EU 협상가들은 지난 밤(12월 15일) 개인 정보 보호법을 강화하고 기업이 소비자의 개인 데이터를 처리하는 방법을 결정하는 주요 데이터 보호 개혁에 대한 회담을 마무리했습니다.
데이터 보호 규정은 수천 건의 수정을 거쳤으며 입법 과정에서 4년 동안 가장 많이 로비를 받은 법안 초안 중 하나로 낙인찍혔습니다.
유럽연합과 미국 간의 세이프 하버(Safe Harbor) 데이터 전송 협정을 무너뜨린 10월 유럽사법재판소의 판결에 따라 유럽의 엄격한 개인정보 보호 규정이 주목을 받았습니다.
기술 기업과 개인 정보 보호 변호사들은 새로운 규정으로 인해 유럽의 데이터 보호 규정이 훨씬 더 엄격해질 것이라고 말합니다. 현재 EU 개인 정보 보호법은 1995년 데이터 보호 지침에서 유래되었습니다.
“새로운 개념과 새로운 규칙이 있으며 집행은 확실히 중요한 문제가 될 것이며 더 높은 수준에서 더 많은 제재가 있을 것입니다. 전반적으로 더 심각합니다.”라고 법률 회사 Linklaters의 브뤼셀 사무소에서 데이터 보호 전문 파트너인 Tanguy Van Overstraeten이 말했습니다.
>>읽기: 의회가 데이터 보호 개혁을 승인함
새로운 규정에 따라 사용자는 회사에 잊혀질 권리를 적용하고 더 이상 관련이 없는 개인 데이터를 삭제하도록 요청할 수 있습니다.
1995년 지침과 비교하면 건강에 관한 유전적 데이터를 포함한 더 많은 종류의 개인 정보가 ‘민감한’ 정보로 분류되어 더욱 엄격한 개인 정보 보호 처리가 요구됩니다.
규정을 준수하지 않는 기업은 전 세계 매출액의 최대 4%에 해당하는 벌금을 물게 될 수 있습니다. 이전에 협상가들은 제재 기준을 놓고 충돌했습니다. 의회는 전 세계 매출의 최대 기준을 5%로 원했지만 위원회와 회원국은 2% 상한선을 요구했습니다.
규정에 대한 논의는 회원국이 16세 이하 미성년자가 개인 데이터를 포기하기로 동의하기 전에 부모의 동의를 요구하도록 허용하는 조항에 대한 마지막 단계에서 비판을 불러일으켰습니다.
개인 정보 보호 변호사들은 회원국이 규정을 시행하는 방법의 한 가지 차이점으로 이를 한탄했습니다.
“문서 자체에서 다루어지지 않고 국가 당국의 재량에 따라 다루어질 특정 조항이 있습니다. 이는 많은 불일치를 야기할 것이며 궁극적으로 누구에게도 이익이 되지 않을 것입니다.”라고 Van Overstraeten은 말했습니다.
>>읽기: 기술 업계는 데이터 보호에 대해 마지막 순간에 호소합니다.
협상을 통해 나올 규정의 최종 초안은 목요일(12월 17일) 의회의 시민자유, 정의 및 내무위원회(LIBE)와 2016년 초 본회의의 승인을 받아야 합니다.
EU 회원국은 승인 후 규정을 시행하는 데 2년의 시간을 갖습니다.
규정에 대한 의회 보고관인 독일 MEP Jan Philipp Albrecht(녹색당)은 어제 저녁 최종 협상 세션이 끝난 후 다음과 같이 말했습니다. “새로운 규정은 유럽 전역에 걸쳐 하나의 공통 데이터 보호 표준을 만들어 기업에 법적 확실성을 제공할 것입니다. 이는 관료주의가 줄어들고 유럽 시장의 모든 비즈니스에 공평한 경쟁의 장을 조성한다는 것을 의미합니다.”
원스톱 상점
이 규정은 또한 국가 데이터 보호 당국이 소비자 불만을 처리하는 방법을 개혁할 것입니다. 소위 ‘원스톱 샵’ 조치를 통해 EU 주민들은 본국에서 불만을 제기하고 다른 회원국의 당국과 거래하는 관료적 장애물을 피할 수 있습니다.
독립적인 감독 그룹인 유럽 데이터 보호 위원회(European Data Protection Board)가 회사가 소재한 국가 이외의 국가에 있는 소비자의 불만 사항을 공동으로 처리하는 국가 당국을 조정하기 위해 설립될 것입니다.
이사회는 해당 규정이 EU 전역에 적용되도록 하는 보다 광범위한 임무를 맡고 있습니다.
>>읽기: 유럽의 데이터 당국이 세이프 하버 이후 주목을 받습니다.
이사회를 관리할 사무실인 유럽 데이터 보호 감독관 Giovanni Buttarelli는 “DPA(데이터 보호 당국)는 더 나은 협력을 할 준비가 되어 있다고 생각합니다”라고 말했습니다.
“우리는 유럽 데이터 보호 위원회가 첫 날부터 준비될 수 있도록 다음 단계를 분석할 것입니다.”라고 그는 덧붙였습니다.
국가 당국은 내일(12월 16일) 브뤼셀에서 회의를 열어 새로운 데이터 보호 위원회와 세이프 하버를 대체할 미국과의 향후 데이터 전송 계약에 대해 논의할 예정입니다.
28개 규제 기관으로 구성된 그룹은 10월 ECJ 결정 이후 데이터 전송을 승인하는 보다 적극적인 역할에 적응하고 있습니다.
Buttarelli는 데이터 보호 규정이 2016년 초에 예상되는 미국과의 새로운 협정을 포함하여 향후 개인 정보 보호 법안을 위한 법적 기반 작업을 마련함으로써 “위원회의 단기 및 장기 활동에 대한 매개 변수를 제공”할 것이라고 말했습니다.
데이터 보호 지침
또한 협상가들은 법 집행 기관의 개인 데이터 처리 및 공유에 관한 새로운 데이터 보호 지침의 최종 초안을 어제 승인했습니다.
>>읽기: EU 데이터 개인정보 보호 개혁 가속화