[아이뉴스24 김국배기자] 역사상 가장 엄격한 개인정보보호 규정으로 평가받는 유럽 일반 개인정보보호법(GDPR) 시행이 1년 앞으로 다가오면서 국내 기업들에 대한 우려도 커지고 있다.
이 법은 유럽연합(EU) 회원국 내 소재한 기업뿐만 아니라 EU 거주자의 개인정보를 저장하는 전 세계 모든 기업에 적용되는데 사실상 전혀 대비가 안 된 기업이 국내에도 많을 것으로 추정되기 때문이다.
17일 기준 2018년 5월 25일 GDPR 시행까지 373일(만 1년 8일)이 남은 상태다.
GDRP은 기업이 필요한 기간에 한해서만 데이터를 보관하고 있다는 것을 입증하는 동시에 당사자가 요청하면 개인정보를 삭제할 의무가 있다. 개인정보 당사자의 '잊혀질 권리'를 보장해야 한다는 뜻이다.
실제로 구글은 EU 시민권자에 한해 개인정보 삭제 페이지를 만들었고 60만 건의 삭제 요청이 있었던 것으로 전해진다.
과징금은 상당히 센 편이다. 위반 시 2천만 유로(약 248억원) 또는 총 매출의 4% 중 더 큰 금액이 과징금으로 부과된다. 매출 기준도 유럽 지역 등이 아니라 글로벌 전체 매출로 따진다.
높은 과징금 탓에 GDPR를 준수하지 못한 경우 정리 해고와 같은 인력 감축으로까지 이어질 수 있을 것으로 전망된다.
그러나 여지껏 기업들의 대비는 미흡하다.
베리타스가 시장조사업체 벤슨 본을 통해 미국, 영국, 독일, 프랑스, 한국, 호주, 싱가포르, 일본 8개국 900명의 최고정보책임자(CIO) 등을 대상으로 진행한 '2017 GDPR 보고서'에 따르면 GDPR 대비를 위해 어떤 조치도 하지 않은 기업이 절반이 넘는 54%로 나타났다.
'우리 회사는 GDPR에 준비가 돼 있다’는 기업은 10개 기업 중 3개에 불과하다. 한국도 동일한 비중을 나타냈다.
또 GDPR 시행까지 1년 남짓한 기한이 남았지만 충분한 시간이 아니라는 지적이 나온다. 베리타스 조사 결과에서도 국내 응답자의 61%가 규제 적용 기한을 준수할 수 있을 지 우려하는 것으로 나타났다.
데이터를 효과적으로 도입할 수 있는 기술 도입이 시급한 배경이다. GDPR은 기업이 요청을 받는 경우 매우 짧은 시간 내 개인식별 정보를 찾아낼 수 있어야 한다고 규정하고 있다.
박철민 베리타스 글로벌 정보거버넌스 프랙티스 리드는 "유럽 금융 고객사의 경우 작년 4월부터 준비하면서도 상당히 타이트(tight)하다고 말하고 있다"며 "1년 남았다곤 하나 넉넉한 기간이 아니다"고 지적했다.
이어 "한국은 개인정보보호법, 개인정보 유출 사고 등을 겪어 개인정보보호 관련 법률에 대한 인식은 상대적으로 높은 편이지만 GDPR 준비는 이제 시작 단계"라고 덧붙였다.
김국배기자 vermeer@inews24.com
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기