[EU의 데이터 보호]GDPR의 책임성 요구사항(1)

이번 회에서는 GDPR의 책임성 요구 사항에 대해서 다루고자 한다.

* 책임성의 의미

GDPR은 공식적으로 책임성 요구 사항을 데이터 보호 입법 체계에 포함시켰다. 이것은 개인정보를 처리하는 조직의 전반적인 책임을 설명하고 확장한다. 실제로, ‘책임성’이 의미하는 것을 이해하는 것이 중요하다. 왜냐하면 다른 상황에서는 다른 것을 의미할 수 있기 때문이다. 그러나 현재의 목적을 위해서는 조직이 데이터 보호 프레임워크 준수 여부를 보여주고 입증하기 위해 준수해야 하는 다양한 의무라고 설명된다.

그러나 책임성은 데이터 보호 영역에서 완전히 새로운 개념이 아니다. 책임성은 1980년 OECD 개인정보 보호 및 개인정보의 흐름에 관한 지침(‘OECD 가이드라인’)의 영향력 있는 텍스트에서 처음 설명되었다.

이것은 또한 원래 데이터 보호 지침(‘Directive’)에서도 다루었다. Directive는 ‘책임성’을 명시적으로 언급하지는 않았지만 그럼에도 불구하고 책임성 원칙을 지지하는 문제를 다루었다. 이러한 문제에는 예를 들어, 조직이 국가 데이터 보호 당국(DPA)에 의도된 처리 활동을 등록하거나 통보해야 한다는 요구 사항이 포함된다.

오늘날의 데이터 보호 환경에서 책임성이 왜 중요한지 이해하는 것도 중요하다. 지난 20년 동안 조직에서 비즈니스와 운영에 데이터 보호 기능을 더 잘 구현할 수 있는 방법에 대해 많은 논의와 토론이 있었으며, GDPR은 그 결과를 달성하기 위한 것이라고 할 것이다.

규제 기관과 입법 기관은 단순히 ‘틱 박스(tick-box)’ 실행 그 이상을 요구한다. 그들은 회사의 DNA 내에서 데이터 보호 문화를 개발하고 내재화한 것을 보여주기 위해 그러한 회사를 찾고 있다. 단순히 정책 및 절차를 구현하거나 등록 양식을 작성하고 제출하는 것만으로는 더 이상 필수적인 데이터 보호 자격 증명을 설정하기에 충분하지 않다. 아래에서 볼 수 있듯이, 취해야 할 접근 방식은 그보다 더 많을 것을 고려해야 할 것이다.

GDPR이 발효되었기 때문에 DPA는 앞으로 회사가 책임성 원칙을 관리하는 방법에 대해보다 자세히 설명해야 한다. 사실, 일부 규제 당국은 책임성에 보다 적극적으로 접근할 수 있다. 예를 들어, 프랑스의 데이터 보호 당국인 CNIL은 ‘Privacy Governance Procedures’(the Standard)에 대한 구체적인 요구 사항을 설정하는 표준을 공표했다.

이는 25가지 별도 요구 사항으로 나뉜다. 여기에는 효과적인 데이터 보호 거버넌스 프로그램의 일환으로 CNIL이 필요하다고 생각하는 다양한 단계를 개괄적으로 설명되어 있다. 이러한 단계에는 내부 및 외부 개인정보 보호 정책, 회사의 데이터 보호 책임자(DPO)의 임명 및 지위, 데이터 보호 감사 및 데이터 주체 액세스 요청 및 데이터 침해 처리가 포함된다.

새로운 Standard를 준수하고 있음을 입증할 수 있는 회사는 CNIL의 ‘privacy seal’을 얻을 수 있다. Standard는 새로운 GDPR에 따라 책임성 프로그램을 작성하기 위한 준비 과정에서 고려하고 포함하고자 하는 것과 관련하여 회사에 도움이 되는 지원을 제공한다.

다음은 새로운 책임성 제도의 실제적 함의와, 해당 제도의 준수를 보장하기 위해 고려해야 할 핵심 단계에 대한 설명과 관련하여 가용한 가이드에 근거한 논의이다.

