[디지털데일리 이종현기자] 지난했던 유럽연합(EU) 일반개인정보보호법(GDPR) 적정성 결정 논의가 진전됐다. 2017년 1월 논의가 시작된 지 5년 만이다. EU는 수개월 내에 적정성 결정이 채택되는 것을 목표로 다음 단계인 의사결정 절차를 진행한다.
30일 개인정보보호위원회(이하 개인정보위) 윤종인 위원장과 EU 집행위원회 사법총국 디디에 레인더스 커미셔너(사법총국 장관)는 한국과 EU간 적정성 논의가 마무리됐다고 발표했다.
EU 적정성 결정이란 GDPR이 요구하는 수준과 동등한 수준의 개인정보보호 조치가 있는지를 확인·승인하는 제도다. 적정성 결정을 받은 국가 기업들은 EU 소속 국민들의 개인정보를 해당 국가로 이전·처리 가능하다.
적정성 결정 이전의 경우, 한국에 본사를 두고 EU 내에 지사를 둔 글로벌 기업은 EU에서 얻은 고객정보를 본사로 옮겨오기 위해서는 까다로운 절차를 거쳐야 했다. EU 진출 기업에 따르면 표준계약체결을 위한 법률검토, 현지실사, 기타 행정절차 등으로 3개월~1년 정도의 시간과 프로젝트별 1~2억원의 비용이 요구됐다.
이와 같은 시간과 비용의 부담은 중소기업의 EU 진출을 어렵게 하는 최대 난관으로 작용했는데, 적정성 결정이 된다면 한국이 개인정보 국외이전에 있어 EU 회원국에 준하는 지위를 부여받음으로써 까다로운 절차가 면제된다.
한국과 EU는 공동발표문을 통해 “개인정보보호 분야에 있어 한국과 EU 간에 높은 수준의 동등성을 확인했다. 최근 시행된 한국의 개정 개인정보보호법에 따라 개인정보위의 권한이 강화돼 동등성이 한층 더 향상됐다”고 밝혔다.
2017년 1월 한-EU 간 논의가 시작된 이후 한국은 두차례에 걸쳐 고배를 마셨다. 적정성 결정 핵심 기준인 개인정보 감독기구의 독립성 요건 미충족으로 인한 것이다. 지난해 개인정보보호법 개정으로 개인정보위가 독립감독기구로 확대 출범하게 이유 중 하나다. 협의 기간 한-EU는 대면·비대면으로 총 53회의 회의를 진행했다.
2018년 GDPR이 시행된 이후 현재까지 적정성 결정이 채택된 국가는 2019년 1월 일본뿐이다. 일본의 경우 민간 영역에만 한정돼 있는데, 우리나라의 경우 공공분야까지 포함돼 있다.
EU GDPR 적정성 결정은 ▲초기결정 ▲의견수렴 ▲최종결정 등 총 3단계에 걸쳐 진행된다. 이날 발표된 것은 초기결정이다. 하지만 전체 단계에서 초기결정이 가장 높은 비율을 차지하고 있다. 전체 프로세스의 80~90%를 초기결정이 차지한다는 것이 개인정보위 측 설명이다.
남은 절차도 빠르게 진행될 예정이다. 디디에 레인더스 커미셔너는 “EU 집행위원회는 수개월 내(in coming months) 가능한 빨리 적정성 결정을 채택하기 위해 지금부터 바로 의사결정 절차를 진행할 것”이라고 피력했다. 하반기 내에 적정성 결정이 발효될 것으로 기대된다. 적정성 결정은 한번 통과 이후 4년 주기로 후속 검토(Review)가 이뤄진다.
윤종인 개인정보위원장은 “이번 적정성 초기 결정으로 한국이 글로벌 선진국 수준의 개인정보보호 국가로서의 위상이 제고됐다. 한국 기업들이 데이터 경제 시대의 주역으로 성장할 수 있는 기반을 마련하게 된 것”이라고 말했다,
한편 이번 적정성 결정의 대상은 개인정보위가 감독하는 영역을 대상으로 한다. 특별법인 신용정보법으로 금융위원회의 감독을 받는 금융 분야는 기존처럼 표준계약을 이용해야 한다.