앞으로 국내 기업과 공공기관이 직원이나 고객의 개인정보를 유럽연합(EU) 소재 지사나 다른 기업으로 옮길 때 본인 동의 등 추가 요건을 거치지 않아도 된다.
고학수 개인정보보호위원회 위원장은 16일 서울에서 열린 글로벌 프라이버시 총회(GPA)에서 마이클 맥그라스 EU 민주주의·사법·법치·소비자 보호 담당 집행위원과 함께 낸 공동 언론발표문에서 "EU의 개인정보 보호 수준이 한국과 실질적으로 동일하다고 인정하는 '동등성 인정'을 한 결과"라고 밝혔다.
지난 2023년 9월 개인정보보호법 개정으로 동등성 인정 제도를 도입한 이후 EU가 첫 인정 대상이 된 것이다. 앞서 EU는 지난 2021년 EU 이외의 국가가 동등한 수준의 개인정보 보호 조치를 갖추고 있는지 평가하는 일반개인정보보호법(GDPR)의 적정성 결정 제도를 통해 한국으로의 개인정보 이전을 허용했다. 이로써 한-EU 양방향으로 개인정보가 자유롭게 이전될 수 있는 체계를 갖추게 됐다고 개보위는 설명했다.
이번 동등성 인정은 개인정보 제공, 조회 가능, 위탁 처리, EU 지역 클라우드 보관 등 다양한 형태의 이전이 모두 해당된다. 주민등록번호와 개인신용정보 이전은 적용되지 않는다.
이번 동등성 인정으로 국내 개인정보처리자는 EU GDPR을 적용받는 EU 27개 회원국과 유럽경제지역(EEA)에 속한 3개국(노르웨이·리히텐슈타인·아이슬란드) 등 총 30개국으로 개인정보를 추가 요건 없이 개인정보를 이전할 수 있게 됐다. 국외이전 비용부담도 대폭 줄어들 예정이다.
한국인터넷진흥원(KISA)은 앞서 보고서를 통해 EU에 대한 동등성 인정으로 무역 규모가 최대 329억달러(약 45조원) 증가할 수 있다고 전망했다. 중장기적으로는 최대 0.326%의 생산효과와 최대 0.274%의 후생효과가 나타날 수 있다고 봤다.
이번 동등성 인정은 고시일인 이날부터 효력이 발생하며, 2028년 9월 15일로부터 3개월 전에 재검토를 시작한다. 검토 결과 보호 수준이 유지되지 않는다고 판단되면 인정이 변경되거나 취소될 수 있다. 이전된 개인정보가 적절히 보호되지 않아 피해가 발생하거나 우려가 크다고 인정되면 개인정보위가 이전 중지를 명할 수도 있다.
고 위원장은 "한국과 EU가 민간과 공공 전 영역에서 안전하고 자유로운 데이터 이전 체계를 마련한 만큼 앞으로 데이터 협력이 더욱 강화될 것"이라고 말했다.
한편, GPA는 세계 최대 규모의 개인정보 감독기구 협의체로 아시아에서는 2017년 홍콩에 이어 2번째로 서울에서 이날 개막했다.