검색
로펌

EU ‘GDPR 시행’… 대형로펌, 팀 재정비 ‘박차’

데이터 보존의무 등 위반 땐 최대 매출액의 4% 과징금 부과

지난 25일 유럽연합(EU)의 새 개인정보 보호 규정인 '유럽 일반 개인정보 보호법(GDPR, General Data Protection Regulation)'이 본격 시행되면서 대응책 마련을 위한 기업과 로펌들의 발걸음이 빨라지고 있다. 


143389.jpg


 

△잊힐 권리 등과 같은 정보 주체의 권리 보장 △데이터 수집시 목적을 설명하고 동의받을 의무 △데이터를 취급하는 과정에서 이를 기록·보존해야 할 의무 등 개인정보 처리 및 보호 관련 규정을 대폭 강화한 GDPR은 EU 회원국뿐만 아니라 EU 내·외에서 사업을 하면서 EU 시민의 개인정보를 다루는 기업 등에 모두 적용되기 때문에 EU와 거래하는 우리 기업들도 반드시 준수해야 한다. 특히 위반시 최대 매출액의 4% 또는 2000만유로(우리돈 250여억원) 중 높은 금액을 과징금으로 물어야 하기 때문에 관련 리스크(Risk) 관리를 철저히 할 필요가 있다.

  

B2B 사업 기업에도 적용…

지속적 모니터링·법률리스크 분석

 

이때문에 국내 주요 로펌들은 관련 자문팀을 잇따라 신설하는 등 기업 고객 보호에 나서고 있다.

 

법무법인 율촌(대표변호사 우창록)은 손도일(52·사법연수원25기)·김기정(41·35기)·김선희(39·36기) 변호사와 이재욱 외국변호사(미국) 등 기업금융그룹, 공정거래그룹, IP 그룹, 송무그룹 등에서 정보통신 분야에 전문성을 가진 변호사들을 따로 선발해 사건 중심의 협력 해결 체제를 구축했다. 또 GDPR을 한국법과 비교 분석해 설명하는 통합 컴플라이언스(준법경영, Compliance) 컨설팅을 제공하는 한편 GDPR에 대한 이해도를 높이기 위한 기업 고객 대상 세미나도 지난해 7월부터 꾸준히 개최하고 있다.

 

손 변호사는 "B2C(기업과 소비자간 거래) 뿐만 아니라 B2B(기업간 거래) 사업을 하는 기업에도 GDPR이 적용되기 때문에 각 기업들은 자신들이 수집하고 활용하는 정보의 지도를 그려 현황을 파악하고 리스크를 최소화해야 한다"며 "GDPR에 맞춰 본사의 개인정보 보호체계를 보완하되, 한국의 개인정보 법령과 충돌하는 부분이 없도록 통합적으로 접근하고 지속적으로 모니터링하며 GDPR 준수 노력을 증빙할 자료까지 꼼꼼히 챙겨야 한다"고 강조했다.

  

관련 조항 많고 규제 내용 복잡…

현지 로펌과 협업 등 강화도


김앤장 법률사무소(대표변호사 이재후)도 기존 개인정보 보호 관련 업무를 담당하던 '프라이버시 앤 정보보호팀(Privacy & Data Security)'을 중심으로 김진환(51·24기)·정성구(46·25기)·정익상(46·33기) 변호사와 외국변호사, IT 전문위원 등 총 50여명을 관련 업무에 투입했다.

 

김 변호사는 "GDPR은 유럽 법령이지만 일정한 한도에서의 역외적용을 당연시 하면서 전 세계 매출액을 기준으로 한 매우 높은 수준의 과징금 제재를 두고 있다"며 "이때문에 국내기업이라고 하더라도 GDPR이 적용될 수 있어 매우 세심하게 신경을 써야 한다"고 말했다. 

 
화우(대표변호사 정진수)는 방송정보통신팀과 금융그룹이 협업하는 '정보보호팀'을 구성했다. 2016년 하반기부터 방송정보통신팀의 이광욱(47·28기)·이근우(45·35기) 변호사와 금융그룹의 이숭희(54·19기)·이주용(46·32기) 변호사 등 8명이 주축이 돼 GDPR 관련 업무를 전담하고 있다. 화우는 △1차적으로 GDPR 적용 대상을 검토하고 △EU 내 사업장(규모)과 사업관련성을 파악한 뒤 △정보의 내용·현황 등을 파악해 2차적으로 EU 현지 로펌과 협업해 법률 리스크를 분석하고 있다. 

 

이미 2010년 개인정보보호 및 정보보안을 전문적으로 취급하는 'DPP(개인정보보호 Data Protection/ Privacy)팀'을 구성한 광장(대표변호사 안용석)은 GDPR 시행에 대비해 2015년부터 새롭게 팀을 재정비해 관련 자문 등에 대응해왔다. 지금까지 20여차례의 내부 세미나를 통해 △역외적용 △국외이전 △동의 △DPO(Data Protection Officer) △정보주체의 권리 등 GDPR 핵심 이슈에 대한 소속 전문가들의 역량을 강화했다. 특히 박광배(55·17기) 변호사는 '범정부 EU 개인정보 보호수준 적정성 평가'를 위한 정부 민관합동 추진단 일원으로 참여해 EU 집행위원회를 직접 방문하기도 했다. 광장은 최근 KEB 하나은행의 GDPR 컴플라이언스 프로젝트를 맡기도 했다.

