[아이티데일리] 국내에서도 유럽의 개인정보를 활용할 수 있는 길이 열린다. 지난 3월 30일 유럽연합(EU) 개인정보보호규정(GDPR)의 적정성 초기 결정이 통과됨에 따라, 연내 적정성 평가가 최종 결정될 것으로 기대되고 있다.

적정성 결정이 완료되면 국내기업의 유럽 진출이 더욱 활성화될 것으로 전망된다. GDPR은 원칙적으로 개인정보를 유럽 외부로 이전하는 것이 금지한다. 역외이전을 위해서는 국가간 적정성 평가에 근거해 이전하는 방법과 ▲정부부처/기관 간 법적 근거 ▲구속력 있는 기업규칙(BCR) ▲표준 개인정보보호 조항(SCC) 등이 필요하다.

적정성 결정이 되지 않은 상태에서는 각 기업들이 표준계약(SCC)을 체결해 역외이전을 위한 기반을 마련했다. SCC는 개인정보보호원칙, 내부규율, 피해보상 등 필수적인 조항을 계약서 형식으로 표준화한 것으로, EU집행위원회 또는 회원국 감독기구가 승인한 계약서다.

유럽에 진출한 국내 기업들에 따르면 SCC를 이용한 계약 체결을 위해 GDPR 및 개별 회원국 법제에 대한 검토, 현지 실사, 기타 행정절차 등으로 인해 건별 3개월~1년 정도의 시간과 약 1~2억 원의 비용이 소요되는 것으로 파악된다.

적정성 결정이 최종 통과되면 역외이전의 명확한 법적 수단이 마련됨에 따라, 개별 기업이 진행하던 SCC의 체결, 갱신, 연장, 재계약을 하지 않아도 되기 때문에 비용 및 시간이 절약될 것으로 보인다. 더불어 SCC로도 보호되지 않는 서비스의 사각지대도 해소될 것으로 기대된다.

정부와 한국인터넷진흥원은 GDPR 발효 이전부터 적정성 결정을 위한 프로젝트를 추진해왔다. GDPR이 시행된 2018년 5월 우리나라와 일본이 적정성 결정 우선 검토국으로 선정됐지만, 한국은 개인정보보호 감독기관의 독립성 부족 등 문제점이 지적돼 적정성 결정을 통과하지 못했다.

정부와 KISA는 적정성 결정을 위한 프로젝트를 지속 추진해왔으며, 지난 3월 30일 초기 결정 통과라는 성과를 거뒀다. 이제 EU회원국 개인정보보호위원장 협의체인 ‘유럽개인정보보호이사회(EDPB)’ 및 EU회원국 대표로 구성된 ‘커미톨로지’, EU 자유사법내무위원회로부터의 의견수렴과정을 거쳐 최종 결정으로 진행된다.

정수연 한국인터넷진흥원(KISA) 개인정보협력팀 책임연구원은 “지난 3월 초기 결정이 통과됨에 따라 연내 최종 결정까지 진행될 것으로 예상되며, 최종 결정은 연내 통과될 수 있을 것으로 기대하고 있다”고 설명했다. 이어 “다만 꼭 유의해야할 점은 적정성 결정으로 역외이전에 관한 부분만 법적 수단이 마련되는 것이기 때문에, GDPR 전체에 대응하는 것이 아니다”고 설명했다.

또 정수연 연구원은 “적정성 결정이 최종 통과되면 역외이전에 대한 절차가 간소화되는 만큼, 한국의 산업과 서비스 신뢰도 제고를 위해 관련 법제의 법률 준수 및 개인정보보호 수준을 더욱 견고히 유지해야 한다”고 강조했다.

한편, KISA는 국내 기업들의 해외 진출을 돕기 위해 ‘해외 개인정보보호법 준수 지원 사업’을 진행하고 있다. 올해는 지원 국가를 총 40개국으로 확대할 계획이며, 개인정보보호법 준수를 위한 컨설팅 사업도 EU는 물론 미국까지 확대할 계획이다. 컨설팅 사업의 지원 대상도 중견기업으로 확대된다. GDPR 및 CCPA 종합 컨설팅 지원 사업은 5월초까지 공고가 진행될 계획이며, 본격적인 컨설팅은 6월부터 11월로 예정돼 있다. 이외에도 ▲수시법률상담 ▲세미나 ▲국가별 법제 정보 제공 ▲동향 분석 ▲자가진단 툴 제공 ▲해외 협력 채널 운영 등 다양한 지원사업을 추진할 계획이다.