세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > Security
GDPR 시행, 유통업체 점검... 컴플레인이 가장 큰 리스크
  |  입력 : 2018-06-06 23:45
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
GDPR 적용대상 국내 유통업체, 이용자 컴플레인과 계약사항 등에 신경써야

[보안뉴스 김경애 기자] EU 일반 개인정보보호법 GDPR이 지난 5월 25일부터 본격 시행되기가 무섭게 구글, 페이스북 등 글로벌 기업을 대상으로 한 고발도 진행됐다. 그럼에도 국내는 물론 전 세계적으로 GDPR에 대한 충분한 대응이 이루어지지 않고 있다.

[이미지=iclickart]


지난 2~4월 IBM이 34개국 GDPR 관련 임원 1,500명을 대상으로 조사한 결과 응답자 중 36%는 온전한 GDPR 대비가 가능하다고 답했고, 47%는 준비를 시작하고 있다고 응답했다.

또한, 지난 2월 SAS가 전세계 GDPR 담당자 183명을 대상으로 조사한 결과를 봐도 전체 응답자 중 7%만이 GDPR을 준수할 수 있다고 답변했고, 미국 기업은 8%가, EU 기업은 5%만이 그렇다고 답변했다.

[사진=보안뉴스]


그렇다면 국내 기업의 GDPR 대응현황은 어느 정도일까? 국내 기업의 경우 EU 현지 법인 유무와 서비스 성격, 기업 규모 등에 따라 대응도 천차만별이다. 삼성전자, LG전자, 네이버 등과 같이 현지 법인에서 제품 판매 및 서비스를 제공하는 기업은 조직을 정비하는 한편, 국내외 로펌과 컨설팅 업체를 통해 자문을 받고 있다.

국내 기업 가운데서도 유통 업체는 과징금 부과시 고려사항과 GDPR 정책 동향에 더욱 주목해야 한다는 의견이 제기됐다. GDPR 가이드북 집필진의 일원인 이베이 코리아 윤수영 팀장은 과징금 부과시 고려사항의 경우 ①위반 행위의 성격, 심각성(정보 주체의 수, 목적, 피해수준), 지속 기간 ②위반의 의도성 또는 태만 ③정보 주체의 피해 경감을 위한 조치 ④적절한 기술적·관리적 보호조치의 고려 여부 ⑤과거 위반 행위 확인 및 조치 여부 ⑥위반 행위 개선을 위한 감독기구와의 협조 ⑦위반으로 인해 영향을 받게 되는 개인정보의 종류 ⑧감독기구에 의한 행위 발생 사실 통지 여부 ⓽과거 동일한 사안에 대한 감독기구의 시정 조치 내역 ⓾승인된 행동 규약 및 인증 매커니즘의 준수 여부 ⑪위반으로 인해 직·간접적으로 얻은 금전적 이익 또는 회피한 손실 등이 있다고 설명했다.

[사진=보안뉴스]


이어 GDPR 정책 동향과 관련해 윤 팀장은 “보호대상이 인적사항 정보에서 행태정보와 데이터 전반으로 확대되고, 규제 행위가 데이터 유출(해킹)에서 데이터 활용까지로 확대됐다”며 “GDPR이 EU 시장 진출을 위한 필수 요소로 꼽히고 있는 가운데 미래 국내 규제와 글로벌 마켓 시장 규제에도 영향을 미칠 것으로 보인다. 이 때문에 GDPR 정책 방향에 맞춰 대비해야 한다”고 설명했다.

또한, GDPR 적용대상 기업 중 유통업체는 컴플레인 이슈에 대해서도 철저히 대비해야 할 것으로 보인다. 이용자에게 서비스하는 분야인 만큼 컴플레인이 제기되면 EU GDPR 당국이 조사를 진행할 수 있기 때문이다.

유통업체의 GDPR 대응방안에 대해 법무법인 율촌의 손도일 변호사와 김선희 변호사는 EU내에 유통하려면 대리점과 물류업체 등과의 위·수탁 관계가 형성되기 때문에 △계약사항 △위수탁 선정 △벤더 관리 △고객 컴플레인에 대해 신경써야 한다고 설명했다.

손도일 변호사는 “자사 물건을 유럽에 판매하는 쇼핑몰의 경우, 데이터 컨트롤러이고, 배송 물류업체가 프로세스일 확률이 높다”며 “위·수탁 선정에 있어 GDPR을 준수할 능력이 되는지 확인하고, GDPR 준수 여부에 대한 모니터링 및 감사 활동 등이 필요하다”고 설명했다.

특히, 유통업체의 경우 고객의 컴플레인에 각별히 주의해야 한다는 것. 컴플레인은 주관적이고 예측 불가능하기 때문에 철저한 대비가 필요하다는 얘기다.

이와 관련 김선희 변호사는 “유통업체는 소비자 상대로 직접 마케팅을 할 수 있어 소비자가 개인정보 수집에 동의했다가 다시 철회를 요구할 수 있다”며 “이러한 동의와 철회 과정에서 정보가 제대로 전달되지 않는 등 여러 가지 이유로 컴플레인이 발생할 수 있는데, 이러한 상황이 가장 큰 리스크가 될 수 있다. 이 경우 언제 동의했고 철회했는지 기록해 전산 시스템에 남겨야 한다. 하지만 기업들은 시간, 비용 등의 문제로 이러한 부분을 어려워한다”고 설명했다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
#GDPR   #유통   #기업   


  •  SNS에서도 보안뉴스를 받아보세요!! 
WD 파워비즈 2017-0305 시작비츠코리아 파워비즈시작 2017년7월3일
설문조사
벌써 2018년 상반기가 마무리되는 시점입니다. 올해 상반기 가장 큰 보안이슈는 무엇이라고 보시나요?
유럽발 일반 개인정보보호법(GDPR) 시행 공포
스펙터와 멜트다운으로 촉발된 CPU 취약점
한반도 정세 급변에 따른 정보탈취 등 사이버전 격화
블록체인 열풍에 따른 스마트 계약 등 다양한 보안이슈 부상
최신 취약점 탑재한 랜섬웨어의 잇따른 귀환
국가기간시설 위험! ICS/SCADA 해킹 우려 증가
기타(댓글로)