박성진  변호사(Solicitor Advocate), 3HR Corporate Solicitors

□ 종합 개인정보 보호 규정(GDPR)
  
최근 이슈가 되는 개인정보 보호규정(GDPR, General Data Protection Regulation) 이 2016년 4월 14일 유럽 의회를 통과했으며, EU 국가 내에서 활동 중인 모든 기업들은 발효일인 2018년 5월부터 새로운 종합 데이터 보호법을 적용해야 한다. 영국 정부는 이를 'post- Brexit' 영국 법령집에 적용시킬 것을 발표했으므로, 기업들은 이에 즉시 대응토록 준비해야 할 것이다.
  
현재 영국에서 개인 정보를 수집하는 기업은 '1995 유럽연합 데이터 보호지침(95/46/EC)'의 국내 구현인 '데이터 보호법 1998(DPA, Data Protection Act)'을 준수해야 한다. DPA는 개인 정보 처리 및 데이터의 수집, 처리 및 저장 대상인 모든 살아있는 개인 또는 '데이터 주체'의 개인 정보를 보호하기 위한 원칙을 수립한다. 
  
2017년 4월에 ICO는 데이터 보호 위반에 대해 총 17만5000파운드 이상이 되는 벌금을 집행한 바 있으며, 향후 GDPR이 발효되면 데이터 개인정보 보호 규정의 위반에 대해 GDPR에서 부과하는 패널티 증가가 예상된다. 이는 연간 글로벌 매출의 최대 4% 또는 2000만 유로 중 큰 값에 해당하는 액수를 벌금으로 지불해야 함을 의미한다.
  
Data Protection Act(DPA)는 개인정보 처리 시 해당 대상자의 동의를 가장 중요시하는데, GDPR은 더 엄격한 규칙을 제공해 EU 데이터 보호 정책의 범위를 확대함으로써 데이터 개인정보 보호를 위한 기존 규제를 변경하게 될 것이다. 동의 요청은 이해하기 쉽게 서술돼야 하며, 대상자가 동의 과정에 참여했음이 명확해야 한다. 또한 동의 후에도 대상자가 원할 경우 언제든지 철회할 수 있음을 알려야 한다. 기업들은 항시 동의 과정을 증거로 제공할 수 있도록 언제나 서면 상 기록을 남겨두어야 한다.
  
기업들은 데이터 대상자의 요청 시 여러 정보를 제공할 수 있어야 한다. 예를 들면, 데이터 보호 관리자 및 담당자의 신원 및 연락처, 데이터 처리 목적 및 법적 근거, 저장된 개인 정보 분류, 개인정보 수령인의 정보, 데이터가 전송된 제3국가의 목록 및 안전보관 조치, 감독당국에 항의 제기 권리, 개인 정보의 출처 및 공개적으로 접근 가능한 출처에서 발췌된 것인지, 개인 정보를 자동으로 사용하는 의사결정의 목록, 이에 대한 중요성 및 자동화 데이터 사용의 결과 등이 해당된다. 기업은 데이터 요청자의 신원이 확인되면 정보를 즉각 제공해야 하며, 과도한 요구가 아닌 이상 상기 내용은 무료로 제공돼야 한다.
 
보유하는 데이터가 부정확하거나 미완성일 경우 GDPR에 의거해 이를 업데이트를 할 의무가 있다. 또한 기업들은 부정확한 데이터를 제공했는지 식별하고, 수령인에게 관련 업데이트를 알려야 하며 개인 정보 삭제에 대한 요구 사항은 특별한 상황을 제외하고 즉각 이행돼야 한다. 때로는 데이터 처리를 중단해야 할 상황이 발생하는데, (데이터 삭제와 달리, 데이터를 처리하지는 않되, 보유만 하는 것) 데이터 정확도에 대한 의구심이 들거나 데이터 처리가 불법일 경우, 또는 더 이상 처리가 불필요한 경우 데이터 처리를 즉각 중단해야 한다. 추가로, 본인의 데이터가 직접적인 마케팅을 위해 활용된다면 이에 대한 이의권을 행사할 수 있다.
  
GDPR는 데이터 위반행위에 대해 당국에 직접 보고할 의무도 도입하며, EU 밖으로 데이터 전송을 제한함으로써 책임과 투명성 또한 증가시킨다. 유럽의 이번 규정 개정은 향후 국경을 넘나드는 개인 정보의 흐름에 큰 영향을 줄 것으로 보이며, 기업들은 이에 대응할 수 있도록 준비해야 할 것이다.
  
□ DPA & GDPR 하에서 피고용인의 열람권(Right of access) 요청
  
  ㅇ 현행 Data Protection Act 1998

 
현행 Data Protection Act 1998에 의거하면, 직원 또는 과거에 고용됐던 직원은 고용주에게 본인의 개인 정보에 대한 접근을 요구할 권리(열람권)가 있다. 개인 정보는 식별 가능한 인적 사항의 정보이며, 고용주가 지닌 다른 개별 정보 즉, 직원에 대한 의견과 의도가 포함된 데이터를 의미한다. 
 
이는 직원의 개인 기록, 업무평가, 징계와 불만사항 기록도 포함되며, 또한 인적 사항 식별이 가능한 정보의 이메일도 제공할 수 있어야 한다. 이에 대한 정보는 너무 광범위해 고용주로써 수행 과정이 매우 부담스러울 수 있다.
 
직원으로부터 열람권 요청을 받은 고용주는 즉시, 늦어도 40일 이내에 요구에 대응해야 한다. 이에 앞서 고용주는 해당 직원에게 10파운드 비용을 부과하면서, 직원의 인적 사항을 확인하기 위한 증빙자료를 요청할 수 있으며, 필요한 데이터를 찾는데 도움이 될 관련 정보 등도 요청할 수 있다.
 
  ㅇ GDPR의 신규 조항
  
2018년 5월 25일부터 General Data Protection Regulation(GDPR)법에 신규 조항이 시행되며, 영국과 모든 EU 회원국에 직접적으로 적용될 것이다. 신규 조항에는 고용주가 정보 요청에 대응하는 의무와 관련해 다음과 같은 변경 사항들이 포함된다. 고용주의 대응기간이 40일에서 한 달로 단축되며, 요청자가 지불하는 비용 폐지, 그리고 더욱 구체적인 정보를 제공해야 한다.
 
그러나 직원의 요구가 복잡할 경우, 고용주의 대응기간은 3개월까지 연장될 수 있다(기존 기간에 2개월 추가). 또한 정보 주체의 요구가 '명백하게 근거 없거나 과도한 경우' 고용주는 합당한 비용을 부과하거나 요청을 거부할 수 있다. 요청을 거부할 고용주는 1개월 이내에 해당 직원에게 결정을 통지하고, 직원의 ICO 항의 제기 권리와 사법 구제를 청구할 권리를 또한 알려야 한다.
  
이와 같이, 직원이 열람권을 요청할 수 있는 권리가 강화되고 개인정보 범위가 광범위해짐에 따라 고용주에게 더 많은 데이터 보호 의무가 부담될 수 있으므로, 영국에 기 진출한 우리 기업과 진출을 앞두고 있는 기업(고용주)은 신속히 준비해 시기 적절하게 대응해야 할 것이다.
  
 
※ 이 원고는 외부 글로벌 지역전문가가 작성한 정보로 KOTRA의 공식 의견이 아님을 알려드립니다.