한국인터넷진흥원(KISA)은 내년 5월 시행을 앞두고 있는 유럽 일반 개인정보보호법(GDPR)에 대비한 'GDPR 가이드라인'을 발간했다고 11일 밝혔다.

KISA가 이날 서울 프레지던트호텔에서 개최한 GDPR 세미나에서 공개된 가이드라인은 현재까지 발간된 EU 실무 작업반의 가이드라인을 바탕으로 마련됐다.

유럽 일반 개인정보보호법(GDPR)은 유럽 시민들의 개인정보 보호를 강화하기 위해 제정한 통합 규정으로 2018년 5월 25일부터 모든 EU 회원국들을 대상으로 시행된다.

이번에 마련된 가이드라인에는 GDPR 시행에 따른 주요 변화와 기업 책임성 및 정보주체 권리 강화 등이 반영됐다. 기업 책임성 강화에는 개인정보보호책임자(DPO) 임명, 개인정보영향평가(DPIA) 시행과 관련한 내용이 포함됐다.

특히 우리 기업의 문의가 많은 GDPR의 적용범위와 관련해 "GDPR의 적용 여부는 정보주체의 국적이 아닌 위치가 기준"이 되며, 정보 활용 동의 방식과 관련해 "자필 문서, 전자문서 서명, 스캔파일 저장, 구두 동의시 녹화·녹음, 문자 인증번호 회신 등이 정보주체의 명시적 동의 입증 수단이 된다"는 EU 집행위 측의 답변이 공개됐다.

EU 국적이 아닌 자의 개인정보라 하더라도 EU 역내에서 해당 정보를 이전하거나 활용하려면 적용을 받아야 한다는 의미다.

GDPR은 EU 회원국 간 자유로운 개인정보 이동과 개인정보보호를 강화하기 위해 유럽연합(EU)이 제정한 통합 규정으로, 내년 5월 25일부터 EU 소속 28개 회원국에 공통으로 적용된다.

비회원국 기업도 규정 위반 시 최대 2천만 유로(한화 약 257억원)나 글로벌 매출액의 4% 중 높은 것을 과징금으로 부과받을 수 있어 주의해야 한다.

가이드라인은 개인정보보호 종합지원 포털 및 개인정보보호 국제협력센터 홈페이지에서 무료로 내려받을 수 있다.

KISA는 국내 기업을 대상으로 GDPR 교육 콘텐츠 개발 및 관련 프로그램을 운영할 계획이다.