• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

GDPR의 완벽한 대응을 위한 다섯 가지 질문 2017.12.11

KISA, 80여 기업과 함께 EU 집행위 방문...기업 문의사항 답변 공유
GDPR, EU 시민이 아닌 실제 EU 거주자에 적용
과징금 4%는 최대치...11개 기준에 따라 차별적 부과

[보안뉴스 원병철 기자] 2018년 5월 시행을 앞둔 EU GDPR 때문에 관련 기업들의 걱정이 이만저만이 아니지만, 일부 대기업을 제외하고는 제대로 대응하기도 쉽지 않은 상황이다. 특히, GDPR이 막대한 벌금을 부과하기로 하면서 오히려 겁에 질려 포기하는 모습도 보이고 있다. 이에 한국인터넷진흥원은 지난 11월 20일 80여 개의 기업과 함께 벨기에 브뤼셀에서 개최된 ‘한·EU 기업간담회’를 개최하고, EU 집행위에 직접 GDPR과 관련한 내용을 문의하고 의견을 받아왔다.

[이미지=iclickart]


GDPR의 지리적·내용적 접근 범위
브뤼셀에서 KISA와 한국기업들이 문의한 항목 중 첫 번째는 ‘GDPR의 지리적·내용적 접근 범위’였다. 우선 GDPR을 적용받는 ‘사람’들은 ‘EU에 살고 있는 사람’으로만 한정된다. EU 국민이라 할지라도 현재 EU 지역에 살고 있지 않는다면 GDPR에 저촉되지 않으며, 반대로 우리나라 국민이라 할지라도 현재 EU에서 살고 있으면 GDPR에 적용된다. 즉, 그 사람의 ‘위치’가 중요하며, 시민권이나 국적과는 무관하다는 말이다.

또한, GDPR은 명백히 ‘EU 시장’을 염두에 두고 있을 때 적용되며, 때문에 서비스를 유로화로 유통하거나 프랑스어나 독일어 등으로 홈페이지를 구성했을 경우에만 적용된다. 달러나 영어를 기본을 서비스를 제공할 경우에는 GDPR 규제대상이 아니다.

개인정보를 수집하지만 보관만할 뿐 이를 처리하지 않는다면 GDPR 적용대상이 아니지만, 만에 하나 유출될 경우에는 해당 정보의 EU 역내 처리 여부에 따라 GDPR 적용 가능성이 생긴다. 인프라망과 소프트웨어 운용에 관해서는 ‘e-Privacy Regulation’을 참고하면 된다.

GDPR의 개인정보 정의
개인정보 정의에 대한 논의도 있었다. 예를 들면, 교통수단에 부착된 GPS를 통해 수집되는 정보가 개인정보인지 아닌지에 대한 질문에 대해, 이동수단에 탑승한 사람을 특정할 수 있다면, 해당 기기가 수집하는 지리적 정보는 해당인의 신원을 파악할 수 있는 개인정보로 GDPR의 적용대상이 된다는 답변을 얻었다.

같은 이유로 고정 IP는 개인정보에 해당하지만, 매번 변경되는 유동 IP는 사용자 개인으로 연결 짓기 어려운 만큼 개인정보에 해당하지 않는다. 단, 해당 정보를 통해 개인의 신원을 식별할 수 있는 수단과 방법을 갖고 있다면 GDPR이 적용되며, 개인에 대한 파악 가능성은 현 시점의 기술적 수준으로 판단한다.

명시적 동의
그렇다면 개인정보 주체의 동의는 어떤 방식으로 얻어야 하는가? 사실 우리나라는 ‘명시적 동의’를 인정하는 부분이 많은데, EU에서는 어떻게 처리할 것인지가 궁금했던 것. 이에 대해 EU는 자필 문서나 전자문서 서명, 스캔 파일 전송 등을 명시적 동의 수단으로 인정했다. 구두상 동의는 입증하기가 어렵기 때문에 녹화나 녹음, 혹은 문자 인증번호 회신 등도 사용할 수 있다고 봤다. 또한, 기존에 받았던 동의가 GDPR에서 요구하는 사항들을 다 만족한다면 해당 동의는 인정되지만, 미리 동의에 체크된 안내문이나 암묵적 동의에 의한 의사표현은 모두 무효가 된다.

DPO 임명 조건
기업들이 가장 신경 쓰는 부분 중 하나인 개인정보보호 책임자, ‘DPO(Data Protection Officer)’의 임명에 대해서는 기업의 ‘핵심 활동’에서 개인정보를 수집하지 않는다면 꼭 DPO를 임명할 필요가 없다는 답변이 나왔다. 예를 들면, 일반 제조사의 경우 제품을 생산하고 판매하는 것이 핵심 활동인데, 이 과정에서 대규모 개인정보 수집이나 프로파일링을 할 이유가 없기 때문에 굳이 DPO를 채용할 필요가 없다.

이와 반대로 병원의 경우 핵심 활동이 의료 서비스이고, 이 의료 서비스는 반드시 개인 건강과 관련된 정보를 수집해야 하기 때문에 DPO를 임명해야 한다. 즉, 단순히 처리해야 하는 정보가 많을 경우 꼭 DPO를 임명할 필요가 없지만, 개인정보를 대량으로 취급할 경우 DPO가 필요하다는 것.

과징금 부과
마지막으로 기업들이 가장 두려워하는 ‘과징금’의 경우, 우선 그 규모는 법규를 어긴 단일 지사나 법인의 매출액이 아닌, 기업사 전체 매출액을 기준으로 한다. 이는 과징금의 징벌적 성격을 확보하기 위한 조치로, 유령회사나 자매회사를 설립해 규제를 우회하는 편법을 사전에 예방하기 위함이다.

단, GDPR의 과징금 산정에는 11가지 기준이 있으며, 이 기준의 침해 수준에 비례해 과징금이 부과된다. 매출액의 4% 과징금은 11가지 기준을 심각하기 위배한 경우 부과되는 최대치로, 장기간 의도적으로 발생한 침해 사례에만 적용된다. 즉, 대놓고 불법을 저지르지 않는다면 최대치의 과징금이 부과될 일이 없다는 설명이다.

KISA는 ‘GDPR 1차 가이드라인’과 이번 브뤼셀 간담회, 그리고 기업들의 문의사항을 수렴해 GDPR 시행 전까지 ‘GDPR 2차 가이드라인’을 완성한다는 계획이다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>