GDPR 준비사항, ‘개인정보보호 페어’ 첫 강연으로 구성

[보안뉴스 오다인 기자] 지난 25일 유럽 일반개인정보보호법(GDPR)이 시행된 가운데 국내 기업의 혼란을 줄이고 개인정보보호 역량을 강화하기 위한 강연이 마련됐다. 글로벌 컨설팅 기업 EY한영의 이상용 파트너는 31일 서울 강남구 코엑스에서 개최 중인 ‘개인정보보호 페어 2018(이하 PIS FAIR 2018)’의 첫 강연을 진행했다.

이상용 EY한영 파트너는 ‘GDPR 시행, 무엇을 준비해야 하나?’를 주제로 PIS FAIR 2018의 시작을 열었다. EY한영은 국내 컨설팅 기업 중 유일하게 GDPR 컨설팅을 수행한 경험이 있다. “GDPR 시행을 앞두고 지난해부터 착실히 준비해 왔다”고 이 파트너는 밝혔다.

이날 발표에서 이상용 파트너는 국내 기업에 실질적으로 도움이 될 사항들을 정리해 발표했다. 그는 GDPR 구축 시 △DPO 지정 및 개인정보보호 조직 수립 △개인정보영향평가 △국가간 정보 전송 △개인정보 동의 △개인정보 처리활동 기록 △정보주체 권리보장 △협력업체 관리 △개인정보 보호와 정보유출 고지방안 수립 △행동강령 △GDPR 위반항목 관리 △프로파일링 등 11가지 핵심사항을 고려해야 한다고 짚었다. 상기 핵심사항들은 EY한영의 GDPR 실제 컨설팅 프로세스다.

특히, 이상용 파트너는 ‘개인정보 동의(Consent)’ 부분을 강조하며 시행 첫날 페이스북·구글 등이 GDPR 위반으로 제소당한 사건을 언급했다. 이 파트너는 “동의와 관련해 아직까지 혼란이 존재하는 것 같다”고 밝힌 뒤, △정보주체의 행위에 의한 동의를 받을 것 △매우 명확하고 구체적인 동의서를 만들 것 △미리 체크된 상자 또는 기타 기본 등의 방법을 사용하지 말 것 등 기업들이 고려해야 할 사항을 지적했다.

GDPR을 준비하는 기업이라면 1) GDPR 규정에 근거한 자사 현황 파악 2) 문제 식별 및 격차(Gap 분석 3) 개선안 도출 및 적용 등의 절차로 대응을 진행할 수 있다고 그는 밝혔다. 이밖에도 △기업에 필요한 핵심항목 위주로 준비를 시작할 것 △개인정보 흐름을 파악하고 문서화할 것 △GDPR 요건에 부합하도록 프로세스를 개선할 것 △개선 후 객관적 수준평가를 받고 변경에 대해 지속 관리할 것 등을 제시했다.

PIS FAIR 2018은 31일부터 6월 1일까지 이틀간 열린다. GDPR 시행으로 어느 때보다 큰 주목을 받고 있는 PIS FAIR 2018에는 정부부처·공공기관을 비롯해 기업 개인정보보호 담당자들이 몰리며 개인정보보호에 대한 높아진 관심을 반영했다.
[오다인 기자(boan2@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>