지난 1월 3일, EU 법 집행기관인 유로폴은 EDPS(European Data Protecton Supervisory Authority)로부터 범죄수사와 크게 관련되지 않은 대량의 개인 데이터를 삭제하라는 시정통보를 받았다.

EDPS는 유럽 기관 및 조직의 개인 데이터 사용을 감독하는 독립적인 감독 기관이다. 이번에 EDPS에서 언급한 개인 데이터의 정의에 따르면, 개인의 신체적, 유전적, 정신적, 경제적, 문화적 또는 사회적 정체성과 관련된 식별 번호, 위치 데이터 또는 온라인 식별자로 알려져 있다. 2019년 EDPS가 시작한 조사에 따르면 유로폴은 범죄 활동과 관련 없는 많은 양의 개인 데이터를 저장했다. 이와 관련 EDPS는 유로폴이 적절한 데이터 주체 분류가 없는 한, 개인의 세부 정보를 보관해서는 안 된다고 강조했다.

그러나 유로폴이 직면한 어려움은 “회원국이 공유하는 모든 정보가 적절한 데이터 주체분류 대상이 아니므로 유로폴은 데이터를 분석하기 전에 보유 정보가 범죄자와 관련있는지 여부를 알기 어렵다는 것이다. 물론 그렇다고 해서 유로폴의 데이터 처리를 어느정도 제한하면 관련 없는 사람에게 데이터 정보가 노출되는 것을 방지할 수 있으므로 데이터 처리와 관련된 보안 위험을 최소화 할 수 있다는 점은 의심의 여지가 없다.

 

이번 EDPS의 개선 조치에 따라 유로폴은 법적으로 여전히 사용할 수 있는 데이터를 결정하여 6개월 이상 저장된 다른데이터는 삭제해야 한다.

 

[출처 : 中보안매체 / 1.11.]