[아이뉴스24 성지은 기자] "불필요하게 수집한 개인정보는 앞으로 자산이 아니라 리스크가 될 것입니다."
유럽연합(EU) 일반개인정보보호법(GDPR) 시행 한 달여를 앞두고 11일 서울 코엑스에서 열린 'EU GDPR 대응 포럼'에서는 개인정보수집·처리와 관련해 인식의 전환이 필요하다는 목소리가 나왔다.
주제발표를 맡은 김선희 법무법인 율촌 변호사는 "언제 어떻게 쓰일지 모르지만 (기업들은) 그동안 최대한 많은 개인정보를 수집하고 보관했다"며 "이제는 개인정보처리의 최소화 원칙에 따라 인식을 전환할 때"라고 강조했다.
이 같은 변화가 필요해진 이유는 정보주체의 개인정보보호 권한을 강화한 GDPR이 내달 25일 본격 시행되기 때문이다.
GDPR은 기존 개인정보보호 지침(Data Protection Directive 95/46/EC)을 대체하고 직접적인 구속력을 갖는 법률로, EU 소속 28개 회원국에 공통 적용된다. EU 기업은 물론 EU에서 사업을 하는 역외 기업도 GDPR 적용 대상이다.
해당 법률의 심각한 위반 시엔 최대 전 세계 매출액의 4% 또는 2천만유로(한화 약 264억원)의 과징금이 부과된다. 만약 기업이 무분별하게 개인정보를 수집하고 관리소홀로 개인정보가 유출되면 과징금 폭탄을 맞을 수 있다는 의미다.
이 때문에 목적에 맞게 필요한 만큼 개인정보를 수집하고 관리하는 등 GDPR에서 명시한 규정에 맞춰 대응하는 노력이 필요하다.
◆개인정보 생성주기·업무현황 파악 선행돼야
GDPR은 관련 조항만 99개에 달할 정도로 적용 범위와 내용이 광범위하다. 이에 기업들은 GDPR에 대비하는 데 어려움을 겪고 있는데, 이날 포럼에서는 개인정보 생성주기를 파악해 GDPR에 대응해야 한다는 조언이 나왔다.
김선희 변호사는 "개인정보가 어떻게 수집되고 활용되며 누구와 (정보를) 공유하는지 얼마나 보관하는지 이후 어떻게 파기하는지 생성주기를 관리해야 한다"며 "이 같은 흐름을 파악하는 '데이터 매핑(data mapping)'이 필요하다"고 말했다.
기업사례를 발표한 SK이노베이션은 업무현황 파악을 강조했다. 먼저 기업현황을 파악하고 GDPR이 기업에 어떻게 영향을 미칠지 예측해야 한다는 것.
장옥희 SK이노베이션 과장은 "SK이노베이션은 원유를 사들이고 정제해 글로벌 시장에 되파는 기업이기 때문에 별도로 인터넷 서비스는 제공하지 않는다"며 "해외 지사의 고용 계약과 관련된 사항을 위주로 GDPR을 준비했다"고 말했다.
이어 "지원자정보, 고용계약정보, 퇴사자정보, 거래처정보 등을 유럽에 위치한 각 지사에서 언제 어떤 형태로 수집하는지 파악했다"며 "해당 데이터가 지사에 보관되거나 국내 유입될 때 어떤 시스템에 보관되는지 구분하고 해당 개인정보의 흐름도, 시스템 관련 내부 자산을 파악해 리스트업했다"고 부연했다.
이날 포럼에서는 개인정보보호·관리를 위해 기술적·관리적 보호조치를 취했다는 기록을 남기고, 위급상황에 대처하는 메뉴얼을 선제적으로 준비해야 한다는 조언도 나왔다.
이번 행사를 마련한 한국인터넷진흥원(KISA)은 5월 중 국내 기업이 이용할 수 있는 가이드라인을 내놓고 국내 기업의 대응방안 마련을 도울 계획이다. 오는 27일부터 매주 금요일마다 3차례에 걸쳐 세미나를 개최하고 관련 정보를 전달할 예정이다.
또 내달 31일부터 양일간 열리는 개인정보보호(PIS) 페어에 유럽 집행위원회(EC) 관계자를 초청, GDPR 관련 사항을 공유할 계획이다.
권현준 KISA 개인정보정책단장은 "KISA는 개인정보 관련 업무를 담당하는 공공기관으로 기업들이 GDPR에 대비할 수 있도록 적극적으로 돕겠다"며 "어려움을 문의할 수 있는 온라인 채널([email protected])을 통해 현재 질의를 받고 응대하고 있다"고 말했다.
성지은기자 [email protected]
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기