GDPR의 데이터 처리 원칙은 이전의 국제 및 유럽 데이터 보호 법률 문서에서 파생되었고 그에 포함되어 있다. 개인정보 자동 처리와 관련된 개인 보호 협약(‘Convention 108’)은 데이터 보호 원칙을 규정한 최초의 국제법적 구속력 있는 문서이다. 유럽의 관점에서, 데이터 보호 지침(‘Directive’)은 기본적인 데이터 보호 원칙을 통합했다.
GDPR에서 해당 원칙이 제5조에 명시적으로 나열되어 있고, 다음을 포함한다.
• 합법성, 공정성 및 투명성
• 목적 제한 • 데이터 최소화 • 정확성 • 저장 제한 • 무결성 및 기밀성 |
GDPR은 Directive에 포함된 기존 기본 원칙을 재정의하고 보강한다. GDPR은 또한 책임성 원칙을 명시적으로 추가하고 위에서 언급한 원칙을 준수함을 입증하기 위해 데이터 컨트롤러의 의무를 규정함으로써 그들을 강화시킨다.
합법성, 공정성 및 투명성
GDPR에 따라, 개인 데이터는 합법적으로, 공정하게 그리고 데이터 주체와 관련하여 투명한 방식으로 처리되어야 한다. 즉, 개인정보는 합법적 근거가 존재하고, 수집 및 사용되는 개인 데이터가 그 개인에 대해 공정하고 투명한 방법으로 수행되는 경우에만 처리되어야 한다.
합법성
합법성이란 데이터 컨트롤러가 데이터 처리를 위한 법적 근거가 있는 경우에만 개인 데이터를 처리해야 함을 의미한다. 따라서 합법성은 해당 법률의 범위 내에서 데이터 처리가 허용되고 수행되도록 요구한다. 여기에는 데이터 보호법뿐만 아니라, 고용, 경쟁, 건강, 세금 또는 특정 경우에 따라 일반적인 공공의 이익 목적과 같은 다른 영역을 다루는 기타 적용 가능한 규칙 및 강령이 포함될 수 있다.
요컨대, 합법적인 데이터 처리를 위해서는 특정 상황에서 적용 가능한 모든 법률과 일관되어야 한다.
GDPR에 따라, 적용 가능한 데이터 보호법과 관련, 다음과 같은 법적 근거 중 하나가 충족된 경우에만 개인정보의 처리가 합법적인 것으로 간주된다.
- 동의: 데이터 주체는 하나 이상의 특정 목적을 위해 자신의 개인 데이터를 처리하는 데 동의한 경우
- 계약 이행: 데이터 주체가 당사자인 계약의 수행 또는 계약 체결 전에 데이터 주체의 요청에 따라 조치를 취하기 위해 처리가 필요한 경우
- 법적 의무: 처리가 컨트롤러가 법적 의무를 이행하는 데 필요한 경우
- 개인의 필수 이익: 데이터 주체 또는 다른 자연인의 필수적인 이익을 보호하기 위해 처리가 필요한 경우
- 공공의 이익: 공공의 이익을 위해 또는 컨트롤러에게 부여된 공식 권한 행사에서 수행된 업무 수행을 위해 처리가 필요한 경우
- 합법적 이익: 컨트롤러 또는 제3자에 의해 추구된 정당한 이익의 목적을 위해 처리가 필요한 경우. 단, 개인 데이터의 보호를 요구하는 데이터 주체의 이해관계 또는 기본적 권리와 자유가 그러한 이익에 우선하는 경우, 특히 데이터 주체가 아동인 경우는 제외한다. 제1호 (f)항은 공공 기관이 업무를 수행함에 있어 수행된 처리에 적용되지 않는다.
EU 내에서의 조화를 추구하기 위해 GDPR은 개인의 권리와 자유에 대한 높은 수준의 보호를 규정한다. 이 경우 위에서 언급한 법적 기준을 규정하고 각 기준과 관련하여 충족 되어야 하는 특정 최소 요구 사항을 포함한다. 그러나 회원국은 특정 상황에서 시행을 구체적으로 규정하기 위해 GDPR과 일치하는 범위 내에서 국가 법률을 도입하거나 보존할 권리를 여전히 보유하고 있다. 사실 GDPR은 특정 처리 상황에서 합법적이고 공정한 개인 데이터 처리를 보장하기 위해, 보다 구체적인 법적 요구 사항을 결정할 권리를 회원국에 부여한다(예: 고용주-직원 관계, 회원국이 미성년자를 정의할 수 있게 함; 유전적 또는 생체 인식 데이터, 통계적, 역사적 또는 과학적 목적의 데이터의 보호).
