2019.09.11

브렉시트가 영국-EU의 데이터 흐름에 어떤 영향을 줄까

Tom Macaulay | Computerworld UK
영국 하원이 브렉시트 안건을 관할하기로 투표한 이후 영국이 합의 없이 일방적으로 유럽연합을 뛰쳐나올 확률은 낮아졌지만, 이는 영국과 EU 사이의 데이터 전송에 중대한 함의를 가질 가능성이 크다. 
 
ⓒGetty Images Bank

영국이 EU를 떠난다면 더 이상 GDPR의 통제를 받지 않을 것이다. 그러나 EU 탈퇴법에 의해 GDPR의 기본 원리, 의무, 권리는 유지된다. 또한 이 법은 정부가 영국에서 이를 유효하게 하는 데 필요한 수정을 할 수 있도록 허용한다.  

이러한 수정은 EU기관 및 절차에 대한 언급을 더 이상 EU에 속하지 않은 영국이 자신에게 타당한 용어로 대체하는 것과 주로 연관된다. 예를 들어 ‘유럽연합 또는 회원국 법’을 ‘국내법’으로 대체하는 것이다. 그러나 일부 변경은 단순한 대체 이상을 요구할 것이다.  

탈퇴일 즉시, 그게 언제든지 간에, EU는 영국을 ‘제3국’으로 지정한다. 이에 따라 영국은 EU로의 데이터 전송이 적절히 보호되고 있음을 입증해야 한다. 

데이터 적정성 
유럽연합 집행위원회는 궁극적으로 영국의 데이터 조치가 위원회의 표준에 부합한다면 영국에게 ‘적정 판정’을 내릴 것으로 예상된다. 영국의 국내 데이터 보호법 2018은 GDPR과 거의 합치하지만, EU는 브렉시트 이후까지 판정을 유보할 것이다. 

ICO의 지침에 따라 그때까지 영국의 조직들은 GDPR에 나열된 적절한 안전장치 가운데 하나를 배치해야 한다.  

가장 직접적인 방법은 데이터의 발신자와 수신자 양측이 서명하는 표준 계약 조항(Standard Contractual Clauses, SCCs)이다. 여기에는 적절한 데이터 보호를 제공한다고 여겨지지 않는 지역에서 GDPR 요건을 준수해야 한다는 계약적 의무를 포함한다. 

셜먼스LLP의 기업 상무부 소속 변호사인 헬렌 골드소프는 <컴퓨터월드UK>와의 인터뷰에서 “표준 계약 조항(SCC)은 계약서에 추가할 수 있는 고정 문구다. 이것의 좋은 점은 배치하기가 비교적 간단하다는 것이다. 표준 문구기 때문에 그렇게 많은 협상이 필요하지 않고 대부분의 명망 있는 회사라면 이에 대해 비교적 편안함을 느낄 것이다”라고 말했다. 

표준 계약 조항은 이행하기가 비교적 간단하고, 영국 정부는 브렉시트 이후에도 유럽연합 집행위원회가 승인한 표준적인 표준 계약 조항을 계속해서 인정할 것이다. ICO가 개발한 인터랙티브 툴을 이용한다면 표준 계약 조항이 필요한지 여부를 판단할 수 있다. ICO는 표준 계약 조항 템플릿과 이를 작성하는 지침 역시 제공한다.  

표준 계약 조항을 이용하는 단체는 이를 단순히 명목적인 것으로 취급해서는 안 된다. 

아웃소싱 및 기술 서비스 대기업인 VFS글로벌의 프라이버시 및 회사 데이터 보호 임원인 배리 쿡은 “계약 당사자들이 이 표준 계약 조항을 준수할 능력이 있음을 반드시 확인해야 한다”라고 강조했다. 

그는 <컴퓨터월드UK>와의 인터뷰에서 “그리고, 당연한 말이지만, 발송 당사자는 수신 당사자가 표준 계약 조항에 실제로 부합한다는 것을 보장할 의무가 있다. 그렇다면 발송 당사자는 좀더 철저하게 감사할 수 있다. 이에 의해 수신 당사자에게 이들 조항에 부합함을 실제로 입증하기 위해서다”라고 말했다. 

대안적 보호 장치 
표준 계약 조항이 언제나 최상의 안전장치인 것만은 아니다. 이 표준화의 장점은 대형 조직이 복잡한 데이터를 처리할 때 약점이 될 수 있다. 대형 조직은 업무를 포괄하려면 수백 가지의 표준 계약 조항이 필요할 수 있기 때문이다. 

