이르면 올 하반기부터 국내 기업이 유럽의 개인 정보를 이전해 자유롭게 활용하는 게 가능해진다. 국내 기업들이 신사업 발굴이나 마케팅 전략 수립 등에 현지 개인 정보를 활용할 수 있게 돼 유럽 시장 공략이 탄력을 받을 것으로 기대된다.
윤종인 개인정보보호위원장과 디디에 레인더스 EU집행위원회 사법총국 장관은 30일 공동 발표문을 통해 “한국의 개인정보보호법 체계가 EU 일반 개인정보보호법(GDPR)과 동등한 수준임을 확인했다”며 “EU로부터 한국으로의 자유롭고 안전한 정보의 흐름이 가능해졌다”고 밝혔다. 한국의 개인 정보 보호조치 수준이 유럽과 비교해도 차이가 없다는 점을 인정한 것이다. 한국과 유럽 간 논의가 지난 2017년 1월 처음 시작된 후 4년 만의 성과로 EU집행위원회는 EU정보보호이사회의 의견 수렴을 거쳐 늦어도 올 하반기 의결할 예정이다.
가장 큰 변화는 개인 정보를 이전할 때 체결하는 표준 계약이 면제된다는 것이다. 그동안 유럽 현지에 지사를 둔 국내 기업들은 맞춤 서비스 개발이나 마케팅 전략 수립, 신사업 발굴 등을 목적으로 현지 고객 정보를 국내 본사에서 분석하려면 반드시 표준 계약 조항을 활용해야 했다. EU에서 개인 정보의 국외 이전을 엄격하게 관리했기 때문이다. 표준 계약은 EU집행위가 승인한 개인 정보 보호 원칙, 내부 규율, 피해 보상 등 필수적인 조항을 계약서 형식으로 만든 것으로 중소기업은 물론이고 대기업에도 큰 장애물이었다. 업계의 한 관계자는 “표준 계약을 위해 법률 검토, 현지 실사 등 최대 1년가량의 시간이 걸린다”며 “각 프로젝트마다 1억~2억 원의 비용이 소요될 뿐만 아니라 통과 자체도 어려웠다”고 전했다.
GDPR이 2018년 5월 EU에서 시행된 뒤 EU 비회원국이 적정성 승인을 받은 것은 일본(2019년) 이후 두번째다. 개인정보위 측은 “공공 분야까지 영역이 포함된 점이 일본 때와 다르다”며 “규제 협력 등 EU와의 정부 간 협력이 강화될 수 있다”고 강조했다.
다만 이번 적정성 결정에 금융 분야 개인 정보는 해당되지 않아 핀테크 기업이나 금융사들은 여전히 표준 계약을 이용해야 한다. 개인 정보 보호 독립 감독 기구인 개인정보보호위원회가 감독하는 영역을 대상으로 협의가 이뤄지면서 비금융 분야에만 한정됐다는 게 개인정보위의 설명이다.
/정혜진 기자 madein@sedaily.com
< 저작권자 ⓒ 서울경제, 무단 전재 및 재배포 금지 >
