유럽연합(EU) 개인정보보호규정(GDPR)이 25일 시행됐다. 일부 대기업을 제외한 국내 기업 상당수가 불안감 속에 GDPR 적용 시대를 맞았다.
법이 시행되자마자 구글과 페이스북이 제소를 당했다. 영국 BBC 등 외신은 개인정보보호단체 'Noyb'가 프랑스, 독일, 오스트리아, 벨기에 등에서 구글과 페이스북, 인스타그랩, 왓츠앱 등 GDPR 위반으로 제소했다고 보도했다. Noyb는 “구글과 페이스북 등 서비스를 이용하려면 개인정보 사용에 무조건 동의해야 한다며 GDPR 위반”이라고 주장했다.
GDPR는 EU 회원국 전체에 직접 적용하고 구속력을 갖는 개인정보보호법이다. 법 위반 시 과징금 등 행정처분이 부과돼 EU와 거래하는 국내 기업도 이 법에 위반되지 않도록 주의해야 한다.
EU 거주민의 개인정보를 처리하면 GDPR가 적용된다. 지점과 판매소, 영업소 등 EU에 사업장을 운영하는 기업부터 사업장이 없어도 인터넷 사이트를 통해 EU 거주민에게 물품과 서비스를 제공하는 곳은 모두 해당된다. EU거주민 행동을 모니터링하는 기업도 대상이다.
EU거주민의 건강, 유전자, 범죄경력 등 민감 정보를 처리하거나 아동 정보를 처리하는 기업은 특별한 주의가 요구된다. 이외 공개적으로 접근 가능한 장소를 대규모로 모니터링하는 CCTV 기업 등이 포함된다.
예를 들어 교육기업이 EU 내 스페인과 포르투칼권 대학에 강좌를 개설하고 서비스 제공을 위해 ID와 비밀번호를 요구하면 GDPR 대상이다. EU 역외 설립된 기업이 EU 역내 정보 주체를 구체적으로 겨냥하지 않은 상황에서 EU 거주민이 서비스를 활용할 때 GDPR는 예외다. 기업이 EU거주민을 상대로 적극 사업을 펼칠 때만 GDPR가 적용된다.
GDPR는 개인정보보호 기업 책임과 정보 주체 권리를 강화했다. 기업은 고지와 동의 조건을 강화해야 한다. 데이터보호전문가(DPO) 지정과 개인정보 유출 통지 신고제가 도입된다.
◇국내 기업 준비 상태는, DPO 선임도 안 해
국내 기업은 GDPR 눈치작전에 한창이다. 국내 주요 기업에 GDPR 컨설팅을 하는 A관계자는 “EU에서 사업을 하는 일부 대기업도 아직 GDPR 대비를 못했다”고 지적했다. 이어 “본사 대응 없이 해외 지점에만 GDPR 대비를 시킨 곳도 많다”면서 “경쟁사 GDPR 대응 컨설팅 동향을 보면서 가능하면 늦게 하자는 분위기”라고 덧붙였다. EU와 무역 등 상거래를 하는 대기업조차 GDPR 대응이 미흡한 상태로 해석된다.
A관계자는 “GDPR 대응 핵심 고려사항은 DPO 지정 등 개인정보보호 조직, 정보주체 동의와 철회, 정보유출 고지, 국가 간 정보전송, 수탁사 관리 등 11가지 핵심 사안을 고려해야 한다”면서 “1단계인 DPO도 지정하지 않은 곳이 수두룩하다”고 말했다.
DPO는 컨트롤러와 프로세서의 개인정보 처리 활동 전반을 자문하는 전문가다. 개인정보 조직관리 체계를 만들고 임직원 교육에서 감독기관과 소통 업무를 한다. 컨트롤러는 개인정보 처리 목적과 방법을 결정하는 주체다. 프로세서는 컨트롤러 대신해 개인정보를 처리하는 주체다. 프로세서 책임과 의무는 양자 간 서명 계약서에 명시돼야 한다.
한 기업이 급여 관리 대행사와 직원 임금 관리 업무 계약을 맺었다. 대행사가 IT시스템을 구축해 직원 정보를 처리하면 업무를 요청한 기업이 컨트롤러가 된다. 급여 대행사가 프로세서다.
기업은 DPO를 조직 내부 직원으로 임명하거나 외부 서비스로 계약해도 된다. DPO는 기업으로부터 업무상 지시를 받지 않고 최고 경영진에게 직접 보고하는 권한이 보장돼야 한다. DPO를 반드시 임명해야 하는 곳은 민감정보를 대규모로 처리하는 병원이 해당된다. 쇼핑몰이나 공공장소를 모니터링하는 보안회사, 개인 프로필을 축적하는 헤드헌팅 기업도 DPO를 임명해야 한다.
환자정보를 처리하는 의사 개인이나 고객 정보를 처리하는 소규모 법무법인은 꼭 DPO를 임명하지 않아도 된다.
◇개인정보보호 역량 내재화가 관건
GDPR는 한국 개인정보보호법과 달리 특정 기술적 보호조치를 언급하지 않는다. 국내 기업은 이런 이유 때문에 GDPR 대응에 혼란을 겪는다. 한국 개인정보보호법은 특정 데이터 암호화 등 기술 보호조치를 구체적으로 명시했다. GDPR 대응은 몇 개월 등 단기간에 끝나지 않는다.
EU에서 금융업을 하는 대기업은 2016년 말부터 GDPR 대응에 착수했지만 여전히 진행 중이다. 이 기업은 개인정보보호 전담 인력 20명을 두고 관련 예산을 40억원 투자했다. DPO는 현지 로펌 대표를 활용하는 방안을 세웠다. GDPR 준비에 든 예산은 15억원이다.
정현철 한국인터넷진흥원 개인정보보호본부장은 “막연한 불안보다 먼저 적용 대상인지 파악해야 한다”면서 “GDPR에서 요구하는 개인정보보호 수준이 기업과 얼마나 차이가 있는지 분석하고 이를 줄이는 프로세스를 만들어야 한다”고 말했다.
대상 기업은 DPO를 지정한 후 개인정보 관리체계를 가동해야 한다. 본사와 해외본부에 개인정보보호 조직활동 방안을 수립하고 기술적 보호조치를 적용한다. 한 번 방안을 마련한 것으로 끝나는 게 아니다. 지속해서 GDPR를 준수하려는 대응 체계를 고도화해야 한다.
개인정보 처리가 정보주체 자유와 권리에 높은 위험을 초래할 가능성이 있으면 개인정보 영향평가(DPIA)를 수행한다. 은행이 신용 정보를 활용해 고객을 검열하거나 병원에서 환자 건강정보를 포함해 새로운 건강 정보 데이터베이스(DB)를 구축하려면 개인정보 영향평가를 수행해야 한다. 버스 회사가 기사와 승객 행동을 감시하기 위해 차내 CCTV를 설치할 때도 개인정보 영향평가가 필요하다. 개인정보 영향평가는 처리 이전 단계에서 수행해야 한다. 해당 조치를 했는데도 위험이 있을 경우 감독 기구와 협의한다.
기업은 모든 프로젝트 초기 단계에서 개인정보보호를 중요 고려사항으로 삼아야 한다. 권현준 KISA 개인정보정책단장은 “라이프 사이클 전반에 걸쳐 개인정보 보호를 권장한다”면서 “개인정보 처리를 최소화하고 처리에 필요한 보호조치나 가명화 등을 해야 한다”고 설명했다.
김인순 보안 전문기자 insoon@etnews.com
