유럽연합(EU)의 일반 개인정보 보호법(GDPR) 시행이 1년 앞으로 다가오면서 EU에서 비즈니스를 하는 기업들의 발등에 불이 떨어졌다.
GDPR은 EU에 사업장이 있는 기업뿐 아니라 EU에 거주하는 정보 주체에게 재화 또는 서비스를 제공하거나 구매 습관을 추적하는 등 정보 주체의 행동을 모니터링하는 기업에 이르기까지 전 세계적으로 확대 적용된다. 2018년 5월 25일부터 GDPR을 심각하게 위반하는 기업의 경우 최대 2000만 유로(245억원) 또는 해당 기업의 전 세계 연간 매출액 4% 중 높은 금액의 과징금을 내야 한다. 과징금 규모가 기업의 존폐를 위협할 수 있을 정도의 수준이다.
GDPR의 가장 큰 목적은 개인정보 주체로 하여금 개인정보가 사용되는 방식에 대한 통제 권리를 보장하는 것이다. 기존에도 EU는 개인정보보호 수준이 높은 편이었으나, GDPR은 이보다 더 엄격한 개념으로 봐야 한다. GDPR은 신용카드, 금융및 의료 정보를 포함한 개인정보가 저장되거나 이전되는 위치와 방법, 정보에 접근할 때 적용되는 정책, 감사 등에 관한 철저한 관리감독을 요구한다.
박철한 베리타스 글로벌 정보 거버넌스 프랙티스 리드 겸 아시아 자문 컨설팅팀 총괄은 "국내 기업정보보호법 준수를 위해서는 기업들이 개인정보 유출 등 보안 관점에 중점을 뒀다면, GDPR은 보안을 포함해 정보 관리 측면까지 아우르고 있어 이 부분에 대한 철저한 준비가 필요하다"고 말했다.
GDPR 준수를 위해서는 어떤 데이터를 보유하고 있는지, 해당 데이터가 어디에 있는지, 데이터가 비즈니스와 어떤 관련이 있는지 파악하는 것이 중요하다. GDPR은 정보 주체의 요구가 있을 경우 기업이 30일 이내에 개인정보 사본을 제공하거나 해당 데이터를 삭제할 수 있어야 한다고 규정하고 있다. 이는 곧 기업이 특정 데이터를 어디에 보관하고 있는지 정확히 식별하고 조치할 수 있어야 함을 의미한다.
베리타스가 한국을 포함한 전 세계 기업 비즈니스 의사결정권자들을 대상으로 실시한 '2017년 GDPR 보고서'를 보면, 국내 응답자의 23%는 GDPR 미준수로 인해 발생할 수 있는 부정적인 결과 중 과징금 부담으로 인한 인원 감축과 잠재적 정리해고를 우려하는 것으로 나타났다. 이어 GDPR 위반 사실이 외부에 공개될 경우 브랜드 이미지에 미칠 부정적인 영향에 대한 우려, 고객 이탈 등을 우려한다고 답했다.
하지만 GDPR 시행까지 1년 앞둔 현 시점에서 국내 응답자의 31%만이 GDPR에 준비가 돼 있다고 생각하는 것으로 집계됐다. 나머지 60%가 넘는 기업은 GDPR 시행 기한을 지키기 힘들 것으로 내다봤다. 많은 기업들이 GDPR 준수의 중요한 첫 단계인 어떤 데이터를 보유하고 있는지, 해당 데이터가 어디에 있는지, 비즈니스와 어떤 관련이 있는지 파악하는데 심각한 어려움을 겪고 있는 것으로 조사됐다.
박철한 총괄은 "GDPR 시행이 1년여 밖에 남지 않았지만, 한국은 물론 전 세계적으로 GDPR 대비의 시급함을 간과하고 있는 기업들이 있다"며 "지금 대비하지 않으면 기업의 일자리, 브랜드 평판을 넘어 비즈니스 생존이 위태로울 수 있다"고 강조했다.