기업 책임성 강화
- ① DPO 지정
- ② 개인정보 영향평가(DPIA)
- ③ Data Protection by Design and by Default
- ④ 처리 활동의 기록
- ⑤ 기술적 관리적 보호조치
- 1DPO(Data Protection Officer) 지정
-
- DPO 업무
- GDPR 등 개인정보보호 법규 인식 제고 및 자문
- 내부 정보보호 활동 관리, GDPR모니터링
- 정보제공, 조언, 권고사항 제시
- 영향평가에 대한 자문 및 평가 이행 감시
- DPO 필수지정
- 공공기관 개인정보 처리
- (핵심활동) 정보주체에 대한 대규모의 정기적이고 체계적인 모니터링
- (핵심활동) 민감정보나 유죄판결 및 형사범죄에 대한 대규모의 처리
- 공동 또는 외부 DPO 지정 가능
- DPO 자질
- GDPR 등 개인정보 관련 법률에 대한 전문지식
- 개인정보처리 작업 이해
- 정보기술 및 보안 이해
- 기업 및 조직에 대한 지식
- 조직 내 개인정보보호 문화 활성화 능력
- DPO 지위/책임
- 개인정보보호 관련 문제에 적절/ 적시에 관여 보장
- 시간, 재정적 자원, 인프라, 훈련 등 지원
- GDPR 미준수에 따른 개인적 책임 없음
- 독립성 보장
-
DPO
- 자격요건
-
법과 실무에 대한 전문적 지식과 업무수행 능력
- 독립성
-
외부 DPO도 가능, 임무수행으로 해고나 불이익 금지
CPO
- 자격요건
-
사업주 또는 대표자, 임원등
- 독립성
-
내부자만 가능 (독립성 제한)
- 2개인정보 영향평가
-
(대상 개인정보) 새로운 기술을 사용하고, 처리 유형이 개인의 자유와 권리에 high risk를 초래할 가능성이 있는 경우
(목적) 위험 완화 및 GDPR 준수 입증
(언제) 고위험의 처리 활동 개시 전
(누가) DPO와 프로세서의 도움을 받아 Controller가 시행
- 3DPbD
-
Data Protection by Design and by Default
- Data protection by design and by default의 원칙을 충족하는 내부 정책과 조치를 채택 시행
- 개인정보처리의 최소화, 처리에 필요한 보호조치, 가명처리 등
- 기업이 모든 프로젝트의 초기단계에서 개인정보 보호를 중요한 고려사항으로 하고, 라이프 사이클 전반에 걸쳐 개인정보를 보호하는 것을 권장 (전문 제78항: 공개입찰 상황에서도 고려)
- 4처리 활동의 기록
-
개인정보 처리 활동의 기록
- 피고용인이 250명 이상인 컨트롤러와 프로세서는 GDPR 준수를 입증하기 위하여 본인의 책임하에 개인정보 처리활동의 기록 (문서화)을 유지하여야 함
- 피고용인 250명 미만이더라도, ①정보주체 권리와 자유에 위험을 초래하는 경우, ②민감정보 처리, ③ 유죄판결 및 형사범죄에 관련된 개인정보 처리 시 처리활동 기록 필요
- 문서화의 내용 : 컨트롤러의 이름 및 연락처, 처리의 목적, 제3국으로 개인정보가 이전되는 경우 국외이전 방식에 대한 체계와 보호 조치, 보유기간, 기술적 관리적 보호조치 등
- 5기술적 관리적 보호조치
-
적절한(appropriate) 수준의 기술적 관리적 보호조치 결정을 위한 고려사항
위험수준에 따른 보안을 위하여 적절한 기술적 관리적 보호조치를 이행
- 최신 기술 수준
- 이행 비용
- 처리의 성격, 범위, 맥락, 목적
- 자연인의 권리와 자유에 미칠 수 있는 발생 가능성 및 심각성에 있어 다양한 위험
적절한(appropriate) 수준의 기술적 관리적 보호조치가 포함되어야 할 조치들(예)
- 개인정보의 가명처리와 암호화
- 지속적인 기밀성, 무결성, 가용성과 처리 시스템 및 서비스의 회복성을 보장하기 위한 능력
- 물리적, 기술적 사고 발생시 적시에 개인정보의 가용성과 그에 대한 접근을 회복하는 능력
- 처리의 보안을 보장하기 위한 기술적 관리적 조치의 효과성을 정기적으로 시험, 평가하는 프로세스