[개인정보보호] 브렉시트에 따른 영국-EU 간 GDPR 이슈 검토 (2020.02)

안녕하세요. 황컴플라이언스 입니다.

[개인정보보호] CNIL의 내부고발 경보시스템 실행 표준 권고안 분석 (2020.01) 입니다.

업무에 참고하시기 바랍니다.

 

○ 자료명 : CNIL의 내부고발 경보시스템 실행 표준 권고안 분석

○ 발행일 : 2020년 01월

○ 주관부처 : 한국인터넷진흥원

---

[개요]

○ 개요

브렉시트(Brexit)에 따른 영국의 위상 변화에 따라 GDPR 준수 방식 및 EU 국가들과의 개인정보 역외 이전에 대한 불확실성 이슈가 부각되었으며 영국 개인정보보호 환경의 중대한 변곡점이 될 전망

• 영국의 개인정보보호 관련 사항은 EU GDPR과 영국 데이터보호법(The UK Data Protction Act 2018, DPA 2018)에 의해 규율되어 왔음
• 앞서 영국은 EU 탈퇴협정(The European Withdrawal Agreement)의 일환으로 국내법에 GDPR을 흡수하기로 약속한 바 있고, 데이터 보호법이 GDPR과 유사한 수준의 데이터 보호를 시행하도록 수정
• 그러나 영국총리실에서 영국이 EU 개인정보보호 규정의 영향에서 탈피하겠다는 입장을 발표함에 따라 영국의 개인정보보호 수준 및 영국-EU 국가 간 데이터 교류 조건의 변화와 관련된 우려 확산

---

(배포용) 브렉시트에 따른 영국-EU 간 GDPR 이슈 검토(2020.02).pdf

0.29MB

브렉시트에 따른 영국-EU 간 GDPR 이슈 검토(2020.02) : 한국인터넷진흥원

---

○ 배경

영국의 EU 탈퇴협정 법안이 영국 상하원을 통과하고 유럽이회의 최종 비준을 얻음에 따라 2020년 1월 31일 브렉시트 현실화

• 영국이 EU를 탈퇴하는 즉시 새로운 전환 기간(transition period)이 시작되어 2020년 12월 말까지 영국과 EU 사이의 새로운 관계에 대한 협상이 이어질 예정
• 총 11개월에 이르는 전환 기간 동안 EU의 법률은 영국에 계속 적용되며, GDPR 준수 역시 의무 사항으로 유지
• 이와 관련, 영국의 개인정보보호 감독기구 ICO(Office of Information Commissioner)는 기존의 GDPR에 대한 기존 규칙이 영국에서 계속 적용됨에 따라 개인정보보호와 관련해 달라질 것이 없다는 점을 재확인하고, GDPR을 준수하지 않는 기업과 조직에 대해서는 과징금도 부과할 계획
• EU와 영국의 합의에 따라, 협상이 완료되지 않더라도 2020년 말까지는 영국에서 EU 지역으로 자유로운 데이터 이동이 가능하지만 업계의 협상 이후 데이터 국외 이전 제한에 대한 우려 지속

---

[개인정보보호 및 GDPR 관련 핵심 이슈와 전망]

○ GDPR의 유지 전망

본질적으로 현재 GDPR 원칙은 영국 국내법에 반영되어 브렉시트 이후에도 영국에서 계속 적용되며 특히 영국의 데이터 보호법에 흡수되어 시행

• 영국 의회를 통과 EU 탈퇴협정법인(EU Withdrawal Agreement Bill)은 GDPR이 영국 거주자에게 효과적으로 적용될 수 있도록 수정을 다소 허용하고 있으나, 기본적으로 법률 자체에 대한 수정은 용어 등에 국한되는 등 영국 거주자에게 효과적으로 적용될 수 있도록 수정을 다소 허용하고 있으나, 기본적으로 법률 자체에 대한 수정은 용어 등에 국한되는 등 영국 거주자의 데이터 보호 환경에 큰 영향을 미치지는 않을 것으로 전망
• 영국으로서는 EU와의 자유로운 데이터 흐름을 유지하는 것이 이익이라는 점에서, GDPR의 표준에 부합하는 강력한 개인정보보호 규정을 유지해야 한다는 점도 이러한 전망을 뒷받침
• 이에 따라, 긍정적으로 GDPR의 기본 원칙은 브렉시트 이후에도 기업과 조직들의 규율 기준이 될 것으로 예상

○ 제3국의 지위

영국은 브렉시트 이후 자동으로 제3국으로 간주되어 EU 국가 간의 데이터 공유 약정(data-sharing arrangements)에 구속되지 않아 데이터 흐름이 원할하지 않게 됨

• 영국에서 EU로 이전되는 데이터에는 큰 제약이 없으나 반대의 경우는 그렇지 않으므로, 영국은 적정성 결정(Adequacy decision)을 통해 EU와의 합의를 진행할 것으로 기대
• 양측의 데이터 국외 이전을 위한 가장 간단한 방법을 표준 개인정보보호 조항(Shandart Data Protection Clauses)을 적용하는 것이나, 장기적으로는 영국 정부 차원에서 적정성 결정을 통한 문제 해결을 모색할 것으로 전망
• 그러나 이 과정에서 영국 정부의 데이터 수집 관행 등에 대한 철저한 조사가 예상되는 만큼 적정성  결정 프로세스가 장기간에 걸쳐 진행될 가능성도 제기

○ 영국의 데이터보호법 개정 가능성

이론적으로 브렉시트 이후 영국은 GDPR과 무관하게 새로운 데이터 보호 방식을 채택할 수 있으므로 데이터보호법 개정 가능성은 배제할 수 없으나 확률은 높지 않은 상황

• 실제로 영국의 EU 탈퇴를 추동한 요인 중 하나가 EU 집행위원회로부터 자율성 확보였다는 점에서 독자적인 데이터보호법 개정 가능성에 대한 검토도 가능
• 그러나 영국이 과거 GDPR 제정 과정에서 주도적인 역할을 했다는 점과 EU 회원국들과의 원활한 데이터 교류를 위해서는 데이터보호법 개정 시 EU의 비준이 필요하다는 점에서 현재로서는 영국이 이러한 행보에 나설 가능성이 희박한 것으로 평가