한국인터넷진흥원(KISA)은 ‘유럽 일반 개인정보보호법(GDPR)‘에 대한 우리 기업의 대응력 향상을 위해 ‘우리 기업을 위한 GDPR 세미나’를 11일 서울 소공동에서 개최하고 ‘우리 기업을 위한 GDPR 가이드라인’을 발표했다.
KISA는 이 날 세미나에서 현재까지 발간된 유럽연합 제29조 작업반의 가이드라인을 바탕으로 우리 기업이 GDPR 시행을 준비하는데 필요한 ▲GDPR 가이드라인의 발간 배경 및 시행에 따른 주요 변화 ▲GDPR 인식 제고 및 준비 ▲기업책임성 강화 ▲정보주체 권리 강화 등을 반영해 가이드라인을 발표했다.
제29조 작업반은 EU 개인정보보호지침 제29조에 근거해 EU 28개 회원국 개인정보 감독기구로 구성된 실무 작업반으로, 법률에 대한 가이드라인 개발, 적정성 평가 관련 심의 및 의견 제시 등의 역할을 수행한다.
1차 가이드라인에 반영된 제29조 작업반의 가이드라인은 데이터 보호 책임자(DPO)임명, 선임감독 기구, 고위험 초래 개인정보처리, 개인정보영향평가, 프로파일링, 개인정보 이동권 등을 포함한다.
기업 책임성 강화 부분에서 ▲설계단계부터의 프라이버시 보호 내재화 ▲DPO 임명 ▲개인정보영향평가(DPIA) ▲개인정보 국외이전 ▲선임 감독기구 파악에 대한 내용이 다뤄졌다.
지난 11월 벨기에 브뤼셀에서 개최된 ‘한·EU 기업간담회’에서 국내 기업이 GDPR을 현장 적용할 때 궁금해 하는 ▲GDPR의 적용 범위 ▲GDPR의 주요 개념 ▲개인정보 위탁자와 수탁자간 역할 및 관계 ▲개인정보 국외 이전 등에 대한 응답결과도 공유됐다.
우리 기업의 문의가 많은 ‘GDPR의 적용범위’에 대한 EU 집행위의 답변도 명시됐는데, 이에 따르면 ▲GDPR의 적용 여부는 정보주체의 ‘국적’ 이 아닌 ‘위치’가 기준이며 ▲정보주체의 동의’에 대해서도 자필 문서, 전자문서 서명, 스캔파일 저장 등, 구두 동의 시 녹화·녹음, 문자 인증번호 회신 등이 정보주체의 명시적 동의 입증 수단이 된다.
KISA는 우리 기업이 GDPR 적용에 따른 이해를 높이기 위해 GDPR과 관련된 교육 콘텐츠 개발 및 프로그램을 운영할 계획이며, 관련 어려움을 문의할 수 있는 온라인 채널(gdpr@kisa.or.kr)을 운영할 계획이다.
김석환 KISA 원장은 “개인정보보호가 기업활동의 장애물이 아니라 강점이 될 수 있도록 기업의 선제적 대응 방안과 전략 마련, 현장 중심형 체질 개선을 위해 전문기관으로서 협업과 지원에 최선을 다하겠다”고 말했다.