* 컨트롤러의 책임

‘책임성’ 요구 사항은 처음으로 GDPR 제5조에 소개되었다. 특히 제5조 (1)항은 개인정보 처리와 관련하여 친숙한 6가지 원칙을 열거한다.

  • 합법성, 공정성 및 투명성
  • 목적 제한
  • 데이터 최소화
  • 정확도
  • 저장 제한
  • 무결성 및 기밀성

 

이러한 원칙은 개인 데이터의 적절한 취급 및 처리를 위해 데이터 컨트롤러에 부과된 다양한 의무를 오랫동안 다뤄왔다.

그러나 제5조 (2)항은 GDPR에 새로 추가된 내용이다. 특히 데이터 컨트롤러가 제5조 (1)항에 요약된 6가지 원칙을 준수할 책임이 있을 뿐만 아니라, 데이터 컨트롤러가 6가지 원칙을 준수하는지를 입증할 수 있어야 한다는 점도 특히 중요하다.

제24조 (1)항은 책임 의무를 추가로 규정하고 데이터 컨트롤러가 ‘데이터 처리가 GDPR에 따라 수행되었음을 보장하고 또한 입증하기 위한 적절한 기술적 및 조직적 조치를 이행하며, 필요한 경우 해당 조치를 검토하고 업데이트’하도록 요구한다. 이러한 조치는 처리의 성격, 범위, 배경 및 목적과 개인의 권리와 자유에 대한 위험을 고려해야 한다. 관련 처리로 인해 개인의 권리에 대한 위험이 높아질 경우, 데이터 컨트롤러는 위험으로부터 보호하기 위해 더 큰 조치를 취해야 한다.

Recital 75는 이 요구 사항의 맥락에서 고위험 처리의 몇 가지 예를 유용하게 제공한다. 그러한 예에는 다음을 초래하는 처리가 포함된다. (1) 차별; (2) 신분 도용, 사기 또는 재정적 손실; (3) 평판에 대한 손상; (4) 직업상 비밀로 보호되는 개인정보의 기밀성 손실; (5) 허가 받지 않은 가명의 폭로; (6) 기타 중대한 경제적 또는 사회적 불이익; (7) 개인의 권리와 자유를 박탈하거나 개인 데이터에 대한 제어권 행사를 방해할 수 있는 처리; 또는 (8) 특수한 범주의 개인정보, 아동의 개인정보 또는 범죄 유죄 판결과 관련된 개인정보의 처리.

제24조 (2)항은 데이터 컨트롤러가 ‘적절한 데이터 보호 정책’을 구현해야 한다는 요구 사항을 도입한다. 그러나 앞에서 언급했듯이 정책을 단순히 구현하는 것만으로는 규정을 준수하기에 충분하지 않다. 위의 사항을 염두에 두고, 데이터 컨트롤러가 이 요구 사항을 준수하기 위해 내부 정책, 책임의 내부 할당, 그리고 교육의 3가지 주요 영역을 고려해야 한다.

* 내부 정책

데이터 컨트롤러의 법적 준수의 핵심은 내부 데이터 보호 정책이며, 이는 개인 데이터의 처리 및 취급에 대한 조치의 기본 윤곽을 설명한다. 그러나 정책은 단순히 제5조 (1)항에서 6가지 원칙을 반복해서는 안 된다. 정책이 다루어야 할 더 광범위한 핵심 사안이 있다. 다음은 그 중 일부의 목록이다.

범위
  • 정책에는 내부 정책이 적용되는 대상과 적용되는 처리 활동의 유형을 모두 설명하는 간략한 설명이 포함되어야 한다.

 

정책서

  • 이것은 회사가 처리하는 개인 데이터에 대한 회사의 약속 또는 입장을 명시해야 한다.
  • 또한 개인정보를 수집하고 처리하는 목적에 대한 설명이 포함되어야 하며 개인정보가 수집되고 처리되는 합법적인 사업 목적의 유형을 지정해야 한다.
  • 개인정보 처리 원칙을 다시 강조하는 것이 도움이 될 수 있다(제5조 1항에 명시). 왜냐하면 이것들은 적용 가능한 기본 원칙이며 내부 정책에서 다루어져야 하기 때문이다.

