▲유럽집행위원회(EC) 랄프 사우어(Ralf Sauer) 부과장[사진=보안뉴스]


[사진=보안뉴스]

유럽 개인정보보호법 GDPR에 대한 관심이 높아지고 있는 가운데 국내 최대 규모 개인정보보호 콘퍼런스인 PIS FAIR 2018에서 내한한 유럽집행위원회(EC) 랄프 사우어(Ralf Sauer) 부과장이 직접 ‘EU GDPR 제도’에 대해 소개했다.

랄프 사우어는 기업이 GDPR 대응시 주목해야 하는 부문으로 기존 유럽 개인정보보호법에서 강화되거나 새로 신설된 항목인 △법적 근거 △책임성 △개인정보 영향평가 △개인의 권리강화 △의무사항 △신고제 도입 등에 대해 발표했다.

법적 근거와 관련해 그는 “개인정보를 수집할 때 법적 근거에 의해 수집해야 한다”며 이용자의 동의를 강조했다. 이어 그는 “개인정보를 처리할 때 근거가 되는 것은 공공이익에 부합해야 한다”고 말했다.

다음으로는 새로 추가된 부분으로 책임성을 강조했다. 이와 관련 그는 “GDPR을 준수하지 않으면 상응하는 벌금을 부과한다. 일부 기업들은 벌금이 너무 높다고 하는데, 중요한 점은 벌금 부과는 마지막 수단이며, 그 전에 경고, 권고안, 시정조치 등이 이뤄진다”며 “벌금부과를 하지 않는게 가장 좋은 것으로, 이는 기업이 GDPR을 준수했다는 뜻”이라고 설명했다.

벌금 부과는 4%가 상한선으로, 대부분 이보다 낮은 금액이 산정될 것이라고 밝혔다. 벌금 부과 기준에 대해 그는 “개인정보 유출이 처음 발생했는지, 과거에도 유출한 적이 있는지, 유출규모는 물론 유출로 인한 피해를 최소화하기 위한 노력 등을 종합적으로 고려해 부과될 것”이라고 밝혔다.

이어 개인의 권리 강화에 대해 그는 “정보 주체자가 자신의 정보가 기업에 의해 어떤 방법, 목적으로 처리되는지 알 수 있어야 한다”며 “정보 주체자에게 선택권을 줘야 한다”고 강조했다.

이와 함께 개인정보보호 내재화와 개인정보 영향평가, DPO지정 등 의무사항을 준수해줄 것을 당부했다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>