본문 바로가기 주메뉴 바로가기

최신IT소식

IT 관리자를 위한 GDPR FAQ

관리자 2018-05-15 조회수 107

Quest_thumb_20180509.jpg

 
IT관리자를 위한 GDPR FAQ

5월 25일로 예정되어 있는 유럽 개인 정보 보호 규정(General Data Protection Regulation, GDPR) 시행이 코앞으로 다가왔습니다. 소비자가 자신의 정보에 갖는 권리에 대한 새로운 기준으로 자리잡을 GDPR은 EU 국가 내에서 EU 시민에 관한 개인 정보를 저장하거나 처리하는 기업이라면 모두 GDPR 준수 의무화 대상입니다. 하지만 글로벌 시대에 EU 국가의 기업이 아니라도 GDPR에 영향을 받을 수밖에 없으며, 이에 대한 대비가 필요한 상황입니다.


하지만 GDPR은 해석의 여지가 많습니다. 일례로, 기업은 개인 정보를 ‘합리적인’ 수준으로 보호해야 한다고 규정하고 있으나, 그 ‘합리적인’ 것에 대한 정의는 내리지 않습니다. 

그렇다면 과연 
마이크로소프트 플랫폼을 관리하는 기업의 IT 관리자들은 어떤 대비를 해야 할까요?

 

퀘스트 소프트웨어는 마이크로소프트의 MVP 그레그 슐츠와 함께 마이크로소프트 환경을 위한 GDPR 규정 준수 계획 웹캐스트를 진행했습니다. 

이 웹캐스트에선 ▲GDPR 및 기타 규정이 기업 환경에 영향을 미치는 이유, ▲규정 준수 위험을 평가 및 식별하는 방법, ▲민감한 리소스에 액세스한 사람을 확인하는 방법, ▲실시간 감사로 사용자 액세스 활동을 모니터링하고 알림을 모내는 것이 중요한 이유 등에 대해 알아보았습니다. 전체 내용은 링크(클릭)  에서 들을 수 있습니다. 

한 시간 동안 진행된 웹캐스트에서는 GDPR의 마이크로소프트 환경에 정확히 어떤 영향을 미치는지에 관한 많은 질문이 나왔는데요, 가장 중요한 질문 10가지를 정리했습니다.

 

 


 


GDPR 규정 준수 FAQ

Q1: “EU 시민 데이터”란 무엇을 의미합니까?

A1: GDPR은 EU 시민의 개인 데이터를 보호합니다. EU 시민의 개인 식별 정보(PII)를 처리 또는 저장하는 모든 기업(본사의 위치가 EU 내에 있든 외부에 있든 마찬가지)은 GDPR의 규제를 받습니다.

Q2: 적용되는 EU 시민 개인 데이터의 범위는 어디까지입니까? 이름, 이메일, 신용카드 번호가 포함됩니까?

A2: 그 세 가지 외에 생체 정보, 습관, 취미, IP 주소, MAC 주소, 사진 등 훨씬 더 많은 데이터가 포괄적으로 포함됩니다.

Q3: 회사 직원이 데이터 보호 담당자(Data Protection Officer, DPO)가 되려면 어떻게 해야 합니까?

A3: DPO는 독자적인 역할입니다. 직원이 250명 이상인 조직 또는 생체 정보, 의료 기록과 같은 민감한 정보를 다루는 조직인 경우 데이터 보호 담당자를 지정해야 합니다. 일반적으로 중역급 인사이며 이해의 충돌이 없어야 합니다. 즉, IT 직원은 DPO 역할을 할 수 없습니다. CTO도 DPO를 할 수 없으며 회사 소유자도 마찬가지입니다. DPO는 정책 준수를 조율하는 역할 외에 잠재적 정보 유출, 규정 준수 위반 또는 감사 실패가 발생하는 경우 이를 데이터 보호 기관에 보고할 책임도 있습니다.

Q4: 미국에서 사정 및 벌금 징수는 어느 조직이 합니까?

A4: 현지 데이터 보호 기관이 지정되는데, 일반적으로 현재 국가 및 내부 규정 준수 담당 기관이 지정됩니다. 예를 들어 영국의 경우 EU를 탈퇴한 이후에도 정보위원회(ICO)가 이 역할을 계속 맡게 됩니다.

