지난달 EU의 GDPR(개인정보보호법) 시행 이후 국내 시중은행들이 관련 대응방안 마련에 고심하고 있다.

국내 상당수의 시중은행들은 EU에 국외점포를 개설해 영업하고 있으며 현지직원을 채용해 인적 사항, 경력, 의료정보는 물론 범죄정보와 같은 민감정보까지 수집하고 있다. 매일 수백 건씩 EU 지역으로 외화 송금을 보내고 있으며 EU에 있는 기업의 한국지사가 국내 은행과 거래할 가능성도 적지 않다.

국민은행 정보보호부 방기석 수석차장은 “유럽의 개인정보보호법인 GDPR은 우리에게 상당한 영향을 미칠 수 있고 위반 시 제재가 막중하기 때문에 GDPR에 대한 이해와 함께 적절한 대응방안을 서둘러 마련할 필요가 있다”고 강조했다.

EU는 오랜 논의 끝에 1995년 제정된 개인정보보호지침을 2016년 5월 24일 GDPR 법률로 제정했고 2년의 유예기간을 거쳐 올해부터 모든 회원국을 대상으로 본격적인 시행을 알렸다.

GDPR은 한국보다 더 확장된 개인정보 개념을 가지고 있다. 일반적인 개인정보는 다른 정보와 결합해 개인을 식별할 수 있는 정보를 의미하지만 GDPR에서는 ‘개인을 알아볼 수 있는지 판단이 어려운 정보’도 개인정보에 포함된다.

적용 범위는 EU 내 사업장을 운영하며 개인정보를 처리하는 경우 적용된다. EU에 사업장이 없어도 EU 내 정보 주체인 거주자에게 ‘재화나 서비스를 제공하는 경우’와 ‘EU 내에서 행동을 모니터링 하는 경우’ 모두 적용된다.

GDPR을 심각하게 위반할 경우 전 세계 연간 매출액 4% 또는 2000만 유로(한화 약 251억원) 중 높은 금액을 과징금으로 부과하는 등 큰 제재가 따른다.

만약 은행 홈페이지에서 국외점포 안내 페이지를 영어로 게시할 경우 단순히 지점 주소, 영업시간, 연락처 등을 안내하는 페이지에 GDPR이 적용된다고 보긴 어렵다. 하지만 대량의 EU 거주자가 접속하고 불어나 독일어로 서비스를 제공하며 회원가입 등 개인정보 처리가 발생한다면 이 사이트는 GDPR이 적용될 수 있다.

지난달 금융위원회는 개인신용정보 이동권 도입, 프로파일링 대응권 강화 등 GDPR에서 규정하는 제도가 포함된 ‘금융분야 개인정보보호 내실화 방안’을 발표했다.

업계 전문가들은 EU에서 시행된 GDPR이 조만간 국내 금융회사를 비롯해 소비자들에게도 큰 영향을 미칠 수 있을 것으로 예측하고 있다.

방기석 수석 차장은 “GDPR에 대응하기 위해서는 가장 먼저 개인정보 현황 파악이 중요하다. EU에 지점이 있는지, 리테일 뱅킹 업무를 하는지, 도매금융이나 기업대출업무 과정에서 개인정보를 처리하지 않는지 체크할 필요가 있다”며 “특히 데이터 국외이전 관련 표준계약서(SCCs) 체결에 대해 전산센터의 위치를 고려해 국외이전 발생 여부를 체크하고 만약 전산센터가 서울에 있다면 국외이전 관련 계약체결을 서둘러야 한다”고 말했다.