한국의 유럽연합(EU) 개인정보보호 적정성 결정이 승인됐다.

윤종인 개인정보보호위원회 위원장은 17일 오후 6시 브리핑을 통해 “지난 5년 간의 논의 끝에 최종 절차를 마무리하고 한국에 대한 EU의 개인정보보호 적정성 결정(Adequacy Decision)이 채택돼 즉시 발효된다”고 밝혔다.

EU집행위원회(European Commission)는 우리나라 국무회의 격인 ‘집행위원 전원회의(College of Commissioners)’를 열어 한국에 대한 개인정보보호 적정성 결정을 채택했다. 이어 한국과 같은 시각(브뤼셀, 오전 10시) 언론 발표를 통해 이번 채택을 알렸다.

이에 따라 앞으로 한국 기업들은 EU 시민 개인정보를 추가적인 인증이나 절차 없이 국내로 이전할 수 있게 됐다.

개인정보보호위원회에 따르면, 양측 담당 장관인 윤 위원장과 디디에 레인더스(Didier Reynders) EU집행위 사법총국 커미셔너는 “한국과 유럽연합 간에 높은 수준의 정보보호에 대한 공유된 의지와 한국의 우수한 개인정보보호 법제가 이번 적정성 결정의 토대”라는 점을 확인했다. 나아가 이번 결정이 “개인정보보호 강화가 국제무역 활성화에 기여할 수 있음을 보여주는 사례로서, 한-EU 자유무역협정(FTA)을 보완해 디지털 분야의 양측 간 협력을 강화할 것”이라는데 서로 공감했다.

한국과 EU 간 적정성 협의는 지난 2017년 1월 공식 개시됐다. 그간 우리나라는 적정성 결정의 핵심인 ‘개인정보 감독기구의 독립성’ 요건이 충족되지 않아 관련 협의가 2차례 중단되기도 했다. 이후 지난해 데이터3법이 개정돼 2020년 8월 개인정보위가 독립감독기구로 확대 출범함에 따라 논의가 본격 재개됐다.

한국과 EU는 지난 5년여 기간 동안 대면·비대면 총 60회 이상의 회의를 통해 한국의 개인정보보호법 등 관련 법제, 정부기관별 소관업무 등에 대한 심층적인 검토를 거쳐 한국의 개인정보보호 법체계가 ‘EU 일반개인정보보호법(GDPR)과 동등한 수준임(적정성)’을 확인했다.

윤 위원장은 “그간 정부에서는 개인정보위뿐 아니라 외교부, 법무부, 행정안전부, 방송통신위원회, 국가정보원, 한국인터넷진흥원 등 관계기관들이 긴밀히 협조했다”면서 “특히, 작년 7월 유럽사법재판소가 미국에 대한 적정성 결정인 ‘프라이버시 실드’를 무효화하면서 적정성 결정 심사기준이 대폭 강화돼 추가 보완책을 마련해야 하는 어려운 상황에서도 끝까지 포기하지 않고 EU와의 협의를 성공적으로 마무리했다”고 평가했다.

이에 더해 “그 결과, EU의 독립심의기구인 유럽정보보호이사회(EDPB)는 한국 법제의 우수성을 언급하면서 한-EU 법제 간 차이를 조정하기 위한 개인정보위의 고시 제·개정 등 한국정부의 노력을 높이 평가했다”며 “EU 회원국들도 EU집행위의 회원국 승인절차(커미톨로지)에서 만장일치로 한국 적정성 결정을 승인했다”고 설명했다.

EU집행위는 회원국 연합이라는 성격상 정책결정에 있어 회원국 승인 절차(Comitology)를 운영하고 있는데, 적정성 결정을 채택하기 위해서는 회원국의 찬반 투표를 거쳐 55% 이상의 찬성을 얻어야 한다.