GDPR에 따른 각각의 합법적 처리 기준에 대한 자세한 분석은 뒤에서 다루기로 한다.
공정성
합법적인 것 외에도 개인정보 처리는 공정해야 한다. 처리의 공정성은 데이터 주체가 데이터 수집, 보관 및 사용 방법을 포함하여 개인 데이터가 처리된다는 사실을 알고 있어야 하고, 그들로 하여금 그러한 처리에 동의하며 그들의 데이터 보호 권리를 행사할 수 있도록 정보에 근거한 결정을 내릴 수 있어야 한다는 것이다.
그러나 어떤 경우에는 처리가 법률에 의해 자동으로 허용되므로 데이터 주체의 지식이나 선호도에 관계없이 공정한 것으로 간주된다. 예를 들어, 개인 데이터가 세무 당국이 직원의 임금에 대한 세부 정보를 제공해야 하는 법적 의무가 있는 고용주로부터 얻은 것이라면, 직원이 동의하거나 또는 이를 알고 있는지 여부와 무관하게, 공정히 얻어진 것이다.
또한 공정성은 처리가 데이터 주체에 미치는 영향에 대한 평가를 요구한다. 처리가 개인에게 부정적인 영향을 미치고 그러한 손해가 정당화할 수 없다면, 그 처리는 불공정한 것으로 판단한다. 예를 들어, 여행사는 사용자가 여행사 웹 사이트를 탐색하는 동안 행동 데이터를 수집하고 처리할 수 있다. 이 회사는 쿠키 또는 기타 추적 기술을 사용하여 비행기 티켓과 호텔을 검색하는 동안 사용자의 선호도를 분석한다. 특정 휴일에 대한 가격 결정에 대한 자동 결정을 하도록 시스템이 프로그래밍되어 있고 동일한 개인이 웹 사이트를 여러 번 방문하여 특정 목적지에 대한 정보를 검색한 경우 해당 정보를 기반으로 가격을 인상하는 것은 불공정 처리로 간주될 수 있다.
대조적으로, 처리가 개인에게 부정적인 영향을 미치지만 그러한 손해가 정당화될 때에는 다른 상황이 발생할 수 있다. 이 경우 처리는 공정한 것으로 간주된다. 예를 들어, 속도 제한을 초과하여 운전하는 개인의 경찰관이 개인 데이터를 수집할 수 있으며 이전에 과속을 위해 여러 번 벌금을 부과했다. 개인 데이터의 처리는 데이터 처리가 첫 번째 과속 벌금을 받은 운전자와 비교하여 속도위반 벌금을 부과할 가능성이 높으므로 운전자에게 해가 된다. 그러나 이 경우 데이터 처리는 지역 규칙에 따라 정당화될 수 있으므로 공정한 것으로 간주된다.
공정한 처리를 보장하려면 데이터 컨트롤러가 사례의 모든 상황을 고려해야 하며 충분한 정보를 제공하고 적절한 메커니즘을 구현함으로써 투명해야 한다. 처리가 달리 정당화되지 않는다면, 이러한 메커니즘을 통해 개인은 정보에 입각한 결정을 내리고 선택과 권리를 행사할 수 있다.
투명성
공정성과 직접적으로 관련이 있는 투명성 원칙은 개인 데이터를 처리할 때 컨트롤러가 데이터 주체에 대해 공개적이고 명확해야 한다는 것을 의미한다.
중요한 것은 GDPR은 DPA에 개인정보 처리를 통보하는 것이 개인정보 보호에 반드시 기여하지는 않는다는 사실을 근거로 Directive의 일반적인 통지의 의무를 제거한다. Recital 89는 무차별적인 일반 통지 의무가 폐지되어야 하며, 그러한 형태의 처리 그 특성, 범위, 문맥 및 목적으로 인해 자연인의 권리와 자유에 높은 위험을 초래할 수 있는 처리 형태에 초점을 맞추는 효과적인 절차와 메커니즘으로 대체되어야 한다고 설명한다.
