실시간 뉴스



GDPR 전면 시행, 게임은? …"대상인지부터 파악해야"


글로벌 서비스 여파 '촉각'…전문가 "즉시 개선사항 점검"

[아이뉴스24 문영수 기자] 유럽연합(EU)의 일반 개인정보보호법(GDPR)이 지난달 25일 시행되면서 개인 정보를 다루는 기업의 책임이 대폭 강화됐다.

특히 유럽을 비롯해 글로벌 시장을 무대로 게임을 서비스하는 국내 게임사들의 경우 대안 마련이 절실해진 상황이다.

GDPR에 대한 이해를 높이고 대응 방안을 논의하는 설명회가 18일 한국인터넷기업협회 7층 스타트업얼라이언스에서 열렸다.

한국콘텐츠진흥원(원장 김영준)과 한국게임산업협회(회장 강신철)가 공동 주관하고 문화체육관광부(장관 도종환)와 중소벤처기업부(장관 홍종학)가 후원한 설명회에는 100명이 훌쩍 넘는 업계 관계자들이 몰려 GDPR에 대한 관심을 실감케 했다.

이날 현장에는 조수영 숙명여대 법과대학 교수와 김도엽 법무법인 태평양 변호사, 성경원 SK인포섹 이사 등 전문가 3인이 나서 GDPR 시행에 대한 핵심 내용, 게임 기업들의 대응 방안 등을 주제로 발표를 이어갔다.

◆GDPR 위반 시 과징금 최대 전 세계 매출 중 4%

GDPR은 EU 회원국에 적용되는 일반 개인정보보호법(General Data Protoction Regulation)의 약어로 EU 내 개인 정보(personal data)의 처리와 이전에 관한 사항 등을 규정한 EU 규칙이다.

자연인에 관한 기본권과 자유, 특히 개인정보보호에 대한 권리 및 EU 내 개인정보의 자유로운 이동을 보장하는 것이 목적이다. 전문 총 173개, 본문 총 11장, 99개 조항으로 구성돼 총 7장 34개 조항으로 구성된 기존 조항과 비교해 조문 수가 크게 증가했다.

GDPR의 적용 대상은 자연인의 개인정보 처리다. 국적이나 거주지에 관계없이 본인의 개인정보 처리에 관련된 '개인'에 적용된다. 다만 사망한 사람의 개인정보처리에 관련해 개별 회원국이 별도 조항을 두는 것을 제한하지는 않는다. 법인과 법인으로 설립된 사업체 이름, 법인 형태, 법인 연락처 등에 대한 처리에는 적용되지 않는다.

GDPR은 또한 판례 및 개별법 등을 통해 표명돼 온 개인정보의 개념을 조문에 포함함으로써 적용 대상을 보다 구체적으로 보고 있다. 특히 개인과의 연결성이 있는 가명 처리된 정보를 개인정보로 명시했다.

아울러 민감정보로서 인종, 민족, 정치적 견해, 종교적·철학적 신념, 노동조합의 가입여부, 유전자 또는 생체정보, 건강, 성생활 또는 성적 취향에 관한 정보가 대상에 포함되며 정보주체의 명시적 동의 획득 등의 경우 외에는 원칙적으로 처리를 금지한다.

GDPR 위반 시 처벌 수위도 높다. GDPR을 위반할 경우 전 세계 매출액 2% 또는 1천만 유로 중 더 큰 금액이 부과된다. 심각한 위반의 경우 전세계 매출액 4% 또는 2천만 유로 중 더 큰 금액이 과징금이 부과된다.

◆"GDPR 적용 대상인지 파악해야"

게임사들은 자사가 GDPR 적용 대상인지 여부를 먼저 판단해야 한다.

대한민국 기업으로 EU 내 자회사 등을 둔 경우 GDPR의 직접 적용 대상이며 해당 기업은 대한민국에 본사를 가지고 있는 경우에도 GDPR에 대한 대응이 필요하다. 아울러 EU 내 개인(소비자)에 대해 대한민국에서 상품이나 게임 등 서비스를 제공하는 경우 현지 자회사가 없다고 해도 해당 기업은 개인정보의 취득 및 처리에 GDPR에 따른 절차를 실시해야 한다.

데이터 센터 사업자와 클라우드 벤더 등 EU 역내 기업에서 개인정보 처리 등을 위탁하고 있는 대한민국 기업의 경우 역시 개인정보의 역외 이전에 대해 GDPR이 정하는 규칙을 준수해야 한다.

조수영 숙명여자대학교 법과교수는 "GDPR 적용 대상인 경우 기배포된 안내서, 가이드라인 등을 참고해 개인정보보호책임자(DPO)를 지정하는 등 즉시 개선 가능한 사항을 이행해야 한다"면서 "GDPR 기준에 적합한 개인정보 처리 방법, 동의 획득 절차 등 내부지침을 개선하고 영향평가 등에 소요되는 예산, 조직 등을 보완해야 한다"고 조언했다.

DPO는 개인정보 처리 활동 전반에 관해 자문 역할을 하는 전문가로 조직의 관리 체계 구축, 임직원 교육, 감독기구와의 의사소통 등의 역할을 수행하게 된다. 기업은 조직 내부의 직원을 DPO로 임명할 수 있으며 외부 서비스 계약에 의한 DPO 임명도 고려할 수 있다. DPO는 기업으로부터 업무상 지시를 받지 않으며 최고 경영진에게 직접 보고할 수 있는 권한이 보장돼야 한다.

김도엽 변호사는 "개인정보처리를 위해서는 적법한 근거가 필요하다"며 "사전에 개인정보 처리의 합법적인 근거를 검토하고 결정해야 하며 상기 내용을 문서화하고 정당한 사유없이 해당 근거를 다른 근거로 변경하면 안된다"고 설명했다.

아울러 기업들은 개인의 권리와 자유에 위험을 일으킬 가능성이 있는 침해가 발생한 경우 개인정보 침해 사실을 인지한 시점으로부터 72시간 내에 감독기구에 신고해야 한다. 개인의 자유와 권리에 높은 위험이 예상될 때에는 가능한 한 신속하게 침해 사실을 정보주체에 통지해야 한다.

문영수기자 mj@inews24.com






alert

댓글 쓰기 제목 GDPR 전면 시행, 게임은? …"대상인지부터 파악해야"

댓글-

첫 번째 댓글을 작성해 보세요.

로딩중
포토뉴스