우리 기업의 GDPR 준비는? 보안 기업 GDPR 인지 조사 Q&A
상태바
우리 기업의 GDPR 준비는? 보안 기업 GDPR 인지 조사 Q&A
  • 이승윤 기자
  • 승인 2018.06.20 09:13
  • 댓글 0
이 기사를 공유합니다

GDPR 유연하게 대응할 수 있는 체계 수립 어려운 점 꼽아

[CCTV뉴스=신동훈 기자] GDPR이 지난 5월 25일 시행된 뒤, 국내 기업들이 발등에 불이 떨어졌다. EU 내 사업을 진행하고 있거나 진출을 계획하고 있는 기업들의 경우 GDPR 규정을 숙지하고 대응 방안을 마련해야 하지만, 국내 개보법과 달라 대응방안 마련에 많은 고심을 하고 있다. 글로벌 기업 및 대기업, 중견기업 등에서는 비교적 잘 준비하고 있으나, GDPR 시행으로 어려움을 겪고 있는 건 마찬가지이다. 본지에서는 GPDR에 대해 어떻게 알고 있는지 그리고 어려운 점은 무엇인지 등 보안기업들의 얘기를 들어보았다.(기업명 가나다순)

Q. 개인정보보호법 VS GDPR⋯더 강한 규제는?

다후아 : 한국 개인정보보호법의 주요목적은 국민의 개인정보 보호이다. 이름, 주민등록번호, 신원으로 사용할 수 있는 모든 정보, 또한 해당 정보가 즉시 신원을 확인 할 수 없지만 다른 정보와 취합하여 사용 가능 한 정보도 포함했다. 8가지 정보 보호 원칙이 포함되어 있어, 크고 작은 모든 공공기관 및 민간기업의 개인 정보 처리자는 모두 이상 원칙을 준수해야 한다.

GDPR은 개인정보보호 및 감시 관리 규제에 있어 전례 없는 높은 수준을 요구하며, 역사상 가장 엄격한 데이터 보호 규정이 될 것이라고 얘기한다. 주요 목적으로는 EU 여러 규범을 하나로 단일화하여 개인 데이터 보호 강화함과 동시에 기업 규정 준수에 들어가는 비용을 줄이는 것이다.

두 법률의 입법 목적은 모두 개인 정보와 관련 데이터를 보호하는 것이지만 개인정보보호법은 한국을 대상으로, GDPR은 EU 대상이며 두 법규의 주제, 대상 및 규범이 다르므로, 객관적으로 어느 쪽이 강한 규제라고 비교할 수 없다.

마크애니 : GDPR이 개인정보보호법보다 실질적인 조치에서 더 강한 규제를 한다고 본다. 기업에서 해킹 등 정보 유출 사고 발생 시 개인정보보호법은 법률에 명시된 기술적, 관리적 조치를 했느냐를 기준으로 그 기업에 대한 처벌에 대한 수위를 정하게 된다. 그러나 GDPR의 경우 유출 사고 발생 시 매출액의 상당 부분을 과징금으로 부과하게끔 명시해 놓았다. 즉, 국내법과 달리 GDPR은 유출 사고 발생 시 처벌의 수위가 기업에게 상당히 큰 타격을 주게끔 설계됐다.

베리타스 : 한국은 지난 2011년 개인정보의 수집과 이용을 제한하는 개인정보보호법을 제정해 시행하고 있다. 하지만, GDPR은 개인정보를 폭넓게 정의하고 있고, 이른 바 ‘잊혀질 권리’로 불리는 삭제권이나 최소 처리원칙과 같이 한국의 개인정보보호법보다 세부적으로 규정하는 조항들이 있기 때문에 기업들은 이러한 차이를 정확히 알아야 GDPR에 제대로 대비할 수 있다.

또한 아동의 동의를 받는 방식도 다르며 국외이전에 대한 부분도 기업들이 준비해야 한다. 한편, 용어의 의미는 유사하나 내용에 있어 많은 차이가 있는 영역도 있는데, 개인정보보호 영향평가(DPIA)의 경우, 평가의 주체·평가방식·평가시점 등에서 차이를 보이고 있어 면밀한 준비가 필요하다.

