영국은행에 따르면 영국은 역대 가장 긴 불황에 직면할 것으로 예상되며 2025년까지 실업률이 거의 두 배가 될 것으로 내다보고 있습니다. 데이터 보호 권리에 대한 인식 증가, 지속적인 경기 침체, 구조조정을 통한 인력 감축의 가능성 증가 등으로 인해 기업들은 개인의 Subject Access Requests 가 증가할 것으로 전망하고 있습니다.
Subject Access Request (SAR)란 무엇인가요?
영국의 데이터 보호 제도(UK GDPR 및 DPA 2018)에 따라 개인은 기업이 보유한 개인정보에 접근할 수 있는 권리가 있습니다. Subject Access Request (SAR)를 실시함으로써 개인(데이터 주체)은 본인과 관련된 어떤 개인 정보가 보유되고 있는지 알 수 있을 뿐만 아니라 정보가 어떻게 사용되는지, 얼마나 오래 보관되는지, 누구와 공유되는지, 기업은 어디로부터 정보를 수집하였는지(개인으로부터 직접 정보를 수집하지 않았을 경우)에 대해서도 알 수 있습니다. SAR을 요청하기 위해 따라야 할 필수요건은 없으며 구두 또는 서면으로 작성될 수 있고 특정 사람이나 연락처로 전달될 필요도 없습니다.
기업은 SAR이 접수되면 어떤 정보를 공개해야 하나요?
SAR이 접수되면 기업은 신청자의 개인 데이터 사본, 요청사항에 포함된 기타 추가 정보와 더불어 처리 목적, 데이터 보유 기간, 정보 공개 대상에 대한 설명을 제공해야 합니다.
SAR에 대한 대응 기한은 어떻게 되나요?
기업은 해당 요청을 받은 후 늦어도 1개월 이내에 SAR에 응답해야 합니다. 그러나 요청 내용이 복잡하거나 한 개인으로부터 여러 가지 요청을 받은 경우(예: 동일한 SAR 안건에서 신청자가 본인의 개인 데이터 삭제를 요구함과 동시에 개인 데이터를 취득 및 재사용을 요구할 경우) 대응 기한을 2개월 더 연장할 수 있습니다.
기업이 신청자 개인에 관한 대량의 정보를 처리하고 있고 SAR에 대응하기 위해 요청 사항을 명확히 할 필요성이 있다고 판단될 경우도 대응 기한 연기가 인정될 가능성이 높습니다.
요청이 복잡한지 그 여부는 기업의 규모 및 리소스 등과 같은 해당 신청의 구체적 상황에 따라 달라집니다. 정당한 대응 기간 연장을 주장하기 위해서는 기업이 왜 구체적 상황에 있어서 해당 요청이 (다른 경우 보다) 복잡한지에 대한 이유를 입증할 수 있어야 한다는 점을 유의할 필요가 있습니다.
SAR은 기업에 어떻게 사용되나요?
SAR은 고용주에 대한 소송 절차를 계획 중이거나 이미 시작한 직원이 법적 전술로 사용할 가능성이 있습니다. SAR을 작성함으로써 직원은 고용 심판 청구에 앞서 증거를 확보할 수 있으며 고용주는 대응을 위해 비용과 시간을 소모할 수밖에 없는 상황에 놓이게 됩니다. 더불어 대부분의 경우 고용주는 개인에게 SAR에 대한 비용을 청구할 수 없습니다. 다만, 해당 개인이 SAR을 청구할 분명한 근거가 부족하거나 청구 내용이 과도한 경우 또는 본인의 데이터 사본을 추가로 요청한 경우에만 해당 요청에 대응하기 위해 관리 비용을 명목으로 합당한 수수료를 청구할 수 있음에 유의할 필요가 있습니다. 이러한 방식으로 직원은 SAR을 법적 전술로 사용하여 고용주에게 조기 및 고액의 화해에 동의하도록 압력을 가할 수 있습니다.
SAR은 다른 어떤 방식으로 사용되나요?
마찬가지로 기업으로부터 보상받기 위한 목적으로 청구를 제기하는 첫 번째 수단으로 SAR을 이용하는 사람도 있습니다. 예를 들어 개인의 상해 청구의 일환으로 본인의 CCTV 영상을 요청할 수 있습니다. 기업과 소비자의 관계에 대한 맥락에서는 불만을 품은 소비자가 기업에 불편을 끼치기 위해 경우에 따라서 단체로 협력하여 SAR을 대량으로 청구할 가능성도 있습니다.
불이행에 대한 처벌은 무엇이 있나요?
Information Commissioner’s Office (ICO)에서 발행하는 가이드라인에 기재된 바와 같이 SAR은 일반적으로 “목표 달성에 맹목적(purpose-blind)”입니다. 이는 개인이 SAR을 제기한 목적에 상관없이 기업은 SAR을 준수해야 함을 의미합니다. 다만, 기업은 해당 개인이 정보 개시를 청구할 합리적 근거가 불충분하거나 청구 내용이 과도하다고 판단되는 경우 SAR 대응을 거부할 수 있습니다. 반면 SAR을 청구한 개인이 거부 사유가 정당하지 않다고 생각되는 경우 ICO에 불만을 제기할 수 있습니다. ICO는 기업에 대해 다양한 조치를 취할 수 있으며 경고, 견책, 집행 통지 또는 처벌 통지를 부과할 수 있습니다. 개인은 규정 미준수에 대한 보상 또한 청구할 수 있으며 법원의 개입을 요청할 수도 있습니다. 더불어 SAR에 따른 정보 공개를 방해하는 행위는 범법 행위임을 염두에 두셔야 합니다. SAR을 준수하지 않음으로써 개인의 청구를 추가로 촉구할 위험을 고려하면 기업이 SAR에 신속하고 적절하게 대응하는 것이 매우 중요합니다.
How 3CS can help
직원은 누구나 어떤 방식으로든 Subject Access Request를 요청할 수 있습니다. 3CS는 직원 교육 및 트레이닝을 제공하여 해당 요구 사항에 대비하실 수 있도록 업무를 지원합니다. 더불어 대응 기간 동안 필수정보만을 제공하고 의도치 않은 정보가 공개되어 불미스러운 일이 일어나지 않도록 관련 법률 자문을 제공합니다.
