GDPR 이란?

GDPR(The EU General Data Protection Regulation)은 유럽연합의 개인정보보호법으로 2018년 5월부터 시행되었고 본문 11장(Chapter), 99개 조항(Article), 전문(Recital) 173항으로 구성되어 있습니다. GDPR은 모든 유럽연합 회원국에 직접적으로 적용되는데 GDPR의 가장 큰 특징중 하나는 유럽연합 영역 내의 개 인정보처리자뿐만 아니라 유럽연합 역외지역에 설립된 개인정보처리자라 할지라도 EU시민의 개인정보 를 처리한다면 GDPR이 적용된는 점 입니다. 즉 대한민국의 기업이라 할지라도 유럽연합에 속한 사람의 개인정보를 처리하는 경우에는 GDPR이 적용 됩니다.

따라서 대한민국의 기업이 유럽시민의 개인정보를 유럽 영역 외에서 처리하기 위해서는 아래 항목에 대해 해당하는 경우에만 가능 합니다. (즉, 유럽시민의 개인정보를 제3국으로 이전할 수 있는 경우)

1) GDPR 제45(3)조에 따른 적정성 결정을 득한 경우(이하 “적정성 결정”이라 한다.)

2) 표준데이터보호 조항(Standard Data Protection Clauses: SDPC, 舊SCC) (제46조제2항c), 구속력 있는 기업규칙 (Binding Corporate Rules: BCR) (GDPR 제47조)2) 등 제46조에 따른 적절한 안전조치에 이루어지 고 있다고 인정된 경우(이하 “적절한 안전조치”라 한다.)

3) 1)과 2)에 해당하지 않지만 ‘적정성 결정’과 ‘적절한 안전조치’가 결여되어 정보주체에 대해 발생할 수 있는 위험을 고지 받은 후, 정보주체가 자신 의 개인정보를 제3국으로 이전되는 것에 대하여 ‘명시적으로 동의한’ (has explicitly consented) 경 우(이하 “정보주체의 명시적 동의”라 한다.)

개인정보보호법 유럽 GDPR 적정성 평가 성공

대한민국 기업이 유럽 시민의 개인정보를 처리 하기 위해서는"적정성 결정", "적절한 안전조치", "정보주체의 명시적 동의"의 중 한가지 이상 해당 되어야 하는데 "적절한 안전조치", "정보주체의 명시적 동의"는 유럽에 진출한 기업이 개별적으로 대응 해야 하는 한계가 발생 합니다. "적정성 결정"은 개인정보 이전에 대하여 추가적인 인가를 받을 필요 없기 때문에 유럽과 교류하고 있는 기업의 경우 리소스(각 국의 법률적용 및 검토비용 등)가 상당히 줄어 들게 됩니다.

유럽과의 교류가 증가하고 있는 우리나라는 2015년을 시작으로 하여 GDPR 적정성 평가에 대응하기 시작하였으나 2017년 1월 적정성 평가의 핵심 기준인 "개인정보 감독기구의 독립성 요건" 미충족으로 대한민국과 유럽연합 간의 협의가 2차례 중단되었고 지난해 데이터3법 개정으로 개인정보위가 독립감독기구로 확대 출범함으로 협의가 급진전 되어 마침내 2021년 3월 30일 유럽집행위원회는 우리나라의 개인정보보호 체계와 유럽연합의 일반개인정보보호법(The EU General Data Protection Regulation, 'GDPR')이 서로 동등한 수준으로 인정하는 상호 적정성 평가(adequacy decision)를 최종적으로 승인 하였습니다.

그동안 유럽연합에 진출한 한국 기업들은 앞서 말한 표준계약조항 등을 통해 EU 개인정보를 국내로 이전하여 왔으며, 이를 위해 많은 시간과 비용을 투자하여 왔음에도 불구하고 GDPR 관련 규정 위반에 따른 과징금(최대 전세계 매출 4%) 부과 등에 대한 부담을 안고 있었고 중소기업의 경우에는 표준계약절차 자체가 어려워 유럽진출을 포기하고 있는 것으로 파악되고 있었으나 이번 적정성 결정으로 인해 한국이 개인정보 국외이전에 있어 유럽연합 회원국에 준하는 지위를 부여받게 되어 표준계약 등 기존의 까다로운 절차가 면제되었으며 개인정보보호위원회는 이번 적정성 평가로 인해 한국 기업들의 유럽연합 진출이 늘어날 것으로 기대 하고 있습니다.

표준계약조항(Standard Contractual Clauses)

EU집행위 또는 회원국 감독기구가 승인한 개인정보보호원칙, 내부규율, 피해보상 등 필수적인 조항을 계약서 형식으로 표준화한 것으로, 적정성 결정을 받지 못한 국가의 기업들에게 가장 널리 활용되는 국외이전 수단

한국과 유럽연합 양측은 공동언론발표문을 통해 “개인정보보호 분야에 있어 한국과 유럽연합 간에 높은 수준의 동등성, 특히 최근 시행된 한국의 개정 개인정보보호법에 따라 개인정보보호위원회의 권한이 강화되어 그러한 동등성이 한층 더 향상되었음을 확인”하였다. 이에 따라 한국은 개인정보보호에 있어 EU회원국에 준하는 지위를 부여받게 되어 “EU로부터 한국으로의 자유롭고 안전한 정보의 흐름이 가능”하게 되고, “한-EU 자유무역협정(FTA)을 보완하여 디지털 역량을 선도하는 유럽연합과 한국 간 협력이 강화”될 것으로 평가하였습니다.

적정성 결정으로 혜택을 볼 수 있는 기업 사례

● 유럽연합 지사 – 한국 본사

(前) 프랑스 파리에 소재하는 A사(지사)는 EU 고객을 대상으로 맞춤형 쇼핑 대행업(특히 한국 상품)을 하고 있는데, 고객들이 선호할 것으로 예상되는 상품을 선정하기 위해 고객의 개인정보를 자체 분석하는데 어려움이 있어 한국 본사에 분석을 의뢰해 왔다. EU 고객정보를 한국으로 이전하기 위해서는 표준계약조항을 활용할 수밖에 없어, 시간·비용 부담 및 법 위반 우려*로 인해 소극적으로 영업 활동을 하였다.

* 프랑스 개인정보감독기관(CNIL)으로부터 표준계약조항 관련 GDPR 규정 위반 여부 조사 및 과태료(최대 전세계 매출액 4%) 처분을 받을 우려

(後) 한국에 대한 적정성 결정으로 인해 A사는 한국 본사로 EU 고객정보를 보내는 과정이 간소화되었으며, 표준계약조항을 이용하지 않아도 됨에 따라 비용·시간 및 법적리스크 감소로 적극적인 영업 활동이 가능하게 되었다.

● 유럽연합 기업 – 한국 기업

(前) 독일에 소재하는 B사(독일 기업)는 고객 개인정보를 활용하여 새로운 마케팅 전략 수립이 필요한 상황이었다. 그러나 이에 특화된 전문성 있는 데이터 연구 기업을 EU 내에서는 찾기 어려워 한국으로 데이터를 이전하여 처리하고자 하였으나 표준계약 등으로 인한 부담이 있어 제한적인 연구만 가능했다.

(後) 한국에 대한 적정성 결정으로 인해 한국으로의 개인정보 이전이 자유로워짐에 따라 B사는 한국의 전문성이 있는 데이터 연구 기업과의 제휴가 가능하게 되었다.

출처 및 참고 자료

개인정보보호위원회 보도자료(한국 개인정보보호 법제, EU와 동등한 수준으로 인정받아, 2021.03.30)