더 알아보기 5
DPO 지정 시 고려 사항
32)
(Designation of a Data Protection Officer)제29조 작업반은 가이드라인을 통해 DPO의 지정이 GDPR 준수에 중요한 역할을 담당하게 될 것이라고 명시하고 있습니다. GDPR 상에서 특정 컨트롤러와 프로세서는 DPO가 의무 지정 대상이며, DPO의 의무 지정 대상이 아니어도 DPO의 지정은 각 기업의 개인정보보호 관련 의사결정 시 도움이 될 수 있습니다.
따라서 제29조 작업반에서 제시하는 다음의 고려 사항을 참고하여 DPO를 지정하고 업무 프로세스에 적용할 필요가 있습니다.
[그림 3] DPO 지정 시 고려사항
전문적 자질, 개인정보보호 법령에 대한지식, 감독기구와의 협업경험, 관계자와의 커뮤니케이션
능력을 고려
DPO 지위에 대한 충분한 이해가 필요 특히 업무의 독립성과
이해의 충돌에 관심을 가져야 함
DPO가 자신의 책무를 수행할 때 개인정보 처리의 성격, 범위, 맥락 및 목적 등에 따라 개인정보 처리 할동과
관련된 위험을 고려하여야 함 DPO는 GDPR에 따라
수행하여야 할 책무가 존재함
Ⅵ 기업의
책임성 강화
#1 전문적 자질, 개인정보보호 법령에 대한 지식, 감독기구와 협업 경험, 관계자와의 커뮤니케이션 능력
전문적 자질(professional qualities)은 조직이 처리하는 개인정보의 양, 민감도, 복잡도 등에 상응하여야 하지만, 구체적으로 정의내릴 수 있는 개념은 아닙니다. 또한 개인정보 역외 이전의 발생 여부에 따라 보다 높은 전문적 자질이 요구될 수도 있습니다.
DPO가 갖추어야 하는 개인정보보호 법령에 대한 전문 지식(expertise)이 개인정보보호 분야의 자격증 취득이나 박사 학위 등 고학력이나 정보보호 분야에서 일정 기간 이상의 경력을 구체적으로 의미하는 것은 아닙니다. 그러나 이러한 사실들이 전문 지식을 보유한 DPO를 확보하였다는 것을 증명하는 데에 도움이 될 수 있습니다.
DPO는 개인정보보호 감독기구와 협업한 경험을 갖추어야 합니다. 이는 사적으로 감독기구 종사자와 업무 연락을 취할 수 있는 사회적 관계를 요구하는 것이 아닙니다.
개인정보보호 감독기구가 추구하는 정책 목표를 이해하고 감독기구가 작동하는 메커니즘을 이해하여 감독기구와의 협업 과정에서 원활한 의사 소통을 수행할 수 있는 능력이 필요하다는 것을 의미합니다.
DPO는 조직 내부에서뿐만 아니라, 감독기구 및 정보주체와도 커뮤니케이션을 수행합니다. 개인정보 처리로 인해 영향받는 다양한 관계자와의 커뮤니케이션을 수행하여야 하기 때문에 그 능력이 필수적으로 요구됩니다. 또한 커뮤니케이션 능력은 EU에서 일반적으로 사용되는 언어 구사 능력이 요구됨을 의미합니다. DPO가 EU의 언어를 직접 구사하지 못하는 경우, 조직은 전문적인 통역 자원을 DPO에게 지원하여야 합니다.
#2 DPO의 업무 독립성 보장 및 이해 충돌의 방지
DPO는 자신의 책무를 수행하는 것과 관련하여 컨트롤러나 프로세서로부터 어떠한 지시도 받지 않는 것이 보장되어야 합니다. 특히 DPO는 업무 수행과 관련하여 징계를
받거나 해고될 수 없습니다. 실제 직접적인 징계가 내려지지 않더라도, DPO의 활동과 관련하여 처벌의 가능성을 제시하는 경우에도 징계를 부과한 것으로 이해될 수 있어 주의를 요합니다.