그간 EU진출 한국 주요기업들은 주로 표준계약(SCC) 등을 통해 EU 개인정보를 국내로 이전해 왔다. 이를 위해 많은 시간과 비용을 투자해야 했다. 동시에 GDPR 관련 규정 위반에 따른 과징금(최대 전세계 매출 4%) 부과 등에 대한 큰 부담을 안고 있었다. 중소기업의 경우에는 표준계약절차 자체가 어려워 EU 진출을 미리 포기하는 사례도 있었던 것으로 파악되고 있다.

이번 적정성 결정으로 한국이 개인정보 국외이전에 있어 EU회원국에 준하는 지위를 부여받게 됨에 따라 한국 기업들의 경우 표준계약 등 기존의 까다로운 절차가 면제된다.

위원회와 정부는 이에 한국 기업들의 EU 진출이 늘어나고, 이를 위해 기업이 들여야 했던 시간과 비용이 대폭 절감되는 것은 물론, 한-EU 기업 간 데이터 교류·협력 강화로 인해 국내 데이터 경제 활성화에 크게 기여할 것으로 기대하고 있다.

더욱이 이번 한국의 적정성 결정은 민간 데이터 이전에 국한되었던 일본에 대한 적정성 결정(2019.1)과는 달리 이공공 데이터 이전에도 적용됨으로써 규제 협력 등 한-EU 정부 간 공공분야 협력도 강화될 것으로 기대된다.

윤 위원장은 “이번 적정성 결정을 계기로 한층 강화된 한-EU 간 디지털 협력 기반을 토대로 한국이 EU와 함께 국제무대에서 데이터 특히 개인정보 분야의 글로벌 표준 정립에 있어 주도적 역할을 할 수 있게 됐다”면서 “향후 영국 등 비EU권 국가들과의 적정성 결정 추진에도 계속 노력할 것”이라고 밝혔다.

한편, 한국은 GDPR 시행 이후 일본과 영국에 이어 3번째 적정성 결정 채택 국가가 됐다. GDPR 시행 전 스위스, 캐나다, 아르헨티나, 건지섬, 맨섬, 저지섬, 페로제도, 안도라, 이스라엘, 우루과이, 뉴질랜드까지 11곳이 받은 바 있다.

* 적정성결정으로 혜택을 볼 수 있는 기업 사례 (=개인정보보호위원회 제공)

1. EU 지사 – 한국 본사
이전 – 프랑스 파리에 소재하는 A사(지사)는 EU 고객을 대상으로 맞춤형 쇼핑 대행업(특히 한국 상품)을 하고 있다. 고객들이 선호할 것으로 예상되는 상품을 선정하기 위해 고객의 개인정보를 자체 분석하는데 어려움이 있어 한국 본사에 분석을 의뢰해 왔다. EU 고객정보를 한국으로 이전하기 위해서는 표준계약조항을 활용할 수밖에 없어, 시간·비용 부담 및 법 위반 우려로 인해 소극적으로 영업 활동을 했다.
이후 – 한국에 대한 적정성 결정으로 인해 A사는 앞으로 한국 본사로 EU 고객정보를 보내는 과정이 간소화될 수 있고, 표준계약조항을 이용하지 않아도 된다. 이에 따라 비용·시간 및 법적리스크 감소로 적극적인 영업 활동이 가능하게 됐다.

2. EU 기업 – 한국 기업

이전 – 독일에 소재하는 B사(독일 기업)는 고객 개인정보를 분석해 새로운 마케팅 전략 수립이 필요한 상황이었다. 그러나 이에 특화된 전문성 있는 데이터 연구 기업을 EU 내에서는 찾기 어려워 한국으로 데이터를 이전해 처리하고자 하였으나 표준계약 등으로 인한 부담이 있어 제한적인 연구만 가능했다.

이후 – 한국에 대한 적정성 결정으로 한국으로의 개인정보 이전이 자유로워짐에 따라 B사는 한국의 전문성이 있는 데이터 연구 기업과의 제휴가 보다 확대되게 됐다.

글. 바이라인네트워크
<이유지 기자>yjlee@byline.network