 

직원의 책임

  • 정책은 개인 데이터를 처리할 때 직원이 직접 책임을 지는 여러 분야를 다루어야 한다. 예를 들어, 개인정보 수집과 관련하여 각 직원의 역할이 허용되는 것에 대한 설명이 제공되어야 한다.
  • 수집된 개인정보의 사용과 관련된 제한 사항을 명시해야 한다.
  • 또한 개인정보의 정확성을 유지하기 위해 따라야 할 단계를 설명해야 한다.
  • 직원은 자신의 보안 의무를 완전히 알고 있어야 하며, 권한 없는 액세스 또는 손실을 방지하기 위해 모든 합리적인 조치를 취해야 한다.
  • 내부 데이터 보호 정책에 포함된 ‘보안 의무’는 일반적으로 별도 회사의 ‘정보 보안 정책’에서 보다 완전하게 다루어진다. 물론 두 정책은 적절하고 적합하게 상호 참조되어야 한다. 정보 보안 정책은 일반적으로 회사가 보유한 모든 데이터의 물리적 및 디지털 보안에 적용되는 보다 상세한 기술 표준을 다루고 있다. 일부 회사는 이러한 정책을 ISO 27001/2와 같은 산업 표준에 기반한다. 그것이 최선의 관행이지만, 꼭 그렇게 할 필요는 없다.
  • 또 다른 중요한 책임은 개인정보의 이전과 관련이 있다. 구체적으로 합법적인 근거가 수립되지 않는 한 개인정보의 이전은 금지된다. 내부 정책은 관련 근거가 무엇인지를 설명해야 한다. 또한 직원이 개인 데이터를 이전하기 전에 수행해야 하는 단계를 지정해야 한다. 이것은 개인정보가 유럽경제지역(EEA) 밖의 회사로 보내질 수 있는 경우 특히 중요하다.
  • 개인정보의 파괴 또는 삭제도 언급해야 한다. 다시 한 번, 일부 회사는 이 특정 문제 전용의 단독 정책 내에서 이 문제를 별도로 처리한다. 그렇게 할 필요는 없다. 그러나 이 문제가 일련의 세부 정책에서 별도로 처리되는 경우, 여러 정책 문서 간에 적절한 상호 참조가 있어야 한다. 어떤 경우에도 직원이 개인 데이터 처리 방법에 대해 취해야 할 조치를 이해할 수 있도록 내부 정책문의 이 부분에 충분한 세부 정보가 포함되어 있어야 한다.

 

관리 책임

  • 정책의 이 부분은 개인 데이터 처리의 결과로 발생하는 비즈니스 위험을 평가할 책임이 있는 비즈니스 전반의 고위 관리자 역할을 명확히 지정해야 한다.
  • 정책의 이 부분은 또한 고위 관리자가 위험을 적절하게 식별하고 다루기 위한 절차와 통제를 개발하기 위해 사업체와 협력해야 한다는 것을 기록해야 한다. 예를 들어, 이는 데이터 보호에 대한 책임이 구체적으로 할당된 DPO 임명을 포함할 수 있다(아래 DPO에 대한 추가 논의 참조).
  • GDPR에는 관리 책임 할당을 요구하는 광범위한 요구 사항이 포함되어 있다. 개인 데이터를 저장하는 장비, 시설 및 위치에 대한 안전장치를 포함하여 개인 데이터를 보호하기 위한 위험 기반 기술, 물리적 및 관리 안전장치 결정에서부터, 회사를 대신하여 개인정보를 처리하는 서비스 제공 업체와 같이 제3자에게 개인 데이터를 수집 및 이전하는 국가 이외의 다른 국가들에 개인 데이터를 이전하는 경우의 절차 및 요구 사항 수립에 이르기까지 모든 책임은 개별 조직의 역할에 명확하게 할당되어야 한다.

