유럽연합의 개인정보보호 법령 ‘GDPR(General Data Protection Regulation)’이 25일부터 본격 시행됐다. GDPR은 EU 뿐 만 아니라 EU 거주민의 개인정보를 처리하는 세계 기업에도 적용된다. 이에 국내 기업도 새로운 규정에 대한 대비가 시급할 것으로 보인다.

GDPR의 시행 목적은 EU 거주자의 개인정보보호다. 이에 따라 사업체 등이 EU 지역 내에 있지 않더라도 인터넷홈페이지를 통해 EU 거주민들을 대상으로 재화‧서비스를 제공하거나, 개인정보를 모니터링 할 때에도 GDPR을 적용 받는다. 적용 대상으로는 ▲EU에서 사업장을 운영하는 기업(지점, 판매소, 영업소 등) ▲EU 지역 내 사업장은 없지만, 인터넷 홈페이지를 통해 EU 거주자에게 물품‧서비스를 제공하는 기업 ▲EU 주민의 행동을 모니터링하는 기업 등이 해당된다. 즉 포털, 게임 등 온라인 서비스는 기본이고 PC, 스마트폰 등 개인정보를 다룰 수 있는 제조사 역시 대상이 될 수 있는 것이다.

GDPR 시행에 따라 우선 국내 기업들은 전문지식을 갖춘 개인정보보호책임자(DPO, Data Protection Officer)를 지정해야 한다. 또 개인정보 영향평가를 실시하고 개인정보처리활동에 관한 기록을 유지해야 한다. 아울러 해킹 또는 유출발생 시 감독기관에 신고하며 중대한 문제 발생 시 정보 주체에도 통지해야 한다. 이밖에도 적절한 기술 및 관리 조치 이행 및 정보주체의 권리 보장을 위한 절차 마련‧이행 등을 실시해야 한다. 이러한 내용을 위반하면 비회원국 기업도 최대 200만유로(약 264억원)나 글로벌 매출액의 4% 중 많은 금액을 과징금으로 부과 받을 수 있다.

산업계의 한 관계자는 “기존 지침과 GDPR은 실질 내용에 있어서 근본적인 변화는 없지만 기업의 책임과 자율성을 강화한 것이 특징”이라며 “국내법처럼 세부사항이 열거돼 있지 않아 준비하는 입장에서는 어려운 측면이 있다”고 말했다.

저작권자 © 안전저널 무단전재 및 재배포 금지