지난 2016년, 영국은 브렉시트(BREXIT) 국민투표를 통해 유럽연합 탈퇴를 결정하였습니다. EU 의회는 2020년 1월 본회의를 개최하여 영국의 EU 탈퇴 조건을 정한 협정안(Withdrawal Agreement)을 가결하였고, 이에 따라 영국은 2020년 1월 31일 공식적으로 유럽연합으로부터 탈퇴하였습니다. 다만, 탈퇴 협정안은 협정의 발효일부터 2020년 12월 31일까지 1년의 전환기간(Transition Period)을 부여하였는바, 그동안 영국의 개인정보 보호 관련 사항에는 영국 국내법인 데이터보호법(Data Protection Act 2018, DPA 2018)과 함께 EU의 GDPR이 계속 적용되어 왔습니다.

그러나 전환기간의 연장 여부를 정하는 기한인 2020년 7월 1일까지 영국과 EU 상호 전환기간 연장에 관한 합의가 도출되지 않았고, 2020년 12월 31일 전환기간의 만료일이 다가오고 있어 영국 내 정보주체를 상대로 서비스를 제공하는 한국 업체로서는 향후 예정된 영국의 개인정보보호 환경의 변화에 미리 대비할 필요가 있습니다.

1. BREXIT 실행이 영국 내 GDPR 적용에 미치는 영향

가. EU-영국 간 개인정보 이전

전환기간 만료 후 영국은 EU 및 EEA 회원국이 아닌 제3국에 해당합니다. 즉, EU에서 영국으로의 개인정보 이전은 GDPR 제44조에 따라 원칙적으로 금지된 ‘제3국으로의 역외이전’이므로, GDPR 제45조의 적정성 결정, 제46조의 적절한 안전장치, 제47조의 구속력 있는 기업규칙 등 추가적인 보호조치를 취한 경우 또는 정보주체의 명시적 동의를 받는 등 제49조에 따른 특정 상황인 경우에만 허용됩니다. EU 집행위원회는 아직 영국에 대한 적정성 결정(adequacy decision)을 내리지 않았으나, 2.항에서 후술하는 바와 같이 GDPR 원칙이 사실상 영국 국내법인 데이터 보호법에 흡수되어 시행될 예정이라는 점에서 EU 수준의 적정한 보호수준이 보장되므로, 향후 적정성 결정이 내려질 가능성이 높다는 전망입니다.

반면 영국 데이터보호법은 브렉시트 이후에도 여전히 영국으로부터 EUㆍEEA 회원국 및 EU 집행위원회의 적정성 결정을 받은 국가로 개인정보를 이전할 수 있는 것으로 규정하고 있으므로 영국에서 EU로의 개인정보 이전에 대하여는 제약이 발생하지 않습니다.

나. EU 역내 대리인 지정 의무

전환기간 만료 후 영국에 소재하는 컨트롤러 또는 프로세서가 EU 내 정보주체의 개인정보를 처리하면서 상품 또는 서비스를 제공하는 경우, 또는 EU 내의 정보주체의 행동을 감시하는 경우 GDPR 제27조에 따라 EU 역내 대리인을 지정하여야 합니다. 이는 특히 영국에서의 대리인 지정을 통하여 GDPR 제27조를 준수하고 있던 한국 업체(또는 다른 국적 업체)에 영향을 미칩니다. 즉, 종전 영국 내 대리인을 통해 EU 내 정보주체의 개인정보를 적법하게 처리하고 있던 한국 업체의 경우 EU 내의 다른 국가에 소재한 역내 대리인을 새롭게 임명하여야만 GDPR 제27조를 준수하는 것입니다.

다. 브렉시트 전환기간 만료 후의 개인정보보호 조치 관련 ICO 가이드라인

ICO는 2020년 7월 10일 브렉시트 전환기간 만료 후의 적법한 개인정보 처리를 위하여 취하여야 할 5단계 조치에 대한 가이드라인을 발표하였습니다.

