국가정보_영국

행정체계

1개요

ICO(Information Commissioner’s Office)는 영국의 개인정보보호를 규율하는 독립 개인정보보호 감독기관으로 개인정보보호법 및 정보자유법을 근거로 설립되었다. ICO는 1984년 개인정보보호법 신설과 함께 정보등록관(Data Registrar)으로 출발하여 1998년 개인정보보호법을 개정하면서 기관의 역할과 권한을 확대하였고 이에 따라 개정법이 본격적으로 시행되는 2000년 기관명이 개인정보보호위원회(Data Protection Commissioner)로 바뀌었다. 이후 2000년 정보자유법이 신설되어 위원회에 정보공개와 관련한 새로운 업무가 더해지면서 이 법이 시행되던 2001년에 지금의 명칭인 ICO로 바뀌었다.

ICO는 영국 체셔 주 윔슬로우 시에 위치한 본사 사무소와 웨일스, 스코틀랜드, 북아일랜드 등 3개의 지역사무소로 운영되고 있다. 위원회의 수장인 커미셔너(Information Commissioner)를 중심으로 관리위원회(Management board) 구성원이 각각 ▲규제 ▲운영 및 전략기획 ▲규제 전략 서비스 ▲규제 혁신 및 기술 분야를 담당한다. 2020년 기준 직원 수는 약 787명이다.

[표 4] ICO 본사 및 지역 사무소 연락처

공공부문 연방법률
사무소 연락처
본사 주소

Information Commissioner's Office

Wycliffe House, Water Lane, Wilmslow Cheshire, SK9 5AF

전화번호

0303 123 1113

팩스

01625 524510

스코틀랜드 사무소

주소

The Information Commissioner's Office - Scotland

45 Melville Street, Edinburgh, EH3 7HL

전화번호

0303 123 1115

이메일

Scotland@ico.org.uk

웨일즈 사무소

주소

Information Commissioner’s Office – Wales

2nd Floor, Churchill House, Churchill Way, Cardiff, CF10 2HH

전화번호

0330 414 6421

이메일

wales@ico.org.uk

북아일랜드 사무소

주소

The Information Commissioner’s Office – Northern Ireland

3rd Floor, 14 Cromac Place, Belfast, BT7 2JB

전화번호

0303 123 1114

이메일

ni@ico.org.uk

ICO를 총괄하는 커미셔너는 디지털문화미디어스포츠부(Department for Digital, Culture, Media and Sport, DCMS) 장관의 제청으로 영국 왕실이 임명 하고, 왕실로부터 임명된 커미셔너가 위원회의 인사권을 행사하므로 ICO는 인사 측면에서도 타 기관의 영향을 받지 않는다. 집행에 있어서도 커미셔너가 ICO의 모든 권한과 책임을 가지면서 해당 권한을 자신이 의장으로 있는 관리위원회에 위임하는 집단적 의사결정 구조를 띄고 있어, 집행에 있어서도 외부의 영향을 받지 않는다.

2016년 7월부터 커미셔너직을 맡아온 엘리자베스 덴험(Elizabeth Denham)이 2021년 11월 30일 임기를 마치고, 차기 커미셔너로 존 에드워즈(John Edwards)가 임명되었다. 전 커미셔너 엘리자베스 덴험은 디지털 경제 환경 및 GDPR 시행, 브렉시트 결정 등 프라이버시 정책 관련하여 큰 변화와 중대한 결정이 필요한 시기에 재임하여 국내외적으로 활발한 활동을 수행해 왔다. 2018년 10월에는 120개 이상의 회원국으로 구성된 국제개인정보보호감독기구총회(International Conference of Data Protection and Privacy Commissioners, ICDPPC)에서 의장으로 선출된 바 있으며, ICDPPC는 2019년 국제 개인정보보호 감독기구 협의체(Global Privacy Assembly, GPA)로 명칭을 변경하고 기존의 활동을 이어오고 있다. 엘리자베스 덴험을 잇는 존 에드워즈 커미셔너는 약 20년 동안 정보법 전문 변호사로 활동해왔으며, 2014년부터 뉴질랜드의 Privacy Commissioner 직을 역임하고, 2014년부터 2017년까지 ICDPPC 의장을 역임했다.

