[컨퍼런스] GDPR 시행에 따른 우리 기업의 대응방안

목차


GDPR 시행에 따른 우리 기업의 대응방안

한국인터넷진흥원 윤재석 개인정보협력팀장


GDPR 시행에 따른 우리 기업의 대응방안

1. GDPR 시행 후 변화

  1. 개인정보보호 정책 변경 메일
  2. EU 접속 차단
  3. 정보주체의 권리 요구 증가
  4. 글로벌 기업 제소



2. GDPR에 대한 우리 기업의 인식

  1. GDPR 인지도
    • 전체 기업의 43.3%가 GDPR에 대해 알고 있다고 응답함
    • GDPR의 내용을 전반적으로 이해하고 있지만, 실무 적용을 어려워하는 수준이 38.3%
  2. EU 개인정보 수집
    • EU 진출기업의 54.1%가 EU 이용자의 개인정보를 수집
    • 수집 경로는 온라인 66.6%, 오프라인 33.4%
  3. GDPR 준비도
    • GDPR을 준비하고 이쓴ㄴ 비율은 34.8%
    • GDPR에 대한 준비정도는 ‘GDPR 적용 대상 여부에 대한 이해’가 97.9%, ‘GDPR 진단 컨설팅/자문’이 55.3%
  4. GDPR 관련 비용
    • GDPR을 대비하기 위해 소요되는 총 비용은 평균 1.1억원
    • EU 부분적정성 승인시 자체적으로 준비할 때보다 약 40% 정도의 비용이 절감할 것이라고 응답
  5. EU 부분적정성 승인에 대한 효과
    • EU 부분적정성 승인에 대해 ‘효과가 있다’고 응답한 비율은 68.4%
      • 부분 적정성만으로도 효과가 있음 22.7%
      • 일부 한계가 있으나 부분적정성만으로도 부담을 줄일 수 있을 것으로 보임 45.7%
  6. GDPR 준비시 애로사항
    • GDPR을 준비하는 과정에서 ‘법률의 내용을 이해하기 어렵다’는 응답이 64.8%
  7. GDPR 관련 정부에게 바라는 점
    • GDPR 관련 교육 지원이 확대되어야 한다는 응답이 53%


  GDPR 준비 EU 시장 및 EU 시민 개인정보 EU 적정성 관련 정책적 수요
EU 진출 기업 - GDPR 대응을 위한 별도 예산 마련
- GDPR 대응을 위한 정책을 마련 후 사내 교육 진행
- EU 내 사업을 활성화 계획
- EU 시민의 개인정보는 대부분 온라인으로 수집하고, 국내 및 현지 서버, 또는 클라우드를 통해 개인정보 처리
- 정통망법 기반의 EU 적정성 승인을 받을 경우 GDPR 예산 절감, 규제준수 부담 완화 등의 효과 기대
- 향후 EU 시장 확대 및 새로운 비즈니스 창출기회 예상
- 정확한 법률적 해석을 위해 업종별/분야별 등 보다 구체적인 사례집 필요
- GDPR과 관련된 문의 및 의문사항을 위한 소통창구 필요
EU 진출 예정 기업 - 구체적인 GDPR 예산이 편성되지 않음 - EU 시장으로 사업을 확장할 계획 있음 - 정부 차원에서의 적정성 승인을 받는다면 기업의 부담과 개별 준비사항에 대한 비용절감과 부담 완화의 효과가 있을 것으로 기대 - GDPR 관련 콘텐츠와 유권해석, 상담을 위한 전용 문의처 필요

3. 우리 기업이 알아야할 GDPR 주요 내용

GDPR 제정 목적 및 주요 변화

  1. 디지털 싱글마켓에 적합한 통일되고 단순화된 프레임워크
    • 단일 개인정보보호법 적용
    • 원스톱샵 메커니즘
  2. 권리와 의무 강화
    • 정보주체 권리 확대 : 동의 조건 강화, 데이터 이동권/잊혀질 권리 등 도입
    • 기업의 책임성 강화 : DPO 지정, 개인정보 유출 통지 신고제 등 도입
  3. 현대화된 개인정보보호 거버넌스 체계 마련
    • 개인정보 감독기구간 협력 강화(ex. 공동조사)
    • 법 적용의 일관성을 보장하기 위한 European Data Protection Board 설립
    • 신회할 수 있고 비례적인 제재 부과


