개인정보 보호위원회

영국 개인정보 감독기관(ICO)이 영국 GDPR하에서 안전한 데이터 국외 이전을 지원하기 위한 단계별 전송 식별 절차 가이드라인을 발표('26.1.15.)

- 동 가이드라인에서는 조직의 데이터 처리가 ‘제한된 전송'*에 해당하는지 스스로 평가할 수 있는 구체적인 3단계 테스트 식별 프로세스**를 도입

  * 영국 GDPR의 보호를 받는 개인정보가 국외 수신자에게 전송되는 것을 의미   

 ** ① 전송 여부, ② 수신자의 법적 독립성, ③ 수신처의 지리적 위치를 순차적으로 검증

- 개인정보의 국외 이전 시 데이터를 보내는 결정권자(컨트롤러)와 위탁받아 처리하는 자(프로세서) 간의 책임 한계를 명확히 구분하고, 전송 전 수행해야 할 보안 점검 및 실무적 실사의 구체적인 기준을 수립

- 또한 영국에서 미국으로 데이터를 보낼 때 별도의 추가 보호 조치 없이도 안전성을 인정받을 수 있는 '영-미 데이터 프라이버시 프레임워크(DPF) 확장판'의 구체적인 활용 요건과 절차를 안내

- 이 외에도 동 가이드라인은 민감정보 이전 예외 중 하나인 '법적 청구권*'에 대한 최신 법적 해석을 수록했으며, 국외 이전 가이드라인 이해를 돕기 위한 시각적 흐름도와 체크리스트를 추가하여 실무자의 판단 오류 및 컴플라이언스 리스크 최소화를 도모

  * 법적 청구권(legal claim): 소송이나 분쟁에 대응하기 위해 필요한 개인정보를 예외적으로 처리·이전할 수 있는 근거

출처

∙Updated Guidance on International Transfers (Information Commissioner's Office, 2026.1.15.)