"EU GDPR 적정성 결정 승인 대비 국내기업 대응 도울 것

정수연 KISA 개인정보협력팀 책임이 23일 온라인을 통해 한·EU 적정성 결정 초기 결정의 의의와 향후 전망 등을 설명하고 있다. 온라인 화면 캡처

정부가 EU(유럽연합) GDPR(일반개인정보보호법) 적정성 결정의 최종 승인이 연내 마무리될 것으로 보고, 국내 기업들의 대응 지원에 박차를 가한다.

한국인터넷진흥원(KISA)은 25일 "아직 EU 내의 적정성 검토 절차가 남아 있지만 올해 중 GDPR 적정성 결정 최종 승인이 예상된다"면서 "효력은 최종 승인 시점부터 발효된다"고 밝혔다.

앞서 개인정보보호위원회와 EU 집행위원회는 지난 달 30일 한·EU 간 적정성 논의가 성공적으로 마무리됐다고 공식 발표했다. 적정성 결정은 EU 역외 국가가 GDPR이 요구하는 수준의 개인정보 보호조치를 보장하고 있는지를 확인·승인하는 제도다. 적정성 결정을 받은 국가의 기업은 복잡한 절차 없이 EU에서 수집한 개인정보를 해당 국가로 이전할 수 있다.

EU GDPR 적정성 결정은 △초기결정 △의견수렴 △최종결정 등 총 3단계에 걸쳐 진행된다. 현재는 초기결정만 통과한 상태이며 EU EDPB(정보보호이사회)의 의견수렴과 EU 집행위원 전원회의 의결을 남겨두고 있다. 정수연 KISA 개인정보협력팀 책임은 "시간이 얼마나 걸릴지는 예측하기 힘들다"면서도 "올해를 넘기지 않을 것으로 예상하고 있고 이 과정에서 추가적인 의견 제시나 의견수렴 등과 같이 지원해야 할 부분이 있다면 적극적으로 나설 것"이라고 말했다.

EU GDPR 적정성 최종 결정이 완료되면 국내 기업들은 서비스별 SCC(표준계약)의 갱신·연장·재계약을 하지 않아도 돼 비용과 시간을 절감할 수 있을 것으로 보인다. 또 SCC로는 해결할 수 없는 서비스 사각지대를 없애 법적 불확실성에서 벗어날 수 있을 전망이다.

다만 정 책임은 "적정성 결정은 역외이전 관련 의무 부담만 경감된 것으로, 전반적인 GDPR 컴플라이언스 의무가 없어지는 것이 아니다"라며 "정보주체 권리 보장을 위한 기업의 책임 의무는 여전히 준수해야 한다"고 강조했다. 특히 금융기관 신용정보는 적정성 결정에서 제외돼 주의가 필요하다는 설명이다.

정부는 연내 EU GDPR 적정성 결정이 가시화될 것으로 예상되는 만큼 국내 중소기업 지원에 속도를 낼 방침이다. 특히 EU GDPR에만 국한하지 않고 미국 CCPA(프라이버시 보호법)와 비 EU 국가의 개인정보보호 지침에 관한 정보도 제공해 국내 기업의 해외 진출을 돕는다는 계획이다. KISA는 GDPR 대응지원센터를 운영 중이며 가이드북 제공과 컨설팅, 세미나·교육, 법률상담 등을 진행하고 있다.

윤재석 KISA 개인정보협력팀장은 "현재 영국을 포함한 유럽 지역 28개 국가와 비 EU인 8개 국가에 대해 개인정보보호 지침 ·가이드라인 등을 제공하고 있는데 올해는 4개국 정도를 추가할 예정"이라며 "국내 기업들이 동남아 지역에 많이 진출해 있어 이를 중심으로 무역 규모. 입법현황 등을 고려해 선정할 것"이라고 말했다.

컨설팅 역시 EU 중심에서 미국, 중국, 베트남 등을 포괄하고 지원 기업 대상도 중소·영세기업에서 중견기업까지 확대한다. 교육·세미나는 수요국이 많은 국가를 중심으로 대상을 늘리고 국내와 해외 주요 국가의 법제 비교표도 제작한다.

윤 팀장은 "EU GDPR에 대한 기업들의 우려와 관심이 많은 것으로 알고 있고 정부 차원의 지원을 필요로 하는 기업들도 있을 것"이라며 "KISA 지원 사업을 통해 기업들이 대응역량을 키울 수 있도록 하겠다"고 덧붙였다.

윤선영기자 sunnyday72@dt.co.kr