2019.05.13

GDPR 시행 1년, 한국에서 영향받는 기업 숫자 "파악조차 어렵다"…KISA

이대영 기자 | ITWorld
EU의 일반개인정보보호법 GDPR(General Data Protection Regulation)은 지난 1년 동안 유럽뿐만 아니라 전세계에 많은 영향을 미쳤다. GDPR은 EU의 법이긴 하지만 EU 시민의 개인정보를 취급하는 모든 기업에 적용되기 때문에 적용 범위는 전세계로 확대된다. 

이 법의 전반적인 내용과 시행 이후 1년 간의 변화는 'GDPR 시행 1년, 기대한 것과는 다른 변화' 기사를 참조하고 여기서는 GDPR 시행 이후, 개인정보보호와 관련한 국내 기업의 준비사항과 국내 제도적 동향에 대해 살펴본다.    



KISA에 따르면, 우리나라에서 EU로 진출한 기업은 총 700여 개다. 지금까지 GDPR 위반으로 인한 국내 기업이 벌금을 낸 사례는 없지만, EU 내 관련 민원이 급증함에 따라 국내 기업의 사례가 발생할 가능성이 없지 않다.   

KISA 개인정보보호본부 개인정보정책단 최광희 단장은 "대기업은 이미 GDPR에 대해 많은 준비를 거쳐 대응하고 있다. 법무팀에서 별도로 표준계약을 맺어 개인정보의 역외 이전까지 준비를 마쳤다. 하지만 중견중소기업들은 어느 수준까지 대응하고 있는지 파악할 수 없다. 또한 이 법의 지리적 적용 범위가 확대되어 EU 내 정보주체, EU 시민의 EU 외에서의 행동도 모두 대상이 되기 때문에 이 법에 영향을 받는 국내 기업 수를 파악하기가 어렵다"고 말했다.  

GDPR의 적용 대상과 범위는 국내 개인정보보호법이나 정보통신망법과 비교했을 때, 상당히 넓다. 특히 개인정보에서 위치정보, 온라인 식별자 등이 개인정보 정의에 포함됐다. 전문 30조에 따르면, 기기, 애플리케이션, IP, 쿠키 정보 등이 다른 정보와 결합되어 개인을 식별할 수 있을 때, 이것도 개인정보 범주에 속한다고 규정하고 있다. 

또한 ▲잊힐 권리(Right to be forgotten)나 ▲처리 제한권(Right of restriction of processing) ▲개인정보 이동권(Right to data portability) ▲프로파일링을 포함한 자동화된 의사결정(Automated individual decision-making, including profiling) 등이 신설되고 대상을 확대됐으며, 기업은 별도의 개인정보보호책임자인 DPO(Data Protection Officers)를 지정하도록 했다. 

GDPR 규정에 따르면, EU 내에서 수집된 개인정보의 역외 이전은 원칙적으로 불가하다. 단, 적정성 결정(Adequacy Decision)이 이뤄진 경우나 적절한 보호조치를 제공하는 경우에 한해 역외 이전을 허용하고 있다. 

적정성 결정이란, EU 집행위원회가 자체적인 16개의 적정성 평가 기준을 두고 제3국의 법령 및 법제 운영 현황 등을 종합적으로 검토해 보호 수준이 적정하다고 판단해 결정하는 것으로, 현재 적정성 결정 국가는 스위스, 캐나다, 아르헨티나, 안도라, 이스라엘, 우루과이, 뉴질랜드, 미국, 일본 등 총 13개국이다.  

최광희 단장은 "국내에도 많은 영향을 미치는 GDPR이 시행된 지 1년이 지났지만, 아직 제도적 준비가 미비한 상황이다. 특히 EU 역외 개인정보 이전과 관련해 우리나라는 EU 적정성 결정 우선 협상국이긴 하지만, 개인정보보호법 등 국내법 개정 지연에 따라 적정성 결정 논의가 답보상태에 놓여있다"며, "이런 상태가 지속되면 검토 우선순위를 상실해 인도, 브라질 등으로 제3국으로 검토 순서가 넘어갈 수 있는데, 이렇게 되면 적정성 결정이 장기화될 수도 있다"고 우려했다.   

우리나라는 EU와 2015년부터 적정성 결정 협상을 진행해왔다. 2017년 1월, EU는 우리나라를 적정성 결정 우선 협상국으로 지정한 상태로, 국내 개인정보보호법과 정보통신망법을 기준으로 논의해왔지만 감독기관의 독립성 부족(개인정보보호법), 적용 범위의 제한성(정보통신망법) 등으로 결정이 나지 않았다. 현재 개인정보보호법 개정안 통과 이후에야 논의 재개가 가능한 상황이다. 

최광희 단장은 "현재 국내에서 발의된 개인정보보호법 개정안은 2016년 7건, 2017년 13건, 2018년 17건, 2019년 9건 등 총 46건이지만 모두 계류중이다. 우리나라는 EU와 2018년 11월 정부안인 인재근 의원 개정안으로 논의중이다"고 말했다. 

그동안 KISA는 GDPR 전담 상담 창구를 개설, 운영하는 한편, GDPR 홈페이지를 개설해 관련 정보와 콘텐츠를 배포해왔다. 또한 우리 기업의 준비사항과 대응 방향에 대해 설명회를 15차례 가량 개최하면서 GDPR 관련 정보를 제공했다.

