| 내용 |
IT 시장조사기업인 Forrester社는 유럽연합의 일반개인정보보호규정(GDPR, General Data Protection Regulation)에 의해 영향을 받는 기업 중 80%가 법 시행일인 2018년 5월 25일까지 규정에 제대로 대응하지 못할 것이라고 전망했다. ldquo;잊힐 권리(Right to be Forgotten) rdquo; Forrester社의 조사결과 중 중요한 사실 하나는 기업차원에서 GDPR에 대한 컴플라이언스가 주된 이슈가 아니라, 소비자들이 규정에 포함된 주요 내용, 즉 ldquo;잊힐 권리(right to be forgotten) rdquo;를 주장함으로써 기업은 자신들이 갖고 있는 자원을 소진하고, 평판에 부정적인 영향을 끼칠 수 있다는 점이다. 이 권리는 개인들이 데이터 처리에 특별한 이유가 없으면 자신의 데이터의 삭제 혹은 제거를 요청할 수 있는 권리이다. 이 권리와 함께 기업은 제3자에게 제공한 정보 주체에 해당하는 링크나 데이터 사본의 삭제를 요청해야 한다. 데이터 삭제권은 절대저인 ldquo;잊힐 권리 rdquo;를 제공하는 것은 아니며, 데이터 처리자는 다음과 같은 경우에 따라 정보 주체의 요청을 거부할 수 있다. o 표현과 언론의 자유를 보장하는 경우 o 법적 의무사항을 이행하거나 공공의 이익을 위한 업무를 수행할 경우 o 법적 주장의 행사나 방어를 위한 경우, 또는 o 공공 보건, 공공의 이익을 위한 기록의 저장, 과학 및 역사적 연구 또는 통계 정보의 경우 다른 권리(Other Rights) 이와 함께 개인은 여타 새로운 데이터 보호 권리를 갖게 되는데, 예를 들어 수정권(the right to rectification), 데이터 이동권(the right to data portability), 데이터 접근권(the right to access), 처리 제한권(the right to restrict processing) 등이 그 대표적인 사례들이다. 개인에 대해 조직이 갖고 있는 데이터의 공개를 위한 정보 주체의 접근 요청권(DSAR, Data Subject Access Request) 권리 또한 강화된다. 기업들은 이들 권리들에 대한 요청을 어떻게 처리할 지에 대응방안을 결정하기 전에, 기업이 정보 주체의 어떠한 정보를 가지고 있는지, 그리고 해당 데이터를 어떠한 법적 근거에 의해 처리하는지 확실히 이해할 필요가 있다. 정보주체의 요청에 대응하는 것은 기업의 입장에서는 당연히 많은 시간이 소요되는 업무가 될 것이다. 만일 정보주체의 요청에 대한 응대가 소홀하거나 부적절하게 처리된다면 기업의 평판에 부정적인 영향을 미칠 것이라는 점 또한 기업의 리스크가 될 수 있다. 개인의 권리행사와 더불어, GDPR의 규정 위반이나 준수 불이행의 경우 기업에게 상당한 벌금이 부과될 수 있다. 위협 또는 기회 위협을 인식하는 것과 더불어, 기업들은 이를 기회로 삼아 소비자들에게 높은 수준의 법령 및 보안 준수 사실을 알림으로써 경쟁에서 이기는 계기로 삼는 것이 필요하다. 기업들에게는 GDPR 시행이전까지 준비할 시간이 남아있으며, 이를 통해 법령이 시행되면 정보주체의 요구를 적절한 방식으로 수용하여 해결할 수 있다. 컴플라이언스 준수 의무를 보여줄 수 있는 기업들은 이를 브랜드 가치를 높이는데 활용하고, 정보주체의 권리를 보호하는데 선도적인 역할을 하고 있다는 명성을 쌓을 수 있다. 실질적인 준비단계 기업이 GDPR에 따른 개인의 권리를 높이기 위한 몇몇 방안을 아래와 같이 제시한다. o 기업이 보유한 개인정보에 대한 검토를 실시: 어떤 종류의 분류가 있는지(종업원, 고객, 공급자 등), 그리고 분류에 대한 근거를 제시하고, 어떻게 사용되며, 얼마나 보유하는지 분석할 것 o 개인정보를 관리하고 저장하기 위한 시스템을 검토하고 필요시 업데이트 수행. 정보주체의 정보 접근 요청에 대비하여 데이터는 검색과 식별이 용이해야 함 o 개인들에게 원하는 시기에 동의를 철회할 수 있도록 적절한 절차를 갖추고, 이러한 권리사항을 소비자들에게 고지할 것 o 개인정보를 다루는데 있어 투명성을 위한 새로운 GDPR의 요건을 인식할 것. 프라이버시 정책, 쿠키 고지 및 동의 메커니즘은 반드시 명확해야 하며, 모호하지 않아야 한다. o 다양한 데이터 요청을 식별할 수 있도록 종업원을 교육할 것 o 이러한 요청을 처리하기 위한 정책과 절차를 수립하고, 어떠한 불만사항이나 정보 유출에 대응할 수 있도록 할 것 |
