GDPR 규정준수준비하기
www.cososys.kr
GDPR 이란?GDPR 규정준수준비하기
page 2
GDPR 준비page 3
목차 주요조항및비즈니스에미치는영향page 4
처벌page 5
GDPR 규정준수를위한두가지핵심사항page 6
Endpoint Protector솔루션으로GDPR을준비하는방법page 8
GDPR 규정준수로비용절감page 11
결론page 12
1.
1.1
1.2
1.3
2.
3.
4.
5.
1. GDPR 이란
GDPR (General Data Protection Regulation)은유럽집행위원회,
유럽의회, 유럽연합각료이사회에서유럽연합내에서개인데이터
보호를강화하고통합할목적으로만들어진규정입니다. GDPR 포탈에
따르면 20년간개인정보보호의가장중요한변화입니다. 2016년 4월
14일유럽의회의마지막승인까지 4년간의준비와논쟁이있었습니다.
GDPR 규정준수준비하기 02 // 12
GDPR 규정은개인의프라이버시데이터와권리에대한성명으로
데이터제어자와조달자에게개인데이터를삭제, 정정, 전송하도록
요청합니다. 결론적으로조직의운영변화를포함하여
개인정보보호지침 (Data Protection Directive 95/46/EC)와비교하여
엄청난변화입니다. 적절하게유럽시민의개인정보를보호하지
못하면엄격한벌금이선고됩니다.
1.1 GDPR 준비
GDPR 규정시행이가까워지면서조직들은압박감을느끼기시작했습니다.
많은조직들이 GDPR 준비를못했고그들에게적용되는변화는모든비즈니스
수준에서많은노력이요구됩니다. 사실 2016년말에다국적조직에서
근무하는 223명의응답자를대상으로 AvePoint 에서시행한설문조사는이들
중 26%만데이터처리와전송기록을보유하고있고 33%만데이터를분류하고
이중 10%만이자동으로데이터를분류하고있다고했습니다. 이비율은모두
GDPR 필수요구사항이기때문에우려가됩니다. 이조사는또한기업들이
GDPR 규정에서로다른준비단계이있고매우느리게대응하고있다는것을
보여줍니다. 예를들어일부기업은이미 DPO를임명하고있지만나머지는
여전히 GDPR의영향에대해서분석중입니다.
이백서의목적은 GDPR 준비를위한운영전략가이드라인을제공해서
조직들이받는압력완화에도움을주려고합니다.
여러분의 GDPR 준비는어떻게진행되고있나요?
조직의 26%만데이터처리및
전송기록을가지고있습니다.
33%만데이터를분류하고이들
중 10%만자동으로데이터를
분류합니다.
GDPR 규정준수준비하기 03 // 12
26%
33%
1.2 주요조항및비즈니스에미치는영향
관할권확장 접근권한
GDPR은명확하게적용지역을정의하고있습니다. 유럽연합에
거주하는개인데이터를처리하고수집하는모든조직은위치에
관계없이적용됩니다. 즉유럽연합내에서또는그이외의
지역에있어도해당이됩니다. 예를들어본사가미국에있는
회사가유럽연합시민들에게서비스또는제품을제공한다면
GDPR 관할권의영향을받습니다.
동의 잊혀질권리
더이상회피적인동의안내는없습니다. 모든조직은개인
데이터의저장및사용에동의를얻어야하고어떻게사용이
되는지설명해야하는책임을집니다. GDPR이시행되면언제든지
데이터수집업체는동의를받았다는것을증명할수있어야
합니다. 개개인에게동의철회는더간단해질것입니다.
데이터위반알림의무화 데이터이동
데이터유출이 "개인의권리와자유를위험을초래하는결과"의
개연성이없어도기업들은이러한위반이발견되면 72시간안에
관리당국에보고해야하는의무가있습니다. 이보고서는데이터
유출종류, 수량, 유출기록유형, 데이터보호관리자 (DPO) 이름,
위험을완화하는조치그리고다른세부사항이포함됩니다.
GDPR규정준수준비하기 04 // 12
데이터유출이 "개인의권리와자유를위험을초래하는결과"의
이조항은투명성을향한강력한초석입니다. 개인은조직이
그들의데이터를처리하는방법, 저장하는위치, 목적에대한
정보를요청할수있는권한을부여합니다. 기업들은전자
형식으로개인기록사본을제공할수있어야합니다.
이조항은유럽연합시민이데이터관리업체에개인데이터를
삭제하고더나아가서제3 업체에공유하는것을중지할수있는
권한을부여합니다. GDPR 조항 17조의잊혀질권리가적용되는
상황은다음목록을포함합니다. 개인데이터는더이상수집및
처리, 개인동의철회, 불법적인처리그리고기타등등의목적에
필요하지않습니다.
