코트라 "EU, 이달 일반 개인정보보호법 발표…우리 기업 대응 필요"
코트라 'EU의 일반개인정보보호법(GDPR) 발효와 대응과제' 분석 보고서 발간
국제표준 획득·개인정보책임자 임명 등 정보보호 역량 강화 계기 삼아야
코트라(KOTRA)는 이 같은 내용이 담긴 'EU 일반데이터보호법(GDPR) 발표와 대응과제' 보고서를 2일 발간했다.
오는 25일(현지시간) 발효 예정인 GDPR은 EU 역내 투자기업은 물론, EU 시민을 대상으로 한 기업의 활동에 영향을 줄 예정이다. EU 역내에 거점을 운영하면서 해당기업의 활동이 개인정보 처리를 포함하는 경우를 비롯해 역외에 있으면서도 EU에 거주하는 정보주체에게 재화와 서비스를 제공하는 기업에도 적용된다.
GDPR은 최근 기술발전에 맞춰 개인정보의 범위를 확대 규정할 예정이다. IP주소, 쿠키, 위치 정보 등도 개인정보로 간주되고 유전 정보와 바이오 정보를 비롯한 민감한 개인정보는 더욱 엄격한 기준에서 관리하도록 의무화했다.
GDPR은 정보 주체에 동의 이외에도 기업이 활용할 수 있는 개인정보 국외 이전 절차를 명시하고 있다. EU가 상대국의 개인정보 보호체제의 동등성을 평가하는 제도인 '적정성평가'나 구속력 있는 기업 규칙(BCR), 표준계약 조항 등과 같이 GDPR이 정한 방법에 의해서만 개인정보의 EU 역외이정이 가능하다.
또 정보주체의 권리를 전반적으로 강화하는 내용도 담겨 있다. 개인정보책임자(DPO) 임명 등 정보 보호에 대한 기업 의무를 강화하고 법 위반 수준에 따라 기업이 세계에서 벌어들인 매출의 2~4% 또는 1000만~2000만 유로 가운데 큰 금액을 과징금으로 부과하고 있다.
GDPR은 EU 회원국 모두에게 동일하게 적용돼 적용범위가 넓기 때문에 역내외 기업에 대한 영향이 크고 한국을 비롯한 각 나라의 법제에 벤치마킹 될 수 있어 글로벌 규제여건에 영향을 줄 수 있다.
EU의 이번 조치는 EU 회원국 간 개인정보보호법을 통일해 중장기적으로 EU 역내 규제여건을 개선해 시장을 확대할 것으로 기대된다. 하지만 단기적으로는 적응비용이 늘고 불확실성에 직면할 수 있어 기업들에게는 불안요소로 작용할 수 있다.
코트라는 우리 기업과 스타트업들의 최근 대 EU 수출과 투자가 데이터 혁신과 직간접적으로 연계된 통신·컴퓨터·정보서비스업에서 활성화되고 있어 철저한 준비를 요한다고 지적했다.
보고서는 우리 기업들이 개인정보 보호역량 강화를 통해 경쟁력을 높이고 소비자 신뢰도를 향상시켜야 한다고 지적했다.
먼저 정보보안국제표준인 ISO 27001 획득 같은 국내외 다양한 인증제도를 획득해야 한다고 조언했다. 또 DPO 임명 등 선진적인 개인정보 체제 도입, 개인저보 관련 기술·법률적 지식을 갖춘 인력의 적극 영입과 육성을 지적했다.
정부도 GDPR을 비롯해 변화하는 글로벌 개인정보 보호 체제에 대한 이해를 높이고 지속적인 모니터링을 통해 중소중견기업, 스타트업의 지원 수요에 대응할 필요가 있다고 보고서는 지적했다.
윤원석 코트라 정보통상협력본부장은 "4차 산업혁명의 확산을 위해서는 산업생태계 차원에서의 개인정보 보호체제 구축이 중요하다"며 "글로벌밸류체인(GVC)의 성숙과 더불어 해외 협력업체의 개인정보 보호역량이 우리기업에 큰 영향을 주기 때문에 공급 파트너간 보안조치에 대한 상호계약 등이 중요하다"고 조언했다.
[email protected]
Copyright © NEWSIS.COM, 무단 전재 및 재배포 금지