Loading…
EU GDPR 프로그램을 영국에 그대로 복사하여 붙여넣을 수 있을지 궁금했다면, 짧은 답은 다음과 같습니다. 세 가지 실질적인 예외를 제외하면 대체로 가능합니다. 2021년 1월 1일 이래 영국은 2018년 데이터 보호법과 함께 UK GDPR를 운영하며, 정보위원회(ICO)가 유일한 당국입니다. 2025년 데이터(이용 및 접근)법은 영국을 EU 프레임워크에서 더욱 멀어지게 했으며 — EU 적정성 결정은 최소 2025년까지 EU↔영국 데이터 흐름을 유지합니다.
| 항목 | 🇬🇧 UK GDPR | 🇪🇺 EU GDPR |
|---|---|---|
| 법적 수단 | UK GDPR(개정되어 유지된 EU GDPR) + 2018년 데이터 보호법 + 2025년 데이터(이용 및 접근)법 | 규정(EU) 2016/679 |
| 현행 형태의 시행일 | 2021년 1월 1일(브렉시트 이후) | 2018년 5월 25일 |
| 규제 기관 | 정보위원회(ICO) — 단일 당국 | 27개 EU 회원국 DPA + EDPB |
| 최대 과징금 | £1,750만 또는 글로벌 매출의 4%(둘 중 높은 금액) | 2천만 유로 또는 글로벌 매출의 4% |
| 하위 단계 과징금 | £870만 또는 글로벌 매출의 2% | 1천만 유로 또는 글로벌 매출의 2% |
| 제27조 대리인 | 비영국 컨트롤러/프로세서에 대해 별도의 영국 대리인 필요 | 비EU 컨트롤러/프로세서에 대해 EU 대리인 필요 |
| 국제 이전 — 수단 | UK IDTA, EU SCC에 대한 영국 부속서, BCR, 적정성 | EU SCC, BCR, 적정성 |
| 영국의 EU 적정성 인정 | 예 — EU를 적정한 것으로 취급 | 영국에 대한 EU 적정성은 최소 2025년 6월 27일까지 유효(연장 조항 포함) |
| 아동 동의 연령 | 13세(영국) — EU 기본값 16세와 다름 | 16세(회원국은 13세까지 낮출 수 있음) |
| 연령 적합 설계 규약 | 예 — ICO 법정 규약(15개 기준) | EU 차원에서 직접적인 대응물 없음 |
| PECR / ePrivacy | PECR — 영국 ePrivacy 체제가 쿠키, 마케팅, 트래픽 데이터를 규율 | ePrivacy 지침(회원국별 이행); ePrivacy 규정 계류 중 |
| DPDI / DUA Act 개혁 | 2025년 데이터(이용 및 접근)법: 표적화된 개혁 — 자동화된 의사결정, 연구, 자선 처리, 스마트 데이터 제도, 디지털 ID | 직접 적용되지 않음; EU는 부문별 법안(AI Act, Data Act, DSA, DMA)을 추진 |
| 데이터 이동권 | 제20조 — EU와 동일 | 제20조 |
| 자동화된 결정에 대한 반대권 | 제22조 — DPDI 제안 변경 사항은 원안대로 시행된 적 없음 | 제22조 — 엄격 |
| DPO 요건 | 제37조 — 별도 기준 없음; DUAA에 따른 고위 경영진의 책임 | 제37조 — 정해진 경우에 의무 |
| 주된 감독기관 | ICO(단일) | 27개 감독기관에 걸친 EDPB 원스톱숍 메커니즘 |
| 침해 통지 | ICO에 72시간(EU와 동일) | 주된 감독기관에 72시간 |
| 정보주체 열람 요청 응답 | 1개월 + 2개월 연장(EU와 동일) | 1개월 + 2개월 연장 |
| 특별 범주 데이터(제9조) | DPA 2018 부칙 1은 고용, 공중보건, 연구 분야의 처리 조건을 추가 | 제9조 + 회원국 법률 |
| 공공 부문 프레임워크 | DPA 2018 제3부(법 집행) + 제4부(정보기관) | 법 집행 지침 2016/680(GDPR와 별개) |
예. 브렉시트 이후 EU와 영국은 제27조 목적상 별개의 관할권입니다. 양 지역의 사람들에게 서비스를 제공하는 비EU/비영국 컨트롤러는 EU 대리인과 영국 대리인이 모두 필요합니다 — 단일 공급자를 통해 조율할 수 있으나 법적으로 별개의 실체여야 합니다.
DPDI 제안 이후 정치적으로 논의되어 왔습니다. 현행 적정성 결정(2021년 6월)은 연장 조항과 함께 최소 2025년 6월 27일까지 유효합니다. 집행위원회는 영국의 개혁을 모니터링하고 있으며 — 중대한 분기(정보주체 권리, 제3국 이전 체제의 대규모 변경)는 검토를 촉발할 수 있습니다.
대부분의 경우 가능합니다. 각각의 컨트롤러를 식별하고, 두 대리인을 명시하며, 불만 제기를 위해 두 당국을 모두 언급하십시오. 동의 연령의 차이와 연령 적합 설계 규약으로 인해 아동이 접근할 가능성이 있는 서비스에는 영국 전용 섹션이 필요할 수 있습니다.
전면 재작성이 아닌 표적화된 개혁입니다 — 보호장치가 있는 경우에 대해 자동화된 의사결정 조항이 완화되고, 연구 처리가 명확해졌으며, 스마트 데이터 및 디지털 신원 제도가 도입되었습니다. 대부분의 일상적 준수 사항은 변경되지 않았습니다.
예 — 영국에 설립되어야 합니다. 영국에 거주하는 자연인 또는 영국 법인이 자격을 갖춥니다. 사서함 전용 서비스는 ICO에 의해 거부되어 왔습니다.
통제 항목을 한 번 매핑하면 두 번 준수합니다. RegulatoryBridge는 단일 DSAR 파이프라인, 단일 DPO, 단일 침해 대응 매뉴얼을 제공하여 — 두 프레임워크를 모두 커버합니다.