[뉴스토마토 신상민 기자] 16일부터 국내 소재 기업·공공기관이 직원이나 고객 등의 개인정보를 유럽연합(EU)에 소재한 지사나 다른 기업 등에 이전하는 것이 본인 동의 등의 추가적 요건 없이 가능해집니다.
고학수 개인정보보호위원회 위원장은 16일 글로벌 프라이버시 총회(GPA) 참석 차 방한 중인 마이클 맥그라스 EU 민주주의·사법·법치 및 소비자 보호 담당 집행위원과 이와 같은 내용을 담은 공동 발표문을 공개했습니다.
한국은 2023년 9월 개인정보보호법을 개정해 동등성 인정 제도를 도입한 이후 EU를 첫 번째 인정 대상으로 결정했습니다. 이로써 한국과 EU 양방향으로 개인정보가 자유롭게 이전될 수 있는 체계를 갖추게 됐습니다. EU는 지난 2021년 12월 EU 지역에서 우리나라로 개인정보의 자유로운 이전을 허용한 EU의 적정성 결정을 내린 바 있습니다.
동등성 인정제도는 개인정보의 국경을 넘어선 흐름이 일상화된 인공지능(AI)·데이터 시대에 개인정보가 안전하면서도 자유롭게 국가·지역 간 오갈 수 있게 하도록 마련된 제도입니다.
제도 도입 이후 개인정보위는 법률 전문가 등으로 구성된 '동등성 태스크포스(TF)', 전문가·산업계·시민단체 등으로 구성된 '국외이전전문위원회', 관계 부처로 구성된 '개인정보보호 정책협의회', 11차례의 한·EU 실무회의 등을 거쳤습니다. 이를 통해 EU의 개인정보 보호 체계, 정보 주체 권리 보장 가능성, 감독 체계, 피해 구제 절차 등을 면밀히 검토했습니다.
그 결과 EU 회원국은 개인정보보호법인 일반개인정보보호법(GDPR)을 통해 개인정보 보호 원칙, 정보 주체의 권리 등을 규정하고 독립성이 보장된 감독기관을 통해 감독, 정보 주체 권리 보장 체계를 갖췄음을 확인했습니다.
이번 동등성 인정에 따라 민간·공공의 개인정보 처리자는 EU GDPR을 적용받는 EU 역내 국가 27개국 및 유럽경제지역에 포함되는 3개국 등 총 30개국에 개인정보를 이전할 수 있습니다.
이들 개인정보 이전에는 제공·조회 가능 상태로 두는 경우, 처리 위탁, EU 역내 클라우드 보관 등이 모두 포함됩니다. 다만 주민등록 번호와 개인 신용정보의 이전에 관해서는 영향을 미치지 않습니다.
동등성 인정은 16일부터 3년 후인 2028년 9월15일 기준, 3개월 전에 재검토를 시작해 검토 결과 동등한 수준이 유지되지 않는다고 판단되면 동등성 인정의 변경이나 취소가 가능합니다. 또한 이전된 개인정보가 적절하게 보호되지 않아 정보 주체의 피해가 발생하거나 발생 우려가 있는 경우 개인정보위가 개인정보 이전의 중지를 명할 수 있습니다.
개인정보위는 EU와 협력해 EU 및 그 회원국의 제도 변경에 따른 개인정보 보호 상황 등을 지속적으로 모니터링한다는 방침입니다.
고 위원장은 "한국과 EU는 민간과 공공 전 영역에서 안전하고 자유로운 데이터 이전 체계가 갖춰진 만큼 앞으로 양측의 데이터 협력이 강화될 것을 기대한다"며 "앞으로도 개인정보위는 글로벌 맥락에서 개인정보가 포함된 데이터의 이전 질서 형성에 주도적 역할을 하겠다"고 밝혔습니다.
고학수 개인정보보호위원회 위원장(우측)이 9월 16일 서울 용산구 그랜드 하얏트 서울에서 개최된 '글로벌 프라이버시 총회(GPA)'에서 EU 민주주의·사법·법치 및 소비자 보호 담당 마이클 맥그라스 집행위원(좌측)과 함께 한-EU 상호 동등성 인정 발표문을 공개했다. (사진=개인정보보호위원회)
신상민 기자 lmez0810@etomato.com
이 기사는 뉴스토마토 보도준칙 및 윤리강령에 따라 김나볏 테크지식산업부장이 최종 확인·수정했습니다.
ⓒ 맛있는 뉴스토마토, 무단 전재 - 재배포 금지