ICO의 관리위원회는 총 5인으로 구성되며, 커미셔너 이하 구성원 4인(부대표(Deputy Chief Executive Officer) 1인 및 부위원 (Deputy Commissioner) 3인)이 커미셔너의 역할을 보조한다. 관리위원회 운영의 주요 목적은 위원회의 장기적이고 전략적인 성장과 법정 책임을 이행하기 위한 효율적인 조직 운영에 있다.

영국의 EU 탈퇴 이후, ICO는 더 이상 유럽 개인정보보호이사회(European Data Protection Board) 내에서 영향력을 가질 수 없고, 회원국이 아니기에 EU GDPR 체제 하에서 주요 감독기관으로 지명될 수 없다. UK GDPR은 영국이 EU의 협력 및 일관성 메커니즘에 속하지 않는다는 근거로 EU GDPR 제7장(협력 및 일관성) 항목을 생략함으로써 이를 반영하고 있다.

[표 4] ICO 조직도

ICO 조직도

커미셔너
규제담당(부위원장) 운영 및 전략기획담당(부대표)
규제 전략 서비스(부위원장 겸 전무이사) 법률 고문
규제 혁신(전무이사) 전략 혁신(전무이사)

2역할 및 권한

ICO는 개인정보보호(Data Protection)와 표현의 자유(Freedom of Expression) 등 크게 두 가지 업무를 담당한다. ICO에서 관할하는 주요 법령은 영국 일반 개인정보보호법(UK General Data Protection Regulation), 개인정보보호법(Data Protection Act), 정보자유법(Freedom of Information Act), 프라이버시 전자통신 규정(Privacy and Electronic Communications Regulations), 환경정보 규정(Environmental Information Regulations), 공간정보 규정(INSPIRE Regulations), 전자 신원확인 및 인증 서비스 규정(eIDAS Regulation), 공공부문 정보 재사용 규정(Re-use of Public Sector Information Regulations), 네트워크·정보시스템 규정(NIS Regulations), 수사권법(Investigatory Powers Act) 등 총 10가지이다.

[표 5] ICO가 관할하는 개인정보보호 관련 법률

ICO가 관할하는 개인정보보호 관련 법률
구분 주요 내용

·영국 일반 개인정보보호법
(UK General Data Protection Regulation)

·유럽연합 회원국에 직접 적용되는 EU 일반 개인정보보호법을 모태로 하고 있으며 브렉시트 상황에 맞게 일부 수정을 가한 영국식 GDPR

개인정보보호법
(Data Protection Act)

·UK GDPR에서 규정하지 않는 부분을 보충하여 영국 개인정보보호 법제의 또 다른 한 축을 담당하는 영국의 포괄적 개인정보보호법

·정보자유법
(Freedom of Information Act)

·공공기관이 보유하는 정보에 대해 국민의 알 권리를 보장하는 규정

프라이버시 전자통신 규정
(Privacy and Electronic Communications Regulations)

·개인정보보호 일반법을 보완하여 전자통신에 대한 개인정보 관련 권한을 규율하는 규정

환경정보 규정
(Environmental Information Regulations)

·공공기관이 보유하는 환경 관련 정보공개에 대한 규정

공간정보 규정
(INSPIRE Regulations)

·공간정보를 보유하는 공공기관, 또는 공공기관을 대신하여 해당 정보를 보유하는 조직이나 개인에 특정 의무를 부여하는 규정

전자 신원확인 및 인증 서비스 규정
(eIDAS Regulation)

·전자 신원확인 서비스와 신탁 서비스라는 두 가지 영역에서 개인, 기업 및 공공 행정을 위한 온라인 거래의 진행을 보장하는 규정

공공부문 정보 재사용 규정
(Re-use of Public Sector Information Regulations)

·공공기관의 공공부문의 정보 재사용을 독려하고 권장하는 규정

네트워크, 정보시스템 규정
(NIS Regulations)

·주요 기반 서비스 운영자와 디지털 서비스 제공자에 대한 네트워크 및 정보보호 준수 가이드라인을 제공하는 규정

수사권법
(Investigatory Powers Act)