 

태평양(대표변호사 김성진)은 올해 'GDPR 태스크포스(TF)'까지 설립했다. GDPR 시행에 방어적인 자문이 아니라 기업 고객의 글로벌 비즈니스 기회 확대를 위한 적극적인 자문에 박차를 가하고 있다. 개인정보보호와 정보보안 등 각 분야 전문가 11명으로 구성된 TF는 유럽 현지 글로벌 로펌 및 컨설팅펌과의 네트워크를 바탕으로 △산업 분야별 맞춤 서비스 △EU GDPR 전문 로펌과 긴밀한 네트워크를 통한 자문 등 심도 있는 서비스를 제공하고 있다.

 

이상직(26기) 태평양 변호사는 "EU가 한국을 GDPR 적정성 국가로 평가할 경우 한국 기업은 GDPR을 잘 준수하는 조건 하에 유럽 밖으로 개인정보의 자유로운 이동권도 보장받을 수 있다"며 "국가마다 다른 규제를 맞춰야 하는 불편함이 줄어든다면, 사업자 입장에서는 엄청난 규제 비용을 아낄 수 있기 때문에 오히려 사업 확대 기회가 될 수 있다"고 말했다. 

 

세종(대표변호사 강신섭)은 강신욱(46·33기)·장준영(44·35기)·백대용(44·31기) 변호사 등 50여명으로 구성된 정보보호팀이 GDPR에 대한 자문을 제공한다. 최근에는 △L사 인터넷 회원들에 대한 GDPR 적용여부 검토 △S사 유럽지사의 GDPR 대응 관련 자문 △S사 GDPR 시행 대비 자문 △B사의 GDPR 개요 관련 자문 등을 진행했으며, 관련 가이드라인도 계속 개정되는 것에 따라 꾸준히 내부 스터디를 운영해왔다. 세종 관계자는 "최근 스마트폰의 대중화 및 인터넷의 발달로 이커머스(E-commerce) 시장이 활성화 돼 이를 통해 EU 내 소비자에게 물건을 판매할 가능성이 있는 기업은 GDPR의 적용을 받게 될 수 있어 그 적용범위가 상당히 포괄적"이라며 "위반시 부여되는 높은 과징금도 타격이 될 수 있지만, 개인정보를 적절하게 보호하지 못한다는 낙인 효과와 함께 기업의 평판도 크게 저해시킬 수 있으므로 적절한 대비책을 반드시 마련해야 한다"고 했다.

 

바른(대표변호사 문성우)도 장주형(50·22기)·김도형(42·34기)·최재웅(39·38기)·최진혁(42·변호사시험 2회)·장은진(31·변시 6회) 변호사와 피난스키 외국변호사 등을 투입해 팀을 꾸렸다. 최재웅 변호사는 "기업은 GDPR에서 요구하는 개인정보 보호 적용설계 및 기본설정(Privacy by design and by default)을 도입하는 등 개인정보 보호 관련 제도를 정비하고 대응체계를 완비해야 한다"며 "지난 2년의 유예기간 동안 대기업 등은 상당부분 준비를 마쳤겠지만 아직 준비를 마치지 못한 중소기업 등은 특히 유념해야 한다"고 설명했다.

 

로고스(대표변호사 양승국)도 이상진(44·33기) 지식재산팀장과 이유경(42·33기)·김지환(31·변시 6회) 변호사, 박정열 외국변호사(미국)를 주축으로 새로 개인정보보호팀을 구성했다. 이 팀장은 "우리 기업들로서는 △현재 수집·처리하고 있거나 장래 수집·처리할 예정인 개인정보의 유형이 GDPR 적용대상인지 △GDPR이 요구하는 수준의 기술적·관리적 조치를 통해 적절한 개인정보보호조치를 수행하고 있는지 △정보주체가 개인정보의 열람·수정·삭제·처리제한·이전 등의 권리를 행사할 때 GDPR이 요구하는 기준 및 방법 등을 준수하고 있는지 △개인정보 침해 사고 시 유형별 대응 절차가 수립되어 있는지 등을 체크하고 미흡한 부분을 보완해야 한다"며 "유럽에 진출했거나 진출을 준비하고 있는 우리 기업들을 위해 사전 점검 등을 통해 관련 리스크 예방에 주력하고 있다"고 말했다.


대륙아주(대표변호사 이규철)는 IP분야와 데이터 보호정책 분야에서 이미 유럽을 중심으로 경쟁력 있는 글로벌 로펌으로 자리매김한 테일러베싱(Taylor Wessing)과의 네트워크를 통해 EU의 새롭고 강력해진 데이터 보호 규제에 대해 분석해 자문하고 있다. 특히 EU 내 국가는 GDPR이 규정하고 있는 내용 외에 추가 의무사항을 별도로 정할 수 있도록 되어 있어 EU 개별 국가별 대응 방안을 수립하는 데에도 주력하고 있다.

카카오톡
  • 카카오톡
  • 리걸에듀

    기자가 쓴 다른기사