[디지털데일리 최민지기자] 유럽연합 일반개인정보보호법(EU GDPR)이 한 달 앞으로 다가왔다. EU 내 정보주체의 개인정보를 처리하고 있다면 국내기업에도 직접 적용된다.
GDPR 위반 때 최대 2000만유로 또는 전세계 매출액의 4% 중 높은 금액을 부과하기로 한 만큼, 처음 시행되는 규정에 국내 기업들의 불안도 커지고 있다.
이에 기업들은 조속한 EU 적정성평가 승인을 요구하고 있다. GDPR에서 준수해야 할 부분 중 하나로 개인정보 역외 이전에 대한 조치사항이 있기 때문이다.
예를 들어, 국내 A 게임회사가 전세계에 배포한 게임을 통해 EU 지역을 대상으로 한 버전을 만들고 EU 사용자 정보를 국내 본사로 전송한다. 이는 개인정보 역외 이전에 속한다.
만약, 한국이 EU 집행위원회로부터 적정성 승인을 받은 국가로 결정된다면 별도의 개인정보 이전 계약 등을 조치하지 않아도 개인정보 역외 이전이 가능해진다.
적정한 개인정보 보호수준을 보장한 국가로 한국이 포함됐기 때문이다. 기업들의 GDPR 준비를 수월하게 해 주면서 역외 이전으로 인한 절차·비용적 부담까지 줄여준다.
이와 관련 한국정부는 EU 집행위에 적정성평가 추진을 지속적으로 요청하고 조속히 긍정적 결정을 내릴 수 있도록 적극적으로 합의를 이끌고 있는 상태다.
하지만, 내달 GDPR 시행 전까지 EU 적정성평가를 승인받을 가능성은 적다. 한국만의 문제가 아니다. 일본, 인도 등도 한국처럼 적정성평가를 신청한 상태지만 칼자루는 EU 집행위에 있다.
권현준 한국인터넷진흥원(KISA) 개인정보정책단 단장은 “적정성평가의 경우, 기한이 정해진 상태에서 신청을 받는 절차가 아니라 EU 측에서 필요에 의한 평가로 진행하기 때문에 확실하게 시기를 말하기는 어렵다”며 “그러나 KISA는 연내 적정성평가 승인을 도출하는 것을 목표로 하며, 실제 가능할 것으로 보고 있다”고 말했다.
이어 “현재 가능성이 있는 국가는 한국, 일본 정도이며 GDPR 이후 최초로 EU 적정성평가 승인을 받은 국가로 등재할 수 있을 것”이라며 “지난해부터 화상회의를 통해 국내 법·규정 등에 대한 이해를 높이고 있다”고 덧붙였다.
EU 적정성평가 승인을 낙관적으로 점치고 있지만, 기업들은 이것만 믿고 기다려서는 안 되는 상황이다. GDPR은 다음 달부터 당장 본격적으로 시행되지만, 적정성평가는 이후에 받을 수 있는 일이기 때문이다. 이 때문에 기존에 개인정보 역외에 해당되는 국내 기업은 GDPR 조항에 따른 보호조치를 마련해야 한다.
GDPR에 따르면 EU 역내에서 수집한 개인정보는 적정성평가 승인을 받은 경우, 적정성 승인을 받지 않았지만 규정된 보호조치를 마련한 경우, 정보주체의 명시적 동의에 의한 이전에 대해서만 역외로 이동하는 것을 허용한다.
일단, 한국은 GDPR 시행전까지 적정성평가 승인을 받지 못할 가능성이 크기 때문에 이에 따른 대응이 필요하다. 적정성 승인을 받지 않았다면 ▲구속력 있는 기업규칙(BCRs) ▲표준 개인정보보호 조항에 의한 이전 ▲승인된 행동강령 및 인증제도를 마련해야 한다.
표준 개인정보보호 조항에 의한 이전은 EU 집행위가 채택하거나, 감독기구 채택 후 EU 집행위 승인이 필요하다. 또, 제3국 컨트롤러·프로세서가 행동강령 또는 인증에 포함된 보호조치 준수를 전제한다.
권 단장은 “현재 BCRs은 신청할 수 있는데 통상 1년정도 소요되고 상당한 컨설팅 비용 등으로 부담이 있다”며 “다행히 과거에는 28개국의 승인을 다 받아야 했지만, 지금은 신청국가 1곳에서만 받으면 된다”고 설명했다.
또 “이 제도는 해당 회사에 대해 적정성평가를 승인하는 것으로, 정보처리 규칙 및 감독·사례 등을 보고 평가한 후 기업 내 정보이전을 허용하고 있다”고 부연했다.
정보주체의 동의도 기존처럼 체크리스트에 확인만 구한다고 동의로 인정하지는 않는다. 정보주체가 확실히 인지하고 스스로 판단에 의한 동의가 필요하다. 일례로, 휴대폰을 8자로 돌려 흔들도록 한다거나 직접 입력하는 등 적극적인 행동을 요구한다.
권 단장은 “EU에서 한국과 일본을 우선적으로 검토하겠다고 밝혔고, 한국은 다른 나라에 비해 정보보호 체계가 잘 잡혀있고 준비도 빠르다”며 “연내 승인은 가능할 것으로 보고 있지만 GDPR이 내달 시행인 만큼, 국내기업들은 적정성평가만 기다리기보다는 역외 이전과 관련해 기업 내부에서 우선 준비하고 대응해야만 한다”고 제언했다.
한편, KISA는 국내기업들의 이해도를 돕기 위해 세미나와 교육을 지속적으로 추진하는 한편 중소기업을 위한 GDPR 지원 예산을 마련하고 있다. 또, 내년에는 유럽 현지에 GDPR 대응센터를 개소할 예정이다.