DPO는 GDPR이 정한 책무 외에 다른 업무를 수행할 수 있습니다. 이 때 컨트롤러나 프로세서는 그와 같은 업무가 이해의 충돌(a conflict of interests)을 일으키지 않도록 보장하여야 합니다. 예를 들면 DPO가 정보 처리와 관련한 정책을 설정하는 내부 임직원인 경우 GDPR의 준수보다 비즈니스를 위한 정보 처리의 효율성을 우선적으로 추구할 수 있으며, 이로 인해 이해의 충돌이 발생할 수 있습니다. 컨트롤러나 프로세서는 이와 같은 이해의 충돌이 발생하지 않도록 하여야 합니다.
컨트롤러와 프로세서는 적시에 적절한 방법으로 DPO가 개인정보보호와 관련한 모든 사안에 참여할 수 있다는 것을 보장하여야 합니다. DPO가 GDPR에 규정된 그의 책무를 수행할 때 필요한 자원을 제공하고, 개인정보 처리 활동에 접근할 수 있도록 지원하여야 합니다. 또한 DPO가 전문 지식을 유지할 수 있도록 지원하여야 합니다. DPO가 그의 책무를 효과적이고 효율적으로 이행하는 데 필요한 경우라면 팀을 구성하는 방안도 적극 검토해야 합니다.
#3 DPO의 책무에 대한 이해
DPO는 다음과 같은 책무를 수행하여야 합니다. 다만 다음 사항은 DPO의 최소 책무 에 해당합니다. DPO는 자신의 책무를 수행할 때 개인정보 처리의 성격·범위·맥락·목적 등에 따라 개인정보 처리 활동과 관련된 위험을 고려하여야 합니다(제39조제1항).
① 컨트롤러나 프로세서, 개인정보를 처리하는 임직원들에게 GDPR 및 EU 회원국의 개인정보보호 규정에 따른 의무 사항을 알리고 조언
② 개인정보의 보호와 관련하여 GDPR 및 EU 회원국의 개인정보보호 규정, 개인정보보호와 관련한 컨트롤러 또는 프로세서의 정책 준수를 모니터링
Ⅵ 기업의
책임성 강화
③ 개인정보 영향평가와 관련하여 요청받는 경우 조언을 제공하고, 영향평가에 따른 업무 수행을 모니터링
④ 감독기구와 협력
⑤ 사전 자문(제36조)에 규정된 사전 자문 절차의 이행 등 개인정보 처리 관련 사안에 대하여 감독기구와 접촉 창구 역할 수행
⑥ 이 밖에 적절한 경우 다른 사안에 대한 자문 제공
특히 개인정보 영향평가와 관련하여 DPO는 다음 사항에 대하여 조언을 제시하도록 권고됩니다.
① 개인정보 영향평가를 수행할지에 대한 결정
② 개인정보 영향평가를 수행할 때 따라야 할 방법론
③ 개인정보 영향평가를 내부에서 수행할지 또는 아웃소싱할지에 대한 결정
④ 정보주체의 권리와 이익에 대한 위험을 감소시키기 위하여 적용해야 할 안전 조치
⑤ 개인정보 영향평가가 적절히 수행되었는지에 대한 사후 평가
더 알아보기 6
높은 위험을 초래할 가능성이 있는 개인정보 처리의 판단 기준 9가지
GDPR은 개인정보의 처리가 높은 위험을 초래할 가능성이 있을 경우, 영향평가를 받아 예측되는 위험을 최소화 하도록 권장하고 있습니다.
개인정보 처리 과정에서 높은 위험을 내재하는 개인정보의 판단 기준 9가지는 다음과 같습니다.
