Breaking
중범죄(Homicide)
GDPR 시행, 어길시 막대한 벌금 부과 예정…"기업들 사건 경중 파악해야"
2019-06-26 18:29:55
허서윤
​▲GDPR 법 시행 이후, 현재 많은 기업들이 개인 데이터와 관련하여 엄격한 규정을 만들고 있다(사진=ⓒ픽사베이)

[라이헨바흐=허서윤 기자] 개인정보보호규정(GDPR)이 시행된지 약 1년이 지났음에도 불구하고 규정을 준수하지 않는 기업이 많아 우려의 목소리가 커지고 있다.

작년 5월 25일 개인정보호 규정(GDPR)이 시행된 이후, 개인정보의 취급 및 처리와 관련해 기업에 더 엄격한 요구 사항이 부과됐다. 어길 시 벌금 1,730만 파운드(약 267억원)을 물거나 해당 기업 매출액 4%에 해당되는 벌금이 부과된다.

 

하지만 GDPR이 시행되는데는 기간이 충분했음에도 불구하고 첫 시행 후 11개월이 지난 이 시점에도 많은 기업이 준수하고 있지 않다.

보안 전문가들은 이에 대한 이유를 영국정보위원회(ICO)의 12개월의 조사 기간 때문으로 추정하고 있다.

ICO의 신중한 조사 절차

현재 영국의 비-부서 당국에서 처리하는 조사들은 주로 GDPR 이전 조사들이다. 즉, 이 규정 시행 이전의 사례들이다.

ICO가 수행하는 조사는 사건이 종료되기까지 1년에서 최대 15개월이 소요되며, 영국에서는 GDPR이 처음 도입되기 전 수년 동안에도 마찬가지였다.

그러나 이는 ICO가 문제를 조사할 때 ICO가 긴급하지 않거나 진지하지 않다는 의미가 아니다. 실제로는 그 반대다. ICO는 사례에서 제시된 세부 사항에 많은 관심을 기울인다. ICO는 모든 조치를 웹 사이트의 집행 조치 페이지에 기록하기 때문에 하나의 사례를 해결하기까지 상당히 많은 시간이 소요된다고 해명한다.

▲현재 영국에서, 개인정보 문제, 특히 GDPR 이전의 데이터 문제는 정보 위원회가 취급한다(사진=ⓒ플리커)

ICO의 시행 조치에 나타나는 바와 같이, 2018년 4월 30일 이후 진행되고 있는 바운티 UK사례에 대한 조사가 지난주에 결론이 났다. 그 후 ICO에 의해 14만 5,000파운드의 벌금이 부과됐다. 

ICO가 처리한 또 다른 조사는 뉴엄 런던특별구 사례로 200명 이상 데이터 위반이 제기됐다. 바운티 UK 사례와 마찬가지로 이 사건에 대한 조사가 시작됐는데 작년 4월에 14만 5,000파운드의 벌금이 부과됐다.

6월에 예상되는 GDPR 벌금

조직이 부주의하면 GDPR에 따라 처벌을 받는 것은 시간문제다. IT 거버넌스 UK의 루크 어윈은 올해 6월까지 ICO가 12개월의 조사 일정을 지속적으로 적용하고 있는 것을 감안하면, ICO가 처음으로 처리하는 첫 조직은 GDPR 미준수 벌금에 대한 압력을 받을 것이라고 예측한다.

거윈은 "GDPR이 소급 적용될 수 없다는 사실에 따르면, 영국의 GDPR 하에서 아직 벌금을 볼 수 없는 이유를 쉽게 알 수 있다"며 "이 규정이 발효되기 전에까지 ICO가 위반에 대한 작업을 수행했다"고 전했다.

 

ICO가 GDPR을 준수하게 될 때, 다른 기업들에게 본보기가 되기 위해 어떠한 사례를 다뤄야 할 지에 대한 근거는 여전히 애매한 반면, 일부 사람들은 ICO가 GDPR을 심각하게 받아들이는 다른 작은 조직에게는 지속적으로 큰 인상을 줄 수 있다고 확신한다.

지난 1월 구글은 프랑스의 개인정보감독기구(CNIL)에 의해 4,400만 파운드의 벌금이 부과됐다. 이에 ICO는 사건을 조사하고 있으며 본보기로 내세울 것으로 보인다. 

CNIL과 유사한 이유로 구글이 ICO에 의해 벌금을 부과받는다면, 결국 많은 회사가 GDPR 준수를 더욱 심각하게 받아들이게 될 전망이다. 

▲EU는 이제 6월에 GDPR 법을 위반에 대한 벌금을 발표할 예정이다(사진=ⓒ위키미디어커먼스)
[라이헨바흐=허서윤 기자]