한-EU 적정성 결정은 '절차 간소화'…GDPR 준수 의무는 여전


신용정보 이전은 기존 표준계약 필요…"적용 예외 등 주의해야"

[아이뉴스24 김혜경 기자] 지난해 12월 한국과 유럽연합(EU)의 '일반개인정보보호법(GDRP) 적정성 결정'이 발효됐다. 적정성 결정은 대상 국가의 개인정보보호 법제도가 GDPR과 동등한 수준인지를 평가하는 것이다. 한국기업들이 EU 회원국 시민들의 개인정보를 표준계약조항(SCC) 등 기존 절차를 거치지 않고 국내로 이전할 수 있게 됐다는데 의의가 있다. 그러나 유럽 내 데이터의 역외이전 시 인증 절차가 간소화됐을 뿐 GDPR 준수 의무는 여전하다는 점과 예외사항, 과징금 부과 등 제재 수위를 고려했을 때 향후 지속적인 대응과 주의가 요구된다.

◆ '적정성 결정' 의미는?…신용정보 이전은 예외

웨비나 발표자료 중 일부. [사진=인터넷진흥원]

한국인터넷진흥원은 한국무역협회와 지난 4일(현지시간) 웨비나를 열고 국내기업 60여곳 관계자를 대상으로 '한‧EU 적정성 결정(Adequacy Decision)'이 향후 미칠 영향과 유의사항을 공유했다.

EU GDPR이 중요한 이유는 EU 회원국뿐만 아니라 EU 시민의 개인정보를 수집하는 제3국가 및 국제기구도 적용 범위에 포함되기 때문이다. 2018년 5월 발효된 GDPR은 글로벌 기업의 데이터 독점을 완화하고 새로운 산업 환경에 대응하기 위한 조치다. 특히 회원국 시민의 개인정보를 보호하기 위해 GDPR은 원칙적으로 역외이전을 금지하고 있다. 다만 추가적 보호조치가 있다면 가능하다. 적정성 결정에 근거한 이전(제45조), 적절한 보호조치에 따른 이전(제46‧47조), 특정 상황에 대한 예외(제49조)가 해당된다.

적정성 결정을 받기 전에는 추가적 보호조치가 필요했고 국내 기업 대다수는 SCC를 이용해왔다. SCC는 EU집행위나 회원국 감독기구가 승인한 개인정보보호원칙, 피해보상 등 필수 조항을 계약서 형식으로 표준화한 문서다.

개인정보보호위원회에 따르면 SCC를 이용한 계약 체결 시 프로젝트별 3개월 이상이 걸리며 최소 3천만원에서 최대 1억원의 비용도 소요된다. 적정성 승인 결정으로 SCC 등의 기존 절차가 면제돼 비용과 시간이 절감된다. 적정성 결정을 근거로 국내로 이전된 개인정보는 개인정보보호법 적용을 받게되며 개인정보위의 관리 감독을 받는다.

다만 신용정보 이전 시에는 예외가 적용된다. 개인정보위 관계자는 "금융권 10여개 기업들은 여전히 표준계약 등 기존 절차가 필요하지만 금융권이라 하더라도 신용정보가 아닌 일반 개인정보를 취급할 경우에는 적정성 결정에 따라 위원회에서 감독을 하게 된다"고 말했다.

인터넷진흥원도 지난주 웨비나에서 신용정보법, 위치정보법 등의 적용을 받는 개인정보를 처리하는 경우는 적정성 결정 예외에 해당한다며 주의할 것을 강조했다. 정수연 EU 개인정보보호협력센터 소장은 "개별 기업이 EU 역내 개인정보를 국내로 이전하기 위해 필요했던 시간과 비용을 아낄 수 있게 됐지만 적용 예외 등 주의할 부분이 있으므로 GDPR 대응에 만전을 기해야 한다"고 말했다.

◆ 과징금 규모는 '최대 전 세계 매출 4%'

인터넷진흥원의 'GDPR 위반에 대한 과징금 부과 사례 검토' 보고서 등에 따르면 2018년 7월 첫 과징금 부과 이후 2020년 5월까지 가장 많은 위반 누적 사례에 해당된 조항은 제32조와 제5조제1항으로 집계됐다. 해당 조항은 개인정보 처리의 무결성‧기밀성 원칙과 관련된 규정이다.

과징금 부과 건수 240건 가운데 '정보보안을 위한 기술‧관리적 조치 부족' 유형이 3억3296만유로로 전체의 71%를 차지했다. 이어 '데이터 처리를 위한 법적 근거 부족' 1억 1110만유로(23.7%), '일반적 데이터 처리 원칙 미 준수' 1608만유로(3.4%) 순으로 나타났다.

지난해 10월 기준 GDPR 과징금 규모 1위 사례는 룩셈부르크 개인정보 감독기구가 아마존에 부과한 7억4600만유로다. 2위는 아일랜드 감독기구가 메타(페이스북)의 메신저 서비스 자회사인 왓츠앱(WhatsApp)의 유럽본부를 제재한 사례다. 지난해 9월 왓츠앱 유럽본부는 GDPR 5조1항의 투명성 요건 위반 사유로 2억2500만유로의 과징금을 부과받았다.

인터넷진흥원에 따르면 당초 아일랜드 감독기구는 3000~5000만유로 수준의 과징금을 부과할 계획이었지만 EU 회원국 감독기구들이 이의를 제기하면서 최종 과징금 액수가 4배 이상 상향 조정됐다. EU 개인정보보호이사회(EDPB)의 분쟁해결 절차가 발동되면서 재검토가 이뤄졌고, EDPB는 왓츠앱 단독 매출이 아닌 메타와의 합산 매출을 기준으로 실효적인 수준의 액수를 책정해야 한다는 의견을 내놨다.

EDPR 과징금 규모는 제재 대상 기업의 '전 세계 연간 매출액 2% 또는 1천만유로 중 높은 금액'과 '4% 또는 2천만유로 중 높은 금액'으로 나뉜다. 특히 후자는 ▲개인정보 처리 원칙 등 민감정보 취급을 준수하지 않은 경우 ▲개인정보 역외이전 규정 위반 ▲감독기관 명령에 따르지 않은 경우가 해당된다.

개인정보위 관계자는 "적정성 결정은 유럽 내 데이터를 국내로 이전할 경우 절차적인 부분이 간소화되는 것이지 GDPR 수준의 정보보호 준수 의무는 지켜야 한다는 점이 핵심"이라고 말했다.

/김혜경 기자(hkmind9000@inews24.com)







포토뉴스