개인정보보호법과 EU GDPR의 적정성 검토


우리나라 기업들이 EU 주민들에게 한국의 홍삼을 온라인으로 판매하려고 합니다. 배송이 필요하니 당연히 배송지 주소와 고객의 이름, 그리고 비상시 연락할 핸드폰 번호가 필요합니다. 그런데 한국은 GDPR 적정성 검토가 통과된 나라가 아니라 별도의 보호조치가 필요하다는 공문이 옵니다. GDPR은 뭐고 적정성 검토는 또 무엇일까요? 

GDPR(General Data Protection Regulation)은 유럽연합 일반 개인정보 보호법은 유럽연합에 속해있거나 유럽경제지역에 속해있는 모든 인구들의 개인정보를 보호하는 규정입니다.

GDPR에 의하면, 개인정보가 다른 제3 국이나 국제기구로 전송하기 위해서는 GDPR에 명시된 역외 이전 조건을 준수해야 합니다. GDPR상 역외 이전이 가능한 경우는 다음 3가지 케이스입니다.

[GDPR 역외 이전 조건]
1. 적정성 결정(Adequacy Decision)에 따른 이전
2. 적절한 보호조치에 의한 이전
    - 구속력 있는 기업 규칙(BCRs, Binding Corporate Rules)
    - 표준 개인정보보호조항(Standard Data Protection Clauses)
    - 인증제도(Certicifation mecahnism) 등
3.특정 상황에 대한 예외(Derogations for specific situations)
    '적정성 결정'과 '적절한 보호조치'가 결여됨으로 정보주체에게 발생할 수 있는 위험을 고지 받은 후, 정보주체가 자신의 개인정보를 제3국으로 이전되는 것에 대하여 명시적으로 동의한 경우

오늘은 이 중 "1. 적정성 결정(Adequacy Decision)"에 대해 이야기하겠습니다.

EU는 개인정보를 이전하려는 상대국의 개인정보 보호 수준이 EU와 동등하다고 판단되면 해당 국가로의 이전을 허용합니다. 이를 '적정성 결정'이라고 합니다. 적정성 결정 대상국은 EU 회원국의 개인정보 국외 이전 시 별도의 동의를 받지 않아도 됩니다. 국가 차원에서 적정성 결정을 받지 못하면 EU시장에서 비즈니스를 하기 위해서 기업차원에서 GDPR에 상응하거나 높은 보호조치를 적용하고 별도의 검증 과정을 거쳐야 합니다.

가까운 나라 일본은 2019년 1월 적정성 검토를 통과했지만, 우리나라는 현재(2020.09.25)까지 적정성 검토를 통과하지 못했습니다. EU에서 보기엔 한국은 어떤 점에서 개인정보보호법이 미비한다고 평가를 받은 걸까요?

우리나라의 적정성 평가는 행정안전부 주도로 2015년부터 추진되었습니다. 2016년에는 개인정보보보호위원회의 적격성이 미비하다는 이유로 평가 불가 통보를 받았고 이후 부분 적정성 평가를 추진했지만 정보통신망법이 개인정보보호를 모두 포괄하지 않는다는 쓴 잔을 맛봤습니다.

현재는 EU에서 부적격으로 지적된 사안들에 대해 모두 보완이 되었습니다.

[한국의 GDPR 적정성 평가 보완사항]
1. 
개인정보보호 거버넌스 체계 정비
 올해 초 데이터 3 법 통과로 개인정보와 관련된 법률은 개인정보보호법에 일원화되어 개인정보보호 거버넌스 체계가 정비되었습니다.

2. 중앙행정기관으로 '개인정보보호위원회' 출범
'개인정보보호위원회'가 국무총리 소속의 중앙행정기관으로 출범해서, 기존에는 행정안전부와 방송통신위원회 등 각 부처에서 담당하던 개인정보보호 관련 감독 권한은 모두 개인정보보호위원회로 이관되었습니다. 보호위원회의 독립성을 강화하기 위하여 위원회가 수행하는 조사기능과 집행기능 및 법령의 개인정보 침해요인 평가에 관한 사무에 대해서는 국무총리의 지휘와 감독이 배제됩니다. 

개인정보 거버넌스 통합과 독립 전담 감독기구가 출현되면서 GDPR 적격성 통과 가능성이 높게 점쳐지고 있습니다. 단, 코로나로 인해 EU도 재택근무에 도입하고, 적정성 결정 조기 타결을 위해 행정안전부장관이 유럽에 방문하는 일정이 지연되어 적정성 결정에 다소 시간이 필요할 것으로 예상됩니다.

코로나 등 다양한 외부 변수가 존재하지만 빠르게 적정성 결정이 통과되어 우리나라 기업들이 역외 이전에 대한 규제 준수 부담에 소용하는 시간과 인력 그리고 비용을 크게 절감할 수 있었으면 좋겠습니다. 국내 특정 기업의 경우 GDPR 컨설팅 비용으로 40억 원에 달하는 예산을 투입했던 사례도 있었는 데요, 이제는 규제 준수 부담을 국가 차원에서 해소시킬 수 있는 날이 하루빨리 왔으면 합니다.

---
참고문서

[1] 4차 산업혁명 시대, 스타트업 혁신을 위한 규제개혁 토론회 3탄
https://startupall.kr/wp-content/uploads/2020/02/4%EC%B0%A8-%EC%82%B0%EC%97%85%ED%98%81%EB%AA%85-%EC%8B%9C%EB%8C%80-%EC%8A%A4%ED%83%80%ED%8A%B8%EC%97%85-%ED%98%81%EC%8B%A0%EC%9D%84-%EC%9C%84%ED%95%9C-%EA%B7%9C%EC%A0%9C%EA%B0%9C%ED%98%81-%ED%86%A0%EB%A1%A0%ED%9A%8C-3%ED%83%84-1.pdf
[2] 우리 기업을 위한 'EU 일반 개인정보보호법(GDPR)' 가이드북 (행정안전부)
https://gdpr.kisa.or.kr/gdpr/bbs/selectArticleList.do?bbsId=BBSMSTR_000000000101
[3] [개인정보보호 연차보고서 톺아보기-1] 개인정보보호 주요 이슈 5
https://www.boannews.com/media/view.asp?idx=90950&kind=
[4] EU GDPR 적정성 결정, 상반기 내 완료될까…‘코로나19’가 변수
https://byline.network/2020/03/29-59/