GDPR은 데이터 주체에게 개인 데이터 처리 방법을 알리는 것을 촉진한다. 충분한 정보량은 특정 상황에 따라 달라질 것이다. 이와 관련하여 GDPR은 데이터가 데이터 주체 또는 다른 출처로부터 직접 획득되는지 여부를 고려하여 데이터 컨트롤러가 제공할 것으로 예상되는 최소한의 정보를 규정한다.
정보 제공 요구 사항에 대한 자세한 분석은 2권에서 자세히 설명한다.
GDPR은 데이터 주체가 데이터를 직접 얻은 경우 및 데이터 주체가 이미 정보를 알고 있는 경우, 데이터 컨트롤러의 의무를 면제한다. 또한, GDPR은 개인정보가 다른 소스에서 수집되었을 때 다음과 같은 경우에 정보를 제공할 의무로부터 면제된다.
•정보 제공이 불균형한 노력이 필요하거나 불가능하다고 여겨지는 경우
•공개가 관련 법률에 의해 명시적으로 규제되고, 데이터 주체의 합법적인 이익을 보호하기 위한 경우 •데이터 컨트롤러가 적용되는 법률에 의해 규제되고, 정보의 기밀 유지를 하기 위한 경우 |
투명성은 또한 적시에 정보가 제공될 것을 요구한다. 개인 데이터가 데이터 주체로부터 직접 획득되는 경우, 수집 시 해당 정보를 사용할 수 있어야 한다. 그러나 다른 출처에서 개인정보가 수집된 경우, GDPR은 해당 정보가 제공되어야 하는 기간을 규정하고 있다.
또한 GDPR은 정보가 명확하고 간결하며 이해하기 쉽고 접근 가능한 방식으로 제공되어야 한다고 요구하고 있다.
컨트롤러는 명확하고 쉽게 접근할 수 있는 정보를 제공하기 위해 다음과 같은 상황을 고려하여, 데이터 주체에 대해 이 정보를 사용할 수 있도록 가장 편리한 도구 또는 방법을 고려해야 한다. 여기에는 처리할 데이터 유형, 개인 데이터 수집 방식, 정보가 데이터 주체 또는 다른 출처로부터 직접 얻어지는지 여부도 포함된다. 좀 더 실용적인 지침은 다음과 같다.
•처리 과정에서 아동의 개인 데이터가 포함될 때, GDPR은 아동이 이해할 수 있도록 의사소통 또는 정보가 간단하고 평이한 언어로 작성되어야 할 필요성을 강조한다.
•정보가 예를 들어 신체검사의 맥락에서 얻어진 경우, 의사는 평이한 언어를 사용하여 환자에게 알려야 한다(예, 별도의 설명이 되지 않는다면, 의사가 아닌 개인이 이해할 수 없는 과학적 또는 의학적 용어가 포함되면 안 된다). 그러한 정보는 검사가 수행되기 전에 제공되어야 한다. •디지털 환경에서 개인정보 알림은 개인에게 알리기 위해 널리 사용된다. 길이가 긴 법적 텍스트 대신, 짧고 특수한 개인정보 보호 고지를 사용하는 것이 권장되고 모범 사례로 간주된다. |
GDPR은 간결하고 명확한 방법으로 개인에게 알리기 위한 대안 수단으로 시각적 및 표준화된 아이콘 또는 기호의 사용을 장려한다.
목적 제한
목적 제한은 추가 처리가 개인 데이터가 원래 수집된 목적과 호환되지 않는 것으로 간주되지 않는 한, 특정되고, 명백하고 합법적인 목적을 달성하기 위해서만 개인 데이터를 수집 및 처리하고, 그러한 목적을 넘어서는 개인 데이터를 처리하지 않아야 함을 의미한다.
따라서 데이터 컨트롤러는 먼저 개인 데이터가 처리되는 특정 목적을 식별해야 한다. 이러한 목적은 데이터 컨트롤러가 개인 데이터를 수집하여 사용해야 하는 경계가 된다. 2차 처리는 그러한 처리가 개인 데이터가 수집된 본래 목적과 양립할 때만 합법적으로 수행될 수 있다.
