[Corporate/Commercial] 2025년 데이터(이용 및 접근)법

영국 정부의 데이터 보호 제도 개편안의 일환으로, 「2025년 데이터(이용 및 접근)법(Data (Use and Access) Act 2025)」(이하 “본 법”)이 2025년 6월 19일 국왕의 재가를 받았습니다. 2026년 2월에는 관련 규정(SI 2026/82)이 시행되면서 본 개혁의 핵심 내용이 단계적으로 시행되고 있습니다.

이에, 기업 비즈니스 운영에 영향을 미칠 수 있는 주요 변경 사항을 살펴보겠습니다.

정보주체 접근요청 (Data Subject Access Requests , “DSARs”)

기업(개인정보 처리자)은 DSAR을 규정에 맞게 처리하기 위해 상당한 시간과 자원을 투자하는 경우가 많습니다. 특히 최근에는 고용 분쟁 과정에서 직원이 자신의 주장을 뒷받침할 증거를 확보하거나 고용주를 압박할 목적으로 DSAR을 활용하는 사례가 증가하고 있습니다. 이에 따라 기업의 실무적인 부담을 완화하기 위해 DSAR관련 요건이 일부 개정되었습니다.

• 기업은 DSAR에 응답할 때 '합리적이고 비례적인(proportionate)' 범위 내에서만 개인정보 검색을 수행하면 되며, 지나치게 광범위한 검색까지 할 의무는 없습니다.
• 기본 응답 기한(1개월)은 기업이 요청을 접수한 시점부터 시작되지만, 신원 확인을 위해 추가 정보를 요청할 경우 해당 정보를 받을 때까지 기한 계산이 중단됩니다.
• 요청이 과도하거나 명백히 근거가 없는 경우 기업은 수수료를 청구할 수 있습니다. 해당 경우 수수료가 납부될 때까지 1개월의 응답 기한은 시작되지 않습니다.

데이터 해외 이전 (International transfers)

개인정보를 영국 외 국가로 이전할 때의 위험 평가 기준도 완화되었습니다. 기존에는 완전히 동등한 수준의 보호 요건이 요구되었으나, 개정 후에는 데이터가 전송되는 국가의 보호 수준이 영국 개인정보보호법(UK GDPR)보다 '실질적으로 낮지 않은지(not materially lower)'를 기준으로 평가합니다.

이에 따라, 더 많은 국가가 데이터 이전 적합국(adequacy)으로 인정될 가능성이 높아졌습니다. 또한, 기업은 보다 다양한 국가 및 지역으로 개인정보를 이전할 수 있게 되어 국제 비즈니스 운영의 유연성이 확대될 것으로 예상됩니다.

자동화된 의사결정 (Automated Decision-Making, ADM)

자동화된 의사결정(ADM)의 오남용은 정보 주체에게 심각한 피해를 줄 수 있어 기존 UK GDPR에 따라 엄격한 제한을 받아왔습니다. 이번 개정을 통해 기업은 이제 일정한 보호 조치를 전제로 ADM 기술을 보다 폭넓게 활용할 수 있게 되었습니다.

• 기업은 적절한 보호 장치를 마련한 경우, 다양한 적법 근거에 기반하여 ADM을 활용할 수 있습니다.
• 다만, 처리 과정이 전부 또는 일부라도 ‘특수 범주 데이터(special category data)’에 기반하는 경우에는 여전히 제한이 적용됩니다.

 ※ 특수 범주 데이터의 예시: 인종 또는 민족 정보, 성적 지향, 종교적·철학적 신념, 건강 정보, 생체 정보, 정치적 견해, 노동조합 가입 여부 등

이러한 민감 정보는 다음과 같은 경우에만 처리할 수 있습니다.

• 정보주체의 명시적 동의가 있는 경우
• 계약상 또는 법률상 필요성이 존재하고, 중대한 공익 목적이 인정되는 경우

결과적으로, 민감 정보가 아닌 일반 개인정보 처리 영역에서는 ADM 활용이 이전보다 훨씬 용이해졌습니다.

정보위원회(ICO) 단속 권한 강화

본 법에 따라 영국 정보위원회(ICO)의 조사 및 집행 권한도 강화되었습니다.

• ICO 조사를 원활히 하기 위해 기업(처리자 및 수탁자) 직원을 상대로 강제 증인 조사를 할 수 있게 되었습니다. 

• 전자 마케팅 통신 규정(PECR) 위반에 대한 벌금 상한도 대폭 인상되었습니다. 이제 ICO는 위반 기업에 최대 1,750만 파운드 또는 전 세계 매출의 4% 중 더 높은 금액을 벌금으로 부과할 수 있습니다.

3CS가 도와드리겠습니다

이번 법 개정에 따라, 귀사의 데이터 처리 문서, 내부 거버넌스 체계 및 실무 운영 방식 전반에 대해 점검 및 업데이트가 필요한지 검토해 보실 것을 권장드립니다. 3CS는 고객이 데이터 개인정보 보호 의무를 명확히 이해하고 GDPR 및 UK GDPR 규정을 준수할 수 있도록 자문해 드리고 있으며, 개인정보 보호 컴플라이언스 점검 및 감사, 개인정보 처리방침 및 고지문 작성, 처리 활동 기록(ROPA) 작성, 해외 데이터 이전 계약서 검토 및 작성, 쿠키 정책 작성, 데이터 유출 대응 자문, DSAR 대응 자문, 임직원 대상 개인정보 보호 교육 및 워크숍 제공 등의 업무도 지원하고 있습니다.

데이터 보호 관련 자문이나 본 법 개정에 관하여 궁금한 점이 있으시다면 언제든지 문의해 주십시오.