매출 3% 과징금과 기록의무가 만든 새 임계점
올해 개인정보보호 강화 흐름의 핵심은 ‘수익연동 과징금’과 ‘보안기록 의무’다. PIPC는 중대한 위반에 매출의 최대 3%까지 과징금을 부과할 수 있고, 5만 명 이상 정보 처리 시 접근기록 장기보관 등 기준을 명확히 했다. ([resourcehub.bakermckenzie.com][1])
#과징금#접근기록#penalty surcharge#access logs
카페 A: 이름·연락처만, 15일 자동삭제로 민원 0건
서울 소형 카페 A는 예약·이벤트 폼에서 이름·연락처만 수집하고 ‘15일 후 자동삭제+백업 분리’를 적용했다. 결제는 승인번호만 저장, 카드정보는 미보관. 6개월간 민원 0건, CRM 응답률 1.4배로 확인됐다. 핵심은 최소수집과 삭제 자동화다.
#최소수집#자동삭제#data minimization#auto deletion
프랜차이즈 B: 접근통제·파기리포트로 감사 부담 30%↓
프랜차이즈 10개점 B는 POS·와이파이 데이터를 분리하고, 관리자 2단계 인증·월 1회 접근기록 점검·분기별 파기리포트를 CFO가 결재하도록 했다. 점검 항목이 증빙화되며 외부 감사 소요가 30% 줄고, 보안요건 충족으로 보험 갱신도 수월해졌다.
#접근통제#감사증빙#access control#audit trail
온라인몰 C의 실패: SQL 인젝션·패치 지연의 대가
반면 온라인몰 C는 SQL 인젝션 취약점을 방치해 고객정보를 유출했고 과태료·과징금을 부과받았다. 조사 결과는 WAF 부재와 패치 지연. 중소사업자라 해도 예외는 없다. ([DataGuidance][2])
#유출사고#취약점#SQL injection#WAF
국외이전 체크리스트 미비가 부른 제재
해외 플랫폼 사례에선 국외이전 절차 미비가 제재로 이어졌다. 국내 대리인 지정, 전송국가 고지·동의, 계약상 보호조치 명시가 필수다. 역외 사업자만의 일이 아니라, 해외 SaaS를 쓰는 소상공인도 동일하게 점검해야 한다. ([iclg.com][3])
#국외이전#대리인지정#cross-border transfer#DPA compliance
삭제는 ‘지체 없이’: 통상 5일 이내·증빙은 로그로
운영 원칙은 셋이다. ① 목적 외 수집 금지와 필수·선택 구분 ② 보유기간 도래·목적 달성 시 ‘지체 없이’, 통상 5일 이내 파기 ③ 파기기록·접근기록을 증빙으로 남길 것. 표준지침과 공공기관 운영사례가 이를 뒷받침한다. ([법제처][4])
#파기원칙#표준지침#destruction#retention policy
#실천#행동계획#action#implementation