GDPR은 EU 회원국 간 개인정보보호를 강화하기 위해 유럽연합(EU)이 제정한 통합 규정이다. 이 규정은 5월 25일부터 EU에 소속된 28개 회원국에 적용되며 국적과 상관없이 EU 회원국 거주자라면 GDPR의 보호를 받는다.

GDPR은 기본적으로 한국의 개인정보보호법과 유사하다. 가장 큰 차이는 벌금액수다. 한국의 개인정보보호법상 벌금은 최대 5000만원인데 반해 GDPR은 최대 2천만 유로(263억원)까지 부과할 수 있다.

기업이나 기관이 EU 거주자의 개인정보를 수집·보관한다면 GDPR 규정을 준수해야 한다. 한국과 같은 비회원국 기업도 예외가 아니다.

특히 EU 거주자의 정보를 해외로 이전하는 일은 엄격히 제한된다.

유럽에 있는 자회사가 수집한 개인정보를 해외의 본사로 이전하려면, 우선 본사가 소재한 국가가 EU로부터 '정보이전 허용국가'로 등재돼 있어야 한다. 그 후 유럽에 있는 자회사가 한국 본사와 'GDPR 규정을 준수한다'는 내용이 담긴 데이터 이전 계약서를 체결한 뒤에야 정보 이전이 가능하다.

한국 정부는 '정보이전 허용국가' 등재와 관련해 EU와 협상 중인 것으로 알려졌다.

한국 정부는 작년 12월 GDPR 대응 가이드라인을 국내에 발표한 상태다. 전문가들은 GDPR의 적용 범위가 넓고 위반 시 최대 263억원의 벌금이 부과되는 만큼 철저하게 준비해야 한다고 조언한다

GDPR에 대비하기 위해선 무엇보다 개인정보를 과도하게 수집하지 않고, 필요가 없어지면 삭제·폐기해야 위험을 줄일 수 있다.

개인정보 수집이 법적 문제로 불거졌을 때는 정보 수집 대상의 동의 여부를 기업이 증명해야 한다. 기업은 모든 EU 거주자에게 동의서를 받을 필요는 없지만, 동의 여부에 관한 법적 근거를 갖고 정보를 수집해야 한다.

또한 개인정보를 수집한 기업은 보관 기간·처리 방법 등을 EU 거주자 개인에게 통보하고, 기록해둬야 한다.