[기자수첩] GDPR는 개인정보 보호의 시작점

유럽에서 시행된다고 해서 우리나라에 영향이 없는 것은 아니다. EU 회원국에 본사 또는 지사 등 사업장을 두고 운영하고 있는 기업, 해당 지역에 진출하지 않았더라도 EU 회원국 국민들의 재화나 서비스를 제공하고 개인정보를 취급하는 기업 모두가 적용 대상이다. 이 법이 시행되면 개인정보를 취급하는 모든 기업은 개인정보를 수집해 활용할 때 반드시 사용자의 동의를 얻어야 한다.

특히나 GDPR는 개인정보보호법을 위반했을 경우 처벌 수위가 강력하다. 개인정보 처리원칙, 동의조건, 정보주체 권리보장 의무 등 규정을 위반하면 해당 기업은 전 세계 매출액의 4% 또는 2000만 유로 중 더 높은 금액을 과징금으로 내야 한다.

이에 개인정보 유출에 민감하게 반응하지 않았던 국내외 기업들도 잔뜩 긴장하고 있다. 최근 영국에서 개인정보 유출이 발생한 페이스북의 경우처럼 해킹 피해가 발생하게 되면 최악의 경우 기업이 문을 닫아야 하는 상황까지도 예상해볼 수 있다.

국내 기업의 경우 대기업들은 수년 전부터 GDPR에 대비해 보안 담당 인력을 채용하고 자체 개인정보 수집 방안을 마련하고 있지만 문제는 중소·벤처기업이다. 기업 규모나 경험상 제대로 대응 역량을 갖추지 못한 상당수 기업들은 발등에 불이 떨어지면서 유럽 서비스 종료를 검토하는 곳도 있는 것으로 알려졌다.

국내에서는 한국인터넷진흥원이 주축이 돼 GDPR에 대비하고 있으며 중소기업벤처부도 무역협회, KOTRA, 중소기업중앙회 등과 협력해 기업설명회를 개최하기로 했다. 개인정보 보호는 기업들이 따라야 할 정책이지만 아직은 기업경영에 부담이 되는 만큼 GDPR의 시행은 기업들의 개인정보보호 대책을 위한 시작점이 될 것으로 보인다.