안녕하세요,
본 기고글에서는 EU(유럽연합) 거주인의 개인정보보호를 위해 마련된 General Data Protection Regulation (이하 ‘GDPR’)에 대한 필자의 소규모 한국 IT 기업에서의 업무 경험을 공유 합니다.
일반적으로 한국에서 사업을 영위하는 기업 내 보안/개인정보보호 담당자께서는 ‘GDPR’에 대해 다소 생소하실 수 있으실 것 같은데요.
GDPR에 대한 간단한 개요를 먼저 설명 드리고 싶습니다.
1.목적
가. 디지털 단일 시장에 적합한 통일되고 단순한 프레임워크 나. 정보주체의 권리와 의무 강화 등
2.적용 기업
가. EU 내에 사업장을 운영하면서 개인정보 처리 나. EU 거주자에게 재화나 서비스를 제공 등
결과론적으로 말씀드리면, 사실 각 사기업의 업태, 개인정보 보유량, 매출 규모 등에 따라 과징금1)의 수위는 달라질 수 있으며, 그에 따른 기업 고유의 맞춤형 전략이 필요합니다. 참고로, 아래와 같이 GDPR 관련 개인정보보호 규제 감독기관 및 행정부/사법부의 과징금 규모 추이를 통계상으로 살펴보면, 글로벌 대기업을 타겟으로 하고 있습니다.
Figure 1. GDPR 과징금 부과규모 TOP5 (21년도기준, 출처: KISA)
그럼에도 불구하고 일반적으로 기업 개인정보보호 실무자가 GDPR 컴플라이언스 준수를 위해 고려해야 할 주제에 대해, 필자의 경험을 기반으로 아래와 같이 정리해 보았습니다.
●현황 파악 (범위, 개인정보 흐름도, 이용자 수, 매출규모, 사업 구조 등 다수)
●법무법인 자문 (또는 정부기관 무료 자문)
●회사 고유 개인정보보호 규제 대응 기준 마련
1.현황파악
당시 필자의 회사는 명목상 “개인정보 내부 관리계획(정책서)”는 존재했지만, 개인정보 실태 점검에 따른 현황파악은 이루어지지 않은 상황이었습니다.
따라서, GDPR Study 및 현황 파악에 대한 경영진들의 요청사항을 발판삼아 타 부서와 긴밀하게 업무를 진행했습니다. 크게 2가지 업무가 기억에 남습니다.
●개인정보 흐름도 마련
GDPR 의 적용 대상의 경우, 단일 서비스이므로 범위에 대한 큰 혼선은 없었으나, 개인정보 흐름도 작성 업무가 주된 이슈였습니다.
●회원 가입 프로세스
●서비스 프로세스
●결제 프로세스
●마케팅 프로세스
최소 위 4개 단위업무에 대한 적절한 이해가 필요했으나, 단기간 내에 파악하기는 쉽지 않은 상황이었습니다. 따라서, 추후 고도화 하는 것으로 상위 직책자 보고 후, 퀄리티를 일정 수준 낮춰서 업무를 진행했습니다.
흐름도 작성 양식을 정할 때 개인정보 영향평가 가이드라인 문서 내 도식화된 샘플 내용을 최대한 참고했습니다. 아래 항목을 기반으로 최대한 자세히 작성 했습니다.
●개인정보 생명 주기: 수집 / 보유 / 제공(제3자) / 파기 흐름
●개인정보취급자
●내부 시스템
●외부 시스템
●그 외
●경영진 보고
개인정보 파기 등 업무 처리가 미진한 영역에 대한 내부 파악이 필요한 실정이었습니다. 당시 회사 ISMS 업무를 통해 한국 개인정보보호법령 준거성 측면에 대한 이슈를 어느정도 파악하고 있던 상황이었습니다.
다만, GDPR 요구사항 대비 어느정도 갭이 있는지 파악은 어려웠으며, 해당 사항은 개인정보 흐름도 작성에 따른 타 부서 (개발팀, 마케팅팀 등) 인터뷰 시, 최대한 구체적으로 질의할 수 있는 질문지를 별도로 마련했습니다. 질문 주제는 아래와 같습니다.
●각 부서에서 처리하는 개인정보 유형/항목, 목적, 보유기간
●파기 여부
●쿠키 정보 활용 여부
●제 3자 제공 또는 타 회사 개인정보 위탁 여부 등 다수
여러 갭분석 결과를 바탕으로 아래와 같이 경영진 보고 자료를 구성/발표 했습니다.
GDPR 조항 | GDPR 요구사항 |
현황 |
문제점 |
평가결과 |
제3조 |
서비스 앱 쿠키 동의 양식 적절성 |
팝업을 통해 정보주체로부터 쿠키 동의를 요하고 있음 | 목적이 불분명한 쿠키 카테고리를 포함, 6가지 이상의 쿠키 종류를 수집받고 있음 - 선택권 저해 |
취약 |
,,, | ,,, | ,,, | ,,, | ,,, |
|
|
|
|
|
Figure 2. 경영진 보고 자료 (갭분석 결과, 예시)
현황 파악 업무를 진행하면서, 필자는 KISA에서 관리하는 “GDPR 대응센터 홈페이지”가 큰 도움이 되었습니다. (아래)
각 메뉴에 나온 내용을 꼼꼼히 살펴보신다면, 어느정도 맥락이 파악되실 것 같습니다., 특히
‘자료실’ > ‘가이드북 및 안내서’ 내 여러 자료들은 업무 판단에 많은 도움이 될 것 입니다.
