UK GDPR란 무엇인가요?

브렉시트 이후 등장한 UK GDPR은 유럽 연합의 일반 데이터 보호 규정(EU General Data Protection Regulation)을 영국 국내 요구에 맞게 약간 수정한 영국판입니다. 분석에 따르면, 데이터 주체 권리, 처리의 적법성 근거, 컨트롤러 및 처리자의 의무를 포함한 핵심 프레임워크는 EU GDPR과 매우 유사합니다(Bennett & Raab, 2020). UK GDPR은 개정된 2018년 데이터 보호법(Data Protection Act 2018)과 함께 작동하여 개인 데이터 보호를 위한 이중 법적 구조를 만듭니다.

관찰된 주요 내용은 다음과 같습니다.

• 영역적 범위: 이 규정은 영국 거주자에게 상품이나 서비스를 제공하거나 영국 내에서의 행동을 모니터링하기 위해 개인 데이터를 처리하는 모든 단체(위치에 관계없이)에 적용됩니다. 이 역외 적용 범위는 EU GDPR과의 연속성을 유지합니다(Forbes & Watson, 2022).
• 데이터 주체 권리: 접근권, 정정권, 삭제권, 이동권, 반대권과 같은 권리는 그대로 유지됩니다. 차이점은 미미하지만 브렉시트 이후 규제 기관의 역할에 대한 명확한 설명이 포함됩니다.
• 집행 및 감독 기관: 정보위원회(Information Commissioner’s Office, ICO)가 이전에 EU 당국과 공유했던 모든 감독 책임을 맡습니다. 이러한 변화는 집행을 중앙 집중화하고 국경 간 데이터 전송에 대한 과제를 제기합니다(Kuner et al., 2021).
• 국제 데이터 전송: 브렉시트 이후 EU-영국 간 데이터 전송은 적정성 결정 및 추가적인 안전 장치의 적용을 받습니다. 조직은 규정 준수를 보장하기 위해 표준 계약 조항(Standard Contractual Clauses, SCCs)과 같은 새로운 요구 사항에 적응해야 합니다(Gstrein & Kochenov, 2021).
• 규제 분기: 현재 EU GDPR과 유사하지만, 영국 당국이 독립적으로 조항을 수정하거나 재해석할 수 있으므로 향후 분기될 가능성이 존재합니다.

“UK GDPR은 EU 체제의 거의 모든 실질적인 조항을 유지하지만, 그 독립성은 특히 다국적 기업에게 새로운 복잡성을 야기합니다” (Forbes & Watson, 2022, p. 312).

요약표: UK GDPR의 주요 특징

영국에서 사업을 운영하거나 영국과 거래하는 조직은 규제 업데이트를 모니터링하고 영국 및 국제 데이터 보호 표준을 모두 준수해야 합니다. UK GDPR의 진화하는 특성은 지속적인 법적 경계와 운영상의 민첩성을 요구합니다.