검색 본문 바로가기 회사정보 바로가기
> 산업 >

EU 개인정보 '깐깐해진다'…유출시 매출 4% 과징금 부과

생체정보·게시물도 개인정보…내년 5월부터 새法 적용

(서울=뉴스1) 이수호 기자 | 2017-12-11 15:49 송고
© News1 방은영 디자이너
© News1 방은영 디자이너

유럽연합(EU)은 내년 5월부터 개인정보 유출사고를 일으킨 기업에 대해 본사 매출의 4%를 과징금으로 부과한다. 일례로 연매출 90조원에 달하는 구글이 개인정보 유출사고를 냈을 경우 약 3600억원의 과징금을 부과하는 식이다.

11일 행정안전부와 한국인터넷진흥원(KISA)은 이같은 내용을 담은 EU의 새 개인정보보호법에 대한 '개인정보보호 규정(General Data Protection Regulation, GDPR) 가이드라인'을 발간했다. 

이 가이드라인에 따르면 앞으로 EU에서 개인정보를 활용하려면 현지지사를 두거나 EU 회원국 내 업체를 통해 대리인을 지정해야 한다. EU 밖에서 EU에 거주하는 이용자에게 서비스를 제공할 때에도 GDPR이 적용된다.

쉽게 말해 한국에서 개발한 모바일게임이 프랑스에 수출될 때도 GDPR 적용받는다. 게임을 하려면 회원가입을 해야 하고, 회원가입 과정에서 개인정보를 작성해야 하기 때문이다.

또 개인정보 유출사고가 터지면 본사 매출액의 4% 또는 2000만유로 가운데 더 큰 금액을 과징금으로 부과한다. 개인정보는 위치정보, 집주소같은 기본 개인정보뿐 아니라 IP주소와 쿠키같은 온라인정보가 포함된다. 또 바이오정보와 성적취향 등을 담은 게시물 정보도 개인정보에 포함된다.

EU 내 개인정보를 해외로 반출하기 위해선 EU집행위원회의 적정성 평가 등 별도의 허가를 거쳐야 한다. 반출 이후에도 개인정보 주체가 권리행사가 가능해야 한다. 정보주체가 자필문서, 전자문서 서명, 구두 동의시 녹화·녹음, 문자 인증번호 등을 줘야 EU 국민의 개인정보를 EU 밖에서 이용할 수 있다.   

GDPR에 따르면 기업 내에 'DPO'라고 불리는 개인정보 총괄책임자를 둬야 한다. 개인정보 사고시, 책임을 져야 하는 직원을 내부에 두는 것이다. DPO는 정보처리 활동에 대한 모니터링 및 자문, 내부 정책수립도 맡게 된다.

다만 모든 기업이 DPO를 의무적으로 지정해야 하는 것은 아니다. 업태에 따라 다르지만 보험회사나 프랜차이즈업체, 인터넷 서비스 제공업체 등 대량의 개인정보(콘텐츠, 트래픽, 위치)를 취급할 경우에는 DPO를 의무적으로 지정해야 한다. 

이밖에도 EU는 개인정보영향평가 제도를 시행해 개인정보 침해가 우려되는 경우를 미리 지정, 위험요인를 분석하는 사전평가제도도 시행한다. 언제든 EU가 기업들의 개인정보 관리현황을 들여다보겠다는 취지다. 

김석환 KISA 원장은 "개인정보보호가 기업활동의 장애물이 아니라 강점이 될 수 있도록 기업의 선제적 대응방안과 전략 마련, 현장중심형 체질개선을 위해 전문기관으로서 협업과 지원에 최선을 다하겠다"고 말했다.

EU의 GDPR 가이드라인은 행정안전부의 개인정보보호 종합포털에서 자세히 볼 수 있다. 


lsh5998688@

이런 일&저런 일

    더보기