개인 데이터 보호법은 5장 39조로 구성되어 있으며, 인권과 개인의 사생활에 대한 헌법의 규정을 구체화하고 디지털 환경에서 개인 데이터의 수집, 처리 및 보호를 위한 통일된 법적 틀을 마련하기 위해 제정되었습니다.
개인 데이터 삭제 요청 권리가 법제화되었습니다. 제9조 1항 l목에 따르면, 데이터 주체는 자신의 개인 데이터를 삭제하거나 삭제를 요청할 권리가 있습니다. 이 권리는 개인 데이터 보호법 제16조에 구체화되어 있습니다. 구체적으로, 데이터 주체는 데이터 수집의 초기 목적에 더 이상 필요하지 않은 경우, 제12조에 따라 동의를 철회하는 경우, 또는 데이터 주체가 처리에 반대하고 데이터 통제자나 처리자가 계속할 법적 근거가 없는 경우에 개인 데이터 삭제를 요청할 수 있습니다(제16조 1항).
이전에는 데이터 삭제나 제거가 주로 기업의 내부 정책이나 민사적 합의에 의존했으나, 개인 데이터 보호법은 이를 데이터 주체의 권리로 정립하고 데이터 통제자 및 처리자에게 해당 의무를 부여하였습니다. 예를 들어, 과거에 사용자가 대출 애플리케이션이나 온라인 쇼핑을 중단했을 경우, 전화번호, 주소, 거래 정보와 같은 개인 데이터는 기업이 계속 보관할 수 있었고, 내부 정책이나 사용자가 동의한 조항에 맞는다면 마케팅 목적으로도 사용될 수 있었습니다. 사용자는 정보를 삭제하고자 할 경우, 보통 “요청”할 수밖에 없으며 기업의 선의에 의존해야 했습니다.
하지만 2026년 1월 1일부터, 데이터가 초기 목적에 더 이상 필요하지 않거나 사용자가 동의를 철회하는 경우, 개인은 데이터 삭제를 요청할 권리가 생깁니다. 이때 기업은 데이터 통제자 및 처리자로서 이 요청을 검토하고 이행할 의무가 있으며, 법이 허용하는 경우를 제외하고 계속 보관할 수 없습니다.
개인 데이터 보호법은 데이터 주체의 동의 원칙도 규정하고 있습니다. 제11조 2항 및 3항에 따르면, 동의는 법의 규정에 따라 명확하고 구체적으로 적절한 형태로 표현되어야 하며, 개인의 침묵이나 무응답은 개인 데이터 처리에 대한 동의로 간주되지 않습니다.
데이터 삭제 권리는 절대적인 권리가 아닙니다. 데이터 주체에게 권한을 부여하는 것과 함께, 개인 데이터 보호법은 데이터 통제자가 개인 데이터 삭제 요청을 거부할 수 있는 특정 상황을 명확히 하고 있습니다. 제16조 3항에 따르면, 데이터 삭제 요청은 다른 법률에 따른 의무로 인해 데이터 보관이 필요한 경우, 국가의 국방, 국가안보, 사회 질서 및 안전을 위해 필요할 경우, 또는 법률에 따라 조사, 기소, 재판 및 집행 과정에서 권한 있는 기관에 의해 처리되는 데이터에 대해 수용되지 않을 수 있습니다. 이러한 규정은 개인의 사생활 권리와 국가 관리 요구, 공공 이익 및 법 집행 간의 균형을 보장하기 위한 것입니다.
데이터 삭제 요청 권리 외에도, 개인 데이터 보호법은 데이터 처리 활동에 대한 새로운 관리 원칙을 설정하고 있습니다. 제6조 4항에 따르면, 개인 데이터를 불법으로 매매하는 행위는 금지됩니다. 법은 또한 일반 개인 데이터와 민감한 개인 데이터를 분류합니다. 제2조 4항에 따르면, 민감한 개인 데이터에는 건강 상태, 재정, 생체 정보, 사생활, 정치적 견해 등의 정보가 포함되며, 이러한 데이터 처리는 법의 규정에 따라 보다 엄격한 보호 요구 사항을 준수해야 합니다. 아동의 개인 데이터는 더 높은 수준의 보호를 받아야 할 대상으로 확인됩니다. 제20조에 따르면, 아동의 개인 데이터 처리는 동의 및 안전 보장을 위한 엄격한 조건을 충족해야 합니다.
2026년 초부터 시행되는 개인 데이터 보호법은 시민의 사생활 권리를 더욱 강화하고, 개인 데이터 수집 및 처리 활동에 대한 조직과 기업의 책임을 더 명확히 정립할 것으로 기대됩니다.