[EU의 데이터 보호]GDPR의 책임성 요구사항(2)

지난 기사에 이어 GDPR의 책임성 요구사항에 대해 설명하고자 한다. GDPR의 책임성 요구사항(1)(바로가기)

 

* 문서화 및 규제 기관과의 협력

Directive에 따르면 유럽에 사무소와 사업장을 설립하는 회사의 요구 사항 중 하나는 그들의 관할 내에서 개인 데이터를 처리하겠다는 의사를 해당 국가 DPA에 통보하거나 등록하는 것이었다.

그것은 여러 다른 유럽 관할권에 지사를 가지는 다국적 기업에게는 매우 성가신 일이다. 이는 해당 회사가 그들이 운영하는 관할 지역에서 통지 및 등록에 대한 해당 지역의 요구 사항을 평가해야 한다는 것을 의미했다. GDPR이 시행되기 전까지는 계속 평가해야 했으며, 일부 유럽 관할권에서는 데이터 처리 활동을 시작하기 전에 DPA에 알리지 않거나 등록하지 않으면 형사 범죄로 간주될 수 있기 때문에 특히 중요했다. 일부 DPA는 공개적으로 액세스할 수 있는 장부에 정보를 보관하며, 이 장부에는 각 데이터 컨트롤러와 데이터 처리 작업의 세부 정보가 나열된다.

Directive 대비 GDPR의 장점 중 하나는 이 통지 및 등록 요구 사항이 폐지되었다는 것이다. 데이터 컨트롤러는 더 이상 데이터 처리 활동을 알릴 필요가 없다. 대신 데이터 컨트롤러는 처리 작업에 대한 자세한 기록을 보관해야 한다. 본질적으로, 요구되는 정보의 유형은 현 제도 하에서 통보될 필요가 있는 유형과 유사하다. GDPR 상 차이점은 회사가 보관해야 하는 기록은 DPA에 제출할 필요가 없다는 것이다. 대신 기록은 전자 형식을 포함한 서면으로 작성되어야 하며, DPA의 요청에 따라 DPA에 제공되어야 한다.

특히, 제31조에는 모든 회사(컨트롤러와 프로세서 모두)와, 적용 가능한 경우, 요청에 따라 작업 수행 시 대리인이 DPA와 협조하는 일반적인 요구 사항이 포함되어 있다.

* 회사가 보관해야 하는 데이터 처리 기록

GDPR 제30조에는 데이터 컨트롤러와 데이터 프로세서가 보관해야 하는 레코드가 요약되어 있다. 데이터 컨트롤러는 다음 정보에 대한 기록을 유지해야 한다.

  • 컨트롤러의 이름 및 연락처 세부 정보, 적용 가능한 경우 공동 컨트롤러, 대리인 및 DPO의 이름 및 연락처 세부 정보
  • 처리 목적
  • 데이터 주체 범주 및 개인 데이터 범주에 대한 설명
  • 제3국 또는 국제기구의 수령인을 포함하여 개인정보가 공개되었거나 공개될 수령인의 범주
  • 해당되는 경우, 제3국 수령인의 신원 확인을 포함하는 제3국으로의 개인정보의 이전과, 해당되는 경우, 적절한 안전 조치 문서
  • 가능한 경우, 개인 데이터의 다른 범주를 삭제/제거하기 위한 보존 기간
  • 가능한 경우, 기술적 및 조직적 보안 조치에 대한 일반적인 설명

 

그리고 데이터 프로세서는 다음 정보의 기록을 유지해야 한다.

