| 내용 |
모든 우려와 걱정에도 불구하고, 아직까지 일반개인정보보호법(GDPR, General Data Protection Regulation) 발효 이후 벌금은 부과되지 않았다. 이는 이해할만한 일인데, 왜냐하면 많은 규제기관들이 아직도 앞선 GDPR의 주요 조항들을 따라잡지 못하고 있기 때문이다. 또한 과징금은 마지막 최후의 수단이라는 점도 고려해야 한다. 규제기관들이 처하고 있는 제한된 여건을 고려한다면 보다 상세한 조사가 필요한 과징금 부과에는 상당한 시간이 걸릴 것이다. 다른 고려 사항으로는 기업들이 GDPR의 규제조항을 준수하기 위해 취해야 하는 상당한 절차를 들 수 있다. 프라이버시 관련 공지와 동의 형식은 이전보다 투명해지고 명확해진 것으로 보이지만, 기업이 실제 그렇게 하고 있는지는 별개의 문제이다. 기업의 입장에서는 과징금이라는 큰 부담이 존재하는데, 그 징후는 아래와 같이 상당 부문 나타나고 있다. o 사람들은 이전보다 많이 자신의 권리를 행사하고 있다. 이용자 권리행사에 대한 요청을 적시에 처리하는 것은 상당한 시간과 자원이 소요되는 일이다. 규제기관들은 의무사항을 제대로 준수하는지 기업들을 주의 깊게 모니터링 한다는 점을 명심하는 것이 필요하다. o 규제기관들은 침해 신고에 몸살을 앓고 있다. 그 숫자가 너무 많아 기업들이 사소한 사항에 대해서까지 신고를 남발하고 있다는 규제기관의 불만도 있다. 그러나 신고를 많이 한다고 해서 손해 볼 것이 없지만, 신고를 안 한다면 벌금을 부과 받게 되는 상황에서 누가 기업을 탓할 수 있겠는가? o 신고접수 수 또한 증가하고 있으며, 규제기관은 이미 상당히 많은 조사업무를 다루고 있다. 따라서 기업들은 자신의 기업과 관련된 신고 접수 조사가 일부 진행될 수도 있다는 점을 대비해야 한다. 2018년 5월(GDPR 시행) 이전까지 해온 일에 대한 정리가 필요하다. GDPR 발효 이전에 무엇인가를 구축하기 위해 제대로 테스트하지 못한 채 도입한 솔루션에 대해 검토하는 것이 필요하다. 일부 솔루션의 경우는 너무 복잡하거나 과중하여 제대로 된 유지관리가 어려울 수 있다. 예를 들어 기록을 최신의 상태로 유지하도록 하는 의무와 온라인 영향평가 솔루션(online DPIA) 등은 그 수준에 따라 유지 관리가 힘들 수 있다. 이러한 솔루션은 효과적인 컴플라이언스 준수 대응 방법이 되지 못할 뿐만 아니라, 오히려 위험을 일으킬 수 있는 소지가 있다는 점에서 주의가 필요하다. 100일의 시간이 지나면서 기업들은 그들이 GDPR 시행이전에 급하게 도입했던 대책과 솔루션을 비판적인 시각에서 검토해야 하며, 목적에 부합하는지 살펴보아야 한다. 이를 위한 실제적인 검토 단계는 다음과 같은 내용을 포함한다. o 실제 테스팅 수행. 체크를 위한 가장 좋은 방법은 보안침해신고 정책이 금요일 저녁에 작동하는지 테스트하는 것이다. 불편하겠지만, 상당히 유용한 대응방법이다. o 일일 업무를 맡고 있는 팀원들에게서 솔직한 피드백을 받는 것이 필요하다. 그들은 어떤 것이 작동하지 않고 어떤 업무에 개선이 필요한지 제안할 수 있다. o 문제가 파악되면 기업들은 이전 접근방법을 바꾸는 것에 대해 두려워해서는 안 된다. 일부 선택사항은 다음과 같다. o 복잡한 업무를 줄이고 되도록 간소화함으로써 컴플라이언스 수준을 이전과 같이 유지할 수 있는지 검토해야 한다. 예를 들어 기록준수 의무는 광범위한 데이터 매핑과 마이닝을 필요로 하지 않을 수 있다. 기술을 통한 지원 범위를 확인해야 한다. 기업의 특정 수요를 해결하는데 도움을 줄 수 있는 훌륭한 소프트웨어가 많이 있다. 그러나 해당 기술 소프트웨어를 구매하기 전에 이를 테스트하고 검토하는 것이 중요하다. 언제나 롤스 로이스가 필요하지는 않다. 그러면 향후 100일을 대비하기 위해 할 일은 무엇인가? 개인정보보호 영역에서 확실한 것은 없지만, 적어도 아래와 같은 사항들을 기대할 수 있다. o 더 많은 규제와 첫 번째 대규모 과징금 부과 사례. 기업들은 규제기관에게 자사의 GDPR 컴플라이언스 준수 내용을 설명할 수 있어야 한다. o 5월 25일전 막무가내로 체결된 콘트롤러와 프로세서 간 계약 내용이 실제 이루어지는 가에 대한 분쟁이 있을 수 있다. o 전자 프라이버시 규정(ePrivacy Regulation)과 GDPR 사이 규제내용에 대한 조화 이슈에 많은 논의가 있어왔다. 이 분야에서는 향후 몇 년간 상당한 변화가 예상되기 때문에 이에 대한 충분한 대비가 필요하다. o 국가 간 정보이전 이슈도 프라이버시 쉴드(Privacy Shield), 브렉시트(Brexit), 슈렘스(Schrems) 등의 형태로 언론 지상에 언급되는 횟수가 많아지고 있다. 이 이슈는 앞으로도 지속적으로 뜨거워질 것으로 예상된다. 향후 기업들이 향후 100일 동안 고려해야 할 주요 단계는 다음과 같다. o 내부 GDPR 컴플라이언스 준수 노력을 유지하고, 내부 데이터 처리의 재정의 및 컴플라이언스 수준 개선을 지속하기 위해 GDPR 시행 이전에 구축된 관리체계를 지원하는 것이 필요하다. 이를 위해 기업 경영진에게 주요 위험과 필요한 자원, 또는 구성원에 대한 교육훈련 등에 대해 월간 보고를 하는 것이 필요하다. 아직도 해야 할 일이 많고, 이를 위한 지원이 필요하다. o GDPR 시행 이전에 마련된 업무 리스트를 재검토하는 것이 필요하다. 이전에 작성된 업무 리스트에서 아직 이행되지 않은 업무가 있다면 이를 우선적으로 시행하는 것이 중요하다. o 규제환경 변화와 집행 등에 대해 주의 깊게 모니터링 하는 것이 필요하다. 규제기관의 기대수준에 업무 수행 방법을 일관성 있게 맞추는 것이 중요하다. |
