▶ 2018년 5월 25일 EU의 개인정보보호법(GDPR: General Data Protection Regulation)이 발효 - EU GDPR은 디지털 단일시장전략을 통해 공동의 혁신기반을 구축하고, 회원국 간 자유로운 정보이동을 장려하고 개인정보주체자의 권리 및 책임자의 의무를 강화하는 데 목적이 있음. ▶ 정보의 중요성이 점차 강조되는 디지털 경제에서 EU GDPR은 개인정보보호에 관한 선도적인 규제안을 제시 - [적용대상 범위 확대] 기존에는 EU에 사업장을 운영하며 개인정보 처리를 수반하는 경우로 제한되었으나, GDPR에서는 EU 밖에서 ① EU에 있는 정보주체에게 재화나 서비스를 제공하거나, ② EU 내에 있는 정보주체의 활동을 모니터링하는 경우로 확대됨(제3조). - [정보주체 권리 강화] 정보사회의 발전에 대응하여 EU 지침(Directive 95/46/EC)에는 없던 삭제권(잊혀질 권리), 처리제한권, 정보이전권이 새롭게 도입되어 정보주체의 권리가 강화됨. - [컨트롤러와 프로세서의 책임 강화] GDPR은 개인정보보호와 관련하여 컨트롤러와 프로세서의 책임을 강화하기 위해 개인정보 처리 활동을 서면으로 관리·보관해야 함. - [개인정보의 역외이전] EU 역외로 개인정보를 이전하는 경우, GDPR은 ① 제3국이 적정성 결정 승인을 획득한 경우이거나, ② 개인정보를 이전하려는 기업이 적절한 보호조치를 갖춘 경우로 제한됨. ▶ EU GDPR은 단기적으로 새로운 인프라 구축, 인력양성 및 조직개편, 정보를 활용한 혁신적인 중소벤처 스타트업 출범의 어려움 등 사회경제적 비용을 유발할 수 있으나, 중장기적으로 개인정보보호 강화에 따른 소비자 신뢰 증가와 국경 간 좀 더 자유로운 정보이동이라는 측면에서 사회경제적 편익이 더 클 수 있을 것으로 판단 ▶ EU GDPR은 개인정보보호 수준 강화 및 자유로운 정보이동 촉진 측면에서 디지털 시대에 가장 포괄적이며 미래지향적인 입법으로 향후 개인정보보호에 관한 글로벌 표준 정립에 영향을 미칠 것으로 판단 ▶ 한국정부는 EU GDPR을 계기로 국내 개인정보보호 법제상 개인정보보호와 활용의 균형을 맞추기 위한 개선노력이 요구되며, 현재 심의 중인 EU 집행위원회의 ‘적정성 결정(adequacy decisions)’이 빨리 승인될 수 있도록 정부 차원의 적극적인 협상과 지원이 요구 ▶ 한국기업들은 EU GDPR이 요구하는 의무사항을 준수할 수 있도록 기업 차원의 조직개편 및 대응전략 수립이 요구되며, 동시에 EU GDPR 대응을 통해 개인정보보호에 관한 소비자 신뢰를 제고하고 합법적·효과적으로 정보를 활용하는 기회로 인식하는 것이 필요