개인정보보호위원회는 한국이 유럽연합(EU)의 일반 개인정보보호법(GDPR) 적정성 평가 초기결정 단계를 통과했다고 밝혔다.
GDPR 적정성 평가는 EU 외의 국가가 EU 수준의 개인정보보호 제도를 운영하는지 확인하는 제도다.
적정성 결정을 받으면 해당국은 EU 회원국처럼 자유롭게 EU 시민의 개인정보를 자국 내로 이전·처리할 수 있다.
적정성 결정을 받지 못한 국가 기업은 EU가 요구하는 개인정보보호 조치를 하겠다는 표준계약을 개별적으로 체결하는 등 부담을 지게 된다.
LG와 SKT, 네이버 등 EU 진출 기업에 따르면 표준계약을 위해서는 GDPR·회원국 법제 검토, 현지실사, 기타 행정절차로 3개월∼1년의 시간과 프로젝트별로 1억∼2억 원의 비용이 소요된다.
이르면 상반기, 늦어도 하반기에 최종결정이 내려지면 EU 진출 기업의 부담이 줄어들게 된다.
하지만 이번 초기결정 논의과정에서 신용정보법을 따르는 금융회사들은 제외됐다.
금융회사들은 금융위원회 소관인 신용정보법을 따르는 데 EU는 금융위원회가 개인신용정보와 관련된 독립 감독기관으로 위상이 다소 부족하다고 판단했기 때문이다.
다만, 금융분야는 EU에 진출한 한국 기업이 9곳 정도 밖에 안 되는데다 이미 표준계약을 활용하고 있어 큰 문제는 없을 것이라는 게 개인정보위의 설명이다.
개인정보위는 국내 개인정보의 EU 이전도 앞으로 논의할 방침이다.
한국 국민의 개인정보 국외 이전 부분은 개인정보보호법 2차 개정안에 담아 입법예고한 상태다.
상호주의 원칙에 따라 우리 국민의 정보도 국외 이전이 가능하게 하는 법제를 갖춘다는 계획이다.
개정안이 국회를 통과하면 4년 후 후속 검토에서 논의할 수 있다.