Loading…
GDPR 제35조에 따른 데이터 보호 영향평가(DPIA)는 처리가 자연인의 권리와 자유에 높은 위험을 초래할 가능성이 있는 경우 언제나 요구됩니다. 제29조 작업반(현 EDPB)은 아홉 가지 기준을 제시했습니다—두 가지 이상이 적용되면 DPIA를 수행하십시오.
방어 가능한 DPIA는 다섯 단계로 구성됩니다: 처리 활동 기술, 필요성 및 비례성 평가, 위험 식별, 완화 조치 식별, 그리고 공식 승인 및 검토 일정 수립. ICO 방법론과 EDPB 지침은 이 구조에서 긴밀히 일치합니다.
잘 수행된 DPIA는 컴플라이언스 의식이 아닌—제품을 형성하는 산출물입니다. 이는 위험을 조기에 드러내고 데이터 최소화, 보유, 접근에 관한 선택을 강제합니다. 최고의 DPIA는 첫 번째 코드 줄을 작성하기 전에 완료됩니다.
제35조(1)은 처리가 "높은 위험을 초래할 가능성이 있는" 경우 DPIA를 요구합니다. 제35조(3)은 세 가지 의무적 사례를 열거합니다:
대부분의 감독기관은 항상 DPIA가 요구되는 추가 처리에 대한 국가별 목록(제35조(4))을 공표합니다. 귀사의 주도 감독기관 및 귀사가 그 회원국 거주자를 처리하는 모든 감독기관의 목록을 확인하십시오.
불명확한 경우, 아홉 가지 기준 판정을 실행하십시오. 두 가지 이상 = DPIA 필요.
모든 DPIA의 기초는 귀하가 데이터를 가지고 실제로 무엇을 하는지에 대한 정확한 기술입니다. 다음을 기록하십시오:
이를 데이터 흐름도와 결합하십시오. 자유 서술식 기술은 데이터 흐름도가 포착하는 것을 놓칩니다.
식별 가능한 각 위험에 대해 다음을 문서화하십시오:
정기적으로 다루어야 할 위협 유형: 무단 접근(내부자, 외부 공격자), 변조(무결성 손실), 손실(파괴, 가용성 상실), 차별, 신원 도용, 금전적 손실, 평판 손상, 기밀성 상실, 데이터에 대한 통제권 상실, 가명처리된 데이터의 재식별.
각 위험에 대해 계획된 처리 방식을 식별하십시오:
계획된 통제 이후 잔여 위험을 재평가하십시오. 잔여 위험이 높음으로 유지되는 경우, 처리를 시작하기 전에 감독기관과 협의해야 합니다(제36조).
완화 조치를 적용한 후에도 권리와 자유에 대한 잔여 위험이 높음으로 유지되는 경우 제36조에 따른 사전 협의가 요구됩니다.
감독기관은 다음을 받습니다:
감독기관 응답 기간: 8주(복잡한 사안의 경우 6주 연장 가능). 이 기간 동안에는 승인 없이 처리를 시작할 수 없습니다.
시나리오: 한 물류 회사가 독일과 스페인의 12개 사업장에 걸쳐 4,500명의 창고 근로자를 대상으로 얼굴 인식 기반 출퇴근 기록을 도입할 계획입니다.
임계값 테스트: 민감 데이터(식별을 위한 제9조 생체인식 데이터) + 대규모 + 취약한 대상(직원) + 혁신적 사용 = 명백한 DPIA 영역. 독일 및 스페인 감독기관 목록 또한 직장 내 생체인식 신원 확인을 의무 DPIA로 열거하고 있습니다.
기술(1단계): 사업장 입구의 정면 카메라로부터 도출된 얼굴 템플릿; 사업장별 장치에 저장된 등록 템플릿과 대조; 일치 결과는 타임스탬프 및 근로자 ID와 함께 기록; 생체인식 템플릿은 고용 기간 + 30일 동안 보유; 대조 로그는 3년간 보유.
필요성(2단계): 적법 근거는 제6조(1)(b) 고용 계약 + 제9조(2)(b) 노동법상 의무(독일) 및 명시적 동의(스페인, 노사협의회 공동 결정 포함). 검토한 대안: PIN 카드 스와이프(거부 — 대리 출근 기록), NFC 배지(거부 — 동일), 지문(거부 — 위생). 대안 대비 얼굴 템플릿의 필요성을 정당화함.
위험(3단계): (a) 생체인식 템플릿의 중앙집중화는 침해를 위한 미끼를 만듭니다. (b) 잘못된 불일치로 인한 임금 공제. (c) 기능 확장 — 출퇴근 기록 데이터가 성과 평가에 사용됨. (d) 직원 강요: 생체인식 수집 거부 시 더 열악한 조건으로의 강제 옵트아웃.
처리(4단계): (a) 사업장별 온프레미스 장치; HSM 관리 키로 암호화된 템플릿; 클라우드 사본 없음. (b) 불일치에 대한 수동 재정의 워크플로; 급여 부서는 출퇴근 기록 실패만을 근거로 공제할 수 없음. (c) 계약상 금지 + 출퇴근 기록 데이터와 HR 성과 시스템 간의 기술적 분리. (d) 불이익 없는 진정한 옵트아웃 경로(배지 대체 수단), 노사협의회 합의서에 문서화됨.
승인: DPO 자문 획득 — 고용 종료 후 얼굴 템플릿을 30일이 아닌 7일 후에 삭제할 것을 권고. 컨트롤러가 수용. 노사협의회 공동 결정 획득. 잔여 위험: 중하. 감독기관 협의 불필요.
단일 처리 활동에 대한 집중적 DPIA: 달력 기준으로 시간제 노력 2~4주. 복잡한 경우(신규 제품군, 생체인식, AI 모델): 6~12주. “2시간”으로 제시되는 것은 무엇이든 진정한 DPIA가 아닙니다.
예 — 이미 운영 중인 처리에 대해서는 제35조(11) 검토가 적용됩니다. 감독기관은 처리가 GDPR보다 앞섰거나 이전에 DPIA가 면제되었던 처리가 고위험으로 변한 경우 소급 DPIA를 인정합니다.
DPIA(GDPR 제35조)는 데이터 처리 맥락에서 권리와 자유에 대한 위험에 초점을 맞춥니다. FRIA(EU AI Act 제27조)는 고위험 AI 시스템에 대한 더 광범위한 기본권 — 차별, 공정성, 자동화된 의사결정의 영향 — 으로 확장됩니다. 둘은 겹치며 AI 사용 사례의 경우 단일 산출물로 결합될 수 있습니다.
필수는 아니지만 ICO가 권고합니다. 편집된 요약본을 공개하는 것은 강력한 신뢰의 신호입니다. 민감한 기술적·상업적 세부 사항은 생략할 수 있으며, 그 실질 — 목적, 적법 근거, 위험, 완화 조치 — 은 공개 가능합니다.
감독기관은 서면 자문을 제공하는 데 8주가 있으며, 복잡한 사안의 경우 6주 연장 가능합니다. 그들은 전면적으로 거부할 수는 없지만 처리 금지를 포함한 제58조 시정 조치를 발령할 수 있습니다. 그에 맞게 계획하십시오 — 제36조 사안은 출시 전 3개월의 준비 기간이 필요합니다.
RegulatoryBridge는 전체 DPIA를 수행합니다 — 임계값 테스트, 이해관계자 협의, 필요한 경우 제36조 감독기관 대응. 운영 준비가 완료된 산출물로 감사 시 방어 가능합니다.