이보다 효율적인 대안은 다국적 기업이 유럽 경제 지역(EEA)으로부터 유럽 경제 지역 외부에 있는 여러 관계사로 데이터를 전송할 수 있도록 허용하는 ‘구속력 있는 기업 규칙’일 수 있다. 이는 개별 회사의 요구에 맞춰 작성되지만, 비용이 많이 들 수 있고, 장황한 적용 과정을 포함할 수 있다. 

어느 한 당사자가 구속력 있는 계약을 체결할 수 없다면, 행정 약정은 또 다른 잠재적 안전장치다. 

데이터를 EU에서 영국으로 전송하지 않는 조직이라면 이들 중 어떤 것도 필요가 없다.   

이들은 여전히 영국으로부터 유럽 경제 지역, 그리고 유럽연합 집행위원회가 전적으로 ‘적정하게’ 데이터를 보호한다고 지정한 13개 국가로 개인정보를 전송할 수 있다. 영국 정부가 유럽 경제 지역 국가들의 현행 데이터 보호가 이러한 전송을 위해 충분하다고 인정했기 때문이다.  

미국으로의 데이터 전송 역시 EU-US 프라이버시 보호 프레임워크의 조항 아래서 계속될 수 있다. 단, 미국의 조직은 이 프레임워크에 대한 공적인 서약을 갱신해야 한다. 영국으로부터의 개인정보 전송에 위 프레임워크가 적용될 것임을 확인하려는 목적이다. 이러한 갱신은 대개 미국 조직의 프라이버시 정책에서 확인할 수 있다. 

유럽 경제 지역 대리인 
영국에 있으면서 다른 유럽 경제 지역 국가에는 없는 조직이라면, 이 조직은 유럽 경제 지역에 있는 개인에게 재화와 용역을 공급하거나 이들의 움직임을 모니터링한다면 해당 조직은 유럽 경제 지역 내에 현지 대리인을 임명해야 한다. 

공공기관이나 단체는 데이터 처리가 빈번하지 않거나, 위험도가 낮고, 특수 범주나 형사 범죄 자료를 대량으로 포함하지 않는다면 이 요건이 면제된다.  

유럽 경제 지역 대리인은 두바이에 소재한 VFS글로벌에게 다소 문제가 되는 것으로 나타났다. 이는 과거 영국을 유럽 경제 지역 기지로 이용했다. EU 탈퇴 투표로 인해 VFS는 직원 및 데이터 센터를 영국으로부터 유럽 본토로 이동해야 했다.  

그는 “기업 구조, 세무, 자금 회전 같은 것들에 커다란 영향이 있다. 언론에서는 이를 그렇게 크게 다루지 않는다”라고 전했다. 

이어 그는 “데이터 전송을 둘러싸고 과장된 말이 많다. 그러나 역외 송금은, 포스트-브렉시트에서와 마찬가지로, 유럽에서 사업을 영위하는 다국적 기업에 데이터 전송만큼이나 큰 문제일 것이다”라고 말했다. 
  중요한 준비 
ICO는 데이터 흐름이 유효하고 합법적임을 보장하기 위해 조직들이 아래의 6가지 단계를 따르도록 권고했다. 

1. GDPR 표준을 계속해서 준수할 것
2. 유럽 경제 지역에서 영국으로 들어오는 데이터 전송을 검토하고, 안전장치를 배치하여 데이터가 계속 전송될 수 있도록 보장할 것 
3. 영국에서 해외로의 데이터 전송을 검토할 것. 이는 신규 내국 법규에 의해 통제를 받을 것이기 때문이다  
4. 유럽 전체에 걸쳐 사업의 구조, 데이터 처리 및 데이터 흐름을 검토하면서 브렉시트가 연관 데이터 보호 체계에 어떤 영향을 주는지 이해할 것 
5. 프라이버시 자료와 내부 문서를 검토하여 필요한 갱신을 이행할 것 
6. 중요한 문제에 대해 직원들에게 통지할 것  

골드소프는 기본에서 시작하고, 조직의 데이터가 어디서 호스팅 되며, 어디로 가는지를 파악하라고 조언했다. 

이어 그는 “GDPR을 준수하는 것이 바람직하다고 생각한다. ICO는 누군가를 절대 선제적으로 조사하지 않는다. 다만 페이스북은 아마 예외일 것이다”라고 밝혔다. 

그러면서 “문제가 생기면 그때서야 관심을 둔다. 따라서 일반적인 정보 보안 시각에서 회사 시스템이 안전할수록 ICO가 이를 주목할 가능성이 작다”라고 말했다. 