  • 프로세서 또는 프로세서의 이름 및 연락처 세부 정보, 해당되는 경우 대리인 및 DPO의 이름 및 연락처 정보
  • 프로세서가 대행하는 각 데이터 컨트롤러의 이름 및 연락처 정보(해당하는 경우 대리인 및 DPO의 이름과 연락처 정보)
  • 각 컨트롤러를 대신하여 수행되는 처리 범주
  • 해당되는 경우, 제3국 양수인의 신원을 포함하여 제3국으로의 개인정보의 이전에 대한 세부 사항, 그리고 해당되는 경우, 적절한 안전 조치 문서
  • 가능한 경우, 프로세서의 기술과 조직의 보안 조치에 대한 일반적인 설명

 

* 기록 보관 요건 적용 범위

직원이 250명 미만인 회사는 위의 기록 보관 요건을 면제한다. 그러나 직원의 수에 관계없이 회사의 처리가 다음과 같은 경우에는 이 면제가 적용되지 않는다. (1) 데이터 주체의 권리와 자유에 위험을 초래할 수 있는 경우, (2) 처리가 가끔이 아니라 빈번한 경우, (3) 특별한 범주의 데이터를 처리하는 경우가 그렇다. 여기에는 개인의 성생활이나 성적 취향과 관련된 생체 및 유전자 데이터, 건강 데이터 또는 데이터가 포함된다. 또한 형사상 및 범죄와 관련된 데이터에는 면제가 적용되지 않는다.

위의 제한 사항에 비추어 개인 데이터의 대부분의 처리가 위의 하나 이상에 의해 해당될 수 있으므로 면제가 거의 사용되지 않을 가능성이 크다.

그 외에 데이터 컨트롤러가 수행한 개인 데이터의 전체 처리에 대한 설명이 얼마나 상세해야 하는지, 문서화 의무는 회사가 처리 중인 내용을 기록, 유지 및 최신 상태로 유지하기 위해 데이터 처리에 대해 정기적인 감사를 수행하도록 요구할 것인지와 같은 추가적인 요구 사항이 있을 수 있다.

기존의 등록/통보 시스템 하에 있기 때문에 DPA들은 각기 다른 기대치들을 가지고 있다. 일부는 상위 수준의 정보만 필요로 하고 다른 일부는 각 데이터 처리 활동에 대한 보다 자세한 정보를 요구한다. 불행히도 현 단계에서 DPA가 이 의무에 대해 취할 접근법이나 실제로 DPA가 이 의무에 일관된 접근법을 취할 것인지 여부를 알기는 것은 어렵다.

* 데이터 보호 영향 평가

데이터 보호 영향 평가(DPIA, Data Protection Impact Assessment) 또는 개인정보 영향 평가(PIA, Privacy Impact Assessment)는, 알려진 대로, 회사에서 새로운 제품 및 서비스를 개발하거나 개인 데이터 처리와 관련된 새로운 활동을 수행할 때 발생할 수 있는 데이터 보호 문제를 식별하고 해결하기 위해 사용할 수 있다. 경우에 따라, 특히 처리 활동이 데이터 주체의 권리와 자유에 ‘높은 위험’을 초래할 수 있는 경우, GDPR에서 DPIA를 요구한다.

간단히 말해서 DPIA는 기업이 제공하는 제품 및 서비스의 개인정보 보호 및 데이터 보호 영향을 체계적으로 평가하고 파악할 수 있는 프로세스이다. 이를 통해 직원은 영향을 식별하고 해당 영향의 위험을 방지하거나 적어도 최소화하기 위한 적절한 조치를 취할 수 있다.

DPIA의 개념은 수년간 개인정보 보호 업계 및 DPA에 의해 논의되고 촉진되었다. 현재 많은 기업들이 이미 기존 프로젝트 관리 및 위험 관리 방법론 및 정책의 일환으로 DPIA를 수행하고 있다.

예를 들어, 영국에서는 ICO가 DPIA 기업의 ‘모범 사례’ 도구로서의 사용을 지원하고 기업에서 DPIA를 수행하는 방법에 대한 가이드를 발표했다.

다른 유럽의 관할지에서도 DPIA 개념을 채택했다. 예를 들어, 독일 연방 정보 보안국(BSI)은 무선 주파수 식별(RFID) 응용 프로그램에 대한 데이터 보안 및 데이터 보호에 관한 논문을 출간했다. 첨부된 논문인, ‘Technical Guidelines RFID as Templates for the PIA Framework’은 데이터 보호 요구 사항과 유럽 집행위원회(European Commission)의 DPIA 프레임워크에 따라 RFID를 사용하는 방법에 대해 설명한다.