 

사건 보고

  • 직원은 의심되거나 실제적인 분실, 도난, 무단 공개 또는 개인 데이터의 부적절한 사용과 관련된 모든 사건을 즉각 보고해야 한다. 보고서를 작성해야 하는 비즈니스 영역(예: 지역 IT 헬프 데스크 또는 규정 준수 팀)에 분명하게 인지되어야 한다.
  • 회사의 제3자 서비스 공급자(즉, 회사 관련 개인정보를 처리하거나 액세스하는 자)가 회사에 그러한 사실을 알리는 경우 직원이 취해야 할 조치를 정책에서 분명히 해야 한다.
  • GDPR에 새로운 데이터 유출 보고 의무가 포함되어, 보고서를 작성하는 데 걸리는 시간이 매우 중요하다. 중요한 데이터 유출은 72시간 이내에 관련 DPA에 신고해야 한다.
  • 많은 회사는 지금까지 사고 대응 계획을 수립하고, 사고 대응 팀을 두었을 것이다. 그러한 팀을 현재 두고 있는 회사의 경우, 관련 기능 및/또는 비즈니스 영역의 대표로 구성되어야 하며 또한 정책에서 참조해야 한다. 사고의 조사에 대한 책임자는 누구이며 누가 해당 규제 및/또는 법적 체계 하에서 회사의 의무를 결정할 것인지에 대한 정책에 대한 설명이 있어야 한다. 사고 대응 계획은 정기적으로 스트레스 테스트를 받아야 한다.

 

정책 준수

  • 정책은 비준수 및/또는 적용 가능한 데이터 보호법을 준수하지 않으면 직원이 회사 및 개인을 민사 및 형사처벌 대상으로 삼을 수 있다는 것을 분명히 해야 한다. 이것은 물론 회사의 명성을 심각하게 손상시킬 수 있다. 따라서 정책을 준수하지 않으면 징계 조치가 취해질 수 있음을 정책에서 분명히 해야 한다. 그러나 각 회사는 위반에 대한 제재가 현지 고용법 및 상업법에 부합하는지 확인해야 한다. 이러한 법률에 따라 위반에 대한 제재에는 고용(서비스 계약) 또는 서비스 계약의 종료가 포함될 수 있다. 손해 배상 및/또는 손해 배상 조항은 서비스에 대한 제3자 계약에도 포함될 수 있다.

 

* 책임의 내부 할당

데이터 컨트롤러는 DPA에게 다양한 데이터 보호 관리 리소스에 대한 정보를 보여주고 제공할 수 있어야 한다. 컨트롤러는 또한 내부 규정 준수를 보장하기 위해 내부 데이터 보호 프레임워크에 대한 주요 책임을 져야 한다.

내부 책임 분담은 DPA의 감독을 용이하게 하고, 데이터 주체가 권리를 행사할 수 있게 하고, 정기적으로 정책, 절차 및 프로세스를 업데이트할 수 있게 해야 한다. 책임 할당 시, 회사/데이터 컨트롤러는 데이터 보호 프레임워크 내에서 규정 준수를 감독할 책임이 있는 개인정보 관리 팀 또는 협의회를 만들 수 있다. 개인정보 보호 팀 또는 협의회는 비즈니스 기능 영역 또는 비즈니스 핵심 이해 관계자의 대표로 구성된다.

대안으로 또는 동시에, 개인은 데이터 보호 프레임워크에 대한 일차적 책임을 지기 위해 임명될 수 있다.

* 내부 교육 프로그램

데이터 컨트롤러는 법적 데이터 보호 의무 및 정책 요구 사항을 처리하고 직원에게 알리기 위해 고안된 일련의 내부 교육 프로그램을 작성해야 한다. 교육 모듈에는 정보 보안 및 보존/삭제 절차(위에서 설명한 바와 같이)와 같은 관련 정책도 포함될 수 있다.

교육 프로그램이 유연하게 제공되는 것이 중요하다. 데이터 컨트롤러는 비즈니스 및 운영, 다양한 직원의 역할 및 책임을 고려하여 빈도 및 형식 측면에서 교육 프로그램을 조정해야 한다.

마지막으로, 책임을 설명하는 과정에서 컨트롤러는 교육 프로그램의 시작 및 완료율을 기록하고 모니터링해야 한다.

