[뉴스토마토 박현준 기자] 유럽연합(EU) 거주자의 개인정보를 다루는 기업들은 활용이 끝난 개인정보는 즉시 삭제해야 한다는 주장이 나왔다.
영국 로펌 DLA파이퍼의 패트릭 반 에이커 변호사는 20일 서울 중구 미래에셋 센터원 빌딩 사무실에서 열린 유럽 개인정보 보호규정(GDPR) 세미나에서 "기업들에게 취득한 개인정보를 보관하는 기간을 물어보면 90%가 '영원히'라고 한다"며 "이는 GDPR 위반 사항이며 필요가 없어진 개인정보는 즉시 폐기해야 한다"고 강조했다.
20일 서울 중구 미래에셋 센터원 빌딩 사무실에서 SK인포섹과 DLA파이퍼 로펌 주최로 유럽 개인정보 보호규정(GDPR) 세미나가 열렸다. 사진/박현준 기자
EU는 기존 개인정보 보호지침보다 강한 법적 효력을 지닌 GDPR을 지난 2016년4월 채택했다. GDPR은 유예기간을 거쳐 오는 5월25일부터 시행된다. GDPR은 기업이 EU 지역에서 발생하는 거래에서 EU 거주자 개인 데이터를 보호할 것을 의무화했다. 사업장이 EU 지역에 있거나, 다른 지역에 있어도 EU 거주자에게 상품과 서비스를 제공할 경우 모두가 적용 대상이다. GDPR 위반 시, 2000만유로(약 264억원) 또는 이전 회계연도 기준 매출액의 4% 가운데 더 높은 금액을 과징금으로 내야 한다.
EU 거주자 개인정보를 다루는 기업들은 협력 업체에게도 GDPR을 준수할 것을 요구할 수 있다. 반 에이커 변호사는 "기업이 서비스를 외주에 맡길 경우 협력사가 GDPR을 준수하는 보안 장치를 마련하도록 계약을 통해 요구할 수 있다"고 말했다. 이어 "어떤 개인정보를 어디에 언제까지 보관하며, 누구와 공유하는지에 대해 기록해야 한다"고 덧붙였다.
일반적인 개인정보 외에 민감한 정보는 추가로 동의를 받아야 한다. 반 에이커 변호사는 "인종·성적 취향·지문·홍채 등의 정보를 수집할 경우 추가로 명확한 동의를 받아야 한다"고 말했다. GDPR은 총 99개의 조항으로 구성됐지만 우리나라의 개인정보보호법과 시행령, 시행규칙만큼 구체적이지는 못하다. 또 EU 내에서 취득한 EU 거주자 개인정보는 EU 지역 밖으로 이전할 수 없다.
반 에이커 변호사는 "한국의 개인정보보호법과 정보통신망법의 내용이 GDPR과 유사하지만 다른 부분도 있다"며 "한국과 일본 정부가 자국을 EU와 함께 정보를 자유롭게 주고받을 수 있는 화이트리스트에 등재하기 위해 논의 중이지만 아직 결론은 나지 않은 상태"라고 말했다. 성경원 SK인포섹 서비스사업혁신팀장은 "GDPR은 보안 담당자 몇 명만 움직일게 아니라 경영진이 자사의 GDPR 적용 대상을 파악하고 이해관계자의 협조를 요청해야 할 것"이라고 말했다.
박현준 기자 pama8@etomato.com