보안뉴스 창간 15주년을 축하합니다!!

Home > 전체기사 > 정책

지금까지 약 3,628억 벌금 부과한 EU GDPR... 우리나라 기업은 어땠나

  |  입력 : 2021-04-25 19:49
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
적정성 평가 3단계 중 1단계 ‘초기 결정’ 통과...올해 최종 통과 기대
GDPR 시행 후 2억 7,287만 유로, 한화 약 3,628억원 과징금 부과...한국 기업은 0건


[보안뉴스 원병철 기자] 한국과 EU가 지난 3월 30일 GDPR 적정성 초기 결정을 완료하면서 GDPR과 적정성 결정에 대한 관심이 다시 높아지고 있다. EU의 일반 개인정보보호법인 GDPR은 EU 27개국에 일괄 적용되며, 특히 과거 관련법보다 높은 금액의 과징금 등 강력한 처벌조항을 담은 것으로 잘 알려져 있다. GDPR은 EU 역외 사업자에 대한 강도 높은 직접 규제가 가능하다. 특히, 중대 위반의 경우 해당 기업의 전 세계 연매출의 4%나 2천만 유로(한화 약 269억 원) 중 높은 금액을 부과하며, 일반 위반의 경우 전 세계 연매출의 2%나 1천만 유로(약 134억 원) 중 높은 금액을 부과한다.

[이미지=utoimage]


그렇다면 지금까지 부과된 과징금 상황은 어떨까? 한국인터넷진흥원(원장 이원태)에 따르면 GDPR 시행 후 누적 과징금은 2억 7,287만 유로, 한화로 약 3,628억 원이다. 아울러 가장 높은 과징금을 부과 받은 곳은 ‘구글(Google)’이었다. 구글은 2019년 1월 프랑스로부터 적법 처리 근거 부족을 이유로 5,000만 유로(약 664억 원)를 부과 받았다. 패션그룹 H&M 역시 적법 처리 근거 부족을 이유로 3,500만 유로(약 465억 원)를, 통신기업 TIM도 같은 이유로 2,780만 유로(약 369억 원)를 부과 받았다. 또한, 항공사 브리티시 에어웨이 2,200만 유로(약 293억 원)와 호텔 체인 매리어트 2,045만 유로(약 271억 원)가 뒤를 이어 TOP 5를 달성했다. 다행스럽게도 GDPR 위반으로 과징금을 부과 받은 한국기업은 아직 한 곳도 없는 것으로 알려졌다.

과징금 부과 유형 중 가장 많은 벌금을 부과한 유형은 바로 적법 처리 근거 부족으로 지금까지 219건, 1억 6,460만 유로(한화 약 2,188억 원)의 과징금을 부과했다. 앞서 설명했던 과징금 부과 규모 TOP 5에서 1, 2, 3위가 모두 이 적법 처리 근거 부족으로 과징금을 부과 받았다. 두 번째는 129건, 6,533만 유로(약 868억 원)의 과징금을 부과한 기술적/관리적 보안 조치 미흡이었다. 또한, 과징금 부과 규모 TOP 5의 4위와 5위가 이로 인해 과징금을 부과 받았다.

[자료=KISA]


국가별 과징금 부과액과 건수를 살펴보면, 가장 많은 벌금을 부과한 곳은 바로 이탈리아였다. 이탈리아는 총 7,107만 유로(약 945억 원)의 벌금을 부과했고, 부과건수 역시 58건으로 2위를 차지했다. 2위는 프랑스로 5,466만 유로(약 726억 원)를 부과했는데, 부과건수는 전체 10위에도 포함되지 않을 만큼 적었다. 과징금 부과액이 높지만 부과건수가 적은 것은 영국도 마찬가지였다. 4,422만 유로(약 588억 원)의 과징금을 부과한 영국 역시 부과건수는 10위에도 들지 못했다. 반대로 부과건수가 205건으로 1위인 스페인은 2,517만 유로(약 334억 원)의 과징금으로 과징금 순위 5위에 올랐고 과장급 3위인 루마니아(50건)와 4위 헝가리(38건), 6위 벨기에(24건) 모두 과징금 부과액 TOP 10에 오르지 못했다.

적정성 평가 통과하려면 3단계 평가 거쳐야...GDPR 시행 후 통과한 국가는 일본이 유일
한편, 이번 GDPR 적정성 초기 결정은 3단계의 적정성 결정 중 1단계에 불과하며, 아직 2단계의 심사가 더 남아 있다. 적정성 결정은 EU집행위원회의 ①초기결정을 시작으로 유럽개인정보보호이사회(EDPB, EU 회원국 개인정보보호위원장 협의제)와 커미톨로지(EU 회원국 대표들로 구성), 자유사법내무위원회(LIBE, EU 의회 내 소위원회)의 ②의견수렴을 거쳐, ③EU집행위원회 전원 회의(국무회의)를 통과해야 최종 결정된다. GDPR 시행이후 이 적정성 결정을 통과한 것은 일본이 유일하며, 영국이 의견수렴 과정을 거치고 있다.

또한, 관련 기업들이 알아둬야 할 것이 있다. 적정성 결정을 통과한다고 해서 전반적인 GDPR 컴플라이언스 의무가 없어지는 것은 아니다. 적정성 결정은 역외이전 관련 의무 부담만 경감된 것으로 정보주체 권리 보장을 위한 기업의 책임 의무는 여전히 준수 대상이다.

[자료=KISA]


다만, EU에서 수집한 개인정보를 역외로 이전시 개별적인 표준계약(SCC) 체결이 불필요해진다. 구체적으로 보면, 역외이전의 명확한 법적 수단이 마련된 것이나 서비스별 표준계약의 갱신, 연장, 재계약이 불필요해지면서 비용과 시간을 절감할 수 있다. 또한, 표준계약에 의해 커버되지 않는 서비스 사각지대가 해소됨으로써 법적 불확실성이 해소됐다고 할 수 있다. 실제로 EU에 진출한 국내 기업에 따르면 표준계약조항을 이용한 계약 채결을 위해 GDPR 및 개별 회원국의 법제에 대한 면밀한 법률 검토와 현지실사, 기타 행정절차 등으로 건별 3개월에서 1년 정도의 시간이 걸리며, 비용 역시 1~2억 원 정도 드는 것으로 알려졌는데, 이러한 부분을 다소 경감할 수 있다고 KISA 개인정보협력팀 정수연 책임은 설명했다.

한편, KISA는 우리나라의 적정성 결정은 올해 안에 승인이 될 것으로 기대하고 있으며, 이에 발맞춰 국내법 개정도 필요한 것으로 전망하고 있다. 아울러 법 개정 이후 EU와의 상호 적정성과 제3국 적정성 결정 등을 추진할 계획이라고 밝혔다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
엔사인 파워비즈 2021년6월1일~11월30일 까지2021 전망보고서넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
지난 5일 밤 발생한 카카오톡 장애로 인해 일명 ‘넷플릭스법’에 대한 관심이 다시금 높아지고 있는데요. 통신서비스 품질 유지 의무를 부과하고 있는 기업 가운데 가장 안정적인 서비스를 제공하는 부가통신사업자는 어디라고 생각하시나요?
네이버
카카오
웨이브
넷플릭스
구글
페이스북