eu gdpr 준수를위한 - naver · 02 시작하기 03 a 작성하기 04 평가항목 번역 05 a 01...

EU GDPR 준수를위한

CNIL 개인정보영향평가(PIA) 프로그램

사용매뉴얼

개요

1. 매뉴얼공개의의및목적

2. CNIL 개인정보영향평가(PIA) 프로그램소개

3. 주의사항

4. 주요용어설명

평가항목번역

1. [CONTEXT]항목번역

2. [FUNDAMENTAL PRINCIPLES]항목번역

3. [RISKS]항목번역

Q&A

1. PIA 저장하고불러오기

2. 검토및승인요청취소하기

시작하기

1. 프로그램다운로드및시작

2. PIA 메인화면소개

PIA 작성하기

1. PIA 작성자와작성순서

2. Editor PIA 작성하기

3. Reviewer PIA 작성하기

4. Validator PIA 작성하기

02

시작하기

03

PIA작성하기

04

평가항목

번역

05

Q&

A0

1

개요

매뉴얼공개의의및목적01

2018년 5월 25일부터시행되는유럽연합일반개인정보보호법(General Data Protection

Regulation, 이하 “GDPR”)로인해유럽시장에서비스를제공하고자하는많은기업들이

부담을느끼고있습니다. 특히정보보호인력이부족한스타트업기업의경우, GDPR의내용을

이해하고명시된의무를준수하는데에더많은어려움이있으리라예상됩니다.

GDPR에서명시하고있는여러가지의무들중 GDPR Article 35에나오는 ‘고위험초래가능

개인정보처리업무에대한개인정보영향평가(Data Protection Impact Assessment, 이하

“DPIA”) 의무’의경우, 한국개인정보보호법에나오는개인정보영향평가와는수행방법및

접근방식이다릅니다. 따라서한국법령에따라체크리스트를기반으로하는개인정보영향평가를

통해서는 GDPR에서요구하는의무를수행했다고인정받기어려운상황입니다.

이에, 유럽시장에진출하고자하는스타트업기업들이 GDPR기준에맞는개인정보영향평가

수행에도움을주고자본매뉴얼을공개합니다.

CNIL(Commission Nationale de l'Informatique et des Libertés) 은유럽연합데이터

보호당국중하나인프랑스개인정보보호위원회입니다. CNIL에서는기업들이 GDPR에

요구하는 DPIA를수행할수있도록도와주기위해 ‘개인정보영향평가프로세스에대해어느정도

익숙한컨트롤러(controller)’를대상으로자체제작한 PIA 소프트웨어를무료로공개하였습니다.

본프로그램은운영체제에맞게다운로드받아바로사용할수있을뿐만아니라, 기업들은공개된

소스코드를각자의사내시스템에맞게바꾸어서도사용할수있습니다.

해당 PIA 프로그램에나오는영향평가내용은 GDPR과 CNIL에서제작한보안가이드, 그리고

현재연구중인내용을근거로작성되었으며, 정책자문기구인 ARTICLE29 DATA PROTECTION

WORKING PARTY에서는 GDPR 가이드에서해당프로그램을 EU DPIA 프레임워크중하나로

소개하고있습니다.

CNIL 개인정보영향평가(PIA) 프로그램소개02

주의사항03

①본매뉴얼은Windows(32 and 64bit) 버전을기준으로작성되었습니다.

②본매뉴얼은 CNIL에서 2018년 1월 29일에공개한베타버전을기준으로작성되었으며,

CNIL에서는앞으로도지속적으로업데이트버전을공개할예정이라고밝혔습니다.

③본매뉴얼에서소개하는 PIA프로그램은 CNIL에서제작하였으므로, 매뉴얼이아닌

프로그램에대한 문의는 CNIL에해야합니다.

④현재 CNIL에서는본프로그램의한국어버전을제공하고있지않으므로,네이버에서는

프로그램사용에도움을주기위해한국어번역을제공합니다. 하지만 GDPR 또는관련가이드

등에서사용하는용어와제공된번역문에서사용된용어의정의가동일하지않을수있으며,

해석상차이가있을수있습니다. 이에대해네이버는따로법적조언을받거나분석을하지

않았으므로, 본매뉴얼에나오는한국어번역은프로그램사용법이해를위해서만참고해주시길

바랍니다.

