IT Solutions

국내 개인정보 관리체계의 관점에서 본 EU GDPR

2018.01.29 09:30

EU의 개인정보보호법이라고 알려진 GDPR의 시행이 5개월 앞으로 다가왔습니다. GDPR은 ‘General Data Protection Regulation’의 약자로, 기존에 지침(Data Protection Directive) 수준으로 공포되었던 EU의 개인정보보호 관련 규정을 법규(Regulation) 수준으로 한층 더 강화했다는 점에서 EU 내 거주자에 대한 개인정보 권익을 더욱 강력하게 보호하겠다는 의지를 표명한 것으로 볼 수 있습니다.



또한, 법규 위반 시 제재 수준을 해당 기업 전 세계 매출액의 4%와 2천만 유로(2017년 12월 기준 약 257억원) 중 높은 금액을 과징금으로 부과할 수 있는 등, 현재 발표된 전 세계의 개인정보 관련 법령 중 최고 강력한 수준의 금전적 제재를 부과할 수 있도록 했습니다.


다만, 모든 경우에 이와 같은 최대 금액이 부과되는 것은 아니며, 11가지 기준에 따라 침해수준에 비례하여 과징금이 부과되는 것으로 알려져 있습니다. 이중 매출액의 4%는 11가지 기준을 심각하게 위배한 경우에 부과되는 최대치로, 장기간 의도적으로 발생한 심각한 침해사례에만 적용되게 될 것으로 예상됩니다.


l 과징금 부과의 11가지 기준(출처: 한-EU 기업간담회 주요내용 및 결과(한국 인터넷 진흥원)


이제껏 GDPR에 대한 분석 글은 국내외에 걸쳐 많이 발표되었습니다. 따라서, 본 기고문에서는 GDPR의 전체 내용을 모두 살펴보는 대신, 국내 법체계에서 다루지 않은 내용을 위주로 정리해 보도록 하겠습니다. 


GDPR은 개인정보에 대한 보호를 목적으로 하고 있기 때문에, 국내의 개인정보보호법과 기본 취지는 동일합니다. GDPR의 성격은 2조 5항의 개인정보 처리 원칙에 잘 표현되어 있습니다.


l 개인정보처리 원칙


따라서, GDPR도 필요한 개인정보만 최소한으로 법적 근거(정보 주체의 동의 포함)로 수집하고, 이를 안전하게 처리하고, 처리 목적을 다 했을 때는 삭제하도록 하는 원칙을 가지고 관리 체계를 수립해야 합니다. 다만, GDPR은 정보 주체의 권리 보장을 강조하고 있기 때문에 다음에 해당하는 내용에 대해서는 정보 주체의 권리를 보장하는 대응 체계를 마련해야 합니다.


l 정보주체의 권리 보장


특히, 개인정보 이전•프로파일링 등 국내 법체계에서는 정의되지 않았던 개념이 포함되어 있기 때문에 관련 내용을 꼼꼼히 살펴보고 정보 주체의 요청에 대응할 수 있는 체계를 마련할 수 있도록 해야 합니다.


프로파일링은 국내법에서는 명확하게 정의가 되어 있지 않은 개념으로, “개인에 관한 특정한 개인적 측면을 평가하기 위해, 특히 개인의 업무 능력, 경제 상황, 건강, 개인의 성향이나 관심사, 신뢰도, 행동, 위치, 이동에 관한 측면을 분석 및 예측하기 위해 개인정보를 사용하는 모든 개인정보의 자동처리 형태”를 의미하는 것입니다. 


GDPR에서는 이러한 형태의 자동화된 처리를 통한 개인 이익의 침해 방지를 민감정보, 범죄 이력 정보와 함께 좀 더 엄격한 기준에서 처리될 수 있도록 보호조치를 마련하고 있으니 이에 대해서도 준비가 필요합니다.


다음으로, 개인정보의 기술적 보호조치에 대해서는 법규상에 다음과 같이 명시되어 있습니다.


l 기술적 보호조치 관련 조항


GDPR 내에 기술적인 보호조치와 관련된 항목들을 살펴보면, 국내법만큼 상세한 내용이 명시되어 있지는 않습니다. 향후 가이드라인이 발표되는 내용을 지켜봐야 하겠지만, 국내와 같이 세부적으로 명시하여 기술적 보호조치가 나오지 않을 가능성도 있습니다.


다만, 25조 3항에 명시했듯이, 국내의 ISMS 인증제도와 같이 EU 내에서 감독기관이 인증한 인증제도가 생긴다면(42조에 인증제도를 만들 것을 권고하고 있습니다.), 해당 제도에서 구체적인 내용이 명시될 가능성이 있습니다.


현시점에서 GDPR을 준비한다고 하면, 구체적인 기술적 보호조치는 각 기업이나 기관에서 수준을 정해서 적용해야 할 것으로 보이고, 적용 수준은 GDPR내에서 명시된 DPIA(개인정보 영향평가)의 수행을 통해 리스크를 식별하고 적절한 보호 수준을 정하도록 하며, 그 판단 근거는 보관하는 형태로 정할 수는 있을 것으로 보입니다.


이외에도, DPO(Data Protection Officer) 선임, 개인정보의 제3국 이전에 따른 보호조치, 선임 감독기관 선정과 같이 준비해야 할 사항들이 있습니다. 이에 대한 내용은 이미 다른 글들을 통해서 많이 발표되었기 때문에 본 기고문에서는 생략하도록 하겠습니다.


다만, GDPR이 EU 내 거주자 개인정보의 국외 이전•사용에 대해 근래에 발표되고 있는 다른 국가의 개인정보보호법들에 비하면 비교적 배타적이지 않습니다. 우리 정부 기관에서도 적정성 평가를 통해 개인정보 이전이 가능할 수 있도록 노력하고 있다는 점을 대응방안 수립 시 고려해야겠습니다. 


글 | LG CNS 보안컨설팅팀


* 해당 콘텐츠는 저작권법에 의하여 보호받는 저작물로 LG CNS 블로그에 저작권이 있습니다.

* 해당 콘텐츠는 사전 동의없이 2차 가공 및 영리적인 이용을 금하고 있습니다.



Posted by IT로 만드는 새로운 미래를 열어갑니다 LG CNS
위로