[이슈분석]유럽개인정보보호규정(GDPR) 시행 100일 전, 얼마나 준비됐나

ⓒ게티이미지
<ⓒ게티이미지>

유럽개인정보보호규정(GDPR:General Data Protection Regulation) 시행이 100일 앞으로 다가왔다. GDPR를 어길 시 과징금이 부과돼 기업이 타격을 받는다. 대응책 마련이 시급하다.

유럽연합(EU)은 기존 개인정보보호지침을 대체하는 보다 강한 법적 효력을 가진 규정 GDPR를 2016년 4월 채택했다. 유예기간을 거쳐 5월 25일부터 시행한다.

◇위반시 과징금 부과…높은 과징금으로 인력 감축 우려도

GDPR는 기업이 EU에서 발생하는 '거래'에서 EU 국민 개인 데이터와 프라이버시를 보호할 것을 의무화한다. 사업장이 EU 내 있거나 EU 국민에게 상품과 서비스를 제공할 경우 적용받는다. EU 국민과 관련된 데이터를 수집, 분석하는 기업도 위치에 관계없이 해당한다. 적용 대상 데이터 범위도 광범위하다. 고객 데이터베이스와 고객이 입력하는 피드백 문서, 전자메일, 사진 CCTV 영상, 인적자원 데이터베이스 등이 적용 대상이다. 개인정보가 EU 국민일 경우 EU 지역 외에서 수집·처리·저장한 개인정보도 해당한다.

GDPR를 위반하면 2000만유로(약 270억원) 또는 세계 매출액 4% 가운데 더 높은 금액을 과징금으로 부과해야한다. 시장 조사 업체 오범에 따르면 GDPR 미준수로 벌금을 내게 될 것이라 생각하는 기업 비율은 52%에 달한다. 경영 컨설팅업체 올리버 와이먼은 EU가 GDPR 시행 첫 해, 벌금과 과태료로 60억달러(약 6조4900억원)를 징수할 것으로 예상했다.

베리타스가 지난해 'GDPR 미준수로 발생 가능한 부정적 결과'를 설문조사한 결과 '높은 과징금은 인력 감축으로 이어질 수 있음'이라고 답한 비율(21%)이 가장 높았다. '미디어 또는 SNS상 부정적 노출로 인해 고객을 잃을 수 있음(19%)' '높은 과징금은 비즈니스 중단을 야기할 수 있음(18%)' '미디어 또는 SNS상 부정적 노출로 브랜드 가치가 하락할 수 있음(12%)' 순으로 나타났다.

◇해외, 데이터 보호 책임자 지정해 대비…데이터 거버넌스도 강화

해외는 GDPR 준비에 분주하다. EU를 주 무대로 활동하는 기업은 데이터 거버넌스를 강화한다.

인터아메리칸은 유럽 최대 의료 보험사 아흐메아 그룹 산하 그리스 최대 민간 보험사다. 인터아메리칸은 개인과 기업 고객 100만 이상 정보를 보호하고 GDPR에 대응한다. 회사는 기존 데이터 거버넌스 기능을 강화하고 데이터 보호 책임자, 데이터 트래픽 컨트롤러(data traffic controller) 등 새로운 프로젝트 직책을 만들었다. 퀴즈 프로그램, 최고경영자(CEO) 메시지, 포스터 등을 이용해 전 직원에게 GDPR 인식을 제고한다.

인터아메리칸은 전체 데이터 프로세스에 걸쳐 데이터 거버넌스와 리스크 관리를 위한 새로운 프레임워크를 구축했다. 전체 보안 프로세스를 조정하고, 데이터 침해와 외부 데이터 제공 요청에 대한 새로운 보안 정책을 실시했다. 비즈니스 사례별 장단점을 측정해 보안 절차를 지속 감독한다. GDPR 보안 요건을 충족하면서 다양한 부서 일상 업무와 분석 프로세스에 필요한 데이터 세트 제공이 가능하다.

텔리아 덴마크는 유럽 5대 통신사인 텔리아 컴퍼니 자회사로 인터넷, 전화, TV 서비스를 제공한다. 텔리아 덴마크는 여러 레거시 데이터 소스에 저장된 개인 정보 위치와 내용을 식별하며 GDPR에 대응한다.

GDPR 규정에 따라 기업은 개인 정보를 획득하고 저장하기 위한 프로세스는 물론 모든 개인 정보를 식별하고 추출하는 역량을 문서화해야 한다. 통신사는 전화번호와 심(SIM) 카드 번호 등 여러 가지 고유 방식으로 고객을 식별하기 때문에 데이터 탐색 작업이 복잡하다. 이에 대응하기 위해 텔리아 덴마크는 자사 시스템에서 모든 개인 정보의 위치와 내용을 식별하도록 데이터 탐색 프로세스와 일련 규칙 파일을 설계했다.

◇국내도 대응 시급…정부 지원도 필요

업계는 국내 기업 상당수가 GDPR 시행 시기에 맞춰 대응책을 마련하지 못할 것으로 예상한다. 업계 한 관계자는 “작년 초에 비해 GDPR 관련 문의는 많이 오지만 실질적으로 대책을 마련한 곳은 많지 않다”면서 “대기업은 자체 법무팀과 정보기술력으로 대비 가능하지만 중소·중견기업은 여전히 준비가 미흡하다”고 전했다. 이어 “한국은 이미 개인정보보호법이 있기 때문에 어느 정도 수준까지 개인정보보호 준비는 돼 있다”면서 “GDPR 시행에 대비해 어떤 작업을 우선적으로 진행할지를 먼저 정해야 한다”고 덧붙였다.

정부가 풀어야 할 숙제도 남았다. 우리나라는 EU 적정성 평가 대상에 들어가지 못했다. GDPR에 따르면 EU 내 개인정보를 유럽 외부로 전송할 수 없다. EU가 데이터 역외 전송이 가능한지 국가 적정성을 평가해 인정 해야지만 개인정보 역외(유럽 외부)이전이 가능하다. 일본 등 11개 국가가 전체 적정성 평가를 받았다. 업계는 법 시행 이전에 한국이 적정성 평가를 통과할 가능성이 희박할 것으로 예상한다. 업계 관계자는 “한 업체가 최근 유럽 회사를 인수했는데 직원 인적관리(HR) 정보를 한국으로 보낼 수 있는지 문의했다”면서 “법 시행까지 한국이 적정성 평가를 통과하지 못할 시 유럽 직원 개인 정보나 고객 정보를 한국으로 보내면 법을 위반하는 것”이라고 말했다. 이어 “유럽 내 고객이나 직원 정보를 국외로 이전한다는 동의나 표준계약을 확보해야 한다”면서 “법 시행 후 우려되는 부분은 법률 조언을 거쳐 진행해야 한다”고 덧붙였다.

[전자신문 CIOBIZ]김지선기자 river@etnews.com

위방향 화살표