올해 KISA는 국내 기업의 GDPR 대응 실태 조사와 중소 영세 기업 대상 맞춤형 컨설팅을 제공하며, 현지 진출 기업을 대상으로 GDPR 실무 교육을 추진하고 실무자가 손쉽게 GDPR 준수 여부를 자가점검할 수 있는 진단 도구를 개발할 계획이다. editor@itworld.co.kr 


2019.05.13

GDPR 시행 1년, 한국에서 영향받는 기업 숫자 "파악조차 어렵다"…KISA

이대영 기자 | ITWorld
EU의 일반개인정보보호법 GDPR(General Data Protection Regulation)은 지난 1년 동안 유럽뿐만 아니라 전세계에 많은 영향을 미쳤다. GDPR은 EU의 법이긴 하지만 EU 시민의 개인정보를 취급하는 모든 기업에 적용되기 때문에 적용 범위는 전세계로 확대된다. 

이 법의 전반적인 내용과 시행 이후 1년 간의 변화는 'GDPR 시행 1년, 기대한 것과는 다른 변화' 기사를 참조하고 여기서는 GDPR 시행 이후, 개인정보보호와 관련한 국내 기업의 준비사항과 국내 제도적 동향에 대해 살펴본다.    



KISA에 따르면, 우리나라에서 EU로 진출한 기업은 총 700여 개다. 지금까지 GDPR 위반으로 인한 국내 기업이 벌금을 낸 사례는 없지만, EU 내 관련 민원이 급증함에 따라 국내 기업의 사례가 발생할 가능성이 없지 않다.   

KISA 개인정보보호본부 개인정보정책단 최광희 단장은 "대기업은 이미 GDPR에 대해 많은 준비를 거쳐 대응하고 있다. 법무팀에서 별도로 표준계약을 맺어 개인정보의 역외 이전까지 준비를 마쳤다. 하지만 중견중소기업들은 어느 수준까지 대응하고 있는지 파악할 수 없다. 또한 이 법의 지리적 적용 범위가 확대되어 EU 내 정보주체, EU 시민의 EU 외에서의 행동도 모두 대상이 되기 때문에 이 법에 영향을 받는 국내 기업 수를 파악하기가 어렵다"고 말했다.  

GDPR의 적용 대상과 범위는 국내 개인정보보호법이나 정보통신망법과 비교했을 때, 상당히 넓다. 특히 개인정보에서 위치정보, 온라인 식별자 등이 개인정보 정의에 포함됐다. 전문 30조에 따르면, 기기, 애플리케이션, IP, 쿠키 정보 등이 다른 정보와 결합되어 개인을 식별할 수 있을 때, 이것도 개인정보 범주에 속한다고 규정하고 있다. 

또한 ▲잊힐 권리(Right to be forgotten)나 ▲처리 제한권(Right of restriction of processing) ▲개인정보 이동권(Right to data portability) ▲프로파일링을 포함한 자동화된 의사결정(Automated individual decision-making, including profiling) 등이 신설되고 대상을 확대됐으며, 기업은 별도의 개인정보보호책임자인 DPO(Data Protection Officers)를 지정하도록 했다. 

GDPR 규정에 따르면, EU 내에서 수집된 개인정보의 역외 이전은 원칙적으로 불가하다. 단, 적정성 결정(Adequacy Decision)이 이뤄진 경우나 적절한 보호조치를 제공하는 경우에 한해 역외 이전을 허용하고 있다. 

적정성 결정이란, EU 집행위원회가 자체적인 16개의 적정성 평가 기준을 두고 제3국의 법령 및 법제 운영 현황 등을 종합적으로 검토해 보호 수준이 적정하다고 판단해 결정하는 것으로, 현재 적정성 결정 국가는 스위스, 캐나다, 아르헨티나, 안도라, 이스라엘, 우루과이, 뉴질랜드, 미국, 일본 등 총 13개국이다.  

최광희 단장은 "국내에도 많은 영향을 미치는 GDPR이 시행된 지 1년이 지났지만, 아직 제도적 준비가 미비한 상황이다. 특히 EU 역외 개인정보 이전과 관련해 우리나라는 EU 적정성 결정 우선 협상국이긴 하지만, 개인정보보호법 등 국내법 개정 지연에 따라 적정성 결정 논의가 답보상태에 놓여있다"며, "이런 상태가 지속되면 검토 우선순위를 상실해 인도, 브라질 등으로 제3국으로 검토 순서가 넘어갈 수 있는데, 이렇게 되면 적정성 결정이 장기화될 수도 있다"고 우려했다.   

우리나라는 EU와 2015년부터 적정성 결정 협상을 진행해왔다. 2017년 1월, EU는 우리나라를 적정성 결정 우선 협상국으로 지정한 상태로, 국내 개인정보보호법과 정보통신망법을 기준으로 논의해왔지만 감독기관의 독립성 부족(개인정보보호법), 적용 범위의 제한성(정보통신망법) 등으로 결정이 나지 않았다. 현재 개인정보보호법 개정안 통과 이후에야 논의 재개가 가능한 상황이다. 

최광희 단장은 "현재 국내에서 발의된 개인정보보호법 개정안은 2016년 7건, 2017년 13건, 2018년 17건, 2019년 9건 등 총 46건이지만 모두 계류중이다. 우리나라는 EU와 2018년 11월 정부안인 인재근 의원 개정안으로 논의중이다"고 말했다. 

그동안 KISA는 GDPR 전담 상담 창구를 개설, 운영하는 한편, GDPR 홈페이지를 개설해 관련 정보와 콘텐츠를 배포해왔다. 또한 우리 기업의 준비사항과 대응 방향에 대해 설명회를 15차례 가량 개최하면서 GDPR 관련 정보를 제공했다.

올해 KISA는 국내 기업의 GDPR 대응 실태 조사와 중소 영세 기업 대상 맞춤형 컨설팅을 제공하며, 현지 진출 기업을 대상으로 GDPR 실무 교육을 추진하고 실무자가 손쉽게 GDPR 준수 여부를 자가점검할 수 있는 진단 도구를 개발할 계획이다. editor@itworld.co.kr 


X