메뉴

검색

[기고] 브렉시트 이후 데이터 이전

기사입력 : 2021-02-03 00:00

Amy Cunliffe-Rowe, Solicitor/Commercial, 3CS

브렉시트 이후 GDPR(데이터 이전-Data transfers)

영국은 브렉시트 이행기간이 종료되어 유럽연합을 떠났습니다. 영국과 유럽연합은 향후 협력관계를 도모하는 데 합의하였고 적어도 현재로서는 영국과 유럽연합 간의 데이터 이동에 대하여 확실하게 정리된 상황입니다.


1. EEA국가(유럽연합, 아이슬란드, 리히텐슈타인, 노르웨이)에서 영국으로 데이터가 이동하는 경우

유럽연합과 영국은 EEA 국가에서 영국으로의 데이터 이동을 한시적으로 최대 6개월 동안 허용하도록 합의하였습니다. 이는 영국의 적절성(adequacy) 평가에 대한 결정사항을 발표하기 전까지 심사기간을 제공하기 위함입니다. 적절성 결정은 유럽연합 집행위원회가 제3국이 적절한 수준의 데이터 보호를 제공하고 있다고 판단한다는 뜻이며 대체적인 전송 메커니즘 없이도 데이터를 해당 국가로 전송할 수 있다는 의미입니다. 따라서 결정 심사기간 동안 데이터는 자유롭게 EEA국가에서 영국으로 이동할 수 있습니다.

한편, 영국의 데이터 보호 규제기관인 ICO(Information Commissioner’s Office)는 상황이 변동될 경우를 대비해 대체 전송 메커니즘을 마련해 어떤 경우에도 계속해서 EEA 국가의 기업으로부터 데이터를 받을 수 있는 조치를 선행하도록 권고하고 있습니다.

대부분의 기업들에 가장 간단한 선택사항은 Standard Contractual Clauses(SCCs)입니다.
2. 영국에서 EEA 국가로의 데이터 이동
영국은 별도의 고지가 있기 전까지 EEA 국가에 자유롭게 데이터를 이동시킬 수 있도록 허용했기 때문에 영국에서 EEA 국가로의 데이터 이동을 위해 추가적인 메커니즘을 고안할 필요는 없습니다. 즉, 영국이 이러한 결정사항을 철회하지 않는 한 영국에서 EEA 국가로 계속해서 자유롭게 데이터를 이동시킬 수 있습니다.

3. 기타 사항
이제 브렉시트 이후 데이터 정보와 관련된 사안에 확실성이 생겼기 때문에 데이터 정보와 관련하여 어떠한 조치를 해야 하는지 점검해보기에 시의적절한 때입니다. 궁극적으로 조치해야 할 사항들은 비즈니스 분야와 데이터 처리방식에 따라 다릅니다. 즉 어떤 기업들에는 대규모의 업무가 요구될 수도 있는 반면 어떤 기업들에는 소규모의 수정만 필요할 수도 있습니다. 다음과 같은 업무가 필요합니다.

• 대표자(Representative)를 영국 또는 유럽연합국에 지명합니다.
• 새로운 선임 감독기관(Supervisory authority)과 다루어야 할 사안이 있는지 점검합니다.
• 처리하는 데이터가 유럽연합 GDPR 또는 영국의 GDPR 중 어디에 속하는지 평가합니다.
• 개인정보 고지와 방침과 같은 외부 및 내부의 데이터 보호 문서를 검토하고 수정합니다.
• ICO의 권고사항에 따라서 대안적인 데이터 이동 메커니즘을 고안해야 하는지 검토합니다.
• 데이터 처리 기록을 검토하고 필요에 따라 업데이트합니다.


※ 위 원고는 외부 전문가가 작성한 정보로 KOTRA의 공식 의견이 아님을 알려드립니다.

페루