소만사 : 개인정보보호법이라 생각한다. 개인정보보호법은 개인정보의 보호를 위해 제정되었지만, GDPR의 제정목적은 경제 및 사회적발전, 시장경제강화 및 통합, 개인복지증진 등 개인정보의 활용과 보호의 균형을 이루기 위해 제정되었다. 즉, GDPR은 개인정보의 활용과 자유로운 이동, 과학기술발전 및 활용에 개방적이다. 개인정보보호법의 비식별화처리에 비해 단순한 방식의 가명화를 거치기만 하면 동의 받은 목적 외로 개인정보를 활용할 수 있다.

물론 GDPR에는 보호규정 위반시 전세계 매출의 4%를 과징금으로 부과해야 한다는 중징계 규정이 있다. 3%를 부과하는 개인정보보호법 규정보다 더 강하다.  하지만 개인정보보호법과 달리 형사처벌 규정은 존재하지 않는다. 상대적으로 개인정보보호법의 규제가 더 강한 것으로 보인다.

애니셀 : 이미 국내의 개인정보보호법 자체도 강화된 기준으로 바뀌어 가고 있으므로 이번에 시행되는 EU의 GDPR과 비교시 어느쪽이 강력하다고 평하기는 애매하지만(현지 특성 고려) GDPR은 우리에게 없는 잊힐권리, 정보이전권, 자동화된 개별의사결정 거절권 등 강화된 규정과 법령이 존재하므로 우리보다는 좀 더 구체화되고 실질적인 효력이 강한 규제법령이라고 평가하고 있다.

지란지교소프트 : GDPR이 좀 더 규제가 강하다 생각된다. 개인정보보호법의 경우 좀 더 구체적인 기술적 보호조치에 대해 언급되어 있으며, 이런 보호조치의 규정 준수 여부에 따라 법적 책임이 적용된다. GDPR의 경우 기술적 보호조치가 자율적으로 보일 수 있으나 개인정보의 범위가 매우 넓으며 4차 산업 등의 기본이 되는 자율 처리 절차에 대한 보호, 명시적 동의 절차 및 정보주체의 이동권 보장 등 관리적 조치에 대한 의무와 책임이 매우 엄격하며 이에 대한 처벌 규정도 엄격하다.

한화테크윈 : GDPR이 더 강한 규제라고 생각한다. 개인정보를 보호한다는 큰 틀에서는 차이가 없으나, 첫째, 국내 개인정보보호법에서 규정하는 의미를 포함해 보다 포괄적인 범위를 아우르고 있고, 둘째, GDPR 위반 시 해당 기업의 전체 연간 매출 4% 또는 2000만 유로(한화 약 260억 원)의 높은 과징금이 부과되기 때문이다.

Q. 착수시기 및 준비상황 등 GDPR 준비는?

다후아 : 사내 운영과 다후아에서 제공하는 제품 및 서비스를 적합한 기술과 조직으로 구성하여 해당 부서와 인원에게 구체적인 교육으로 해당 규범을 관철시켜 운영하고 있다. GDPR 전담팀은 운영 및 제품서비스를 담당하며, 각 업체별 내부 운영과 GDPR 서비스 규정준수를 검토를 진행한다. GDPR 요구 사항을 충족시키기 위해 회사의 기존 시스템을 최적화하고 개선하고 있으며 지속적으로 이행 할 수 있도록 지원 조직 관리 문서를 통합했다.

마크애니 : 마크애니는 유럽 지역에 지사를 두고 있는 금융 및 제조업 분야의 고객사가 특히 많은 관계로 기존 고객들이 GDPR 시행에 선도적으로 대응하고 안정적으로 사업을 이어 갈 수 있도록 만반의 준비를 마쳤다.

전체 기사를 보시려면 로그인 필요

로그인 또는 회원가입을 해주세요. (회원만 열람가능)

로그인 회원가입


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
0 / 400
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.