모바일메뉴닫기
서브비쥬얼 서브비쥬얼

HOMEGDPR 소개기업의 책임성

기업의 책임성

기업 책임성 강화

  • ① DPO 지정
  • ② 개인정보 영향평가(DPIA)
  • ③ Data Protection by Design and by Default
  • ④ 처리 활동의 기록
  • ⑤ 기술적 관리적 보호조치
1DPO(Data Protection Officer) 지정
DPO 업무
GDPR 등 개인정보보호 법규 인식 제고 및 자문
내부 정보보호 활동 관리, GDPR모니터링
정보제공, 조언, 권고사항 제시
영향평가에 대한 자문 및 평가 이행 감시
DPO 필수지정
공공기관 개인정보 처리
(핵심활동) 정보주체에 대한 대규모의 정기적이고 체계적인 모니터링
(핵심활동) 민감정보나 유죄판결 및 형사범죄에 대한 대규모의 처리
공동 또는 외부 DPO 지정 가능
DPO 자질
GDPR 등 개인정보 관련 법률에 대한 전문지식
개인정보처리 작업 이해
정보기술 및 보안 이해
기업 및 조직에 대한 지식
조직 내 개인정보보호 문화 활성화 능력
DPO 지위/책임
개인정보보호 관련 문제에 적절/ 적시에 관여 보장
시간, 재정적 자원, 인프라, 훈련 등 지원
GDPR 미준수에 따른 개인적 책임 없음
독립성 보장

DPO

자격요건

법과 실무에 대한 전문적 지식과 업무수행 능력

독립성

외부 DPO도 가능, 임무수행으로 해고나 불이익 금지

CPO

자격요건

사업주 또는 대표자, 임원등

독립성

내부자만 가능 (독립성 제한)

2개인정보 영향평가
DPO지정표

(대상 개인정보) 새로운 기술을 사용하고, 처리 유형이 개인의 자유와 권리에 high risk를 초래할 가능성이 있는 경우

(목적) 위험 완화 및 GDPR 준수 입증

(언제) 고위험의 처리 활동 개시 전

(누가) DPO와 프로세서의 도움을 받아 Controller가 시행

3DPbD

Data Protection by Design and by Default

  • Data protection by design and by default의 원칙을 충족하는 내부 정책과 조치를 채택 시행
  • 개인정보처리의 최소화, 처리에 필요한 보호조치, 가명처리 등
  • 기업이 모든 프로젝트의 초기단계에서 개인정보 보호를 중요한 고려사항으로 하고, 라이프 사이클 전반에 걸쳐 개인정보를 보호하는 것을 권장 (전문 제78항: 공개입찰 상황에서도 고려)
4처리 활동의 기록

개인정보 처리 활동의 기록

  • 피고용인이 250명 이상인 컨트롤러와 프로세서는 GDPR 준수를 입증하기 위하여 본인의 책임하에 개인정보 처리활동의 기록 (문서화)을 유지하여야 함
  • 피고용인 250명 미만이더라도, ①정보주체 권리와 자유에 위험을 초래하는 경우, ②민감정보 처리, ③ 유죄판결 및 형사범죄에 관련된 개인정보 처리 시 처리활동 기록 필요
  • 문서화의 내용 : 컨트롤러의 이름 및 연락처, 처리의 목적, 제3국으로 개인정보가 이전되는 경우 국외이전 방식에 대한 체계와 보호 조치, 보유기간, 기술적 관리적 보호조치 등
5기술적 관리적 보호조치

적절한(appropriate) 수준의 기술적 관리적 보호조치 결정을 위한 고려사항

위험수준에 따른 보안을 위하여 적절한 기술적 관리적 보호조치를 이행

  • 최신 기술 수준
  • 이행 비용
  • 처리의 성격, 범위, 맥락, 목적
  • 자연인의 권리와 자유에 미칠 수 있는 발생 가능성 및 심각성에 있어 다양한 위험

적절한(appropriate) 수준의 기술적 관리적 보호조치가 포함되어야 할 조치들(예)

  • 개인정보의 가명처리와 암호화
  • 지속적인 기밀성, 무결성, 가용성과 처리 시스템 및 서비스의 회복성을 보장하기 위한 능력
  • 물리적, 기술적 사고 발생시 적시에 개인정보의 가용성과 그에 대한 접근을 회복하는 능력
  • 처리의 보안을 보장하기 위한 기술적 관리적 조치의 효과성을 정기적으로 시험, 평가하는 프로세스
GDPR 문의 : 061-820-1805