GDPR기업의 준비사항 > 정보보안 가이드

본문 바로가기
사이트 내 전체검색


정보보안 가이드

정보보안 가이드

GDPR기업의 준비사항

페이지 정보

작성자 게시판관리자 작성일18-08-15 12:36 조회6,729회 댓글0건

본문

개 요

GDPR 적용 여부, 개선 소요시간 등을 고려 3단계로 나누어 준비

- (1단계) 개인정보 처리 현황을 점검하여 GDPR 적용 대상인지 확인

- (2단계) GDPR 적용 대상인 경우 기 배포된 안내서, 가이드라인 등을 참고하여 개인정보보호책임자(DPO) 지정 등 즉시 개선 가능한 사항 이행

- (3단계) GDPR 기준에 적합한 개인정보 처리 방법, 동의 획득 절차 등 내부지침을 개선하고 영향평가 등에 소요되는 예산, 조직 등 보완

DPO 필수 지정 - DPO 업무 - DPO 자질 - DPO 지위/책임

단계별 준비 사항

【 1단계 : GDPR 적용 대상인지 여부 판단 】

EU 주민의 개인정보를 처리하는 아래 기업은 GDPR 적용 대상

- EU에 사업장을 운영하는 기업(지점, 판매소, 영업소 등)

- EU 지역에 사업장은 없지만, 인터넷 홈페이지 등을 통해 EU에 거주하는 주민에게 물품․서비스를 제공하는 기업

   ※ (예) 현지어로 마케팅 활동을 하거나 현지 통화로 결제하는 경우

특히, 아래 기업은 더 강화된 기준을 적용받으므로 특별한 주의를 요함

- EU 주민의 민감한 정보(건강, 유전자, 범죄경력 등) 또는 아동의 개인정보를 처리하는 기업

- 공개적으로 접근 가능한 장소에 대한 대규모의 체계적인 모니터링을 하는 기업(예 : CCTV)

 

【 2단계 : 즉시 개선 가능한 사항 이행 】

개인정보보호책임자(DPO, Data Protection Officer) 지정

- 개인정보보호 관련 전문지식 및 실무경험을 갖춘 자로 책임자 지정

   ※ 우리나라의 임원급 개인정보보호책임자(CPO, Chief Privacy Officer) 지정 제도와 유사하며, 다만 전문지식에 대한 보완 필요

- 특히, 정보주체에 대하여 정기적이고 체계적인 모니터링을 하거나 건강정보 등 민감한 정보를 처리하는 기업은 반드시 필요함

개인정보 처리활동 기록 유지․관리

- GDPR 준수를 입증하기 위해 개인정보 처리활동에 관한 기록 유지

- 종업원 수 250명 이상인 기업 또는 건강, 유전정보, 범죄경력 등 민감 정보를 처리하는 기업의 경우에는 필수적으로 유지·관리해야 함

역내 대리인을 서면으로 지정(해당되는 경우에 한함)

- EU 외의 지역에 사업장이 있는 기업은 EU 역내 대리인 지정 필요

- 다만, 공공기관인 경우와 간헐적․소규모의 개인정보 처리로써 민감한 정보를 처리하지 않는 기업은 대리인을 지정하지 아니할 수 있음

 

【 3단계 : 제도, 예산, 조직 등 업무체계 보완 】

기업 내 개인정보 처리현황 점검 및 내부 업무절차 개선

- 보관 중인 개인정보의 항목(민감정보 포함 여부 등), 동의 획득 절차, 정보주체 권리 보장, 유출시 조치 방법 등 제반사항을 점검하고 GDPR 요구

 수준을 충족할 수 있도록 내부 업무처리 절차 개선

개인정보 영향평가 실시(해당 되는 경우에 한함)

