데이터 3법(개인정보보호법, 정보통신망법, 신용정보법) 국회 통과로 유럽연합(EU) 일반개인정보보호법(GDPR) 적정성 결정 심사가 급물살을 타고 있다. 이르면 올 상반기 중 적정성 결정이 내려질 것이란 예상이 나온다.

EU 집행위원회와 행정안전부 등 관계부처 간 적정성 결정 협의를 지원하고 있는 한국인터넷진흥원(KISA)에 따르면, 초기 실무단계 적정성 검토가 상당부분 완료됐다. 이르면 올해 상반기 안에 적정성 결정 최종 단계까지 모두 완료될 것으로 기대하고 있다.

오용석 한국인터넷진흥원(KISA) 개인정보정책단장은 “EU 집행위와 KISA, 관련부처 간 적정성 검토가 상당부분 완료됐고 미미한 사안만 남아있는 상태여서 조만간 초기 결정이 나오게 될 예정”이라며 “작년 1월에 적정성 결정을 받은 일본은 초기 결정을 받고 최종 결정까지 약 6개월이 소요됐는데 우리나라는 EU 집행위 차원에서 일본보다 최종 결정이 빨리 이뤄질 것이라는 의견을 전달했다”고 말했다.

다만 코로나 바이러스 감염증19(코로나19)이 전세계로 확산되면서 유럽 각국의 감염자 역시 폭발적으로 증가한 상황이 변수로 작용될 것으로 보인다.

오 단장은 “당초 적정성 결정이 올해 상반기 완료될 것으로 기대했으나 코로나19 사태로 EU도 재택근무에 들어가는 등 유동적인 상황이 발생하고 있다”며 “적정성 결정 조기 타결을 위해 행정안전부장관이 2월 말에 유럽에 방문할 예정이었으나 지연된 상황”이라고 설명했다.

우리나라는 그간 적정성 결정 우선 협상국으로 지정됐으나 감독기구인 개인정보보호위원회의 독립성 요건이 충족되지 않았다는 이유 등으로 검토 단계에서 발목이 잡히며 심사가 중단된 바 있다. 데이터 3법의 핵심 법안인 개인정보보호법 개정안이 국회를 통과하면서 그동안 적정성 결정에 큰 걸림돌이 됐던 사안이 해소됐다.

법 개정으로 개인정보보호위원회는 중앙행정기관으로 격상된다. 행안부, 방통위, 금융위로 분산됐던 개인정보보호 기능은 개인정보보호위원회로 통합, 일원화된다. 조사·처분권 부여 등을 통해 개인정보 감독기구의 독립성을 확보하고 안전한 데이터 활용을 위한 감독체계가 구축할 수 있게 됐다.

GDPR은 EU 역내에서 수집된 개인정보의 역외 이전을 원칙적으로 금지하고 있다. 다만 EU집행위원회가 법령과 법제 운영 현황 등을 검토해 보호 수준이 적정하다고 판단한 국가로의 이전은 허용한다.

적정성 결정은 GDPR 적용을 받는 우리나라 기업들이 EU 역내에서 수집된 개인정보를 국내로 역외 이전시 추가적 보호조치 등 규제 준수 부담을 국가 차원에서 해소할 수 있다.

기업들은 GDPR 규제 준수를 위해 소요되는 시간과 인력, 비용을 크게 절감할 수 있다. 국내 특정 기업의 경우 GDPR 컨설팅 비용으로 40억원에 달하는 예산을 투입한 사례도 있다.

KISA는 올 하반기에 우리 기업의 GDPR 준수 지원을 위해 EU 현지에 연락사무소를 개설할 예정이다. 국내 기업들이 가장 많이 진출돼 있는 현지 국가에 개설한다는 방침으로, 현재 관련 조사를 실시하고 있다.

현재 KISA는 GDPR 준수 지원사업 일환으로 ▲중소·영세기업을 위한 설팅 ▲국내 기업 GDPR 실태조사 ▲GDPR 준수 점검 자가진단 도구 개발 제공 ▲국내 및 EU 현지 실무 맞춤형 교육 ▲GDPR 위반사례 분석, EU 국가별 개인정보 거버넌스 현황, 가이드라인 심층 분석 보고서 등 최신 정보 제공과 함께 ▲전화·이메일 수시상담을 실시하고 있다.

글. 바이라인네트워크
<이유지 기자>yjlee@byline.network