GDPR은 EU 전체 회원국에 적용되는 통합 규정으로, 개인정보가 어떻게 수집되고 사용돼야 하는지에 대한 내용을 담고 있다. 조항이 99개에 달할 만큼 그 내용이 광범위하다.
규정에 따르면 기업은 사용자의 동의가 있어야만 개인정보를 처리를 할 수 있다. 사용자는 개인정보의 삭제를 요구할 수 있고, 이전에 동의한 내용을 철회할 수도 있다. EU 지역 내 개인들의 정보를 다루는 기업들은 EU 내에 대리인을 둬야 한다. 또 기업이 개인정보를 침해한 경우 72시간 내에 감독 기구와 정보 주체에 알려야 한다는 내용도 담고 있다.
이 규정은 EU에 거점이 없더라도 이 지역에서 사업을 하는 기업은 모두 해당이 된다. 법을 위반했을 경우 과징금은 전 세계 매출액 4%, 또는 2000만 유로(약 250억원) 중 높은 쪽이다. 글로벌 컨설팅 업체 캡제미니의 최근 조사에 따르면 GDPR에 대응할 준비가 된 기업은 15%에 그쳐 법의 발효 전부터 파장이 우려돼왔다.
실제로 이날 GDPR이 발효되자마자 구글과 페이스북, 인스타그램, 왓츠앱 등은 제소를 당했다. 25일 BBC에 따르면 개인정보보호단체 noyb.eu는 이 업체들의 서비스를 이용하려면 개인정보 사용에 무조건 동의하게 한다며 프랑스, 독일, 오스트리아, 벨기에 등 국가에서 이들을 제소했다.
noyb.eu측은 성명에서 "GDPR은 서비스 이용시 수집해야하는 개인정보 데이터를 엄격하게 필요한 수준으로 제한하고 있다"며 "(구글과 페이스북 등은) 광고활용을 위해 이용자들의 개인정보를 사실상 강제하고 있다"고 밝혔다.
한편, 일부 업체는 GDPR 시행에 맞춰 EU 지역에서 철수하거나 일시적으로 서비스를 중단하고 있다. 이들의 개인정보 처리 수준이 규정에 못 미친다고 판단했기 때문이다.
영국 가디언에 따르면 이메일 정리 사이트 언롤미(unroll.me), 소셜미디어 분석 서비스 클라우트, 온라인 게임 '슈퍼 먼데이 나이트 컴뱃' 등은 EU에서 서비스를 종료하기로 했다. 미국 언론사 시카고 트리뷴과 LA타임스는 EU 지역에서 접속이 되지 않도록 일시적으로 사이트를 차단했다.
개인정보보호 전문가인 브라이언 호넌은 가디언을 통해 "GDPR의 목표는 개인정보의 수집, 처리 과정에서 보호 수준을 높이는 것"이라고 강조하고, "2년의 유예기간이 있었다"며 일부 기업들의 EU 지역 철수는 자연스러운 결과라고 말했다.
[저작권자 @머니투데이, 무단전재 및 재배포 금지]