EU2018525일부터 개인정보 처리와 이동에 관한 일반개인정보보호법(General Data Protection Regulation: 이하 GDPR)” 시행

GDPREU 회원국 모두에게 동일하게 적용되는 개인정보보호 일반법으로서, 우리나라의 개인정보보호법과 유사한 성격을 가짐.

GDPR4차산업혁명 시대의 새로운 규제 패러다임을 제시, 한국을 비롯한 각국 개인정보 보호법제의 벤치마크가 될 전망

 

GDPR은 기업 규제환경의 큰 변화를 초래하여, EU 역내 투자기업은 물론, EU 거주민을 대상으로 하는 다양한 기업 활동에 영향

(넓은 지리적 적용범위) EU 역내에서 거점(establishment)을 운영하면서 그 활동이 개인정보의 처리를 포함하는 경우는 물론, 역외에 위치하면서 EU 거주 정보주체에게 재화·서비스 제공하는 경우에도 적용

- 또한 역외 이전된 정보를 제3국으로 다시 이전하여 처리할 경우에도 적용

(개인정보 범위의 확대) IP 주소, 쿠키, RFID(radio frequency identification tags), 위치정보 등도 개인정보로 간주되며, 민감 개인정보를 특별한 유형(special categories)의 개인정보로 정의하고, 유전정보와 바이오정보 등을 포함

(개인정보 국외이전 메커니즘) 정보주체의 동의 이외에, 적정성 평가(Adequacy Decision) 또는 구속력 있는 기업규칙(Binding Corporate Rules), 표준계약서(Standard Contractual Clauses), 인증(Certificate) 등을 통한 국외 이전 가능

- 한국은 EU로부터 적정한 개인정보 보호조치를 운영하는 것으로 인정받기 위해 적정성 평가(adequacy decision)를 진행 중

- BCR은 기업 내부 이전시 활용, 표준계약조항은 EU 집행위가 제시한 규정에 준함.

그 밖에 정보주체의 권리와 프로세서의 의무 강화, 기업의 DPO(Data Protection Officer)* 임명 의무와 책임성 강화 등 새로운 규정 도입

- DPO는 기업 내의 GDPR 등 정보보호 법규 이행상황을 모니터링하는 등의 업무 수행


GDPR은 통합된 EU 디지털시장을 창출하는 데 기여할 전망이나, 장벽요인으로 작용하여 기업 활동에 부정적 영향을 줄 가능성 내포

역내 규제 조화를 통해 시장을 확대하고, 혁신을 촉진할 것으로 기대

그러나 기업들이 당분간 상당한 적응비용을 부담하고, 불확실성에 직면

- 개인정보 활용 제약에 따른 역내 투자기업의 비즈니스 혁신 둔화 가능성

- EU 역내기업이 불확실성을 우려하여 서비스 조달처를 역내로 전환하거나 데이터 분석 업무를 직접 수행할 경우, 역외기업의 수출·투자에 부정적 영향

우리나라의 EU 무역투자 특성상 GDPR에 상당한 영향을 받을 전망

- 우리 기업과 스타트업의 최근 EU 진출은 데이터 혁신과 직간접적으로 연계된 전자·전기, 소비재, 통신업, 정보서비스업 등이 중심