통계적 목적, 공익, 과학적 또는 역사적 연구 목적을 위해 개인 데이터를 사용하는 것은, 그러한 처리가 특정 처리를 규제하는 EU 또는 회원국의 법률에 의해 설정된 제한 범위 내에서 이루어지는 한, 호환 가능한 것으로 간주된다.
그러나 2차 또는 추가 데이터 처리가 이러한 목적과 관련이 없는 경우, 컨트롤러가 데이터의 2차적 사용이 원래의 목적과 양립할 수 있는지 평가하기 위해 GDPR에서는 다음과 같이 명시한다: ‘… 컨트롤러는 원래 처리의 적법성에 대한 모든 요구 사항을 충족한 후, 특히 다음을 고려해야 한다.’
•그 목적과 의도된 추가 처리의 목적 사이의 연결성
•개인정보가 수집된 배경, 특히 추후 사용과 관련하여 컨트롤러와의 관계에 근거한 데이터 주체의 합리적인 기대와 부합하는지 •개인정보의 성격 •데이터 주체에 대한 의도된 추가 처리의 결과 •원래의 처리 작업과 의도된 추가 처리 작업 모두에서 적절한 안전장치의 존재 |
위의 모든 조건이 충족되고 처리가 호환 가능하다고 판단되면, 원래 수집 및 개인 데이터의 사용을 허용한 것 외에 다른 별도의 법적 근거가 필요하지 않다. 그러나 처리가 호환되지 않는 것으로 간주되면 별도의 법적 근거가 필요하다(예: 새로운 목적을 위해 데이터 처리를 시작하기 전에 데이터 주체의 동의를 받기).
다음 예는 실제적인 경우와 관련하여 목적이 호환 가능하거나 호환되지 않는 것으로 간주될 수 있음을 명확히 하는 데 도움이 될 수 있다.
•데이터 컨트롤러는 피트니스 모바일 애플리케이션에 연결된 서비스를 제공하기 위해 개인 데이터를 수집하고 처리할 수 있다. 데이터 처리의 특정 목적은 개인 데이터를 분석하여 사용자에게 맞춤 피트니스 그룹을 권장하는 것이다. 이러한 모바일 응용 프로그램의 기술적 오류를 식별하기 위한 개인 데이터의 추가 처리는 적합한 것으로 간주된다. 피트니스 모바일 응용 프로그램의 효율성을 향상시키는 것이 원래의 목적과 관련되어 있기 때문이다. 또한, 회사가 피트니스 앱의 기술적 능력을 향상시키기를 원할 수도 있다는 사실을 사용자가 합리적으로 기대할 수 있다.
•약물 투약에서 당뇨병 환자를 돕기 위해 혈당 농도 수준을 모니터링 할 수 있는 앱이 개발되어 제공된다. 이 앱에는 당뇨병 치료제를 판매하는 회사와 개인정보를 공유할 수 있는 기능이 있다. 당뇨병 치료제의 홍보 및 상용화는 당초의 목적(환자가 언제 약을 복용해야 하는지 평가하기 위해 혈당 농도를 모니터링하는 것)과 부합되지 않는다. •건강 전문가는 환자의 건강 상태를 평가하고 치료할 수 있는 개인 데이터를 수집한다. 보험 회사가 서비스(예: 생명 보험 또는 건강 보험)를 제공할 수 있도록 환자 목록을 보험 회사와 공유하는 것은 개인정보가 수집된 본래의 목적과 양립할 수 없는 것으로 간주된다. |
결론적으로 컨트롤러는 개인 데이터를 수집하는 특정 목적을 식별해야 한다. 추가 처리가 이루어지면 컨트롤러는 개인 데이터가 원본 수집 목적에 부합하는지 여부를 확인해야 한다. 만약 부합한다면, 별도의 법적 근거가 필요하지 않다.
그러나 2차적인 목적이 원래의 목적과 부합하지 않을 때, 컨트롤러는 데이터 주체에게 적절히 알리고 (1) 새로운 목적과 관련하여 별도의 동의를 얻거나 (2) 처리를 정당화하기 위해 이용 가능한 다른 법률 기준 중 하나를 만족해야 한다.
데이터 최소화
데이터 최소화의 원칙은 데이터 컨트롤러가 처리 목적을 달성하기 위해, 관련 있고 필요하며 적절한 개인 데이터만 수집하고 처리해야 한다는 것을 의미한다.
