1. 기업의 책임성 강화 대책
- 1. DPO 지정
- 2. 개인정보 영향평가 (DPIA)
- 3. Data protection by design and by default
- 4. 처리활동의 기록
- 5. 기술적 관리적 보호조치
2. DPO (Data Protection Officer) 지정
- DPO (EU)
- 자격요건: 법과 실무에 대한 전문적 지식과 업무수행 능력
- 독립성: 외부 DPO도 가능, 임무수행으로 해고나 불이익 금지
- CPO (대한민국)
- 사업주 또는 대표자, 임원 등
- 내부자만 가능 (독립성 제한)
3. 개인정보 영향평가 (DPIA)
- 대상 개인정보: 새로운 기술을 사용하고, 처리 유형이 개인의 자유와 권리에 high risk를 초래할 가능성이 있는 경우
- 목적: 위험 완화 및 GDPR 준수 입증
- 시기: 고위험의 처리 활동 개시 전
- 대상자: DPO와 프로세서의 도움을 받아 컨트롤러가 시행
4. DPbD (Data protection by design and by default)
- Data protection by design and by default의 원칙을 충족하는 내부 정책과 조치를 채택 시행
- 개인정보처리의 최소화, 처리에 필요한 보호조치, 가명처리 등
- 기업의 모든 프로젝트의 초기단계에서 개인정보 보호를 중요한 고려사항으로 하고, 라이프 사이클 전반에 걸쳐 개인정보를 보호하는 것을 권장 (공개입찰 상황에서도 고려)
5. 처리 활동의 기록
- 피고용인이 250명 이상인 컨트롤러와 프로세서는 GDPR 준수를 입증하기 위하여 본인의 책임하에 개인정보 처리활동의 기록 (문서화)을 유지하여야 함.
- 피고용인이 250명 미만이어도 정보주체 권리와 자유에 위험을 초래하는 경우, 민감정보 처리, 유죄판결 및 형사범죄에 관련된 개인정보 처리 시 처리활동 기록이 필요함
- 컨트롤러의 이름 및 연락처, 처리의 목적, 제3 국으로 개인정보가 이전되는 경우 국외 이전 방식에 대한 체계와 보호 조치, 보유 기간, 기술적, 관리적 보호조치 등 문서화된 내용이 필요
6. 기술적 관리 보호조치
- 고려사항
- 최신 기술 수준, 이용 비용, 처리의 성격, 범위, 맥락, 목적, 자연인의 권리와 자유에 미칠 수 있는 발생 가능성 및 심각성에 있어 다양한 위협
- 보호조치
- 개인정보의 가명처리와 암호화
- 지속적인 기밀성, 무결성, 가용성과 처리 시스템 및 서비스의 회복성을 보장하기 위한 능력
- 물리적, 기술적 사고 발생 시 적시에 개인정보의 가용성과 그에 대한 접근을 회복하는 능력
- 처리의 보안을 보장하기 위한 기술적 관리적 조치의 효과성을 정기적으로 시험, 평가하는 프로세스
'정보보안 자격증 > CPPG' 카테고리의 다른 글
CPPG9. 개인정보의 이해 - EU-GDPR DPO 요건 (0) | 2024.07.10 |
---|---|
CPPG8. 개인정보의 이해 - 개인정보 역외이전, 민감 정보 (0) | 2024.07.10 |
CPPG6. 개인정보의 이해 - EU GDPR 조항 (0) | 2024.07.10 |
CPPG5. 개인정보의 이해 - EU GDPR (0) | 2024.07.10 |
CPPG 예상문제 1 (0) | 2024.07.07 |