SAR에 대한 대처 – 고용주가 파악해야할 새로운 지침이 있나요?
Information Commissioners Office(ICO)는 2022년 4월부터 2023년 5월까지 Subject Access Request (SAR)과 관련하여 15,000건 이상의 민원을 접수했습니다. 이에 따라 ICO는 고용주를 위한 SAR 대응 지침을 발표하게 되었습니다.
ICO는 기업들이 SAR과 이에 대한 의무를 충분히 이해하지 못하고 있다고 생각합니다. 따라서 본 뉴스레터에서는 고용주가 참고할 수 있는 ICO의 주요 사례를 중심으로 SAR 준수에 대한 유용한 정보를 소개하고자 합니다.
SAR 이란 무엇이며 직원들이 SAR을 제출하는 이유는 무엇인가요?
영국에서는 데이터 보호법[일반 데이터 보호 규정(General Data Protection Regulations (“GDPR”)) 및 데이터 보호법 2018(Data Protection Act 2018 (“DPA”))]에 의거하여, 모든 개인에게 기관이 보유한 개인 정보에 접근할 수 있는 권리가 있습니다. 이를 Subject Access Request (SAR)라고 합니다.
직원 혹은 전직 직원은 귀사가 보유한 개인 데이터의 사본에 접근하기 위해 SAR을 작성합니다. 보유한 정보가 최신 상태인지 확인하고 싶거나 데이터가 부적절하게 처리되고 있다고 판단할 수 있기 때문입니다. SAR은 직장 내 갈등이 지속될 때 주로 이용되며, 직원은 SAR을 통해 해당 사안과 관련이 있거나 관련이 있을 수 있다고 생각되는 정보를 수집할 수 있습니다. SAR은 일반적으로 보다 유리한 합의안을 도출해 내기 위한 수단으로 이용됩니다. SAR에 대응하는 것이 관련 데이터의 분량에 따라 고용주에게 매우 시간이 많이 소요되는 절차가 될 수 있기 때문입니다.
고용주가 직원에게 요청하는 정보가 정확히 어떤 것인지 설명해 달라고 요청할 수 있나요?
그렇습니다. 간혹 직원이 '나에 대해 어떤 정보를 갖고 있나요'와 같은 막연한 요청을 보내는 경우, SAR의 전형적인 사례임에도 불구하고 해당 직원이 정확히 어떤 개인 데이터를 요청하는 것인지 파악하기 어려울 수 있습니다. 이러한 요청에 대응하기 전에 해당 직원에게 구체적으로 요청하고자 하는 정보와 데이터 처리 활동을 설명해 달라고 요청할 수 있습니다.
이러한 요청에 대하여 최대 1개월 이내에 대응해야 하며, 직원이 명확한 설명을 할 때까지 처리 기한이 보류됩니다. 그러나 개인 데이터 공개를 요청한 것에 대해 해당 직원의 설명이 반드시 필요하거나, 대량의 데이터를 처리해야 할 경우에 한하여 이러한 조치가 허용됨으로 신중을 기해야 합니다. 직원이 요청을 거부하거나 범위를 좁힐 수 없는 경우, ICO는 고용주가 요청을 준수하기 위해 합리적인 수준의 조사를 수행하기를 권장합니다.
단순히 절차를 지연시키기 위한 목적으로 해당 요청을 제출한 직원에게 구체적인 설명을 요구하거나 요청을 이행하지 않는 경우, ICO에 민원이 제기될 수 있으므로 적극적으로 요청을 이행하거나 절차를 준수하기 위해 노력하는 것이 중요합니다.
직원이 수신한 모든 이메일을 반드시 공개해야 하나요?
ICO는 이메일 내 정보가 해당 직원의 개인 정보인지 여부를 판단하는 것은 궁극적으로 고용주에게 달려 있음을 분명히 밝혔습니다.
다음 사항을 유념하시기 바랍니다:
- 개인 데이터에 대한 권리는 이메일에 포함된 요청 직원의 개인 데이터에만 적용됩니다. 따라서 SAR을 준수하기 위해 이메일의 일부를 공개해야 할 수도 있습니다.
- 이메일의 주된 내용이 요청하는 직원에 관한 것이 아니라고 해서 해당 직원의 개인 데이터가 포함되어 있지 않다는 의미는 아닙니다.
- 해당 데이터 공개를 요청하는 직원이 이메일을 받았다고 해서 이메일 내용 전체가 해당 직원의 개인 데이터가 되지는 않습니다. 이메일 주소와 이름은 개인 데이터이므로 반드시 공개해야 하며, 이를 판단하는 데는 전후 맥락이 중요합니다.
사례 소개 - 직원이 모든 이메일의 사본을 요청하는 경우
한 직원이 본인의 개인 데이터가 포함된 모든 이메일의 사본을 요청했습니다. 여기에는 최다 실적을 달성한 팀원을 시상하는 팀 이벤트에 초청하는 내용도 포함되어 있었습니다. 또한 가장 실적이 좋은 팀원 5명이 포함된 일명 '리그 테이블'도 포함되어 있었습니다.
