한국 GDPR 적정성 결정 통과 눈앞...EU, 결정서 초안 공식 발표

한국의 유럽연합(EU) 일반개인정보보호법(GDPR) 적정성 결정 승인이 유력해졌다.

개인정보보호위원회(위원장 윤종인)은 17일, EU집행위원회가 지난 16일 19시(브뤼셀 현지시각) 한국에 대한 적정성 결정서 초안을 공식 발표했다고 긴급으로 전했다.

EU집행위는 EU 내부의사결정에 본격 착수했고, 연내 한국 적정성 결정 최종 채택이 유력한 것으로 전망하고 있다. 지난 3월 30일 윤종인 위원장과 디디에 레인더스 EU집행위 사법총국 커미셔너(장관)가 EU와 한국 간 적정성 논의가 마무리됐다는 것을 공식 확인한 이래, 개인정보위와 EU집행위는 결정서 초안에 대해 한국 정부 부처 확인·서명 절차를 거치는 등 사전 준비작업을 거쳐 이번에 이를 공식화하게 됐다.

EU역외의 국가가 GDPR이 요구하는 수준과 동등한 수준의 개인정보 보호조치가 있는지를 확인‧승인하는 제도이다.

적정성 결정이 내려지면 GDPR 적용을 받는 우리나라 기업들이 EU 역내에서 수집된 개인정보를 국내로 역외 이전시 추가적 보호조치 등 규제 준수 부담이 크게 해소될 것으로 예상된다.

GDPR은 EU 내에서 수집된 EU 시민의 개인정보 역외 이전을 원칙적으로 금지하고 있으나 U집행위원회가 개인정보보호법 수준과 집행 체계와 현황 등을 검토해 적정하다고 판단한 국가로의 이전·처리는 허용하고 있다. GDPR 45조의 적정성 결정에 근거한 이전이다.

국가 차원에서 적정성 결정을 받지 못하면 기업들은 개별적으로 개인정보보호 표준계약조항(SCC) 등 추가 개인정보 보호·안전 장치를 적용해야만 역외이전을 받을 수 있다. 이를 위해 상당한 시간과 인력, 비용이 필요하다.

우리나라는 2017년 1월 적정성 논의가 공식 시작됐지만 개인정보감독기구 독립성 요건이 충족되지 않는다는 이유로 협의가 중단되고 지난해 초 개인정보보호법이 개정된 이후에서야 다시 본격화됐다. 이후 코로나19 대유행 여파 등으로 미뤄지며 현재 GDPR이 발효된 지 3년 넘게 지나고 있지만 아직 적정성 결정 절차가 완료되지 않았다. 다만 지난 3월 말 이후 적정성 초기결정이 내려진 상황으로 보고 올해 완료를 기대해왔다.

윤종인 위원장은 “이번 발표로 인해 적정성 결정 채택이 가시화되어 우리 기업들이 EU 고객 개인정보를 보다 안전하고 편리하게 국내로 이전할 수 있는 날이 보다 가까워졌다”고 설명했다.

글. 바이라인네트워크
<이유지 기자>yjlee@byline.network