• Editor(편집자) : 평가대상과범위를정하고, 평가를위한질문에대한답변을 1차로작성합니다.

• Reviewer(검토자) : 편집자가작성한내용을검토하여평가하고, 개선이필요하다고평가한

항목에대해서는개선계획을수립합니다.

• Validator(승인자) : 해당처리와관련있는위험의종류및수준과검토자의개선계획을검토한

후평가대상이되는개인정보처리의승인여부를결정합니다.

주요용어설명04개인정보영향평가수행자

• To correct(수정필요) : 검토자가 편집자가작성한내용이평가를진행하기에부족하다고

평가한것이며, 편집자는부족한부분을보완하여다시검토요청을해야합니다.

• Improval(개선필요) : 검토자가편집자가작성한내용을토대로데이터보호를위해서는

추가적인조치및개선이필요하다고평가한것입니다.

• Action Plan(개선계획) : 검토자가 Improval(개선필요)로평가한항목을어떠한방법으로

개선할 것인지에대해수립한계획입니다.

• Acceptable(수용 가능): 편집자가작성한내용을토대로모든준수사항이지켜지고있다고

평가한것입니다.

검토자평가항목

02

시작하기

03

PIA작성하기

04

평가항목

번역

05

Q&

A0

1

개요

CNIL 사이트에접속하여운영체제에맞는 PIA 프로그램을선택하여다운로드합니다.

주소: https://www.cnil.fr/en/open-source-pia-software-helps-carry-out-data-protection-impact-assesment

1

프로그램다운로드및시작01

STEP 01

프로그램다운로드가완료되면실행하여 START 버튼을눌러시작합니다. STEP 02

1 오픈 소스로 공개된 코드를 기업 내부 시스템에 맞춰서 사용 가능

1 프로그램 언어 설정 가능 (현재 한국어 버전은 없음)

02

시작하기

03

PIA작성하기

04

평가항목

번역

05

Q&

A0

1

개요

1

지원 언어: 프랑스어(Français), 영어(English), 체코어(Česky), 독일어(Deutsch), 에스파냐어(Español), 이탈리아어(Italiaans), 네덜란드어(Nederlands), 폴란드어(Polski)

PIA명

편집자이름

검토자이름

승인자이름

생성일

현재상태

PIA 대시보드화면에서 NEW PIA 버튼을클릭하여새로운 PIA를생성합니다.

대시보드에서는 진행 중이거나 완료된 PIA를 확인할 수 있고, 새로운 PIA를 만들거나 저장된 PIA를 불러올 수 있습니다.

프로그램다운로드및시작01

STEP 03

1 ‘ + ’ 버튼을 눌러서 저장되어 있는 PIA를 불러올 수 있음

현재 진행 중인 PIA 과제의 진행 정도를 확인하고 Edit PIA(PIA 편집하기) 버튼을 눌러서 수정할 수 있음2

PIA명과 Editor(편집자) 이름, Reviewer(검토자) 이름, Validator(승인자) 이름을입력하고START 버튼을눌러서 PIA를시작합니다.

STEP 04

12

02

시작하기

03

PIA작성하기

04

평가항목

번역

05

Q&

A0

1

개요

+

메뉴마다 현재 진행 상태를 나타내는 아이콘 표시

PIA 메인화면소개02

2 평가 항목 질문에 대한 답변 작성

현재 작성중인 평가 항목에 나오는 용어에 대하여 GDPR에 나오는 정의와 원칙에 근거한 설명을 볼 수 있으며, 링크를 클릭하면 관련 GDPR 원문을 확인할 수 있음

3

2

3

1

편집자내용 작성중 편집자내용작성완료후 검토요청중

검토자검토중 검토자검토완료후 승인요청중

02

시작하기

03

PIA작성하기

04

평가항목

번역

05

Q&

A0

1

개요

왼쪽에전체메뉴에서현재진행상태를나타내는아이콘을확인할수있습니다.

오른쪽도움말과정의및원칙내용을참고하여평가항목질문에대한답변을작성합니다.

