브렉시트 이후 영국의 일반 개인정보보호법은 유럽연합(EU)의 일반 개인정보보호법의 내용 대부분을 따르고 있습니다.
그러나 시간이 흐르면서 영국과 EU의 일반 개인정보보호법은 서로 차이가 생길 것으로 보입니다. 양자간 차이의 대표적인 예는 "적정성", 즉 특정 국가나 국제기구가 적정한 개인정보보호 규제 체계를 갖고 있는지 여부에 대한 결정 권한을 영국과 EU가 각자 보유한다는 점입니다. 적정성 결정이 있으면 추가적인 보호조치 없이 개인정보의 역외이전이 가능하기 때문에, 추가적인 보호조치를 위해 필요한 상당한 비용과 시간을 절약할 수 있습니다.
영국과 유럽의 일반 개인정보보호법에 따르면 개인정보의 역외이전, 즉 다른 국가 또는 국제기구로의 이전은 '제한된' 이전으로서 다음 중 하나에 해당하지 않으면 허용되지 않습니다.
- 대상 국가 또는 기구가 영국 일반 개인정보보호법 및 EU의 일반 개인정보보호법 각 제45조에 따라, (i) 영국 일반 개인정보보호법이 적용되는 개인정보를 위한 적정성 결정 (adequacy regulation*) 또는 (ii) EU 일반 개인정보보호법이 적용되는 개인정보를 위한 적정성 결정 (adequacy decision)을 받았을 것
- EU 또는 영국의 일반 개인정보보호법 제46조 및 제47조에 따른 적절한 보호조치가 수반될 것
- EU 또는 영국의 일반 개인정보보호법 제49조에 따라 역외이전을 위한 구체적인 목적이 확인될 것. 다만 이 예외에 해당하기 위한 입증 요건은 위 예외들보다 충족시키기가 더 어렵습니다.
적정성 결정을 받는 것은 개인정보의 역외이전을 위한 가장 안전하고 용이한 방법에 해당하기 때문에, 기업들의 부담을 완화시킴으로써 거래와 혁신을 촉진시키는 데 도움이 될 수 있습니다.
한국의 개인정보보호법령의 적정성
2021년 12월 EU는 대한민국의 개인정보보호법령이 유럽연합 정보 주체에 대한 필요한 보호를 제공하기에 충분하다고 보고 적정성 결정(adequacy decision)을 내렸습니다. 반면 영국은 기대와 달리 EU의 적정성 결정을 곧바로 채택하지 않았는바, 이는 유럽연합과 영국의 일반 개인정보보호법 사이의 분명한 차이로 인식되었습니다.
그러나 영국은 지난 2022년 말 한국에 대한 적정성 결정[Data Protection (Adequacy) (Republic of Korea) Regulations 2022]을 내렸고, 동 적정성 결정은 2022년 12월 19일 발효되었습니다. 이는 브렉시트 이후 영국이 내린 최초의 적정성 결정에 해당하는데, EU와 결론은 동일하지만 결정의 소관이 다르고 개인정보 이전의 범위가 더 넓게 규정되어 차이가 있습니다.
영국 정부는 한국의 법령 체계와 법 집행의 효율성, 그리고 국제적 의무의 준수를 평가한 후 개인의 자유 및 개인정보에 대한 보호 수준이 영국 개인정보보호법 (Date Protection Act) 제2장 (Part 2) 및 일반 개인정보보호법에 따라 요구되는 적정성 수준을 충족한다고 결정하였습니다. 그 결과 영국으로부터 한국으로의 개인정보 이전은 더 이상 적절한 보호조치나 특정 목적의 사전 확인이 요구되지 않게 되었습니다. 이는 한국과 영국 사이의 개인정보 이전이 자유롭게 이루어질 수 있음을 의미합니다.
EU의 적정성 결정과의 차이점
EU와 영국의 적정성 결정 사이의 가장 중요한 차이점은 영국의 기관들은 소비자를 식별하고 지불을 확인하기 위해 개인 신용정보를 공유할 수 있다는 것입니다. 영국 정부는 이러한 차이의 이유를 한국에 대한 신용, 대출, 투자 및 보험 사업을 활성화시키기 위함이라고 설명하였습니다.
