모바일메뉴닫기
서브비쥬얼 서브비쥬얼

HOME기업준비사항단계별 준비사항

단계별 준비사항

개요

GDPR 적용 여부, 개선 소요시간 등을 고려 3단계로 나누어 준비

  • 1단계개인정보 처리 현황을 점검하여 GDPR 적용 대상인지 확인
  • 2단계GDPR 적용 대상인 경우 기 배포된 안내서, 가이드라인 등을 참고하여 개인정보보호책임자(DPO) 지정 등 즉시 개선 가능한 사항 이행
  • 3단계GDPR 기준에 적합한 개인정보 처리 방법, 동의 획득 절차 등 내부지침을 개선하고 영향평가 등에 소요되는 예산, 조직 등 보완
  • 1단계

    GDPR 적용대상 여부 판단

    EU 개인정보 처리 여부 점검

  • 2단계

    즉시 개선 가능한 사항 이행

    책임자 지정, 처리활동 기록 등

  • 3단계

    제도, 예산, 조직 등 업무체계 보완

    내부지침 개선, 영향평가 등

단계별 준비사항

1GDPR 적용 대상인지 여부 판단

EU 주민의 개인정보를 처리하는 아래 기업은 GDPR 적용 대상임

EU에 사업장을 운영하는 기업(지점, 판매소, 영업소 등)

EU 지역에 사업장은 없지만, 인터넷 홈페이지 등을 통해 EU에 거주하는 주민에게 물품·서비스를 제공하는 기업 (예) 현지어로 마케팅 활동을 하거나 현지 통화로 결제하는 경우

특히, 아래 기업은 더 강화된 기준을 적용받으므로 특별한 주의를 요함

EU 주민의 민감한 정보(건강, 유전자, 범죄경력 등) 또는 아동의 개인정보를 처리하는 기업

공개적으로 접근 가능한 장소에 대한 대규모의 체계적인 모니터링을 하는 기업(예 : CCTV)

2즉시 개선 가능한 사항 이행

개인정보보호책임자(DPO, Data Protection Officer) 지정

개인정보보호 관련 전문지식 및 실무경험을 갖춘 자로 책임자 지정

특히, 정보주체에 대하여 정기적이고 체계적인 모니터링을 하거나 건강정보 등 민감한 정보를 처리하는 기업은 반드시 필요함

개인정보 처리활동 기록 유지․관리

GDPR 준수를 입증하기 위해 개인정보 처리활동에 관한 기록 유지

종업원 수 250명 이상인 기업 또는 건강, 유전정보, 범죄경력 등 민감 정보를 처리하는 기업의 경우에는 필수적으로 유지·관리해야 함

역내 대리인을 서면으로 지정(해당되는 경우에 한함)

EU 역내에 사업장이 없는 기업은 EU 역내 대리인 지정 필요

다만, 정부부처 또는 관련기관인 경우, 해당 처리가 간헐적·소규모의 개인정보 처리로 민감정보를 처리하지 아니하고 개인의 권리와 자유에 대한 위험이 낮은 경우 대리인을 지정하지 아니할 수 있음.

3제도, 예산, 조직 등 업무체계 보완

기업 내 개인정보 처리현황 점검 및 내부 업무절차 개선

보관 중인 개인정보의 항목(민감정보 포함 여부 등), 동의 획득 절차, 정보주체 권리 보장, 유출시 조치 방법 등 제반사항을 점검하고 GDPR 요구 수준을 충족할 수 있도록 내부 업무처리 절차 개선

개인정보 영향평가 실시(해당 되는 경우에 한함)

개인정보 처리 유형에 따라 개인의 권리․자유에 고위험을 초래할 우려가 있는 경우에는 사전에 영향평가를 실시하여 위험을 완화

특히, 개인에게 중대한 영향을 미치는 자동 처리, 대규모 민감정보, 공개장소에서의 체계적 모니터링 등의 경우는 반드시 실시해야 함

개인정보 국외 이전에 대한 적법성 확보(해당되는 경우에 한함)

표준계약의 체결, 회사의 구속력 있는 기업규칙(BCR)의 승인, 승인된 행동 규약 또는 인증제도, 정보주체의 동의 등을 통한 적법성 확보

영국 개인정보감독기구에서 권장하는 준비사항

EU GDPR 시행에 따라 다음의 12가지 조치를 우선적으로 준비하시기 바랍니다.

  • 01경영진의 인식 제고 주요 의사 결정권자 등의 인식제고와 예산, 인력 등을 포함한 전사적 대응방안을 준비
  • 02보유하고 있는 정보에 대한 이해보유하고 있는 개인정보의 종류와 수집 경로, 처리 절차 등을 분석해 이를 문서화하고, 유출 사고 등 비상시에 대비한 대응 절차를 마련
  • 03기업 내부의 개인정보 처리 방침 수립현재의 개인정보 처리 방침을 검토하여 GDPR 준수에 필요한 내부 관리 지침을 마련 및 보완
  • 04정보주체의 권리에 대한 이해개인정보 열람권, 삭제요구권, 개인정보 이동권 등 정보주체에게 보장된 권리를 이해하고, 이를 보장할 수 있는 절차 마련 및 임직원 교육 실시
  • 05정보주체의 권리보장 방안 마련정보주체의 요청을 기한 내에 처리하고 필요한 추가 정보를 제공할 수 있도록 필요한 절차와 계획을 수립
  • 06개인정보 처리의 법적 근거 확보처리하고 있는 정보의 내용과 유형을 점검하고, GDPR상의 위반사항이 있는지 확인, 필요시 정보주체의 동의를 받는 등 법적근거를 확보해야 함
  • 07동의 획득 절차 수정 및 재획득동의 획득 절차를 재점검해 수정이 필요한 부분이 있는지 검토하고, GDPR 기준을 충족하지 못한 경우 기존의 동의를 기준에 맞게 재획득
  • 08아동의 동의 획득 방안 강구정보주체의 연령을 확인하고, 아동의 정보처리 활동에 대해 부모 또는 보호자의 동의를 얻을 수 있는 절차 마련
  • 09개인정보 유출 통지 절차 마련개인정보 유출 사고를 탐지하고 감독기구, 정보주체 등에 통지 및 조사하는 적합한 절차를 마련
  • 10개인정보 영향평가 도입영향평가 관련 조항·지침을 숙지하고, 영향평가 의무 수행 요건 및 수행 방법을 조직 내에서 공유
  • 11DPO(개인정보보호책임자) 임명전문적 지식과 실무 경험이 있는 전문가를 지정
  • 12관할 감독기구 확인하나 이상의 EU 국가에서 개인정보 처리 활동을 수행할 경우, 어느 국가의 감독기구 관할인지 확인 필요
GDPR 문의 : 061-820-1805