<이미지 / TechEurope>

[뉴스비전e 김혜진 기자] 공포의(?) GDPR 시행이 5월로 다가오면서 유럽존 국자들의 준비가 속속 이뤄지고 있다.

GDPR은 유럽내 지사를 갖고 있는 대기업들을 개인정보처리를 최초 수집 단계 뿐 아니라, 이를 처리하고 관리하는 전과정까지 동의를 받는 등 현 수준보다 훨씬더 강화하는 기준이다.

개인정보보호법을 따르는 국내 기업들도 사업범위가 유럽에 걸쳐 있을 경우 이 기준을 충족하지 않을 경우, 연 매출액의 4% 또는 250억원 중 더 많은 쪽에 해당하는 과징금을 부과받을 수 있어 '공포스럽다'는 표현도 붙여지고 있다.   

유럽내 국가들이 GDPR을 준용할 수 있는 제반 프로세스 마무리에 들어가고 있다. 특히 유럽내 주요 국가인 프랑스가 이에 대한 소프트웨어 도구 개발을 완료했다. 한국 기업들의 대응 속도도 높여야 한다는 지적이다. 

 

◆프랑스 개인정보보호감독기구, 오픈소스 기반 SW 개발 완료

프랑스 개인정보보호감독기구(CNIL)가 유럽 GDPR에서 요구하는 프라이버시 영향평가(PIA, Privacy Impact Assessment)를 데이터 콘트롤러가 수행하는데 도움을 줄 수 있는 '오픈소스 기반 소프트웨어 도구'를 개발했다고 국제 개인정보전문가 협회(iapp, The International Association of Privacy Professionals)가 최근 밝혔다.

유럽연합은 오는 5월 25일 일반개인정보보호규정(GDPR)의 시행에 들어가는데, GDPR의 제35조는 개인의 권리와 자유에 고위험을 미칠 수 있는 경우 개인정보 처리에 있어 영향평가를 시행토록 규정하고 있다.

영향평가를 통해 데이터 콘트롤러는 처리 활동 개시 전 '고위험'의 성격과 심각성을 평가하도록 하고, 이를 통해 위험을 감소시키기 위한 적절한 활동을 수행할 수 있다.

또한 '고위험'은 정의되지 않았지만 35조에서 어떠한 경우 영향평가가 필요한지 설명하고 있으며, 개인정보보호영향평가(WP29 PIA Guidance)에는 GDPR에서 고위험 처리에 있어서 처리에 필요한 가이던스를 제시하고 있다.

프랑스 개인정보감독기구의 PIA 소프트웨어는 개별 사용이 가능한 윈도우와 MacOS 또는 리눅스 버전으로 다운로드 가능하며, 기업의 네트워크에 설치될 수 있고 기존의 시스템과 통합이 가능하다.

프랑스의 영향평가 소프트웨어는 '책임성과 처리되는 데이터를 포함한 개인정보 처리의 유형, 목적, 배경', '비례성, 필요성, 정보주체의 권리 등 기본적인 원칙에 대한 컴플라이언스 정보', '특정한 처리 맥락에서 발생할 수 있는 잠재적인 프라이버시 위험과 프라이버시 위험을 감소시키기 위한 방안' 등 GDPR 37조7항에서 정의된 PIA의 특정 범위를 수행한다.

< 파리에 위치한 프랑스 개인정보보호감독기구 / CNIL >

PIA 소프트웨어는 GDPR에 이미 친숙한 사람들에게는 사용하기 용이하다.

이용자가 PIA 도구를 열고 맥락(context), 기본적 원칙(fundamental principles), 위험(risks) 및 확인(validation) 등 4개 섹션의 질문에 대해 답을 적어 넣으면, 소프트웨어는 잠재적 영향, 위협, 원임 및 대응방안 등에 상응하는 개별 위험을 매핑한다.

아울러 개별위험의 심각성(gravity)과 발생가능성(probability)에 근거해 '정의되지 않음(undefined)', “무시할 수 있는(negligible)', '제한된(limited)', '중요한(important)', '최대의(maximum)'등 계층화된 점수를 제시한다.

이후 소프트웨어는 개별위험의 상대적인 위치를 보여주는 '위험 맵(risk map)'도 보여준다.

또한 각각의 PIA 부문에 '수정이 필요(to correct)', '개선 가능한(improvable)', '수용 가능한(acceptable)' 등의 평가 기준을 제공한다.

국제 개인정보전문가 협회(iapp)는 "프랑스 개인정보보호감독기구(CNIL)가 이번에 개발한 소프트웨어가 PIA를 수행하는데 있어 많은 도움을 줄 것"이라고 설명했다.

 

◆코앞에 둔 GDPR...기업, 10곳 중 7곳 위반 예상

이처럼 유럽 내 국가들의 GDPR 대응을 위한 프로세스가 완료되 가고 있음에도 상당수 기업들은 이에 대한 준비가 미흡한 상황이다. 

베리타스테크놀로지가 발표한 '2018 데이터 관리 전망' 보고서에 따르면 조사기업 10곳 중 3곳 (31%) 정도만 GDPR을 준수하고 있는 것으로 나타났다. 

현 상황에서 GDPR이 시행되면, 기업 10곳중 7곳 가까이가 과징금을 부과 받게 된다는 의미다. 

이에 대해 개인정보보호위원회 관계자는 뉴스비전e와의 통화에서 "인터넷 서비스, 온라인 쇼핑 등 유럽에 거주하는 정보주체에게 물건을 팔거나 서비스를 제공할 경우 이 기준의 적용에서 벗어나기 쉽지 않을 것"이라고 예상했다. 

특히 수출 중심의 한국은 유럽과의 GDPR 위반 논란에서 기준을 받아들이지 않을 경우, 지난해 사드 문제로 인한 중국으로부터의 무역보복 수준과 버금가는 마찰 및 피해가 발생할 수도 있다는 우려가 제기된다.  

저작권자 © 뉴스비전e 무단전재 및 재배포 금지