European Data Protection Supervisor의 말에 따르면 ‘…데이터 최소화는 데이터 컨트롤러가 개인정보 수집을 특정 목적을 달성하기 위해 직접적으로 관련되고 필요한 것으로 제한해야 한다는 것을 의미한다. … 데이터 컨트롤러는 실제로 필요한 개인 데이터만 수집해야 한다’.
이 원칙을 실제로 구현하려면 개인 데이터 처리의 필요성과 비례성이라는 2가지 개념을 적용해야 한다.
필요성
컨트롤러는 특정 목적을 달성하기 위해 수집할 개인 데이터가 적합하고 합당한지 여부를 평가해야 한다. 개인정보가 목적을 달성하는 데 필요한 성격을 띠는 경우 적합하다고 판단된다. 개인정보의 성격이나 양이, 목적과 관련하여 비례하는 경우 적절한 것으로 간주된다.
익명 데이터를 사용하여 특정 목적을 달성할 수 있는지 여부를 확인하는 것은 데이터 최소화 평가에서 유용한 출발점이 될 수 있다. 컨트롤러는 모든 고유한 식별자를 제거한 익명 데이터를 처리하여 목적을 달성할 수 있는지 여부를 평가해야 한다. 익명 데이터는 모든 고유 식별자가 완전히 제거된 개인정보이다. 따라서 별도의 매칭 테이블이 존재하는 한, 가명의 데이터는 익명으로 간주되어서는 안 된다. 유럽법에 따라 개인정보를 익명으로 처리하는 방법에 대한 자세한 내용은 2014년 4월 10일 채택된 익명화 기술에 대한 WP 216 Opinion 05/2014를 참조하면 도움이 된다.
또한 만약 특정 데이터 필드를 처리(예: 일반 연령(또는 25~35 같은 연령대)으로도 앱이 제대로 동작하는 데 충분한 경우)에서 제외하여 이러한 목적이 달성될 수 있는 경우, 목적과 관련하여 데이터가 과도하고 불필요하다고 할 것이다.
비례성
비례 면에서 컨트롤러는 수집할 데이터의 양을 고려해야 한다. 예를 들어, 컨트롤러가 달성하고자 하는 목적과 관련하여 과도하게 많은 양의 데이터를 어떤 제한도 없이 수집하는 것은 불균형한 것으로 간주된다. 그러므로 ‘모든 것을 저장’하는 접근법은 데이터 최소화 원칙을 위반한 것으로 간주될 수 있다.
타당성을 평가하기 위해, 데이터 컨트롤러는 처리 수단의 잠재적으로 부정적인 영향을 고려해야 하며, 데이터 주체의 프라이버시와 관련하여 침해가 더 적은 처리나 덜 불리한 결과를 초래할 수 있는 대체 수단이 존재하는지 확인해야 한다.
과도하거나 불균형한 방법의 예로는, 동일한 목적을 달성하기 위해 대체적이고 덜 간섭적인 수단(예: 신분증)을 사용할 수 있는 개인 식별에 생체 데이터(예: 지문)를 사용하는 것을 들 수 있다. 어떤 경우에는 데이터 최소화 원칙을 실제로 구현하는 것은 상대적으로 간단한 평가가 필요할 수 있다. 그러나 다른 경우에는 데이터 최소화를 수행하는 것이 컨트롤러에 대한 도전적 과제가 될 수 있다.
특히 데이터 최소화 원칙을 구현하려면 큰 데이터 프로젝트를 처리할 때 창의적인 사고가 필요하다. 이 문제는 이 프로젝트와 관련하여 데이터 보호 원칙의 적용성과 유효성을 강조한 DPA에 의해 인지된다. 제29조 작업반과 유럽 데이터 보호 감독관(EDPS)은 이러한 생각을 지지했다. 2014년 7월 11일자 EDPS 보고서, ‘개인정보, 소비자, 경쟁 및 빅데이터 워크샵 보고서’(법이 점차적으로 “매일 데이터의 바다로 모이는 소량의 데이터”를 다루지는 않는 것으로 보인다. 이것은 겉보기에 무해한 데이터라도 민감한 정보를 밝힐 수 있는 사용자 프로필을 구성한다. 이 프로세스는 점점 더 많은 장치가 온라인 상태로 전환됨에 따라 가속화될 것이며, 이는 디자인, 높은 수준의 데이터 보안 및 데이터 최소화에 대한 개인정보 보호의 필요성을 더욱 강화할 것이다.)