1

PIA 작성자와작성순서01

작성자

작성순서

02

시작하기

03

PIA작성하기

04

평가항목

번역

05

Q&

A0

1

개요

CONTEXT와FUNDAMENTAL

PRINCIPLES

본문내용작성

작성내용평가및검토의견작성①수정필요②개선필요

(개선계획작성필요)③수용가능

검토자에게Review 요청

DPO의견작성

RISK 종류선택 및위험내용기술

편집자의작성내용검토

Risk mapping에서위험내용확인

PIA 저장

승인자에게Validation 요청

검토자의개선계획내용확인

PIA 최종승인여부결정

PIA 불러오기PIA 불러오기

PIA 저장

편집자(Editor) 검토자(Reviewer) 승인자(Validator)

Entry Aid(도움말)과용어설명을참고하여평가항목질문에대한답변을

작성합니다.

PIA 내용작성하기: Editor02

STEP 01

STEP 02

CONTEXT

평가항목내용작성이완료되면검토요청(Ask for review)을합니다.CONTEXT

02

시작하기

03

PIA작성하기

04

평가항목

번역

05

Q&

A0

1

개요

Entry Aid(도움말)과용어설명을참고하여평가항목

질문에대한답변을작성합니다


STEP 03

STEP 04 내용작성이완료되면검토요청(Ask for review)을

합니다.

[FUNDAMENTAL PRINCIPLES]

[FUNDAMENTAL PRINCIPLES]

02

시작하기

03

PIA작성하기

04

평가항목

번역

05

Q&

A0

1

개요

위험목록에서평가중인개인정보

처리와관련이있는위험을추가한후, 선택한위험내용을기술하고검토요청을합니다.


STEP 05 [RISKS] > [Planned of existing measures]

2

3

1

02

시작하기

03

PIA작성하기

04

평가항목

번역

05

Q&

A0

1

개요

순서로 진행1 2 3

불법적인데이터접근, 의도하지않은데이터변조, 데이터손실의관점에서

위험내용을기술하고, 그위험의심각성과발생가능성을평가합니다.


STEP 06 [RISKS]

02

시작하기

03

PIA작성하기

04

평가항목

번역

05

Q&

A0

1

개요

편집자가작성한내용을수정필요(To correct) 개선필요(Improval) 수용가능(Acceptable)

중하나로평가하고그에대한검토의견을작성합니다.

PIA 내용작성하기: Reviewer03

1

1 개선 필요(Improval)로 평가한 항목에 대해서는 개선 계획을 작성해야 함

STEP 01

STEP 02 개선계획이적절하게이행되었을경우, 검토자가생각하는변화된위험의

심각성과발생가능성수준을평가합니다.

[RISKS]

1 편집자가 설정한 현재 위험의 심각성

02

시작하기

03

PIA작성하기

04

평가항목

번역

05

Q&

A0

1

개요

확실하지않음 사소함 제한적인 중요함 최고로중요함

확실하지않음 사소함 중요함 최고로중요함제한적인

1

2 편집자가 설정한 현재 위험 발생 가능성

2

PIA 내용작성하기: Validator04

STEP 01 위험종류별현재위험수준과검토자가작성한개선계획이적절하게

이행되었을때위험이어느정도수준으로감소될수있는지확인합니다.

[Risk mapping]

1 빨간색 점: 편집자 평가한 현재 위험 수준파란색 점: 개선 계획이 적절하게 이행되었다고 가정했을 때 검토자가 평가한 변화된 위험 수준(I), (U), (D) : 위험의 종류

1

02

시작하기

03

PIA작성하기

04

평가항목

번역

05

Q&

A0

1

개요

불법적인데이터접근

의도하지않은데이터변조

데이터손실


STEP 02 전체평가항목중에서검토자가개선필요로평가한항목을확인하고, 해당

항목에대한개선계획을확인합니다.

[Action plan]

1

2

1

2

1 파란색은 개선필요, 초록색은 수용가능 평가를 받은 항목

2 개선 필요를 받은 항목에 대한 개선 계획을 확인할 수 있음

02

시작하기

03

PIA작성하기

04

평가항목

번역

05

Q&

A0

1

개요


STEP 03 DPO는성명과평가대상이되는

개인정보처리의실행여부에대한 의견을선택하고그이유를작성합니다.

[Action plan][DPO AND CONCERNED PERSONS OPINIONS]

해당 처리는 적용 가능하다.

해당 처리를 적용해서는 안된다.