·영국 정보기관 및 경찰 등에 전자적 감시 권한을 확대하는 규정

개인정보보호와 관련하여 ICO는 온라인과 오프라인을 망라하여 공공부문과 민간부문의 모든 분야에서 개인정보 처리가 적법하게 이루어지고 있는지 감독 및 규율하는 직무를 수행한다. 1998년 개인정보보호법 제정 이래 전반적인 개인정보보호 관련 업무를 담당하고 있으며, 2000년 정보자유법(FOIA)을 관장하게 됨에 따라 공공부문에 대한 정보공개 요구에 대한 업무도 함께 수행하고 있다. 실질적으로 개인정보보호 실무규약(Code of Practice)이나 가이드라인 등을 제정·공표하는 역할을 담당한다. 이 외에 개인정보를 취급하는 개인이나 단체의 이름과 주소 등 연락처, 정보처리목적, 수집·보유하고 있는 개인정보 항목 등 정보처리와 관련된 사항들을 민원 접수 기록 및 관리도 담당한다. 개인정보보호 관련 법률 위반, 불만민원 및 고충 신고사항에 대한 조사권을 행사하고 위법 사실이 확인될 경우 과징금 등을 부과하는 권한을 보유하고 있다.

ICO 운영 예산은 정보자유법과 관련한 업무 수행에 관해서는 디지털문화미디어스포츠부로부터 지원받고, 개인정보보호 관련 업무 수행에 관해서는 개인정보를 다루는 각 기업 및 조직이 연간 납부하는 데이터 보호 수수료(Data Protection Fee)를 기반으로 운영된다. 2020년 기준 수수료 수입은 5,320만 5,000 파운드(약 860억 9,367만원)이다.

[표 6] ICO가 징수하는 데이터 보호 수수료

ICO가 징수하는 데이터 보호 수수료
구분 세부 내용

수수료 납부 주체

·개인정보를 처리하는 영국의 모든 조직(개인사업자, 중소기업, 대기업 포함)

수수료 납부 기준

·아래의 규모에 따라 연회비 형식으로 납부

·Tier 1(소규모 조직) : 회계 연도 매출액이 63만 2,000 파운드(약 10억 2,267만원) 이하이거나 직원 수가 10인 이하일 경우 40 파운드(약 6만 5,000원)

·Tier 2(중소기업) : 회계 연도 매출액이 3,600만 파운드(582억 5,340만원) 이하이거나 직원 수가 250인 이하일 경우 60 파운드(약 10만원)

·Tier 3(대기업) : Tier 1 또는 Tier 2에 해당하지 않는 경우 2,900 파운드(약 469만원)

수수료 미납 시 제재

·최대 4,350파운드(약 704만원)의 벌금 부과

지난 수십 년 동안 기술적, 경제적 환경 변화에 따라 개인정보 보호에 대한 중요성이 커지고 감독기구들의 역할과 권한도 커지고 있다. ICO 또한 2010년까지 법규 위반 기관에 대한 범칙금 부과 기능이 없었으나 이후 법 개정을 통해 최고 50만 파운드의 과징금 부과 및 감사 권한이 부여되며 효과적인 법 집행의 토대가 마련되었다. 이후 1998년의 법 개정을 거쳐 GDPR 제정에 맞춰 개정된 2018년 개인정보보호법은 ICO의 법 집행 권한에 한층 힘을 실어 조사 권한이 강화되고, 과징금은 최대 1,750만 파운드(약 283억 1,762만원) 또는 전년도 세계 매출의 4%로 상향되었다.

[표 7] ICO 주요 기능

ICO 주요 기능
구분 내용

법제도 및 정책개발

개인정보 보호법 제․개정 지원 및 개인정보처리자의 법규준수를 증진하기 위한 ‘실행 규칙(code of practice)’ 또는 지침서(guide) 등 개발

법규 준수 감독 및 법 집행

개인정보보호 법규 준수 여부 모니터링 및 조사

법규 위반 사항에 대한 시정조치 및 범칙금 부과 등 제재

컨트롤러 등록 및 관리

컨트롤러의 정보보호 수수료 납부 준수 여부를 감독하고, 등록된 컨트롤러 관리

미납자에 대한 범칙금 부과 등 제재

컨트롤러의 법규 준수 지원

분야별 개인정보 보호를 위한 자가진단 툴킷, 체크리스트, 교육자료 등 자료 개발

자문 방문(advisory visit), 평가 서비스 등 컨설팅 지원

인식제고

기업, 이용자 대상 개인정보보호 캠페인 개최, 동영상/핸드북 등 홍보자료 개발

민원처리

불법 스팸 등 개인정보 침해 민원 접수 및 상담, 처리

개인정보 유출 통지 신고 접수 및 사고 대응

국제협력

개인정보보호 관련 국제기구 및 국제회의에서 영국 대표 기관으로 참가 및 개인정보보호 표준지침서 개발 등에 대응

top