[이코리아] 한국과 영국이 개인정보 보호 적정성 결정에 합의했다. 이로 인해 국내 기업들은 영국 시장에서 활로를 모색할 때 비용 절감 등 혜택을 받게 될 전망이다.

◇한국, 영국 개인정보 역외이전 ‘화이트리스트’ 오른다

개인정보보호위원회는 한국과 영국 당국이 개인정보 보호 적정성 결정에 합의했다고 6일 발표했다. 지난해 8월 영국이 한국·미국·호주·싱가포르·콜롬비아·두바이국제금융센터 등 6개국을 적정성 결정 우선 추진 대상으로 발표한 지 1년 만이다.

한국은 브렉시트 이후 영국으로부터 적정성 결정을 받는 최초의 국가다. 발효는 연내 영국 정부의 의사결정 절차를 거쳐 이뤄질 예정이다.

적정성 결정이란 양국의 개인정보 보호 법제가 동등한 수준임을 확인하는 화이트리스트 제도다. 영국을 비롯해 EU·일본·브라질 등도 운영 중이다.

적정성 결정이 발효되면 영국에 진출한 국내 기업은 현지 개인정보를 한국으로 이전할 때 별도의 표준 개인정보 보호 계약 등 승인절차를 면제받는다. 표준계약 비용은 건당 3000만 원 이상으로 알려져 있어, 기업들의 부담을 덜 수 있을 것으로 기대된다.

사업 확장의 기회가 될 가능성도 있다. 영국 기업도 한국 기업으로의 개인정보 이전이 자유로워지기 때문이다. 영국 기업이 한국 기업에 데이터 분석을 발주하는 상황을 예상할 수 있다.

양국은 개인정보 보호 적정성 결정에 따라 2조 원 규모의 무역을 지원할 수 있을 것이라고 평가했다.

한국과 영국 간 개인정보 보호 적정성 결정이 공식 채택될 경우, 한국은 유럽 전역에서 개인정보 국내 이전 시 혜택을 받게 된다. 한국과 유럽연합 간 적정성 결정이 지난해 12월부로 발효됐기 때문이다.

◇’제3국’으로 개인정보 옮긴다면 각국 법제 준수해야

영국과 유럽연합 개인정보 보호 적정성 결정 발효는 온라인플랫폼이나 게임업체들의 해외 활로 개척에 도움을 줄 수 있다. 다만 해외 법제는 계속해서 주시해야 한다. 적정성 결정은 합의 당사국들과만 유효하기 때문이다.

예를 들어 현재 국내 기업이 유럽연합에서 개인정보를 수집한 뒤, 한국으로 이전할 때는 표준계약을 면제받을 수 있다. 추가적인 보호 조치 없이 국내 개인정보보호법만 준수하면 되는 것이다. 내년부터는 영국도 마찬가지다. 

하지만 이렇게 수집한 개인정보를 한국이 아닌 제3국으로 이전할 때는 영국과 유럽연합 내 개인정보 주체에게 동의를 받아야 한다. 영국·유럽연합 당국의 승인도 거쳐야 한다.

또한 영국·유럽연합 지사가 아닌, 국내에 위치한 본사에서 직접 개인정보를 수집하는 것도 국내 이전으로 볼 수 없다. 이 경우 영국의 개인정보보호법과 유럽연합 GDPR(General Data Protection Regulation, 개인정보 보호 규정)을 반드시 준수해야 한다.

한편 한국과 영국은 개인정보 보호 적정성 결정뿐 아니라, 당국 간 협력을 위한 양해각서도 체결했다. 이를 통해 양측은 글로벌 기업을 감독할 때 관련 정보를 공유하게 됐다.