관련자의 추가 의견이 필요하다.

1

위 선택에 대한 이유를 기술하시오

해당처리는적용가능하다.

해당처리를적용해서는안된다.

관련자의추가의견이필요하다.

관련자의추가의견은불필요하다.

위선택에대한이유를기술하시오

1 DPO 외 해당 처리로 인해 영향을 받는 자의 의견이 추가로 필요한 경우에만 선택하여 작성*DPIA에서 관련자(concerned people)는 일반적으로 정보 주체나 정보주체의 대리인을 의미함

02

시작하기

03

PIA작성하기

04

평가항목

번역

05

Q&

A0

1

개요

1


STEP 04 승인하는내용을확인하여체크한후최종적으로 PIA 거절(Reject

PIA)하거나승인 (Approve PIA) 합니다.

Validate PIA

1

Approve PIA(signed) 선택 시 승인 싸인 첨부까지 하면 PIA 승인 완료됨2

1

Abandon processing 선택 시 해당 처리는 하지 않는 것으로 처리되며, PIA 내용은 대시보드에서 확인할 수 있습니다.Reject PIA 선택 시 검토자 검토 전 단계로 돌아가며, 승인을 위해서는 다시 승인 요청을 해야합니다.

2

02

시작하기

03

PIA작성하기

04

평가항목

번역

05

Q&

A0

1

개요

PIA 완료화면

02

시작하기

03

PIA작성하기

04

평가항목

번역

05

Q&

A0

1

개요


[CONTEXT] 항목번역01

CONTEXT OVERVIEW

Which is the processing under consideration?1

현재평가하고자하는개인정보처리의내용은무엇인가?

Present a brief outline of the processing: its name, purposes, stakes, context of use, etc.

해당처리에관한정보를간략하게명시하라. 예를들어, 그것의이름, 목적, 이익, 사용목적등

What are the responsibilities linked to the processing?2

해당처리와관련있는책임으로는어떠한것들이있는가?

Describe the responsabilities of the stakeholders: the data controller, the possible data

processors and joint controllers

컨트롤러, 프로세서, 조인트프로세서와같은이해당사자들의책임에대해서술하라

3 Are there standards applicable to the processing?

해당처리에적용할수있는기준이있는가?

List the relevant standards applicable to the processing, especially approved codes of

conduct and data protection certifications

해당처리에적용할수이는기준들을나열하라. 특히공인된지침과정보보호인증과같은기준들을적용할수있다.

이 파트에서는 평가 대상을 식별하고 설명한다.

02

시작하기

03

PIA작성하기

04

평가항목

번역

05

Q&

A0

1

개요

이 섹션을 통해 현재 영향평가를 수행하고자 하는 개인정보 처리에 대한 명확한 관점을 가질 수 있다.

개요

[CONTEXT] 항목번역01

CONTEXT

What are the data processed?1

어떠한정보가처리되고있는가?

How does the life cycle of data and processes work?2

해당처리와관련있는책임으로는어떠한것들이있는가?

Present and describe how the product generally works (from the data collection to the data

destruction, the different processing stages, storage, etc.), using for example a diagram of

data flows (add it as an attachment) and a detailed description of the processes carried out

해당 product가 일반적으로 어떤 프로세스를 거치고 있는지 설명하라(데이터 수집에서부터파기까지, 여러가지 처리 단계, 저장 등) 예를 들어 개인정보흐름도를 첨부하거나, 해당프로세스에 대한 상세 설명서와 같은 방법을 이용하여 설명할 수 있다.

3 What are the data supporting assets?

지원자산으로는어떠한것들이있는가?

List the data supporting assets (operating systems, business applications, database management systems, office suites, protocols, configurations, etc.)

지원 자산을 나열하라(운영체제, 비즈니스 응용프로그램 , 데이터베이스 관리 시스템, 사무실, 프로토콜, 시스템 구성 등)

이 섹션을 통해 현재 영향평가를 수행하고자 하는 개인정보 처리에 대한 명확한 관점을 가질 수 있다.

List the data collected and processed. Define for each the storage durations, the recipients

and persons with access thereto.

수집되고 처리되는 정보를 나열하고, 보유기간과 recipents(취급자), 그리고 해당 정보접근이가능한 자를 식별하라

DATA, PROCESSES AND SUPPORTING ASSETS

이 파트에서는 처리의 범위를 상세하게 정의하고 설명한다.

