[아주 쉬운 뉴스 Q&A] EU 개인정보보호법(GDPR) 어떻게 대응할까요?
2018-06-01 16:17
Q. EU가 시행한 GDPR는 무엇을 말하는 건가요?
A. 유럽연합(EU)에서 1995년부터 운영돼 온 유럽연합 개인정보보호법(GDPR)을 대폭 강화한 규정으로, 2018년 5월 25일부터 본격 시행됐어요. 유럽 31개국에 거주하는 주민의 이름이나 이메일 주소 등의 개인정보를 본인 동의없이 EU 밖으로 유출하는 것을 원칙적으로 금지하고 있죠. 또 정보보호책임자(DPO)를 지정하도록 요구하고 있는데, 기업이 개인정보를 침해한 경우에는 72시간 이내에 감독 기구와 당사자에게 알려야 해요. 앞서 EU 의회는 2015년 5월에 GDPR를 통과시킨 뒤 2년간의 유예 기간을 두고 이번에 시행하게 됐어요.
Q 적용 대상은 어떻게 되나요?
A. EU 거주 시민의 개인정보를 처리하는 모든 정보 통제자, 정보 처리자, 정보보호책임자 등이 해당돼요. EU 국가에 사업장을 보유한 경우뿐만 아니라, EU에 사업장을 두고 있지 않더라도 EU 거주자에게 재화 또는 서비스를 제공하는 기업들은 모두 해당되죠. 가령 EU 내 피자가게를 운영하는 주인, 한국에서 EU 국가에 온라인 서비스를 하는 사업장도 GDPR의 적용 대상에 포함돼요.
Q. GDPR를 준수하지 않으면 어떻게 되나요?
A. GDPR 규정을 심각하게 위반했을 경우에는 전 세계 연간 매출 총액의 4% 또는 2000만 유로(약 250억원) 중 더 높은 금액에 대한 과징금이 부과돼요. 일반적 위반의 경우에는 전 세계 연간 매출액의 4% 또는 1000만 유로(약 125억원) 중 더 높은 금액이 과징금으로 부과되죠. 예를 들어 페이스북에서 개인정보가 유출됐을 경우 지난해 총매출액의 4%인 16억 달러(약 1조7000억원)를 과징금으로 내야되는 셈이에요.
Q. 위반한 사례가 있나요?
A. 글로벌 IT기업으로 꼽히는 페이스북과 구글은 GDPR 시행 첫날부터 비영리단체로부터 제소를 당했어요. 사용자가 서비스를 사용하기 위해 광고에 동의하도록 강요했다는 이유에서죠. GDPR는 서비스 이용을 위해 수집하는 개인정보를 반드시 필요한 수준으로 제한하고 있어요. 이들 기업은 광고를 위해 이용자의 동의를 사실상 강제하고 있다는 게 위반 사유로 지적됐어요.
Q. 다른 상황도 발생했나요?
A. 유럽 내 사업 철수 또는 사업 축소를 선택하는 기업도 늘고 있어요. 애리조나 데일리 선, 스타페이퍼 등 미국 21개 지역 내 46개 일간지를 보유한 리 엔터프라이즈는 EU 내 서비스를 중단하기로 했어요. 위치 기반 모바일 마케팅 기업 '버브'는 영국·독일 등 유럽에 위치한 사업장을 폐쇄하기로 결정했고, 우버 엔터테인먼트는 온라인 전투 게임 '슈퍼 먼데이 나이트 컴뱃'의 EU 서비스 종료를 발표했죠.
Q. 우리나라 기업들은 문제 없나요?
A. 삼성전자와 LG전자 등은 수백명의 개인정보보호 전담 인력을 배치하고 현지 법인팀을 구성해 일찌감치 대응에 나섰어요. 네이버와 넥슨 등 IT 기업들도 개인정보보호 예산을 별도로 배정하고, 태스크 포스(TF)팀을 별도로 꾸려 준비에 들어간 상태구요. 하지만 정보와 자금력에서 열세인 스타트업, 중소기업들은 이에 대한 준비가 아직도 미흡한 상황이에요.
Q. 그렇다면 어떻게 대응해 나가야 할까요?
전문가들은 기업들이 우리나라 개인정보 및 기타 법령과 충돌하는 부분이 없도록 대응 체계와 담당 조직을 재정비해야 한다고 조언해요. 이와 함께 지속적인 사내 교육과 모니터링, GDPR 준수 노력을 증빙할 자료까지 꼼꼼히 챙겨야 한다고 지적하고 있어요. 정부에서도 GDPR에 무방비로 노출돼 있는 중소기업들을 중심으로 최대한 많은 컨설팅을 제공하고, 체계적으로 준비할 수 있도록 지원을 해줘야 해요.
