한국인터넷진흥원(KISA)이 유럽연합(EU)의 강화된 개인정보 보호 규정(GDPR)에 대비해 국내 중소기업을 지원하기 위한 센터를 현지에 개소한다.
KISA는 29일 이 같은 내용의 자체 GDPR 대응 방안을 공개했다. 권현준 KISA 개인정보정책단장은 “GDPR와 관련해 국내 기업 지원을 위한 예산 편성을 (관계 부처에) 조만간 요청할 계획”이라며 “이를 통해 유럽 현지에 지원 센터를 개소해 직접 법률과 행정 절차 상담을 진행하겠다”고 설명했다.
강력한 개인정보보 규정인 GDPR은 모든 EU 국가와 이 지역 국민을 대상으로 사업하는 기업들을 대상으로 다음달 25일부터 시행된다. 기업은 고객의 개인정보를 수집하거나 처리할 때 반드시 사전 고지와 동의를 거쳐야 하고 전담 책임자를 지정해야 한다. 특히 인종이나 종교 등 민감한 개인정보는 원칙적으로 저장할 수 없고 만 16세 이하의 아동과 청소년은 친권 보유자의 동의를 받아야 한다.
GDPR에서 가장 우려되는 대목은 과징금이다. 우선 일반적인 사항을 위반했을 때는 1,000만유로(약 124억원) 또는 전 세계 매출액의 2% 중 높은 금액의 과징금 처분을 받을 수 있다. 만약 개인정보 처리 원칙이나 사전 동의 조건 등 중요 규정을 위반하면 과징금 부과액이 2배로 높아진다. 권 단장은 “과징금이 상당히 높은 수준이기 때문에 국내 기업은 자사가 GDPR 적용 대상이 되는지부터 고민하는 것 같다”고 말했다.
국내 기업이 EU 고객의 개인정보를 한국 서버에 저장하는 것도 문제다. EU 집행위원회는 제3국의 개인정보 보호 수준을 직접 판단해 4년마다 인증을 해주는데 평가를 통과하지 못하면 개인정보를 다른 지역에 이전할 수 없다. 한국은 일본과 함께 적정성 평가를 받고 있어서 당장 기업이 국내 서버에 EU 고객의 개인정보를 담아둘 수는 없는 상황이다. 다만 KISA와 방송통신위원회는 조만간 한국이 EU 집행위의 적정성 평가 인증을 받을 것으로 전망하고 있다.