이어서 “그렇다고 해서 이를 무시해도 된다는 것이 아니다. 현실이 그렇다는 것이다. 보안을 적절히 유지하는 것은 단순히 법을 지키는 것 이상으로 중요하다”라고 그는 경고했다. ciokr@idg.co.kr
 



2019.09.11

브렉시트가 영국-EU의 데이터 흐름에 어떤 영향을 줄까

Tom Macaulay | Computerworld UK
영국 하원이 브렉시트 안건을 관할하기로 투표한 이후 영국이 합의 없이 일방적으로 유럽연합을 뛰쳐나올 확률은 낮아졌지만, 이는 영국과 EU 사이의 데이터 전송에 중대한 함의를 가질 가능성이 크다. 
 
ⓒGetty Images Bank

영국이 EU를 떠난다면 더 이상 GDPR의 통제를 받지 않을 것이다. 그러나 EU 탈퇴법에 의해 GDPR의 기본 원리, 의무, 권리는 유지된다. 또한 이 법은 정부가 영국에서 이를 유효하게 하는 데 필요한 수정을 할 수 있도록 허용한다.  

이러한 수정은 EU기관 및 절차에 대한 언급을 더 이상 EU에 속하지 않은 영국이 자신에게 타당한 용어로 대체하는 것과 주로 연관된다. 예를 들어 ‘유럽연합 또는 회원국 법’을 ‘국내법’으로 대체하는 것이다. 그러나 일부 변경은 단순한 대체 이상을 요구할 것이다.  

탈퇴일 즉시, 그게 언제든지 간에, EU는 영국을 ‘제3국’으로 지정한다. 이에 따라 영국은 EU로의 데이터 전송이 적절히 보호되고 있음을 입증해야 한다. 

데이터 적정성 
유럽연합 집행위원회는 궁극적으로 영국의 데이터 조치가 위원회의 표준에 부합한다면 영국에게 ‘적정 판정’을 내릴 것으로 예상된다. 영국의 국내 데이터 보호법 2018은 GDPR과 거의 합치하지만, EU는 브렉시트 이후까지 판정을 유보할 것이다. 

ICO의 지침에 따라 그때까지 영국의 조직들은 GDPR에 나열된 적절한 안전장치 가운데 하나를 배치해야 한다.  

가장 직접적인 방법은 데이터의 발신자와 수신자 양측이 서명하는 표준 계약 조항(Standard Contractual Clauses, SCCs)이다. 여기에는 적절한 데이터 보호를 제공한다고 여겨지지 않는 지역에서 GDPR 요건을 준수해야 한다는 계약적 의무를 포함한다. 

셜먼스LLP의 기업 상무부 소속 변호사인 헬렌 골드소프는 <컴퓨터월드UK>와의 인터뷰에서 “표준 계약 조항(SCC)은 계약서에 추가할 수 있는 고정 문구다. 이것의 좋은 점은 배치하기가 비교적 간단하다는 것이다. 표준 문구기 때문에 그렇게 많은 협상이 필요하지 않고 대부분의 명망 있는 회사라면 이에 대해 비교적 편안함을 느낄 것이다”라고 말했다. 

표준 계약 조항은 이행하기가 비교적 간단하고, 영국 정부는 브렉시트 이후에도 유럽연합 집행위원회가 승인한 표준적인 표준 계약 조항을 계속해서 인정할 것이다. ICO가 개발한 인터랙티브 툴을 이용한다면 표준 계약 조항이 필요한지 여부를 판단할 수 있다. ICO는 표준 계약 조항 템플릿과 이를 작성하는 지침 역시 제공한다.  

표준 계약 조항을 이용하는 단체는 이를 단순히 명목적인 것으로 취급해서는 안 된다. 

아웃소싱 및 기술 서비스 대기업인 VFS글로벌의 프라이버시 및 회사 데이터 보호 임원인 배리 쿡은 “계약 당사자들이 이 표준 계약 조항을 준수할 능력이 있음을 반드시 확인해야 한다”라고 강조했다. 

그는 <컴퓨터월드UK>와의 인터뷰에서 “그리고, 당연한 말이지만, 발송 당사자는 수신 당사자가 표준 계약 조항에 실제로 부합한다는 것을 보장할 의무가 있다. 그렇다면 발송 당사자는 좀더 철저하게 감사할 수 있다. 이에 의해 수신 당사자에게 이들 조항에 부합함을 실제로 입증하기 위해서다”라고 말했다. 

대안적 보호 장치 
표준 계약 조항이 언제나 최상의 안전장치인 것만은 아니다. 이 표준화의 장점은 대형 조직이 복잡한 데이터를 처리할 때 약점이 될 수 있다. 대형 조직은 업무를 포괄하려면 수백 가지의 표준 계약 조항이 필요할 수 있기 때문이다. 

