[이슈분석]우리 기업 EU 밖으로 개인정보 이전은 "빠르면 올해 말"

우리 기업은 수집한 EU 거주민 개인정보를 이르면 올해 말에 제3국으로 이전할 수 있을 전망이다. GDPR는 EU거주민 개인정보 이동을 엄격히 제한한다.

GDPR에 준하는 개인정보보호 정책을 가진 국가에 '적정성 승인(Adequacy Decision)'을 하고 EU 거주민 개인정보를 수집해 이용하게 한다.

EU는 한국과 일본에 적정성 평가를 진행한다. 두 나라가 올해 안에 적정성 평가를 받으면 GDPR 시행 후 최초 사례가 된다. 적정성 평가를 통과하면 우리 기업은 추가 조치 없이 EU 거주민 개인정보를 한국으로 이전해 처리할 수 있다. EU 적정성 승인 결정은 최소 4년마다 정기적으로 다시 검토한다.

GettyImages
GettyImages

현재까지 GDPR 적정성 평가를 통과한 국가는 없다. GDPR 이전 DPD(Data Protection Directive) 때 적정성 평가를 통과한 국가도 평가를 새로 받아야 한다.

권현준 KISA 개인정보정책단장은 “정보통신망법으로 EU 적정성 평가를 추진 중”이라면서 “적정성 평가는 신청을 받거나 기한이 정해진 것이 아니라 EU가 필요에 의해 스스로 하는 것”이라고 설명했다.

개인정보 국외 이전 방안(자료:GDPR안내 홈페이지)
개인정보 국외 이전 방안(자료:GDPR안내 홈페이지)

5월 25일 GDPR 시행 초기에는 EU 밖으로 개인정보 이전에 주의를 기울여야 한다.

기업도 적정성 평가를 받을 수도 있다. 기업 자체적으로 '구속력 있는 기업 규칙(BCRs)'을 마련하면 이전이 가능하다. BCRs는 개별 기업 적정성을 평가해 EU 거주민 개인정보 국외 이전을 허용하는 요건이다. 표준 개인정보보호 조항에 의거해 개인정보 이전 계약을 맺는다. 승인된 행동 강령과 인증제도 등 조치를 마련하면 이전이 가능하다. 정보주체가 명시적으로 동의한 경우도 개인정보 역외 이전을 할 수 있다.

GDPR 규정을 위반하면 사안의 경중에 따라 최대 세계 매출액 4%나 2000만유로(약 252억8000만원) 중 높은 금액을 과징금으로 부과한다. 과징금 산정에 △위반 성격과 중대성, 지속시간 △위반 의도성과 태만 여부 △정보주체 피해를 경감하기 위한 컨트롤러와 프로세서 조치 △기술·조직적 보호조치를 고려한 컨트롤러와 프로세서 책임 수준 등 11가지 기준이 있다. 침해 수준에 비례해 과징금이 부과된다.

정현철 KISA 개인정보보호본부장은 “정보통신망법이 EU GDPR와 크게 다르지 않고 모든 기업에 2000만 유로에 달하는 벌금이 내려지는 것은 아니다”라면서 “막연한 불안감은 갖지 말라”고 조언했다.

김인순 보안 전문기자 insoon@etnews.com