-구글 단일 부과 금액만 653억원
-정보유출 6만건 육박
-국내 기업 벌금 사례 아직 없어
-KISA DPO자격증 신설 계획

최광희 KISA 개인정보정책단장이 10일 강남 한 사무실에서 개최된 기자스터디에서 GDPR에 대해 설명하고 있다 [KISA제공]

[헤럴드경제=정태일 기자]EU(유럽연합) GDPR(개인정보보호규정) 시행 1년 동안 5개국에서 663억원 이상의 벌금이 부과된 것으로 나타났다.

12일 한국인터넷진흥원(KISA)에 따르면 지난해 5월 25일 GDPR이 시행된 후 프랑스, 독일, 포르투갈, 폴란드, 덴마크 등에서 GDPR 위반으로 벌금이 부과됐다.

특히 구글은 프랑스에서 5000만유로 우리돈으로 653억원의 벌금 처분을 받았다.

데이터 처리 목적 및 저장 기간에 대한 정보를 한곳에서 제공하지 않고 5~6회 클릭하도록 한 것, 일반적이고 모호한 설명으로 명확하고 포괄적인 정보를 제공하지 않은 점, 불충분한 정보제공으로 개인 맞춤형 광고에 요구되는 ‘유효한 동의’ 획득을 위반한 점이 이유였다.

한 의료기관은 의사 이외의 직원들에게 환자의 개인정보 접근권한을 부여한 점 등으로 인해 포르투갈에서 40만유로(5억원) 벌금을 부과받았다.

폴란드에서는 온라인 광고사가 정보주체 개인정보를 직접 획득하지 않고 다른 경로로 확보하고도 해당 사실을 고지하지 않아 22만유로(3억원) 벌금처분이 내려졌다.

덴마크에서는 택시운수사업자가 2억원 벌금을, 독일에서는 소셜미디어네트워크사업자가 2600만원 벌금을 각각 부과받았다.

GDPR 도입에도 정보유출은 지속돼 올해 1월 기준 EU역내 감독기구에 신고된 정보유출 건수는 5만9000건, 관련 민원상담은 9만5000건 이상이었다.

KISA는 국내 기업 700여곳이 EU 24개국에 진출해 있는 가운데 아직까지 GDPR 관련 벌금 사례는 없다고 설명했다. 하지만 국내 기업들이 GDPR 적용여부, 개인정보 역외이전 등에 우려하며 지난 1년간 230건 이상의 상담을 요청했다고 전했다.

KISA는 국내 기업의 GDPR 대응 실태조사를 계획 중으로 이르면 올해 연말 전후 결과를 발표할 예정이다.

이와 함께 개인정보보호법 개정안이 통과될 경우에 맞춰 DPO(개인정보보호책임자) 자격증을 도입하는 방안도 준비 중이다.

killpass@heraldcorp.com