2.법무법인 자문
GDPR 관련 초동 경영진 보고 후, 사태의 심각성을 느낀 경영진은 GDPR 전문 법무법인과의 자리를 주선했습니다. 전문 변호사와의 질의 전 최소 아래와 같은 내역을 준비하는 것이 바람직 합니다.
●비즈니스 구조
●주요 고객
●매출액
●개인정보 보유량
●개인정보 흐름도
●개인정보 처리 시스템 (데이터가 처리되는 국가(리젼) 파악 등)
●변호사 질문지
기업이 공개할 수 있는 범위 내에 최대한 자세하고, 정확한 정보를 전달해야 적확한 자문이 이루어질 것 입니다.
다만, 법률 전문가의 유료 GDPR 자문이 어려운 영세 기업의 경우, KISA(한국인터넷진흥원)의 GDPR 무료 자문을 아래 링크에서 신청하실 수 있습니다.
최근 필자는 KISA 개인정보보호 관련 온라인 웨비나에 참석 했습니다. 결론적으로 필자 생각에는 KISA GDPR 무료 법률자문이 어느정도 실효성이 있을지는 기업 담당자의 몫이라고 판단됩니다. 작년(22년도)도 ‘전문상담’과 달리, ‘일반상담’ 즉, 법률 적용여부, 주요 이슈사항에 관련한 상담이 이루어질 것으로 예상됩니다. 경영진 초동 보고, 실무자의 이해 용도로는 바람직하지만, 회사 내부 정책/기준 등 수립하는 업무활동의 경우, 좀더 적확한 전문 법률 상담이 필요해 보입니다.
3.회사 고유 개인정보보호 규제 대응 기준 마련
위 현황파악, 법무법인 자문에 따른 어느정도 실체가 파악되었다면 내부 기준을 수립해야 합니다. 필자는 다음과 같은 업무 절차를 고안했습니다.
●한국 개인정보보호법령 리스트업
●GDPR 일반적 요구사항 리스트업
●위 요구사항간 맵핑작업
○법무법인 자문 결과를 고려, 회사와 해당하지 않는 경우 N/A
●각 규제 요구사항별 회사 내부 기준 수립
●경영진 보고
●타 부서 협의 시, 위 회사 내부 기준을 기반으로 미흡사항 조치
예를 들어 보겠습니다. 한국 개인정보보호법에서는 아동으로서 가입을 제한하는 기준 나이가 14세 입니다. 하지만, GDPR에서는 각 개별 회원국에 따른 아동의 가입 제한 나이가 상이합니다.
<아래>
●만13세 가입제한: 덴마크, 라트비아 등
●만16세 가입제한: 네덜란드, 독일 등
물론, 시스템상으로 모든 국가를 고려한 아동 가입제한 나이를 설정하면 제일 바람직하지만, 단기간내 또는 시스템 특성상 구현이 어려울 수 있습니다. 따라서, 관리적 측면에서 규제를 준수하면서도 심플하게 처리할 수 있는 일종의 ‘묘안’을 회사 내부적으로 정하기 위한 업무 절차라고 이해하시면 편하실 것 같습니다.
위 각 단계에 따른 업무 절차가 모두 중요하지만, 필자는 ‘경영진 보고’가 제일 중요하다고 생각합니다.
경영진의 의지, 참여는 많은 것을 의미합니다. ISMS 인증기준에서는 “1.1.1. 경영진의 참여”, 즉, 맨 앞 부분에 명시하고 있습니다. 사실, 보안보다, 회사의 생존, 비지니스가 중요할 수 있습니다. 이때, 회사의 주인인 경영진이 먼저 보안/개인정보보호를 챙기지 않는다면, 개인정보보호 활동은 유명무실해질 것 입니다.
현업에 도움 되셨으면 좋겠습니다.
궁금하신 사항은 댓글 또는 쪽지 남겨 주세요. 감사합니다.
1) 과징금: 행정청이 일정한 행정법상의 의무를 위한 사업자 또는 개인에 대하여 의무 이행을 확보하기 위해 사업 또는 면허의 취소나 정지처분에 대신하여 부과하는 금전적 제재로서 얻는 수입
5개의 댓글이 있습니다.
자료 감사합니다
Reply댓글 남기기
댓글을 남기기 위해서는 로그인이 필요합니다.
로그인 회원가입자료 감사합니다.
Reply댓글 남기기
댓글을 남기기 위해서는 로그인이 필요합니다.
로그인 회원가입정보 감사합니다. EU에 본사가 있는 한국 회사인데.. 이 부분 관심 더 가져야겠네요.
Reply댓글 남기기
댓글을 남기기 위해서는 로그인이 필요합니다.
로그인 회원가입기고하신 글들 잘 보고 있습니다
Reply댓글 남기기
댓글을 남기기 위해서는 로그인이 필요합니다.
로그인 회원가입EU의 GDPR이 가장 강력하게 운영되는 것 같네요.
Reply정보 감사합니다.
댓글 남기기
댓글을 남기기 위해서는 로그인이 필요합니다.
로그인 회원가입