| 내용 |
프랑스의 개인정보보호감독기구(CNIL)는 유럽 일반개인정보보호규정(GDPR)에서 요구하는 프라이버시 영향평가(PIA, Privacy Impact Assessment)를 데이터 콘트롤러가 수행하는데 도움을 줄 수 있는 오픈소스 기반의 소프트웨어 도구를 개발했다고 밝혔다. GDPR의 제35조는 개의 권리와 자유에 고위험을 미칠 수 있는 경우 개인정보 처리에 있어 영향평가를 시행토록 규정하고 있다. 영향평가를 통해 데이터 콘트롤러는 처리 활동 개시 전 ldquo;고위험 rdquo;의 성격과 심각성을 평가하도록 하고, 이를 통해 위험을 감소시키기 위한 적절한 활동을 수행할 수 있다. 비록 ldquo;고위험 rdquo;은 정의되지 않았지만, 35조 3항과 전문 91에서 어떠한 경우 영향평가가 필요한지 설명하고 있으며, 29조 작업반에서 발간한 개인정보보호영향평가(WP29 PIA Guidance)는 GDPR에서 고위험 처리에 있어서 처리에 필요한 가이던스를 제시하고 있다. 프랑스 개인정보감독기구의 PIA 소프트웨어는 개별 사용이 가능한 윈도우와 MacOS 또는 리눅스 버전으로 다운로드 가능하며, 기업의 네트워크에 설치될 수 있고 기존의 시스템과 통합이 가능하다. 웹 기반의 버전은 프론트 엔드와 백엔드 다운로드 버전으로 이용가능하다. 백엔드는 Ruby, Rail, 그리고 PostgreSQL을 필요로 하는데, 일부 기업에서는 적용되지 않을 수 있다. Ruby 어플리케이션을 자바와 .net 환경에 통합하는 것은 용이할 수 있지만, 개발환경의 복잡도에 따라 어려울 수 있다. 프랑스 개인정보보호감독기구의 영향평가 소프트웨어는 GDPR 37조7항에서 정의된 PIA의 특정 범위를 수행한다. o 책임성과 처리되는 데이터를 포함한 개인정보 처리의 유형, 목적, 배경 o 비례성, 필요성, 정보주체의 권리 등 기본적인 원칙에 대한 컴플라이언스 정보 o 특정한 처리 맥락에서 발생할 수 있는 잠재적인 프라이버시 위험과 프라이버시 위험을 감소시키기 위한 방안 PIA 소프트웨어는 GDPR에 이미 친숙한 사람들에게는 사용하기 용이하다. 그러나 일부 프랑스의 영어 번역은 어색할 수 있다. 이용자는 PIA 도구를 열고 ldquo;New PIA rdquo;를 선택할 수 있다. 그 이후 PIA의 이름을 명명하고, 편집자, 검토자, 확인자 등의 이름을 기입한다. 각각의 PIA는 4개로 구분된다. 즉, 맥락(context), 기본적 원칙(fundamental principles), 위험(risks) 및 확인(validation) 등이 그것이다. 각 질문에 대한 반응 박스(response box)는 반응으로 기대되는 것에 대한 간략한 설명을 제공한다. 코멘트 기입 및 첨부파일 업로드 옵션 또한 각 질문에서 이용할 수 있다. 이용자가 질문을 선택하면 PIA 소프트웨어는 관련 정의와 함께 질문의 개별 원칙에 대한 설명을 제공한다. 일부 경우에 GDPR의 관련 부문에 대한 링크 정보가 제공된다. 검색 박스 또한 PIA 전반에 이용가능한데, 이를 통해 이용자는 PIA와 관련된 정보를 검색할 수 있다. 이전에 만든 PIA는 만든 날짜와 각각의 상태 등을 포함한 형태로 표시되어 홈스크린에서 불러올 수 있다. ldquo;위험(risks) rdquo; 부분을 완성하면 소프트웨어는 잠재적 영향, 위협, 원임 및 대응방안 등에 상응하는 개별 위험을 매핑한다. 아울러 개별위험의 ldquo;심각성(gravity) rdquo;과 ldquo;발생가능성(probability) rdquo;에 근거하여 ldquo;정의되지 않음(undefined) rdquo;, ldquo;무시할 수 있는(negligible) rdquo;, ldquo;제한된(limited) rdquo;, ldquo;중요한(important) rdquo;, ldquo;최대의(maximum) rdquo; 등과 같은 계층화된 점수를 제시한다. 그 이후 소프트웨어는 x, y 축을 따라 개별위험의 상대적인 위치를 보여주는 ldquo;위험 맵(risk map) rdquo;을 제시한다. y 축은 위험의 심각성을, x 축은 위험 발생가능성을 보여준다. 위험 맵은 계획된, 기준의 그리고 보완 대책을 차별화해야 하지만, 이 기능이 어떻게 작동하는지는 명확치 않다. 소프트웨어는 또한 이행계획을 만드는 부분을 포함하고 있다. 검토자는 각각의 PIA 부문에 ldquo;수정이 필요(to correct) rdquo;, ldquo;개선 가능한(improvable) rdquo;, ldquo;수용 가능한(acceptable) rdquo; 등의 평가 기준을 제공한다. 만일 ldquo;수정이 필요 rdquo; 하거나 ldquo;개선 가능한 rdquo; 등의 옵션이 선택되면 검토자는 코멘트를 제공할 수 있다. PIA는 개별 질문이 검토되고 ldquo;수용 가능한 rdquo; 것으로 정리되지 않으면 확증될 수 없다. CNIL의 PIA 소프트웨어는 PIA를 수행하는데 있어 유일하거나 가장 좋은 방법이 아닐 수 있다. 개발자들은 이 소프트웨어를 개선하고 자동화 기능을 더욱 보완할 수 있으며, CNIL 또한 이를 권장하고 있다. |