Q5: 어떤 조건을 충족해야 GDPR 준수 상태임을 확인할 수 있습니까? 그 조건을 누가 감사합니까? 제 3자가 합니까?

A5: 외부 감사는 언제든 실시될 수 있으며 확인은 감사의 성격에 따라 결정됩니다. 데이터 보호 담당자는 데이터 보호 기관과 협력하여 기업이 규정을 만족할 만한 수준으로 준수하는지를 확인합니다. 이는 양방향 프로세스입니다. 일반적으로는 기업이 규정에 맞는 관행과 프로세스를 입증해야 합니다. 이를 위해 특정 자료를 만들어야 하는 경우도 있습니다. GDPR 웹 사이트에서 자세한 추가 사항 및 유용한 리소스를 볼 수 있습니다.

Q6: GDPR 감사 체크리스트 문서의 내용은 무엇입니까? 이 문서는 어디에서 찾을 수 있습니까?

A6: 하나로 통합된 체크리스트는 없지만 현지 데이터 보호 기관에서 해당 국가의 
언어로 된 자료를 제공할 것입니다. 한국에서는 KISA가 지난 12월 ‘
우리 기업을 위한 GDR 가이드라인’을 발간했습니다. 또한 GDPR 웹 사이트에서 유용한 리소스도 찾을 수 있습니다.

그러나 가장 중요한 것은 데이터 보호 GDPR 담당자와 협력하는 것입니다. 체크리스트는 여러분의 환경과 각 비즈니스의 특성, 정보를 어떻게 공유하는지, 누구와 협력하는지를 기반으로 하기 때문입니다. 여러분 자신과(여러분이 데이터 통제자인 경우) 데이터 처리업체 간의 계약이 필요하므로 회사 법무팀과도 협력해야 합니다.

Q7: 규제 대상 산업은 7년 동안 이메일 및 기타 데이터를 보관해야 합니다. 이를 GDPR에 어떻게 맞춥니까?


A7: GDPR보다 우선하는 법률상의 의무도 있습니다. 재무 관련 법률인 경우도 있고, 계약 상대가 여러분에게 법률적 의무가 있는 경우, 또는 여러분이 데이터 주체에게 서비스를 제공하기 위해 데이터를 유지해야 하거나, 데이터 주체가 여러분에게 법률적 의무가 있는 경우도 존재합니다.


Q8: GDPR이 인프라 서비스(IaaS) 제공업체에 미치는 영향은 무엇입니까?

A8: 개인 데이터에 액세스하거나 그 데이터를 저장하는 경우 GDPR을 준수해야 합니다. 인프라를 제공한다 해도 여전히 그 개인 정보를 호스팅하기 때문입니다.

Q9: GDPR 맥락에서 “동의”란 무엇을 의미합니까?

A9: 데이터 주체는 자신의 개인 정보를 제공하는 방법, 그 정보가 사용되는 방법과 보존되는 기간에 대해 과거보다 훨씬 더 많은 권리를 보유합니다. 이제 데이터 주체는 “예, 마케팅 자료를 받아보거나 제3자의 연락을 받겠습니다” 등의 문장 옆 확인란을 선택하는 것이 아니라, “이메일(또는 전화 등)로만 연락을 받겠습니다” 등의 의사 표현을 해야 합니다. 훨씬 더 세분화해서 동의를 할 수 있으며 그 데이터가 사용 또는 공유되는 방법도 더 명시적입니다.

Q10: 저는 미국의 대학에서 학생들을 가르칩니다. 많은 국가에서 온 외국인 학생들이 강의에 참석하는데, 이 중에는 EU 국가의 학생도 포함됩니다. 학교에는 이 학생들의 주소, 전화 번호 및 기타 개인 데이터가 있습니다. 학교도 GDPR을 준수해야 합니까?


A10: 예, 준수해야 합니다. 담당 기관에 연락하여 상담을 해야 합니다. 여러분이 GDPR을 준수하지 못하고 경쟁 대학은 준수하는 경우 유럽 학생 유치 경쟁에서 불리해질 수 있습니다. 따라서 GDPR 준수에 투자할 가치는 충분합니다.




| 영어 원본 보기 |
GDPR Compliance FAQ

 

 

 


  • 등록된 댓글이 없습니다.