이효성 방송통신위원장은 15일 정부 과천정부청사에서 기자들과 만나 “EU로부터 적정성 승인을 받아 협약을 체결하면, 개인이나 기업이 유럽 사용자들의 개인정보를 비교적 손쉽게 한국으로 이전할 수 있게 된다”며 “국회 계류 중인 정보통신망 개정안이 통과될 경우, EU와의 협약 일정이 보다 빨라질 수 있을 것”이라고 밝혔다.
GDPR은 EU 회원국 전체를 대상으로 적용되는 새로운 개인정보보호법으로, 보호해야 할 개인정보 적용 범위가 넓고 기업의 책임을 크게 강화된 것이 특징이다. 법규 위반시 최대 과징금이 세계 매출 4% 또는 2000만 유로(약 260억원)나 된다.
전자·IT(정보기술)을 중심으로 국내 기업들도 비상이다. EU 회원국 사용자들의 개인정보 관리 기준이 높아진 것은 물론 국내 서버로 개인정보 데이터를 함부로 옮길 수도 없다. 다만 제3국가가 EU의 적정성 승인을 받을 경우에는 역외이전에 관한 항목에서는 면제를 받는다. GDPR 적정성 승인은 개인정보보호 수준이 EU와 동등하다고 인정되는 국가의 경우 EU 거주민의 개인정보 역외 이전을 허용하는 조치다.
즉, 우리나라가 적정성 승인을 받을 경우 유럽에 진출한 국내 기업들이 유럽내 현지법인에서 수집한 개인정보를 국내 본사로 보내 관리할 수 있게 된다. 기업이 개별적으로 국외 이전을 승인받기 위해서는 유럽 정보보호 감독기구와 구속력있는 기업규칙(BCR)이나 표준개인정보보호 조항(SPC)를 체결해야 해 비용과 노력이 많이 든다는 설명이다. 현재 적정성 승인을 받은 국가는 GDPR 시행 이전에 적정성 승인을 받은 영연방 국가 등 유럽 법 체계를 따르는 12개 국가에 불과하다.
EU집행위원회는 지난해 1월 전세계 국가 가운데 한국, 일본을 GDPR 적정성 승인 우선 대상국으로 삼겠다고 발표한 후 양국과 논의를 진행해왔다. 우리나라의 경우 방통위가 주도하고 있다. 방통위는 이달 초 한-EU 고위급 면담을 갖고 적정성 승인을 조속히 추진키로 합의했다.
목표는 연내 승인을 마무리 짓고 협약을 체결하는 것. 변수는 법 개정 여부다. ‘개인정보 역외 이전시 보호조치’에 대한 규정을 담은 정보통신망법 개정안이 국회에 계류 중이지만 국회 상임위원회 공전 등으로 처리가 늦어지고 있다.
방통위는 아울러 국내 기업들이 GDPR을 제대로 준수할 수 있도록 법률적인 측면에서 조언, 상담하는 등의 지원활동도 강화하고 있다. 또 기업들의 개인정보보호 처리 절차와 시스템을 EU 등 글로벌 기준에 맞게 업데이트할 수 있도록 지원한다.
[저작권자 @머니투데이, 무단전재 및 재배포 금지]