검색
LAW&스마트

GDPR 적정성 결정

169016.jpg

GDPR은 유럽연합에서 정한 개인정보보호법(General Data Protection Regulation)으로 유럽연합 회원국들에서 적용되는 매우 강력한 개인정보 보호 관련 규범이다. GDPR은 유럽 시민의 개인정보 보호를 위해 유럽연합의 역외로 개인정보가 이전(cross-border transfer)되는 경우 상당히 엄격한 제한을 가하고 있다. 적정성 결정(adequacy decision)의 의미는 우리나라가 유럽연합과 동등한 수준의 개인정보 보호 체계를 갖추고 있다는 점을 확인한다는 것이다.

 

우리나라 개인정보 법체계가 매우 엄격하다는데 왜 적정성 결정이 선언되지 않는지 의문이 있을 수도 있지만, 유럽연합 집행위원회의 적정성 검토 과정에서 제기된 여러 쟁점 중의 하나는 바로 개인정보 감독 체계의 문제였다. 과거 개인정보보호법상 감독 기관은 행정안전부인데, 행안부 자체가 주민등록번호를 포함한 많은 개인정보를 관리하는 기관이다 보니 감독관청의 독립성이 확보되지 않는다는 평가가 있었다. 이에 지난해 법 개정을 통하여 개인정보보호법의 최종적인 감독 주체로서 개인정보보호위원회의 위상과 독립성이 강화되었고, 유럽연합 집행위원회는 이러한 점들을 종합적으로 고려하여 적정성 신청을 한 지 4년 가까이 지난 3월 30일 preliminary adequacy decision을 선언하였다. 매우 환영할 만한 일이고, 법 체계의 개선을 통해 우리나라 개인정보 보호체계의 위상을 높인 좋은 사례라고 할 수 있다.

 

그동안 유럽연합 시민의 개인정보를 국내에서 처리하기 위해서는 정보주체로부터 명시적인 동의를 받거나 또는 SCC(Standard Contractual Clauses)라는 방식을 이용했는데, 후자의 경우 상당히 엄격한 수준의 사용 목적 제한과 보호조치 의무 등의 사항이 정해져 있어 그 준수에 상당한 부담이 있었던 점은 부인할 수 없는 일이었다. 한편, 신용과 관련한 정보의 이전에 대하여는 신용정보법을 관할하는 금융위원회의 독립성이 여전히 문제돼 이번 예비 적정성 결정 선언에는 제외된 것으로 전해졌다. 일반 개인정보만큼이나 신용정보의 국내 처리가 중요한 의미를 가지는 상황에서 아쉬운 점이 있기는 하나 이는 향후 신용정보법의 적용 범위와 일반법인 개인정보보호법 간의 체계 정합성 등의 고차방정식의 해법을 찾음에 있어서 또 하나의 고려요소가 될 것이다. 조속히 적정성 결정이 이뤄져 국내 기업의 해외 진출에 도움이 될 수 있기를 기대한다.

 

 

강태욱 변호사 (법무법인 태평양)

리걸에듀

관련 법조인