[디지털데일리 이종현기자] 올해 8월 데이터3법(개인정보보호법·신용정보법·정보통신망법) 개정안 시행을 앞두고 유럽연합(EU) 일반개인정보보호법(GDPR) 적정성 평가 심사에 박차를 가하고 있다. 이르면 상반기 내 적정성 결정을 받을 전망이다. 하지만 코로나19가 변수다.

EU는 GDPR로 EU 차원의 통일된 법제 및 집행체계를 마련했다. GDPR은 정보주체의 권리 및 사업자 의무 강화를 골자로 한다. 위반 시 최대 전 세계 연간 매출액의 4% 또는 2000만유로(한화로 약 269억원)의 과징금을 부과하는 등 개인정보처리자인 기업의 책임을 강화한 것이 특징이다.

EU 내에서 사업을 하는 기업이 EU에서 수집한 개인정보를 역외로 이전해 활용하려면 까다로운 심사 절차를 거쳐야 한다. 최소 1억원 이상의 비용이 소요되는 데다 이를 위한 시간도 필요하다. 한국 특정 기업의 경우 GDPR을 위한 컨설팅 비용 등으로만 40억원가량의 예산을 사용한 사례도 있다.

한국과 EU의 개인정보보호 수준이 동등하다고 평가되는 ‘적정성 결정’을 받는다면 이런 절차는 생략된다. 적정성 결정으로 국내 기업의 부담이 줄어듬으로써 국내 정보통신기술(ICT) 기업의 EU 수출길이 열리게 되는 셈이다.

기존 한국은 개인정보보호를 감독하는 기관의 독립성이 부족하다는 이유로 적정성 결정을 받지 못했고, 이는 데이터3법 통과의 주요 동력이 됐다. 개정된 데이터3법에서는 감독기구인 개인정보보호위원회의 권한을 대폭 늘리고 독립기구로 격상했다.

오용석 한국인터넷진흥원(KISA) 개인정보정책단장은 27일 개최한 온라인기자간담회를 통해 “현재 EU 적정성 평가는 EU 집행위와 KISA 등에서 상당 부분 검토됐다. 조만간 초기 결정을 받게 될 것”이라며 “일본의 경우 지난해 1월 적정성 초기 결정을 받고 약 6개월이 소요됐는데 우리나라는 EU 집행위 차원에서 일본보다 빠를 것이라고 전했다”고 설명했다.

하지만 코로나19가 변수다. 국내에서 먼저 번졌던 코로나19가 이제는 유럽에서 맹위를 떨치고 있다. 오 단장은 “당초 상반기 내 적정성 결정이 완료될 것으로 예상됐으나 코로나19로 협상이 지연되고 있다”며 “코로나19 사태가 진정되면 3개월 이내 협상이 완료될 것으로 보인다”고 말했다.

한편 KISA는 ▲중소·영세기업을 위한 무료 컨설팅 ▲자가진단·동향자료의 GDPR 홈페이지 ▲전화·이메일 수시상담 ▲국내 및 EU 현지 실무교육 ▲EU 현지 진출 기업 위한 협력채널 운영 등 국내 기업의 EU 진출을 지원하는 GDPR 준수 지원사업도 진행한다.

<이종현 기자>bell@ddaily.co.kr