이아종 기자
2025년 5월, 유럽연합(EU)의 개인정보보호법(GDPR) 시행이 10년 차를 맞았다. 2016년 제정돼 2018년 본격 시행된 GDPR은 글로벌 디지털 생태계의 게임체인저로 불리며, 지금까지 약 2,600건의 과징금이 부과되고 113건의 EU 법원 판결이 내려졌다.
강화되는 집행, 증가하는 과징금
2025년 5월 기준 GDPR 위반에 따른 누적 과징금은 약 62억 유로(약 9조 2천억 원)에 달한다. 특히 2023년 한 해 동안 부과된 과징금만 20억 유로를 넘겼으며, 2025년 들어서는 건당 평균 과징금이 1,300만 유로를 돌파했다. 주된 위반 유형은 법적 근거 부족, 일반 데이터 처리 원칙 불이행, 보안 조치 미흡 등으로, 전체 위반의 90% 이상을 차지한다.
EU 집행위, 중소기업 지원책 제시
EU 집행위원회는 2020년과 2024년 두 차례의 공식 보고서를 통해 GDPR의 시행 현황을 평가했다. 회원국별 파편화, 권리 실효성 부족, 중소기업의 이행 부담 등이 주요 이슈로 지적됐다. 이에 따라 중소기업이 활용 가능한 표준계약조항(SCC)을 도입하고, 개인정보 역외이전 제도를 확대 개선하고 있다.
EU 법원, 판례 통해 해석 정교화
GDPR 시행 초기에는 기본 개념과 원칙 해석이 주된 쟁점이었으나, 최근 판례에서는 과징금 요건, 공동 컨트롤러 기준, 민감정보 범위, 국경 간 감독기관의 관할권까지 보다 세밀한 법리 정립이 이루어지고 있다.
한국 기업의 대응 전략
한국은 2021년 EU로부터 GDPR 적정성 결정을 받았고, 2023년 개인정보보호법을 개정해 EU 기준에 부합했다. 그러나 미국은 이를 비관세장벽으로 간주하며 무역장벽보고서에 이를 명시했다. 향후 한미 통상 논의에서 해당 법 개정이 특정 기업을 겨냥한 것이 아니라는 점을 분명히 설명할 필요가 있다.
한편, EU 내에서 사업을 운영하거나 진출을 계획 중인 한국 기업은 국경 간 데이터 처리에 관한 주관 감독기관과의 협력 체계, 분쟁 해결 절차 등에 대한 사전 이해와 대응 전략을 강화해야 한다.
전문가 제언
전문가들은 “GDPR은 이제 단순한 규제가 아닌 국제 디지털 무역질서의 기준”이라며 “한국 정부와 기업 모두 EU의 경험을 참고해 법·제도 개선과 선제적 대응을 이어가야 한다”고 강조했다.