본문 바로가기
privacy/해외

[privacy] GDPR, 기업이 실제로 해야 할 것들

by ramo 2025. 7. 3.

우리_기업을_위한_EU_일반_개인정보보호법(GDPR)_가이드북(2022.12._개정).pdf
3.18MB

 

이전에는 GDPR이 왜 생겼는지, 어떤 개념을 알아야 하는지를 정리했다. 이번 편은 그다음 질문, 즉 "그래서 기업은 실제로 뭘 해야 하는가"에 집중한다. 정보주체의 권리, 컨트롤러·프로세서의 의무, 그리고 EU 바깥으로 개인정보를 내보낼 때 필요한 절차까지.

정보주체에게 주어진 권리들

GDPR이 규정하는 정보주체의 권리는 생각보다 폭이 넓다. 자신의 개인정보가 어떻게 처리되는지 알 권리(열람권), 잘못된 정보를 바로잡을 권리(정정권), 일정 조건에서 삭제를 요구할 수 있는 권리(삭제권, 흔히 '잊힐 권리'라고도 불린다), 처리를 제한하도록 요청하는 권리(처리 제한권), 그리고 자신의 데이터를 다른 서비스로 가져갈 수 있는 권리(이동권)가 모두 여기 포함된다. 마케팅 목적의 처리에 대한 반대권도 있다.

이 중에서 이동권은 좀 새로운 개념이다. 단순히 "내 정보 보여달라"가 아니라 "기계가 읽을 수 있는 형식으로 달라, 다른 서비스로 직접 옮겨달라"는 수준의 요구가 가능하다. 국내 마이데이터 제도를 떠올리면 맥락이 비슷하다.

자동화된 의사결정과 프로파일링도 별도로 규율된다. GDPR은 인간의 개입 없이 전적으로 자동화된 의사결정을 원칙적으로 금지하면서, 예외적으로 처리가 허용되는 경우에도 적절한 안전조치를 취하도록 규정하고 있다. 특히 인간의 개입을 요구할 권한, 적용 알고리즘에 대한 구체적 설명을 요구할 권한 등을 정보주체에게 부여하고 있다. AI 기반 신용평가나 채용 자동화 시스템 같은 경우가 이 규정의 직접적인 대상이 된다.

기업의 내부 의무

권리 행사 대응만이 전부가 아니다. GDPR은 컨트롤러와 프로세서가 능동적으로 갖춰야 할 내부 체계도 요구한다.

그 가운데 DPIA(Data Protection Impact Assessment, 개인정보보호 영향평가)는 핵심 의무 중 하나다. DPIA는 정보주체의 권리와 자유에 대한 위험을 평가하는 절차로, GDPR에 따라 컨트롤러는 식별 가능한 개인정보를 처리하기 전에 DPIA를 반드시 시행해야 한다. 사전 평가라는 점이 중요하다. 이미 서비스를 출시하고 나서 사후에 점검하는 구조가 아니라, 새로운 처리를 기획하는 단계에서 리스크를 먼저 따져봐야 한다는 의미다.

DPO(Data Protection Officer, 개인정보보호 책임자) 지정 의무도 있다. 모든 기업에 요구되는 건 아니고, 정부 기관과 공공 조직, 대규모로 특정 주체를 모니터링하는 시스템을 갖춰야 하는 조직, 건강·종교·인종·성적 취향·범죄 기록 등 민감 정보를 대규모로 수집·처리해야 하는 조직은 DPO가 필수다. 개인정보보호 관련 지식은 물론 EU의 GDPR을 포함한 각종 법률에 정통해야 하기 때문에 기존 CISO나 CSO 역시 감당하기 쉽지 않다는 시각도 있다.

행동규약(Codes of Conduct) 및 인증 제도도 GDPR이 제시하는 준수 수단이다. 산업별 단체가 감독기구의 승인을 받아 만든 행동규약을 기업이 따르는 방식인데, 구체적인 운영 지침을 규범 수준으로 명문화한다는 점에서 단순한 모범 관행과는 다르다.

개인정보 침해 통지

침해가 발생했을 때의 절차도 명확하다. 컨트롤러는 개인정보 침해를 인지한 시점으로부터 72시간 이내에 관할 감독기구에 통지해야 한다. 정보주체의 권리나 자유에 높은 위험이 있다고 판단되면 당사자에게도 직접 알려야 한다. 72시간이라는 기준은 생각보다 촉박하다. 침해 원인을 파악하는 데 며칠이 걸리는 상황을 생각하면, 이미 판단할 수 있는 정보만 가지고 먼저 통지하고 이후에 보완하는 구조로 운영하는 수밖에 없다.

역외 이전: SCC와 BCR

EU 역내에서 수집한 개인정보를 역외로 내보낼 때는 별도의 안전장치가 있어야 한다. GDPR은 (1) 적정성 결정, (2) 구속력 있는 기업 규칙(Binding Corporate Rules, BCR), (3) 표준계약조항(Standard Contractual Clauses, SCC), (4) 승인된 행동규약·인증 메커니즘, (5) 명시적 동의 등 국외이전이 가능한 다양한 법적 근거를 규정하고 있다.

