시행 5개월 앞둔 GDPR 준비 어떻게? KISA ‘GDPR 가이드라인’ 참고

2018년 5월 25일 시행되는 유럽 일반 개인정보보호법(GDPR)을 이행해야 하는 기업이 참고할 수 있는 ‘GDPR 1차 가이드라인’이 나왔다.

한국인터넷진흥원(KISA, 원장 김석환)은 ‘우리 기업을 위한 GDPR 세미나’를 지난 11일 서울 프레지던트 호텔에서 열고, 국내 기업이 GDPR 시행을 준비하는데 필요한 ▲GDPR 시행에 따른 주요 변화 ▲GDPR 인식 제고·준비 ▲기업책임성 강화 ▲정보주체 권리 강화 등을 반영한 GDPR 1차 가이드라인을 발표했다.

이날 세미나에서는 GDPR 가이드라인 집필에 참여한 황인표 KISA 개인정보정책단 개인정보협력팀 수석연구원과 네이버 최고정보보호책임자(CISO) 겸 최고정보보호책임자(CPO)인 이진규 이사, 정윤정 김앤장법률사무소 위원, 윤수영 이베이코리아 팀장, 성경원 SK인포섹 컨설팅사업본부 이사, 김경하 제이앤시큐리티 대표 등이 참가해 주요내용을 해설했다.

이 자리에서 언급된 GDPR 가이드라인 주요 내용을 정리해봤다.

GDPR 준수는 인식활동에서 시작

이 가이드라인에 따르면, GDPR 준수는 인식활동에서 시작한다. 개인정보 처리 원칙과 이를 입증하는 책임성 원칙을 증명하면서 마무리되는 과정이다.

인식활동은 조직에서 의사결정을 내릴 수 있는 상위관리자 그룹이 적극 참여한다는 약속을 확보하는 것을 기본으로 조직 전체에 GDPR 주요내용을 알리는 활동을 수행해야 한다. 그 다음으로는 먼저 GDPR이 요구하는 개인정보 처리 요구사항을 파악, 현재 운영하고 있는 처리 방식과의 차이를 분석해야 한다.

개인정보보호 활동을 이끌어갈 DPO(Data Protection Officer)를 지정해 확인된 차이 분석을 반영해 필요한 액션플랜을 수립·이행하는 한편, 책임성 원칙에 따른 입증책임을 증명할 방안을 마련해야 한다.

GDPR을 준수하기 위해서는 상시 모니터링 체계가 필요하다. 먼저 보유대상 개인정보의 유형을 파악하는 것이 중요하다. 이를 문서화해 유지하고 민감정보와 고위험 개인정보는 위험수준에 대한 세밀한 평가를 수행해야 한다. GDPR에서 민감정보는 국내보다 훨씬 포괄적인 유형을 포함하고 있다. 인종과 민족, 정치견해, 종교·철학적 신념을 드러내는 개인정보, 유전자 정보, 바이오인식정보, 건강관련 정보 등이 포함된다.

자동화와 수기로 이뤄지는 개인정보 처리 방식과 처리되는 개인정보 규모와 흐름 등을 파악해 적절한 모니터링과 통제, 대응체계를 마련해야 한다.

이진규 네이버 이사는 개인정보 처리 6대 원칙 준수를 강조하면서 “우리나라는 개인정보보호법, 정보통신망법에서 이 원칙을 마련하고 있지만 선언적 내용에 그치고 있다. 반면에 GDPR에서는 문제 발생시 이 원칙을 준수했는지, 이를 위한 활동과 관련 문서, 기록을 갖고 있는지에 따라 처벌의 수위가 결정될 것”이라며 “개인정보 처리 원칙은 선언이 아니라 구체적으로 준수해야 하는 의무”라고 설명했다.

기업 책임성 강화를 위해서는 ▲설계단계부터의 프라이버시 보호 내재화(Data Protection by Design and Default), ▲DPO 임명 ▲개인정보영향평가(DPIA) ▲개인정보 국외이전 ▲선임 감독기구 파악이 필요하다.

설계단계부터 프라이버시 내재화, ‘최신성’·‘최소화’’가 키워드

그 중에서도 설계단계부터 프라이버시 보호를 내재화하는 규정은 국내 개인정보보호법에서는 빠져있는 부분이다. 이를 위해서는 개발절차 내 적절한 기술·관리 조치를 채택해 시행해야 한다. 개인정보 처리를 위한 최신 기술을 고려하고 개인정보는 반드시 필요한 범위에서 최소한으로 수집·처리되도록 해야 한다. 기술조치의 한 예로 가명화를 들 수 있다. 또한 필수보호조치(safeguard)를 통합해 정보주체의 권리를 보장해야 한다.