그러나 GDPR은 기업들이 ‘높은 위험도’를 발생시킬 가능성이 있는 새로운 프로젝트에 대해서, 또는 어떤 경우에는, ‘위험한’ 개인 데이터 처리 활동을 진행하기 전에 DPIA를 의무적으로 수행하도록 의무화한다.

특히 GDPR 제35조는 ‘특히 신기술을 사용하는 처리 형태와, 특성, 범위, 배경 및 처리의 목적을 고려하는 형태가 자연인의 권리와 자유에 높은 위험을 초래할 가능성이 있는 경우’, DPIA가 데이터 컨트롤러와 그를 대신하는 프로세서에 의해 수행되어야 할 것을 요구한다.

하나의 평가가 비슷한 위험이 있는 유사한 처리 작업들을 처리할 수도 있다.

* DPIA 요구 사항을 준수하기 위한 절차

회사는 제품 개발 및 관리 절차를 적용하여 DPIA가 필요한지 여부 및 수행 방법을 결정하기 위해 다음 질문을 스스로 해야 한다.

[처리가 ‘고위험’이 될 가능성 여부]

이 질문에 답하기 위해서는 DPIA가 요구되는 ‘위험한’ 유형의 처리 활동의 예를 보여주는 제35조 3항을 참조해야 한다. 위험하다고 여겨지는 활동에는 (1) 법적 영향을 미치거나 개인에게 중대한 영향을 주는 체계적이고 광범위한 프로파일링 (2) ‘개인 데이터의 특수 범주’를 ​​대규모로 사용하는 처리 활동 (3) CCTV, 공공장소에서의 다른 비디오 감시 및 잠재적으로 무인기의 사용과 같은 공개적으로 접근 가능한 지역에 대한 대규모의 체계적인 모니터링이 포함된다.

WP29가 GDPR 이행을 위한 2016년 시행 계획을 발표했을 때, 우선순위 중 하나는 새로운 법률 프레임워크가 효과적일 수 있도록 가이드라인, 도구 및 절차를 개발하는 것이었다.

실행 계획에는 ‘고위험’이라는 개념에 대한 가이드를 발행하기 위한 제안이 포함되어 있다. 해당 가이드가 공표되면, 위의 위험 유형의 처리 목록을 확장할 수 있다.

[처리가 고위험이어서 평가가 필요한 경우]

평가가 필요할 때, 회사가 DPIA를 수행하는 경우 DPO(DPO가 지정되어 있다면)의 조언을 구해야 한다(제35조 (2)항 참조).

GDPR 제35조 (7)항에 따라 DPIA는 최소한 다음 내용을 포함하고 문서화해야 한다.

  • 계획된 처리 작업 및 처리의 목적에 대한 체계적인 설명(컨트롤러가 추구하는 합법적 이익 포함)
  • 목적과 관련한 처리 작업의 필요성과 비례성에 대한 평가
  • 개인의 권리와 자유에 대한 위험 평가
  • 안전 조치, 보안 조치 및 개인 데이터 보호를 위한 메커니즘을 포함하여, 위험을 처리하기 위해 채택된 조치

 

DPIA를 수행하는 방법은, 어떤 조직은 종이 양식을 사용하고, 다른 조직들은 적절한 이해 관계자에게 이메일로 문서를 보내고, 또 다른 조직들은 이해 관계자에게 정보가 필요하다고 알리는 작업을 할당할 수 있는 ‘자동화’ 기술을 사용하는 조직 등 조직마다 매우 다양하다.

적절한 경우, 의도된 절차에 따라 피해자 또는 대리인의 견해를 찾아야 할 수도 있다(제35조 (9)항). 그 결정은 사안별로 이루어져야 한다.

