◆ 향후 유럽연합(EU) 내 특정 개인을 식별할 수 있는 정보를 처리하는 국내 기업의 경우 관련 법규에 보다 세심한 주의를 기울여야 할 것으로 전망된다.

앞서, 유럽연합 의회(European Parliament)는 통일된 개인정보 처리 기준을 세우고자 지난 4월 말 통합개인정보보호 법규(European Union General Data Protection Regulation·GDPR)를 의결했다.

GDPR은 가이드라인 설정, 통합 감독 시스템 정비 등의 절차를 거친 뒤 오는 2018년 5월 25일부터 본격적으로 시행될 예정이다.

GDPR은 현재 시행 중인 EU 개인정보보호지침에 상당 부분 기반을 두고 있지만, 상당한 파급력을 지닌 규정들을 새로 도입한 점이 특징이다.

특히, GDPR은 개인정보의 처리를 결정·지시하는 자에 대해 적법 처리에 대한 '입증책임'을 부과하고 있다. 이에 더해 개인정보를 보다 투명하게 처리할 것과 관련 법규를 지속적으로 준수할 의무 또한 부과된다.

GDPR의 적용범위 역시 크게 확대됐다. EU 역내에 설립되거나 역내 사무소를 둔 기업이 역외에서 개인정보를 처리하는 경우에도 GDPR이 적용될 수 있기 때문이다.

아울러, EU 역내에 사무소를 두고 있지 않은 기업이라도 상품·서비스의 제공과 관련해 역내 거주자의 개인정보를 처리하는 경우 GDPR의 적용 대상이 될 수 있다.

제재 수단도 강화되는 추세다. 관련 법규를 위반한 경우 최고 2천만유로 또는 직전연도 전 세계 매출액의 4% 중 큰 금액이 과태료 상한선으로 부과된다.

기업의 연간 매출액 산출 시 글로벌 계열사들의 매출액을 합산한다는 점을 감안하면, EU 역내 거주자의 개인정보를 유출하는 등 중대한 위반을 한 경우 어마어마한 액수의 과태료에 직면할 수 있다는 점을 특히 주의해야 한다.

현재 EU 역내 거주자를 상대로 제품·서비스를 제공하고 있는 국내 기업뿐 아니라 진출 계획을 갖고 있는 국내 기업들도 하루빨리 GDPR에 대비해야 하는 이유인 셈이다. (이형수 법무법인 충정 변호사, 제스퍼 네벌라이넨(Jesper Nevalainen) 영국 Bird & Bird 변호사)

jwon@yna.co.kr

(끝)
저작권자 © 연합인포맥스 무단전재 및 재배포 금지