[뉴스토마토 박현준기자] 유럽 시장을 공략하는 국내 기업들은 앞으로 개인정보보호 준수 여부를 스스로 입증해야 한다. 개인정보보호 의무를 위반할 경우 무거운 과징금이 부과돼 국내 기업들의 철저한 준수가 요구된다.

 

 

정현철 한국인터넷진흥원(KISA) 개인정보보호본부장은 19일 서울 삼성동 코엑스에서 열린 개인정보보호페어 2017의 기조연설자로 나서 "내년부터 시행되는 유럽 개인정보보호법(GDPR)은 기업들에게 개인정보보호 여부를 스스로 입증할 것을 요구한다"며 "정보보호 인증을 받거나 관련 활동을 문서화하는 것이 필수적"이라고 말했다.

 

GDPR은 2018년 5월25일부터 유럽연합(EU)과 관련된 모든 기업들을 대상으로 시행된다. EU 소속 기업들과 거래를 하거나 EU 시민들의 개인정보를 다루는 기업들이 GDPR을 위반할 경우 과징금이 부과된다. GDPR은 ▲온라인 시장 활성화 ▲정보주체의 권리 확대·기업의 책임성 강화 ▲개인정보보호 거버넌스 체계 마련 등을 목적으로 한다. 모든 EU 회원국들에게 직접적으로 적용돼 각 국가의 별도 입법이 필요 없다.

 

GDPR의 개인정보를 보호한다는 취지는 국내 개인정보보호법과 차이가 없다. 하지만 국내 법 만큼 개인정보보호 관련 준수 사항을 구체적으로 적시하지 않았다. 기업 스스로 개인정보보호를 위한 노력을 기울였다는 것을 입증해야 하는 것이 차이점이다. 정 본부장은 "GDPR은 합리적·기술적 개인정보보호 조치를 취했다는 것을 기업 스스로 입증할 것을 요구한다"며 "PIMS(개인정보보호 관리체계)나 ISMS(정보보호 관리체계) 인증을 취득하거나 각종 정보보호 활동을 문서화해 입증 자료를 평소에 준비해야 한다"고 말했다.

 

GDPR을 위반할 경우 과징금이 부과된다. EU가 심각한 위반을 했다고 판단한 기업은 전세계 연간 매출액의 4% 또는 2000만 유로(약 253억원) 중 높은 금액을 과징금으로 내야 한다. 일반 위반의 경우 전세계 연간 매출액의 2% 또는 1000만 유로(약 127억원) 중 높은 금액이 과징금으로 부과된다.

 

김석진 방송통신위원회 상임위원은 축사를 통해 “IT의 변화는 데이터에서 시작하는데 그 중심에는 개인정보가 있다"며 "개인정보의 활용은 거스를 수 없는 시대적 요구인만큼 기업들은 개인정보보호에 대한 투자를 아끼지 말아야 할 것"이라고 말했다.

 

한편 오는 20일까지 이틀간 열리는 개인정보보호페어 2017에는 40여개 정보보호 관련 기업들이 참가하며 4500여명이 참관할 예정이다.

 

박현준 기자 pama8@etomato.com