[처리가 여전히 위험한 경우]

DPIA를 수행한 결과, 실제로, 처리하는 것이 높은 위험을 유발하는 것으로 드러난 경우, 위험을 완화할 수 있는 충분한 조치가 없다면, 컨트롤러는 처리를 시작하기 전에 DPA에 자문을 구해야 한다. 그러나, 관련 DPA와 상담이 필요한 경우, DPA 회사의 처리 활동이 GDPR의 요구 사항과 호환 여부를 고려하는 것은 시간도 걸릴 수 있다는 것을 염두에 두어야 한다.

GDPR에 명시된 기간은 DPA가 데이터 컨트롤러의 추천을 고려하는 데 최대 8주가 소요된다. DPA가 데이터 컨트롤러로부터 정보를 받기를 기다리고 있는 경우, 이 기간을 추가로 6주 연장하고 시간표를 보류할 고유한 권한을 연장할 수 있는 옵션이 있다.

DPIA는 DPA에서 요구하는 문서의 한 예이다. DPIA는 조직에서 특정 개인 데이터 관행과 관련된 위험을 고려했을 뿐만 아니라 위험을 관리하거나 완화하기 위한 합리적인 조치를 취했음을 보여주기 위한 것이다.

* 데이터 보호 관리자

데이터 보호 책임자(DPO)의 임명은 모든 회사가 한 명을 지정해야 하는 것은 아니지만 GDPR에서 공식적으로 인정된다. 데이터 컨트롤러 및 프로세서가 DPO를 지정해야 하는 상황은 다음과 같다.

  • 처리가 공공 기관에 의해 수행되는 경우
  • 컨트롤러 또는 프로세서의 핵심 활동이 대규모의 개인을 정기적으로 체계적으로 모니터링하는 경우
  • 핵심 활동이 개인 데이터의 특수 범주를 대규모로 처리하는 것으로 구성되는 경우

 

WP29는 2016년 12월에 ‘핵심 활동’을 ‘컨트롤러 또는 프로세서의 목표를 달성하는 데 필요한 핵심 작업’으로 정의한 해석 가이드를 발표했다. 그렇다고 해서 조직이 데이터 분석 업무를 해야 한다는 의미는 아니며, 데이터 처리가 ‘컨트롤러 또는 프로세서의 활동에서 불가분의 일부’라는 의미이다.

WP29는 조직 규모보다는 데이터 주체 수를 특별히 참고하여 ‘대규모’를 정의했다. 즉, 소규모 고객을 대상으로 하는 회사가 ‘대규모’ 정의를 충족시키지 못하는 반면, 직원 수가 적은 조직이 대규모 고객 기반의 서비스를 제공하는 경우 ‘대규모’ 처리에 종사한다는 것임을 의미한다.

특히 WP29는 다음과 같은 ‘대규모’가 되기 위한 요건을 확인했다.

  • 대상 데이터 주체의 수(특정 숫자 또는 해당 인구수에 대한 비율)
  • 처리되는 데이터의 양 및/또는 다른 데이터 항목의 범위
  • 데이터 처리 활동의 지속 기간 또는 지속성
  • 처리 활동의 지리적 범위

 

‘데이터 주체에 대한 정기적이고 체계적인 모니터링’이라는 용어는 모든 형태의 인터넷 기반 추적 및 프로파일링을 포함하지만, ‘온라인 환경 및 온라인 추적에 국한되지 않는다.’ WP29는 ‘정기적’의 뜻을 다음 중 하나 이상을 의미하는 것으로 해석한다.

  • 특정 기간 동안 특정 간격으로 진행 중이거나 발생하는 경우
  • 반복되거나 반복되는 고정된 시간 내인 경우
  • 끊임없이 또는 주기적으로 발생하는 경우

 

‘체계적’의 뜻은 다음 중 하나 이상을 의미하는 것으로 해석한다.

  • 시스템에 의해 발생하는 경우
  • 미리 계획된, 조직적인 또는 체계적인 경우
  • 데이터 수집을 위한 일반적인 계획의 일환으로 수행하는 경우
  • 전략의 일환으로 수행하는 경우

 

GDPR은 회원국 법률에 따라 DPO를 임명해야 한다고 규정하고 있다. 예를 들어, 독일은 개인 데이터의 자동 처리에 고용된 최소 9명 또는 비자동 데이터 처리에 종사하는 최소 20명 이상의 기업에 DPO를 임명할 것을 요구한다.