개인이데어터관리업체에서다른곳으로그들의데이터를
전송하기원하는경우에 GDPR의이조항은전송할수있는권한
및프레임워크를부여합니다. 그러므로조직은 '일반적으로
사용되고기계가판독할수있는형식'으로요청이있을때개인
데이터를제공할수있어야합니다.
1.2 주요조항및비즈니스에미치는영향
프라이버시내재화 (Privacy by design)
보안내재화 (security by design)와같이프라이버시내재화는모든
프로세스, 시스템, 초기제품또는서비스, 강력하고일관적인
데이터보호실행그리고완전한추가보안으로취약점회피정보
보안을포함하여참조합니다. 프라이버시내재화의핵심은권고가
아니라 GDPR 법적요구사항입니다.
데이터보호관리자 (DPO, Data Protection Officer)
데이터제어및처리업체모두 DPO를임명해야합니다. 누가
DPO의역할을수행하고어떤책임이있는지 GDPR 조항 37~39조에
상세하게나와있습니다. 간추리면 DPO는조직의임직원이되거나
따로서비스계약을맺을수있습니다. 모든기업들이 DPO를
임명해야하며 EUGDPR.org에따라 "대규모의규칙적이고체계적인
데이터객체나특수한영역의데이터또는범죄기소관련
데이터의모니터링요구되는처리운영데이터제어및처리
업체"는 DPO가필요합니다. DPO의주요업무는 GDPR 적용을
확실하게확인하는것입니다. GDPR 의무조항에대한정보와
조언을제공해서개인데이터를포함한처리운영을기록하는
것입니다.
1.3 처벌
데이터침해의유형, 가중, 기간, 영향을받은데이터객체의수, 손상
수준및여러다른요인에따라서벌금은아래와같습니다.
상황에따라서 10,000,000 유로까지또는이전회계년도의전세계
매출의 2%까지, 이중더높은쪽을벌금으로부과합니다.
GDPR규정준수준비하기 05 // 12
상황에따라서 20,000,000 유로까지또는이전회계년도의전세계
매출의 4%까지, 이중더높은쪽을벌금으로부과합니다.
2. GDPR규정준수를위한두가지핵심사항
강화되고엄격한규칙을적용할수있도록조직은현재사용하고있는
데이터보안솔루션및처리운영에대한감사를수행하고이를
기반으로운영해야합니다. 감사는각개인에게어떤데이터가
수집되고누가접근을하고개인데이터의무결성을확보하는방법
등을보여주어야합니다. 발견된정보의단편을기반으로새로운
규정에대비하여업그레이드된견고한계획의틀을만들고모든이해
관계자에게공유할수있어야합니다. 너무많은리소스의소비없이
GDPR을준비할수있는방법을살펴보기로하겠습니다.
중요성인지
CSO, IT 책임자, CEO, 각부서의비즈니스임원등은 GDPR 도입으로변경된
법률을숙지하고이규정을준수하기위해서적용되는분명하고간단한
조치를찾아야합니다. 목적이분명하면할수록모든사람들이더빠르게
그들의역할을이해하고적절하게행동할것입니다. 모든부서관리자, 최고
경영자, 의사결정권자는주의깊게 GDPR을숙지하거나규정에나온의무에
관련하여변호사에게조언을구해야합니다. 규정에사용된전문용어는
일반적으로이해하기가어려워서의무적인것은아니지만변호사의조언을
받는것을권장합니다. 개인데이터보호에관련된회사의의무에대한
완전한인지는다음단계를위한견고한초석이됩니다.
프로젝트로 GDPR 규정준수를다루는것은
시작및계획단계를정의하는것입니다.
변호사조언.
GDPR 규정준수준비하기 06 // 12
2. GDPR 규정준수를위한두가지핵심사항
엄격한실행여러분의임무는유럽시민, 위치, A에서 B지점의경로,
처리하는시스템등에대해서어떤데이터가저장되고
처리되는지식별해야합니다. 그렇게함으로써개인데이터를
보호를위한도구를가지고있는지아니면 GDPR 규정준수를
위해서지원하는도구가어떤것인지알수있습니다.
엄격한실행없이는전략은의미가없습니다. 규정준수와보안을위해서
데이터보안및관리솔루션을선택하고실행하는것을아는것은쉬운
일은아닙니다. 영향을줄수있는수많은요인들이있고그중에서인적
요소가가장복잡합니다. 임명된 DPO를간단한예로들겠습니다. DPO는
데이터보호규정준수를확인해야해서그역할은매우중요하고
어렵습니다. 한편으로는직원들은관리하고다른한편으로는부서
임원을관리해야합니다.
