[Commercial] UK compliance requirements for international data transfers

영국 외 국가에 개인 정보를 전송하는 경우 영국 데이터 보호법을 준수하여 합법적으로 이전 (Transfer) 해야 합니다.

개인 정보의 국외 이전을 위해서는 현상 유지되고 있는 유럽연합의 개인정보보호 규정(이하 GDPR) 및 데이터 보호법(DPA 2018)을 준수해야 합니다. 본 뉴스레터에서는 이들을 합쳐 “영국 GDPR”으로  명시합니다.

본 뉴스레터에서 수신자(Recipient)는 데이터를 이전 받는 조직 또는 개인을 의미합니다.

공공기관이 개인정보를 이전하는 경우와 공공의 이익 또는 개인의 중요한 이익 보호와 관련된 규정은 본 뉴스레터에서 다루지 않습니다.

개인정보를 이전할 때 기업은 후술하는 잠재적인 리스크를 피하기 위해 해당 데이터 이전이 합법적인지 확인해야 합니다. 이를 위한 법적 근거로는 영국의 적정성 결정(UK adequacy decision), 적절한 안전장치(Safeguard)의 사용 가능성, 적용 특례(Derogation)가 있습니다. 앞서 언급한 3가지 개념에 대해 아래에서 상세히 설명하겠습니다.

개인 정보 국외 이전을 위해서는 기업은 영국의 적정성 결정을 따라야 하나요?

첫 번째로 기업은 개인 정보(영국의 GDPR의 적용 대상)의 국외 이전이 영국의 적정성 결정을 받을 수 있는지 검토해야 합니다.

영국의 적정성 결정(UK adequacy decision)이란 특정 국가, 지역, 분야 또는 국제기구의 데이터 보호 수준이 영국의 수준과 동일한지 관련 영국 국무장관이 평가하는 제도입니다. 적정성이 인정되면  감독 기관의 인가를 매번 받을 필요 없이 적정성이 인정된 조건 내에서 개인 정보를 자유롭게 이전할 수 있습니다.

적정성이 인정된 국가(영토, 부문, 기관)에 대한 가이던스는 여기에서 확인하실 수 있습니다. 앞선 가이던스 공표 이후 한국 역시 적정성이 인정되었으며 자세한 내용은 여기에서 확인 가능합니다.

적정성이 인정되지 않을 경우 적절한 안정장치 사용이 가능한가요?

적정성을 인정받지 못한 경우 기업은 합법적인 개인 정보 국외 이전을 위해 적절한 안정장치(Safeguard) 사용이 가능한지 검토해야 합니다.

적절한 안정장치(Safeguard)의 사용 사례는 다음과 같습니다 (아래는 일부 사례의 목록입니다).

• The Information Commissioner (이하 ICO)가 채택한 표준 데이터 보호 조항(Standard Data Protection Clauses)의 이용
• 구속력 있는 기업 내 관련 규정(기업 그룹 내 조직 간에 맺어진 계약)의 이용
• ICO가 승인한 행동 강령(Code of Conduct) 준수
• ICO가 승인한 계약 조항

승인된 인증 메커니즘 

데이터가 이전되는 국가에서 데이터 주체의 권리 및 효과적인 법적 구제 조치가 마련되었음을 증명한 경우에만 적절한 안정장치를 이용할 수 있습니다. ICO는 이를 위해 데이터 이전 리스크 평가(Transfer Risk Assessment)의 실시를 권장합니다.

어떤 상황에서 적용 특례(Derogation)가 적용되나요?

대안적으로 기업은 경우가 매우 제한적이지만 적용 특례 적용 가능 여부를 확인해 볼 수 있습니다. 예시는 아래와 같습니다(다음은 그 일부의 목록입니다).

- 데이터 주체가 리스크에 대해 설명을 들은 후 특정 개인정보 전송에 명시적으로 동의한 경우

- 개인정보 이전이 계약을 이행하기 위해 필요하며 목적 달성을 위한 적절한 방법인 경우 (적용 특례 조항은 제한된 상황에서만 적용 가능하며 기업이 다른 수단을 이용하여 동일한 목적을 달성할 수 있는 경우에는 적용할 수 없습니다)

- 법적 청구권의 확립, 행사 또는 변호를 위해 필요한 경우

합법적인 데이터 이전 메커니즘을 마련하지 못한 결과는 무엇인가요?

개인정보가 합법적인 데이터 이전 메커니즘 없이 영국에서 국외에 이전되었을 경우 ICO는 제재를 가할 수 있습니다. ICO는 최고 1,750만 파운드(또는 전 회계연도 기준 전 세계 연간 매출액의 최대 4% 중 높은 금액)의 벌금을 부과할 권한이 있습니다.

더불어 데이터 주체가 불만 제기 또는 손해배상 청구를 제기할 수 있으며 잠재적으로 기업의 명성에 악영향이 미치고 보상금 지급, 관련 비용 부담 증가로 이어질 가능성이 있습니다.

비즈니스 활동에 개인 정보 국외 이전이 필요한 경우 기업이 취해야 할 다음 단계는 무엇인가요?

1. 우선 기업은 어떤 개인 정보를 영국 외로 이전하고 있는지 (혹은 이전할 계획이 있는지) 확인해야 합니다.
2. 국외 개인정보 이전이 필요한 경우 기업은 해당 데이터를 합법적으로 이전하기 위해 이용할 메커니즘을 식별해야 합니다.
3. 그러한 메커니즘 이용에 요구되는 관련 서류가 있는 경우 기업은 개인정보 이전을 개시하기 전에 해당 서류를 준비해야 합니다. 여기에는 데이터 이전 리스크 평가(Transfer Risk Assessment)를 실시하는 것도 포함됩니다. 특히 ICO가 발행하는 템플릿이 최근에 개정되었기 때문에 문서의 법적인 형식이 최신 버전인지 확인할 필요가 있습니다.
4. 마지막으로 기업은 항상 영국 GDPR 을 준수해야 합니다(영국 GDPR 규정의 전체 사항은 이번 뉴스레터에서 다루지 않습니다).