반면에 프랑스에서는 CIL(Correspondant Informatique et Libertés)로 알려져 있는 DPO를 지명하는 법적 요구 사항이 없는 반면에, DPO를 지명하는 기업에는 잠재적 이점이 있다. 왜냐면 그 회사는 Commission Nationale de l’Informatique et des Libertés에 대한 사전 신고가 면제되기 때문이다.

물론, 만약 미래에 그럴 것 같지 않다면, 더 많은 회원국이 DPO를 국가 법률에 따라 임명하게 되는 것은 당연히 전적으로 가능하다.

따라서 DPO가 공공 부문에서 의무적일지라도 민간 부문 상업 조직은 DPO를 지명할지 여부를 결정하기 위해 위의 주요 기준(예: 대규모 모니터링)에 대해 스스로를 평가할 필요가 있다.

* 그룹 단체 임명

기업 단체가 단일 DPO를 임명할 수 있다. 그러나 이는 DPO가 각 사업에 쉽게 접근할 수 있어야 한다는 조건이 있다.

예를 들어, GDPR이 발효되면 많은 회원 국가에서 변경 가능성이 생길 수 있음을 감안하면, 그룹 차원의 DPO가 현지 언어를 쓰지 않거나 해당 지역에서 규칙이 작동하는 방식에 대해 충분히 잘 알고 있지 않은 경우 회사는 이를 수행하는 데 어려움이 있을 수 있음을 고려해야 한다. 이것은 DPO가 자신의 전문성을 발휘하고 자신의 역할을 수행할 수 있는 능력에 영향을 미칠 수 있기 때문이다.

* DPO의 역할

GDPR에 따라 회사는 개인정보 보호와 관련된 모든 문제에 대해 DPO가 ‘적절하고 시기 적절하게’ 참여하도록 보장해야 한다. DPO들은 자신의 작업 기능을 수행하고 자신의 전문 기술과 지식을 유지하기 위해 적절한 리소스에 대한 지원과 액세스 권한이 있어야 한다.

그들은 독립적으로 작동할 수 있어야 한다. 업무를 제대로 수행하기 위해 해고되거나 처벌되어서는 안 된다. 또한 추가 역할이나 다른 역할이 이해 상충을 유발하지 않는다면 다른 역할을 가질 수 있다.

DPO의 임기는 제한이 없다. 그러나 기업들이 DPO의 임기를 정하는 것을 막을 수는 없다. 또한 기업이 통지(예: DPO를 성과 및/또는 행동 문제로 해고하는 능력, 당연히 현지 법에 따라)에서 역할을 종료시키는 것을 금지하지도 않는다.

DPO는 회사의 ‘최고 경영진’에게 직접 보고 라인을 가져야 한다. 또한 회사의 데이터 처리 작업에 액세스할 수 있어야 한다. DPO는 충분한 기술 지식과 전문성을 갖추고 있어야 한다. 그러나 GDPR에는 DPO가 가져야 하거나 갖춰야 할 자격 또는 자격이 명시되어 있지는 않다.

DPO는 프라이버시 분야에서의 경험과 능력을 토대로 임명되어야 한다. 그들은 이러한 데이터 보호법에 대한 지식과 사례 및 다음과 같은 능력에 대한 자격 증명을 요구한다.

  • 회사 및 직원에게 GDPR에 따른 의무를 알리고 조언을 제공
  • 내부 데이터 보호 활동 관리, 직원 교육 및 내부 감사 수행을 포함하여 개인 데이터 보호와 관련하여 GDPR 및 회사 정책 준수 여부를 모니터링
  • 요청이 있는 경우 DPIA에 관한 조언을 제공하고 DPIA의 성과를 모니터링
  • 감독 당국과 협력
  • 처리와 관련된 사안 및 기타 사안과 관련하여 감독 당국과의 연락 지점 역할

 

또한 DPO는 처리 작업의 성격, 범위, 배경 및 목적을 고려하여 처리 작업과 관련된 위험을 적절하게 고려해야 한다.

