국내 기업과 공공기관이 임직원 및 이용고객의 개인정보를 유럽연합(EU) 지역으로 이전할 때 본인의 별도 동의나 추가 절차 없이도 가능해졌다. 개인정보보호위원회가 EU를 대상으로 첫 번째 '동등성 인정' 결정을 내리면서다.

고학수 개인정보위원장은 16일 서울에서 개최된 글로벌 프라이버시 총회에서 마이클 맥그라스 EU 민주주의·사법·법치·소비자 보호 담당 집행위원과 공동 발표를 통해 이같은 내용을 공개했다. 작년 9월 개인정보보호법 개정을 통해 동등성 인정 제도가 신설된 이후 첫 적용 사례다.

이번 결정으로 2021년 EU가 한국에 대해 내린 적정성 결정과 함께 한-EU 간 쌍방향 개인정보 이전 시스템이 완성됐다. 그동안 EU에서 한국으로의 정보 이동만 자유로웠던 일방향 구조에서 벗어나 양국 간 균형잡힌 데이터 흐름 체계를 갖추게 된 것이다.

새로운 체계 하에서 한국의 개인정보처리자들은 EU 일반개인정보보호법(GDPR) 적용 대상인 27개 EU 회원국과 유럽경제지역 3개국을 포함한 총 30개 국가에 별도 요건 충족 없이 개인정보를 이전할 수 있다. 정보 제공, 조회 허용, 처리 위탁, 클라우드 저장 등 다양한 형태의 이전이 모두 해당된다.

개인정보위는 법률전문가로 구성된 동등성 태스크포스, 산업계·시민단체가 참여한 국외이전전문위원회, 11차례의 한-EU 실무협의 등을 거쳐 EU의 보호체계와 감독시스템, 권리구제 절차 등을 종합적으로 검토했다고 밝혔다. 그 결과 EU가 GDPR을 통해 독립적 감독기구를 운영하고 정보주체 권리보장 체계를 구축했음을 확인했다고 설명했다.

EU 역내에서 개인정보 침해사고가 발생할 경우 정보주체는 해당 회원국에 직접 조사와 처분을 신청할 수 있으며, 필요시 개인정보위가 유럽집행위원회나 유럽개인정보보호이사회를 통해 대리 요청할 수 있도록 협의했다.

한국인터넷진흥원은 이전 보고서에서 이번 동등성 인정으로 무역규모가 최대 329억 달러 늘어날 가능성이 있으며, 장기적으로는 최대 0.326%의 생산증가 효과와 0.274%의 후생개선 효과를 기대할 수 있다고 전망했다.

이번 인정은 고시일인 16일부터 효력이 시작되며, 2028년 9월부터 3개월 전에 재평가를 실시한다. 보호수준이 유지되지 않는다고 판단될 경우 인정 변경이나 취소가 가능하고, 이전된 정보가 적절히 보호되지 않아 피해가 우려될 때는 이전 중단 명령을 내릴 수 있다. 단, 주민등록번호와 개인신용정보 이전은 이번 인정 범위에서 제외됐다.

고 위원장은 "한국과 EU가 민간 및 공공 전 분야에서 안전하면서도 자유로운 데이터 이전 기반을 마련한 만큼 향후 데이터 협력이 한층 강화될 것"이라고 말했다.