[EU의 데이터보호] GDPR의 데이터 주체와 권리

유럽의 데이터 보호 관련 법령은 개인에게 데이터를 처리하는 조직에 대해 집행할 수 있는 권리의 범위를 제공해왔다. Data Protection Directive(‘Directive’)와 비교할 때, GDPR은 매우 광범위한 범위의 권리를 포함하고 있으므로 이 점에서 상당히 복잡하다. 이것은 부분적으로 개인의 권리를 강화하는 것이 새로운 데이터 보호 프레임워크를 제안하는 유럽 집행위원회(Commission)의 주요 목표 중 하나이기 때문이다. GDPR 제12~23조에 명시된 데이터 주체의 권리는 개인 데이터를 합법적으로 처리하는 조직의 능력을 제한할 뿐만 아니라, 조직의 핵심 비즈니스 프로세스와 비즈니스 모델에도 상당한 영향을 줄 수 있다.

이러한 권한은 다음을 포함한다.

GDPR 제12조 (2)항은 조직이 데이터 주체 권리의 행사를 용이하게 하도록 요구한다. Directive는 조직이 데이터 주체의 신원을 확인하도록 명시적으로 요구하지 않았지만 GDPR에서는 이제 컨트롤러가 데이터 주체의 신원을 확인하기 위해 모든 합당한 노력을 기울일 것을 요구한다. 결과적으로 컨트롤러가 데이터 주체의 신원에 대해 합당한 의심이 있는 경우 컨트롤러는 이를 확인하는 데 필요한 추가 정보 제공을 요청할 수 있다. 즉, 컨트롤러는 보유하고 있는 특정 데이터를 특정 데이터 주체에 연결하기 위해 추가 개인 데이터를 수집할 의무가 없다.

또 다른 운영 측면은 데이터 주체의 요청을 존중하는 시간 프레임을 의미한다. 사전에 컨트롤러는 요청을 수신한 것을 확인하고 요청한 내용을 확인하거나 명확히 해야 한다. 제12조 (3)항은 응답을 위한 관련 시간대를 설명한다. 요청 접수로부터 1개월이 정상적인 시간 프레임이어야 하고, 이는 특정 상황 및/또는 특히 복잡한 요청의 경우 2개월 더 연장될 수 있다. 그러나 첫 달 동안 조직은 사용자의 요청에 따라 행동할 수 있는지 여부를 결정해야 한다. 조직에서 진행하지 않기로 결정한 경우 데이터 주체에게 이를 알리고 규제 당국에 불만을 제기할 수 있는 기회에 대해서도 조언해야 한다.

형식 면에서 GDPR은 기술 기반 프로세스를 수립하고 의존하는 것을 목표로 한다. 이메일 등 전자적으로 수신된 요청은, 데이터 주체가 다른 것을 원하지 않는다면 전자적으로 응답해야 한다. 이것은 단순한 요구 사항처럼 보이지만, 기업은 기술 수단을 통해서만 권리를 존중할 수 있는 잠재적인 보안적 함의를 과소평가하면 안 된다. 이메일 암호화가 민감한 정보에 대한 보안 통신을 제공하는 수단으로 아직 널리 퍼져 있지 않기 때문에, 회사는 안전하고 책임 있는 방식으로 정보를 전자 방식으로 제공하는 방법을 채택해야 하는 문제가 있다.

투명한 의사소통의 일반적 필요성과 정보에 대한 권리 (Rights to be informed)

데이터 컨트롤러의 활동에 대해 제대로 알지 못하면 개인정보 보호 권리를 보장할 수 없으므로, 투명성은 모든 데이터 보호 시스템의 기본 요소이다. 본질적으로, GDPR에 의해 설정된 권리는 데이터 주체가 처리의 성격을 이해하고 추가 법적 권리를 행사하기 위해 필요한 모든 정보를 요구한다. 결과적으로, 제12조 (1)항은 조직이 전달한 모든 정보가 명확하고 평이한 언어를 사용하여 ‘간결하고, 투명하며, 알기 쉽고 접근하기 쉬운 형태’로 제공되어야 한다.

GDPR 제13조에 따라, 데이터 주체는 컨트롤러와의 관계를 설명하는 특정 정보를 제공받을 권리가 있다. 여기에는 컨트롤러의 신원 및 연락처 세부 정보, 개인 데이터 처리의 사유 또는 목적, 법적 근거, 해당 데이터 수신자(특히 제3국에 거주하는 경우) 및 공정하고 투명한 데이터 처리를 보장하기 위한 기타 관련 정보가 포함된다. 또한 데이터 주체가 자신의 권리를 효과적으로 발휘할 수 있도록 하기 위해 제3자로부터 수집되거나 획득된 경우, 컨트롤러는 데이터의 출처를 식별해야 한다(제14조).

