사회 > 사회일반

EU, 개인정보보호법 강화 …현지진출 기업 위반시 과징금 폭탄

정부, 관련 국내기업에 주요사항 안내 강화
개인정보책임자(DPO) 지정, 영향평가 등 책임 강화
"유럽서 사업하는 기업, 현지법률 준수해 불이익 받지 않아야"
[이데일리 이미나 기자]
[이데일리 송이라 기자] 유럽연합(EU) 회원국의 새로운 개인정보보호 통합 법령인 ‘개인정보보호법(General Data Protection Regulation, 이하 GDPR)’이 오는 25일부터 시행됨에 따라 유럽지역에서 사업체를 운영하는 국내 기업들의 각별한 유의가 요구된다. 법령 위반시 수백억원대의 과징금 폭탄을 맞을 수 있다.

◇개인정보보호법 위반시 매출액 4% 과징금

행정안전부는 10일 “EU에 진출하려는 기업이라면 새로운 규정에 맞춘 대비가 필요하다”며 “정부는 관계부처 합동체계를 구축해 대응하고 있다”고 밝혔다.

GDPR을 적용받는 기업은 EU에 사업장을 운영하는 기업이나 EU 지역 내 사업장은 없지만 인터넷 홈페이지를 통해 EU에 거주하는 주민에게 물품·서비스를 제공하는 기업이다. 또 EU에 거주하는 주민의 행동을 모니터하는 기업도 포함한다.

해당 기업들은 GDPR에 따라 전문지식을 갖춘 개인정보책임자(DPO)를 반드시 지정하고 개인정보 처리활동에 관한 기록을 유지해야 한다. 또 EU 역내에 대리인을 지정하고, 건강이나 유전자, 범죄경력 등 민간한 정보를 대규모로 처리하는 기업은 개인정보 영향평가를 실시해야 한다. 만약 국외 이전 규정 등 중요한 사항에 대해 법을 위반할 경우 전 세계 매출액의 4% 또는 2000만유로(약 250억원) 중 높은 금액으로 과징금을 부과한다.

개별 기업이 EU 주민의 개인정보를 한국으로 가져오는 국외 이전 방안에 대해서는 현재 논의가 진행 중이다.

행안부 관계자는 “EU집행위원회가 특정 기업의 개인정보보호 수준이 EU와 동등한 수준으로 인정되면 별도의 조치 없이 개인정보 이전이 가능하다는 결정을 내리면 매번 EU 회원국 승인을 거치지 않고도 EU에서 한국으로 개인정보를 이전할 수 있다”며 “그렇게 되면 한-EU간 전자상거래 활성화에 기여할 것”이라고 기대했다.

◇적용 대상 여부 판단부터…기업설명회 개최

개별 기업들은 우선 자신이 GDPR의 적용 대상 기업인지 여부를 판단해야 한다. 특히 인터넷을 통해 물품 등을 판매하면서 EU 주민의 개인정보를 처리하는 기업은 상황에 따라 적용 여부가 달라질 수 있다. 예컨대 유럽 현지어로 마케팅 활동을 하거나 현지 통화로 결제하는 경우는 명백한 GDPR 적용대상이지만 국내 홈페이지에 유럽 거주민이 회원가입 후 물품을 구입한 경우는 판단이 달라질 수 있다.

이윤숙 행안부 개인정보보호협력과장은 “현재 EU 집행위원회의 세부 가이드라인 발표가 늦어져 EU에 현지영업소를 두지 않고 인터넷으로만 운영하는 기업에 대해서는 다소 불명확한 부분이 있어 계속 지켜볼 필요가 있다”고 말했다.

정부는 상당수 기업들이 준비가 시급한 상황이라고 보고 5~6월 사이 관계부처 합동으로 기업안내를 대폭 강화할 방침이다. 무역헙회와 코트라, 중소기업중앙회 등 기업협회·단체와의 협력을 통해 기업설명회를 집중 개최하고 참석이 어려운 기업을 위해서는 온라인 교육콘텐츠를 제공한다.

정부가 제작·배포하는 안내서와 해설서 등 교육자료는 한국인터넷진흥원 내 온라인 GDPR 전담창구에서 내려받을 수 있고 5월중 EU집행위원회가 세부 지침을 발표하면 이를 반영한 지침서도 새롭게 제작 예정이다.

정부 관계자는 “유럽에서 사업하려는 기업은 EU 현지법률을 준수해 불이익을 받지 않도록 각별한 관심을 가져야 한다”며 “지금 진행 중인 협의를 신속히 완료해 기업의 부담이 감소될 수 있도록 노력하겠다”고 말했다.

태그