□ EU의 강화된 개인정보보호법 ‘18년 5월 발효 예정

○ 기존 개인정보보호법은 ‘95년에 발효된 만큼, 발전된 인터넷 기술 및 환경변화를 반영하지 못하고 있을 뿐 아니라 회원국별

    상이하게 입법화된 내용을 통일하기 위해 개정안을 마련

○ 이에 EU 내에서 EU 시민을 대상으로 비즈니스를 하거나, EU 거주 정보 주체에 대한 개인식별정보(PII)를 보유하는 기업을

    대상으로 ‘유럽일반개인정보보호법(General Data Protection Regulation, GDPR)’을 적용할 예정

 - EU의 기존 개인정보보호 수준도 높은 편이었으나 GDPR은 이보다 더 엄격한 개념으로, 유럽 단일시장에서 자유로운 데이터

   이전을 보장하고 정보 주체의 권리를 강화할 목적으로 제정

 - EU-28 회원국은 ‘18년 5월 6일까지 개정 규정을 자국법에 적용해야 하며, 규정은 ‘18년 5월 25일부터 발효

 - 온라인상에서 잊혀질 권리, 개인정보 이동권, 프로파일링(자동화된 개인정보처리)에 대한 정보주체의 권리 보호, 유출통지

    의무, 국외 이전 제한 등의 내용이 포함

 - 신용카드, 금융 및 의료 정보를 포함한 개인정보가 저장되거나 이전되는 위치와 방법, 정보에 접근할 때 적용되는 정책, 감사

   등에 관한 철저한 관리감독을 요구

 - 기업 뿐 아니라 EU에 거주하는 정보 주체에게 재화 또는 서비스를 제공하거나 구매 습관을 추적하는 등 정보 주체의 행동을

   모니터링하는 기업에 이르기까지 전 세계적으로 확대 적용할 계획

 - 이를 심각하게 위반하는 기업의 경우 최대 2,000만 유로 또는 해당 기업의 전 세계 연간 매출액의 4% 중 높은 금액의 과징금을

   부과

□ 내용이 방대하고 복잡한데다 천문학적 규모의 과징금이 걸려있어 철저한 준비가 요구

○ GDPR은 유럽 시장을 대상으로 하는 하이테크‧자네동차‧항공‧금융‧미디어 및 콘텐츠 기업에 큰 영향을 미칠 것으로 예상

○ ‘잊혀질 권리’, ‘명시적’ 개인정보 동의, 기업규칙, 대리인 지정 등 기업이 준수해야 할 많은 절차가 담겨 있어 또 다른 비관세

    장벽으로도 작용할 가능성이 농후

 - 집행위는 현재 EU 기업은 유럽에서 활동 중인 역외기업에 비해 매우 엄격한 기준을 준수하고 있으며, 이번 규정으로 역외기업도

    EU 기업과 동일한 법이 적용돼 동등한 경쟁이 될 것이라고 언급

○ 우리나라의 경우, 현재 EU로부터 개인정보체계를 인정받기 위해 정부 차원의 협의가 이루어지고 있는 상태며 ‘17년 하반기까지

    EU 승인을 받는 것을 목표로 진행

 - 우리나라는 개인정보보호법, 개인정보 유출 사고 등을 겪어 개인정보보호 관련 법률에 대한 인식은 상대적으로 높은 편이지만

    GDPR 준비는 이제 시작 단계에 불과

  ※ 베리타스에 따르면 국내 응답자의 23%는 GDPR 미준수로 인해 발생할 수 있는 부정적인 결과 중 과징금 부담으로 인한 인원

      감축과 잠재적 정리해고를 우려

  ※ 반면 GDPR 시행까지 1년 앞둔 현 시점에서 국내 응답자의 31%만이 GDPR에 준비가 돼 있다고 생각하는 것으로 집계

 - 규정 위반 시 과징금이 최대 전 세계 매출액의 4%까지도 부과될 수 있는 바, 우리 관련 기업은 이번 GDPR 규정을 잘 숙지해

    피해가 없도록 철저히 대비할 필요

○ 특히 국내 기업정보보호법 준수를 위해서는 기업이 개인정보 유출 등 보안 관점에 중점을 뒀다면, GDPR은 보안을 포함해 정보

    관리 측면까지 아우르고 있어 이 부분에 대한 철저한 준비가 필요

 - GDPR은 정보 주체의 요구가 있을 경우 기업이 30일 이내에 개인정보 사본을 제공하거나 해당 데이터를 삭제할 수 있어야

    한다고 규정

 - 이는 곧 기업이 특정 데이터를 어디에 보관하고 있는지 정확히 식별하고 조치할 수 있어야 함을 의미

 - GDPR 준수를 위해서는 어떤 데이터를 보유하고 있는지, 해당 데이터가 어디에 있는지, 데이터가 비즈니스와 어떤 관련이

   있는지 파악하는 것이 중요