준수를 위해 공급 망에 있는 모든 기업에 같은 기준을 요구할 수 있다.

Photo Image
EU 역내에서 비즈니스 활동을 하는 모든 기업이 GDPR을 준수해야 한다. GettyImages

GDPR 시행이 두 달 앞으로 다가왔다. EU는 5월 25일부터 EU 거주민 데이터를 활용하는 모든 기업에 GDPR를 적용한다. 글로벌 로펌 DLA 파이퍼는 GDPR 적용 대상 기업이 예상보다 넓다고 분석했다.

이성훈 DLA 파이퍼 국제변호사는 “GDPR 시행 후 유럽 기업이 한국 기업과 계약할 때 규정 준수 여부를 요구할 수 있다”면서 “EU 거주민의 개인 정보 데이터를 직접 처리하지 않는 국가의 기업도 GDPR 영향을 받게 된다”고 설명했다.

EU 거주자의 개인 정보를 직접 다루지 않는 국내 기업도 GDPR 영향권에 들어간다. 예를 들어 EU에 사업장이 없고 한국에서 소프트웨어(SW)를 개발하는 A기업이 있다. EU 기업이 해당 SW를 도입하려고 할 때 A사에 GDPR 준수 여부를 묻는다. A기업이 GDPR를 준수하지 않으면 SW 납품을 제한한다. 유럽 기업은 공급 망까지 GDPR 기준을 적용할 가능성이 짙다. 만약의 개인 정보 유출 사고 발생 시 공급 망 보안까지 고려한 점 등이 반영되면 과태료나 소송에 유리하게 작용한다. EU는 GDPR를 심각하게 위반한 경우 2000만유로 또는 이전 회계연도 기준 매출액의 4% 가운데 높은 금액을 과태료로 부과한다.

Photo Image

이 변호사는 “글로벌 기업은 거래 관계 회사에 부정행위에 대한 내부 절차 여부를 확인한 후 계약한다”면서 “GDPR 준수 여부도 이 같은 형태가 될 수 있다”고 부연했다.

유럽에 판매할 제품은 처음부터 개인 정보 보호를 고려, 설계·개발해야 한다. 파트릭 판 에이커 DLA 파이퍼 파트너 변호사는 “한국 기업이 제품을 만들 때 개인 정보를 보호하는 형태로 설계해야 한다”면서 “제품과 서비스 기획 단계부터 '개인정보 중심 설계(Privacy by Design)'를 고려해야 한다”고 설명했다.

EU와 영업하는 국내 기업은 해당 국가 고객에게 수집한 개인 정보와 임직원 정보를 처리하는 과정이나 다른 지역으로 전송할 때 엄격한 통제 기준을 적용해야 한다.

유럽에 지사가 없지만 음악이나 영화 등 콘텐츠를 유럽 거주민에게 서비스하면 GDPR를 준수해야 한다. 유럽 지사가 한국 본사로 고객 정보 데이터를 보내려면 반드시 GDPR를 지켜야 한다. 데이터 전송 규약도 만들어야 한다. 한국 본사가 GDPR를 준수하지 않으면 지사에서 데이터를 받을 수 없다.

성경원 SK인포섹 팀장은 “EU 밖에서 EU에 있는 정보 주체에게 재화나 용역을 제공하는 경우 GDPR가 적용된다”면서 “EU 안에 있는 정보 주체가 하는 활동을 감시하는 경우도 해당한다”고 말했다.

Photo Image

김인순 보안 전문기자 insoon@etnews.com