GDPR이란 이달 25일부터 시행될 유럽 일반 개인정보보호법으로, 단순 지침이 아닌 EU 내에 사업장을 운영하거나 EU 회원국 시민에게 재화나 서비스를 제공하는 모든 기업에게 직접적 구속력을 갖는 법률이다. 때문에 우리나라 기업이라도 유럽에 진출하기 위해서는 이 법을 준수해야 한다.

 

개인 의료데이터 등 개인정보와 신용카드, 금융기록 등 다양한 데이터 저장 및 전송 방법을 엄격하게 적용하고 있다.

특히 개인정보 관리가 기업이 제공하는 서비스에 큰 비중을 차지하는 경우에는 데이터보호책임자(DPO)를 의무적으로 두고 있어야 한다. 민감한 의료정보를 다루는 병원이나 정밀의료 관련 헬스케어 업체가 이에 해당한다.

 

문제는 앞으로 GDPR을 위반할 시 막대한 과징금이 부과될 방침이라는 것이다. 한국인터넷진흥원(KISA)에 따르면 GDPR을 위반하게 되면 최대 해당 기업의 전 세계 매출액 가운데 4% 또는 2000만 유로의 과징금을 물게 된다.

 

KISA가 조사한 바에 의하면 국내 모든 대기업은 현재 GDPR 전담 인력을 마련하고 개인정보보호예산 가운데 평균 40%를 GDPR 대응에 지출하고 있는 반면 중소·벤처기업들은 구체적 대응방법을 잘 알지 못하고 있는 것으로 나타났다.

 

실제로 한 헬스케어 업체 관계자 A씨는 최근 데일리메디와의 통화에서 “유럽에 법인이 있는 것은 아니지만 EU 소속 국가 국민이 서비스를 이용하는 경우 법 적용을 받아 우리 같은 스타트업도 해당된다는 사실을 좀 늦게 파악했다”며 “지금은 민감한 의료정보를 다루고 있지 않지만 앞으로 사업을 확장할 경우 GDPR 준수 의무를 따라야 하는데 어떻게 대응해야 할지 고민”이라고 밝혔다.

 

또 다른 B업체 관계자도 “대기업은 관련 태스크포스 운영 등에 여유가 있겠지만 중소기업은 실무 인력이 부족해 전담팀을 구성할 여력이 없다”며 “DPO 등 전문가를 고용한다고 해도 변수가 다양할 것으로 예상돼 걱정”이라고 말했다.

 

하지만 GDPR 시행 자체가 심각한 제재를 의미하는 것은 아니다.

C업체 관계자는 “GDPR은 의료정보를 아예 쓰지 말라는 게 아니라 당사자의 사후적 동의, 정보의 가명 처리 등 개인정보 활용시 안전성을 강화한 법률이어서 국내 개인정보보호법보다 명확한 편”이라며 “거의 활용을 못 하도록 막아둔 국내법과는 다른 대응이 필요하다”고 밝혔다.

 

이에 따라 정부는 국가 차원의 적정성 평가를 노리고 있다. EU 차원에서 해당 국가의 개인정보 보호수준이 적정한지 분석해 인증한 경우 규제 완화가 가능하기 때문이다. 만약 우리나라가 적정성 평가를 받게 되면 기업 전체가 이 효과를 누리게 되는 셈이다.

 

KISA 관계자는 “적정성 평가를 위해 2015년부터 EU와 논의를 계속해 왔다”며 “평가를 위한 작업을 계속하는 한편 유럽에 GDPR 지원 센터를 설립하고 현장에서 국내 기업 애로사항에 대응할 방침”이라고 설명했다.