유럽 개인정보보호법 시행 1년…국내 제도개선 '제자리걸음'
"적정성 검토 우선순위 상실 우려…국내 기업 벌금사례 나올 수도"
(서울=연합뉴스) 채새롬 기자 = 유럽 단일 개인정보보호법(GDPR)이 이달 25일로 시행 1년을 맞는다. 우리나라는 제도 미비로 유럽 GDPR 적정성 검토 우선순위를 상실할 수 있다는 우려가 나온다. 이런 상황이 지속한다면 곧 국내 기업 중 벌금 피해가 나올 가능성도 배제할 수 없다.
12일 한국인터넷진흥원(KISA)과 EU에 따르면 작년 5월 25일 GDPR 시행 이후 올해 1월 기준 EU 역내 감독기구에 법 위반 혐의 신고가 9만5천건을 넘었고, 개인정보 유출 통지는 5만 9천건 이상 접수됐다.
KISA가 작년 국내 기업 대상 GDPR 전담 상담 창구를 개설해 운영한 결과 GDPR 적용 여부와 조항별 해석에 대한 문의가 230여건에 달했다.
최광희 KISA 개인정보정책단장은 "민원 접수와 유출 통지 접수가 늘고 있어 앞으로도 과징금 부과 사례가 늘 것으로 예상된다"며 "국회에 계류 중인 개인정보개정안이 조속히 통과되지 않는다면 우리나라도 벌금 사례가 나올 수 있다"고 우려했다.
GDPR은 유럽 시민의 개인정보보호를 강화하기 위해 제정된 통합 규정으로, 우리나라 등 유럽 역외 기업도 EU 시민의 개인정보를 수집하려면 GDPR을 준수해야 한다. 이 법을 위반한 업체에는 수익의 4% 또는 2천만 유로(260억 원 상당) 가운데 더 많은 액수를 벌금으로 부과하도록 규정하고 있다.
올해 1월에는 구글이 프랑스에서 적절하게 이용자의 동의를 받지 않고 맞춤형 광고를 보낸 혐의로 벌금 5천만 유로(약 653억원)를 부과받았다.
현행 규정에 따르면 한국 기업이 EU 시민의 개인정보를 처리하려면 별도의 계약을 체결하고 감독기구의 규제 심사를 거쳐야 한다. 적정성 평가 승인을 받으면 해당 국가 기업이 규제 없이 EU에서 자유롭게 영업활동을 할 수 있게 된다.
EU는 2017년 1월 한국과 일본을 우선 협상국으로 지정했지만, 일본만 올해 1월 최종 승인을 받았다. 우리나라는 개인정보보호법 개정안이 통과되지 않아 관련 논의가 멈춘 상태다.
작년 11월 발의된 개인정보보호법 개정안(인재근 의원 대표발의)은 개인정보보호위원회의 독립성 강화, 데이터 활용을 위한 가명정보 제도화 등 내용을 포함하고 있어 EU 적정성 결정 속행을 위한 선결과제로 꼽힌다.
최광희 단장은 "우리나라에서 EU를 타깃으로 한 기업체 수는 파악이 어렵지만, EU에 진출한 국내 기업 수만 700여개에 달한다"며 "적정성 결정이 지연될 경우 다른 국가로 우선순위를 상실할 가능성이 있어 빠른 법 개정이 필요하다"고 강조했다.
srchae@yna.co.kr
(끝)
<저작권자(c) 연합뉴스, 무단 전재-재배포 금지>
뉴스