이 권리에 대한 자세한 설명은 GDPR 제13조 및 제14조에 명시되어 있다.

접근권 (Right of access)

제15조에 규정된 GDPR의 접근권은 제13조와 제14조에서 보다 수동적인 정보 권리에 능동적으로 대응한다는 의미이다. 조직이 알고 있는 개인 데이터에 대해서 더 구체적으로 왜 그리고 어떻게 보유하고 있는가에 대해서 알기를 원하는 데이터 주체에게 얘기해야 한다. Directive와 비교하여, GDPR은 회사가 제공해야 하는 필수 정보 범주를 상당히 확대한다.

GDPR은 데이터 주체가 자신과 관련된 개인 데이터의 처리 여부와 관련하여 컨트롤러로부터 확인받을 수 있는 권리가 있음을 규정한다. 이 경우 개인 데이터에 대한 액세스를 제공하는 것 외에도 데이터 주체는 다음 정보를 받을 권리가 있다.

실제로 이러한 유형의 요청은 조직에 상당한 관리 부담을 초래할 수 있으므로, 이 작업을 돕기 위해 어떤 유형의 프로세스가 필요한지 고려해야 한다.

정정권 (Right to rectification)

GDPR에 따른 이 권리의 범위는 Directive에서 크게 변경되지 않았다. 간단히 말해서 데이터 주체는 부정확한 개인 데이터를 수정할 권리가 있으며, 컨트롤러는 부정확하거나 불완전한 데이터를 지우거나 수정하거나 정정하도록 보장해야 한다. 이러한 권리는 운영상 상당한 노력이 필요할 수 있다. 데이터베이스의 잘못된 항목을 정정하는 것은 일반적으로 조직에서 단 하나의 분리된 문제가 아니다. 데이터는 종종 상호 연결되고 그런 식으로 처리되기 때문에 데이터의 어떤 변경 사항이든 더 큰 결과를 가져올 수 있다.

삭제권(‘잊혀질 권리’: Right to erasure (‘right to be forgotten’))

소위 잊혀질 권리(RTBF, Right To Be Forgotten)는 아마도 집행위원회의 원래 제안에서 가장 적극적으로 주도면밀하게 다룬 측면 중 하나일 것이다.

제17조 (1)항은 다음과 같은 경우 데이터 주체가 자신의 개인 데이터를 지울 수 있는 권리를 획득하도록 규정한다.

또한, GDPR 제17조 (2)항은 컨트롤러가 개인정보를 공공장소(예: 전화 번호부 또는 소셜 네트워크)에 공개하고 데이터 주체가 지우는 권리를 행사할 경우, 컨트롤러로서 이 공개된 개인 데이터를 처리하는 제3자에게 데이터 주체가 이 권한을 행사했음을 알리기 위해 컨트롤러는 합리적인 수단(기술적 솔루션을 적용하되 비용을 고려하여)을 택해야 한다. 잊혀질 권리가 입법 과정에서 얼마나 중요한지 감안할 때, 규제 당국은 이 권리를 충분히 존중하는 것의 중요성을 강조한다고 가정하는 것이 합리적이다.

삭제 권리에 대한 면제 조항은 제17조 (3)항에 열거되어 있어, 조직은 다음을 위해 처리가 필요한 경우 데이터 주체의 요청을 거부할 수 있다.

GDPR은 또한 데이터 주체가 개인 데이터가 공개된 수령자의 신원에 관한 정보를 요청할 수 있는 권한을 부여한다. 결과적으로, 제19조는 컨트롤러가 개인 데이터를 특정 제3자에게 공개하고 데이터 주체가 그 후 정정, 삭제 또는 차단에 대한 권리를 행사한 경우, 해당 제3자에게 데이터 주체가 그러한 권리를 행사한 사실을 통보해야 한다는 것이다. 컨트롤러는 이를 준수하는 것이 불가능하거나 컨트롤러가 입증해야 하는 불균형한 노력이 필요한 경우에만 이 의무에서 면제된다. Recital 66이 언급한 바와 같이, 지우는 권리의 확대는 온라인 환경에서 특별히 잊혀질 권리를 강화하는 것을 의미한다. 개인 데이터는 온라인에서 일단 공유되고 배포되면 제어하기 어렵기로 악명 높다. 그래서 온라인 서비스 제공자들은 실제로 이 의무를 다루는 것이 매우 어렵다는 것을 알게 되는 경우가 대부분이다.

