[260504] gdpr_v_pipa_may_2023_update (p.22-28)

1)

해당 페이지 범위의 제목, 소제목, 표/차트/키워드만 먼저 훑어보기

제목: 데이터 처리 기록, 데이터 보호 영향평가

키워드: record of processing activities(처리 활동 기록), Log-in records(접속 기록), Privacy policy(개인정보처리방침), DPIA/PIA(영향평가), Public institutions(공공기관)

 

2)

문단별로 빠르게 훑으며 주요 결론/차이점만 한국어로 적기

표 형식 부분은 GDPR/PIPA/Differences 열을 먼저 한국어로 요약

 

4.2 데이터 처리 기록

두 법 모두 감독 기관에 대한 일반적인 등록 의무는 없으나, 내부적인 기록 보관 방식에서 상당한 차이를 보임.

차이점:

GDPR: 컨트롤러와 프로세서에게 상세한 처리 활동 기록(ROPA)를 서면 또는 전자적 형태로 유지할 의무를 부여함(직원 250인 미만 기업은 일부 예외 가능)

PIPA: 조직 전체의 처리 활동에 대한 일반적인 기록 의무는 없으나, 개인정보취급자의 접속기록(log-in records)을 최소 1년 이상 보관해야 하며, 처리 관련 상세 사항은 개인정보 처리방침을 통해 공개해야 한다. 가명정보 처리에 대해서는 별도의 기록 보관 의무가 있다.

 

4.3 데이터 보호 영향평가

영향평가 실시 의무의 적용 범위에서 두 법은 서로 불일치하다.

GDPR: 고위험 처리가 예상되는 경우 민간과 공공기관 구분 없이 모든 컨트롤러에게 DPIA 실시 의무를 부여함.

PIPA: 오직 공공기관에 대해서만 특정 상황에서의 영향평가 실시 의무를 부과함.

 

 

 

3)

핵심 문장 2~3개는 직접 영어로 요약해서 노트에 쓰기

 

While the GDPR mandates that both controllers and processors maintain a detailed record of processing activities, PIPA instead focuses on the management of log-in records and the disclosure of processing details through a public privacy policy.

 

A significant divergence exitst regarding impact assessments: the GDPR requires a DPIA for any processing likely to result in a high risk, whereas PIPA limits this obligation strictly to public institutions.

 

 

4)

페이지에서 나온 중요한 법률 영어 단어 선택

간단하게 영어로 정의 작성, 한국어로 정의 작성

 

Record of processing activities(ROPA):

-A detailed internal document where organizations list their data processing operations.

-개인정보 처리 활동 내역을 상세히 기록한 내부 문서(처리 활동 기록)

 

Log-in records:

-Records documenting access to a data processing system, including the user's ID, date, and time of access.

-개인정보 처리 시스템에 접속한 사실을 기록한 데이터(접속 기록)

 

Data protection Impact Assessment(DPIA)

-A systematic process to identify and minimize the data protection risks of a project or processing operation.

-프로젝트나 데이터 처리가 개인정보에 미치는 위험을 식별하고 최소화하기 위한 체계적인 절차(개인정보 영향평가)

 

 

 

 

5)

한글로 3문장 요약→영어로 3문장 요약 바꿔쓰기

스스로에게 공부한 내용 관련해서 1개의 질문을 영어로 해보기

그리고, 스스로 답변 작성

 

1. GDPR은 조직 내 상세한 처리 활동 기록을 의무화하지만, PIPA는 일반적인 기록 대신 시스템 접속 로그 보관과 개인정보 처리방침 공개를 중시한다.

2. 영향평가(DPIA)에 있어 GDPR은 고위험 처리가 예상되는 모든 경우에 실시해야 한다고 규정하나, PIPA는 공공기관에만 이를 의무화하고 있다.

3. 이러한 차이로 인해 데이터 처리 기록 방식은 상당히 불일치하며, 영향평가 제도는 두 법 사이에서 불일치 하는 것으로 평가된다.

 

1. While the GDPR mandates the maintenance of detailed internal processing records, PIPA emphasizes the storage of system log-in records and the public disclosure of processing information via privacy policies.

2. Regarding impact assessments, the GDPR requires a DPIA for all high-risk processing regardless of the sector, whereas PIPA limits this mandatory requirement to public institutions only.

3. Due to these distinctions, the consistency between the two laws is rated as "fairly inconsistent" for processing records and "inconsistent" for impact assessments.

 

Q. According to the sources, does PIPA require private organizations to conduct a Privacy Impact Assessment(PIA)?

A. According to the sources, PIPA provices that only public institutions are obligated to conduct a Privacy Impact Assessment in certain circumstances, which is a major point of difference from the GDPR.