25일 EU 개인정보보호법 시행… 韓기업도 대상

위반 땐 최대 250억원 벌금
아직 국내 GDPR 대비 미흡
유럽연합(EU)이 25일(현지시간)부터 초강력 개인정보 규제인 ‘일반 개인정보 보호규정(GDPR)’을 시행함에 따라 한국을 비롯한 전 세계 기업이 긴장하고 있다.

GDPR에 따르면 개인은 기업이 수집한 자신의 정보에 대한 열람, 정정, 삭제, 처리 제한 등을 규제당국에 요구할 수 있다. 기업은 개인의 정보접근 요청이 있을 때 30일 내에 상세한 정보를 제공하고 개인정보 침해사고가 발생하면 72시간 안에 감독당국에 신고해야 한다.GDPR은 EU 회원국에 수출하거나 지사를 설립한 기업뿐 아니라 EU 거주자를 대상으로 영업하는 모든 기업에 적용된다. 유로화로 거래하거나 EU 회원국 시민에게 광고를 해도 GDPR을 적용받는다.

심각한 위반의 경우 연간 매출의 4% 또는 2000만유로(약 253억원), 일반적인 위반은 연간 매출의 2% 또는 1000만유로 중 더 큰 금액이 과징금으로 부과된다. 국내 개인정보보호법 위반 벌금(최대 5000만원)보다 많다.

업계에선 국내 기업의 GDPR 준비가 미흡해 위반 사례가 속출할 것이라는 우려가 나오고 있다. 지난해 5월 데이터기업 베리타스코리아 조사에서 국내 기업 관계자의 61%가 기한 내 GDPR 대비를 마칠 수 없다고 답했다. 삼성전자 LG전자 네이버 등 대기업은 대비 수준이 높은 편이지만 중소기업과 스타트업은 어려움을 겪고 있는 것으로 전해졌다.

이설 기자 solidarity@hankyung.com