최근 우리나라가 유럽연합(EU)의 일반개인정보보호법(GDPR) 적정성 평가 초기결정 단계를 통과했지만, 기업 입장에선 일부 부담이 줄어든 것일 뿐 여전히 GDPR 준수 의무에 유의해야 한다는 지적이 나왔다. 한국인터넷진흥원(KISA)은 25일 이번 EU GDPR 적정성 평가와 관련, "역외이전 관련 의무 부담만 경감된 것"이라며 "전반적인 일반개인정보보호법(GDPR) 준수 의무가 없어지는 것은 아니다"라고 밝혔다.
적정성 평가는 EU가 GDPR을 기준으로 역외 국가의 개인정보보호 수준을 평가하는 제도다.
올해 안에 적정성 최종결정이 내려지면 한국은 EU의 개인정보를 국내로 이전할 때 EU 회원국에 준하는 지위를 부여받으며, EU 진출 한국기업들도 표준계약 등 기존에 거쳐야 했던 까다로운 절차를 면제받게 된다. 이에 대해 KISA는 국내 기업이 EU에서 수집한 개인정보를 역외로 이전할 때 표준계약 등과 같은 추가적인 보호 조치 없이 처리할 수 있게 된 것이지 정보 주체 권리 보장을 위한 기업의 책임 의무는 여전히 준수 대상이라고 강조했다.
금융기관이 보유한 개인 신용정보의 역외이전은 이전과 동일하게 표준계약을 체결해야 한다고 밝혔다.
구글의 경우 2019년 프랑스에서 GDPR을 위반해 약 664억원의 과징금을 물었다. KISA는 "한국의 산업과 서비스 신뢰도 제고를 위해 역외이전에 대한 절차가 간소화 된만큼 관련 법제의 법률 준수 및 개인정보 보호 수준을 더욱 견고히 유지할 필요가 있다"고 덧붙였다.