[게임플] 유럽연합(이하 EU)이 개인 정보보호를 위해 내세운 새로운 개인정보보호법인 GDPR(General Data Protection Regulation)이 지난 5월 25일(유럽 현지시간) 발효됐다. 개인의 사생활을 보호하는 것에 더해 개인정보의 자유로운 이동을 보장하기 위한 목적으로 만들어진 GDPR은 4년 간의 합의 과정과 3,000건 이상의 수정안을 거쳐 기존의 개인정보보호법과 비교해 적용범위를 확대하고 그에 따른 처벌을 강조한 것이 특징이다.

 

GDPR은 EU에 서비스를 제공하는 대부분의 기업에 적용된다. 이는 글로벌 시장 공략을 위해 유럽 시장에 진출한 국내 게임사들이 GDPR의 직접 적용대상이라는 의미. 때문에 국내 게임시장에서 GDPR에 대한 관심이 커지고 있는 상황이다. 실제로 유럽 지역에 자사의 게임을 서비스 하거나 진출 예정인 넥슨, 컴투스, 넷마블을 비롯한 대형 게임사들은 GDPR에 대응하기 위한 대응팀 구성에 지난 몇년간 집중하기도 했다.

 

오늘(18일) 서울 강남구 삼성동에 위치한 서울인터넷기업협회에서는 'EU GDPR 시행에 따른 게임업계 설명회'가 진행됐다. 한국콘텐츠진흥원과 한국게임산업협회가 주최하고 문화체육관광부, 중소벤처기업부가 후원하는 이번 설명회에는 숙명여대 법대 조수영 교수, 법부법인 태평양의 김도엽 변호사, SK인포섹의 성경원 이사가 자리해 GDPR의 개념과 이에 대응함에 있어 주의해야 할 점을 설명했다.

 

GDPR은 EU에 자회사, 지점, 영업소를 가지고 있는 기업을 비롯해 EU에 상품 및 서비스를 제공하는 기업, EU로부터 개인 데이터의 처리에 대한 위탁을 받은 기업 등을 대상으로 하는 법이다. 기존에는 각국의 판례와 개별법 등을 통해 표명된 개인정보의 개념을 조문에 포함해 그 적용 대상을 보다 구체적으로 명시한 것이 특징이며, EU 회원국의 법률보다 위에 위치하는 법안이라는 점도 주의해야 할 부분이다.

 

GDPR의 기준에 맞춰 개인정보를 처리하기 위해서는 7가지 원칙을 준수해야 한다. 개인정보는 적법하고 공정하며 투명한 방식으로 처리되어야 하며(적법성,공정성, 투명성의 원칙), 그 목적은 구체적이며 명시적으로 적법한 목적을 위한 것이어야 한다.(목적 제한의 원칙)

 

또한 개인정보의 처리는 적절하며 관련성이 있고 그 처리 목적을 위한 범위로 한정되며(개인정보 처리의 최소화 원칙), 필요 시에 처리되는 정보는 최신으로 유지되야 한다.(정확성의 원칙) 개인정보는 처리 목적상 필요한 경우 정보주체를 식별할 수 있는 형태로 보유되야 하며(보유 기간 제한의 원칙), 기술적, 관리적 조치를 통해 권한 없는 처리, 불법적 처리 및 우발적 손실과 망실, 파괴 또는 손상에 대비한 보호를 받아야 한다.(무결성과 기밀성의 원칙) 마지막으로 개인정보 컨트롤러는 위의 원칙을 준수하고 이를 입증할 수 있어야 한다.(책임성의 원칙)

 

흥미로운 것은 이 모든 개인정보 수집과 관리는 정보 주체의 진정한 동의가 있어야 가능하다는 것이다. GDPR의 개인정보 범주에는 근로계약 내역이 포함되는데, 이는 EU 지역의 근로자와 근로계약을 맺을 시에 이를 입증할 수 있는 내용을 포함해야 한다는 것을 의미한다.

 

GDPR에는 여러 기준이 존재하며 EU 지역에 진출하거나 서비스를 제공하고 있는 기업이 이들 항목을 위반할 시에는 직접적인 제재를 받게 된다. GDPR 위반의 경우 전세계 매출액의 2% 혹은 1천만 유로 중 더 큰 금액이 과징금으로 부과되며, 심각한 위반의 경우는 전세계 매출액의 4% 또는 2천만 유로 중 더 큰 금액이 부과된다. 

 

일반적인 위반은 대리인 미지정, 유출 통지 위반, 개인정보 처리활동 기록 위반 등이 포함되며, 심각한 위반에는 국외 이전 규정 위반, 개인정보 처리 기본 원칙 위반, 정보주체의 권리 보장 의무 위반 등이 포함된다. 하지만 상기된 과징금은 최대 한도의 부과 금액이며, 실제 과징금은 위반 내용과 피해 경감 노력을 검토해 결정된다는 설명도 이어졌다.

 

때문에 각 기업은 구체적 과징금 부과 요건과 집행절차를 파악하기 위해 각국의 법률 제정과 개정 동향 및 판례를 지속적으로 모니터해야 할 필요가 있다는 조언도 들을 수 있었다. 또한, 숙명여대 법대의 조수영 교수는 EU에 진출한 한국 기업이 GDPR을 이행하기 위한 3단계 준비사항을 설명해 눈길을 끌었다. 

 

먼저, 개인정보 처리 현황을 점검할 수 있도록 GDPR 적용대상 여부를 판단하고, 이 중에 즉시 개선 가능한 사항을 이행하기 위해 DPO(개인정보보호책임자)를 지정하고 처리활동을 기록할 것을 권고했다. 마지막으로 GDPR 기준에 적합한 개인정보 처리 방법과 동의 획득 절차 등 내부지침을 개선하고 영향평가 등에 소요되는 예산과 조직을 보완할 필요가 있다고 설명했다.