대규모 GDPR DSAR 컴플라이언스: 월 200건 처리
2026년 기준 업데이트
GDPR 제15조는 사람들에게 자신의 데이터 사본을 받을 권리를 부여합니다. 30일 내 응답 기한은 의무입니다. 복잡한 요청에 대해서는 90일까지 연장이 허용됩니다. 과태료는 현실입니다. Vodafone 스페인은 2021년 €120만의 과태료를 냈습니다. 독일의 한 기업은 2023년 €22만 5천의 과태료를 냈습니다. 두 사례 모두 DSAR 처리 실패가 원인이었습니다.
DSAR 건수는 계속 증가하고 있습니다. 개인정보 보호 단체들이 대량의 요청을 일괄 제출할 수 있도록 지원합니다. 브라우저 확장 프로그램이 여러 회사에 동시에 요청을 쉽게 발송하게 합니다. 연간 10건을 받던 조직이 이제 월 200건을 받습니다. 10건을 위해 만들어진 수동 워크플로는 200건을 처리할 수 없습니다. 가벼운 업무를 감당하던 직원 시간이 20배 증가한 요청량을 소화할 수 없습니다. 자동화가 필요합니다. 처리하는 데이터 범주 목록은 엔티티 페이지를 참조하세요.
GDPR 지원 방법은 컴플라이언스 개요와 보안 실천 방안을 참조하세요.
DSAR 처리에 포함되는 것
제15조는 "네, 데이터가 있습니다"라고 말하는 것 이상을 요구합니다. 사본을 전달해야 합니다. 세 단계가 필요합니다.
모든 개인 데이터를 찾습니다. CRM, 이메일, 고객 지원 티켓, 마케팅 도구, 인사 기록 등 모든 시스템을 검색합니다. 법무팀과 IT팀이 함께 시스템 간 쿼리를 실행해야 합니다.
제3자 데이터를 제거합니다. 전달하는 사본에 다른 사람의 개인정보가 노출되어서는 안 됩니다. 고객 지원 티켓에 상담원의 이메일이 있다면 마스킹하세요. 주문 기록에 다른 고객의 이름이 있다면 제거하세요. 대량 처리 프로그램에서는 이 제3자 마스킹 단계가 배치 도구가 가장 큰 시간을 절약하는 부분입니다.
형식 및 기한 규정을 준수합니다. GDPR은 일반적인 전자 형식을 요구합니다. PDF 또는 일반 텍스트 모두 적합합니다. 요청을 받은 날부터 시간이 시작됩니다. 기한 초과가 집행 조치의 주요 원인입니다.
DSAR 처리 수치
월 200건의 DSAR을 받는 유럽 이커머스 기업을 예로 들겠습니다.
각 요청에 일반적으로 포함되는 문서:
- 주문 기록: 8~12건
- 고객 지원 티켓: 3~7건
- 계정 기록: 2~4건
- 평균: 요청당 약 18건
월 3,600건의 문서에 제3자 마스킹이 필요합니다.
수동 처리 시간:
- 문서당 7~15분
- 3,600건 = 월 420~900시간
- 마스킹만을 위해 풀타임 직원 3~6명
배치 처리:
- 3,600건 문서를 한 번에 업로드
- DSAR 마스킹 사전 설정 적용
- 야간 실행: 4~8시간
- 예외 케이스 사람 검토 (~10%): 약 90시간
- 총 작업량: 월 150~200시간 — 직원 약 1명
이것이 대규모에서 배치 도구가 중요한 이유입니다. 배치 티어는 가격 페이지를 참조하세요.
내부 기록을 위한 암호화 후 마스킹
일부 팀은 가역적 내부 기록이 필요하지만 외부 응답은 깨끗해야 합니다. 2단계 접근법이 이 문제를 해결합니다.
1단계: 통제된 키로 암호화하여 개인 데이터가 포함된 문서를 저장합니다. 접근은 권한 있는 사용자로 제한됩니다. 필요 시 원본 텍스트를 복원할 수 있습니다.
2단계: DSAR 응답을 보내기 전에 완전한 마스킹을 적용합니다. 정보주체는 토큰이나 표시 없이 깨끗한 문서를 받습니다.
이 방식은 기록을 온전히 유지하면서 외부 응답에 대한 법적 기준을 충족합니다. 마스킹 규칙이 변경되면 언제든 문서를 재처리할 수 있습니다.