02

시작하기

03

PIA작성하기

04

평가항목

번역

05

Q&

A0

1

개요

데이터, 프로세스, 그리고 자산

[FUNDAMENTAL PRINCIPLES] 항목번역02

FUNDAMENTAL PRINCIPLES

3 Are the data collected adequate, relevant and limited to what is necessary in relation to the purposesfor which they are processed ('data minimisation')?정보는적절하게, 처리목적과관련이있으며필요한내용에한정하여수집되었는가? (수집정보최소화)

Explain why each of the data collected is necessary for the purposes of your processing

처리 목적을 위해 수집된 정보 각각에 대해 수집 이유를 설명하라

이 섹션을 통해 프라이버시 원칙에 대한 법률 준수 체계를 구축할 수 있다.

PROPORTIONALITY AND NECESSITY

Are the processing purposes specified, explicit and legitimate?1

해당처리의목적이명확하고분명하며, 합법적인가?

Explain why the processing purposes are specified, explicit and legitimate

해당 처리의 목적이 왜 명확하고 분명하며 합법적이라고 할 수 있는지 설명하라

What are the legal basis making the processing lawful?2

해당처리를적법하게만드는법적근거는무엇인가?

Describe what is/are the legal basis of your processing(ex:consent, performance of a contract, compliance with a legal obligation, protecting the vital intests, etc.)

해당 처리이 법적 근거를 설명하라 (예를 들어 동의, 계약 이행, 법적 의무 준수, 중대한 이익 보호등이 있다.)

비례의 원칙과 필요성

02

시작하기

03

PIA작성하기

04

평가항목

번역

05

Q&

A0

1

개요

이 파트에서는 정보주체가 자신의 권리를 행사할 수 있도록 하기 위해 필요한 수단들이 마련되었다는것을 보여줄 수 있다.




PROPORTIONALITY AND NECESSITY

Are the data accurate and kept up to date?4

데이터는최신성을유지하고있는가?

Describe which are the steps taken to ensure the quality of the data.

데이터의 퀄리티 수준 유지를 위한 단계를 설명하라

What are the storage duration of the data?5

데이터의보관기간은어떻게되는가?

Explain why the storage durations are justified by legal requirements and/or processing needs.

법적 의무 또는 처리의 필요성에 의해 보관 기간이 정당한지 설명하라

비례의 원칙과 필요성

02

시작하기

03

PIA작성하기

04

평가항목

번역

05

Q&

A0

1

개요




3


How are the data subjects informed on the processing?1

처리에대해정보는정보주체는어떻게알리고있는가?

Describe what is the information given to the data subjects and what are the means to do it

정보주체에게 어떤 정보가 주어지고, 정보 제공 방식은 무엇인지 설명하라

If applicable, how is the consent of data subjects obtained?2

적용가능하다면, 정보주체에게동의는어떤방식으로받는가?

Describe the controls intended to ensure that users' consent has been obtained

이용자들의 동의를 받았다는 것을 증명할 수 있도록 마련된 통제 장치에 대해 설명하라

How can data subjects exercise their rights of access and to data portability?

정보주체들은어떠한방법으로그들의열람권과데이터이동권을행사할수있는가?

Describe the controls intended for enabling data subjects to access, receive and transmit their data

정보주체들이 그들의 정보를 열람하고, 전달받고, 이동시킬 수 있도록 하기 위해 마련된 통제 장치에대해 설명하라

CONTROLS TO PROTECT THE PERSONAL RIGHTS OF DATA SUBJECTS

02

시작하기

03

PIA작성하기

04

평가항목

번역

05

Q&

A0

1

개요

정보 주체의 권리 보호를 위한 통제 항목




6


How can data subjects exercise their rights to rectification and erasure?4

정보주체들은어떻게정보수정과삭제에대한권리를행사할수있는가?

Describe the controls intended for enabling data subjects to rectify and erase their data

정보주체가 그들의 정보를 수정하고 삭제할 수 있도록 마련된 통제 장치에 대해 설명하라

How can data subjects exercise their rights to restriction and to object?5

정보주체들은어떻게정보처리제한과반대에대한권리를행사할수있는가?

