| 내용 |
지난 11월 20일 영국의 개인정보감독기구인 ICO(Information Commissioner rsquo;s Office)는 유럽연합의 일반개인정보보호규정(GDPR, General Data Protection Regulation)에 정의된 필요요건에 부합하기 위해 제시된 구속력 있는 기업규칙(BCR, Binding Corporate Rules)을 적용하는데 있어 필요한 권고를 제시했다. BCR은 개인정보를 유럽경제지역(EEA, European Economic Area) 이외로 전송할 때 필요한 법률 메커니즘 중 하나로 GDPR에 명시되었다. 다수의 기업들은 BCR을 어떻게 적용할 수 있을까에 대한 연구를 진행 중이다. 영국 ICO는 2018년 5월 25일 GDPR 시행 이후에도 BCR 신청을 계속 접수할 것이라고 밝혔다. 그리고 2019년 3월 말로 예정된 영국의 유럽연합 탈퇴가 현재 ICO에서 심사 중인 약 40여건의 BCR 신청서에 영향을 미치지는 않을 것이라고 밝혔다. 더불어 ICO는 BCR 승인 프로세스의 단계에 대해 아래와 같이 안내했다. o BCR을 신청하고자 계획하는 기업: BCR 허가 신청을 고려하는 기업들은 신청내용이 GDPR에서 요구하는 요건을 준수해야 한다. ICO에 제출되는 어떠한 신규 BCR 신청도 GDPR이 효력을 발휘하는 2018년 5월에 승인될 것이다. o 현재 ICO에 신청 접수된 건: ICO는 GDPR에서 요구하는 사항을 준수하지 못하는 BCR 신청내용을 찾고, 해당 기업에 대해 신청서 내용을 업데이트하도록 요청할 계획이다. ICO는 GDPR 효력발생에 따라 BCR 승인 프로세스를 개선하기 위해 추가적으로 직원을 채용해오고 있다. o 이전에 승인된 BCR: 이전에 ICO에 의해 BCR을 승인받은 기업들은 자신들의 BCR이 GDPR에 부합하는지 점검해야 한다. ICO는 BCR이 규제환경의 변화를 고려하고 있는지에 대해 기업들이 점검하고, 이를 반영한 내용을 신고하도록 권고하고 있다. 영국 ICO는 제29조 작업반이 기존의 BCR에 대한 가이던스에 GDPR을 반영하여 업데이트할 예정이며, 이 가이던스는 금년 말 이전에 발표될 것이라고 밝혔다. |
