Home > 전체기사
기업들이 가장 궁금해하는 GDPR 주요 질문 10
  |  입력 : 2018-05-22 15:01
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
GDPR 적용대상, 기업의 준비사항, GDPR 신설조항 등 문답으로 풀기

[보안뉴스 김경애 기자] 유럽 일반 개인정보보호법(GDPR) 시행이 3일 앞으로 다가왔다. 하지만 대다수의 국내 기업들은 GDPR에 대해 아직까지 잘 모르는 부분이 많다. 우리 기업이 GDPR 규제 대상에 포함되는지, 포함된다면 무엇부터 어떻게 해야 하는지, 국내법과 차이점은 무엇인지, 어떤 부분에 초점을 맞춰 준비해야 하는지 등 궁금증이 많기 때문이다. 이에 본지는 기업에서 가장 많이 하는 GDPR의 주요 질문사항 10개를 문답으로 풀어봤다.

[이미지=iclickart]


Q. GDPR의 영향을 받는 기업은 어디인가요?
국내에서만 영업하는 기업에는 아무런 영향이 없고, EU에 현지 영업소를 두거나 EU주민을 대상으로 영업을 하는 기업은 GDPR 준수를 위한 준비가 필요하다. 이를테면 지점, 판매소, 영업소 등 EU에 사업장을 운영하는 기업, EU 지역에 사업장은 없지만 현지어로 마케팅 활동을 하거나 현지 통화로 결제하는 등 인터넷 홈페이지를 통해 EU에 거주하는 주민에게 물품과 서비스를 제공하는 기업, EU 주민의 행동을 모니터링하는 기업들이 적용대상이다. 특히, CCTV와 같이 공개적으로 접근 가능한 장소에 대규모로 모니터링하는 기업과 건강, 유전자, 범죄경력 등 EU 주민의 민감한 정보를 처리하거나, 아동의 정보를 처리하는 기업은 각별히 주의해야 한다.

Q. 기업이 무엇을 어떻게 준비해야 하나요?
첫째, 해당 기업 내 개인정보 처리현황 등을 점검해 GDPR 적용 대상인지 확인해야 한다.

둘째, GDPR 적용 대상인 경우 배포된 안내서 및 가이드라인 등을 참고해 개인정보보호책임자(DPO) 지정 등 조치 가능한 사항을 즉시 시행해야 한다. 조직 내 개인정보 처리 현황 등을 점검하고 GDPR 요구사항을 충실히 반영한 내부 계획을 수립 및 운영(정보주체 권리보장 절차 등)해야 한다. 여기에는 주요 의사 결정권자 등의 인식제고가 중요하며, 예산과 인력 등을 포함한 전사적 대응방안을 준비해야 한다.

셋째, 보관 중인 개인정보의 항목, 개인정보 처리 방법의 적절성, 동의 획득 절차, 국외 이전 여부, 대리인 지정 필요성 등을 점검해 법 위반 우려가 있는 사항은 신속히 개선 조치해야 한다.

Q. GDPR 시행으로 인해 크게 변화되는 부분은 무엇인가요?
우선 이전보다 기업의 책임이 강화됐다. 특히, 이전의 개인정보 최소 처리, 처리목적 통지 등에서 개인정보보호책임자를 지정해야 하고, 영향평가 등이 추가돼 이 부분을 주목해야 한다. 특히, 해킹 등 유출사고 발생시 감독기구에 신고하고, 중대한 위험 가능성이 있는 경우에는 정보주체에게 통지해야 한다. 또한, 사고 발생 시 GDPR을 준수하고 있음을 입증해야 하는데, 여기에는 개인정보 처리활동에 관한 기록을 유지하는 것이 포함된다. 그리고 EU외 지역에서 EU 주민의 개인정보를 대규모로 처리하는 경우에는 EU 지역 내에 대리인을 지정해야 한다. 정기적 검사 및 평가 등 적절한 관리 조치를 이행하고, 정보주체의 권리 보장을 위한 절차 등이 마련되고 이행돼야 한다.

두 번째로 정보주체 권리가 강화됐다. 처리제한권과 정보이동권이 신설 및 추가됐으며, 삭제권과 프로파일링 거부권이 포함됐다. 처리제한권은 정보주체가 본인에 관한 개인정보의 처리를 차단하거나 제한을 요구할 권리를 가진다. 정보이동권은 정보주체가 본인의 개인정보를 본인 또는 다른 사업자에게 전송하도록 요구하는 권리를 말한다. 삭제권은 정보주체가 본인에 관한 개인정보 삭제를 요구할 권리를 뜻한다. 프로파일링 거부권은 정보주체가 본인에게 중대한 영향을 미치는 사안에 대해 프로파일링 등 자동화된 처리에 의한 결정을 반대할 권리를 의미한다.

