Data Protection and Digital Information (No.2) (이하 “DPDI”) 법안이 완성을 앞두고 있습니다. 이번 뉴스레터에서는 해당 법안의 배경 및 예상되는 효과를 소개해 드립니다.
DPDI 법안의 배경은 무엇인가요?
DPDI 법안은 2023년 3월 8일 의회에 제출되었습니다. 이 법안은 현재는 대체된 2022년 7월에 소개된 Data Protection and Digital Information 법안의 내용을 대부분 유지하고 있습니다. 본 법안의 목적은 조직의 법률 준법 부담을 줄이고 유연성을 높이는 동시에 높은 수준의 데이터 보호 기준을 유지하는 것입니다.
본 법안은 UK General Data Protection Regulations (UK GDPR), the Data Protection Act (DPA) and the Privacy and Electronic Communications Regulations (PECR)의 개정을 제안하고 있습니다. 하단에서 이러한 변화들에 대해 구체적으로 소개해 드리도록 하겠습니다.
'개인정보'와 관련된 제안된 개정안은 무엇입니까?
현행 UK GDPR에 따르면, '개인정보'는 식별되었거나 식별 가능한 개인과 관련된 모든 정보를 포함합니다. 새로운 법안은 정보가 '식별 가능한 살아있는 개인'과 관련된 정보에 해당하는 상황을 직접 규정함으로써 '개인정보'의 개념을 재정의하려고 합니다. 첫 번째 상황은 처리 시점에 합리적인 수단으로 controller 혹은 processor가 살아있는 개인을 식별할 수 있는 경우입니다. 두 번째 상황은 controller 혹은 processor가 다음과 같은 사항을 알고 있거나 합리적으로 알아야 하는 경우에 해당합니다: (a) 다른 사람이 처리 결과로 정보를 얻을 수 있는 경우; (b) 처리 시점에 합리적인 수단으로 그 사람이 살아있는 개인을 식별할 수 있을 경우.
이와 더불어, 이 법안은 개인을 직접 또는 간접적으로 식별할 수 있는 시기를 명확히 하고자 합니다.
Subject Access Request란 무엇이며, 어떤 변경 사항이 제안되고 있나요?
Subject Access Request (SAR)란 UK GDPR Aritcle 15에 따라 받을 권리가 있는 정보를 요청하는 행위입니다. 현재 data controller는 SAR을 준수하기 위해 수수료를 부과하거나 SAR이 '명백히 근거 없거나' '과도한' 경우에는 이를 준수하지 않을 수 있습니다. 이 법안은 해당 표현들을 '악의적이거나' '과도한'으로 용어를 대체하여 기준을 개정하려고 합니다. 해당 개정에 따라 관리자가 SAR을 준수하지 않거나 준수를 위해 수수료를 부과할 수 있는 상황이 확대될 수 있습니다.
자동화된 의사 결정과 관련하여 제안된 변경 사항은 무엇입니까?
UK GDPR Article 22는 조직이 개인에게 법적 또는 유사한 중요한 영향을 미치는 프로파일링을 포함하여 자동화된 의사 결정을 내릴 수 있는 상황을 제한합니다. 새로운 법안은 해당 Article 22를 개정하여 '인간의 의미 있는 개입이 없는' 자동화된 처리를 기반으로 한 결정을 새로운 정의로써 포함합니다. 또한 새로운 법안은 '인간의 의미 있는 개입'이 있는지를 판단할 때 프로파일링을 통해 결정이 이루어지는 정도를 고려해야 한다고 명시합니다.
새로운 법안은 또한 controller가 데이터 주체와 관련하여 중요한 결정을 내릴 때 (a) 전적으로 또는 부분적으로 개인 데이터에 기반하고; (b) 전적으로 자동화된 처리에 기반하는 경우 적용해야 하는 특정한 보호 방안을 규정하고 있습니다.
국제 데이터 전송과 관련하여 제안된 사항은 무엇입니까?
현행 UK GDPR에 따르면 영국으로부터의 개인정보는 UK adequacy regulation에 적용되는 국가, 지역 혹은 기관에 소속되어 있는 수신인에게 전송될 수 있습니다. Adequacy decision은 특정 국가, 지역 혹은 국게 기관이 적절한 개인 정보 보호 제도를 갖추고 있음을 확인합니다. 새로운 DPDI 법안은 적절성을 평가하는 새로운 ‘data protection test’를 도입합니다. 새로운 테스트는 수신 국가에서의 개인 정보 보호의 정도가 UK GDPR과 비교했을 때 ‘materially lower’한지를 기준으로 평가합니다.
How 3CS can help
당사의 상법, 기업법 변호사 및 컨설턴트들은 영국 국,내외의 다양한 업무 경험을 바탕으로 포괄적인 상법 그리고 기업법 법률 서비스를 제공합니다. Data protection 관련하여 추가적으로 궁금하신 점 혹은 법률 자문이 필요하시다면 다음을 통해 연락 주시기 바랍니다.