이 가운데 SCC는 가장 실무적으로 많이 쓰이는 수단이었다. 그런데 2021년 6월 4일, 유럽 집행위원회는 GDPR에 따른 개인정보의 EU 역외이전을 위한 표준계약조항(SCC)의 최종 개정본을 발표했다. 이전 SCC는 컨트롤러-컨트롤러, 컨트롤러-프로세서 두 가지 관계만 다뤘는데, 개정된 SCC는 모듈별 조항 방식으로 설계되어 이 두 가지에 더해 프로세서-컨트롤러 및 프로세서-프로세서의 경우까지 포함한 총 4가지 모듈에 각 적용되는 조항을 마련했다. 클라우드 서비스나 외주 처리가 일상화된 현재 기업 환경을 반영한 변화다.

BCR은 다국적 기업 그룹 내부에서 개인정보를 이전할 때 쓰는 방식이다. 감독기구의 승인을 받아야 하고 절차가 복잡한 편이라, 상대적으로 규모가 있는 기업들이 주로 활용한다.

한국 적정성 결정이 바꾼 것

SCC를 체결하려면 적지 않은 시간과 비용이 들었다. 표준계약조항을 이용한 계약 체결을 위해서는 GDPR 및 해당 회원국의 법제에 대한 법률 검토, 현지 실사, 기타 행정절차 등으로 인해 프로젝트별로 3개월 이상의 시간과 상당한 비용이 소요됐다는 기업들의 경험이 있었다.

2021년 12월 17일, 한국에 대한 개인정보보호 적정성 결정(Adequacy Decision)이 채택되어 즉시 발효됐다. 적정성 결정이 채택되면 EU 정보주체의 개인정보를 해당 국가로 자유로이 이전할 수 있게 된다. 즉, 국내 기업이 EU 시민의 개인정보를 한국 서버로 이전할 때 SCC를 별도로 체결하지 않아도 된다는 의미다.

다만 여기서 한 가지 짚어둬야 할 게 있다. 적정성 결정은 개인정보의 EU 역외이전 메커니즘에 관한 것이므로, EU의 개인정보를 직접 수집하는 기업이 컨트롤러로서 지켜야 하는 GDPR상의 의무 등은 여전히 준수할 필요가 있다. 이전 절차가 간소해진 것이지, GDPR 자체가 면제되는 건 아니다.

또 한 가지, 이번 적정성 결정은 개인정보보호위원회가 감독하는 영역만을 대상으로 한다. 금융 분야처럼 별도 감독기구가 관할하는 영역에서는 별도로 확인이 필요하다.

영국은 별도로 봐야 한다

브렉시트 이후 영국은 EU GDPR의 직접 적용 대상이 아니다. 영국은 2020년 1월 31일 공식적으로 EU에서 탈퇴했다. 영국 의회는 EU GDPR 시행 이후 그 내용을 영국 국내법으로 수용한 데이터보호법(Data Protection Act 2018)을 시행해 왔고, 이를 바탕으로 'UK GDPR'이라 불리는 체계가 영국 내에서 독자적으로 운영되고 있다.

영국에 서비스를 제공하거나 영국 정보주체의 데이터를 처리하는 기업이라면, EU GDPR과 별개로 영국 ICO(Information Commissioner's Office)의 관할을 받는다고 봐야 한다. 종전에 영국 내 대리인을 통해 GDPR 제27조를 준수하고 있던 기업의 경우, EU 내 다른 국가에 소재한 역내 대리인을 새롭게 임명해야 한다. EU와 영국을 동시에 대응하는 구조로 바뀌었다는 점이 핵심이다.

과징금의 무게

GDPR은 위반 유형에 따라 과징금 상한을 두 단계로 나눈다. 가이드북이 정리한 내용 기준으로, 경미한 위반은 전 세계 연간 매출의 2% 또는 1,000만 유로 중 높은 금액이, 중대한 위반은 4% 또는 2,000만 유로 중 높은 금액이 상한선이다. 단순히 "규정 위반"이 아니라 "매출 기반 과징금"이라는 점이 글로벌 기업들에게 실질적인 압박이 된다.

GDPR 시행 이후 위반 사례와 과징금은 꾸준히 쌓이고 있다. 한국 기업 입장에서 직접 부과된 건수는 아직 많지 않지만, EU 시장에서 서비스를 확장할수록 이 리스크는 구체적인 것이 된다. 적정성 결정으로 이전 절차는 한층 간편해졌지만, 그게 GDPR 준수의 부담이 사라졌다는 뜻은 아니다. 오히려 이제는 절차의 장벽이 낮아진 만큼 더 많은 기업이 GDPR 적용 범위 안으로 들어오게 됐다고 보는 게 맞을 것 같다.