[아이뉴스24 김혜경 기자] 지난해 12월 한국과 유럽연합(EU)의 '일반개인정보보호법(GDRP) 적정성 결정'이 발효됐다. 적정성 결정은 EU가 GDPR을 기준으로 다른 국가의 개인정보보호법 수준을 평가‧인증하는 제도다.
핵심은 '역외이전'이다. EU 시민의 데이터를 어디서 처리하느냐에 따라 국내법 혹은 EU법 적용을 받게 되므로 관련 정책과 사업 형태를 구분해 살펴봐야 한다는 지적이다.
![적정성 결정 전후 비교 [사진=한국인터넷진흥원]](https://image.inews24.com/v1/9cdccb6105345c.jpg)
3일 개인정보보호위원회(위원장 윤종인)와 한국인터넷진흥원(KISA‧원장 이원태)이 공동으로 주최한 '한-EU 적정성 결정 활용 설명회'에서 정태인 KISA 팀장은 "적정성 결정은 EU 내에서 수집한 개인정보를 한국으로 이전할 시 추가적 보호조치를 면제하는 것"이라며 "이전된 데이터를 처리하는 사업자는 국내법을 준수하면 되지만 개인정보처리자가 역내가 아닌 한국에 있는 경우 여전히 GDPR을 준수해야 한다"고 말했다.
2018년 5월 발효된 GDPR은 글로벌 기업의 데이터 독점을 완화하고 새로운 산업 환경에 대응하기 위한 조치다. 특히 회원국 시민의 개인정보를 보호하기 위해 GDPR은 원칙적으로 역외이전을 금지하고 있다.
다만 추가적 보호조치가 있다면 가능하다. 적정성 결정에 근거한 이전(제45조), 적절한 보호조치에 따른 이전(제46‧47조), 특정 상황에 대한 예외(제49조)가 해당된다. 적정설 결정 발효에 따라 한국기업들이 EU 시민의 개인정보를 표준계약조항(SCC) 등 기존 절차를 거치지 않고 국내로 이전할 수 있게 됐다는데 의의가 있다.
![적정성 결정 활용 사례 [사진=한국인터넷진흥원]](https://image.inews24.com/v1/0bdbfbd10a2047.jpg)
EU 시민의 개인정보가 역내 특정 국가의 클라우드 리전(데이터센터)에 저장된 후 한국으로 이전된 경우는 역외이전에 해당된다. 적정성 결정을 근거로 역외 이전된 정보에 대해서는 국내 개인정보보호법에 따른 '개인정보의 안전성 확보조치 기준'을 준수해야 한다.
그러나 정보처리자가 EU 역내가 아닌 한국에 있으면서 인터넷 등을 통해 EU 시민의 개인정보를 '직접' 수집하는 경우는 적정성 결정 적용 대상이 아니다. 개인정보를 직접 수집해 처리할 경우 GDPR 제32조에 따른 보안 의무를 준수해야 하는 셈이다. 32조에는 적절한 보안 기준 적용과 정기적으로 개인정보 영향평가를 수행할 것을 요구하고 있다.
정 팀장은 "EU에서 한국으로 이전한 데이터에 대해서는 국내 개인정보보호법과 고시를 준수하면 된다"며 "다만 직접 개인정보를 수집해 처리하는 국내 사업자는 GDPR과 국내법을 모두 준수해야 한다"고 설명했다.
국내 기업이 GDPR 적용을 받는 경우 ▲기술‧관리적 보호조치 ▲개인정보 영향평가 ▲개인정보책임자(DPO) 지정 ▲처리 활동의 기록 등의 의무를 준수해야 한다.
김지영 네이버클라우드 매니저는 "클라우드를 이용해 개인정보를 처리하는 고객은 '컨트롤러' 혹은 '프로세서' 지위에 해당하고 클라우드 제공 사업자는 '프로세서' 혹은 '하위 프로세서' 지위"라며 "고객사가 EU 개인정보를 직접 수집하게 될 경우 당사가 제공하는 디지털동반자협정(DPA)을 통해 기술적 보호조치 준수 부담이 완화되는 효과도 있다"고 말했다.
/김혜경 기자(hkmind9000@inews24.com)
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기