유럽 내 개인정보 및 공공데이터 자유롭게 국외이전 가능해졌다.

유럽에 지사를 둔 한국 기업 A는 유럽 소비자를 대상으로 한국 상품 쇼핑 대행업을 하고 있다. 선호 예상 상품을 선정하기 위해 소비자 정보를 분석하는데 어려움이 있어 한국 본사에 분석을 의뢰했다. 그러나, 유럽 소비자 정보를 한국으로 이전하기 위해서는 표준계약조항(SCC)을 활용할 수밖에 없으며, 현지 법을 위반할 경우 전체 매출의 4%까지 부과되는 과징금 때문에 시간과 비용 측면에서 부담을 느낄 수밖에 없었다.

 

 2017년 1월 GDPR적정성 협의가 시작된 이후, 약 5년여만에 한국에 대한 유럽연합(EU)의 GDPR적정성 결정이 통과되면서 A와 같은 기업들이 유럽의 고객정보를 수월하게 가져올 수 있게 되었습니다.  

 

2021.12.17(금) 오후 6시(한국시간) 한국에 대한 유럽연합(EU) 일반 개인정보보호법(GDPR) 상의 적정성 결정이 채택되었습니다. 이는 EU가 한국의 개인정보보호 정책이 GDPR과 동등한 수준임을 인정한 것입니다. 이에 따라 앞으로 우리나라 기업은 EU회원국에 준하는 지위를 부여받게 됩니다. 표준 계약 등 기존의 까다로운 절차가 면제되고, EU시민의 개인정보를 추가적인 인증이나 절차 없이 자유롭게 국내로 이전 처리할 수 있게 되었습니다.  

 

GDPR(General Data Protection Regulation) 은 2018년 5월 25일부터 시행된 EU연합의 개인정보보호법으로 EU를 대상으로 비즈니스를 진행하는 모든 곳에 적용됩니다. GDPR은 DPO(개인정보보호책임자)지정, 영향평가 등을 추가하여 기업의 책임성을 강화했다는 특징이 있습니다. 처리제한권, 정보이동권, 삭제권, 프로파일링 거부권 등을 신설·강화하여 정보주체 권리 또한 강화하였습니다. 또한 모든 회원국을 대상으로 전체매출액 4%의 과징금을 부과하도록 하는 등 강력한 처벌조항을 통해 개인정보를 보호하고 있습니다. 

 

GDPR적정성 결정은 EU역외 국가가 EU와 동등한 수준의 개인정보보호 제도를 운영하고 있는지 확인하는 제도입니다. EU와 동등한 수준의 개인정보 보호 조치를 갖췄는지를 평가하여 적정성 결정 국가로 지정하고 있으며, 지정된 국가는 EU회원국처럼 자유롭게 EU 시민의 개인정보 이전이 허용됩니다. 

---

2017년 1월 우리나라에 대한 GDPR적정성 검토가 시작되었으나 핵심 요건인 '개인정보 감독기구의 독립성' 미충족으로 협의가 2차례 중단되었습니다. 그러나 지난해 데이터 3법 개정으로 개인정보보호위원회가 독립감독기구로 확대·출범함에 따라 논의가 재개되며 협의가 급진전 되었습니다.  

 

한국과 EU는 5년여간 비대면 회의를 포함한 총 60회 이상 회의를 통해 한국의 개인정보보호법 등 관련 법제 및 정부기관별 소관업무 등에 대한 심층 검토를 거쳐 한국의 개인정보보호 법체계가 'EU 일반개인정보보호법(EU GDPR)과 동등한 수준임을 확인하였습니다. 그 결과, 유럽정보보호이사회(EDPB)는 한·EU 법제 간 차이를 조정하기 위한 개인정보위의 고시 제·개정 등 한국정부의 노력을 높이 평가하며 한국 법제의 우수성을 언급하였으며, EU집행위의 회원국 승인절차(커미톨로지)에서 만장일치로 한국 적정성 결정을 승인하였습니다. 