실행이어려운것은새로운조항이회사의본사및지점이위치한물리적
국경보다더확장된관할권의국가간데이터전송을참조하기때문입니다.
독일에서운영되는회사는프랑스, 미국또는다른국가의고객을가질수
있습니다. 이것이개인데이터보안의큰책임으로다가오는것입니다.
GDPR은유럽연합에거주하는개인데이터의처리에적용될것입니다.
심지어데이터제어또는관리업체가유럽연합에위치하지않아도
적용이됩니다. 그래서여러분의사업이유럽연합에서운영되지않아도
이규정이적용되는주체가될수있습니다.
실질적인전환은 '기본개념을내재화한데이터보호'가될것입니다.
이것은매우초기단계의컨셈및개발에서프라이버시및보안기능을
포함한서비스또는제품을요청하는것입니다. 특히모바일앱개발자및
IoT 분야에서관심을가져야합니다. 새로운규정은혁신적으로데이터
보안을지키려는보안솔루션제공업체에게큰의미부여가될것입니다.
제품또는서비스를넘어서프라이버시내재화개념은 GDPR 규칙에
따라서데이터처리에적용이되어야합니다. 기본적으로운영, 물류,
내부커뮤니케이션, HR, 개인데이터를포함하는다른처리과정을
거치는조직에대해서도회사는다른부분과마찬가지고보안의
중요성을고려해야합니다. 예를들어 HR 부서를만들때필요한직원수,
책임범위, 처리방법이외에프라이버시정책및규정을준수하는
방법을구축해야합니다.
GDPR규정준수준비하기 07 // 12
3. Endpoint Protector솔루션으로
GDPR을준비하는방법
실행계획에서부터핵심인물들의통찰력이개입된소프트웨어는
효율적으로새로운규정준비에대한필요한변화를적용하는데도움을
줄수있습니다. 그렇기우리의 DLP 솔루션으로 GDPR을준수에도움이
방법을알아보겠습니다.
감사
Endpoint Protector DLP 솔루션을이용해서중요한부분을감사할수
있습니다. GDPR 규정준수초기단계에서조직은 Endpoint Protector로
보고만받을수있는정책을설정해서사용할수있어서회사밖으로
전송되는데이터를추적하고로그를만듭니다. 개인식별정보,
신용카드번호, 주민등록번호, 및기타기밀정보등에대한사용자가
전송하는민감한데이터에대한가치있는통찰력을얻을수있습니다.
추가적으로모니터링에서표시된엔드포인트는클라우드응용프로그램,
이메일, 휴대용저장장치, 웹메일등으로기밀데이터가정확하게
전송되는지점을탐지합니다. 가장데이터전송및장치연결이왕성한
사용자를발견할수있고이정보를기반으로감사소프트웨어의데이터를
취합하여규정준수를위해서실제상황에대한로그를시각화할수
있습니다.
GDPR 규정준수준비하기 08 // 12
3. Endpoint Protector 솔루션으로 GDPR을준비하는방법
데이터이동제한
감사가마무리되면조직은보안을강화하고취약점을해결해야합니다.
Endpoint Protector 모니터링정책은제한정책으로변경할수있습니다.
파일유형, 클립보드, 스크린캡쳐등을차단하고다양한전송채널을
선택해서사용자, 컴퓨터, 그룹별로정책을설정할수있습니다. 새로운
규정에따른프라이버시데이터는매우중요하기때문에 Endpoint
Protector DLP의콘텐츠인식필터링기능으로데이터유철과
도난으로부터보호할수있습니다.
GDPR 규정준수준비하기 09 // 12
Endpoint Protector 솔루션은또한국가간데이터전송에도도움을줄수
있습니다. 조직이유럽경제지역 (EEA) 외부로개인데이터를전송하는
것을금지합니다. 즉전송목표지점이유럽연합집행기관 (EC. European
Commission)에서간주한적절한수준의데이터보호가제공되지않거나
EC에서설정한환경이없는경우에금지됩니다. 이시나리오는온라인 IT
서비스, 유럽연합회원국에설립된여러다국적기업들, 클라우드기반
서비스, 원격지원서비스및기타비슷한비즈니스모델에적용됩니다.
Endpoint Protector는유럽연합외부국가에위치한데이터센터배포해서
데이터전송을탐지및차단할수있습니다 (예> Dropbox). 또는적절한
수준의데이터보호가적용된국가에데이터전송을허용할수있습니다.
여러분이민감한데이터이동에대한제어를가질수있습니다.