회사는 직원에게 개인정보 보호 의무를 상기시키기 위해 정기적인 메시지와 업데이트를 작성하고 제공해야 한다. 직원이 개인 데이터 처리와 관련하여 자신의 의무와 책임을 명확히 하기 위한 절차가 수립되어야 한다.

실용적인 측면에서, 회사는 예를 들어, 향후 연구를 위한 모든 관련 정책 및 리소스에 연결되는 링크와 함께, 내부 인트라넷에 FAQ를 만드는 것을 고려할 수 있다.

* 디자인과 기본값에 의한 데이터 보호

디자인과 기본값에 의한 데이터 보호(privacy by design and default)는 GDPR 하에 추가된 새로운 요구 사항이며, 이는 데이터 컨트롤러가 그들의 개인 데이터를 처리함에 있어서 개인의 권리와 자유를 보호하는 데 전반적인 접근 방식의 일부로 구현해야 하는 또 다른 ‘기술적 및 조직적 조치’로 설명할 수 있다. 여기에는 모든 필요한 안전 조치를 처리 활동에 통합하는 것도 포함된다.

Privacy by design

온타리오주(Ontario)의 정보 및 개인정보 보호 책임자였던 앤 카보키안(Ann Cavoukian)은 디자인 컨셉으로 프라이버시를 개발하는 선도적인 역할을 수행하여 privacy by design 기본 7원칙을 수립했다. 또한 원칙들은 새로운 시스템 및 기술의 설계 사양에 데이터 보호를 포함시키는 접근 방식을 옹호한다.

유럽에서 일부 DPA는 GDPR에 포함되기 전에 privacy by design 원칙을 주장했다. 예를 들어, 영국에서는 정보 위원회(ICO)가 새로운 프로젝트에 대해 privacy-by-design 접근 방식을 취하는 회사를 지원했다. 전략적으로 이는 신제품, 서비스 또는 기술 개발 초기부터 개인정보 보호 및 데이터 보호 준수를 촉진하고 개인정보 위험을 줄이는 데 도움이 되었다. ICO는 또한 이 접근법이 회사가 법령에 따른 의무를 준수하도록 돕는다는 것을 인지한다.

그러나 privacy by design은 새로운 개발의 계획 및 실행 단계에만 적용되지 않는다. 논리적으로, 회사가 처리하는 개인 데이터의 전체 수명 주기를 효과적으로 처리할 수 ​​있도록 이러한 개발의 지속적인 운영 및 관리를 해야 한다.

제품 설계 단계의 회사가 제25조에 따라 의무를 이행하기 위해서는, 설계 및 개발 책임자는 관리 및 이행 능력이 내장된 제품을 만들어야 하고/하거나 GDPR에 따라 데이터 컨트롤러가 모든 데이터 보호 의무를 관리하고 이행할 수 있도록 해야 한다.

실제로, 이는 IT 부서와 같이 시스템 또는 프로세스 개발의 전체 수명 주기 동안 데이터 보호를 고려해야 하는 회사 내의 여러 영역에 영향을 미친다.

Privacy by default

GDPR은 또한 ‘privacy by default’ 의무를 명시한다. 이것은 적절한 기술적 및 조직적 조치를 구현할 기업들이, 기본적으로, 처리의 각 특정 목적에 필요한 개인 데이터만 처리되도록 보장하는 것을 요구한다.

이 요구 사항은 회사가 수집하는 개인 데이터의 양을 제한하거나 최소화하는 것뿐만 아니라 처리 범위에 대해 더 많은 제어 권한을 행사해야 한다는 것을 의미한다.

또한 저장 기간은, ‘기본적으로’, 회사가 의도하고 명시한 목적에 필요한 범위 내에서만 개인 데이터를 처리해야 함을 의미한다. 그러한 목적을 위해 필요한 것보다 오랫동안 데이터를 저장해서는 안 된다. 개인 데이터는 기본적으로 제품 또는 서비스를 제공하는 데 필요한 시간 동안만 보관해야 한다.

