코트라 런던무역관 EU개인정보보호법 동향 리포트
정부추진 '적합성 인증' 지연 대비해 기업 스스로 대응 촉구

행정자치부 국내 기업의 해외 활동을 지원하기 위해 ‘유럽연합(EU) 개인정보보호 수준 적정성 평가’를 준비하고 있는 가운데, 기업들은 정부의 추진 계획만 바랄게 아니라 자발적으로 대책을 마련해야 한다는 지적이 유럽 현지에서 나와 주목된다.
한국무역투자진흥공사 런던무역관의 한 직원은 최근 EU의 정보보호법 제정 및 시행과 관련한 동향을 소개하며, EU내의 개인정보 역외 제공과 관련해 “한국은 정부 차원에서 국내 기준을 EU와 합치시키려 하고 있어, 많은 한국기업들이 국내 규제 환경이 정립되기를 기다리며 선제적 대응을 하지 않는 경우가 많으나, 현지 전문가들은 한-EU 정부간 교섭이 무산될 가능성을 지적하며 기업들이 자발적으로 규제준수 작업을 추진할 것을 권고하고 있다”고 밝혔다.
그는 또, “영국 등 EU 시장에 직접 진출하지 않은 기업이라도 온라인 특성상 EU시민 개인정보에 노출되는 것은 불가피하므로 GDPR(일반 정보보호 규정)발효 전 규제준수가 필요하다고 덧붙였다.
이에 앞서, 행정자치부는 지난해 말 국내 기업들이 EU에서의 영업활동을 원활히 할 수 있도록 ‘EU 개인정보보호수준 적정성 평가’ 신청 계획을 밝힌 바 있으며, 2017년 하반기 EU승인을 목표로 작업을 추진하고 있다. EU 회원국과 개인정보 역외 이전에 관한 계약을 체결하게 되면, 별도의 심사없이 정보를 역외로 반출할 수 있도록 있게 되고, 한국 기업들은 EU기업들과 동일 조건에서 영업활동을 할 수 있을 것이란 판단에서다.
하지만, 한국-EU간 입장이 다를 경우 행자부의 계획은 지연될 수 있고, 그렇게 되면 2년간의 유예기간이 있더라도 2017년부터 발효되는 새로운 법으로 인해 국내 기업들이 어려움에 봉착할 수 있다는 것이다.
런던무역관의 이 직원은 특히 “EU가 역외 이전을 인정하고 있는 국가는 스위스, 뉴질랜드, 이스라엘, 아르헨티나 등 제한적이므로 기업들은 자발적으로 EU의 GDPR대응 작업에 돌입하는 것이 리스크를 최소화할 수 있는 방법”이라고 소개했다.
EU가 지난해말 합의를 도출하고, 오는 2017년부터 발효되는 정보보호법은 매우 강도 높은 규제 수준을 담고 있다. 전세계 어느 곳에 소재한 기업이라도 EU 국민의 정보를 수집하면 이 법의 제재 대상으로 간주되고, 어길 경우 매출의 4%까지 벌금을 내도록 돼 있다.
이와 관련해, 행정자치부는 EU 개인정보보호 관련 기구들과의 의견교류 및 국내 법제에 대한 홍보가 필요하다고 보고, 오는 7월 EU측 개인정보보호 전문가들을 초청, 세미나를 가질 예정이다.
이와 함께 7월 싱가폴, 10월 모로코 등에서 열리는 각종 개인정보보호 국제 회의에 개인정보보호 전문가를 파견, 국내 개인정보보호 수준과 법제를 알려나가기로 했다. 하지만, 올해 안에 적정성 평가 인증을 신청할지 여부는 결정되지 않았다.

EU현지 보안제품 수요 늘어...시장 진출 기회
한편, 런던무역관의 이 직원은 EU가 개인정보보호 수준을 강화함에 따라 현지에서는 기업들이 대책을 마련하느라 분주한 모습을 보이고 있으며, 규제 준수를 위한 정보보호 관련 제품의 수요가 증가세에 있다고 밝혔다. 영국 영세기업가협회가 지난달 28일 GDPR에 대응에 관한 설문조사를 실시한 결과 영국 기업인들 가운데 34%는 규제준수를 위한 예산을 편성했으며, 12%는 올해 예산편성이 완료될 예정이다.
이 직원은 또, 이처럼 유럽 시장에서 보안제품 수요가 크게 늘어날 것으로 전망됨에 따라 데이터베이스 관리 소프트웨어, 서버설비 등 하드웨어 뿐만 아니리 전문인력의 확충도 예상되므로 이 시장에 적극 관심을 기울일 필요가 있다고 밝혔다.
박영하 자유기고가 (yhpark@nextdaily.co.kr)