GDPR은 또한 DPO 기능을 회사 직원이나 제3자 서비스 공급자가 수행하는 것을 허용한다. 이것은 처음에는 잠재적인 핵심 문제가 그러한 역할을 수행할 경험이 풍부한 사람들이 부족할 수 있기 때문에 유용하다.

* 기타 책임성 수단

회사의 책임 프레임워크를 지원할 수 있는 또 다른 방법은 회사 규칙 바인딩(BCR, Binding Corporate Rules)이다. BCR은 때때로 글로벌 데이터 보호의 ‘gold standard’라고도 한다. 회사에서 구현한 프라이버시 프레임워크 또는 코드로 가장 잘 설명될 수 있다. 처음에 유럽 집행위원회(Commission)는 개인 데이터의 국경 간 이동을 용이하게 하기 위해 이를 만들었으며, 현재 국경 간 데이터 이전을 허용하는 GDPR 제47조에 명확히 명시되어 있다.

BCR은 전 세계 기업 그룹의 다양한 조직 간에 개인 데이터가 자유롭게 이동하도록 허용하지만, 개인 데이터에 대한 동일한 높은 수준의 보호가 구속력 있고 집행 가능한 규칙의 단일 세트를 통해서 그룹의 모든 구성원에 의해 준수된다는 것을 보장함으로써 조직 간의 개인 데이터 이동을 자유롭게 허용한다.

이렇게 하여 BCR은 기업이 자사의 프라이버시 준수 프레임워크를 자사의 주 DPA에 신청할 때 자신의 프라이버시 준수 프레임워크를 입증해야 하기 때문에 ‘gold standard’ 상태를 달성할 수 있다. 그 다음, 주 DPA가 신청서를 승인하면 신청인의 지속적인 준수 여부도 모니터링한다.

무엇보다 프라이버시 준수 프레임워크는 정책이 마련되어 있고, 직원이 이를 인식하고 적절하게 교육받았으며, 규정 준수를 책임지는 사람이 임명되었고, 감사가 실시되고, 불만 사항을 처리하는 시스템이 있으며, 조직이 데이터 이전에 대해 투명하다는 것을 보여주어야 한다.

곧, BCR은 조직이 적용 가능한 데이터 보호 법규의 모든 측면을 준수함을 입증해야 한다. 따라서 논리적으로 BCR은 조직의 책임을 입증하기 위한 도구의 일부로 사용할 수 있어야 한다.

실제로, BCR을 획득하는 것은 힘든 일이라는 것이 입증되었으며, 이는 DPA가 일반적으로 책임성 프로그램에서 기대하는 철저함을 나타낼 수 있다.

* 맺음말

기업이 책임성을 성취하고 입증하기 위해서는 먼저 조직 내에서 데이터 보호 문화를 달성해야 한다. 이는 여러 가지 핵심 요구 사항을 통합하고 구현함으로써 달성된다. 이러한 요구 사항에는 무엇보다도 적절한 개인정보 보호 정책을 개발하고 기업 운영 및 궁극적으로 기업 문화 내에서 명확한 개인정보 보호 표준 및 관행을 내포시키는 것이 포함된다. 예를 들어, 신제품 및 서비스 개발 프로세스의 일환으로, 개발 단계에서 프라이버시 및 개인정보 보호에 대한 보장을 항상 고려해야 한다. 회사는 데이터 처리 활동을 명확하게 파악하고, 그것들이 위험한지, 어떻게 보호하여 그러한 위험을 최소화할지, 그리고 직원이 자신의 조직에 프라이버시 프레임워크를 구현하기 위한 그들의 역할을 이해하는지를 알기 위해서, 책임성 요구 사항은 개인정보 보호에 대한 회사의 전반적인 접근법의 일부가 되어야 할 것이다.