한국, 개인정보보호에 있어 EU회원국에 준하는 지위 부여 받아

EU 회원국처럼 EU시민 개인정보, 자유롭게 국내로 이전·처리 가능

▲개인정보보호위원회 윤종인 위원장(좌)과 디디에 레인더스 EU집행위 사법총국 커미셔너(사법총국 장관. 우)는 3월 30일 한국과 유럽연합(EU) 간 개인정보 이전에 대한 적정성 협의가 성공적으로 마무리되었음을 확인했다. 이에 따라 한국은 개인정보보호에 있어 EU회원국에 준하는 지위를 부여받게 되어 EU에서 한국으로 EU시민의 개인정보를 국내로 자유롭게 가져올 수 있게 되었다. (출처=개인정보보호위원회)

개인정보보호위원회 윤종인 위원장과 디디에 레인더스 EU집행위 사법총국 커미셔너(사법총국 장관)는 30일 오후 5시(EU, 오전 10시), 유럽연합(EU)과 한국 간 적정성 논의가 성공적으로 마무리 되었음을 확인하고 환영했다.

양측은 공동언론발표문을 통해 “개인정보보호 분야에 있어 한국과 유럽연합 간에 높은 수준의 동등성, 특히 최근 시행된 한국의 개정 개인정보보호법에 따라 개인정보보호위원회의 권한이 강화되어 그러한 동등성이 한층 더 향상되었음을 확인”하였다.

이에 따라 한국은 개인정보보호에 있어 EU회원국에 준하는 지위를 부여받게 되어 “EU로부터 한국으로의 자유롭고 안전한 정보의 흐름이 가능”하게 되고 “한-EU 자유무역협정(FTA)을 보완하여 디지털 역량을 선도하는 유럽연합과 한국 간 협력이 강화”될 것으로 평가하였다.

이번 결정 발표 직후, EU집행위는 의사결정절차에 착수하였고, 상반기 또는 늦어도 금년 하반기에는 이번 결정을 발효할 예정이다.

지난 2017년 1월 한-EU 간 적정성 논의가 공식 개시된 이래, 핵심기준인 개인정보 감독기구의 독립성 요건 미충족으로 한-EU 간 협의가 2차례 중단되기도 하였으나, 지난해 데이터3법 개정으로 개인정보위가 독립감독기구로 확대 출범함에 따라 급진전 되었다.

한-EU는 지난 4년여 기간 동안 대면·비대면 총 53회 회의를 통해 한국의 개인정보보호법 등 관련 법제 및 정부기관별 소관업무 등에 대한 심층적인 검토를 거쳐 한국의 개인정보보호 법체계가 EU 일반 개인정보보호법(EU GDPR: General Data Protection Regulation)과 동등한 수준임(적정성)을 확인하였다.

그간 EU진출 한국 주요기업들은 주로 표준계약조항 등을 통해 EU 개인정보를 국내로 이전하여 왔으며, 이를 위해 많은 시간과 비용을 투자해 왔음에도 불구하고 GDPR 관련 규정 위반에 따른 과징금(최대 전세계 매출 4%) 부과 등에 대한 부담을 안고 있었다. 또한 중소기업의 경우에는 표준계약절차 자체가 어려워 EU 진출을 포기하고 있는 것으로 파악되고 있다.

실제 비용 부문에서는, LG, SKT, 네이버 등 EU진출기업 관계자에 따르면, 표준계약조항을 이용한 계약 체결을 위해 GDPR 및 해당 회원국의 법제에 대한 면밀한 법률 검토, 현지 실사, 기타 행정절차 등으로 인해 3개월에서 1년 정도의 시간과 프로젝트별로 약 1～2억원의 비용이 소요되는 것으로 파악됐다.

그러나, 이번 적정성 결정으로 인해 한국이 개인정보 국외이전에 있어 EU회원국에 준하는 지위를 부여받게 됨에 따라, 한국 기업들의 경우 표준계약 등 기존의 까다로운 절차가 면제된다.

이로 인해 한국 기업들의 EU 진출이 늘어나고, 이를 위해 기업이 들여야 했던 시간 및 비용이 절감될 것으로 기대된다.

또한, 이번 적정성 결정은 ’19년 1월 채택된 일본 적정성 결정과 달리 공공분야까지 포함되어 규제협력 등 EU와의 정부 간 협력이 강화되고, EU기업과 한국의 데이터 기업 간의 제휴가 가능하여, 국내 데이터산업 활성화에 기여할 것으로 전망된다.

한편, 이번 적정성 결정은 개인정보보호 독립감독기구인 개인정보보호위원회가 감독하는 영역을 대상으로 함에 따라, 현재 표준계약으로 개인정보를 국내로 이전 중인 10개 이내의 금융기관 등의 경우 기존과 같이 표준계약을 이용할 필요가 있다.

윤종인 위원장은 “이번 적정성 결정으로 인해 한국이 글로벌 선진국 수준의 개인정보보호 국가로서의 위상이 제고되고, 이러한 신뢰를 기반으로 한국기업들이 데이터 경제 시대의 주역으로 성장할 수 있는 기반을 마련하게 되었다”라고 강조하면서 “한국 정부가 개인정보위를 주축으로 외교부, 법무부, 행안부, 산업부, 국조실, 금융위, 국정원, 인권위, 경찰청, 한국인터넷진흥원 등 관계 기관의 긴밀한 협조를 통해 이번 결정을 이루어 냈다는 점에서 그 의미가 더욱 크다.”고 평가하였다.

◈적정성결정으로 혜택을 볼 수 있는 기업 사례

▶EU 지사–한국 본사

적정성결정 이전에는, 프랑스 파리에 소재하는 A사(지사)는 EU 고객을 대상으로 맞춤형 쇼핑 대행업(특히 한국 상품)을 하고 있는데, 고객들이 선호할 것으로 예상되는 상품을 선정하기 위해 고객의 개인정보를 자체 분석하는데 어려움이 있어 한국 본사에 분석을 의뢰해 왔다. EU 고객정보를 한국으로 이전하기 위해서는 표준계약조항을 활용할 수밖에 없어, 시간·비용 부담 및 법 위반 우려로 인해 소극적으로 영업 활동을 하였다.

결정 이후에는, 한국에 대한 적정성 결정으로 인해 A사는 한국 본사로 EU 고객정보를 보내는 과정이 간소화되었으며, 표준계약조항을 이용하지 않아도 됨에 따라 비용·시간 및 법적리스크 감소로 적극적인 영업 활동이 가능하게 되었다.

▶EU 기업–한국 기업

결정 전에는, 독일에 소재하는 B사(독일 기업)는 고객 개인정보를 활용하여 새로운 마케팅 전략 수립이 필요한 상황이었다. 그러나 이에 특화된 전문성 있는 데이터 연구 기업을 EU 내에서는 찾기 어려워 한국으로 데이터를 이전하여 처리하고자 하였으나 표준계약 등으로 인한 부담이 있어 제한적인 연구만 가능했다.

결정 후에는, 한국에 대한 적정성 결정으로 인해 한국으로의 개인정보 이전이 자유로워짐에 따라 B사는 한국의 전문성이 있는 데이터 연구 기업과의 제휴가 가능하게 되었다.

★정보보안 대표 미디어 데일리시큐!★

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★

길민권 기자 다른기사 보기