운영상의 영향 측면에서, 이는 GDPR이 데이터 주체에 부여하는 새로운 권리를 실시하기 위한 시스템 및 절차를 구현하는 것 외에도, 그러한 권리의 실행에 대해 영향을 받은 제3자에게도 안정적으로 알리기 위한 시스템 및 절차를 구현해야 한다는 것을 의미한다. 많은 수의 제3자에게 개인정보를 공개하는 조직의 경우 이러한 조항들은 특히 부담스러울 수 있다.

처리 제한권 (Right to restriction of processing)

Directive는 특정 근거로 처리를 제한할 권리를 직접적으로 언급하지 않았다. 대신 데이터의 ‘차단’을 요구할 권리를 제공했다(제12조 (b)-(c)). 일부 회원국의 법률에 따라 컨트롤러가 데이터를 보관할 수 있음을 의미하지만, 해당 권한이 적용되는 기간에는 컨트롤러가 그 데이터를 사용하지 않아야 한다는 것을 의미한다. 어떤 면에서 이것은 데이터 자산을 사실상 폐기하지 않고, 일시적으로 동결시키는 것을 의미한다.

GDPR 제18조는 유사한 것을 설정한다. 데이터 주체는 다음과 같은 경우에 개인 데이터의 처리를 제한할 권리가 있다.

운영 측면에서 볼 때 조직은 데이터 주체가 GDPR에 따라 개인 데이터 처리가 제한되도록 요구할 수 있는 광범위한 상황에 직면한다. 이것을 기술적으로 구현할 방법론은 정해져 있지 않다. Recital 67은 “선택한 데이터를 다른 처리 시스템으로 일시적으로 이동하거나 선택한 개인 데이터를 사용자가 사용할 수 없도록 만들거나 웹 사이트에서 일시적으로 제거하는 것”으로 이 권리를 준수할 수 있다고 제안함으로써 몇 가지 지침을 제공한다.

데이터 이동권 (Right to data portability)

데이터 이동성은 GDPR에서 새롭게 등장한 용어이다. GDPR 제20조는 데이터 주체가 컨트롤러에 제공한 개인 데이터를 구조화되고 일반적으로 사용되는 기계로 읽을 수 있는 형식으로 받을 권리가 있음을 명시한다. 또한 컨트롤러에서 지장 없이 다른 컨트롤러로 데이터를 이전할 권한이 있다. 기술적으로, 컨트롤러는 데이터를 사용 가능한 방식으로 데이터 주체로 넘겨주거나, 또는 요청 시(제20조 2항) 기술적으로 가능할 경우 데이터 주체가 선택한 수신자에게 직접 데이터를 이전해야 한다.

일부 조직의 경우 컨트롤러 간에 개인 데이터를 이전할 수 있는 이 새로운 권한으로 인해 새로운 시스템과 프로세스에 대한 막대한 투자가 필요하다. 뿐만 아니라, 이 특정 조항에 대한 많은 문제는 기업이 프로세스를 수립할 수 있도록 규제 기관에 의해 추가 지침이 필요하다. 특히 현대 정보 서비스를 위한 ‘구조화되고 일반적으로 사용되는 기계로 읽을 수 있는’ 형식이 무엇인지, 또는 컨트롤러 간 직접 이전의 맥락에서 ‘장애’ 및 ‘기술적 타당성’의 한계점이 어떻게 결정되는지의 문제는 여전히 남아 있다.

반면에 일부 조직에서는 이 새로운 권한이 비즈니스 기회로 판명될 수 있다. Recital 68은 명시적으로 이 조항은 데이터 컨트롤러가 데이터 이식성을 가능하게 하는 상호 운용 가능한 형식을 개발하도록 장려하기 위한 것이라고 명시한다. 회사는 과거처럼 사용자가 새로운 계정을 설정하는 것을 꺼렸을 때보다 쉽게 ​​경쟁자로부터 고객을 유치할 수 있다. 개인 데이터의 이동권은 PSD2(Payment Service Directive 2)를 통한 지침을 참고할 수 있지만, 개인의 동의의 초기값 측면에서 GDPR과 PSD2의 지향점은 조금 다르다고 할 수 있다.