이와 관련하여 제29조 작업반은 아래와 같이 서술하였다.
제29조 작업반은 빅데이터의 문제점들에 대해 이들 및 기타 주요 데이터 보호 원칙들이 실제로 어떻게 적용되는지에 대한 혁신적인 사고가 필요할 수도 있음을 인정한다. 그러나 현 단계에서 EU 데이터 보호 원칙이, 더 큰 효력을 발휘할 수 있도록 개선된 빅데이터 개발에 더 이상 유효하지 않으며 적절하지 않다고 믿을 만한 이유가 없다. |
디지털 경제에서 개인 데이터를 법적으로 처리하고 성공적으로 사용 및 보호하려면, 데이터 과학자뿐만 아니라 데이터 보호 책임자(DPO)도 함께 협력하여, 빅 데이터와 관련하여 데이터 최소화 연습을 구현하는 창의적인 방법을 찾는 것이 중요하다.
정확성
컨트롤러는 데이터가 정확하고 필요할 경우 최신 정보로 유지하기 위해 적절한 조치를 취해야 한다. 합리적인 조치는 데이터 수집 프로세스 중에, 또한 데이터가 처리되는 특정 용도와 관련하여 진행 중인 데이터 처리 중에, 부정확성을 방지하기 위한 프로세스를 구현하는 것으로 이해해야 한다(즉, 데이터가 정확하고 완전하며 오도하지 않는지 확인하는 것). 컨트롤러는 목적과 관련하여 개인 데이터의 정확성을 유지하기 위해, 데이터의 유형과 특정 목적을 고려해야 한다.
수집 프로세스 중에 컨트롤러가 정보의 신뢰성을 제대로 확인하지 않으면 개인 데이터의 부정확성이 발생할 수 있다. 컨트롤러는 잠재적인 부정확성이 개인에게 악영향을 미칠 수 있는 경우 추가적인 주의를 해야 할 뿐만 아니라, 정보를 수집하는 출처의 신뢰성을 평가해야 한다. 반면 데이터가 통계 또는 기록 목적으로 수집될 때 컨트롤러는 원래 수집된 개인 데이터만 유지하면 된다.
정확성은 또한 오류의 기록을 유지하거나 오류를 수정해야 할 수도 있다. 영국정보위원회(ICO)는 ‘사실에 대해 오도하지 않는 한, 실수로 발생한 사건에 대한 기록을 유지하는 것이 허용된다’라고 말한다. 예를 들어, 환자에게 주어진 치료를 설명하기 위한 목적이나 추가적인 건강 문제에 관련되기 때문에, 진단 후에도 의학적 상태의 오진은 환자의 의료 기록의 일부로 계속 유지된다는 것이다.
요약하면 정확성 원칙을 준수하기 위해 컨트롤러는 특정 목적에 따라 정보 업데이트가 필요할 수도 있고 하지 않을 수도 있는 적절한 조치를 구현해야 한다. 또한 불완전한 정보 또는 잘못된 정보가 들어 있는 기록을 수정하기 위한 데이터 주체 요청에 응답할 책임이 있다.
저장 제한
저장 제한은 개인 데이터가 처리되는 목적을 위해 필요 이상으로 오래 보관되어서는 안 된다는 것을 의미한다. 즉, 정보가 더 이상 필요하지 않으면 개인 데이터를 안전하게 삭제해야 한다.
GDPR 제5조 (1)항 (e)는 ‘개인정보가 처리되는 목적을 위해 필요한 동안만 식별될 수 있는 형태로 유지되어야 한다’고 명시하고 있다. ‘개인적 데이터가 공공의 이익, 과학적 또는 역사적 연구 목적 또는 통계 목적으로 보관 처리되는 한, 개인 데이터는 더 오랜 기간 동안 저장될 수 있다…’.
GDPR은 ‘… 개인정보가 저장되는 기간은 엄격한 최저치로 제한된다 … 개인정보가 필요 이상으로 오래 보관되지 않도록 하기 위해, 컨트롤러는 시간 제한을 설정하거나 정기적인 점검를 해야 한다…’.
