[공감신문] 유럽 개인정보보호법 시행이 두 달 앞으로 다가오면서 비회원국인 우리나라의  기업들도 과징금 폭탄을 우려하고 있다. 

5월 25일부터 유럽연합(EU) 회원국에 적용되는 개인정보보호법(General Data Protection Regulation·GDPR)의 적용 범위가 넓고, 위반 시 거액의 과징금이 부과되는 만큼 비회원국들에도 비상이 걸린 것이다.

GDPR은 EU 회원국 간 자유로운 개인정보 이동과 개인정보보호를 강화하기 위해 EU가 제정한 통합 규정으로 조항만 99개에 달할 정도로 적용 범위와 내용이 광범위하다.

비회원국 기업도 규정 위반 시 최대 2000만유로(한화 약 264억원)의 과징금이나 글로벌 매출액의 4% 중 많은 금액을 부과 받을 수 있어 주의해야 한다.

GDPR의 핵심은 국적과 상관없이 EU 회원국 거주자라면 개인정보의 보호를 받아야 한다는 것이다. GDPR에서 정의하는 개인정보는 인간과 관계된 모든 정보로 이름, 성별, 주소 등 기본 정보는 물론 개인 성향, 인터넷 검색 기록도 포함한다. 

기업이나 기관이 EU 거주자의 개인정보를 수집하고 보관한다면 GDPR을 준수해야 한다. EU와 거래하는 해외 기업도 예외가 아니다. 예를 들어 한국 기업이 EU에 상품이나 서비스를 판매하지 않고 유럽 거주자의 정보를 모니터링만 할 경우 GDPR를 위반한 것이 된다.

EU 거주자의 정보를 해외로 이전하는 것도 엄격히 제한된다. 유럽에 있는 자회사나 하청업체가 수집한 개인정보를 한국 본사로 이전할 경우 한국 본사와 데이터 이전 계약서를 체결해야 하고, 계약서에는 GDPR 규정을 준수해야 한다는 약정이 있어야 한다.

이처럼 복잡하고 까다로운 GDPR 규정은 기본적으로 한국의 개인정보보호법과 크게 다르지 않다. 가장 큰 차이를 보이는 것은 과징금 규모다. 우리나라의 개인정보보호법상 최대 벌금은 5000만원에 불과하지만, GDPR은 최대 2000만유로에 달한다. 

규정 위반 시 기업들은 과징금보다는 이미지 훼손에 더 큰 타격을 입을 것으로 보인다. 최근 정보 유출 파문을 일으킨 페이스북은 여론의 뭇매를 맞으며 지난 19∼20일 주가가 9% 넘게 떨어졌다.

영국&미국계 대형로펌인 DLA 파이퍼의 GDPR 총괄 파트너인 패트릭 반 에이커 변호사는 “데이터 보호는 주식 가치와 직결된다”고 강조했다. 

아울러 “개인정보의 해외이전 제한의 경우 EU와 정부 차원의 합의가 이뤄진다면 이전이 가능해질 것”이라며 “유럽에서 수집한 개인정보는 유럽을 떠날 수 없다는 게 GDPR의 기본 원칙”이라고 설명했다. 

현재 우리나라는 정보이전 허용국가, 이른바 '화이트 리스트' 등재와 관련해 EU와 협의 중이다. 

반 에이커 변호사는 "GDPR은 정보수집의 최소화를 요구한다. 필요한 만큼 수집하고, 필수 정보 외에 더 많은 정보를 수집했다면 동의를 받아야 한다"며 "기업에 취득한 개인정보를 보관하는 기간을 물어보면 90%가 '영원히'라고 답한다. 이는 GDPR 위반이며, 필요가 없어지면 폐기해야 한다"고 조언했다.

국내 정보보안 전문기업 관계자는 "국내 기업들은 GDPR의 적용 대상을 명확히 파악하고 이해관계자의 협조를 요청해야 한다. 담당자 몇 명만 움직여서 될 문제는 아니다"라고 강조했다.