2019년 구글은 EU의 일반개인정보보호법(GDPR)을 위반해 약 664억 원의 과징금을 부과받았다. 투명성 요건 위반 및 개인정보 사용의 명시적 동의가 없어서다.
EU에 진출하려는 국내 기업들도 GDPR 위반에 주의해야 한다는 경고가 속속 나오고 있다. 지난 3월 30일 개인정보보호위원회는 EU와 한국 간 적정성 논의가 성공적으로 마무리됐다고 밝혔다. EU 시민의 개인정보를 국내로 자유롭게 이전ㆍ처리할 수 있는 장이 열린 것이다.
GDPR 초기결정으로 EU 시민의 데이터 활용 길이 열렸지만, 이에 따르는 책임 또한 의식해야 한다는 지적이 이어졌다. 173호의 전문과 11장 99개 조항으로 구성된 GDPR은 기존 규칙보다 정보 주체 권리와 기업의 책임을 강하게 부과하고 있다. EU에서 사업을 진행하려는 기업들이 GDPR 컴플라이언스에 대해 숙지하고 있어야 한다는 주장이 나오는 이유다.
특히 국내 기업이 가장 많이 진출해있는 EU 국가 중 하나인 독일 또한 GDPR을 엄격히 적용하는 추세다. 실제 인포스먼트 트래커(Enforcement Tracker)의 GDPR 과징금 부과 조사에 따르면 독일은 국가별 과징금 부과액 순위에서 3위를 차지했다. 30건에 대해 약 4918만 유로(한화 654억 원)를 부과한 것으로 나타났다.
실제 독일은 패션기업 H&M이 운영하는 콜센터에서 직원들의 개인정보를 적법한 절차에 따라 처리하지 않아 2020년 약 465억 원의 과징금을 부과하기도 했다. 내부고발로 언론에 보도된 후 감독기구가 조사를 진행해 발표된 사례다.
과징금 부과액을 가장 많이 부과한 국가로는 이탈리아가 꼽혔다. 58건에 대해 7107만 유로(한화 약 945억 원)를 징수했다. 과징금 부과 건수 기준으로는 스페인이 205건을 부과, 2517만 유로(한화 약 334억 원)의 철퇴를 내렸다.
기업들은 과징금 부과를 피하기 위해 어떤 부분에 중점을 두고 대비해야 할까. 인포스먼트 트래커의 조사에 따르면 GDPR 시행 후 누적 과징금은 2억7287만 유로(한화 약 3628억 원)다. 과징금 부과 1위 사유로는 ‘적법 처리 근거 부족’이 219건(60%)을 차지, 1억6460만 유로(한화 약 2188억 원)를 징수했다.
그중에서도 기업들이 애로사항으로 꼽는 항목은 ‘기술적ㆍ관리적 보안 조치 미흡’에 따른 과징금 부과다. 해당 조사의 2위 사유로, 129건에 대해 6533만 유로(한화 약 868억 원) 이 부과되기도 했다.
정수연 한국인터넷진흥원(KISA) 개인정보협력팀 책임은 “우리나라 법의 경우 굉장히 상세하고 체계적으로 기술적ㆍ관리적 보안 조치가 어때야 하는지 안내하고 있는 반면, EU는 사업자에게 많이 맡기고 있다”며 “EU는 사업자별로 취급하는 개인정보의 양이나 민감정보가 상이해 하나의 기준으로 일원화할 수 없다는 입장”이라고 설명했다.
이어 “GDPR에서는 전문 DPO(데이터 보호 책임자)가 임명돼있는지, 개인정보 영향평가를 실행했는지, 평가를 잘 기록하고 있는지 등을 검토하도록 하고 있다”고 덧붙였다.
이와 관련 KISA에서는 GDPR 대응지원 센터를 통해 과징금 부과 및 산정의 기준을 안내하고 있다. 영세ㆍ중소ㆍ중견기업에 한해 GDPR와 CCPA(미 소비자프라이버시법) 종합 컨설팅을 진행할 예정이기도 하다. 5월 3일부터 3주간 지원 대상을 모집, 전액 무료로 컨설팅을 진행한다.
윤재석 KISA 개인정보협력팀 팀장은 “GDPR에서는 기록 및 관리의 중요성에 대해 강조하고 있다”며 “개인정보를 관리하고 처리하는 데 있어서 여러 수준이나 방법에 대한 기록을 잘 만들어 놓으면 개인정보 문제가 발생해도 거기에 대한 책임은 상당히 경감되거나 없어질 수 있을 것”이라고 조언했다.