[아이뉴스24 성지은 기자] 유럽(EU) 일반개인정보보호법(GDPR)이 내달 25일 발효되는 가운데, GDPR 전담기관인 한국인터넷진흥원(KISA)이 국내 기업 대응 지원에 나선다.
정보 및 자금 부족으로 GDPR에 대비하기 어려운 중소·벤처기업 등에 컨설팅을 제공한다. 또 내달 31일 열리는 개인정보보호 포럼 'PIS 페어'에 유럽 집행위원회(EC) 관계자를 초청하고 질의응답 등 기회도 마련한다.
한국인터넷진흥원은 중소·벤처기업 등을 중심으로 국내 기업이 GDPR에 대비할 수 있도록 적극 지원한다고 29일 밝혔다.
GDPR은 직접적인 구속력을 갖는 법률로, EU에서 사업을 하는 역외 기업 또한 적용 대상이 된다. 심각한 위반 시엔 최대 전 세계 매출액의 4% 또는 2천만유로(한화 약 264억원)의 과징금이 부과되는 등 강력한 제재가 이뤄진다.
대기업은 현지 법무법인 등의 도움을 받아 GDPR에 대응하고 있으나, 중소·벤처기업은 정보 및 자금부족으로 GDPR 대비에 어려움을 겪고 있다.
특히 우리기업이 GDPR 적용 대상인지 파악 못 한 기업도 부지기수. 이에 KISA는 중소·벤처기업 등이 GDPR 적용대상인지 스스로 파악하고 대비할 수 있도록 내달 체크리스트(점검표)를 내놓을 예정이다.
권현준 KISA 개인정보정책단장은 "구글 플레이에서 글로벌을 대상으로 서비스하는 모바일 게임 스타트업 등 여러 스타트업이 GDPR 적용 대상이 될 수 있다"며 "중소기업과 스타트업 등을 중심으로 최대한 많은 컨설팅을 제공하고 체계적으로 준비할 수 있도록 예산을 투입하려 한다"고 말했다.
지난 27일 KISA 서울청사에서 '우리 기업을 위한 GDPR 대응 세미나'를 개최했으며 앞으로 두 차례 세미나를 열고 정보를 전달한다. 초심자용·중급자용 GDPR 교재를 기업을 대상으로 배포할 예정이다. 가능하다면 예산의 확대 편성을 요청, 내년엔 EU 내 현지 기업을 지원할 수 있는 지원센터도 개소한단 목표다.
EU 개인정보보호 적정성 평가는 올해 안에 통과해 국내 기업이 자유롭게 EU 내 개인정보를 국외로 이전할 수 있도록 지원한다. EU는 GDPR 시행과정에서 제3국의 개인정보 보호수준이 적정한지 분석해 적정하다고 평가받을 경우, 해당 국가로 개인정보를 비교적 자유롭게 이전할 수 있도록 허용한다.
국가가 적정성 평가를 받지 않을 경우, 개별 기업이 'BCR(Binding Corporate Rules)'을 획득해야 EU 내 개인정보를 한국으로 이전할 수 있다. BCR은 개별 기업의 적정성 등을 평가해 개인정보의 국외 이전을 허용하는 제도다.
다만 컨설팅 비용이 많이 들고 BCR 받기까지 1년여 정도 시간이 소요돼 기업 부담이 높다. 기업들이 일일이 모든 규정을 충족시키기 어려운 만큼 정부가 적정성 평가를 준비하고 있다.
권현준 단장은 "EU 측과 개인정보 관련 논의를 이어왔고 올해 안에 적정성 평가를 받을 수 있을 것으로 기대하고 있다"며 "최근엔 한 달에 두 번 이상 EU 측과 원격으로 화상회의를 하며 속도를 내고 있다"고 말했다.
정현철 KISA 개인정보보호본부장은 "KISA가 GDPR 전담기관이지만 범부처에서 정기적으로 대책을 마련하고 진행 상황을 파악하고 있다"며 "막연한 불안감을 느끼기 보다 간극을 줄이고 차근차근 GDPR에 대비하는 자세가 필요하다"고 강조했다.
성지은기자 buildcastle@inews24.com
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기