해외로 개인정보를 이전할 때 적용되던 각종 추가 요건들이 대폭 완화될 전망이다. 특히 유럽연합(EU)으로의 개인정보 이전 시 비용 부담이 줄어들고, 개인정보 침해 사고 발생 시 한국과 EU 당국이 공동으로 대응할 수 있는 체계가 마련될 것으로 보인다. 이는 개인정보보호위원회(개인정보위)가 EU의 개인정보 보호 수준을 한국과 실질적으로 동등하다고 인정한 결과이다.
개인정보위는 지난 2021년 12월 EU가 한국으로의 개인정보 이전을 허용한 적정성 결정 이후, EU의 개인정보 보호 체계, 정보주체의 권리 보장 가능성, 감독 체계, 피해 구제 절차 등을 면밀히 검토해왔다. 이 과정에서 법률 전문가, 산업계, 시민단체 등이 참여하는 다양한 협의체를 구성하고, 11차례의 한-EU 실무회의를 거쳤다. 이러한 노력을 통해 EU 회원국들이 개인정보 보호법인 GDPR을 기반으로 엄격한 개인정보 보호 원칙과 정보주체의 권리를 규정하고 있으며, 독립적인 감독기관을 통해 이를 관리하고 있음을 확인했다. 또한, EU 회원국 내에서 개인정보 침해 발생 시 정보주체가 해당 국가에 조사를 요청할 수 있을 뿐만 아니라, 어려운 경우 개인정보위가 유럽집행위원회(EC) 또는 유럽개인정보이사회(EDPB)의 도움을 받아 대신 요청하고 그 결과를 받을 수 있도록 하는 협의가 이루어졌다.
이러한 동등성 인정 조치는 오는 9월 16일부터 효력을 발휘한다. 이에 따라 국내 기업 및 공공기관은 직원이나 고객 등의 개인정보를 EU 회원국 27개국 및 유럽경제지역(EEA)에 포함되는 3개국(노르웨이, 리히텐슈타인, 아이슬란드) 등 총 30개국에 추가적인 동의나 요건 없이 이전할 수 있게 된다. 이전되는 개인정보에는 제공, 조회, 위탁 처리, 클라우드 보관 등이 모두 포함된다. 다만, 이번 동등성 인정은 주민등록번호와 개인신용정보의 이전에 관해서는 적용되지 않는다.
개인정보위는 앞으로도 EU와 지속적으로 협력하여 EU 및 회원국의 제도 변경 사항을 모니터링하고, 개인정보 보호 상황을 점검할 방침이다. 이번 동등성 인정은 2028년 9월 15일까지 유효하며, 이 기간 동안 동등한 수준이 유지되지 않거나 정보주체의 피해가 발생할 우려가 현저할 경우, 개인정보 보호 수준이 변경되거나 취소될 수 있다. 개인정보위는 이번 조치가 양측의 데이터 협력을 더욱 강화하고, 안전하고 자유로운 데이터 이전 체계를 구축하는 데 기여할 것으로 기대하고 있다.
About the Author