과도한 개인 데이터가 처리되지 않고 필요할 때까지만 보존된다는 요구 사항과 관련하여 원래 Directive에 요구 사항이 포함되어 있는 반면, GDPR에는 이 요구 사항을 충족시키기 위해 마련된 적절한 기술적 및 조직적 조치를 구현할 명시적 의무가 포함되어 있다. 실제로 이는 고객이 새로운 제품이나 서비스를 구매하면 가장 엄격한 개인정보 설정이 자동으로 적용됨을 의미할 수 있다. 위에서 설명한 것처럼 privacy by design 개념은 일정 기간 존재했으며 일부 회사는 이미 현재 작업에 개념을 통합했을 수 있다. 개념이 GDPR에서 구체적인 인정을 받았으므로, 준수하지 않으면 DPA의 집행 조치가 발생할 수 있다.

*기업의 GDPR 준수 방법

Privacy by Design과 Privacy by Default 원칙은 새로운 제품, 서비스 또는 시스템의 기술 개발의 필수적인 부분이 되어, 처음부터 개인정보 보호가 핵심 고려 사항이 된다는 점은 분명하다.

그러나 불행히도 GDPR은 회사가 이러한 의무를 준수하기 위해 취해야할 기술적인 단계를 명시하지는 않는다.

미래에 데이터 컨트롤러가 새로 생성된 유럽 데이터 보호 이사회(European Data Protection Board)가 승인한 인증 메커니즘에 따라 인증을 받음으로써 이러한 의무를 준수할 수 있게 될 가능성이 있다. 제25조는 GDPR 제42조에 따라 승인된 인증 메커니즘이 준수를 입증하는 요소로 사용될 수 있다고 규정하고 있다. 그러나 이 글을 쓰는 시점에서 이러한 인증 메커니즘은 이론적으로만 남아 있다.

최소한 제25조에 의해 예상되는 적절한 기술적 및 조직적 조치를 이행할 때 데이터 컨트롤러는, 자연인의 권리와 자유에 대한 다양한 가능성과 심각성에 대한 위험도는 물론, ‘최첨단 기술 수준, 구현 비용 및 처리의 성격, 범위, 배경 및 목적을 포함하는’ 추가 요소를 고려해야 한다.

취할 수 있는 기술적 조치 유형은 다음과 같다. (1) 처리되는 개인 데이터의 양 최소화, (2) 가명화(pseudonymisation), (3) 개인이 자신의 개인 데이터를 보다 잘 제어하고 처리 대상에 대한 가시성을 부여하는 조치를 할 수 있다. 다른 방법으로는 보유한 개인정보에 적절한 보안 표준을 적용하는 방법도 있다.

제25조의 준수를 보장하기 위해 회사는 데이터 처리 시스템 및 운영을 신중하게 검토하고 평가하여 다음 사항을 결정해야 한다.

  • 개인 데이터를 제공하거나 개인 데이터를 수정 또는 삭제하려는 데이터 주체의 요청 시, 쉽게 검색하고 대조할 수 있도록 개인 데이터가 적절하게 매핑, 분류, 레이블 지정, 저장 및 액세스할 수 있는지 여부
  • 시스템이 개인 데이터의 자동 삭제를 위해 설정되는지 여부(예: 특정 기간 후에 개인 데이터가 삭제될 수 있음을 보장하기 위해 시스템에서 기술적 조치를 구현하는지 여부를 결정하는 것)
  • 종이 기반 양식 및 지원서 또는 기타 데이터 수집 양식은 과도한 개인 데이터가 수집되지 않도록 적절하게 작성되었는지 여부
  • 가능한 경우, 개인 데이터가 가명화 가능한지 여부
  • 직접 마케팅 메시지 수신을 거부한 개인의 개인 데이터를 삭제할 수 있도록 개인 데이터를 지목할 수 있는지 여부
  • 개인 데이터가 회사에서 데이터 이식성 요구 사항을 충족할 수 있도록 일반적으로 사용되며 기계로 읽을 수 있고 상호 운용 가능한 형식으로 구성되는지 여부

 

문서화 및 규제 기관과의 협력, 데이터 보호 영향 평가에 대해서는 이어지는 기사에서 상세히 설명할 예정이다. GDPR의 책임성 요구사항(2)(바로가기)