Endpoint Protector의또다른유용한측면은한국가에서웹콘솔을
관리가가능하고또다른국가에있는컴퓨터에 DLP 솔루션을적용해서
관리할수있습니다. 이러한유연성은사업장의위치에관계없이데이터
전송을추적하고차단할수있습니다. 그래서여러법인이있는조직은
모든법인의컴퓨터를하나의솔루션으로보호할수있습니다.
3. Endpoint Protector 솔루션으로 GDPR을준비하는방법
멀티운영체제보호
GDPR규정준수준비하기 10 // 12
GDPR은데이터프라이버시를완전하게확보해야하지만거기에는
Windows, macOS, Linux, iOS, Android, Windows 폰등에대한플랫폼에대한
상세기술은되어있지않습니다. 또한이메일, 파일클라우드공유,
휴대용저장장치등에대한엔드포인트채널에대한상세언급은
없습니다. 이러한것은중요하지않을수있습니다. 하지만결국이것이
무엇이되었건데이터는보호가되어야합니다. 그러므로여러분이
선택한보안솔루션은전체인프라, 모든엔드포인트, 모바일기기등의
데이터를보호해야합니다.
Endpoint Protector DLP는 Windows, macOS, Linunx의멀티운영체제에서
민감한데이터유출및절도를보호합니다. 모바일기기관리 (MDM)
기능으로 iOS, Android, macOS를보호하는데도움을줍니다.
4. GDPR규정준수로
비용절감
GDPR은모든규정을준수하기전까지매우골치가아픈일이될수
있지만큰그림을보면노력보다는이점이더많은것을볼수있습니다.
유럽시장에새로진입하는것이더쉽습니다. 왜냐하면데이터보호
규정이똑같이적용되기때문입니다. 유럽연합집행기관은회사가
규정개편덕분에비용을절감하는예를공식발표했습니다.
예: 비용절감
상점체인은프랑스에본사를두고 14개의유럽연합국가에
프랜차이즈를운영하고있습니다. 각상점은고객데이터를수집하고
이를처리하기위해서프랑스에있는본사로전송합니다.
GDPR규정준수준비하기 11 // 12
현재규정에서:
프랑스데이터보호법은본사에서처리하는데이터에만적용이
되지만각각의상점은위치한국가의법에따라서데이터처리를
확인하기위해서국가데이터보호당국에여전히보고서를제출해야
합니다. 이것은상점의본사가지점이위치한각국가규정을
준수하기위해서각지역의변호사비용을지출해야합니다. 전체
비용은아마도 12,000 유로이상이될수있습니다.
개편되는규정에서:
지점이위치한 14개국의모든유럽연합회원국의데이터보호법은
하나가될것입니다. 이것은각국가의변호사비용이없어지는것을
의미합니다. 결과적으로직접비용이절감되고명확하게법률을
적용할수있습니다.
5. 결론
여러분이아직 GDPR 규정준수준비를시작하지못했다면
적절한감사를기반으로실행을통해서비즈니스단위에서
인지를하는것이첫번째로해야할일입니다.
조심스럽게어떤솔루션이도움이되는지선택하고
조직의특성, 법적프레임워크, 인적요소를바탕으로
실행을해야합니다.
GDPR은비즈니스에서많은잡음을만들어내고있고특히유럽에서는
더욱그렇습니다. 만일데이터제어및처리업체라면많은회사들은
아직도그들이어떤위치에있는지확실히알고있지못합니다. 많은
기업들은필요한변화에초기규정준수대응을연기하고있고나머지
회사들은인지하지못하고있습니다.
References:
http://ec.europa.eu/justice/data-protection/reform/ les/regulation_oj_en.pdf
http://www.eugdpr.org/key-changes.html
http://www.cmswire.com/information-management/how-businesses-are-preparing-for-the-gdpr/
https://iapp.org/resources/article/top-10-operational-impacts-of-the-gdpr/
http://europa.eu/rapid/press-release_MEMO-15-6385_en.htm
GDPR규정준수준비하기 12 // 12
이러한이슈에상관없이 2018년 5월에는모든것이대체되고회사들은
규정을준수하는것을증명하고직원, 고객, 파트너및이해관계자의
개인정보를안전하게보호해야합니다.
Endpoint Protector 무료체험http://cososys.kr/products/endpoint-protector
www.cososys.kr
Germany Romania (HQ) United States of America
E-mail [email protected] [email protected] [email protected]
Phone +49 7541 978 26730 +40-264-593 110 +1 888 271 9349
United Arab Emirates South Korea
E-mail [email protected] [email protected] © 2004-2018 CoSoSys Ltd.
Phone +9714 3699768 +82 1644-7718