- 개인정보 처리 유형에 따라 개인의 권리․자유에 고위험을 초래할 우려가 있는 경우에는 사전에 영향평가를 실시하여 위험을 완화

- 특히, 개인에게 중대한 영향을 미치는 자동 처리, 대규모 민감정보, 공개장소에서의 체계적 모니터링 등의 경우는 반드시 실시해야 함

개인정보 국외 이전에 대한 적법성 확보(해당되는 경우에 한함)

- 기업 차원의 표준계약 체결, 구속력있는 기업규칙(BCR) 또는 공인 행동강령 마련, 유럽 개인정보보호인증 취득 등을 통해 적법성 확보

< 영국 개인정보감독기구에서 권장하는 준비사항  >


EU GDPR 시행에 따라 다음의 12가지 조치를 우선적으로 준비하시기 바랍니다.


  • ① 경영진의 인식 제고

  • 주요 의사 결정권자 등의 인식제고와 예산, 인력 등을 포함한 전사적 대응방안을 준비


  • ② 보유하고 있는 정보에 대한 이해

  • 보유하고 있는 개인정보의 종류와 수집 경로, 처리 절차 등을 분석해 이를 문서화하고, 유출 사고 등 비상시에 대비한 대응 절차를 마련


  • ③ 기업 내부의 개인정보 처리 방침 수립

  • 현재의 개인정보 처리 방침을 검토하여 GDPR 준수에 필요한 내부 관리 지침을 마련 및 보완


  • ④ 정보주체의 권리에 대한 이해

  • 개인정보 열람권, 삭제요구권, 개인정보 이동권 등 정보주체에게 보장된 권리를 이해하고, 이를 보장할 수 있는 절차 마련 및 임직원 교육 실시


  • ⑤ 정보주체의 권리보장 방안 마련

  • 정보주체의 요청을 기한 내에 처리하고 필요한 추가 정보를 제공할 수 있도록 필요한 절차와 계획을 수립


  • ⑥ 개인정보 처리의 법적 근거 확보

  • 처리하고 있는 정보의 내용과 유형을 점검하고, GDPR상의 위반사항이 있는지 확인, 필요시 정보주체의 동의를 받는 등 법적근거를 확보해야 함


⑦ 동의 획득 절차 수정 및 재획득

동의 획득 절차를 재점검해 수정이 필요한 부분이 있는지 검토하고, GDPR 기준을 충족하지 못한 경우 기존의 동의를 기준에 맞게 재획득


⑧ 아동의 동의 획득 방안 강구

정보주체의 연령을 확인하고, 아동의 정보처리 활동에 대해 부모 또는 보호자의 동의를 얻을 수 있는 절차 마련


⑨ 개인정보 유출 통지 절차 마련

개인정보 유출 사고를 탐지하고 감독기구, 정보주체 등에 통지 및 조사하는 적합한 절차를 마련


⑩ 개인정보 영향평가 도입

영향평가 관련 조항·지침을 숙지하고, 영향평가 의무 수행 요건 및 수행 방법을 조직 내에서 공유


⑪ DPO(개인정보보호책임자) 임명

전문적 지식과 실무 경험이 있는 전문가를 지정


⑫ 관할 감독기구 확인

하나 이상의 EU 국가에서 개인정보 처리 활동을 수행할 경우, 어느 국가의 감독기구 관할인지 확인 필요

 

"본 내용은 한국인터넷 진흥원에서"

댓글목록

등록된 댓글이 없습니다.

상단으로

전화: 02-705-5822 | 팩스: 02-6442-0746 | 주소: (14319) 경기도 광명시 소하로 190, A동 14층 1414호 (소하동, 광명G타워)
대표: 조대희 | 사업자등록번호: 214-88-00572 | 개인정보관리책임자: 조대희

"하나님이 능히 모든 은혜를 너희에게 넘치게 하시나니 이는 너희로 모든 일에 항상 모든 것이 넉넉하여 모든 착한 일을 넘치게 하게 하려 하심이라" (고후 9:8)
Copyright © www.bomnetworks.com. All rights reserved.

모바일 버전으로 보기