.jpg)
데이터 통제, 데이터 처리 투명성, 데이터 처리 책임, 정보주체 권리 등 강화 요구
기업은 개인정보 영향평가, 데이터 보호 책임자 임명, 개인정보보호 중심 설계 필요
[보안뉴스 김경애 기자] 유럽의 개인정보보호법인 GDPR의 시행을 앞두고 GDPR에 대한 관심과 우려가 날로 높아지고 있다. 오는 5월 25일부터 본격 시행됨에 따라 글로벌 기업은 준비를 어느 정도 끝마친 상태다. 그러나 국내 기업은 삼성 등 극히 일부 대기업을 제외하면, 준비가 매우 미흡한 상황이다.
[이미지=iclickart]
본지가 글로벌 컨설팅 업체를 비롯해 법무법인, 보안전문가들을 취재한 바에 의하면 글로벌 기업은 GDPR 대응을 어느 정도 마친 반면, 국내는 제대로 준비를 끝낸 기업이 거의 없는 상태로, 아직까지도 많이 혼란스러워 하는 상황이라고 입을 모았다.
특히, GDPR은 기업의 비즈니스는 물론 인공지능과 블록체인 등의 신기술에도 광범위하게 영향을 미칠 것으로 전망되고 있다. 한국정보화진흥원이 발표한 ‘데이터 주권 시대의 새로운 흐름, EU GDPR의 의미와 시사점’ 보고서에 따르면 데이터를 매개로 이익을 얻는 기존 플랫폼 비즈니스 모델의 재검토 등 글로벌 인터넷 생태계 전반의 변화가 예상되며, 개인정보를 분리 보관하는 블록체인, 설명 가능한 AI 등 GDPR을 준수하기 위한 기술 개발이 활발해질 것으로 전망하고 있다.
이에 따라 국내 기업에서도 하루빨리 체계적인 준비가 필요해 보인다. PWC 자료에 따르면 GDPR의 핵심 내용은 △개인의 데이터 통제권 강화 △데이터 처리의 투명성 강화 △데이터 처리에 대한 책임 강화 △천문학적 벌금 △정보주체의 권리강화로 구분된다.
데이터 통제권 강화의 경우 개인은 컨트롤러(프로세서)에게 개인정보 처리에 관한 정보와 데이터 이동 및·처분을 요구할 수 있으며, 컨트롤러(프로세서)는 법적 요구가 있을 때마다 이를 수행할 수 있는 시스템을 보유해야 한다.
데이터 처리의 투명성 강화는 컨트롤러(프로세서)는 개인정보를 ‘합법적으로 공정하고 투명하게’ 처리하고, 관련 정보를 투명하게 공개해야 한다.
데이터 처리에 대한 책임 강화는 컨트롤러(프로세서)가 GDPR 준수 여부를 입증하는 체계를 갖추고, 제3자에게 전달되는 개인정보가 GDPR을 준수하며 처리되는지 확인할 책임이 있다는 것을 의미한다.
천문학적 벌금 규정은 GDPR 규정 위반이 적발될 경우, 연간 매출액의 4% 달하는 벌금을 부과할 수 있다는 것으로, 해당 규정은 기업에 심각한 손실을 끼칠 수 있다.
마지막으로 정보주체의 권리 강화는 정보주체인 개인이 기업의 GDPR 위반으로 손해를 입을 경우 보상 청구가 가능하고, ‘삭제권’, ‘이동권’ 등의 권리를 새롭게 정의하고 있다는 점이다.
이에 따라 기업의 GDPR 관련 규정과 조직(Organization)은 EU 내에 법인이 없어도 EU 거주자에게 서비스(제품)를 제공하거나 EU 거주자의 행동을 모니터링 하는 기업에도 적용된다. 또한, 유럽 기반이 아니어도, EU 시민이 사용할 가능성이 있는 서비스를 제공하는 모든 기업은 GDPR 준수 여부에 대한 점검이 필요하다.
이로 인해 GDPR에서는 △개인정보 영향평가 실시 △데이터 보호 책임자(DPO) 임명 △개인정보보호 중심 설계 등을 컨트롤러와 프로세서에 해당되는 조직들이 지켜야 할 의무로 명시하고 있다.
개인정보 영향평가의 경우 컨트롤러(프로세서)는 어떤 데이터를 수집·보관·처리할 필요가 있는지 파악하고, 위험을 분석해 그에 대한 대응조치 수립이 필요하다.
이와 함께 GDPR 준수 여부를 관리·감독할 정보보호 관련 전문가를 DPO(Data Protection Officer)로 임명해야 한다는 것이다. 또한, 기업은 DPO에게 유·무형의 자원을 지원하고 독립적 업무와 최고경영층에 대한 직접 보고 권한을 보장해야 한다.
마지막으로 개인정보보호 중심 설계(Data Protection by Design)의 경우 개인정보보호를 위해 개인정보 처리의 수단을 결정하고, 처리하는 데이터 생명주기 전 단계에 걸쳐 안전조치가 필요하다는 것을 의미한다. 목적 달성에 필요한 최소한의 데이터 수집·처리를 기본으로 하고, 수집한 데이터는 최대한 빠른 보호조치(예: 가명화 처리)가 필요하다. 또한, 사용자 경험 설계 측면에서 사용자들이 프라이버시 관련 사항을 간편하게 인지할 수 있는 디자인을 권장하고 있다.