이보다 효율적인 대안은 다국적 기업이 유럽 경제 지역(EEA)으로부터 유럽 경제 지역 외부에 있는 여러 관계사로 데이터를 전송할 수 있도록 허용하는 ‘구속력 있는 기업 규칙’일 수 있다. 이는 개별 회사의 요구에 맞춰 작성되지만, 비용이 많이 들 수 있고, 장황한 적용 과정을 포함할 수 있다. 

어느 한 당사자가 구속력 있는 계약을 체결할 수 없다면, 행정 약정은 또 다른 잠재적 안전장치다. 

데이터를 EU에서 영국으로 전송하지 않는 조직이라면 이들 중 어떤 것도 필요가 없다.   

이들은 여전히 영국으로부터 유럽 경제 지역, 그리고 유럽연합 집행위원회가 전적으로 ‘적정하게’ 데이터를 보호한다고 지정한 13개 국가로 개인정보를 전송할 수 있다. 영국 정부가 유럽 경제 지역 국가들의 현행 데이터 보호가 이러한 전송을 위해 충분하다고 인정했기 때문이다.  

미국으로의 데이터 전송 역시 EU-US 프라이버시 보호 프레임워크의 조항 아래서 계속될 수 있다. 단, 미국의 조직은 이 프레임워크에 대한 공적인 서약을 갱신해야 한다. 영국으로부터의 개인정보 전송에 위 프레임워크가 적용될 것임을 확인하려는 목적이다. 이러한 갱신은 대개 미국 조직의 프라이버시 정책에서 확인할 수 있다. 

유럽 경제 지역 대리인 
영국에 있으면서 다른 유럽 경제 지역 국가에는 없는 조직이라면, 이 조직은 유럽 경제 지역에 있는 개인에게 재화와 용역을 공급하거나 이들의 움직임을 모니터링한다면 해당 조직은 유럽 경제 지역 내에 현지 대리인을 임명해야 한다. 

공공기관이나 단체는 데이터 처리가 빈번하지 않거나, 위험도가 낮고, 특수 범주나 형사 범죄 자료를 대량으로 포함하지 않는다면 이 요건이 면제된다.  

유럽 경제 지역 대리인은 두바이에 소재한 VFS글로벌에게 다소 문제가 되는 것으로 나타났다. 이는 과거 영국을 유럽 경제 지역 기지로 이용했다. EU 탈퇴 투표로 인해 VFS는 직원 및 데이터 센터를 영국으로부터 유럽 본토로 이동해야 했다.  

그는 “기업 구조, 세무, 자금 회전 같은 것들에 커다란 영향이 있다. 언론에서는 이를 그렇게 크게 다루지 않는다”라고 전했다. 

이어 그는 “데이터 전송을 둘러싸고 과장된 말이 많다. 그러나 역외 송금은, 포스트-브렉시트에서와 마찬가지로, 유럽에서 사업을 영위하는 다국적 기업에 데이터 전송만큼이나 큰 문제일 것이다”라고 말했다. 
  중요한 준비 
ICO는 데이터 흐름이 유효하고 합법적임을 보장하기 위해 조직들이 아래의 6가지 단계를 따르도록 권고했다. 

1. GDPR 표준을 계속해서 준수할 것
2. 유럽 경제 지역에서 영국으로 들어오는 데이터 전송을 검토하고, 안전장치를 배치하여 데이터가 계속 전송될 수 있도록 보장할 것 
3. 영국에서 해외로의 데이터 전송을 검토할 것. 이는 신규 내국 법규에 의해 통제를 받을 것이기 때문이다  
4. 유럽 전체에 걸쳐 사업의 구조, 데이터 처리 및 데이터 흐름을 검토하면서 브렉시트가 연관 데이터 보호 체계에 어떤 영향을 주는지 이해할 것 
5. 프라이버시 자료와 내부 문서를 검토하여 필요한 갱신을 이행할 것 
6. 중요한 문제에 대해 직원들에게 통지할 것  

골드소프는 기본에서 시작하고, 조직의 데이터가 어디서 호스팅 되며, 어디로 가는지를 파악하라고 조언했다. 

이어 그는 “GDPR을 준수하는 것이 바람직하다고 생각한다. ICO는 누군가를 절대 선제적으로 조사하지 않는다. 다만 페이스북은 아마 예외일 것이다”라고 밝혔다. 

그러면서 “문제가 생기면 그때서야 관심을 둔다. 따라서 일반적인 정보 보안 시각에서 회사 시스템이 안전할수록 ICO가 이를 주목할 가능성이 작다”라고 말했다. 

이어서 “그렇다고 해서 이를 무시해도 된다는 것이 아니다. 현실이 그렇다는 것이다. 보안을 적절히 유지하는 것은 단순히 법을 지키는 것 이상으로 중요하다”라고 그는 경고했다. ciokr@idg.co.kr
 

X