[보안맨] 소규모 IT 기업에서 GDPR 준수를 위한 핵심 과제

안녕하세요,

본 기고글에서는 EU(유럽연합) 거주인의 개인정보보호를 위해 마련된 General Data Protection Regulation (이하 ‘GDPR’)에 대한 필자의 소규모 한국 IT 기업에서의 업무 경험을 공유 합니다.

일반적으로 한국에서 사업을 영위하는 기업 내 보안/개인정보보호 담당자께서는 ‘GDPR’에 대해 다소 생소하실 수 있으실 것 같은데요.

GDPR에 대한 간단한 개요를 먼저 설명 드리고 싶습니다.

• 1.목적

가. 디지털 단일 시장에 적합한 통일되고 단순한 프레임워크 나. 정보주체의 권리와 의무 강화 등

• 2.적용 기업

가. EU 내에 사업장을 운영하면서 개인정보 처리 나. EU 거주자에게 재화나 서비스를 제공 등

결과론적으로 말씀드리면, 사실 각 사기업의 업태, 개인정보 보유량, 매출 규모 등에 따라 과징금¹⁾의 수위는 달라질 수 있으며, 그에 따른 기업 고유의 맞춤형 전략이 필요합니다. 참고로, 아래와 같이 GDPR 관련 개인정보보호 규제 감독기관 및 행정부/사법부의 과징금 규모 추이를 통계상으로 살펴보면, 글로벌 대기업을 타겟으로 하고 있습니다.

Figure 1. GDPR 과징금 부과규모 TOP5 (21년도기준, 출처: KISA)

그럼에도 불구하고 일반적으로 기업 개인정보보호 실무자가 GDPR 컴플라이언스 준수를 위해 고려해야 할 주제에 대해, 필자의 경험을 기반으로 아래와 같이 정리해 보았습니다.

• ●현황 파악 (범위, 개인정보 흐름도, 이용자 수, 매출규모, 사업 구조 등 다수)

• ●법무법인 자문 (또는 정부기관 무료 자문)

• ●회사 고유 개인정보보호 규제 대응 기준 마련

• 1.현황파악

당시 필자의 회사는 명목상 “개인정보 내부 관리계획(정책서)”는 존재했지만, 개인정보 실태 점검에 따른 현황파악은 이루어지지 않은 상황이었습니다.

따라서, GDPR Study 및 현황 파악에 대한 경영진들의 요청사항을 발판삼아 타 부서와 긴밀하게 업무를 진행했습니다. 크게 2가지 업무가 기억에 남습니다.

• ●개인정보 흐름도 마련

GDPR 의 적용 대상의 경우, 단일 서비스이므로 범위에 대한 큰 혼선은 없었으나, 개인정보 흐름도 작성 업무가 주된 이슈였습니다.

• ●회원 가입 프로세스

• ●서비스 프로세스

• ●결제 프로세스

• ●마케팅 프로세스

최소 위 4개 단위업무에 대한 적절한 이해가 필요했으나, 단기간 내에 파악하기는 쉽지 않은 상황이었습니다. 따라서, 추후 고도화 하는 것으로 상위 직책자 보고 후, 퀄리티를 일정 수준 낮춰서 업무를 진행했습니다.

흐름도 작성 양식을 정할 때 개인정보 영향평가 가이드라인 문서 내 도식화된 샘플 내용을 최대한 참고했습니다. 아래 항목을 기반으로 최대한 자세히 작성 했습니다.

• ●개인정보 생명 주기: 수집 / 보유 / 제공(제3자) / 파기 흐름

• ●개인정보취급자

• ●내부 시스템

• ●외부 시스템

• ●그 외

• ●경영진 보고

개인정보 파기 등 업무 처리가 미진한 영역에 대한 내부 파악이 필요한 실정이었습니다. 당시 회사 ISMS 업무를 통해 한국 개인정보보호법령 준거성 측면에 대한 이슈를 어느정도 파악하고 있던 상황이었습니다.

다만, GDPR 요구사항 대비 어느정도 갭이 있는지 파악은 어려웠으며, 해당 사항은 개인정보 흐름도 작성에 따른 타 부서 (개발팀, 마케팅팀 등) 인터뷰 시, 최대한 구체적으로 질의할 수 있는 질문지를 별도로 마련했습니다. 질문 주제는 아래와 같습니다.

• ●각 부서에서 처리하는 개인정보 유형/항목, 목적, 보유기간

• ●파기 여부

• ●쿠키 정보 활용 여부

• ●제 3자 제공 또는 타 회사 개인정보 위탁 여부 등 다수

여러 갭분석 결과를 바탕으로 아래와 같이 경영진 보고 자료를 구성/발표 했습니다.

Figure 2. 경영진 보고 자료 (갭분석 결과, 예시)

현황 파악 업무를 진행하면서, 필자는 KISA에서 관리하는 “GDPR 대응센터 홈페이지”가 큰 도움이 되었습니다. (아래)

• ●GDPR 홈페이지 (kisa.or.kr)

각 메뉴에 나온 내용을 꼼꼼히 살펴보신다면, 어느정도 맥락이 파악되실 것 같습니다., 특히

‘자료실’ > ‘가이드북 및 안내서’ 내 여러 자료들은 업무 판단에 많은 도움이 될 것 입니다.

• 2.법무법인 자문

GDPR 관련 초동 경영진 보고 후, 사태의 심각성을 느낀 경영진은 GDPR 전문 법무법인과의 자리를 주선했습니다. 전문 변호사와의 질의 전 최소 아래와 같은 내역을 준비하는 것이 바람직 합니다.

• ●비즈니스 구조

• ●주요 고객

• ●매출액

• ●개인정보 보유량

• ●개인정보 흐름도

• ●개인정보 처리 시스템 (데이터가 처리되는 국가(리젼) 파악 등)

• ●변호사 질문지

기업이 공개할 수 있는 범위 내에 최대한 자세하고, 정확한 정보를 전달해야 적확한 자문이 이루어질 것 입니다.

다만, 법률 전문가의 유료 GDPR 자문이 어려운 영세 기업의 경우, KISA(한국인터넷진흥원)의 GDPR 무료 자문을 아래 링크에서 신청하실 수 있습니다.

• ●2023년 해외 개인정보보호 법률상담 신청 (office.com)

최근 필자는 KISA 개인정보보호 관련 온라인 웨비나에 참석 했습니다. 결론적으로 필자 생각에는 KISA GDPR 무료 법률자문이 어느정도 실효성이 있을지는 기업 담당자의 몫이라고 판단됩니다. 작년(22년도)도 ‘전문상담’과 달리, ‘일반상담’ 즉, 법률 적용여부, 주요 이슈사항에 관련한 상담이 이루어질 것으로 예상됩니다. 경영진 초동 보고, 실무자의 이해 용도로는 바람직하지만, 회사 내부 정책/기준 등 수립하는 업무활동의 경우, 좀더 적확한 전문 법률 상담이 필요해 보입니다.