[개인정보보호 이슈] 글로벌 성장을 꿈꾸는 기업을 위한 GDPR 개념 정리

안녕하세요. 황컴플라이언스 입니다.

[개인정보보호 이슈] 글로벌 성장을 꿈꾸는 기업을 위한 GDPR 개념 정리

해외 진출할 때 개인정보는 어쩌지? GDPR 알아보기

• 해외로 진출을 꿈꾸는 서비스라면 GDPR에 대해 들어본 적 있으실 겁니다. GDPR은 EU(유럽연합)의 개인정보보호법을 의미합니다. 우리나라 개인정보보호법도 어렵게 느껴지는데, 유럽의 개인정보보호법까지 어떻게 대비해야 할지 걱정하는 곳이 많더라고요.
• 하지만 2021년 12월 17일, GDPR 적정성 결정으로 한층 대비가 수월해졌습니다. GDPR 적정성 결정은 다른 국가의 개인정보보호법 법령이 GDPR 수준의 개인정보보호를 보장한다는 것을 인정받았음을 의미합니다.
• 즉, 한국의 개인정보보호 법제가 EU 회원국과 동등한 수준으로 유럽과의 법적 우위를 나란히 하게 되었기 때문에 미리 알고 준비한다면 사장 진출이 어렵지 않습니다.
• 글로벌 서비스로 도약하기 위해 꼭 알아야 하는 개념, GDPR에 대해 알아보겠습니다.

---

Check

1. GDPR이란?
2. 적정성 결정이란?
3. GDPR 적정성 결정을 통해 달라진 것

---

1. GDPR이란?

• GDPR(General Data Protection Regulation)이란, 2018년 5월 25일부터 시행되고 있는 EU(유럽연합)의 개인정보보호 법령입니다.
• 개인정보는 각 나라의 법령에 그대로 따라 과징금 등 행정 처분 부과의 기준을 삼습니다. 따라서, GDPR이 적용되는 대상에 포함되는지 반드시 짚고 넘거가야 합니다. GDPR의 적용 대상 및 범위는 아래와 같습니다.

적용 대상 및 범위

• EU 내에 사업장을 운영하며 개인정보를 처리
• EU 거주자에게 재화나 서비스를 제공
• EU 거주자의 EU 내 행동 모니터링

EU 내 사업장이 없더라도, EU 거주자를 대상으로 사업을 하는 경우 GDPR의 적용 대상이 됩니다.

제정 과정

• 2016년 5월 27일 채택, 2018년 5월 25일 시행 (2년의 유예)
• 모든 EU 회원국에 직접적으로 적용됨
• 회원국 간 통일된 법 적용 및 관련 규제 가능
• 총11장, 173개 전문, 99개의 본문으로 구성
• 정보주체의 권리 확대 : ① 동의 요건 강화, ② 데이터 이동권·잊힐 권리 등 도입

기업의 책임성 강화

1. DPO 지정
2. 개인정보 영향평가(DPIA)
3. Data Protection By Design and by Default
4. 처리 활동의 기록
5. 기술적, 관리적 보호조치
6. 개인정보 유출통지 신고제 등 도입

제정 과정에서 알 수 있듯이 GDPR은 기업의 개인정보보호에 대한 책임을 강화하고, 정보주체의 권리를 강화하기 위해 제정된 법률입니다.

기존에는 한국 기업이 EU에 진출하게 될 경우 EU의 법률을 준수해야 하는 부담을 안고 있었습니다.

2021년 12월 GDPR 적정성 결정 이후, GDPR에 근거하는 대한민국의 법규를 준수한다면 EU 시민들의 개인정보를 EU의 역외로 이전할 수 있게 되었습니다.

한국 기업이 EU 시민들의 개인정보를 유럽연합(EU)의 역외로 이전하기 위한 GDPR 법적 근거(GDPR 제5장, 제44조-제49조)

• 적정성 결정에 따른 이전(Transfer on the basis of an adequacy decision) (제45조)
• 적절한 보호조치(Appropriate safeguards)에 의한 이전 (제46조)
• 특정 상황에 대한 예외 (제49조 제1항)

---

2. GDPR 적정성 결정이란?

그렇다면, GDPR 적정성 결정이란 과연 무엇일까요?

GDPR 적정성 결정(Adequacy Decision)이란, EU의 집행위원회가 EU 유럽연합이 아닌 타 국가의 개인정보보호 법령도 GDPR 수준으로 개인정보를 보호하고 있다고 보장하는 것을 의미합니다.

이 결정은 3단계에 걸쳐서 진행되는데, 선정되지가 쉽지 않습니다.

• 1단계 : EU 집행위원회(European Commission)에서 초기 결정 채택을 공식화
• 2단계 : 결정서 초안 발표 및 EU 정보보호이사회의 의견을 수렴, 집행위 담당과 회원국 대표 간 협의 절차(커미톨로지 - Comitology) 진행
• 3단계 : EU 집행위원회 전원의 회의를 거쳐 최종적으로 적정성 결정 여부 채택

우리나라는 2017년 1월부터 GDPR 적정성 채택을 위한 논의를 시작했고, 만 5년 만의 노력 끝에 2021년 드디어 결실을 보게 되었습니다. 이는 영국, 일본 다음으로 우리나라 세번째로 GDPR 적정성 선정을 받게 된 것입니다.

---

3. GDPR 적정성 결정을 통해 달라진 점?

• 그렇다면 적정성 결정을 통해 무엇이 달라졌을까요?
• 우리나라의 법을 적용받는 기업과 단체들이 EU에 속한 다른 국가들과 마찬가지로 별도의 절차 없이도 EU 시민들의 개인정보를 이전받아 처리할 수 있게 되었습니다.
• 한국이 EU 회원국에 준하는 지위를 부여받게 됨에 따라, 우리나라 기업이 EU 시민들의 개인정보를 역외로 이전하게 될 경우 기존에 필요했던 표준계약 등의 까다로운 절차가 면제되었습니다.
• 즉, 기업이 개별적으로 대응할 필요 없이 안정적으로 유럽연합 시민들의 개인정보 데이터를 한국으로 이전할 수 있게 된 것입니다.

GDPR 적정성 결정 발효의 결과

• 한국이 개인정보 국외 이전에 있어 EU 회원국에 준하는 지위 부여
• 개인정보 국외 이전을 하는 한국 기업의 경우 표준계약 등 기존의 까다로운 절차 면제
• 한국 기업들의 EU 진출 확장 가능
• EU 진출을 위해 개인정보보호에 들여야 했던 시간 및 비용 대폭 절감
• 한국 - EU 간 데이터 교류·협력 강화 가능

다만, 아직 모든 영역이 통과된 것은 아닙니다. 국내 기업 중 신용정보법에 의거하여 금융위원회가 감독하는 영역은 2021년 GDPR 적정성 결정 영역에서 제외되었습니다.

• 금융기권들은 계속해서 EU GDPR의 표준개인정보보호조항(Standard Contractual Clauses, SCCs)을 지켜야 합니다.
• EU 시민의 신용정보는 한국으로 이전이 불가하다는 적정성 결정이 내려졌기 때문에, 현재의 SCCs 기반 계약을 통해 EU 시민의 개인정보를 한국으로 이전하고 있는 금융기관들은 계속해서 SCCs를 준수해야 합니다. 따라서 3년 뒤 재협상 과정에서 GDPR 적정성 결정에 금융 분야를 포함하는 것에 대한 논의가 추가로 이루어져야 하는 상황입니다.