[이런 법률 저런 판결·24] EU 개인정보보호법 시행, ‘강 건너 불구경’ 아니다

25일부터 유럽연합(EU)의 개인정보보호법(General Data Protection Regulation·GDPR)이 EU 28개 전 회원국에서 시행된다.

전통적으로 유럽은 개인의 존엄성(dignity)을 존중하는 철학을 발전시켜 왔고, 이러한 철학적 배경 하에 개인정보 역시 개인의 존엄성과 관계된 문제로 보아 두텁게 보호하려는 경향이 있었다. GDPR은 이러한 유럽의 전통과 철학을 충실히 반영해 개인정보에 관한 개인의 각종 권리를 보장하고, GDPR을 위반한 경우 해당 피해자에게 손해배상책임을 지게 함은 물론 이와 별도로 최대 전 세계 매출액의 4% 또는 2000만 유로(약 250억원)의 과징금을 부과할 수 있도록 제재 규정을 대폭 강화했다.

GDPR은 EU 회원국에서 시행되는 법률이므로 우리나라와 상관없다고 생각하기 쉬우나, 그렇지 않다. GDPR의 가장 큰 특징 중 하나는 EU 회원국 내 거주자에게 재화와 서비스를 제공하거나 EU 회원국 내 거주자의 EU 내에서의 행동을 모니터링하는 경우 국적에 상관없이 GDPR을 적용하는, 소위 ‘역외적용’(extraterrestrial application) 조항을 두고 있다는 점이다. 따라서 우리나라 기업이라도 EU 회원국 내 거주자를 상대로 물품을 판매하거나 서비스를 제공하고 있다면, GDPR에 따라 개인정보보호에 필요한 각종 조치를 취해야 하며, 그렇지 않을 경우 엄청난 과징금을 물을 수 있다. 예를 들어 우리나라 기업이 웹사이트나 모바일 앱 등을 통해 EU 회원국의 언어(영어·프랑스어·독일어 등)와 EU의 통화(유로·파운드 등)를 지원하고 EU 회원국에 상품을 배송하는 국제 배송 서비스를 제공하는 경우 ‘역외적용’ 조항에 따라 GDPR의 적용을 받게 된다.

GDPR은 개인정보의 처리(수집·보관·사용 등)를 위해 개인의 ‘유효한 동의’를 받도록 규정하며, 이용 약관 등에 동의하는 정도로는 유효한 동의로 보지 않는 등 기존과는 다른 개인정보 처리 절차 및 방법을 규정하고 있고, GDPR 시행 이전에 이루어진 개인정보 동의도 GDPR의 규정과 맞지 않는다면 다시 동의를 받도록 규정하고 있는 등 개인정보의 처리에 관해 기존보다 한층 강화된 엄격한 규정을 두고 있어 준수하기가 매우 까다롭다. 특히 앞서 살펴봤듯이 우리나라 기업도 역외적용 조항에 따라 GDPR의 적용 대상이 될 수 있는데, 이 경우 EU 회원국 내 대리인을 지정해야 하고 EU 개인정보보호 당국의 감독을 받아야 하는 등 추가적인 자원과 비용을 들여야 하는 부담이 있다.

이처럼 GDPR의 시행은 EU 회원국들에게만 문제되는 ‘강 건너 불구경’ 문제가 아니므로, EU 회원국에서 비즈니스를 하는 기업의 경우 GDPR이 시행되기 전에 GDPR의 적용 대상인지를 신속히 점검하고 그에 필요한 조치를 취할 필요가 있겠다. <이해원 법무법인 지평 변호사>