GDPR, 기업의 책임성 강화 초점... 자율적 보안과 전문성 강화돼야
정보주체 강화와 개인정보 활용 적법성 등 개인정보 보호와 활용 조화 필요

[보안뉴스 김경애 기자] 지난 5월 25일부터 본격 시행된 유럽 개인정보보호법 GDPR이 국내를 비롯해 전 세계적으로 영향을 미치면서 기업들의 움직임이 분주하다. 구글과 대한항공 등은 개인정보보호 정책을 변경한 메일을 발송했으며, EU 국가로부터의 접속을 차단 조치하는 기업들도 생겨나고 있다.


이러한 가운데 국내 최대 규모 개인정보보호 콘퍼런스 PIS FAIR 2018 2일차에서 ‘GDPR 시행에 따른 우리 기업의 대응방안’이란 주제로 한국인터넷진흥원 개인정보보호본부 정현철 본부장이 발표해 눈길을 끌었다.

첫 번째 키노트 스피치에서 정현철 본부장은 GDPR 시행 전후 변화와 GDPR 제정 배경과 목적, 우리 기업이 알아야할 GDPR 주요 내용, 대응현황 및 개선과제에 대해 발표했다.

1. GDPR, 기업 책임성 강화... 주요 변화 ‘인지’해야
GDPR에 대해 정현철 본부장은 △디지털 싱글마켓에 적합한 통일되고 단순한 프레임워크 △권리와 의무 강화 △현대화된 개인정보보호 거버넌스 체계 마련을 핵심으로 해석했다.

단일 개인정보보호법을 적용하는 원스톱샵 매커니즘이란 얘기다. 특히, 정보주체 권리가 확대됨으로써 DPO 지정, 개인정보 유출 통지 신고제 도입 등 기업의 책임성이 강화됐다는 것. 뿐만 아니라 개인정보 감독기구 간에 협력을 강화하고, 법 적용의 일관성을 보장하기 위한 European Data Protection Board를 설립했고, 비례적인 제재 성격의 과징금이 부과되는 게 특징이다.

기업의 책임성 강화와 관련해 정현철 본부장은 “피고용인 250명 이상인 컨틀롤러와 프로세서는 GDPR 준수를 입증하기 위해 본인의 책임하에 개인정보 처리활동의 기록(문서화)을 유지할 것”을 당부했다.

또한, 피고용인이 250명 이하여도 정보주체 권리와 자유에 위험을 초래하는 경우 민감정보 처리, 유죄판결 및 형사범죄와 관련된 개인정보 처리 시 처리활동 기록이 필요하다고 덧붙였다.

문서화 내용에는 컨트롤러의 이름, 및 연락처, 처리목적이 표기되고, 제3국으로 개인정보가 이전되는 경우 국외 이전 방식에 대한 체계와 보호조치, 보유기간, 기술적 보안조치 등이 필요하다고 설명했다.

2. GDPR 개인정보처리 원칙과 적법성 ‘주목’
개인정보 처리에 있어 ①적법성, 공정성, 투명성 ②목적 제한 ③개인정보 처리의 최소화 ④정확성 ⑤보유기간 제한 ⑥무결성, 기밀성 ⑦책임성 총 7가지 원칙에 주목해야 한다고 밝혔다.

이어 기업들이 주로 선택 가능한 적법성 원칙으로 ①동의 ②계약이행 ③법적의무 ④정보주체의 중대한 이익 ⑤공익 ⑥정당한 이익이라는 개인정보 처리의 6가지 적법성에 대해 설명했다.

3. 기업 자율성 및 전문성 ‘강화’
기업의 개선과제로 정현절 본부장은 기업 자율성 및 전문성 강화와 개인정보의 보호와 활용의 조화를 꼽았다.

기업의 자율성 강화와 관련해 정 본부장은 “기업내 또는 외부로부터 법적·기술적 판단을 내릴 수 있는 전문가가 필요하다”며 “또한, 국내 법은 명확한 기업의 준수사항을 제시하고 있는 반면, GDPR은 기술적 관리적 보호조치의 최소한의 기준을 제시하고 있어 기업의 자율적인 보호강화 조치가 수반돼야 한다”고 당부했다.

이어 전문성 강화와 관련해 그는 “기업과 정보주체 서로 간에 이익이 있어야 한다. 기업은 정보주체에게 신뢰를 얻어야 하고, 기업은 신뢰를 바탕으로 개인정보 보호와 활용의 밸런스를 맞춰야 한다”며 “개인정보 영향평가의 경우 1회성으로 끝나는 게 아니라 지속되는 라이프사이클이기 때문에 기업에서는 GDPR을 지켜야 하는 규제로만 인식하기보단 소비자들의 정보를 보호하기 위한 진지한 고민을 하는 계기로 삼아야 한다”고 강조했다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>