A. 유럽연합(EU)에서 1995년부터 운영돼 온 유럽연합 개인정보보호법(GDPR)을 대폭 강화한 규정으로, 2018년 5월 25일부터 본격 시행됐어요. 유럽 31개국에 거주하는 주민의 이름이나 이메일 주소 등의 개인정보를 본인 동의없이 EU 밖으로 유출하는 것을 원칙적으로 금지하고 있죠. 또 정보보호책임자(DPO)를 지정하도록 요구하고 있는데, 기업이 개인정보를 침해한 경우에는 72시간 이내에 감독 기구와 당사자에게 알려야 해요. 앞서 EU 의회는 2015년 5월에 GDPR를 통과시킨 뒤 2년간의 유예 기간을 두고 이번에 시행하게 됐어요.
Q 적용 대상은 어떻게 되나요?
A. EU 거주 시민의 개인정보를 처리하는 모든 정보 통제자, 정보 처리자, 정보보호책임자 등이 해당돼요. EU 국가에 사업장을 보유한 경우뿐만 아니라, EU에 사업장을 두고 있지 않더라도 EU 거주자에게 재화 또는 서비스를 제공하는 기업들은 모두 해당되죠. 가령 EU 내 피자가게를 운영하는 주인, 한국에서 EU 국가에 온라인 서비스를 하는 사업장도 GDPR의 적용 대상에 포함돼요.
Q. GDPR를 준수하지 않으면 어떻게 되나요?
A. GDPR 규정을 심각하게 위반했을 경우에는 전 세계 연간 매출 총액의 4% 또는 2000만 유로(약 250억원) 중 더 높은 금액에 대한 과징금이 부과돼요. 일반적 위반의 경우에는 전 세계 연간 매출액의 4% 또는 1000만 유로(약 125억원) 중 더 높은 금액이 과징금으로 부과되죠. 예를 들어 페이스북에서 개인정보가 유출됐을 경우 지난해 총매출액의 4%인 16억 달러(약 1조7000억원)를 과징금으로 내야되는 셈이에요.
Q. 위반한 사례가 있나요?
A. 글로벌 IT기업으로 꼽히는 페이스북과 구글은 GDPR 시행 첫날부터 비영리단체로부터 제소를 당했어요. 사용자가 서비스를 사용하기 위해 광고에 동의하도록 강요했다는 이유에서죠. GDPR는 서비스 이용을 위해 수집하는 개인정보를 반드시 필요한 수준으로 제한하고 있어요. 이들 기업은 광고를 위해 이용자의 동의를 사실상 강제하고 있다는 게 위반 사유로 지적됐어요.
Q. 다른 상황도 발생했나요?
A. 유럽 내 사업 철수 또는 사업 축소를 선택하는 기업도 늘고 있어요. 애리조나 데일리 선, 스타페이퍼 등 미국 21개 지역 내 46개 일간지를 보유한 리 엔터프라이즈는 EU 내 서비스를 중단하기로 했어요. 위치 기반 모바일 마케팅 기업 '버브'는 영국·독일 등 유럽에 위치한 사업장을 폐쇄하기로 결정했고, 우버 엔터테인먼트는 온라인 전투 게임 '슈퍼 먼데이 나이트 컴뱃'의 EU 서비스 종료를 발표했죠.
Q. 우리나라 기업들은 문제 없나요?
A. 삼성전자와 LG전자 등은 수백명의 개인정보보호 전담 인력을 배치하고 현지 법인팀을 구성해 일찌감치 대응에 나섰어요. 네이버와 넥슨 등 IT 기업들도 개인정보보호 예산을 별도로 배정하고, 태스크 포스(TF)팀을 별도로 꾸려 준비에 들어간 상태구요. 하지만 정보와 자금력에서 열세인 스타트업, 중소기업들은 이에 대한 준비가 아직도 미흡한 상황이에요.
Q. 그렇다면 어떻게 대응해 나가야 할까요?
전문가들은 기업들이 우리나라 개인정보 및 기타 법령과 충돌하는 부분이 없도록 대응 체계와 담당 조직을 재정비해야 한다고 조언해요. 이와 함께 지속적인 사내 교육과 모니터링, GDPR 준수 노력을 증빙할 자료까지 꼼꼼히 챙겨야 한다고 지적하고 있어요. 정부에서도 GDPR에 무방비로 노출돼 있는 중소기업들을 중심으로 최대한 많은 컨설팅을 제공하고, 체계적으로 준비할 수 있도록 지원을 해줘야 해요.