GDPR 적용대상


개인정보 처리 7가지 원칙

  1. 적법성, 공정성, 투명성
  2. 목적 제한
  3. 개인정보 처리의 최소화
  4. 정확성
  5. 보유 기간 제한
  6. 무결성, 기밀성
  7. 책임성


개인정보 처리의 6가지 적법성

기업들이 주로 선택 가능한 적법성 원칙들

그 외


4가지 유효한 동의 조건


정보주체의 8가지 권리

GDPR 개인정보보호법
정보를 제공받을 권리 제20조(정보주체 이외로 부터 수집한 개인정보의 수집출처 등 고지)
정보주체의 열람권 제35조(개인정보의 열람)
제38조(권리 행사의 방법 및 절차)
정정권 제36조(개인정보의 정정삭제)
삭제권(잊힐 권리) 제36조(개인정보의 정정삭제)
처리 제한권 제37조(개인정보의 처리 정지)
제38조(권리 행사의 방법 및 절차)
개인정보 이동권  
반대권  
프로파일링을 포함한 자동화된 의사결정 관련  


정보주체의 8가지 권리(이동권)

정보주체나 다른 컨트롤러에게 자신의 데이터를 제공할 것을 요구 할 수 있는 권리

  1. 정보주체와 관한 개인정보? YES
  2. 자동화된 수단에 의한 처리? YES
  3. 동의 또는 계약 이행에 근거? YES
  4. 정보주체가 제공? YES
  5. 이동으로 타인의 자유와 권리에 불리한 영향? NO
    • Then the data are portable!


정보주체의 8가지 권리(자동화된 결정 및 프로파일링 관련 권리)

법적 효력을 초래하거나 이와 유사한 중대한 효과를 미치는 사항에 대하여 프로파일링 등 자동화된 처리에만 근거한 결정의 적용을 받지 않을 권리


기업의 책임성 강화


과징금 부과의 11가지 기준

  1. 위반의 성격, 중대성 및 지속 기간
  2. 위반의 의도성 또는 태만 여부
  3. 정보주체의 피해를 경감하기 위한 컨트롤러 또는 프로세서의 조치
  4. 기술적, 조직적 조치를 고려한 컨트롤러 또는 프로세서의 책임 수준
  5. 컨트롤러 또는 프로세서가 이전에 범했던 관련 법규의 위반 여부
  6. 위반을 해결하고 위반으로 인한 부정적 영향을 경감하기 위한 감독기구와의 협조 수준
  7. 위반으로 인해 영향을 받는 개인정보의 종류
  8. 감독기구가 위반을 인지하게된 경위, 특히 컨트롤러 또는 프로세서의 위반 통지 여부
  9. 동일한 사안에 대하여 컨트롤러 또는 프로세서에게 감독기구의 명령이 부과된 바가 있는지 여부
  10. 승인된 행동 강령 또는 인증 매커니즘의 준수 여부
  11. 위반으로 인해 직간접적으로 얻은 금전적 이익 또는 회피한 손실 등 가중 및 경감 요소

4. 대응 현황과 개선과제

GDPR 대응 지원 방향

  1. GDPR 전담 창구 운영
    • GDPR 안내를 위한전담 온라인 홈페이지 운영 및 이메일, 전화 상담 창구 운영
      • http://gdpr.kisa.or.kr/
    • 중소, 벤처 기업을 위한 창구 마련 및 EU 현지 사무소 개소 검토 중
  2. GDPR 교육 및 중소 벤처 기업 지원
    • GDPR 교육 콘텐츠 개발 보급 및 관계부처, 협력 기관과 연계해 집중 교육 추진
    • 중소, 벤처 기업 컨설팅 지원 및 우수사례 발굴을 통한 역량 강화 계획
  3. 조속한 적정성 승인 추진
    • 현재 정통망법 기반 적정성 승인을 위해 EU집행위와 협의 중
    • 연내 협의를 이룰 수 있도록 정기적인 실무급 협의 및 고위급 면담 추진


향후 개선 과제 : 기업 자율성 및 전문성 강화



향후 개선 과제 : 개인정보 보호와 활요의 조화