KISA “300개 기업 GDPR 부담 덜 것…한국형 적정성 도입도 검토”

이후섭 기자I 2021.04.25 12:10:45

GDPR 누적과징금 3600억 넘어…법률검토 등 비용 부담
적정성 발효되면 300개 기업 부담 줄어…법적 불확실성도 해소
KISA, 무료 컨설팅 대상 확대…美 CCPA도 대응 지원

윤재석 한국인터넷진흥원(KISA) 개인정보협력팀장이 올해 KISA의 해외 개인정보 관련 법률 준수 지원사업 계획에 대해 설명하고 있다.(사진=화면 캡처)
[이데일리 이후섭 기자] 한국인터넷진흥원(KISA)은 연내 유럽연합(EU)의 일반개인정보보호법(GDPR) 적정성 결정이 이뤄지면 국내 기업이 EU의 개인정보를 가져오는 데 필요한 시간과 비용을 대폭 줄일 수 있을 것으로 기대했다. 이후에는 EU와의 상호 적정성, 제3국 적정성 결정 추진도 가능할 것으로 내다봤다.

◇GDPR 누적과징금 3600억 넘어…법률검토 등 비용 부담

25일 KISA에 따르면 지난 2018년 EU 27개 회원국에 적용된 GDPR 시행 이후 누적 과징금은 총 2억7287만유로(약 3628억원)로 집계됐다. GDPR은 중대위반의 경우 해당 기업의 전세계 매출의 4% 또는 2000만유로의 과징금을 부과할 수 있게 규정하고 있다. 지난 2019년 1월 프랑스가 구글에 부과한 5000만유로(약 664억원)가 가장 많은 규모의 과징금이었으며, 독일과 이탈리아는 H&M과 TIM에 각각 3500만유로(약 465억원), 2780만유로(약 369억원)를 부과했다.

아직까지 우리나라 기업이 개인정보 관련 EU 감독기구의 조사를 받고 과징금 부 행정처분을 받은 사례는 없는 것으로 파악되고 있다. 다만 국내 기업들은 정부차원의 지원이 없어 사업자 스스로 표준계약조항(SCC)을 통해 개인정보를 국내로 이전했는데, 이를 위한 법률검토, 현지 실사, 행정절차 등으로 인해 3개월에서 1년 정도의 기간과 프로젝트별 1억~2억원의 비용이 소요됐다.

◇적정성 발효되면 300개 기업 부담 줄어…법적 불확실성도 해소

지난 3월 개인정보보호위원회는 EU 집행위원회가 EU GDPR 초기결정 채택을 공식 발표했고, 연내 최종 결정이 발효될 것으로 내다보고 있다. EU 집행위는 초기결정 발표 직후 27개 회원국의 의견수렴 절차에 착수했고, 이를 거쳐 EU 집행위 국무회의에서 최종 의결된다.

정수연 KISA 개인정보협력팀 책임은 “300개가 넘는 유럽 진출기업 중 현지 직원들의 개인정보 관리 문제로 인해 GDPR에 대해 문의하는 경우가 많다”며 “적정성 결정이 발효되면 기존 SCC 계약서 갱신, 연장, 재계약 등이 블필요해져 개별 사업자가 들였던 인력과 비용을 절감할 수 있을 것이다. 법적 불확실성이 해소돼 SCC에 의해 커버되지 않는 사각지대도 없어질 것”이라고 내다봤다.

다만 정 책임은 적정성 결정은 EU에서 개인정보를 가져오는 것에 한해 의무 부담이 줄어드는 것이지, 전반적인 GDPR 컴플라이언스 의무 자체가 없어지는 것은 아니라고 강조했다.

이번 적정성 결정은 EU의 개인정보를 가져오는 일방향에만 해당하며, 현행 개인정보보호법에는 기업이 수집한 개인정보에 대해 동의 없이 해외로 나가는 것을 제한하고 있다. 국내 개인정보를 해외로 이전하기 위해 동의 외에도 다양한 법적 근거가 필요하다는 기업들의 수요가 높아 개인정보보호법을 개정할 필요가 있다는 진단이다.

정 책임은 “개인정보보호법 개정안에 개인정보 역외이전 관련 다양한 근거를 마련하기 위해 검토 중”이라며 “한국형 적정성 결정을 도입해 EU와의 상호 적정성, 제3국과 적정성 결정도 추진 가능할 것”이라고 강조했다.

◇KISA, 무료 컨설팅 대상 확대…美 CCPA도 대응 지원

KISA는 현재 GDPR 대응 지원센터를 오픈해 운영하고 있다. 자가진단도구를 통해 기업이 GDPR 규정을 잘 준수하고 있는지 여부를 확인할 수 있으며, GDPR 가이드북을 만들어 북콘서트도 열었다. 지난해 15개 중소·영세기업을 대상으로 컨설팅을 실시했고, 수시로 전화와 이메일을 통해 해외 법률상담도 258건이나 진행했다.

올해에는 해외 개인정보 관련 법제정보 대상 국가를 기존 36개국에서 40개국으로 늘리며, 컨설팅 대상도 중소·영세기업엑서 중격기업으로 확대할 방침이다. 컨설팅은 GDPR 뿐만 아니라 미국 캘리포니아 프라이버시보호법(CCPA)에도 대응할 수 있도록 무료로 지원한다.

윤재석 KISA 개인정보협력팀장은 “무역규모, 입법현황 등을 종합적으로 고려해 동남아시아를 우선적으로 법제정보 대상 범위를 늘려나갈 것”이라며 “유럽 내 국내 기업이 가장 많이 진출한 독일에 현지 협력채널도 하반기에 마련할 계획”이라고 말했다.

주요 뉴스

ⓒ종합 경제정보 미디어 이데일리 - 상업적 무단전재 & 재배포 금지