유럽연합(EU) 개인정보보호법(GDPR·General Data Protection Regulation)이 시행이 눈앞에 다가오면서 국내 기업들의 대응도 분주해졌다. GDPR은 EU 역내뿐 아니라 EU 거주민의 개인정보를 처리하는 세계 기업에도 적용돼 국내 기업도 새로운 규정에 맞춘 대비가 필요하다.

오는 25일 시행되는 GDPR은 기존 개인정보보호지침과 달리 EU 전체 회원국을 직접 구속하는 통합 규정으로 정보주체의 권리 강화, 기업(컨트롤러)의 책임성 강화, 피해구제와 집행 강화를 특징으로 한다. 조항만 99개에 달할 정도로 적용 범위와 내용이 광범위하다.

GDPR의 핵심은 EU 거주자의 개인정보보호다. 사업체가 EU 지역에 있지 않더라도 인터넷홈페이지를 통해 재화·서비스를 제공하거나 EU 시민의 개인정보를 모니터링할 때에도 적용됨을 명시적으로 규정했다. 포털, 게임 등 온라인 서비스는 기본적으로 해당하며, PC, 스마트폰 등 개인정보를 다룰 수 있는 제조사 역시 적용 대상이다.

특히 비회원국 기업도 규정 위반 시 최대 2000만유로(약 264억원)나 글로벌 매출액의 4% 중 많은 금액을 과징금으로 부과받을 수 있어 주의해야 한다.

국내 기업들은 개인정보 수집을 최소화하는데 방점을 찍고 있다. 개인정보 수집 시에는 정보 수집 대상의 동의 여부를 증명하고 보관 기간, 처리 방법 등을 정보 주체에게 통보하고 기록하는 절차도 강화했다.

가입 절차를 번거롭게 한 것도 이와 관련 있다. GDPR은 개인의 적극적 동의가 있을 때 정보를 처리할 수 있다고 강조한다. 회원 가입 시 미리 체크된 동의 항목은 적극적 행동으로 보지 않는다. 때문에 기업들은 약관을 끝까지 스크롤 해야만 동의 버튼을 누를 수 있게 만드는 등으로 시스템을 변경했다.
 
수집한 개인정보는 비식별조치를 통해 정보주체를 특정하기 어렵도록 했고, 이용 약관에는 정보주체의 데이터 종류, 수단, 목적 등을 명백히 밝히고 있다.
 
인력도 보충했다. GDPR에 명시돼 있는 정보보호책임자(DPO)를 지정하는 것은 물론 온라인 서비스업체 중에서는 개인정보보호 전문 팀을 운영하는 기업도 있는 것으로 알려졌다.

하지만 GDPR 규정이 다소 모호해 당분간 혼란은 불가피하다는 시각이 적잖다. 금지하거나 허용하는 항목을 구체적으로 명시하지 않고 책임성을 기반으로 기업 스스로가 개인정보보호에 대한 올바른 법적인 근거를 수립하고 적절한 보호조치를 취할 것을 요구하기 때문이다. EU집행위원회의 세부 지침 발표는 이달 중 예정돼 있다.

또 한국의 개인정보보호법과 유사하지만 세부 요건은 차이가 커 단계적으로 대응할 필요가 있다.

일례로 GDPR과 우리법 모두 개인정보보호책임자(DPO/CPO) 지정을 규정하고 있지만 자격 요건은 다르다. 국내는 실질적으로 책임을 질 수 있는 임원이 개인정보보호책임자를 맡고 있는 경우가 일반적이지만 GDPR는 EU의 법률 전문지식, 정보 기술 및 보안에 대한 이해 등의 자질을 갖춘 인물로 선정하도록 하고 있다.

산업계 관계자는 "기존 지침과 GDPR은 실질 내용에 있어서는 근본적인 변화는 없지만 기업의 책임과 자율성을 강화한 것이 특징"이라며 "국내법처럼 세부사항이 열거돼 있지 않아 준비하는 입장에서는 어려운 측면이 있다"고 말했다.

여기에 개인정보 해외이전에 필요한 적정성 평가도 상당한 시일이 소요될 것으로 예상돼 전자상거래 업체를 중심으로 부담도 가중되고 있다.

적정성 평가는 EU 집행위원회가 EU 역외 국가가 EU와 동등한 수준의 개인정보보호 조치를 취하고 있는지를 평가하는 것이다. 적정성 결정을 받은 국가의 기업들은 별도의 조치 없이 EU 시민의 개인정보를 국외로 이전해 사용할 수 있다.

정부는 개인정보 해외이전이 시급한 온라인 사업부터 일괄적인 협의(적정성 결정)를 추진했으나 GDPR 시행 전 인정은 불발됐다. 작년 1월 일본과 함께 적정성 우선평가국으로 선정돼, 연내 적정성 결정을 받는 것을 목표로 하고 있다.

정부 관계자는 "지금 진행 중인 협의를 신속히 완료해 기업의 부담이 감소될 수 있도록 노력하겠다"며 "온라인분야 외에도 제조업을 포함한 모든 교역부문에서 추가 협의도 추진할 것"이라고 말했다.

이어 "기업들의 GDPR에 대한 이해도가 높아졌으나 아직 상당수 기업들의 준비가 시급한 상황"이라며 "5~6월에 관계부처 합동으로 기업안내를 대폭 강화하고 세부지침을 반영한 지침서도 이달 말 새롭게 제작할 것"이라고 덧붙였다.