 

EU적정성 진행절차

윤종인 개인정보보호위원회 위원장과 디디에 레인더스 EU집행위 사법총국 커미셔너는 “한국과 EU간의 높은 수준의 정보보호에 대한 공유된 의지와 한국의 우수한 개인정보보호법제가 이번 적정성 결정의 토대” 임을 밝혔습니다. 나아가 개인정보위는 이번 결정이 “개인정보보호 강화가 국제무역 활성화에 기여할 수 있음을 보여주는 사례로서, 한-EU 자유무역협정(FTA)을 보완하여 디지털분야의 양측 간 협력을 강화”할 것이라고 평가하였습니다. 

 

그간 EU진출 한국 기업들은 GDPR과 현지 국가 법제를 면밀히 검토하고 실사 및 행정절차를 거쳐 SCC를 체결해야 유럽 시민 정보를 국내로 이전할 수 있었습니다. 이런 과정에서 3개월 이상의 시간과 3천만원~1억원 상당의 비용이 소요될 뿐만 아니라, 규정 위반에 따른 과징금부과 등에 대해 기업들은 큰 부담을 안고 있었습니다. 또한 중소기업은 표준계약절차 자체가 어려워 EU 진출을 포기하기도 했습니다. 

---

GDPR 적정성 결정으로 개인정보 국외이전에 있어 한국은 EU회원국에 준하는 지위를 부여받게 되며, 기존의 까다로운 절차가 면제됩니다. 이에 따른 국내 기업들의 활발한 EU진출이 예상되는 가운데, 특히 국내 데이터 분석 회사들의 넓어질 것으로 예측됩니다.  

 

개인정보위 보도자료에 소개된 독일 기업 ㄱ사의 사례를 보면, 마케팅 전략 수립을 위해 한국의 전문 업체에 자사 고객 개인정보 분석을 의뢰하려 했으나 현지 당국의 개인정보 이전 승인을 받는 과정이 복잡해 제한적인 연구만 맡겼습니다. 그러나 적정성 결정 이후에는 ㄱ사가 표준계약 등의 절차 없이 한국 회사에 데이터를 보낼 수 있기에 보다 수월한 마케팅 전략을 세울 수 있을 것입니다. 

 

다만, 역외이전 관련 의무 부담만 경감되므로 EU 시민의 개인정보를 직접 수집하고 처리하는 사업자의 전반적인 GDPR 준수 의무가 없어지는 것은 아니라는 점은 꼼꼼히 상기해야 할 것 같습니다.   

 

또한 개인정보위는 한-EU 기업 간 데이터 교류·협력 강화로 국내 데이터 경제가 보다 활성화될 것이라고 전망하였습니다. 민간데이터 이전에 국한되었던 일본에 대한 적정성 결정과는 달리, 이번 적정성 결정은 공공데이터 이전에도 적용됨으로써 한국-EU 정부간의 공공분야 협력도 강화될 것으로 전망하였습니다. 개인정보위는 EU 외 국가 국민의 개인정보를 한국으로 이전할 수 있도록 추가 국제 협상을 추진할 계획이며, 영국을 우선 대상으로 선정하였습니다.  

 

기업의 GDPR 적용대상 여부

• EU내에 사업장을 운영하며, 개인정보 처리
• EU거주자에게 재화나 서비스를 제공
• EU거주자의 EU내 행동을 모니터링 

 

GDPR적용대상은 ‘국적’이 아닌 ‘EU거주자’에 해당하는지 고려 

 따라서 EU 국적자의 개인정보가 한국에서 수집∙처리되는 경우, GDPR이 적용되지 않을 수 있지만, 한국인의 정보가 EU 역내에서 수집∙처리되면 EU 거주자에 해당되며 GDPR이 적용될 수는 있음.

 

‘명백히’ EU 시장을 염두에 두고 있을때 적용되며, 단순 접근 가능성은 GDPR 적용의 근거가 되지 않음 

기업이 재화나 서비스를 유로화로 유통하거나 프랑스어∙독일어 등으로 홈페이지를 구성할 경우 명백한 타겟팅의 근거가 되지만, 영어 및 달러화만을 활용할 경우 GDPR의 규제대상이 되지 않을 수 있음 

 

---

 

출처 및 참고자료

개인정보보호위원회 보도자료, 한국 EU 「개인정보보호 적정성 결정」 최종 통과 

KISA GDPR대응지원 센터