[개인정보보호] 아일랜드 DPC 연례 보고서 주요 내용 분석 (2020.03)

안녕하세요. 황컴플라이언스 입니다.

[개인정보보호] 아일랜드 DPC 연례 보고서 주요 내용 분석 (2020.03) 입니다.

업무에 참고하시기 바랍니다.

 

○ 자료명 : 아일랜드 DPC 연례 보고서 주요 내용 분석

○ 발행일 : 2020년 03월

○ 주관부처 : 한국인터넷진흥원

---

[개요]

○ 개요

아일랜드의 개인정보보호 감독기구 DPC(Data Protection Commission)는 2019년 주요 활동 내용 등을 담은 연례보고서(Annual Report 2019)를 발표

• DPC는 개인정보보호를 위한 기본적인 감독 활동 외에 Google과 Facebook 등 주요 다국적 기술 기업의 유럽지역 선임 감독기구로서 기업과 조직을 위한 각종 가이드라인을 발표하고, 유럽 및 글로벌 협력 활동 등 다양한 역할을 수행

---

(배포용) 아일랜드 DPC 연례 보고서 주요 내용 분석(2020.03).pdf

0.36MB

아일랜드 DPC 연례 보고서 주요 내용 분석 (2020.03)

---

○ 각주

• DPC의 2019년 연례보고서에는 개인정보 침해 사례와 그에 대한 처분 등에 사례 분석 내용이 풍부하게 제시되어 있으며, 본 보고서에서 지면 관계로 다루지 못하는 해당 사례 분석 내용에 대한 참고는 <DPC 2019 Annual Report>의 해당 부분을 참조할 수 있음
• 선임 감독기구는 정보주체가 자신의 개인정보 처리에 대하여 불만을 제기할 때, 여러 국가에 걸쳐 영향을 미치는 개인정보 처리 활동을 다룰 1차적 책임이 있으며 이 때 선임 감독기구는 다른 관련 있는 감독기구의 모든 조사에 협력

예컨대 다음과 같은 가이드라인과 보고서를 제공한 바 있음

• 데이터 컨트롤러가 EU GDPR에 명시된 데이터 유출 통지 요구사항을 더 정확히 이해할 수 있도록 최신 가이드라인(A Quick Guide to GDPR Breach Notifications)을 발표
• 문서, 사진, 동영상, 기타 파일을 원격서버에 저장해 공유 또는 원격 접속할 수 있도록 하는 '클라우드 스토리지(Cloud Storage)' 서비스에 대한 이용 가이드라인(Guidance for Organisations Engaging Cloud Service Provides)을 발표
• 데이터 컨트롤러의 CCTV 사용 시 참조 가능한 가이드라인(CCTV Guidance for Controllers)을 발표

아일랜드는 유럽 최저 수준의 법인세율과 가벼운 규제를 내세워 미국 실리콘밸리의 많은 기술 기업들의 유럽 본사를 유치함으로써 해당 사업장을 관할하는 선임기구의 위상을 확보

• 이와 함께 △공공서비스카드(Public Services Card, PSC)와 관련한 개인정보 처리의 법적 근거 및 투명성 요구를 검토한 연구 보고서(The Report of the Data Protection Commission (DPC) on the Public Services Card)를 발표하고 △어린이 개인정보 처리에 대한 공공의견 수렴 결과를 취합하여 2020년 발표할 가이드라인에 반영하는 등의 성과를 기록
• 한편, 개인정보보호 감독 활동의 효과적인 수행을 위한 조직 강화 및 인력 보강에 이어 규제 전략과 운영 개선을 위한 프로젝트를 진행

○ 2019년의 주요 활동 및 성과 요약

(개인정보보호 감독 활동) 개인정보 침해 사안 점검 및 개인정보보호 관련 불만 사항 처리를 통해 개인정보보호 감독기구로서의 역할을 수행

• 2019년 한 해 동안 총 7,215건의 불만이 접수되어 2018년의 4,113건보다 75% 증가했으며, 그 중 5,496건의 불만 사항이 2019 연내에 종결
• GDPR 규정과 관련하여 2019년 가장 빈번하게 제기된 주체로는 △열람권(29%) △개인정보노출(19%) △공정한 데이터처리(16%) △전자마케팅 관련 불만사항(8%) △삭제권(5%)이 TOP 5를 기록
• 데이터 위반 통지 건수는 6,069건으로 2018년의 3,542건보다 71% 증가한 것으로 집계
• 개인정보보호 법규에 따른 권리와 책임에 관해 고품질 정보 서비스 제공하는 DPC의 역할을 수행하기 위해, DPC의 IAU(Information and Assessment Unit)는 총 2만 2,200건의 전화 통화와 2만 2,300건의 이메일을 포함하여 약4만 8,500건의 연락을 수신
• 특히 공공 서비스 카드의 역할 및 사용 과정에서 개인정보보호에 대한 우려, CCTV 이용 과정의 분쟁, 작업장 감시에 따른 분쟁, 폐원한 의료기관의 환자 개인정보보호 관리, 아동 개인정보보호를 위한 실천방법 등의 주제에 대한 안내를 제공

GDPR 시행 첫 해의 개인정보 유출 동향에 대한 보고서(Data Breach Trends from the First Year of GDPR)를 통해 GDPR 시행 이후의 관련 통계 및 트렌드에 대한 개요를 제공

다음에 해당하는 주 사업장 또는 단일 사업장을 관할하는 감독기구의 경우 선임감독기구(Lead Supervisory Authority)가 됨

• EU 내 컨트롤러나 프로세서의 사업장에서 개인정보 처리가 이루어지고 컨트롤러나 프로세서가 하나 이상의 회원국에 배치된 경우
• EU 내 설립된 컨트롤러나 프로세서의 단일 사업장에서 시행되는 정보 처리가 하나 이상의 회원국의 정보주체에 실질적으로 영향을 미치거나 미칠 가능성이 있는 경우(GDPR 전문 제124항)
• 공공서비스카드는 사용자에게 고유한 번호가 할당되어 각종 사회복지 서비스에 편리하게 접근할 수 있도록 하며, 자녀 수당과 같은 사회복지 서비스를 신청하거나 현재 수급받고 있는 경우 공공서비스카드를 등록하라는 요청을 받을 수 있음
• DPC의 보고서는 PSC와 관련된 개인 데이터의 처리가 법적으로 유효하고, PSC를 위한 데이터 보유는 합법적이며 사용자에게 제공된 정보는 투명성 요구사항을 충족한다는 점을 뒷받침

DPO(Data Protection Officer)에 의한 통지 수신 건수는 712건이 새롭게 추가되어 2019년 말까지 총 1,596건으로 증가

---

[목차]

Ⅰ. 개요

Ⅱ. 2019년의 주요 활동 및 성과 요약

Ⅲ. 핵심 프로젝트 및 향후 계획

Ⅲ. 시사점