이 부분을 집필한 윤수영 이베이코리아 팀장은 “국내법에서는 제품 설계단계에서부터 프라이버시를 고려해 내재화해야 한다는 부분은 빠져있지만 EU에서는 매우 중요하게 보고 있다”라면서 “이는 1990년대에 나온 개념으로 구체적인 방법론은 없는 철학적 개념으로, 기술의 최신성을 항상 유지하고 최소한의 범위로 개인정보를 수집·처리해야 하는 것이 적절한 기술·조직적 조치 시행에 필수적일 것”이라고 설명했다.

DPO 지정·영향평가 의무 대상 명시, 국외이전 적정성 결정 필요

GDPR에서는 공공기관·단체가 개인정보를 처리하는 경우, 컨트롤러나 프로세서의 핵심 활동이 정보주체에 대한 대규모로 정기적·체계적으로 모니터링을 요구하거나 대규모 민감정보 또는 범죄경력 연관 정보를 처리하는 경우에 DPO를 의무적으로 지정해야 한다.

이 이사는 “내부에서 CPO를 지정하고 나중에 상황을 보고 DPO를 별도로 정하는 것도 외부 전문가들이 추천하는 방법”이라며 “DPO의 업무 독립성을 보장하는 것이 필요하고, DPO의 내외부 커뮤니케이션 능력이 중요하다. 언어적 자질이 부족한 경우 통역사를 별도로 확보해주는 등 DPO 업무를 현실적으로 추진할 수 있도록 회사에서 지원해줘야 한다”고 조언했다.

개인정보영향평가(GDPIA)는 자연인의 권리 및 자유에 대한 고위험을 초래할 가능성이 있을 때만 요구된다. 따라서 이를 의무적을 수행해야 하는 경우를 파악해 개인정보 처리가 이뤄지기 전에 영향평가를 수행해야 한다.

개인정보를 국외로 이전하기 위해서는 먼저 처리되는 개인정보를 식별하고 정보 흐름을 파악해 적정성 여부를 결정해야 한다. 유럽경제지역(EEA) 외에 EU 집행위원회에 의해 안전한 국가로 분류된 곳으로 개인정보를 이전하는 경우는 별도의 보호조치가 필요 없다.

적절한 안전조치에 의한 이전이 필요한 경우엔 표준계약, 구속력이 있는 기업규칙(BCRs), 행동강령과 인증제도 등 국외 이전에 적합한 메커니즘을 따라야 한다.

지난 11월 벨기에 브뤼셀에서 개최된 ‘한·EU 기업간담회’에서 국내 기업이 GDPR을 현장 적용할 때 궁금해 하는 ▲GDPR의 적용 범위, ▲GDPR의 주요 개념, ▲개인정보 위탁자와 수탁자간 역할 및 관계, ▲개인정보 국외 이전 등에 대한 응답결과도 공유됐다.

GDPR 적용, ‘국적’ 아닌 ‘위치’ 기준

한편, 이날 세미나에서는 국내 기업이 GDPR을 현장 적용할 때 많이 궁금해 하는 ‘GDPR의 적용범위’는 정보주체의 ‘국적’ 이 아닌 ‘위치’가 기준이며, ‘정보주체의 동의’에 대해서도 “자필 문서, 전자문서 서명, 스캔파일 저장 등, 구두 동의시 녹화·녹음, 문자 인증번호 회신 등이 정보주체의 명시적 동의 입증수단이 된다는 EU 집행위 측의 해석을 공개하기도 했다. 이 내용은 지난 11월 벨기에 브뤼셀에서 개최된 ‘한·EU 기업간담회’에서 나온 질의·응답 사항이다.

KISA는 우리 기업이 GDPR 적용에 따른 이해를 높이기 위해 GDPR과 관련된 교육 콘텐츠 개발 및 프로그램을 운영할 계획이다.

김석환 KISA 원장은 “개인정보보호가 기업활동의 장애물이 아니라 강점이 될 수 있도록 기업의 선제적 대응 방안과 전략 마련, 현장 중심형 체질 개선을 위해 전문기관으로서 협업과 지원에 최선을 다하겠다”고 밝혔다.

이번에 발간된 가이드라인은 개인정보보호 종합지원 포털과 개인정보보호 국제협력센터 홈페이지에서 무료로 다운로드할 수 있다. 행정안전부와 KISA는 내년 4~5월에 2차 GDPR 가이드라인을 발간할 예정이다.

글. 바이라인네트워크
<이유지 기자>yjlee@byline.network