#유럽에 지사를 둔 한국 기업 A는 유럽 소비자를 대상으로 한국 상품 위주로 맞춤형 쇼핑 대행업을 하고 있다. 선호 예상 상품을 선정하기 위해 소비자 정보를 자체 분석하는데 어려움이 있어 한국 본사에 분석을 의뢰해왔다. 유럽 소비자 정보를 한국으로 이전하기 위해서는 표준계약조항(SCC)을 활용할 수밖에 없어 시간과 비용 측면에서 부담을 느꼈고, 현지 법을 위반할 경우 전체 매출의 4%까지 부과되는 과징금이 걱정돼 소극적으로 영업 활동을 해왔다.
#독일 소재 기업 B는 소비자 개인정보를 분석해 새로운 마케팅 전략을 수립하고자 했다. 전문성 있는 데이터 연구 기업을 유럽 내에서는 찾기 어려워 한국 기업에 데이터를 이전해 처리하고자 했다. 그러나 SCC 등의 부담 때문에 제한적인 연구만 했다.
우리나라가 유럽연합(EU) 일반 개인정보보호법(GDPR) 상의 적정성 결정을 받음에 따라, 기업·기관이 별도 절차를 거치지 않고도 유럽 시민의 개인정보를 국내로 이전할 수 있게 됐다.
GDPR은 EU 역외 국가의 법제가 GDPR과 동등한 수준의 개인정보 보호 조치를 갖췄는지를 살펴 적정성 결정 국가로 지정하고 있다. 적정성 결정 국가에 한해 EU 시민의 개인정보 이전이 허용된다.
GDPR 적정성 결정 이전까지는 유럽 시민 정보를 국내로 이전하기 위해서는 개별 기업, 기관이 GDPR과 현지 국가 법제를 면밀히 검토하고 실사 및 행정절차를 거쳐 SCC를 체결해야 가능했다. 이런 과정에서 3개월 이상의 시간이 소요될 뿐 아니라 3천만원~1억원 상당의 비용이 필요해 유럽 관련 비즈니스를 추진하는 데 부담으로 작용해왔다. 이런 부담이 해소된 것이다.
한국과 EU는 17일 오후 6시 공동 언론 발표를 통해 한국에 대한 개인정보 보호 적정성 결정이 채택, 즉시 발효됐다고 밝혔다. 발표 직전 EU 집행위원회는 우리나라 국무회의 격인 ‘집행위원 전원회의’를 열어 이번 결정을 채택했다. EU 회원국들은 EU 집행위의 회원국 승인절차(커미톨로지)에서 만장일치로 한국 적정성 결정을 승인했다.
이번 결정은 지난 2017년 1월 한-EU 간 적정성 협의가 공식 개시된 이후 약 5년만이다.
개인정보보호위원회가 통합 부처로 출범되기 전에는 적정성 결정의 핵심 요건인 ‘개인정보 감독기구의 독립성’ 미충족으로 협의가 두 차례 중단되기도 했다. '데이터3법' 개정에 따라 지난해 8월 개인정보위가 독립감독기구로 확대 출범해 논의가 본격 재개됐다. 이후 지난 6월 적정성 결정 초기 결정을 완료하고, 이날 최종적으로 적정성 결정 절차를 마무리했다.
한-EU는 그 동안 대면·비대면 회의 총 60회 이상을 진행하면서 한국 개인정보보호법 등 관련 법제와 정부기관별 소관 업무 등에 대한 검토를 거쳐 이번 결정을 내렸다.
작년 7월 유럽사법재판소가 미국에 대한 적정성 결정인 ‘프라이버시 실드’를 무효화하면서 적정성 결정 심사기준이 대폭 강화됨에 따라, 이를 충족하기 위한 추가적인 제도 보완도 이뤄졌다.
윤종인 개인정보위 위원장은 "유럽이 국가기관에서 개인정보를 수집하는 것에 대해 철저한 기준을 미국에게 요구했고, 이를 충족하지 못해 프라이버시 쉴드가 무효화된 바 있다"며 "한국의 적정성 결정 협상이 진행되는 중 해당 판결이 발표되면서, 미국에 요구된 내용과 동일한 수준의 조치를 EU가 요구함에 따라 관계부처 협의를 거쳐 이를 충족했다"고 첨언했다.
이에 따라 정부는 '한국으로 이전된 개인정보의 처리와 관련한 개인정보 보호법의 해석과 적용을 위한 보완규정' 고시를 개정했다. 개정된 고시에서는 국가 안보 목적의 정보 분석을 위한 개인정보 처리에도 개인정보보호법 상의 보호 원칙과 시정조치 등이 적용됨을 명확히 했다.
개인정보위는 이번 적정성 결정에 따라 한국 기업들의 EU 진출이 늘어나고, 이를 위해 기업이 들여야 했던 시간과 비용이 절감되며, 나아가 한-EU 기업 간 데이터 교류·협력 강화로 국내 데이터 경제가 보다 활성화될 것이라고 전망했다.
우리나라에 대한 적정성 결정은 민간 데이터에 국한된 일본 사례와 달리 공공 데이터에 대해서도 적용된다. 때문에 규제 협력 등 한-EU 정부 간 공공 분야 협력도 강화될 것으로 기대된다.
윤종인 위원장은 "지난 2019년 1월 일본이 적정성 결정을 받을 당시에는 일본 개인정보보호법과 감독기구가 민간 분야만을 관할해 민간 분야에 대해서만 결정이 이뤄졌다"며 "우리나라 개인정보보호법의 경우 공공과 민간 영역을 모두 관할하고 있어 공공, 민간 분야에 대한 독립성을 인정해준 것"이라고 설명했다.
개인정보위는 EU 외 국가 국민의 개인정보를 한국으로 이전할 수 있도록 추가 국제 협상을 추진할 계획이다. 영국을 우선 대상으로 꼽았다.
이에 대해 윤종인 위원장은 "영국은 브렉시트 이후 EU와 분리돼 있긴 하나, 지난 6월 GDPR 적정성 결정을 받아 개인정보 보호 수준이 한국과 어느 정도 동등한 수준인 것으로 분석된다"며 "실무 단에서 영국에서도 이와 관련해 긍정적인 반응을 보였다"고 설명했다.
관련기사
- 한국, 연내 'GDPR 적정성 결정 국가' 될 듯2021.06.17
- 中, 초강력 개인정보보호법 통과…"정부 감시는 예외"2021.08.21
- 국내 기업, GDPR 과징금 철퇴 걱정 덜었다2021.03.30
- GDPR 맞닥뜨린 MS "유럽 데이터, 유럽서 처리"2021.05.07
이번 발표에서 양측 담당 장관인 윤종인 개인정보위 위원장과 디디에 레인더스 EU집행위 사법총국 커미셔너는 “한국과 EU 간 높은 수준의 정보보호에 대한 공유된 의지와 한국의 우수한 개인정보 보호 법제가 이번 적정성 결정의 토대”라고 밝혔다.
나아가 이번 결정이 “개인정보 보호 강화가 국제 무역 활성화에 기여할 수 있음을 보여주는 사례로서, 한-EU 자유무역협정(FTA)을 보완해 디지털 분야의 양측 간 협력을 강화할 것"이라고 덧붙였다.