개인 데이터의 이동권을 구현하는 또 다른 움직임으로는 PDS(Personal Data Store) 분야로 분류될 수 있는 마이데이터이다. 그러나 개인 데이터의 이동권 역시 디지털 형태로 데이터를 제공하는 경우, 워터마크 형태로 추적이 가능할 뿐 이미 유통된 데이터를 기술적으로 제어할 수 있는 방법은 없다. 그렇기 때문에 진정한 데이터 주권을 위해서는 데이터 자체를 주지 않고 이용할 수 있는 새로운 데이터 이용 플랫폼의 도입이 필요하다. 특히 마이데이터 산업계에서는

반대권 (Right to object)

제21조 (1)항에 따라, 컨트롤러가 정당한 이익을 기초로 하여 데이터 처리를 정당화할 때마다, 데이터 주체는 그러한 처리에 반대할 수 있다. 결과적으로, 컨트롤러는 처리를 위해 설득력 있고 합법적인 근거를 입증할 수 없다면 더 이상 데이터 주체의 개인 데이터를 처리할 수 ​​없다. 이러한 근거는 법적인 요구 사항을 수립, 실행 또는 방어하는 것과 같이 데이터 주체의 이익, 권리 및 자유를 무시하기에 충분히 설득력이 있어야 한다.

Directive 14조에 따르면 데이터 주체는 이미 직접 마케팅 목적으로 개인 데이터 처리에 이의를 제기할 권리가 있다. GDPR에서는 프로파일링이 명시적으로 포함된다. 또한, 데이터 주체는 늦어도 최초의 통신 시점에, 명시적으로 명확하게 별도로 반대권을 통지받아야 한다.

과학적 및 역사적 연구 목적이나 통계 목적으로 개인 데이터가 처리된다는 제21조 6항에 의거하여, 공익을 이유로 실행된 작업의 수행을 위해 처리가 필요하지 않은 경우에만 반대권이 존재한다.

자동 의사결정의 대상이 되지 않는 권리 (Rights related to automated decision making including profiling)

자동 처리를 기준으로 평가되지 않을 권리는 위에 언급한 반대권과 밀접하게 관련되어 있다. 그러나 제22조는 적용 범위가 좁다는 점을 고려하는 것이 중요하다. 자동화된 의사결정의 대상이 되지 않을 수 있는 권리는 이러한 결정이 자동화된 처리만을 기반으로 하고 데이터 주체와 관련하여 법적 효력을 발생하거나 이와 유사하게 크게 영향을 미치는 경우에만 적용된다. 그러나 이러한 모호성 때문에 이러한 용어에 대한 추가 설명과 규제 당국으로부터의 확실한 가이드가 필요할 것이다. ‘자동화된 프로세스’가 무엇을 의미하는지에 대한 일반적인 이해가 없으며 어떤 결정이 개인에게 중대한 영향을 미치는지에 관한 견고한 규칙이 없다.

그러나 의사결정 프로세스가 이러한 매개 변수 내에 있는 경우, 법률에 따라 권한이 부여되고 계약 준비 및 실행에 필요한 경우, 또는 데이터 주체의 명시적인 동의를 받아 수행되는 경우, 컨트롤러가 충분한 안전장치를 갖추고 있다는 전제하에, 개인 데이터의 기본 처리가 허용된다. 이러한 안전장치에는 컨트롤러 측에서 인간의 개입을 얻을 수 있는 권리 또는 의사결정에 이의를 제기하기 위해 데이터 주체의 관점을 표현할 수 있는 동등한 효과의 기회가 포함될 수 있다.

또한 이 권리는 궁극적으로 인공지능에 의한 자동 처리를 거부할 수 있다는 점에서 인권을 보장하는 측면도 있다.

데이터 주체의 권리 제한

GDPR의 규범적 성격에도 불구하고 컨트롤러는 제12조부터 제22조까지에 규정된 의무와 권리의 범위에 대한 가능한 제한과 관련하여, EU 또는 회원국 법을 준수해야 한다. 회원국은 제5조의 조항들이 제12조에서 제22조까지에 규정된 권리와 의무에 상응하는 한, 제5조의 원칙에 의존할 수 있다. 특히 회원국은 국가 안보와 국방 또는 공공의 이익을 보호하기 위하여 데이터 주체의 기본적 권리와 자유를 존중하면서, 필요한 규제를 촉진할 수 있다.

맺음말

GDPR에 명시된 바와 같이, 데이터 주체의 권리를 근본적으로 이해하고 포용하는 컨트롤러는 그것들을 privacy-by-design-and-default를 통해 그들의 실무에 반영하고 소비자와의 상호작용에 반영할 것이다. 이러한 권한이 컨트롤러의 비즈니스 모델에 미칠 수 있는 잠재적 영향을 고려할 때, 개인정보 보호 전문가는 리더십과 조직 전체에서 이러한 권리에 대한 주의와 이해를 이끌어낼 수 있는 방법을 찾아야 할 것이다.