Are the obligations of the processors clearly identified and governed by a contract?

프로세서의의무는명확히식별되고, 계약에의해관리되는가?

For each processor, describe his responsibilities (duration, scope, purpose, documented processing instructions, prior authorisation) and provide the contracts, codes of conduct and certifications determining its missions and obligations.

각각의 프로세서에게 그들의 책임(기간, 범위, 목적 , 문서화된 처리절차, 사전 승인)을 설명하고미션과 의무를 결정하는 계약서, 지침, 그리고 인증을 제공하라


Describe the controls intended for enabling data subjects to restrict and to object to the processing of their data

정보주체가 그들의 정보 처리를 제한하고 거부할 수 있도록 마련된 통제 장치에 대해 설명하라


02

시작하기

03

PIA작성하기

04

평가항목

번역

05

Q&

A0

1

개요




In the case of data transfer outside the European Union, are the data adequately protected?

7

유럽연합밖으로데이터이동이이루어지는경우, 데이터는적정하게보호되는가?

For each country outside the European Union where data are stored or processed, name it and tell if it is acknowledged as offering an adequate level of data protection or describe the provisions concerning the transfer.

유럽 연합 밖에서 정보가 저장되고 처리되는 경우, 국가를 명시하고 해당 국가가 적정한 수준의데이터 보호 수준을 제공하는 것으로 인정받고 있는지를 명시하거나 데이터 이동 관련 조항의내용을 서술하라


02

시작하기

03

PIA작성하기

04

평가항목

번역

05

Q&

A0

1

개요




[RISKS] 항목번역03

RISKS

이 파트에서는 데이터 보안과 연관 있는 통제항목(이미 존재하거나 예상되는)을 식별할 수 있다.

02

시작하기

03

PIA작성하기

04

평가항목

번역

05

Q&

A0

1

개요

이 섹션을 통해 프라이버시 위험을 진단하고, 현재 존재하거나 계획된 통제 내용을고려 대상에 넣을 수 있다.

예상 혹은 존재하는 위험

ILLEGIMATE ACCESS TO DATA

불법적인데이터접근

Analyze the causes and consequences of illegitimate access to data, and estimate its severity and likelihood.

불법적인 데이터 접근의 원인과 결과를 분석하고, 그것의 심각성과 가능성을 분석한다.

UNWANTED MODIFICATION OF DATA

의도하지않은데이터변조

Analyze the causes and consequences of an undesired change in data, and estimate its seriousness and likelihood.

원치 않은 데이터 변조의 원인과 결과를 분석하고, 그것의 심각성과 가능성을 분석한다.

DATA DISAPPEARANCE

데이터손실Analyze the causes and consequences of data loss, and estimate its seriousness and likelihood.

원치 않은 데이터 손실의 원인과 결과를 분석하고, 그것의 심각성과 가능성을 분석한다.

What could be the main impacts on the data subjects if the risk were to occur?해당위험이발생할경우정보주체에게발생하는가장주요한영향은무엇인가?

What are the main threats that could lead to the risk?해당위험을발생시키는주요한위협으로는무엇이있는가?

What are the risk sources?위험의원천은무엇인가?

1

2

3

01

1 PIA 프로그램에서실행가능한 JSON 파일형태로 PC에저장

저장된 PIA JSON 파일대시보드에불러오기2

1

2

PIA 과제저장하고불러오기

진행중인 PIA 파일을 Export 버튼을통해 PC 저장하여다음작성자에게파일을전송할수

있습니다. 전송받은 PIA 파일은 Import PIA를통해대시보드에추가할수있습니다.

02

시작하기

03

PIA작성하기

04

평가항목

번역

05

Q&

A0

1

개요

검토자가검토내용을다시작성하거나다시평가하고싶은경우

Cancel the validation request(승인요청취소) 를클릭하면승인요청전으로돌아갑니다.

편집자가내용을잘못작성한경우본문내용수정하기위해

Cancel the review request (검토요청취소)를클릭하면검토요청전으로돌아갑니다.

02 검토및승인요청취소하기

02

시작하기

03

PIA작성하기

04

평가항목

번역

05

Q&

A0

1

개요

End of the Document

eu gdpr 준수를위한 - naver · 02 시작하기 03 a 작성하기 04 평가항목 번역 05 a 01...

Documents