유럽연합(EU)이 2016년 5월 제정한 일반 개인정보 보호법(GDPR)이 2년간의 유예기간을 지나 25일 본격 시행된다.
그동안 GDPR 대응에 만전을 기한 글로벌 기업과 유럽 고객을 둔 인터넷 서비스 기업은 상황을 예의주시하면서 후속 대응에 나설 것으로 보인다. 반면, 상대적으로 준비가 미흡한 중견·중소기업은 높아진 규제 장벽에 자칫 비즈니스가 위축될 것을 염려하는 분위기다.
만약 GDPR 적용 기업의 개인정보 유출이나 규정 위반이 적발될 경우 EU는 2000만유로(265억원) 또는 해당 기업의 전 세계 연간 매출 4% 중 더 높은 금액을 과징금으로 부과한다. 매출 규모가 큰 기업의 경우 자칫했다간 천문학적인 과징금이 부과될 수 있다.
◇ EU 진출 중견중소기업 대응책 마련 시급
GDPR은 개인정보 유출과 같은 중대한 위반 사항에 대해 기업 존립을 위협할 정도의 강력한 제재를 가한다는 점에서 지나친 규제가 될 것이라는 우려가 있다. 하지만, GDPR이 유럽 자국민 개인정보 보호를 위한 목적 만큼이나 데이터 활용에도 많은 여지를 열어둔 만큼 기업이 GDPR을 잘 이해하고 준수한다면 보다 많은 비즈니스 기회를 창출할 수 있다는 긍정적 전망도 있다.
GDPR은 개인정보에 대한 기술적 조치뿐 아니라 기업 내 인력 관리, 교육, 거버넌스 등 데이터 처리 원칙을 정립해야 한다는 측면을 강조한다. 이미 전사적인 정보보호 체계를 갖춘 기업일수록 유연한 대응이 어려울 수 있다는 지적도 나온다. 특히 개인정보 처리가 핵심 비즈니스와 직결되는 일부 기업의 경우 국내에서는 생소한 데이터 보호 책임자(DPO)를 의무적으로 지정해야 하는 등 규제 준수를 위해 의사결정 구조를 바꿔야 하는 상황에 직면하기도 한다.
글로벌 기업의 경우 일찌감치 GDPR 대응 시나리오를 준비해왔으나, 상대적으로 여건이 좋지 못한 중견·중소기업의 경우 전문 인력 부족, 법률 해석 등 어려움을 호소하는 경우가 적지 않다. 한국인터넷진흥원(KISA)이 국내 주요 기업의 GDPR 대응 현황을 조사한 결과, 국내 기업 대부분은 유권해석 등 법률적 해석의 어려움, 교육 지원 부족, 세부적인 가이드 부재 등을 애로사항으로 꼽았다.
한국중견기업연합회에 따르면, EU 시장에 진출한 국내 중견기업은 2016년 기준 전체 수출 기업 1320개의 절반에 가까운 570개다. 중견기업의 유럽 현지 법인만 해도 235개에 달한다. GDPR 시행으로 글로벌 경쟁력을 가진 중견기업의 국외 시장 진출 동력이 소실되지 않도록 심각한 위기의식을 갖고 적극적으로 대응해야 한다는 지적이 나오는 이유다.
개인정보 처리 관련 국내 규정을 담당하는 정부 부처와 산하기관은 그동안 국내 기업을 대상으로 GDPR 관련 인식 제고와 대응 지원 활동을 펼쳐왔다. 행정안전부는 10일 국무조정실, 방송통신위원회, 산업통상자원부, 외교부, 중소벤처기업부 등 관계부처와 협력해 GDPR 준비 기업을 돕는 관계부처 합동 체계를 구축하고, 설명회를 개최하겠다고 발표한 바 있다.
일각에서는 한국의 개인정보 보호법이 유럽을 참고해 만들어졌기 때문에 국내 법률을 성실히 준수해온 기업이라면 GDPR에서 바뀐 규정을 중심으로 대응하면 된다는 평가가 나온다. 반대로 GDPR과 국내 규제 기준에는 상당한 차이가 있으므로 적용 대상 여부를 파악하고, 즉시 개선 가능한 사안은 신속히 이행하되 과징금 부과 기준을 면밀히 검토해 제도·예산·조직 차원에서 효율적인 대응 체계를 구축해야 한다는 목소리도 높다.
김선희 법무법인 율촌 변호사는 18일 한국중견기업연합회가 개최한 GDPR 중견기업 대응방안 설명회에서 "리스크를 최소화하기 위해서는 한국의 개인정보 및 기타 법령과 충돌하는 부분이 없도록 대응 체계와 담당 조직을 재정비하는 것은 물론 지속적인 교육과 모니터링, GDPR 준수 노력을 증빙할 자료까지 꼼꼼히 챙겨야 한다"고 조언했다.
#유럽연합 #EU #GDPR #일반개인정보보호법