본문 바로가기 주메뉴 바로가기

최신IT소식

IT 관리자가 알아야 할 핵심 GDPR 조항

관리자 2018-06-27 조회수 1,577


Quest_thumb_20180620.jpg

 

IT 관리자가 알아야 할 핵심 GDPR 조항

5월 25일부터 EU 시민을 대상으로 한 새로운 데이터 보호 법규인 개인 정보 보호 규정(General Data Protection Regulation, GDPR)

 

가 발효됐습니다. EU 회원국에 소재한 기업 조직은 물론이고 EU에 물리적인 시설이 없다 해도 EU 시민에 대한 데이터를 수집 또는 관리하는 모든 조직에 적용되며, 이를 준수하지 않을 경우 강력한 처벌을 받게 됩니다.

오늘은 IT 관리자가 알아야 할 핵심 GDPR 조항들을 살펴보도록 하겠습니다.

핵심 GDPR 조항
GDPR 규정에 따르면 데이터 통제자와 데이터 처리자는 모두 
적절한 데이터 손실 방지 보안 수단을 구현해 개인 데이터를 보호하고 언제든 규정 준수를 입증해야 합니다. 데이터 침해가 발생하는 경우 좆기은 침해 영향을 받는 당사자와 현지 데이터 보호 기관에 사건을 알리고 부과되는 벌금을 내야 합니다. 

GDPR의 핵심 조항에는 다음이 포함됩니다.

개인 데이터 보호
GDPR의 범위는 
개인 데이터로 제한되지만, 개인 데이터라는 용어의 정의는 다음과 같이 매우 광범위합니다.

‘개인 데이터’는 식별된 또는 식별 가능한 자연인(‘데이터 주체’)과 관련된 모든 정보를 의미한다. 식별 가능한 자연인은 이름, 식별 번호, 위치 데이터, 온라인 식별자와 같은 식별자, 또는 그 자연인의 신체적, 생리적, 유전적, 정신적, 경제적, 문화적 또는 사회적 정체성을 특정하는 하나 이상의 요소를 참조함으로써 직접적 또는 간접적으로 식별 가능한 사람이다.


다르게 표현하면 개인 데이터는 이름, 사진, 이메일 주소, 은행 데이터, 소셜 네트워킹 웹사이트의 게시물, 의료 정보 등에 국한되지 않고 그보다 훨씬 더 넓은 범위를 포괄합니다. 온라인 식별자와 위치 데이터(IP 주소, 모바일 디바이스 ID 등), 유전 데이터(개인의 유전자 서열 등), 생체 데이터(지문, 얼굴 인식 프로필, 망막 스캔 등)도 포함됩니다.

개인 데이터를 절도와 악용으로부터 보호하는 것 외에 조직은 다음과 같은 사항도 보장해야 합니다.

 - 
잊혀질 권 - 개인이 더 이상 자신의 개인 데이터가 처리되기를 원하지 않고 회사에 그 개인의 데이터를 보관할 합법적 이유가 없는 경우 데이터를 삭제해야 합니다.

 - 
설계 단계부터 적용되는 기본적인 데이터 보호 - 개발의 첫 단계부터 제품과 서비스에 데이터 보호 장치를 구현하고 세부적인 개인정보보호 설정을 기본적으로 활성화해야 합니다.
 

데이터 이식성 - 기업은 개방 형식으로 개인이 자신의 개인 데이터를 다른 서비스 제공업체로 옮길 수 있는 권리를 존중해야 합니다.

지속적인 준수와 감사
조직은 매월, 매년 GDPR 준수를 입증해야 할 뿐만 아니라 
감사자가 요구하면 언제라도 입증해야 합니다. 이와 관련된 기술적인 난제를 보고를 자동화하는 네이티브 툴이 없다는 점입니다. 감사 데이터가 수집된 다음에는 알아보기 쉬운, 감사 가능한 보고서를 만드는 데 필요한 복잡한 스크립트를 작성하기 위해 막대한 시간과 전문 지식이 필요합니다.

침해 알림 의무
GDPR은 
데이터 침해를 “전송, 저장 또는 다른 방법으로 처리된 개인 데이터의 우발적 또는 불법적 파괴, 손실, 변경, 무단 공개 또는 접근”으로 규정합니다. 데이터 침해가 발생하면 조직은 데이터 보호 기관과 침해의 영향을 받는 모든 고객에게 72시간 내에 침해 사실을 알려야 합니다. 따라서 뉴스도 그만큼 신속하게 대중에게 전달되므로 GDPR의 무거운 벌금 외에 비즈니스 손실로 인한 피해도 발생하게 됩니다.

참고로 
보안 침해가 항상 데이터 침해로 이어지는 것은 아닙니다. 예를 들어, 해커가 기업 네트워크에 침투했지만 데이터가 암호화되어 있거나 기타 보안 통제 기능으로 인해 데이터 액세스 권한을 얻지 못해 데이터를 빼내지는 못한 경우가 이에 해당됩니다.

이렇듯 GDPR에는 포괄적인 
데이터 보호와 모니터링이 필요합니다. 다음 포스팅에서는 GDPR 규정 준수를 위한 핵심 전략

에 대해 알아보도록 하겠습니다.


 

  • 등록된 댓글이 없습니다.