영국 GDPR이란? GDPR과의 관계성 및 주목해야 할 핵심 포인트 설명

영국의 EU 탈퇴에 따라, 2021년 1월 1일에 UK GDPR(영국 일반 데이터 보호 규정)이 시행되었습니다.

GDPR은 개인 데이터의 처리 및 이전을 위한 EU의 규칙으로, EU 내의 고객에게 서비스를 제공하는 일본 기업은 GDPR에 대응해야 합니다. UK GDPR은 이 GDPR의 영국 버전입니다.

본 기사에서는 GDPR과 EU GDPR의 관계 및 EU GDPR에 대해 자세히 설명합니다. 영국을 포함한 유럽으로 사업을 확장할 때 알아두어야 할 주요 포인트와, 준비해야 할 법률에 대해 알아두시기 바랍니다.

영국의 EU 탈퇴에 따라 시행된 UK GDPR

영국은 2020년 1월 31일(2020년) EU(유럽연합)를 탈퇴하였고, 이에 따라 EU의 GDPR에 기반하여 UK GDPR이 시행되었습니다.

영국은 EU GDPR 하에서 ‘제3국’이 되며, EU 소비자에게 서비스를 제공하는 영국 기업은 영국과 EU 양쪽의 GDPR을 준수해야 합니다.

관련 기사：GDPR이란? 개인정보 보호법과의 비교 및 일본 기업이 인식해야 할 포인트를 설명[ja]

관련 기사：GDPR에 대응한 프라이버시 정책을 작성할 때의 포인트를 설명[ja]

UK GDPR이란?

UK GDPR(영국 일반 데이터 보호 규정)은 개인 데이터의 처리 및 영국 국외로의 이전을 위한 요건을 정하고, 처리 또는 이전을 담당하는 자가 준수해야 할 규범과 의무를 정한 규칙입니다.

2018년에 제정된 데이터 보호법 2(Data Protection Act 2018)는 1998년에 제정된 영국의 데이터 보호법을 갱신하여 정한 것입니다. 이후, 영국의 EU 탈퇴 상황을 고려하여, 2018년 EU 탈퇴법에 기반한 규정으로 2021년 1월 1일에 UK GDPR로 개정되었습니다.

UK GDPR은 영국 내에서 관리자나 처리자의 기반 활동 과정에서 이루어지는 ‘개인 데이터 처리’에 적용됩니다. 또한, UK GDPR은 특정 경우에 영국 내에 기반을 두지 않은 관리자나 처리자가 수행하는 개인 데이터 처리에도 적용됩니다.

UK GDPR에서 반드시 알아야 할 핵심 포인트

이 장에서는 UK GDPR에서 반드시 알아야 할 다음 두 가지 핵심 포인트에 대해 설명합니다.

• 개인 데이터의 이전
• 대리인·대표자의 임명

개인 데이터의 이전

일본과 영국 간의 데이터 이전에 대해, 일본 측은 EU에 대해 행한 개인정보 보호법 제24조(개인정보 보호법 제24조는 2022년(레이와 4년) 4월 1일 시행된 디지털 사회 형성 정비법 제50조에 의해 개정되기 전의 것이며, 현재는 제28조)에 기초한 지정을 탈퇴 후에도 영국에 대해 계속하고 있습니다.

또한, 영국과 EU 간의 개인 데이터 이전에 대해서는, 이행 기간 중에도 이전과 같이 원활한 개인 데이터의 이전이 가능합니다.

따라서, 영국의 EU 탈퇴 후에도 일본과 영국 간의 원활한 개인 데이터 이전이 보장되고 있습니다.

대리인·대표자의 임명

영국 기업은 EU 내에 지점이나 사무소를 두지 않는 경우 EU 대리인을 임명하고, 데이터 보호 통지를 적절히 갱신할 필요가 있습니다.

대리인은 지점이나 사무소가 대표자로서 기능하게 됩니다.

또한, 영국 법률에서는 개인 데이터를 보유하는 EU 기업이 영국에 대표자를 두도록 요구하고 있습니다.

그러므로 EU에 기반을 둔 기업은 처리하는 정보가 UK GDPR 규정의 대상이 되는지를 판단하기 위해 기록의 검토와 분리를 진행할 필요가 있습니다.

UK GDPR이 적용되는 일본 기업

UK GDPR이 적용되는 경우는 다음의 두 가지입니다.

1. 영국 내에 거점을 두고 활동할 때
2. 영국 내에 거점은 없지만, 영국을 대상으로 사업을 전개할 때

두 번째 경우에는 다음과 같은 상황에서 UK GDPR이 적용됩니다.

