영국정부는 UK Organisation들이 2023년 10월 12일 자부터 Extension to the EU-US Data Privacy Framework (이하 “UK-US data bridge”)를 사용할 수 있다고 발표하였습니다. 해당 제도는 영국에서 미국으로 개인정보가 안전하고 자유롭게 이전될 수 있도록 허용함으로써 영국 내 법인들에게 편리성을 도모하고자 마련되었습니다.
영국에서 미국으로의 개인정보 이전은 어떻게 규제되고 있나요?
영국 개인정보 보호법에 따라 아래의 예외사항이 적용되지 않는 이상 영국 국외로의 개인정보 이전은 허용되지 않습니다.
- 영국 국무장관이 인정한 영국과 유사한 개인정보보호 체계를 갖춘 국가, 지역, 기관 등으로의 정보 이전 (예: ‘adequacy regulation (decision)’에 기반한 정보 이전)
- ‘Appropriate safeguard’ (규정에 따른 안전장치)에 기반한 정보 이전
- UK GDPR 제49조에 따른 ‘specific situations’에 해당하는 정보 이전
European Commission은 2023년 7월 EU-US Data Privacy Framework (이하 “DPF”)를 위한 adequacy decision을 통과시켰습니다. 해당 결정은 브렉시트 이후에 발생했으므로 영국에서 미국으로의 개인정보 이전에는 적용되지 않습니다. 따라서 제한된 특정 상황 혹은 규정에 따른 안전장치가 마련된 상황 이외에는 영국에서 미국으로의 개인정보 이전이 제한됩니다.
UK-US data bridge란 무엇인가요?
UK-US data bridge는 adequacy regulation 법령에 의해 제정된 제도로써 DPF에 참여하는 미국 법인이 영국과 비교하였을 때 유사한 수준의 개인정보 보호장치를 가지고 있음을 인증합니다. 따라서 해당 제도에 참여하는 미국 법인으로 개인정보 이전을 고려하는 영국 법인은 appropriate safeguard 혹은 specific situation 예외에 의존하지 않고 보다 편리하게 개인정보 이전을 할 수 있습니다.
UK-US data bridge는 영국 법인들에게 어떻게 도움을 주나요?
이전까지는 개인정보를 이전하려는 법인들이 복잡한 개인정보 보호 규정 등을 따라야 했기에 많은 어려움이 있었습니다. 또한 ‘specific situation’ 예외를 통한 개인정보 이전은 활용하기에 비실용적인 측면이 있어 비효율적인 개인 정보 이전 수단으로 간주되어 왔습니다. 그렇기에 UK-US data bridge는 컴플라이언스 비용을 절감할 수 있도록 하여 더욱 효율적으로 개인정보 이전을 할 수 있도록 합니다.
어떠한 미국 법인들이 UK-US data bridge에 해당되나요?
UK-US data bridge를 통해 영국으로부터 개인정보를 수신 받고자 하는 법인은 DPF에 따른 UK-US data bridge extended certification 을 취득하여야 합니다. UK-US data bridge는 DPF에 참여하는 법인에 한하여 적용이 가능합니다. 따라서 DPF에 참가하지 않은 법인은 우선 DPF에 참가한 후 DPF 계정을 통해 UK-US data bridge 적용에 필요한 extension을 취득할 수 있습니다. 다만 일부 미국 사업 분야 (은행업, 보험업, 텔레커뮤니케이션업 등)는 DPF의 적용 범위에 들어가지 않는 점을 참고해야 합니다. UK-US data bridge에 참여하고 있는 법인의 리스트는 다음을 통해 확인하실 수 있습니다.
UK-US data bridge에 대한 Information Commissioner’s Office의 입장은 어떠한가요?
영국 Information Commissioner’s Office (이하 “ICO”)는 UK-US data bridge의 취지에는 공감하나 제도를 완전히 환영하는 입장은 아닙니다. ICO는 개인정보 보호 장치가 제대로 적용되지 않을 경우 영국 내 개인 정보가 위험에 노출될 수 있다고 우려하고 있습니다. 예를 들어, 잊혀질 권리 (right to be forgotten)를 비롯하여 개인정보 제공 동의를 무조건적으로 철회할 수 있는 권리 등이 UK-US data bridge를 통해 명확히 보호되지 않는다고 밝혔습니다.
본 제도는 계속 유지될 수 있을까요?
유럽연합은 과거에도 미국과의 원활한 정보 공유를 위한 제도를 도입한 적이 있습니다. 다만 해당 제도들은 (2015 – Schrems I, 2020 – Schrems II) 각각 유럽연합 법원 (Court of Justice of the European Union)에서 무효화된바 있습니다. 이번에도 과거에 문제를 제기하였던 단체들이 DPF를 무효화 시키기 위한 행동을 취하겠다는 의사를 표명했습니다. 이러한 문제 제기의 실효성은 아직 파악하지 어렵지만, DPF가 무효화되는 경우 해당 제도에 기반한 UK-US data bridge 또한 영향을 받게 됩니다.
How 3CS can help
저희 로펌의 기업법 그리고 상법팀 변호사들과 컨설턴트들은 많은 영국 국내외 케이스를 다루어본 풍푸한 경험을 지니고 있으며 이를 기반으로 전반적인 기업법 및 상법 법률 서비스를 제공합니다. UK-US data bridge 혹은 기타 상법 관련하여 도움이 필요하신 경우 다음을 통해 연락 주시기 바랍니다.