따라서 컨트롤러는 개인 데이터가 하나 또는 여러 가지 용도로 사용되는지 여부를 평가하고, 특정 목적을 달성하는 데 필요한 기간 내로 처리를 제한해야 한다.
예를 들어, 고용 관계뿐만 아니라 고용 프로세스의 맥락에서 개인 데이터 처리가 필요할 수 있다. 채용 프로세스가 끝나면 컨트롤러는 더 이상 실패한 후보자의 개인 데이터를 보관해서는 안 된다. 컨트롤러는 직원 관계가 끝났을 때 직원의 개인 기록을 검토하여 합법적인 이유 또는 기타 이유로 보존해야 할 기록이 있는지 결정해야 한다.
컨트롤러는 법정 데이터 보존 기간이 처리 유형과 관련하여 존재하는지 확인해야 한다.(예: 세금, 건강 및 안전 또는 고용 규정을 준수하기 위해 개인 데이터를 보관해야 할 수도 있음). 법에 해당 내용이 규정되어 있지 않을 때는 내부 데이터의 보존 기간을 저장 제한 원리에 맞게 설정해야 한다. 그 기간은 데이터가 수집되고 사용되는 목적 또는 목적을 고려하여 설정되어야 하며, 저장 기간이 만료되면 데이터를 유지해야 하는 새로운 이유가 없어지면 데이터를 삭제해야 한다. 그러나 개인정보가 공공의 이익, 과학적, 역사적 연구 또는 통계를 위한 보관 목적으로만 처리되는 경우 개인 데이터는 더 오랜 기간 동안 저장될 수 있다. 그렇지 않으면 데이터 컨트롤러는 데이터가 되돌릴 수 없게 익명화될 때만 개인 데이터를 무제한으로 유지할 수 있다.
무결성 및 기밀성
GDPR 제5조 (1)항 (f)는 개인정보의 무단 또는 불법적인 처리 및 우발적인 손실, 파괴 또는 손해에 대한 보호를 포함하여 개인정보의 적절한 보안을 보장하는 방식으로 적절한 기술적 및 조직적 조치를 사용하여 개인정보를 처리해야한다고 규정하고 있다(“무결성 및 기밀 유지”). 따라서 수명주기 전반에 걸쳐 개인 데이터를 보호하고 보존하기 위해, 컨트롤러는 10장에서 자세히 설명하는 정보 보안 프레임워크를 구현해야 한다.
GDPR은 개인정보를 보호하기 위해 가명화(pseudonymisation) 및 개인정보의 암호화와 같은 기술의 사용을 촉진한다. 처리 과정에서 중요한 개인 데이터가 포함될 경우 추가 주의를 기울여야 한다. 이러한 측면에서 컨트롤러는 개인을 충분히 보호하는 조치를 취할 수 있는 수단을 구현하기 위해, 개인 데이터의 무결성 또는 기밀성에 대한 침해가 개인에게 야기할 수 있는 잠재적인 영향을 고려해야 한다.
데이터 컨트롤러는 데이터의 무결성, 기밀성 및 가용성을 유지하기 위해 정보 보안 정책 프레임워크를 개발하고 구현하는 데 충분한 리소스를 할당해야 한다.
법률 및 기술 데이터 보안 전문가를 포함한 복합 기능 팀이 조직의 정보 보안 전략 및 정책을 적절하게 정의하는 표준 사례이다. 조직적 및 기술적 조치를 올바르게 구현하고 유지하기 위한 전담 예산을 설정하는 것은 무결성 및 기밀성을 준수하기 위한 적절한 프로세스와 도구를 효과적으로 구현하는 데 중요하다.
맺음말
GDPR은 Convention 108 이후로 데이터 처리 원칙을 명시적으로 포용하고 강화하기 위한 최초의 법이자, 세계적으로도 중요한 데이터 보호법 중 하나이다. GDPR은 조직이 데이터 수집 및 보관을 전체적으로 피하고, 정확성을 보장하고 데이터 주체의 권리를 존중하면서, 투명하고 안전한 방식으로 개인 데이터를 처리하는 것으로부터 개인정보 보호 개념의 실현을 요구한다.
You must be logged in to post a comment.