EU집행위, EU개인정보보호법(GDPR) 완화 검토

- 한국무역협회 브뤼셀지부 / KBA Europe 제공

EU집행위 법무총국(DG JUST)은 EU개인정보보호법(General Data Protection Regulation, GDPR) 개정안이 5월 발표 예정인 제4차 옴니버스 법안의 일부가 될 것이라고 언급

제30조 ‘처리 활동 기록(Records of processing activities)’ 제5항 개정

현행 규정은 종업원 수 250명 이상의 기업·단체를 대상으로 개인정보 처리활동에 관한 기록의 문서화를 의무화하고 있으나, ①정보주체의 권리와 자유에 위험을 초래할 가능성이 있는 개인정보·②민감정보·③범죄경력·행위와 관련한 개인정보를 처리할 경우 ④처리활동이 비정기적이지 않을 경우에 한하여 종업원 수 250명 미만의 기업·단체에도 의무화하고 있음

동 규정의 적용범위를 종업원 수 500명 이상의 기업·단체로 완화하고, ‘처리활동이 비정기적이지 않을 경우’ 조건의 삭제를 검토 중

제35조 ‘정보보호 영향평가(Data protection impact assessment)’ 개정

현행 규정은 기업이 개인의 인종·종교·노조가입여부·건강정보 등 민감한 개인정보를 처리할 경우 개인정보보호 영향평가를 수행하도록 함

동 규정은 기업이 고용·사회보장 및 사회보호 관련 법령의 법적 의무를 준수하기 위해 민감한 개인정보를 처리하는 경우에 개인정보보호 영향평가 의무를 면제하는 것으로 검토 중

제40조 ‘행위지침(Codes of conduct)’ 제1항 및 제42조 ‘인증(Certification)’ 제1항 개정

기존의 초소형기업 및 중소기업 뿐 아니라 종업원 수 최대 500명까지의 중견기업도 동 조항이 적용되도록 완화하는 것으로 검토 중

EU집행위, 동 개정안을 통해 개인정보보호와 기업이익 사이의 공정한 균형을 도모할 것임을 표명

EU집행위는 일부 개정안이 GDPR 내 타 조항 준수에는 영향을 미치지 않음을 강조

EU집행위는 9일까지 의견 수렴을 진행할 예정이며, 향후 추가적인 조정 가능성도 있음을 시사