한국-EU GDPR 적정성 결정 진행경과/사진제공=KISA
29일 한국인터넷진흥원(KISA)에 따르면 오는 31일 개인정보보호법 시행령이 입법예고될 예정이며 다음달 말에서 5월초에 시행령 고시 행정예고가 진행될 예정이다. 지난달 4일 공포된 개정법은 6개월의 유예기간을 두고 오는 8월5일부터 시행된다.
EU 일반 개인정보보호법 개요/사진제공=KISA
적정성 평가는 EU가 GDPR를 기준으로 상대국의 개인정보보호 수준을 평가하는 제도다. 평가를 통과해 적정성 결정이 내려지면 해당국 기업은 EU에서 수집한 개인정보를 역외로 이전하는 것이 허용되나 그렇지 못한 국가는 기업이 개별적으로 표준계약을 체결하는 등 행정 부담을 지게 된다.
그동안 우리나라는 개인정보보호 감독기관의 독립성 부족을 이유로 적정성 승인이 두 차례 불발됐다가 이번 데이터3법 국회 통과로 적정성 결정이 통과될 것으로 예상된다.
이 시각 인기 뉴스
오 단장은 "실무적인 상황뿐만 아니라 정치적 상황도 고려해야하지만 코로나19 사태만 진정되면 3개월 이내 결정될 것으로 본다"면서 "코로나가 가장 관건"이라고 말했다.
또 "GDPR 가입절차는 EU 집행위원회 실무자가 개인정보보호 규제 수준을 GDPR과 맞는지 살펴보는 초기 결정 외에도 몇가지 단계를 거쳐야 한다"면서 "개인정보 감독기구, EU 각국 대표와 외교·법 관련 실무부서 검토, EU 의회 최종승인을 거쳐야 한다는 것을 감안하면 상반기 내 결정이 이뤄지는 것이 힘들 수 있다"고 덧붙였다.
지난 1월에 데이터3법 개정안이 통과되기까지는 EU GDPR이 '개인정보의 국외이전'을 엄격하게 통제하고 있다는 부분이 상당한 영향을 미쳤다. 오 단장은 "한국이 EU GDPR의 적정성 결정을 받지 못하면 개별 기업이 EU 규제 당국과 협의를 해야한다"며 "이 경우 개인정보보호 관련 조항을 하나 만드는데만 약 1억원 정도의 비용이 든다"고 설명했다.
이어 "여러 항목에 대한 컨설팅을 받을 경우 최대 40억원까지도 비용이 지출되는 것으로 알고 있다"며 "EU에 진출해서 사업하는 개별기업의 부담을 덜기 위해선 적정성 심사 통과가 필요하다"고 강조했다.