컴플라이언스 문서화
제5조 제2항 — 책임 원칙 — 은 준수를 증명해야 함을 의미합니다. 기록이 필요합니다. 말만으로는 충분하지 않습니다. 각 DSAR에 대해 다음을 기록하세요:
- 수신 날짜 및 신원 확인 방법
- 검색한 시스템과 발견된 내용
- 마스킹 유형 및 사용된 엔티티 유형
- 응답 날짜 및 형식
- 예외 케이스 처리 방법
배치 도구는 자연스러운 감사 로그를 만들어냅니다. 처리된 문서, 사용된 설정, 처리 시간을 기록합니다. 내부 검토와 규제 기관 질문에 도움이 됩니다. 감사 추적 규정에 관한 자주 묻는 질문은 FAQ를 참조하세요. "컨트롤러" 및 "처리자" 같은 주요 용어는 용어 사전을 참조하세요.
DSAR 실패 비용
Vodafone 스페인 과태료(AEPD, 2021)는 기한 초과, 불완전한 응답, 신원 확인 미흡에서 비롯됐습니다. 또한 많은 경우에서 30일 내 응답에 실패했습니다. 독일 과태료(바이에른 DPA, 2023)는 응답 지연과 데이터 누락에서 비롯됐습니다. 해당 기업은 관련 기록이 모두 포함되지 않은 응답을 발송했습니다.
두 사례 모두 건수가 수동 처리 능력을 초과할 때 어떤 일이 벌어지는지를 보여줍니다. 지연이 일상화됩니다. 체계적인 실패가 뒤따릅니다. 자동화는 병목을 제거합니다. 모든 리스크를 없애는 것이 아니라, 대부분의 집행 조치를 야기하는 처리 능력 격차를 해소합니다. 설계 단계부터의 컴플라이언스에 대한 창업자 발언을 읽어보세요.
자동화의 리스크
배치 도구는 작업을 줄이지만 새로운 리스크도 추가합니다. 도입 전에 다음을 숙지하세요.
탐지 정확도를 확인하세요
2%의 누락률은 100건에서는 작게 보입니다. 연간 5만 건에서는 수천 건의 오류를 의미합니다. 실제 샘플로 사전 설정을 테스트한 후 운영에 투입하세요.
처리자 체인을 파악하세요
배치 시스템은 OCR 도구, NLP API, 클라우드 스토리지를 함께 사용하는 경우가 많습니다. 각각이 제28조 의무를 추가하고 데이터 거주 문제를 야기할 수 있습니다. 전체 데이터 흐름을 먼저 파악하세요.
사람을 관여시키세요
제22조는 사람에게 법적 영향을 미치는 자동화된 결정을 제한합니다. 시스템이 무엇을 공개하거나 숨길지를 결정한다면, 사람 검토 단계를 추가하세요. 제22조 위반을 피할 수 있습니다.
관리 오버헤드를 계획하세요
배치 시스템은 처리 활동 기록(RoPA) 업데이트, 새로운 데이터 흐름 다이어그램, 그리고 벤더 DPA를 필요로 합니다. 대부분의 팀이 이 작업을 과소평가합니다. 미리 계획하세요.
구현 체크리스트
자동화 전:
- DSAR 접수 단계를 문서화하세요
- 개인 데이터를 보유한 모든 시스템을 목록화하세요
- 시스템 간 쿼리를 위한 데이터 맵을 구축하세요
설정 단계:
- 올바른 엔티티 유형으로 DSAR 마스킹 사전 설정을 구성하세요
- 사람 검토를 트리거하는 조건을 규정하세요
- 먼저 5~10건의 샘플 요청으로 테스트하세요
지속 운영:
- 매일 또는 요청별로 문서를 업로드하세요
- 플래그된 항목을 사람 검토 대기열로 전달하세요
- 결과물을 최종 응답으로 패키징하세요
- 응답 날짜와 형식을 기록하세요
- 월간 로그를 검토하여 예외 케이스의 패턴을 파악하세요
- 프로세스 변경 시 RoPA를 업데이트하세요
대규모 DSAR 워크플로를 구축한 조직들의 사례는 사례 연구를 확인하세요.
결론
DSAR 건수는 계속 증가할 것입니다. 개인정보 보호 도구, 대량 제출을 위한 브라우저 확장 프로그램, 언론 보도 모두 더 많은 요청을 유발합니다. 연간 40~60%의 성장세가 지속될 것으로 예상됩니다.
수동 프로세스는 따라잡을 수 없습니다. 배치 도구가 마스킹 작업을 처리하면, 직원들은 예외 케이스와 응답 관리에 집중할 수 있습니다. 이것이 확장 가능한 모델입니다. 수동 전용은 그렇지 않습니다. 지금 자동화에 투자하는 조직은 건수가 증가해도 더 잘 대응할 수 있을 것입니다. 기다리는 조직은 점점 늘어나는 미처리 건과 높아지는 과태료 리스크에 직면하게 됩니다.