사진 = 발표에 나선 조수영 숙명여자대학교 법과대학 교수.

“GDPR를 위반하면 전세계 매출 2% 또는 1000만 유로(한화 약 128억원) 중 더 큰 금액이, 심각한 위반의 경우 전세계 매출 4% 또는 2000만 유로(한화 약 256억원) 유로 중 더 큰 금액의 과징금이 부과됩니다.“

18일 한국인터넷기업협회에서 열린 ‘EU GDPR 시행에 따른 게임업계 설명회’에서 조수영 숙명여자대학교 법과대학 교수는 유럽 개인정보보호법(GDPR)의 제재에 대해 이 같이 설명했다. GDPR는 지난달 25일부터 시행된 유럽 연합(EU)의 개인정보보호 법령으로 위반할 경우 과징금 등 행정처분이 부과될 수 있어, EU와 거래하는 국내기업도 이 법에 위반되지 않도록 주의가 강조되고 있다.

조 교수는 GPDR가 전문 총 173개, 본문 총 11장 99개 조항으로 구성됐다고 설명했다. 또한 이러한 GDPR의 적용 대상에 대해 속지주의가 적용돼 EU에 자회사를 가졌거나, EU에 서비스를 제공 및 EU로부터 개인 데이터의 처리에 대한 위탁을 받은 기업 모두 적용된다고 설명했다.

이와 함께 GDPR의 주요내용으로 ▲정보 주체의 동의 취득 및 그 입증 책임 ▲취득 활동 기록의 작성보호 등 11개 항목을 꼽았다. 아울러 기업의 준비사항으로 총 3단계로 구분해 GDPR 적용대상 여부를 판단하고, 적용대상일 경우 즉시 개선 가능한 사항을 이행한 후 제도,예산, 조직 등 업무체계를 보완할 것을 주문했다.

김도엽 법무법인 태평양 변호사는 GDPR의 키워드로 책임성, 투명성, 비례성을 꼽았다. 또한 게임업체들도 GDPR가 적용된다고 설명하며, 개인정보책임자(DPO) 지정과 문서화 및 시스템화할 것을 주문했다. 이 제도가 대기업 위주로 시행될 것으로 보이나 개별신고에 대해서는 중소업체도 대응해야 할 수 밖에 없다면서 최소한의 준비는 갖춰놓을 것을 당부했다.

성경원 SK인포섹 이사는 GDPR와 국내 개인정보보호법을 비교하며 차이점이 존재함을 강조했다. 또한 민간 정보, 아동 개인정보를 처리할 때 기업은 더 강화된 기준을 적용 받으므로 특별한 주의를 요한다고 설명했다. 또한 DPO, 역내 대리인 지정 및 개인정보 처리활동 기록 유지 관리를 중요하게 꼽았다. 하지만 국내 개인정보호법과 GDPR가 맞닿아 있는 부분이 있다며, 국내 법을 준수하며 GDPR에 대응해 나갈 것을 주문했다.

한편 이 설명회는 한국콘텐츠진흥원과 한국게임산업협회가 공동주관하고 문화체육관광부와 중소벤처기업부가 후원한 행사다. 

다음은 조수영 숙명여자대학교 법과대학 교수, 김도엽 법무법인 태평양 변호사, 성경원 SK인포섹 이사와의 일문일답이다.

사진 = 왼쪽 부터 성경원 SK인포섹 이사, 김도엽 법무법인 태평양 변호사, 조수영 숙명여자대학교 법과대학 교수

<일문일답>

- 유럽지역 서비스를 차단할 경우 GDPR를 준비하지 않아도 되는지.
성경원 SK인포섹 이사 : 기본적으로 유럽인들을 대상으로 하는 서비스를 할 때 GDPR가 적용되기 때문에, 적용 범위를 제거하면 포함되지 않는다. 현지어 서비스 및 통화 결제를 제공하지 않는 경우 GDPR 적용대상은 아니다.

- 모바일 기기에서 제한적인 정보를 수집하는 게스트 계정의 경우에도 동의를 받아야 하는지.
김도엽 법무법인 태평양 변호사 : "게스트 계정이라 할지라도 동의를 별도로 받는 구조를 갖춰야 한다. 가명화했다고 해도 개인정보로 인정된다."

- 역내 대리인을 꼭 지정해야 하는지, 또 지정된 대리인의 업무 범위는 어디까지인가.
김 변호사 : “대리인 지정은 꼭 해야 한다. 대리인은 문서화뿐만 아니라 현지기관과 컨텍트 하는 것을 업무로 한다. 이 이상의 구체적인 가이드 라인은 아직 없다.”

- 유럽 현지에서 GDPR 분위기는 어떤지.
김 변호사 : “일반적으로 대기업 위주로 하겠지만, 개별신고가 들어갈 경우 중소기업에 대해서도 방관하지는 않을 것 같다. 다수의 기업들이 지금도 조치를 하고 있고, 국내에서도 준비하는 기업들이 늘고 있다”

[더게임스 강인석 기자 kang12@thegames.co.kr]

저작권자 © 더게임스데일리 무단전재 및 재배포 금지