향후 전망
영국 장관은 한국의 개인정보보호 현황을 적정성 결정 발효일로부터 4년 마다 다시 심사해야 합니다. 또한 한국의 개인정보보호 체계의 적정성을 통상적으로 검토하고 주시할 것이 요구됩니다. 중대한 변화로 인해 한국의 개인정보보호 수준이 적정성을 상실할 경우, 적정성 결정은 수정되거나 철회될 수 있습니다. 이는 적정성 결정에 따라 평가된 한국의 개인정보보호 수준이 동일하거나 그 이상으로 유지되는 것을 조건으로 적정성 결정이 유지될 수 있음을 의미합니다.
적정성 결정이 발효되면 영국과 한국 간의 개인정보 이전이 용이해짐에 따라 다음과 같이 다양한 이점이 있을 것으로 기대됩니다.
- 양국간 교류 증대: 한국과 영국의 사업자들의 계약 체결 및 갱신시 협상이 필요했던 양국 간 개인정보 이전 사항을 더 이상 계약에 규정할 필요가 없게 되는데, 이러한 행정적 부담의 완화는 양국의 사업자들 간 거래와 사업 기회를 증진시킬 것으로 보입니다.
- 비용 절감과 수출 증대: 금번 적정성 결정은 매년 약 1천 480만 파운드 (약 211억 원)의 비용 절감을 가져올 것으로 예상되고, 나아가 양국간 수출을 증대시킬 것으로 보입니다.
- 개인정보 이전에 대한 확실성과 신뢰성 증진: 개인정보의 자유로운 이전은 양국간 협력과 혁신을 증진시키고 합법성에 대한 우려를 불식시키는 순기능을 할 수 있습니다. 개인정보보호 측면에서 검토해야 할 사항들이 줄어들면 사업자들은 상업적인 사항들에 대해 더욱 집중할 수 있을 것입니다.
맺음말
금번 적정성 결정 발효에 따라 한국과 영국의 개인정보는 자유롭게 이전될 수 있게 되었습니다. 그러나 모든 개인정보를 적정한 수준으로 보호하기 위해서는 여전히 개인정보 보호 절차를 충실하게 따라야 합니다. 이번 적정성 결정은 한국과 영국 간 사업을 확대시키고 협력 및 혁신을 촉진시키는 데 매우 긍정적인 기회가 될 것으로 보입니다. 양국간 국제협력의 강화를 통해 상호 무역과 투자가 증가할 것으로 기대됩니다.
적정성 결정에 따라 사업에 영향을 미칠 수 있는 개인정보보호 쟁점과 관련하여 궁금증이 있으신 분은 트라워즈 앤 햄린스의 개인정보보호팀과 코리아 데스크에 문의해 주시면 감사하겠습니다.
*영국은 적정성에 대한 판단을 '결정(decision)'이 아닌 '법령 또는 시행령(regulation)'의 형식으로 내리고 있는데, 본고에서는 편의상 'adequacy regulation'을 '적정성 결정'으로 함께 번역하였습니다.
Background
Following Brexit, the United Kingdom's data protection regime (UK GDPR) has broadly mirrored the European Union's General Data Protection Regulation (EU GDPR), with few exceptions. As time passes, it is expected that UK and EU GDPR will diverge more (to an extent currently unknown). A prime example of this is through the UK and EU each having the autonomy to decide which countries or international organisations are considered to have "adequate" data protection regimes in place. A decision of "adequacy" allows personal data to be transferred internationally without additional protections being put in place. Such protections are considered time intensive and costly.