세 번째로 과징금 부과가 기존 회원국별 자체 법류에 따라 부과됐다면 이제는 모든 회원국이 통일된 기준으로 부과된다.

Q. 개인정보보호책임자(DPO: Data Protection Officer)란 무엇이며, 어떤 경우 지정해야 하나요?
DPO란 개인정보보호 관련 전문지식을 갖추고 기업 내 조언이자 감독자 역할을 수행하는 사람이다. 쉽게 말해 우리나라 임원급의 개인정보보호책임자(CPO: Chief Privacy Officer) 지정 제도와 유사하지만, GDPR에 대한 전문성과 지식이 풍부해야 한다. 특히, 개인정보를 처리하는 공공기관, 정보주체에 대한 정기적이고 체계적인 모니터링을 하는 경우 건강정보, 범죄경력 등의 민감한 정보를 처리하는 기업의 경우에는 필수적으로 지정해야 한다.

Q. 개인정보의 이동을 요구할 권리란 무엇인가요?
정보주체가 자신이 A기업에게 제공했던 개인정보를 체계적 형태(CSV, XML 등)로 다시 전달받거나 그 개인정보를 다른 B기업으로 이전할 것을 요구할 수 있는 권리다. 이를테면 이메일 업체 변경시 기존에 등록된 연락처를 변경한 업체로 이동하면 된다. 다만 이전을 요구할 수 있는 정보에는 추론(Inferred)또는 파생(derived)을 통해 A기업이 생성한 정보는 포함되지 않는다.

Q. EU 지역 주민의 개인정보를 우리나라로 이전할 수 있는 방법은 무엇인가요?
EU에서 인정한 적절한 보호조치가 있는 경우 이전이 가능하다. 예를 들면 개별 기업 차원의 표준계약 체결, 구속력 있는 기업규칙(BCR), 공인 행동강령 또는 개인정보보호인증 등의 방법이 있다. 또한, 개인정보보호 수준이 EU와 동등하다고 인정되는 국가에는 위의 절차를 거치지 않고도 개인정보 국외 이전이 가능하며, 이에 대해서는 현재 한국과 EU간 온라인 분야의 일괄 협의인 적정성 평가가 진행 중에 있다.

Q.이전 EU 지침과 비교시 GDPR 시행으로 달라지는 점은?
이전 EU 지침은 권고 차원의 규정인 점에 반해 GDPR은 모든 회원국 등이 의무적으로 준수해야 하는 강제규정이라는 점에서 큰 차이가 있다(위반시 과징금 부과). 아울러 GDPR은 개인정보보호책임자(DPO) 지정, 개인정보처리활동의 기록 및 유지, 개인정보 영향평가 실시, 역내 대리인 지정 등 기업의 책임성을 강화하는 내용과 처리제한권, 정보이동권 등 정보주체 권리를 실천하는 내용이 추가됐다.

Q. GDPR 법 위반시 과징금 수준은 어떤가?
대리인 미지정 등 일반적 위반 사항이 발생하면 전 세계 매출액 2% 또는 1천만 유로(약 125억원) 중 높은 금액으로 산정돼 부가된다. 국외 이전 등과 같이 중요한 위반사항이 발생할 경우 전 세계 매출액 4% 또는 2천만 유로(약 250억원)중 높은 금액이 산정돼 부과된다. 여기서 과징금은 최대 한도의 부과 금액을 말하며, 실제 부과 금액은 위반 내용, 피해경감 노력 등 11개 기준을 종합 검토해 결정된다. 구체적 과징금 부과 요건 및 집행절차 등은 EU 회원국 현지의 법률 제·개정 동향 및 판례 등을 지속적으로 모니터링할 필요가 있다.

Q. EU GDPR 위반시 막대한 과징금이 부과된다고 하는데요?
GDPR에 규정된 과징금 액수는 최대 한도의 과징금을 말하며, 실제 부과 금액은 위반의 내용, 의도성, 피해경감 노력 등 기준을 종합 검토해 결정된다. 다만 1회 위반했다고 해서 과징금이 바로 부과되는 것은 아니다. 시정요구 등 여러 절차를 거쳐야 하므로 기업 책임사항을 내실있게 준비해 피해를 미리 예방해야 한다.

Q. 이 외에도 유의해야 할 사항은 무엇인가요?
과징금 부과대상에 해당하지 않는 GDPR 위반사항에 대해서도 각 회원국은 자국의 법률에 추가적인 처벌(칭계 등)을 규정할 수 있다. 따라서 특정 국가에서 사업을 영위하는 경우에는 해당 국가의 법률을 지속적으로 모니터링해야 한다.

