본문 바로가기
IT 와 Social 이야기

[kotra] EU의 일반개인정보보호법(GDPR) 발효와 대응과제

by manga0713 2018. 5. 18.

 

[GDPR 시행에 따른 주요변화]

 

 

 

 

*** 출처: [kotra] EU의 일반개인정보보호법(GDPR) 발효와 대응과제

*** 문서:

18EU의일반개인정보보호법GDPR발효와대응과제.pdf

 

 

 

 

■ 목차

 

 

III. GDPR의 내용과 기업의 준비과제

 

1. GDPR의 개요

2. GDPR의 내용

3. 주요국 정부의 대응

4. 한국 정부의 대응

5. 기업의 준비과제

 

 

IV. 결론

 

1. GDPR의 평가와 전망

2. 대응방안

 

 

 

 

5. 기업의 준비과제

 

5-1. GDPR 인식 제고 및 준비를 위한 조치사항

 

① GDPR 준수를 위한 인식제고

 

- 조직의의사결정에관여하는관리자들의적극적인참여유도

 

- GDPR의 주요 내용을 확인하고, 이를 조직에 알리는 등 적극적인 인식제고 활동수행

 

- GDPR의개인정보처리방식과조직의처리방식의차이분석

 

- DPO를선임하고GDPR 규제조항준수를위한이행계획수립

 

- 조직의책임성이행사항을입증할수있도록적절한문서화수행

 

 

② GDPR의 적용범위 확인

 

- 물적, 지역적, 인적적용범위및적용예외여부확인

 

 

③ GDPR의 준수 검토 및 모니터링

 

- 조직이보유하고있는개인정보의유형과처리방식, 규모파악

 

- 개인정보의 목록 및 흐름을 파악하여 적절한 모니터링과 통제가 이루어질 수 있도록조치

 

- GDPR 전반의요구사항에부응할수있는자체대응체계마련

 

 

 

5-2. 책임성 강화를 위한 조치사항

 

① 개인정보 보호 적용설계(Data Protection by Design and Default)

 

- 조직 내 IT 개발절차를 확인하고, 어플리케이션‧제품‧서비스의 기본 설정이 개인정보보호를 위해 친화적인지 검토하여 부족한 부분에대한 보완을 실시

 

 

② DPO 임명

 

- 개인정보처리를위해의무적으로DPO를임명해야하는지파악

 

- DPO 임명시, 전문적자질, 개인정보보호법령에대한 지식, 감독기관과의협업경험, 관계자와의커뮤니케이션능력고려

 

- DPO의업무독립성을보장하고이해충돌을방지

 

 

③ 개인정보 영향평가(DPIA) 시행

 

- 개인정보영향평가를 의무적으로 수행해야하는 경우에 대해 파악

 

- 개인정보영향평가 실시요건과 방법 파악

 

- 개인정보처리가 이루어지기전에 개인정보영향평가 수행

 

- 감독기구와 협의가 필요한 경우에 대해 파악

 

 

④ 개인정보 국외이전 시 필요사항

 

- 조직에서 처리되는 개인정보를 식별하고 국외이전되는지 확인

 

- 국외이전에 적합한 매커니즘(표준계약, 구속력있는기업규칙(BCR), 행동강령 및 인증 제도 등) 파악

 

- 조직의 개인정보의 이전이 국외이전의 특정한 예외상황(명시적 동의, 계약 이행, 공익상의 이유 등)에 해당하는지 확인

 

 

⑤ 선임 감독기구 파악

 

- 개인정보를 “국외처리(Cross-border processing)”하는지 확인

 

- 선임 감독기구(lead supervisory authority)와 유관 감독기구(concerned supervisory authority) 파악

 

 

 

5-3. 정보주체의 권리 강화를 위한 조치사항

 

① 삭제권(잊힐 권리, right to erasure 또는 right to be forgotten) 보장

 

- 삭제권과 관련된 내부 지침 및 절차를 마련하고 처리되는 개인정보의 식별 및 그 흐름을 파악

 

- 삭제권을 보장하기위한 체계를 수립하여 이행

 

 

② 개인정보 이동권(Right to data portability) 보장

 

- 정보주체로부터 개인정보 수집 시 개인정보이동권 고지 절차 마련

 

- 정보주체로부터 정보 이전을 신청 받은 경우, 개인정보 이동권의 범위에 포함되는지확인

 

- 정보주체의 정보 이전 신청 처리 절차 및 기계로 판독이 가능한 개인정보 이전방법 마련

 

 

③ 자동화된 결정 및 프로파일링 관련 권리 보장

 

- 조직 내 프로파일링 현황을 파악하고 프로파일링이 개인정보의 자동화 처리를 기반으로 개인의 특성평가를 위해 이루어지는지 확인

 

- 프로파일링을 기반으로 자동화된 의사결정이 이루어지는지 확인

 

- 자동화된 의사결정이 유발하는효과 확인

 

- 프로파일링기반 자동화된 의사결정을 활용하는 업무의 수행근거 확인

 

- 정보주체의 권리(정보를 제공받을 권리, 열람권, 완전히 자동화된 의사 결정의 대상이 되지 않을 권리등) 보장절차를 마련

 

- 민감정보와 아동의 개인정보가 처리되는지 확인

 

- 자동화된 결정 및 프로파일링 관련 권리보장을 위한 보호조치(safeguards) 마련

 

- 자동화된 의사결정을 개인정보영향평가(DPIA) 대상에 포함

 

- 프로파일링에 GDPR 개인정보보호 원칙의 적용 여부 확인

 

 

 

 

*** 기업의 비즈니스 활동 중 발생하는 국경간 데이터 이동 사례

 

 

 

 

 

 

 

■ 기업의 대응방안

 

 

○ GDPR을 EU와의 교역을 위해서 뿐만 아니라, 전반적인 개인정보보호 규제 컴플라이언스 수준을 높이는 기회로 활용할 필요

 

 

① 개인정보 보호는 기업 활동의 기본인프라

 

- 국내외 인증제도를 활용하여 개인정보 보호 역량 강화 (해외활동을 위해 ISO 20071 획득이 필수조건이며, GDPR 이행에도기여)

 

- ‘개인정보 보호 적용설계 및 기본설정(Privacy by design and by default)’ 프레임워크를 도입하는 방안(인터넷진흥원)

 

- GDPR에서 제시된 개인정보 영향평가(DPIA)의 선제적 도입 검토

 

- 기업의 개인정보책임자(DPO) 확보 및 역량 강화

 

 

② 개인정보 보호는 산업 생태계 참여자 모두의 문제로 인식

 

 

③ 관련 전문가, 정부 및 유관기관과의 긴밀한 협력 관계 구축