6
Ⅵ 기업의
책임성 강화
행동규약에는 다음과 같은 내용을 다룰 수 있다.
① 공정하고 투명한 개인정보 처리
② 특정 상황에서 컨트롤러가 추구하는 정당한 이익
③ 개인정보의 수집
④ 개인정보의 가명화
⑤ 일반 대중 및 정보주체에게 제공되는 정보
⑥ 아동에게 제공되는 정보, 그리고 아동에 대한 보호와 부모의 책임을 지닌 자의 아동 관련 동의 획득 방식
⑦ 제24조와 제25조에서 규정된 조치 및 절차와 제32조에서 규정된 개인정보 처리의 보안을 보장하는 조치
⑧ 감독기구와 정보주체에 대한 개인정보 침해 통지
⑨ 개인정보의 제3국이나 국제기구로의 이전
⑩ 분쟁 해결 절차
6.3 행동규약 준수에 대한 모니터링(제41조)
행동규약과 관련한 전문성을 보유하고 소관 감독기구가 인정한 기관은 행동규약 준수에 대하여 모니터링을 실시할 수 있다.
GDPR은 인정된 기관이 다음 절차를 수립하도록 명시하고 있다.
① 해당 컨트롤러와 프로세서의 행동규약 적용 자격을 평가하고, 그들의 행동규약 준수 여부를 감시하며, 정기적으로 그 운영을 검토하는 절차
② 행동규약의 위반, 행동규약의 이행이나 이행 방식에 관한 민원을 처리하는 절차와 구조
6.4 인증제도(제42조)
회원국, 감독기구, 유럽 개인정보보호이사회(EDPB) 또는 EU 집행위원회는 투명성과 법령 준수를 향상하기 위한 인증제도 수립을 장려하여야 하며, 인증서는 감독기구나 인정된 인증기관이 발행한다.
기업은 인증제도를 통하여 기술적·관리적 조치를 실시하고 있음을 보여 줄 수 있으며, 개인정보 역외 이전의 적절성과 관련된 보호조치를 실시하고 있음을 입증할 수도 있다.
또한 특정 제품이나 서비스의 정보보호 수준 평가를 신속히 할 수 있다.
인증의 최대 유효 기간은 3년이며, 인증 의무를 더 이상 충족하지 않을 경우 인증은 철회될 수 있다.
6.5 인증기관(제43조)
인증기관(certification body)은 제3자 적합성 평가 기관(third-party confirmity assessment body)으로서, 제42조에 의거한 인증 메커니즘을 운영한다.
개인정보보호와 관련하여 적절한 수준의 전문 지식을 보유한 인증기관은 필요한 경우 제58조제2항(h)에 따른 권한 행사를 허용하도록 감독기구에 고지한 후 인증을 발행, 갱신한다.
인증기관은 컨트롤러나 프로세서의 인증이나 인증 철회를 초래하는 평가에 대하여 책임을 져야 한다.
인증기관에 대한 인정은 최대 5년간 유지되며, GDPR의 요건을 충족하는 경우 동일한 조건으로 갱신될 수 있다.
6.5.1 인증기관에 대한 인정
31)
‘인증기관에 대한 인정’이란 인증기관이 GDPR 제42~43조에 의거하여 인증을 수행할
31) 제29조 작업반(2018. 2. 6.), Draft Guidelines on the accreditation of certification bodies under Regulation, pp.8~9.
Ⅵ 기업의
책임성 강화
자격이 있는지 증명하는 것을 의미한다. 즉 인증기관이 인증 활동을 수행(적합성 평가 활동)할 때 적격한 기관인지 인정받을 수 있어야 한다.
회원국은 제43조제1항에 따라 인증기관이 다음의 하나 또는 둘에 의하여 인정되는 것을 보장해야 한다.
① 제55조 또는 제56조에 따라 권한있는 감독기구의 자체 요건에 따라 인정
② EU 이사회 규칙 (EC) 765/2008 , EN - ISO/IEC 17065/2012 그리고 관련 감독기구의 추가 요건에 따라 지명된 국가 인정 기관이 인정
③ 감독기구 및 국가 인정 기관이 모두 인정(두 기관 모두에 인정을 받아야 하는지에 대한 여부는 회원국이 단독으로 결정한다.)
GDPR은 인정기관에 대한 인정에 관하여 새로운 기준을 제시하지는 않는다. 다만 제29조 작업반은 ‘인증기관에 대한 인정 가이드라인’을 통하여 인정을 위한 추가 요건을 파악할 수 있는 툴 박스를 제공할 것이라고 밝히고 있다.
• 제40조(행동규약)
• 제41조(승인된 행동규약의 모니터링)
• 제42조(인증)
• 제43조(인증기관) GDPR 관련 규정
• 제13조(자율 규제의 촉진 및 지원)
• 제32조의2(개인정보보호 인증) 개인정보보호법 관련 규정
셀프 체크리스트
□ □
• 행동규약을 작성하는 경우 감독기구의 승인을 받아 활용하고 있다.
예 아니오
더 알아보기 5
DPO 지정 시 고려 사항
32)
(Designation of a Data Protection Officer)제29조 작업반은 가이드라인을 통해 DPO의 지정이 GDPR 준수에 중요한 역할을 담당하게 될 것이라고 명시하고 있습니다. GDPR 상에서 특정 컨트롤러와 프로세서는 DPO가 의무 지정 대상이며, DPO의 의무 지정 대상이 아니어도 DPO의 지정은 각 기업의 개인정보보호 관련 의사결정 시 도움이 될 수 있습니다.
따라서 제29조 작업반에서 제시하는 다음의 고려 사항을 참고하여 DPO를 지정하고 업무 프로세스에 적용할 필요가 있습니다.
[그림 3] DPO 지정 시 고려사항
전문적 자질, 개인정보보호 법령에 대한지식, 감독기구와의 협업경험, 관계자와의 커뮤니케이션
능력을 고려
DPO 지위에 대한 충분한 이해가 필요 특히 업무의 독립성과
이해의 충돌에 관심을 가져야 함
DPO가 자신의 책무를 수행할 때 개인정보 처리의 성격, 범위, 맥락 및 목적 등에 따라 개인정보 처리 할동과
관련된 위험을 고려하여야 함 DPO는 GDPR에 따라
수행하여야 할 책무가 존재함