[보안맨] 소규모 IT 기업에서 GDPR 준수를 위한 핵심 과제

안녕하세요,

본 기고글에서는 EU(유럽연합거주인의 개인정보보호를 위해 마련된 General Data Protection Regulation (이하 ‘GDPR’) 대한 필자의 소규모 한국 IT 기업에서의 업무 경험을 공유 합니다.

 

일반적으로 한국에서 사업을 영위하는 기업 내 보안/개인정보보호 담당자께서는 ‘GDPR’에 대해 다소 생소하실 수 있으실 것 같은데요.

GDPR 대한 간단한 개요를 먼저 설명 드리고 싶습니다.

  • 1.목적

디지털 단일 시장에 적합한 통일되고 단순한 프레임워크 나정보주체의 권리와 의무 강화 등

 

  • 2.적용 기업

. EU 내에 사업장을 운영하면서 개인정보 처리 나. EU 거주자에게 재화나 서비스를 제공 등

 

결과론적으로 말씀드리면사실 각 사기업의 업태개인정보 보유량매출 규모 등에 따라 과징금1)의 수위는 달라질 수 있으며그에 따른 기업 고유의 맞춤형 전략이 필요합니다참고로아래와 같이 GDPR 관련 개인정보보호 규제 감독기관 및 행정부/사법부의 과징금 규모 추이를 통계상으로 살펴보면글로벌 대기업을 타겟으로 하고 있습니다.

 






 


 

Figure 1. GDPR 과징금 부과규모 TOP5 (21년도기준, 출처: KISA)

 

 

그럼에도 불구하고 일반적으로 기업 개인정보보호 실무자가 GDPR 컴플라이언스 준수를 위해 고려해야 할 주제에 대해필자의 경험을 기반으로 아래와 같이 정리해 보았습니다.

  • 현황 파악 (범위, 개인정보 흐름도, 이용자 , 매출규모, 사업 구조  다수)

  • 법무법인 자문 (또는 정부기관 무료 자문)

  • 회사 고유 개인정보보호 규제 대응 기준 마련


 

  • 1.현황파악

 

당시 필자의 회사는 명목상 개인정보 내부 관리계획(정책서)”는 존재했지만개인정보 실태 점검에 따른 현황파악은 이루어지지 않은 상황이었습니다.

따라서, GDPR Study  현황 파악에 대한 경영진들의 요청사항을 발판삼아  부서와 긴밀하게 업무를 진행했습니다크게 2가지 업무가 기억에 남습니다.

 

  • 개인정보 흐름도 마련

 

GDPR  적용 대상의 경우단일 서비스이므로 범위에 대한  혼선은 없었으나개인정보 흐름도 작성 업무가 주된 이슈였습니다.

  • 회원 가입 프로세스

  • 서비스 프로세스

  • 결제 프로세스

  • 마케팅 프로세스

최소 위 4개 단위업무에 대한 적절한 이해가 필요했으나, 단기간 내에 파악하기는 쉽지 않은 상황이었습니다따라서추후 고도화 하는 것으로 상위 직책자 보고 후퀄리티를 일정 수준 낮춰서 업무를 진행했습니다.

 

흐름도 작성 양식을 정할  개인정보 영향평가 가이드라인 문서  도식화된 샘플 내용을 최대한 참고했습니다아래 항목을 기반으로 최대한 자세히 작성 했습니다.

  • 개인정보 생명 주기: 수집 / 보유 / 제공(3) / 파기 흐름

  • 개인정보취급자

  • 내부 시스템

  • 외부 시스템

  •  

 

  • 경영진 보고

 

개인정보 파기 등 업무 처리가 미진한 영역에 대한 내부 파악이 필요한 실정이었습니다당시 회사 ISMS 업무를 통해 한국 개인정보보호법령 준거성 측면에 대한 이슈를 어느정도 파악하고 있던 상황이었습니다.

다만, GDPR 요구사항 대비 어느정도 갭이 있는지 파악은 어려웠으며해당 사항은 개인정보 흐름도 작성에 따른 타 부서 (개발팀마케팅팀 등인터뷰 시최대한 구체적으로 질의할 수 있는 질문지를 별도로 마련했습니다질문 주제는 아래와 같습니다.

  •  부서에서 처리하는 개인정보 유형/항목, 목적, 보유기간

  • 파기 여부

  • 쿠키 정보 활용 여부

  •  3 제공 또는  회사 개인정보 위탁 여부  다수

 

여러 갭분석 결과를 바탕으로 아래와 같이 경영진 보고 자료를 구성/발표 했습니다.

GDPR 조항

GDPR

요구사항

 

현황

 

문제점

 

평가결과


 

3

 

서비스 앱 쿠키 동의 양식 적절성

 

팝업을 통해 정보주체로부터 쿠키 동의를 요하고 있음

목적이 불분명한 쿠키 카테고리를 포함, 6가지 이상의 쿠키 종류를 수집받고 있음 선택권 저해

 

 

취약

,,,

,,,

,,,

,,,

,,,

 

 

 

 

 

 

Figure 2. 경영진 보고 자료 (갭분석 결과, 예시)

 

 

 

현황 파악 업무를 진행하면서필자는 KISA에서 관리하는 “GDPR 대응센터 홈페이지가 큰 도움이 되었습니다. (아래)

 메뉴에 나온 내용을 꼼꼼히 살펴보신다면, 어느정도 맥락이 파악되실  같습니다., 특히

자료실 > 가이드북  안내서  여러 자료들은 업무 판단에 많은 도움이   입니다.