33)
다만, 하나의 기준만을 충족하는 경우 위험 수준이 높다고 보기 힘들며, 적어도 그 이상을 충족하는 개인정보 처리는 영향평가가 필요한 경우로 볼 수 있습니다.[그림 4] 개인정보 처리 시 높은 위험의 판단 기준
신기술의 사용 또는 적용
평가 또는 평점 시스템을 이용한 감시 민감 정보
연계되거나 결합된 일단의 정보들
취약한 정보주체에 관한 정보
처리자체가 정보주체의 서비스 이용 또는 계약을 방해하는 경우
대규모로 처리하는 정보 법적 효과 또는
자동화된 의사결정
#1 평가 또는 평점
정보주체의 업무 성과, 경제적 여건, 건강, 개인적 취향이나 관심, 신뢰도나 자세, 위치나 이동(전문 제71항, 제91항) 등의 데이터를 바탕으로 작성하는 프로필이나 예측을 포함합니다.
33) 제29조 작업반(2017. 10. 4.), Guidelines on Data Protection Impact Assessment(DPIA) and determining whether processing is ‘likely to result in a high risk’, pp. 8~12.
Ⅵ 기업의
책임성 강화
#2 법적 효과 또는 이에 유사한 영향을 미치는 자동화된 의사결정
개인에 관련하여 법적(또는 이와 유사한) 영향을 미치는 결정으로 개인정보 처리 알고리즘이 개인에 대한 배격이나 차별로 이어질 수 있는 경우가 이에 해당합니다.
개인에 대한 영향이 적거나 없는 처리는 이 특정 기준에 해당하지 않습니다.
온라인 광고가 여성보다 남성에게 보다 높은 임금의 직업 광고를 추천하는 경우 또는 특정 사회의 소수 구성원에게 저렴한 상품을 집중적으로 보여 주는 경우 등
참고・예시
#3 시스템을 이용한 감시
이 유형의 감시가 기준에 포함되는 이유는 누가 자신의 정보를 수집하는지, 그 정보가 어떻게 이용될지를 정보주체가 모를 수 있는 상황에서 개인정보가 수집되기 때문입니다.
또한 공공장소에서 시스템을 통하여 인지하지 못한 대규모 개인정보 처리의 대상이 되는 것을 피하지 못할 수도 있기 때문입니다.
#4 민감정보
이것은 제9조에 규정된 민감정보(예를 들면 개인의 정치적 견해에 관한 정보 등)뿐만 아니라 제10조에 규정된 범죄경력이나 범죄행위에 관한 정보도 포함합니다.
일반 병원이 환자의 의료 기록을 보유하는 경우, 심부름센터 등이 범죄자의 정보를 보유하는 경우 등 참고・예시
#5 대규모로 처리하는 정보
GDPR은 무엇이 ‘대규모 처리’에 해당하는지 명확하게 정의하고 있지는 않습니다.
다만 제29조 작업반은 대규모 처리 여부의 결정에 다음 내용을 고려하도록 권고하고 있습니다.
① 관련 정보주체의 수
② 처리하는 정보의 양 또는 서로 다른 정보 항목의 범위
③ 정보 처리 활동의 기간 또는 영속성
④ 처리 활동의 지리적 범위
#6 연계되거나 결합된 정보
서로 다른 목적을 위하여 또는 서로 다른 컨트롤러에 의해 시행된 둘 이상의 정보 처리 작업을 통하여 얻은 정보를 정보주체의 합리적인 예상을 초과하는 방식으로 연계하거나 결합하는 경우 등이 있습니다.
#7 취약한 정보주체에 관한 정보
이 유형의 정보 처리는 정보주체와 컨트롤러 간 증대된 힘의 불균형, 즉 개인이 자신의 정보에 대한 처리를 찬성하거나 반대할 능력이 없다는 점 때문에 영향평가가 요구될 수 있습니다(아동, 정신질환이 있는 사람, 난민, 노인, 환자, 또는 정보주체와 컨트롤러 간 지위 관계의 불균형이 있는 모든 경우도 포함).
인적 자원 관리와 연계하여 고용주가 처리하는 종업원의 개인정보 등 참고・예시
#8 신기술의 사용 또는 적용
물리적 접근 통제의 개선을 위하여 지문이나 안면 인식을 결합하여 사용하는 것 등이 이러한 사례에 속합니다. GDPR은 새로운 기술이 사용됨에 따라 개인정보 영향평가