이렇듯 GDPR 시행이 코앞으로 다가오면서 기업들의 궁금증과 우려가 커지고 있는 가운데 EU 집행위원회에서 사법 및 소비자 보호·권리, 성 평등 부문을 담당하고 있는 베라 요로바 집행위원이 내한해 GDPR에 대해 강연하고, 국내 기업 CPO들과 직접 대화하는 시간이 마련된다.

행정안전부, 방송통신위원회, 개인정보보호위원회가 공동 주최하고, PIS FAIR 2018 조직위원회와 한국인터넷진흥원이 공동으로 주관하는 국내 최대의 개인정보보호 행사인 개인정보보호페어(PIS FAIR 2018)가 바로 그것. 5월 31일부터 6월 1일까지 양일 간 열리는 PIS FAIR 2018에서는 요로바 집행위원의 키노트 스피치 외에도 별도의 GDPR 트랙이 마련돼 기업들의 궁금증을 속시원하게 해결해줄 전망이다. PIS FAIR 2018은 홈페이지(www.pisfair.org)를 통해 사전등록할 경우 무료 참관이 가능하다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지/7월25일 수정위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
올해는 4차 산업혁명 시대에 따른 융합보안 이슈가 가장 큰 키워드가 되고 있습니다. 보안과 활발히 접목되고 있는 분야 가운데 가장 큰 관심 분야 한 가지만 꼽는다면?
인공지능(AI)
빅데이터
VR(가상현실)/AR(증강현실)
웨어러블
블록체인
스마트시티
자율주행차
클라우드 컴퓨팅
기타(댓글로)
      

하이크비전
CCTV / IP / NVR

인콘
통합관제 / 소방방재

현대틸스
팬틸트 / 카메라

아이디스
DVR / IP / VMS

시큐인포
CCTV / NVR

한화테크윈
CCTV 카메라 / 영상감시

티제이원
영상 보안 / 출입 통제

대명코퍼레이션
DVR / IP카메라

피엔에이
CCTV / IP 카메라 모듈

하이크비전 코리아
CCTV / IP / NVR

원우이엔지
줌카메라

동양유니텍
IR PTZ 카메라

다후아 코리아
CCTV / DVR

트루엔
IP 카메라

지케이테코
출입통제 / 얼굴인식

아이디스
DVR / IP / VMS

한국하니웰
CCTV / DVR

이화트론
DVR / IP / CCTV

선진인포텍
보안 오디오 장비 / 소프트웨어

테크스피어
손혈관 / 차량하부 검색기

씨게이트
보안감시전용 드라이브

슈프리마
출입통제 / 얼굴인식

아이티엑스엠투엠
DVR / NVR / IP CAMERA

디비시스
CCTV토탈솔루션

비전정보통신
IP카메라 / VMS / 폴

엔토스정보통신
DVR / NVR / CCTV

경인씨엔에스
CCTV / 자동복구장치

도마카바코리아
시큐리티 게이트

씨오피코리아
CCTV 영상 전송장비

다민정보산업
기업형 스토리지

씨엠아이텍
근태관리 소프트웨어 / 홍채 스케너

에스카
CCTV / 영상개선

보쉬시큐리티시스템즈
CCTV / 영상보안

테크어헤드
얼굴인식 소프트웨어

에스에스엔씨
방화벽 정책관리

옵텍스코리아
실내 실외 센서

나우시스템
네트워크 IP 스피커

신우테크
팬틸드 / 하우징

에프에스네트웍스
스피드 돔 카메라

엔클라우드
VMS / 스위치

케이제이테크
지문 / 얼굴 출입 통제기

사라다
지능형 객체 인식 시스템

알에프코리아
무선 브릿지 / AP

일산정밀
CCTV / 부품 / 윈도우

아이엔아이
울타리 침입 감지 시스템

구네보코리아
보안게이트

브이유텍
플랫폼 기반 통합 NVR

진명아이앤씨
CCTV / 카메라

이노뎁
VMS

새눈
CCTV 상태관리 솔루션

케이티앤씨
CCTV / 모듈 / 도어락

이후커뮤니케이션
CCTV / DVR

이스트컨트롤
통합 출입 통제 솔루션

아이유플러스
레이더 / 카메라

창우
폴대

두레옵트로닉스
카메라 렌즈

금성보안
CCTV / 출입통제 / NVR

지에스티엔지니어링
게이트 / 스피드게이트

엘림광통신
광전송링크

티에스아이솔루션
출입 통제 솔루션

대산시큐리티
CCTV 폴 / 함체 / 랙

더케이
투광기 / 차량번호인식

수퍼락
출입통제 시스템

포커스에이치앤에스
지능형 / 카메라

휴컴스
PTZ 카메라 / 줌카메라

세환엠에스
시큐리티 게이트

유진시스템코리아
팬틸트 / 하우징

카티스
출입통제 / 외곽경비

유니온커뮤니티
생체인식 / 출입통제