위 가이드라인에 의하면, 영국 소재 컨트롤러 또는 프로세서는 1) GDPR 표준을 계속하여 준수하되, 2) 특히 EU에서 영국으로 들어오는 개인정보의 흐름을 검토하여 적절한 안전장치를 마련하여 개인정보가 계속하여 전송될 수 있도록 보장하고, 3) 영국에서 EU로 나가는 개인정보의 흐름을 검토하고 기록을 남기며, 4) 개인정보 보호조치와 관련된 자료 및 내부 처리 기록 등을 문서화하여 전환기간 만료에 대비하고, 5) 브렉시트 전환기간 만료 이후의 계획 수립 등 중요한 문제에 대해 직원들에게 통지하여 조직 차원에서 개인정보 보호의 중요성을 인식할 수 있도록 하여야 합니다.

2. 영국 데이터보호법의 주된 내용

영국 의회는 EU GDPR 시행 이후 GDPR의 내용을 영국 국내법으로 수용한 데이터보호법 (Data Protection Act 2018)을 시행하여 왔고, 이후 아래의 규정을 통하여 GDPR 및 이를 국내법으로 수용한 영국 데이터보호법이 브렉시트에도 불구하고 영국 내에서 원활하게 작동할 수 있게 해 왔습니다.

[Data Protection, Privacy and Electronic Communications (Amendments etc) (EU Exit) Regulations 2019 (2019/419),

Data Protection, Privacy and Electronic Communications (Amendments etc.) (EU Exit) (No. 2) Regulations 2019 (2019/485)]

영국 데이터보호법 제2부 제1장, 제2장 ‘일반적 정보처리’는 EU GDPR 규정을 차용함으로써 GDPR 원칙을 대부분 흡수하고 있는바, 본 법령은 UK GDPR이라고 불리기도 합니다. 즉, 해당 법령의 적용대상, 적용범위, 개인정보처리에 관련된 원칙, 정보주체의 권리, 컨트롤러와 프로세서의 의무사항, 개인정보보호책임자 지정, 제3국 또는 국제기구로의 개인정보 이전방식, 법적 책임 및 벌칙은 GDPR 규정과 동일합니다.

다만 영국 데이터보호법 제2부 제3장 ‘기타 정보처리’는 자동화된 정보처리 또는 프로파일링 시스템 형태의 구조화 정보처리 등에는 GDPR이 적용되지 않는다고 규정하여 GDPR 제22조에 대한 예외를 규정하고 있고, 제3부 ‘수사·형사절차상 정보처리’, 제4부 ‘정보기관의 정보처리’, 제5부 ‘정보보호위원장의 권한’은 수사·형사절차상 개인정보처리 또는 국가안보를 위한 정보처리에 관하여 GDPR에는 없는 사항을 추가로 규정하고 있습니다.

따라서 영국 내 정보주체를 상대로 서비스를 제공하는 한국 업체의 경우, 영국 ICO가 채택한 표준조항을 사용하는 등 적절한 안전장치를 취하거나 정보주체의 명시적 동의를 통하여만 영국에서 영국 역외로 개인정보를 이전할 수 있으며, 개인정보처리와 관련하여 영국 역내 대리인을 임명하여야 합니다.

3. 향후 주목할 사항

현행 영국 데이터보호법은 GDPR 원칙을 크게 벗어나지 않고 있으나, 영국 총리실은 영국이 GDPR의 규정사항을 벗어난 주권적 통제 방식을 구축할 것이라고 밝힌 바 있어 개인정보 보호에 관한 영국 법령의 향후 제·개정 진행상황을 주목할 필요가 있습니다.

* 법무법인 민후 김경환, 최주선, 현수진 변호사 작성, 민후 로인사이드(2020. 12. 9.), 민후 뉴스레터(2020. 12. 31.) 기고.