한국에 대한 유럽연합(EU)의 개인정보보호 적정성이 최종 결정됐다. 이번 결정으로 앞으로 한국 기업들은 EU 시민의 개인정보를 추가적인 인증이나 절차 없이 국내로 이전할 수 있게 돼 국내 IT나 빅데이터 업체들이 유럽에 진출하는 데 도움이 될 것으로 기대된다.
윤종인 개인정보보호위원장은 17일 오후 6시 브리핑을 통해 한국에 대한 EU 개인정보 적정성 결정(Adequacy Decision)이 채택돼 즉시 발효됐다고 밝혔다.
앞서 EU 집행위원회는 우리나라 국무회의 격인 ‘집행위원 전원회의'(College of Commissioners)를 열어 이번 결정을 채택했다. EU 개별 회원국들도 EU 집행위원회의 회원국 승인절차 과정에서 만장일치로 한국에 대한 적정성 결정을 승인했다.
윤 위원장과 디디에 레인더스 EU집행위 사법총국 위원은 “한국과 EU 간 높은 수준의 정보보호에 대한 공유된 의지와 한국의 우수한 개인정보보호 법제가 이번 적정성 결정의 토대가 됐다”고 확인했다.
양측은 또 “(이번 결정은) 개인정보보호 강화가 국제무역 활성화에 기여할 수 있음을 보여주는 사례로서 한-EU 자유무역협정(FTA)을 보완해 디지털 분야의 양측 간 협력을 강화할 것”이라고 평가했다.
개인정보위에 따르면 지난 2017년 1월 한-EU 간 적정성 협의가 공식 개시된 이래 핵심 요건인 개인정보 감독기구의 독립성 미충족으로 협의가 두 차례 중단됐었다. 이후 지난해 데이터 3법이 개정되고 같은해 8월 개인정보위가 독립 감독기구로 출범하면서 논의가 본격적으로 재개됐다.
한국과 EU는 지난 5년여 기간 동안 총 60여 차례 이상 실무회의를 거치면서 한국의 개인정보보호법 등 관련 법제와 정부기관별 소관 업무 등에 대해 심층 검토를 한 결과 한국의 개인정보보호법 체계가 EU의 일반개인정보보호법(GDPR)과 동등한 수준임을 확인했다.
작년 7월 유럽사법재판소가 미국에 대한 적정성 결정인 프라이버시 쉴드를 무효화하면서 적정성 결정 심사기준이 대폭 강화됐고, 이로 인해 추가 보완책을 마련해야 하는 어려움이 있었지만 관계기관과 긴밀히 협조해 이번 협의를 성공적으로 마무리했다고 개인정보위는 설명했다.
그동안 EU에 진출한 주요 국내 기업들은 EU 개인정보를 국내로 이전하기 위해 개별로 표준계약 등을 통해 많은 시간과 비용을 투자해왔음에도 불구하고 관련법 위반에 대한 부담을 안고 있었다.
LG나 SKT, 네이버 등 EU에 진출한 기업들은 표준계약 체결을 위해 GDPR 및 해당 회원국 법제에 대한 법률 검토, 현지 실사, 기타 행정절차 등으로 인해 프로젝트 별로 3개월 이상 시간과 상당한 비용(3000만원~1억원) 가량 소요한 것으로 알려졌다. 만약 GDPR 관련 규정 위반이 적발될 경우 최대 매출 4%를 과징금으로 부과받을 수 있기 때문이다. 이 때문에 중소기업의 경우 EU 진출을 미리 포기하는 사례도 있었던 것으로 파악된다.
하지만 이번 적정성 결정으로 개인정보 국외이전에 있어 한국이 EU 회원국에 준하는 지위를 부여받으면서 표준계약 등 기존의 절차가 면제되는 것이다.
이에 따라 국내 기업들의 EU 진출이 늘어나고 기업들이 들여야 했던 시간과 비용이 대폭 절감될 것으로 기대된다. 나아가 한-EU 기업 간 데이터 교류·협력 강화로 인해 국내 데이터경제 활성화에 도움될 것으로 전망된다.
또한 일본은 민간 데이터 이전에 대해서만 적정성 결정을 받았지만 한국에 대한 적정성 결정은 공공 데이터 이전에도 적용됨으로써 규제 협력 등 한-EU 정부 간 공공분야 협력도 강화될 수 있다.
윤 위원장은 “이번 적정성 계기로 한국이 EU와 함께 국제무대에서 데이터 특히 개인정보 분야의 글로벌 표준 정립에 있어 주도적 역할을 할 수 있게 됐다”며 “향후 영국 등 비 EU권 국가들과 적정성 결정 추진에도 계속 노력할 것”이라고 밝혔다.