Under UK and EU GDPR, international transfers of personal data to another country or international organisation are considered 'restricted transfers' and not permitted, unless:
- the country or organisations in question have had an adequacy regulation (for personal data governed by UK GDPR) or an adequacy decision (for personal data governed by EU GDPR) issued in their favour under article 45 of UK GDPR and EU GDPR respectively; or
- appropriate safeguards have been put in place under articles 46 and 47 of EU or UK GDPR (as applicable) prior to any transfer; or
a specific purpose has been identified under article 49 of EU or UK GDPR (as applicable) for such transfer, albeit it is worth noting that the evidential requirements to rely on this exception are anecdotally harder to satisfy than the exemptions above.
Having an adequacy regulation and/or decision (as applicable) in place is considered the safest and easiest form of international transfer, reducing the burden on small and medium businesses in assessing their activities before making any such transfer; arguably encouraging trade and innovation. Historically, the UK and EU have had the same list of countries with adequate data protection legislation in place; until recently.
Adequacy of data protection legislation in South Korea
In December 2021, the EU issued an adequacy decision in favour of the Republic of Korea (South Korea), deeming its existing data protection legislation to be sufficient to provide the necessary protections to EU data subjects. Whilst this was to be expected, this was the first time where the UK did not immediately follow suit, creating a clear difference between EU and UK GDPR.
That said, the UK has now reached a similar conclusion, with the Data Protection (Adequacy) (Republic of Korea) Regulations 2022 (SI 2022/1213) (Regulation) soon to give effect to the UK’s adequacy regulation in favour of South Korea (expected to come into force on the 19 of December 2022). This will be the first adequacy regulation to be issued by the UK since Brexit, and even though this brings the UK in line with the EU, the remit of the UK's decision differs and provides for a broader scope of data transfer.
The UK government assessed South Korea on its legal framework, efficiency of law enforcement and its international obligations and commitments with the decision signifying that South Korea's level of protection for individuals' rights and their personal data has met the level of adequacy required under Part 2 of the Data Protection Act 2018 and UK GDPR. As a result, the transfer of personal data between the UK and South Korea will not require appropriate safeguards and/or specific purposes to be identified before international transfers take place. This means data can be transferred freely between South Korea and the UK.
Principal differences with the EU's adequacy decision
The most significant difference between the EU and UK decisions are that UK organisations are able to share credit related personal data to help identify customers and verify payments. The UK Government has explained the reasoning behind this difference is to boost credit, lending, investment and insurance operations in South Korea.
What does the future hold?
The Secretary of State is still required to undertake a full review of South Korea's data protection practices every four years from the date the regulation has come into force. The Secretary of State is also required to generally review and monitor the adequacy of South Korea's data protection framework. In the event that there are any significant changes in South Korea and its data protection becomes inadequate, the adequacy regulation may be revised or revoked. This means that the regulations will only stay in force if South Korea can maintain the same level or improve its protection of data as assessed by this regulation.
Once in force, this Regulation brings various benefits due to the easing of the data transfer process between the UK and South Korea, namely:
- improvement of connectivity. For example, from a legal point of view, no provisions will be contractually prescribed for transfers between the UK and South Korea, removing an often negotiated point and/or the need to revisit the same agreements in the future (since such mandatory clauses are updated and replaced every five-years). This ultimately administrative burden may encourage more business to contract and explore their options in either country.
- cost reductions and increased exporting. The Regulation is estimated to generate £14.8 million in annual business savings, in addition to increasing exports due to the removal of barriers.
- greater sense of certainty and confidence in personal data transfers. Allowing the free flow of personal data is often seen paving the way for collaboration and innovation, reducing concerns around compliance in either country. Reducing the emphasis on due diligence from a data protection viewpoint will allow businesses to focus their attentions on more commercial needs.
Summary
In summary, personal data can be freely transferred between the UK and South Korea once the Regulation comes into force – although diligent data protection practices should still be followed to ensure all personal data is protected by an appropriate level of protection. This is a fantastic opportunity for both UK and Korean businesses to expand their exporting, collaboration and innovation activities. This will hopefully encourage international relations and ultimately increase trade and inward investment between the two countries.
Our data protection team, together with our Korea desk would be delighted to discuss any data protection impacts that the introduction of this Regulation may have on your business.