한국인터넷진흥원(KISA)이 다음 달 발효되는 유럽연합(EU) 개인정보보호규정(GDPR) 대응을 위해 연내 'EU 적정성 평가'를 완료한다. 관련 법 시행에 어려움을 겪는 스타트업·중소기업을 위해 GDPR 설명회를 열고 책자 등을 발간한다.
권현준 KISA 개인정보정책단장은 “GDPR는 혼란을 가져오는 'Y2K'가 아니다”라면서 “EU도 법을 제정하고 아직까지 정비하고 있기 때문에 악의적 정보 유출사고 등이 없으면 우리기업도 충분히 대응 가능하다”고 29일 말했다.
GDPR는 EU가 2016년 5월 개인정보보호 권리신장과 디지털 단일 시장에서 개인정보의 자유로운 이동을 위해 제정했다. 2년 유예기간을 지나 내달 25일 발효된다.
GDPR는 EU 입법 형식 가운데 규칙(Regulation)으로 EU회원국뿐 아니라 EU 내 개인정보주체 정보를 처리하는 EU 역외 기업에도 적용된다. 법 위반 시 최대 매출액 4%나 2000만유로(260억원) 과징금이 부과된다.
KISA는 'EU 적정성 평가'를 연내 완료해 기업 부담을 최소화한다. EU 적정성 평가는 EU가 제3국 개인정보 보호 수준이 적정한지 평가하는 제도다. 인정받은 국가의 기업은 별도 규제 없이 개인정보를 EU로부터 역외 이전할 수 있다.
권 단장은 “올해 EU 적정성 평가를 받으면 우리나라가 세계 첫 사례가 될 것”이라면서 “개별 기업이 EU 개인정보를 국외로 이전하기 위해 들이는 비용과 시간을 최소화 할 것”이라고 말했다.
GDPR 시행을 앞두고 가장 고민이 많은 곳은 중소·스타트업 등 자본과 인프라가 부족한 기업이다. 금융·온라인 사업자 등 대기업군은 데이터보호책임자(DPO) 선임을 마쳤고 사내 GDPR 태스크포스(TF)를 운영하는 등 법 시행 대응에 착수했다.
권 단장은 “소규모 기업이 느끼는 막연한 두려움을 알고 있다”면서 “GDPR가 우리나라 법체계와 달리 주관적 해석을 열어 놓고 있는 만큼 법안 사례 위주로 교육콘텐츠를 개발해 정기적 세미나를 열 계획”이라고 말했다.
KISA는 GDPR 발효 전 기업 대상으로 세 차례 세미나를 연다. 시행 당일에는 GDPR 총정리 핸드북, 홍보물을 제작·배포한다. 법 시행 후에도 한 달에 2회 이상 세미나를 개최한다.
중기·스타트업 직접 지원에도 나선다. 내년 중소기업 대상으로 GDPR컨설팅 서비스를 지원한다. 권 단장은 “200개 기업 지원을 계획”이라면서 “최대한 많은 기업에 혜택을 받도록 관련 부처와 협의한다”고 말했다.
정영일기자 jung01@etnews.com