‘유럽 개인정보법’ 적정성 심사 통과…한-EU 데이터교류 늘어날듯

윤종인 개인정보보호위원장이 16일 오후 정부서울청사에서 유럽연합 일반 개인정보보호법(EU GDPR) 적정성 심사 통과와 관련해 사전 브리핑을 하고 있다. 개인정보보호위원회 제공

한국 기업들이 유럽연합(EU) 회원국 시민들의 개인정보를 현지 당국의 추가 승인 없이 국내로 이전할 수 있게 됐다. 한국이 ‘유럽연합 일반 개인정보보호법’(EU GDPR) 적정성 심사에 최종 통과하면서다.

개인정보보호위원회(개인정보위)는 17일 보도자료를 내어 “한국과 유럽연합은 한국에 대한 개인정보보호 적정성 결정이 채택돼 즉시 발효되었음을 상호 확인했다”고 발표했다. 적정성 심사는 비 유럽연합 국가들이 GDPR와 동등한 수준의 개인정보 보호 체계를 갖추고 있는지를 유럽연합이 평가·승인하는 제도다. 한국은 지난 2017년 1월 유럽연합과 적정성 협의를 시작한지 약 6년 만에 승인을 얻었다.

윤종인 개인정보보호위원장과 디디에 레인더스 유럽연합 지행위원회 사법총국 커미셔너(장관)는 이날 공동 언론발표문에서 “적정성 결정 채택은 한국과 유럽연합이 높은 수준의 정보 보호에 대한 의지를 공유하고 있음을 확인하는 것”이라고 밝혔다.

이에 따라 한국의 기업·기관은 별도 절차 없이 유럽연합 시민의 개인정보를 자국으로 옮겨 처리할 수 있게 됐다. 지금까지는 개인정보를 이전할 때마다 현지의 개인정보 보호법과 피해보상 규정 등을 담은 ‘표준계약 조항’을 통해 당국 승인을 받아야 했다. 기업들이 이 절차를 마치는 데 프로젝트별로 3개월 이상이 소요됐다는 게 개인정보위 설명이다.

국내 데이터 분석 회사들이 유럽의 일감을 유치할 길도 넓어질 것으로 보인다. 개인정보위 보도자료에 소개된 독일 기업 ㄱ사의 사례를 보면, 이 회사는 마케팅 전략 수립을 위해 한국의 전문 업체에 자사 고객 개인정보 분석을 의뢰하려 했다. 하지만 현지 당국의 개인정보 이전 승인을 받는 과정이 복잡해 제한적인 연구만 맡겼다. 적정성 결정 이후에는 ㄱ사가 표준계약 등의 절차 없이 한국 회사에 데이터를 보낼 수 있다.

다만 금융정보는 이번 심사에서 승인을 받지 못했다. 금융산업 진흥과 감독 역할을 함께 맡고 있는 금융위원회가 독립적인 개인정보 보호 기구로서 불충분하다고 본 유럽연합이 금융 분야를 심사 대상에서 제외했기 때문이다. 개인정보위 관계자는 <한겨레>에 “금융기관은 지금까지처럼 유럽에서 한국으로 개인정보를 옮길 때 표준계약 조항을 이용해야 한다. 다만 유럽연합 국가에서 사업 중인 한국 금융기관이 10곳 미만이어서 금융 분야가 빠진 영향은 제한적일 것”이라고 설명했다.

천호성 기자 rieux@hani.co.kr