- 국내 기업 “적용 기준 모호, DPO 선임 등 비용 문제도” 어려움 호소
- 방통위 EU 방문, 국내 정보보호 안정성 적극 홍보
[헤럴드경제=박세정 기자] 유럽연합(EU)의 개인정보보호법(GDPR)이 내달 25일부터 시행되는 가운데, 국내 기업들도 발등의 불이 떨어졌다.
유럽 역내 뿐 아니라 역외 기업의 서비스까지 대상이 돼, 국내 기업 상당수가 법 적용을 피할 수 없기 때문이다. 적용 기준이 모호하거나 비용 문제 등으로 국내 기업들이 준비에도 어려움을 겪고 있어, 시행까지 적지 않은 혼란이 예상된다.
 |
| 유럽연합 상징기[출처=유럽연합] |
9일 관련업계에 따르면 유럽 GDPR 시행이 약 한 달 반 앞으로 다가오면서 국내 기업들의 움직임도 분주해지고 있다.
GDPR은 EU가 기업의 개인정보보보호 의무를 대폭 강화해 시행하는 것으로 ▷개인의 열람권, 정정권 등 권리 확대 ▷정보보안책임자(DPO, Data Protection Officer) 의무 임명 ▷유전정보, 바이오정보 등 개인정보 정의 확대 등이 주된 내용이다.
특히 역외에서 EU거주자에게 서비스를 제공하는 기업도 적용 대상이 돼, 국내 기업 상당수도 GDPR의 적용을 받을 것으로 보인다.
GDPR의 규정을 위반할 경우 최대 직전 회계연도 전 세계 매출액의 4% 또는 2000만유로 중 더 큰 금액을 과징금으로 부과하는 강력한 제재 방안을 담고 있다.
당장, 국내 기업들은 자사의 서비스가 GDPR의 적용대상이 되는지를 파악하는 것부터 쉽지 않다고 어려움을 호소하고 있다.
최근에는 애플리케이션, 웹 서비스 등으로 물리적인 서비스 경계가 허물어지면서 서비스 국가를 명확하게 구분하는 것이 쉽지 않기 때문이다.
예를들어, 국내 인터넷 쇼핑몰의 경우, 유럽에 서비스를 시작하지 않았지만 유럽 거주자가 접속해 서비스를 이용할 때 GDPR 기준을 적용해야 하는지 여부 등에서도 법적인 해석이 엇갈릴 수 있다는 지적이다.
국내 기업들의 비용 부담이 만만치 않다는 우려도 나온다.
대표적으로 DPO는 국내 개인정보보호법이 지정하고 있는 ‘개인정보보호책임자’와 또다른 지정요건, 고용형태 등의 기준을 갖고 있어 별도의 DPO를 지정해야 한다. DPO의 인력자체가 많지 않아 인력 확보에도 상당한 시간과 비용이 들 수 있다.
특히 중소기업들은 비용 어려움이 더욱 커질 수 있다.
이같은 혼란을 막기 위해 정부차원에서도 본격적인 준비태세에 돌입했다.
당장, 이번주 허욱 방송통신위원회 부위원장이 EU를 방문해 개인정보 적정성 평가에 대해 EU와 논의할 예정이다.
적정성평가는 EU 시민의 개인정보를 타 국가가 이전해 사용할 수 있는지 안정성을 평가하는 것이다.
GDPR 시행으로 적정성 평가도 한층 강화되면서, 방통위는 EU 관계자를 한국에 초청해 국내 개인정보보호 수준을 적극 알릴 예정이다.
이와 함께 한국인터넷진흥원(KISA), 행정안전부, 무역협회 등도 오는 11일 포럼을 열고 국내 기업들의 대응방안을 안내한다.
KISA 관계자는 “기업들의 준비 현황을 파악하고 있으며, 빠른 시일내 조사 결과를 정리할 예정”이라고 말했다.
sjpark@heraldcorp.com
