데이터 3법이 시행됨에 따라 한국이 올해 상반기 내로 '유럽연합(EU) 일반개인정보보호법(GDPR) 적정성 평가(결정)'를 통과할 수 있을 전망이다.

29일 한국인터넷진흥원(KISA)이 "데이터 3법이 통과되어 개인정보보호 기관이 개인정보보호위원회로 일원화됨에 따라 EU GDPR 적정성 평가를 올해 상반기 통과할 것으로 기대된다"며 "한국 기업에 비관세장벽으로 작용하던 개인정보 역외이전 관련 규제 준수 부담을 국가 차원에서 해소해줄 수 있을 것"이라고 밝혔다.

이어 "코로나19로 인해 EU와 협의가 조금 지연되고 있지만, 코로나19만 진정되면 3개월 내로 GDPR 적정성 평가를 통과할 수 있을 것"이라고 전했다.

GDPR 적정성 평가란 EU가 상대국가 개인정보 보호 수준이 EU 기준에 합당한지 심사하는 제도다. 적정성을 인정받은 국가의 기업은 복잡한 절차를 거치지 않아도 EU에서 인터넷 정보 사업을 할 수 있고, EU에서 국내로 개인정보를 가져올 수 있다.

2018년 GDPR이 발효됨에 따라 EU에서 개인정보를 활용하는 국내 기업들은 2019년 7월 이후 GDPR 준수 의무가 생겼으나, 한국은 아직 국가 차원에서 GDPR 적정성 평가를 통과하지 못해 개별 기업이 적정성 평가를 받아야 할 어려움에 부닥쳤었다. 기업이 GDPR 내 규정을 위반하면 전 세계 연 매출 4%(최대) 또는 2000만 유로(약269억원)의 높은 벌금이 부과된다.

반면 일본은 2019년 초 국가 차원에서 GDPR 적정성 평가를 통과해 일본 기업들이 별도의 적정성 평가를 받지 않아도 EU에서 인터넷 사업을 진행할 수 있게 됐다.

KISA는 국내 중소 기업과 스타트업의 EU 시장 진출을 돕고자 GDPR에 대한 맞춤형 상담을 제공하고, 관련 교육 과정을 진행하는 등 GDPR 지원사업도 진행할 예정이다.

또한 KISA는 국내 인터넷 기업이 GDPR을 준수하며 EU에서 효율적으로 사업을 진행할 수 있도록 올해 내로 유럽 현지 연락사무소도 개설할 예정이다. 이를 통해 현지 기업 지원 역량을 강화하고, EU 규제 당국과 소통에 나선다. KISA 연락사무소가 개설되는 지역은 아직 미정이다.

KISA는 데이터 3법 통과에 따른 후속 조치로 개인정보 처리 가이드라인도 새로 제정한다. 이를 통해 데이터 경제 시대의 마중물로 여겨지는 데이터 3법의 입법 효과를 극대화한다는 계획이다.

KISA는 의료, 복지, 금융, 고용, 교육 등 산업 분야별 정보 특성을 고려한 개인정보 처리에 관한 42개 가이드라인을 개정하거나 통폐합하는 방안을 검토 중이다. 또한 법령 해설서를 통해 '가명정보'와 같이 데이터 3법으로 새로 도입된 개념이나 내용을 구체적 예시와 사례를 들어 설명할 계획이다.

구체적으로 KISA를 비롯한 관련 정부 부처들은 데이터 3법 구체화를 위해 시행령, 고시, 가이드라인, 법령 해설서 등을 마련하고 다음 주 중에 입법 예고할 계획이다. 시행령에는 △개인정보보호위원회 위원 겸직 금지 △기존 행정안전부·방송통신위원회 소관을 개인정보보호위원회로 변경 △가명정보 결합·반출·안전조치 기준 등의 내용이 담겼다.

오용석 KISA 개인정보정책단장은 "데이터 3법 시행 시기인 8월 5일에 맞춰 관련 시행령, 행정규칙, 가이드라인, 해설서 등을 함께 제공할 수 있도록 관련 절차를 밟고 있다"고 밝혔다.