해당 내용은 요청하는 직원과 연관된 것으로서 이메일은 해당 직원의 개인 데이터로 판단되므로 공개해야 합니다. 단, 이메일에 기재된 기타 직원의 이름은 삭제한 후 공개해야 합니다.
소셜 미디어 전반의 검색 내용을 포함시켜야 하나요?
그렇습니다. 회사에서 Facebook, WhatsApp, Twitter와 같은 소셜 미디어 플랫폼과 Microsoft Teams 및 Zoom과 같은 채팅 플랫폼을 사용한다면, 귀사가 해당 페이지에서 정보를 처리하는 주체가 됩니다.
개인용 WhatsApp 채팅을 업무 목적으로 사용하는 경우, 이러한 대화 내용도 공개 대상이 될 수 있다는 점에 유념해야 합니다. 영국 GDPR은 상업적 혹은 업무적인 맥락에서 수행되는 모든 소셜 미디어 활동에 적용됩니다.
따라서 SAR 요청을 받은 경우 이러한 플랫폼도 반드시 검색해야 합니다.
아울러 타사로부터 공유 받은 소셜 미디어 게시물도 함께 살펴볼 필요가 있습니다. 일례로, 회사에서 운영하는 활동 및 이벤트에 대해 직원들이 댓글을 게시할 수 있는 페이스북 페이지가 있을 때 직원이 회사 페이스북 페이지에 게시된 댓글을 포함하여 자신의 개인 데이터에 대한 SAR을 제출한 경우, 고용주는 해당 소셜 미디어 게시물을 검토하고 SAR 대응으로서 해당 직원에게 제공해야 합니다.
만약 요청한 내용에 다른 사람의 개인 데이터가 포함되어 있다면 어떤 조치를 취해야 하나요?
- Witness statements (증인 진술서)
고용주와 HR 담당자는 종종 직원의 개인 데이터 공개 요청에 따라, 다른 직원의 내부 징계 및 조사 절차상 증인 진술서를 공개해야 하는지에 대한 문제에 직면합니다.
ICO는 고용주와 HR 담당자에게 이러한 부분에 대한 새로운 지침을 제공하여 기밀 유지 의무를 상기시킵니다. 진술서를 제공할 때 직원 혹은 개인에게 기밀 유지에 대한 책임이 주어지며, 이들의 신원을 보호할 다른 방안이 없는 경우, 요청에 대한 대응 시 이러한 진술의 공개는 보류되어야 합니다.
사례 소개 - 증인 진술서 사본 요청이 제기된 경우
한 직원으로부터 해당 직원이 연루된 것으로 의심되는 부하 직원에 대한 괴롭힘 혐의에 대한 증인 진술서 사본을 요청받았습니다. 이 진술을 기밀로 유지한다는 조건으로 사건을 목격한 동료의 목격자 진술서를 제공받았을 경우,
우선은 다음과 같은 사항을 고려해야 합니다.
- 요청자 혹은 증인의 어떤 개인 데이터가 진술서에 포함되었는지 확인.
- 증인이 회사 인사팀으로부터 기밀 유지 보장을 받았는지 여부 확인.
- 작성자의 신원을 공개하지 않고 해당 진술서 내용을 수정할 수 있는지 여부 확인.
상기 사항을 감안하여 증인 진술서를 공개하지 않기로 결정한 근거는 다음과 같습니다:
- 기밀 유지에 대한 조건으로 제공된 경우
- 진술서를 수정하더라도 작성자의 신상이 노출되는 것을 방지할 수 없을 경우
이를 통해 ICO의 새로운 지침을 준수하게 됩니다.
- Whistleblowing (내부 고발)
내부고발자의 제보에는 위법 행위가 의심되는 사람에 대한 데이터뿐만 아니라 제보자나 기타 목격자의 개인 데이터도 포함될 수 있습니다.
요청자의 데이터 열람권과 내부고발자의 기밀유지권이 균형 있게 행사되어야 합니다.
내부고발자는 1998년 Public Interest Disclosure (PIDA 1998)에 의해 법적으로 보호를 받습니다. 따라서 PIDA와 데이터 보호법의 상충되는 이해관계 사이에서 균형을 유지해야 합니다.
사례 소개 - 내부고발자가 FCA에 제보하는 경우
한 은행 직원이 관리자에 대한 내부 고발 제보를 FCA(Financial Conduct Authority)에 제기합니다. 해당 관리자는 이후 HR팀에 SAR을 요청합니다. 은행은 현재 진행 중인 관리자에 대한 조사에 영향을 미치지 않기 위해 해당 요청에 대한 내부 고발 보고서를 공개하지 않기로 결정하며, 이는 합법적인 준수 거부의 사례가 될 수 있습니다.
How 3CS can help
SAR에 어떻게 대응해야 하는지 혹은 기타 고용법 문제에 대한 지원과 자문이 필요하시면 3CS 담당자에게 문의하시기 바랍니다.
