언론보도

[디지털타임스] [알아봅시다] EU 개인정보보호지침 적정성 평가 어떻게 이뤄지나

작성자 최고관리자
작성일 17-12-28 | 438 | 0

본문

지난달 20일 오전(현지시간) 벨기에 브뤼셀 유럽연합 본부에서 이효성 방송통신위원장이 유럽연합 사법총국 담당 베라 요로바 집행위원과 개인정보보호와 양측 간 정보유통에 대한 상호 협력 강화를 위한 방안을 논의에 앞서 악수를 하고 있다. 연합뉴스


4단계로 추진… EU 집행위 제안 거쳐 전원회의서 최종 채택
일본보다 늦어… 맞춤형 대응으로 조속 추진키로
최대 12년 소요… 한국, 1년만에 통과 여부 주목
내년 GDPR 시행전 못 끝내면 6개월간 공백기간
방통위 "기업들 GDPR 관련 세부사항 대비해야" 

 


[알아봅시다] EU 개인정보보호지침 적정성 평가 어떻게 이뤄지나

지난달 유럽연합(EU)과 개인정보보호지침 '적정성 평가'를 내년 중 완료하기로 합의한 방송통신위원회가 평가 '통과'를 위해 노력을 집중하고 있습니다. 평가 대상·주무부처 변경 등 초반 시행착오로 '적정성 평가' 대응이 경쟁국 일본에 비해 늦은 만큼 정치·실무 등 모든 영역에 맞춤형 대응으로 조속한 통과를 이끌어낸다는 계획입니다.  

◇EU 적정성 평가란= EU 개인정보보호지침 적정성 평가란 한국 같은 역외 국가가 EU 개인정보보호지침과 같은 수준으로 개인정보보호 조치를 하는 지 여부를 평가하는 것입니다. 이 평가를 통과한 국가의 기업들은 EU 기업들과 같이 EU 시민의 개인정보를 국외로 이전해 활용할 수 있습니다. 적정성 평가의 기준은 1998년부터 시행 중인 EU 개인정보보호지침(디렉티브 95/46/EC)입니다. 

EU 적정성 평가 절차는 크게 4단계로 나뉘어 추진됩니다. 1단계 EU 집행위의 제안을 거쳐, 제29조 작업반 내 회원국의 정보보호 감독기관들과 정보보호감독관이 정밀 심사를 진행합니다. 제29조 작업반이란 EU 데이터보호 지침(95/46/EC) 제29조에 근거해 설립된 자문기구입니다. 유럽 회원국 내 정보보호감독기관과 유럽기관을 감독하는 EDPS 위원으로 구성됩니다. 제29조 작업반의 의견 발표 후 EU 지침 31조에 의거한 31조 위원회는 적정성 평가 부문을 재차 심의, 승인하게 됩니다. 이후 최종적으로 EU 장관급 28명의 커미셔너가 전원회의를 통해 '한국의 정보통신망법에 대한 적정성 평가를 승인한다'는 결정이 나오면 적정성 평가는 최종 통과됩니다. 

정부에 따르면 통상 '적정성 평가'의 4단계의 절차는 빠르면 2년에서 최대 12년이 걸린다고 합니다. 이에 산업계는 1년 남짓한 짧은 시간 동안 우리 정부가 'EU 적정성 평가'를 어떻게 대비해 통과할 수 있을지 주목하고 있습니다. 

◇'적정성 평가' 실무·정치 투트랙 전략 필요= 방통위에 따르면 위원회 소속 개인정보보호협력팀은 EU 적정성 평가와 관련, 월 1∼2회 브루노 젠카렐리 EU 사법총국 인터내셔널 데이터 플로&프로텍션과장 및 직원과 화상회의를 갖고 실무협의를 하고 있습니다. 

방통위 관계자는 "화상회의를 통해 방통위의 독립성 등 EU 사법총국에서 요구하는 자료를 정리해서 맞추는 등 상호 소통해서 평가 업무를 진행하고 있다"며 "내년 '적정성 평가' 통과에 서로 합의했기 때문에 속도는 더 빨라질 것으로 본다"고 말했습니다. 방통위는 올해 1월 10일 EU 집행위원회의 연락문서를 받고 2월 이용자정책국 산하에 개인정보보호협력팀을 신설, 정보통신망법에 대한 EU 부분 적정성 평가를 업무를 전담하고 있습니다. 개인정보보호협력팀은 적정성 평가를 전담하는 EU 사법총국 집행위원의 학력과 경력, 실무 과장의 이력, 사법총국의 조직도에 이르기까지 모든 정보를 취합하며 실무 업무에 대응하고 있습니다. 

정치적 영역에선 평창올림픽 이후 장 클로드 융커 EU 집행위원장과 문재인 대통령의 정상회담을 통해 적정성 평가 의제가 상정될 가능성도 제기됩니다. 실제 올해 1월 EU 집행위원회로부터 함께 연락문서를 받은 일본의 경우 3월과 7월 아베 총리가 직접 EU로 건너가 3월 13일, 7월 6일 두 차례에 걸쳐 공동 성명을 발표한 바 있습니다. 성명에서 일본은 EU의 적정성 평가 통과를 내년 초까지 진행키로 합의했습니다. 당시 한국에도 EU의 제의가 있었지만, 대통령 선거와 이에 따른 후임 내각 인선 등으로 인해 지난달 이 위원장이 베라 요로바 EU 사법총국 집행위원을 만날 수 있었습니다.

◇GDPR 시행 전까지 적정성 평가 못 끝내면= 물론 내년 5월25일 EU 일반개인정보호규정(GDPR) 발효 후 EU 적정성 평가를 완료하지 못할 가능성도 있습니다. 하지만 정부에선 6개월간의 공백 기간이 발생하더라도 국내 기업엔 당장 직격탄을 주진 않을 것으로 보고 있습니다. GDPR 법률 제정 목적 자체가 우리나라에 페널티를 주겠다는 의도로 제정된 게 아닌, EU 시민의 개인정보보호를 강화하고자 만든 법률이기 때문입니다. GDPR 법률상으로도 EU 시민의 개인정보 '역외이전권'만 면제를 받을 뿐 기타 세부사항은 각 기업이 별도로 대비해야 합니다. 

방통위 관계자는 "GDPR은 지금까지 통일된 개인정보보호 규범이 없던 EU 회원국에 같은 규정을 제정, EU 내부의 행정, 분쟁절차를 간소화해 EU를 디지털 부문에서 단일 시장으로 만드는 목적으로 추진되는 법령"이라며 "법 자체가 한국기업에 타격을 주기 위한 목표로 제정되는 게 아니지만 각 기업은 개인정보 이전권 외에도 '잊힐 권리' 등 GDPR과 관련한 세부사항을 별도로 대비해야 한다"고 말했습니다. 
 

댓글목록 0

등록된 댓글이 없습니다.