EU 개인정보보호법 시행 1년…"韓 적정성 자격 취득 절실"

김준억 기자 기자 페이지

(서울=연합뉴스) 김준억 기자 = 유럽연합(EU)의 개인정보보호법(GDPR)이 시행된 지 1년이 지났지만 한국은 'GDPR 적정성 대상국' 자격을 취득하지 못해 제도 개선이 절실하다는 지적이 나왔다.

전국경제인연합회는 21일 주한유럽상공회의소, 국제사이버법연구회와 함께 서울 여의도 전경련회관에서 'EU GDPR 적용 1년의 의의와 평가'를 주제로 세미나를 개최했다.

세미나에서는 적정성 대상국 자격을 취득하기 전까지는 EU 회원국을 대상으로 사업을 영위하는 기업들이 각별히 주의해야 한다는 의견이 나왔다.

한국은 GDPR 시행 이전인 2017년 일본과 함께 적정성 우선협상국으로 지정됐지만, 2차례 심사에서 탈락해 개별 기업 차원에서만 대응할 수 있다. 반면, 일본은 올해 1월 적정성 대상국으로 지정됐다.

EU의 GDPR은 지난해 5월 25일부터 시행됐으며 EU 거주자의 개인정보를 다루는 모든 기업이나 단체가 개인정보 보호와 관련한 광범위한 규정을 준수하도록 했다.

GDPR 규정을 준수하지 않으면 최대 매출액의 4% 또는 2천만 유로(약 260억원)의 과징금이 부과된다.

GDPR 규정 가운데 한국 기업에 가장 문제가 되는 것은 EU 지역에서 수집한 개인정보를 역외로 이전하는 것이 원칙적으로 금지된다는 점이다. 유럽 관련 사업을 영위하는 한국 기업이 유럽에서 수집된 데이터를 한국에서 처리하면 제재 대상이 된다.

EU 역내에서 수집된 개인정보의 역외 이전이 허용되는 경우는 국가 차원에서 적정성 평가를 통과하거나 개별기업이 직접 EU가 인정하는 표준계약을 체결하고 구속력 있는 기업규칙, 공인 행동강령 등의 보호조치를 해야 한다.

권태신 전경련 부회장은 개회사를 통해 "일본은 평가를 통과해 일본기업들이 GDPR에 대한 부담 없이 유럽에서 활동하는 반면, 한국은 두 차례나 심사에서 탈락해 관련 부담을 개별기업이 오롯이 감당해야 하는 상황"이라고 말했다.

권 부회장은 "탈락의 원인이기도 한 개인정보보호 감독기관의 독립성 강화 등 국내 개인정보보호법 개정이 조속히 처리돼야 한다"고 덧붙였다.

주제 발제를 맡은 고환경 법무법인 광장 변호사는 "국가 차원 적정성 평가 취득을 위해 개인정보보호법의 조속한 개정이 필요하다"며 "GDPR은 개인정보의 보호뿐 아니라 활용을 동시에 강조하는 입법으로 가명처리 된 개인정보 등의 활용 측면에서도 국내법이 참고해야 할 시사점이 많다"고 밝혔다.

공동 발제자로 나선 정명현 고려대 법학연구원 연구교수는 "개별 기업이 GDPR에 대응하는 데 있어 먼저 적용 여부를 판단하고, GDPR의 기본 원칙과 책임을 정확하게 인식해 성실하게 준수해야 한다"고 강조했다.

정 교수는 GDPR이 적용되는 기업은 개인정보보호책임자 지정과 개인정보 처리 활동 기록, 역내 대리인 지정 등 구체적인 GDPR의 요구사항을 이행해야 한다고 조언했다.

justdust@yna.co.kr

제보는 카카오톡 okjebo <저작권자(c) 연합뉴스, 무단 전재-재배포, AI 학습 및 활용 금지> 2019/05/21 14:24 송고