 

 

 

  • 2.법무법인 자문

 

GDPR 관련 초동 경영진 보고 후사태의 심각성을 느낀 경영진은 GDPR 전문 법무법인과의 자리를 주선했습니다전문 변호사와의 질의 전 최소 아래와 같은 내역을 준비하는 것이 바람직 합니다.

  • 비즈니스 구조

  • 주요 고객

  • 매출액

  • 개인정보 보유량

  • 개인정보 흐름도

  • 개인정보 처리 시스템 (데이터가 처리되는 국가(리젼) 파악 )

  • 변호사 질문지

 

기업이 공개할  있는 범위 내에 최대한 자세하고정확한 정보를 전달해야 적확한 자문이 이루어질 것 입니다.

다만법률 전문가의 유료 GDPR 자문이 어려운 영세 기업의 경우, KISA(한국인터넷진흥원)의 GDPR 무료 자문을 아래 링크에서 신청하실 수 있습니다.

 

최근 필자는 KISA 개인정보보호 관련 온라인 웨비나에 참석 했습니다결론적으로 필자 생각에는 KISA GDPR 무료 법률자문이 어느정도 실효성이 있을지는 기업 담당자의 몫이라고 판단됩니다작년(22년도)도 전문상담과 달리, ‘일반상담’ 법률 적용여부주요 이슈사항에 관련한 상담이 이루어질 것으로 예상됩니다경영진 초동 보고실무자의 이해 용도로는 바람직하지만회사 내부 정책/기준 등 수립하는 업무활동의 경우좀더 적확한 전문 법률 상담이 필요해 보입니다.


  • 3.회사 고유 개인정보보호 규제 대응 기준 마련

 

위 현황파악법무법인 자문에 따른 어느정도 실체가 파악되었다면 내부 기준을 수립해야 합니다필자는 다음과 같은 업무 절차를 고안했습니다.

 

  • 한국 개인정보보호법령 리스트업

  • GDPR 일반적 요구사항 리스트업

  •  요구사항간 맵핑작업

  • 법무법인 자문 결과를 고려, 회사와 해당하지 않는 경우 N/A

  •  규제 요구사항별 회사 내부 기준 수립

  • 경영진 보고

  •  부서 협의 ,  회사 내부 기준을 기반으로 미흡사항 조치

 

예를 들어 보겠습니다한국 개인정보보호법에서는 아동으로서 가입을 제한하는 기준 나이가 14 입니다하지만, GDPR에서는  개별 회원국에 따른 아동의 가입 제한 나이가 상이합니다.

<아래>

  • 13 가입제한: 덴마크, 라트비아 

  • 16 가입제한: 네덜란드, 독일 

 

물론시스템상으로 모든 국가를 고려한 아동 가입제한 나이를 설정하면 제일 바람직하지만단기간내 또는 시스템 특성상 구현이 어려울 수 있습니다따라서관리적 측면에서 규제를 준수하면서도 심플하게 처리할 수 있는 일종의 묘안을 회사 내부적으로 정하기 위한 업무 절차라고 이해하시면 편하실 것 같습니다.

 

  단계에 따른 업무 절차가 모두 중요하지만필자는 경영진 보고 제일 중요하다고 생각합니다.

경영진의 의지참여는 많은 것을 의미합니다. ISMS 인증기준에서는 “1.1.1. 경영진의 참여”, 맨 앞 부분에 명시하고 있습니다사실보안보다회사의 생존비지니스가 중요할 수 있습니다이때회사의 주인인 경영진이 먼저 보안/개인정보보호를 챙기지 않는다면개인정보보호 활동은 유명무실해질 것 입니다.

 

현업에 도움 되셨으면 좋겠습니다.

궁금하신 사항은 댓글 또는 쪽지 남겨 주세요감사합니다.

 

 

 

1) 과징금행정청이 일정한 행정법상의 의무를 위한 사업자 또는 개인에 대하여 의무 이행을 확보하기 위해 사업 또는 면허의 취소나 정지처분에 대신하여 부과하는 금전적 제재로서 얻는 수입

5개의 댓글이 있습니다.

약 일 년 전

자료 감사합니다

Reply

댓글 남기기

댓글을 남기기 위해서는 로그인이 필요합니다.

로그인 회원가입

약 일 년 전

자료 감사합니다.

Reply

댓글 남기기

댓글을 남기기 위해서는 로그인이 필요합니다.

로그인 회원가입

약 일 년 전

정보 감사합니다. EU에 본사가 있는 한국 회사인데.. 이 부분 관심 더 가져야겠네요.

Reply

댓글 남기기

댓글을 남기기 위해서는 로그인이 필요합니다.

로그인 회원가입

일 년 이상 전

기고하신 글들 잘 보고 있습니다

Reply

댓글 남기기

댓글을 남기기 위해서는 로그인이 필요합니다.

로그인 회원가입

일 년 이상 전

EU의 GDPR이 가장 강력하게 운영되는 것 같네요.
정보 감사합니다.

Reply

댓글 남기기

댓글을 남기기 위해서는 로그인이 필요합니다.

로그인 회원가입

댓글 남기기

댓글을 남기기 위해서는 로그인이 필요합니다.

로그인 회원가입