[김경애 기자(boan3@boannews.com)]
기업은 개인정보 영향평가, 데이터 보호 책임자 임명, 개인정보보호 중심 설계 필요
[보안뉴스 김경애 기자] 유럽의 개인정보보호법인 GDPR의 시행을 앞두고 GDPR에 대한 관심과 우려가 날로 높아지고 있다. 오는 5월 25일부터 본격 시행됨에 따라 글로벌 기업은 준비를 어느 정도 끝마친 상태다. 그러나 국내 기업은 삼성 등 극히 일부 대기업을 제외하면, 준비가 매우 미흡한 상황이다.
[이미지=iclickart]
본지가 글로벌 컨설팅 업체를 비롯해 법무법인, 보안전문가들을 취재한 바에 의하면 글로벌 기업은 GDPR 대응을 어느 정도 마친 반면, 국내는 제대로 준비를 끝낸 기업이 거의 없는 상태로, 아직까지도 많이 혼란스러워 하는 상황이라고 입을 모았다.
특히, GDPR은 기업의 비즈니스는 물론 인공지능과 블록체인 등의 신기술에도 광범위하게 영향을 미칠 것으로 전망되고 있다. 한국정보화진흥원이 발표한 ‘데이터 주권 시대의 새로운 흐름, EU GDPR의 의미와 시사점’ 보고서에 따르면 데이터를 매개로 이익을 얻는 기존 플랫폼 비즈니스 모델의 재검토 등 글로벌 인터넷 생태계 전반의 변화가 예상되며, 개인정보를 분리 보관하는 블록체인, 설명 가능한 AI 등 GDPR을 준수하기 위한 기술 개발이 활발해질 것으로 전망하고 있다.
이에 따라 국내 기업에서도 하루빨리 체계적인 준비가 필요해 보인다. PWC 자료에 따르면 GDPR의 핵심 내용은 △개인의 데이터 통제권 강화 △데이터 처리의 투명성 강화 △데이터 처리에 대한 책임 강화 △천문학적 벌금 △정보주체의 권리강화로 구분된다.
데이터 통제권 강화의 경우 개인은 컨트롤러(프로세서)에게 개인정보 처리에 관한 정보와 데이터 이동 및·처분을 요구할 수 있으며, 컨트롤러(프로세서)는 법적 요구가 있을 때마다 이를 수행할 수 있는 시스템을 보유해야 한다.
데이터 처리의 투명성 강화는 컨트롤러(프로세서)는 개인정보를 ‘합법적으로 공정하고 투명하게’ 처리하고, 관련 정보를 투명하게 공개해야 한다.
데이터 처리에 대한 책임 강화는 컨트롤러(프로세서)가 GDPR 준수 여부를 입증하는 체계를 갖추고, 제3자에게 전달되는 개인정보가 GDPR을 준수하며 처리되는지 확인할 책임이 있다는 것을 의미한다.
천문학적 벌금 규정은 GDPR 규정 위반이 적발될 경우, 연간 매출액의 4% 달하는 벌금을 부과할 수 있다는 것으로, 해당 규정은 기업에 심각한 손실을 끼칠 수 있다.
마지막으로 정보주체의 권리 강화는 정보주체인 개인이 기업의 GDPR 위반으로 손해를 입을 경우 보상 청구가 가능하고, ‘삭제권’, ‘이동권’ 등의 권리를 새롭게 정의하고 있다는 점이다.
이에 따라 기업의 GDPR 관련 규정과 조직(Organization)은 EU 내에 법인이 없어도 EU 거주자에게 서비스(제품)를 제공하거나 EU 거주자의 행동을 모니터링 하는 기업에도 적용된다. 또한, 유럽 기반이 아니어도, EU 시민이 사용할 가능성이 있는 서비스를 제공하는 모든 기업은 GDPR 준수 여부에 대한 점검이 필요하다.
이로 인해 GDPR에서는 △개인정보 영향평가 실시 △데이터 보호 책임자(DPO) 임명 △개인정보보호 중심 설계 등을 컨트롤러와 프로세서에 해당되는 조직들이 지켜야 할 의무로 명시하고 있다.
개인정보 영향평가의 경우 컨트롤러(프로세서)는 어떤 데이터를 수집·보관·처리할 필요가 있는지 파악하고, 위험을 분석해 그에 대한 대응조치 수립이 필요하다.
이와 함께 GDPR 준수 여부를 관리·감독할 정보보호 관련 전문가를 DPO(Data Protection Officer)로 임명해야 한다는 것이다. 또한, 기업은 DPO에게 유·무형의 자원을 지원하고 독립적 업무와 최고경영층에 대한 직접 보고 권한을 보장해야 한다.
마지막으로 개인정보보호 중심 설계(Data Protection by Design)의 경우 개인정보보호를 위해 개인정보 처리의 수단을 결정하고, 처리하는 데이터 생명주기 전 단계에 걸쳐 안전조치가 필요하다는 것을 의미한다. 목적 달성에 필요한 최소한의 데이터 수집·처리를 기본으로 하고, 수집한 데이터는 최대한 빠른 보호조치(예: 가명화 처리)가 필요하다. 또한, 사용자 경험 설계 측면에서 사용자들이 프라이버시 관련 사항을 간편하게 인지할 수 있는 디자인을 권장하고 있다.
[김경애 기자(boan3@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg)