2021. 3. 30. 개인정보보호위원회 위원장과 EU 집행위 사법총국 커미셔너는 한국의 개인정보보호 법체계가 EU 일반 개인정보보호법(EU GDPR)과 동등한 수준임(적정성)이 확인되었다는 공동언론발표를 하였습니다.   

한-EU는 지난 4년여 기간 동안 한국의 개인정보보호법 등 관련 법제 및 정부기관별 소관업무 등에 대한 심층적인 검토를 거쳐왔으며, 위와 같은 공동언론발표 직후, EU 집행위는 의사결정절차에 착수하여 상반기 또는 늦어도 올해 하반기에는 이번 결정을 발효할 예정입니다. 보다 구체적으로, EU 집행위원회에서 초기결정을 공개하고(현단계), EU 정보보호이사회의 의견 수렴·반영절차, EU 집행위원회와 EU 회원국 대표간 협의절차(커미톨로지), EU 의회 의견 제시를 거쳐 EU 집행위원전원회의 의결로 최종결정이 진행되게 됩니다.

이번 적정성 결정을 통해, 국내 기업은 특정한 허가나 표준계약조항(Standard Contractual Clauses), 구속력 있는 기업 규칙(Binding Corporate Rules) 등과 같은 추가적인 안전장치를 마련하지 않아도 EU 개인정보를 국내로 이전하는 것이 가능하게 됩니다. 다만, 본 적정성 결정은 개인정보의 EU 역외이전(transfer) 메커니즘에 대한 것이므로, 예컨대, EU의 개인정보를 직접 수집하는 기업이 컨트롤러(Controller)로서 지켜야 하는 EU GDPR상의 의무 등은 여전히 준수할 필요가 있습니다. 따라서 개인정보를 수집 등 처리하는 경우 동의 여부를 비롯한 GDPR이 정한 각종 처리의 적법 근거를 세심하게 확인할 필요가 있고 처리에 수반되는 보안 등의 조치도 취할 필요가 있습니다.  

한편, 이번 적정성 결정은 민간 분야(commercial operators)와 공공 분야(public sector)를 모두 적용대상에 포함시키고 있으나, 개인정보보호 독립감독기구인 개인정보보호위원회가 감독하는 영역을 대상으로 함에 따라, 금융위원회가 감독하는 개인금융정보의 이전은 적정성 결정에서 제외되었습니다. 적정성 결정은 4년마다 정기적으로 심사가 이루어지게 되므로 다음 심사 시에 적용 범위 등이 조정될 지 여부는 추이를 지켜볼 필요가 있겠습니다.  

[영문] EU Grants Adequacy Decision to Korea