• 일본 내 사업자가 유럽을 포함한 글로벌 시장을 대상으로 전자상거래 사이트를 운영할 때
• 유럽 시장을 대상으로 마케팅 캠페인을 진행할 때
• 일본 내 사업자가 유럽 시장에서 수익을 창출할 때

구체적으로는 다음과 같은 경우가 해당됩니다.

• 일본 내 사업자가 게임 앱을 영국 내 플레이어에게 배포하고, 플레이어의 성명이나 결제 기록을 수집할 때
• 파운드 결제가 가능하고 영문 표기가 있으며, 영국 배송을 언급하는 전자상거래 사이트에서 고객의 주소, 성명, 계좌 정보를 수집할 때
• 일본 내 사업자가 영국 내 개인에게 이메일 뉴스레터를 배포하기 위해 성명, 이메일 주소를 관리할 때
• 일본 내 사업자가 앱을 통해 영국 내 개인의 위치 정보를 수집하여 분석할 때
• 일본 내 사업자가 웹사이트를 통해 쿠키 정보를 수집하여 개인의 취향을 분석하고 행동 타겟팅 광고를 배포할 때
• 일본 내 사업자가 웨어러블 기기(스마트워치 등)를 통해 영국 내 개인의 건강 관련 정보를 수집·관리할 때

다음은 UK GDPR의 적용 범위 플로우차트입니다.

참조: 「영국 일반 데이터 보호 규정(UK GDPR)」 실무 핸드북[ja]｜일본무역진흥기구(JETRO) 런던 사무소 해외조사부

UK GDPR 위반 시 직면할 수 있는 3가지 리스크

이 장에서는 UK GDPR을 위반했을 때 발생할 수 있는 리스크 세 가지를 소개합니다.

• ICO로부터 부과될 수 있는 고액의 제재금을 포함한 처벌 리스크
• 데이터 주체 등으로부터 받을 수 있는 손해배상 청구 등의 법적 요구 리스크
• 개인 데이터 보호에 대한 미흡한 대응으로 인해 비즈니스 신용을 잃을 리스크

ICO(Information Commissioner’s Office)는 정보 권리를 보호하기 위해 설립된 영국의 독립 기관입니다. UK GDPR 규정을 위반한 사실이 밝혀지면 ICO로부터 과태료가 부과될 수 있습니다.

과태료는 매우 높은 금액으로, 2019년에는 영국의 항공사인 브리티시 에어웨이즈에 대해 1억 8300만 파운드(브리티시 에어웨이즈의 전 세계 수익의 1.5%)의 제재금이 부과되었습니다.

또한, ‘매리어트’와 ‘리츠 칼튼’ 등 유명 호텔을 운영하는 매리어트 인터내셔널에도 9900만 파운드의 제재금이 부과되었습니다.

이러한 처분은 공개되기 때문에, 고액의 제재금을 부과받는 것뿐만 아니라 브랜드 가치의 하락도 우려됩니다. 한번 손상된 기업 브랜드는 회복하기 매우 어렵습니다. 브랜드 가치를 유지하기 위해서는 개인 데이터의 취급에 충분히 주의를 기울여야 합니다.

요약: UK GDPR 개정 동향에 주목해야 할 필요성

UK GDPR(영국 일반 데이터 보호 규정)은 영국의 EU 탈퇴에 따라 2021년 1월 1일(2021년)에 개정된 비교적 새로운 법률 중 하나입니다.

또한, 본 기사에서 소개한 영국 내부용 UK GDPR과 EU 각국에 적용되는 EU GDPR 두 가지 법률이 영국에서 적용되고 있습니다.

현재도 다각적으로 개인정보에 관한 규제의 재검토가 진행되고 있습니다. 따라서, 이미 영국이나 EU 각국에 사업 진출을 한 일본 기업도, 앞으로의 UK GDPR 개정 동향을 주시하는 것이 좋을 것입니다.

UK GDPR 위반을 저지르게 되면, 고액의 제재금이 부과되는 것은 물론, 기업 브랜드의 신뢰도 하락으로 이어질 수 있습니다. 자사의 보안 체계를 재검토하고, 규정 변경 및 대책을 마련하는 것이 중요합니다.

저희 법무소의 대책 안내

모노리스 법무소는 IT, 특히 인터넷과 법률 양면에서 풍부한 경험을 가진 법무소입니다. 최근 글로벌 비즈니스는 점점 확대되고 있으며, 전문가에 의한 리걸 체크의 필요성은 더욱 증가하고 있습니다. 저희 법무소에서는 국제법무에 관한 솔루션을 제공하고 있습니다.

모노리스 법무소의 분야: 국제법무・해외사업[ja]