2020년 1월, 정부 제4차 국무회의에서 몇 가지 중요한 법안이 심의및 의결되었다. 이 중 뜨거운 감자는 속칭 ‘데이터 3법’이라 불리는 ‘개인정보법’, ‘신용정보법’, ‘정보통신망법 개정안’이다. 국회에서 1 년 넘게 계류되다가 이번에 통과된 데이터 3법은 인공지능(AI) 및빅데이터 산업의 활성화를 위해 정부 부처별로 발생하는 중복적인 규제를 없애고 개인이나 기업이 수집/활용할 수 있는 정보의 범위를 확대하는 취지를 담고 있다. 특히 개인 식별이 불가능하도록 익명으로 한 경우의 정보 처리 가능범위를 대폭 확대한 것이 핵심이다. 이러한 변화는 개인 정보를 마케팅 등에 적극적으로 활용하는 기업들에 희소식일 수 있으나, 개인 정보 침해나 윤리적 이슈에 대한 우려를 간과할 수 없다.

국내에서 데이터 3법 개정안의 필요성이 제기된 주된 이유 중 하나는 유럽에서 요구하는 GDPR 규정 때문이다. 유럽연합은 일반 개인의 사적 데이터 보호를 위해 최소한의 가이드를 규정하고 2018년 5월 유럽 전역에 이를 발효하였는데, 이것이 GDPR(General Data Protection Regulation)이다. 일본의 경우 2015년에 개인정보보호법을 개정해 익명가공정보의 개념을 도입하였고, 2018년 7월에는 GDPR 규정에 대한 적정성 평가를 통과하여, 일본 기업들은 더 이상 유럽에서 GDPR 규정에 의거한 개별적 심사를 받을 필요가 없게 되었다. GDPR 규정은 직원과 관련된 데이터를 직접적으로 다루는 HR에도 상당한 영향을 끼치고 있다. 하지만 수년이 지났음에도 GDPR 규정의 내용은 무엇이고, 국내 기업에는 어떤 영향을 끼치는지에 대해서 제대로 숙지하고 있지 못한 HR 관계자들이 여전히 많다. GDPR 규정은 유럽에 있는 국가들에 국한된 이야기가 아니라, 글로벌 비즈니스를 해 나가는 국내 기업에도 직접적으로 영향을 미친다. 이글에서는 GDPR 규정 중 HR담당자들이 염두에 두어야 할 내용들 과, 유럽권에서 비즈니스를 하고 있는 국내 기업들에 어떤 시사점이 있는지를 함께 살펴보겠다.

GDPR 규정의 등장배경과 그에 따른 변화

대부분의 경우, 기술 발전이 이뤄진 뒤에 비로소 그에 따른 법규/규정이 세워지기 마련이다. 새롭게 등장한 기술로 인해 발생되는 현상이나 문제들은 법적/사회적 조치의 필요성을 불러일으킨다. 최근 그 활용이 급작스럽게 늘어난 드론(Drone)의 항공촬영 이슈나 전동킥보드로 차도 혹은 인도를 다니는 문제가 대표적인 예일 것이다. 인터넷과 모바일기기 등을 통한 온라인상의 소셜미디어 발달은 수많은 데이터를 양산하기 시작했고, 이는 자연스레 사적인 데이터에 대한 보호 이슈를 수면 위로 끌어올렸다. 유럽에서 제정된 GDPR은 이러한 배경에서 EU 소속 국적의 국민들에 대한 데이터 보호와 그들의 권리를 강화하고, 기업의 데이터 활용을 관리/감독 하여 제대로 된 사용을 유도하는 데 목적을 두고 있다.