[비즈니스포스트] 고학수 개인정보보호위원회 위원장은 16일 글로벌 프라이버시 총회(GPA)에 참석하기 위해 방한 중인 마이클 맥그라스 유럽연합(EU) 민주주의·사법·법치 및 소비자 보호 담당 집행위원과 공동 언론발표문을 통해 이날부터 국내 기업이나 공공기관이 직원이나 고객 등의 개인정보를 EU에 있는 지사나 다른 기업 등에 이전하는 것이 본인 동의 등의 추가적 요건 없이 가능해진다고 밝혔다.

개인정보 이전에는 △제공하는 경우 △조회가 가능하도록 하는 경우 △처리를 위탁하는 경우 △EU지역에 소재한 클라우드에 보관하는 경우 등이 모두 해당한다.
 
이번 조치는 개인정보보호위원회가 EU의 개인정보 보호 수준이 우리나라와 실질적으로 같은 수준이라고 인정한, 이른바 ‘동등성 인정’을 한 결과이다.

2023년 9월 개인정보 보호법을 개정해 동등성 인정 제도를 도입한 이후, EU가 그 첫 번째 인정 대상이 됐다.

이에 따라 2021년 12월 EU 지역에서 우리나라로 개인정보의 자유로운 이전을 허용한 EU의 적정성 결정과 함께 한국과 EU 양 방향으로 개인정보가 자유롭게 이전될 수 있는 체계를 갖추게 됐다.

이번 동등성 인정에 따라 민간‧공공의 개인정보처리자는 EU 개인정보 보호법(GDPR)을 적용받는 EU 역내 국가 27개국과 유럽경제지역(EEA)에 포함되는 3개국(노르웨이, 리히텐슈타인, 아이슬란드) 등 총 30개국에 추가적 요건 없이 개인정보를 이전할 수 있다. 

다만 이번 동등성 인정은 주민등록번호와 개인신용정보의 이전에 관해서는 영향을 미치지 않는다.

이번 동등성 인정은 고시되는 16일부터 3년이 되는 날인 2028년 9월15일로부터 3개월 전에 재검토를 시작해 검토 결과 동등한 수준이 유지되지 않는다고 판단되면, 동등성 인정의 변경이나 취소가 가능하다. 

또한, 이전된 개인정보가 적절하게 보호되지 않아 정보주체의 피해가 발생하거나 발생 우려가 현저한 경우에는 개인정보위가 개인정보 이전의 중지를 명할 수 있다.

고 위원장은 “한국과 EU는 민간과 공공 전 영역에서 안전하고 자유로운 데이터 이전 체계가 갖추어진 만큼 앞으로 양측의 데이터협력이 더욱 강화될 것”이라며 “앞으로도 개인정보위는 글로벌 맥락에서 개인정보가 포함된 데이터의 이전 질서 형성에 주도적 역할을 할 것”이라고 말했다. 조승리 기자