gdpr 규정준수 준비하기 · pdf file 2018. 1. 4. · gdpr 규정준수 gdpr...

Click here to load reader

Post on 27-Feb-2021

1 views

Category:

Documents

0 download

Embed Size (px)

TRANSCRIPT

  • GDPR 규정준수 준비하기

    www.cososys.kr

  • GDPR 이란?GDPR 규정준수 준비하기

    page 2

    GDPR 준비 page 3

    목차 주요조항및 비즈니스에미치는영향 page 4

    처벌 page 5

    GDPR 규정준수를위한 두가지핵심사항 page 6

    Endpoint Protector솔루션으로 GDPR을준비하는방법 page 8

    GDPR 규정준수로비용절감 page 11

    결론 page 12

    1.

    1.1

    1.2

    1.3

    2.

    3.

    4.

    5.

  • 1. GDPR 이란

    GDPR (General Data Protection Regulation)은유럽집행위원회,

    유럽의회, 유럽연합각료이사회에서유럽연합내에서개인데이터

    보호를강화하고통합할목적으로만들어진규정입니다. GDPR 포탈에

    따르면 20년간개인정보보호의가장중요한변화입니다. 2016년 4월

    14일유럽의회의마지막승인까지 4년간의준비와논쟁이있었습니다.

    GDPR 규정준수준비하기 02 // 12

    GDPR 규정은개인의프라이버시데이터와권리에대한성명으로

    데이터제어자와조달자에게개인데이터를삭제, 정정, 전송하도록

    요청합니다. 결론적으로조직의운영변화를포함하여

    개인정보보호지침 (Data Protection Directive 95/46/EC)와비교하여

    엄청난변화입니다. 적절하게유럽시민의개인정보를보호하지

    못하면엄격한벌금이선고됩니다.

  • 1.1 GDPR 준비

    GDPR 규정시행이가까워지면서조직들은압박감을느끼기시작했습니다.

    많은조직들이 GDPR 준비를못했고그들에게적용되는변화는모든비즈니스

    수준에서많은노력이요구됩니다. 사실 2016년말에다국적조직에서

    근무하는 223명의응답자를대상으로 AvePoint 에서시행한설문조사는이들

    중 26%만데이터처리와전송기록을보유하고있고 33%만데이터를분류하고

    이중 10%만이자동으로데이터를분류하고있다고했습니다. 이비율은모두

    GDPR 필수요구사항이기때문에우려가됩니다. 이조사는또한기업들이

    GDPR 규정에서로다른준비단계이있고매우느리게대응하고있다는것을

    보여줍니다. 예를들어일부기업은이미 DPO를임명하고있지만나머지는

    여전히 GDPR의영향에대해서분석중입니다.

    이백서의목적은 GDPR 준비를위한운영전략가이드라인을제공해서

    조직들이받는압력완화에도움을주려고합니다.

    여러분의 GDPR 준비는 어떻게진행되고있나요?

    조직의 26%만데이터처리및

    전송기록을가지고있습니다.

    33%만데이터를분류하고이들

    중 10%만자동으로데이터를

    분류합니다.

    GDPR 규정준수준비하기 03 // 12

    26%

    33%

  • 1.2 주요조항및비즈니스에미치는영향

    관할권확장 접근권한

    GDPR은명확하게적용지역을정의하고있습니다. 유럽연합에

    거주하는개인데이터를처리하고수집하는모든조직은위치에

    관계없이적용됩니다. 즉유럽연합내에서또는그이외의

    지역에있어도해당이됩니다. 예를들어본사가미국에있는

    회사가유럽연합시민들에게서비스또는제품을제공한다면

    GDPR 관할권의영향을받습니다.

    동의 잊혀질권리

    더이상회피적인동의안내는없습니다. 모든조직은개인

    데이터의저장및사용에동의를얻어야하고어떻게사용이

    되는지설명해야하는책임을집니다. GDPR이시행되면언제든지

    데이터수집업체는동의를받았다는것을증명할수있어야

    합니다. 개개인에게동의철회는더간단해질것입니다.

    데이터위반알림의무화 데이터이동

    데이터유출이 "개인의권리와자유를위험을초래하는결과"의

    개연성이없어도기업들은이러한위반이발견되면 72시간안에

    관리당국에보고해야하는의무가있습니다. 이보고서는데이터

    유출종류, 수량, 유출기록유형, 데이터보호관리자 (DPO) 이름,

    위험을완화하는조치그리고다른세부사항이포함됩니다.

    GDPR규정준수준비하기 04 // 12

    데이터유출이 "개인의권리와자유를위험을초래하는결과"의

    이조항은투명성을향한강력한초석입니다. 개인은조직이

    그들의데이터를처리하는방법, 저장하는위치, 목적에대한

    정보를요청할수있는권한을부여합니다. 기업들은전자

    형식으로개인기록사본을제공할수있어야합니다.

    이조항은유럽연합시민이데이터관리업체에개인데이터를

    삭제하고더나아가서제3 업체에공유하는것을중지할수있는

    권한을부여합니다. GDPR 조항 17조의잊혀질권리가적용되는

    상황은다음목록을포함합니다. 개인데이터는더이상수집및

    처리, 개인동의철회, 불법적인처리그리고기타등등의목적에

    필요하지않습니다.

    개인이데어터관리업체에서다른곳으로그들의데이터를

    전송하기원하는경우에 GDPR의이조항은전송할수있는권한

    및프레임워크를부여합니다. 그러므로조직은 '일반적으로

    사용되고기계가판독할수있는형식'으로요청이있을때개인

    데이터를제공할수있어야합니다.

  • 1.2 주요조항및비즈니스에미치는영향

    프라이버시내재화 (Privacy by design)

    보안내재화 (security by design)와같이프라이버시내재화는모든

    프로세스, 시스템, 초기제품또는서비스, 강력하고일관적인

    데이터보호실행그리고완전한추가보안으로취약점회피정보

    보안을포함하여참조합니다. 프라이버시내재화의핵심은권고가

    아니라 GDPR 법적요구사항입니다.

    데이터보호관리자 (DPO, Data Protection Officer)

    데이터제어및처리업체모두 DPO를임명해야합니다. 누가

    DPO의역할을수행하고어떤책임이있는지 GDPR 조항 37~39조에

    상세하게나와있습니다. 간추리면 DPO는조직의임직원이되거나

    따로서비스계약을맺을수있습니다. 모든기업들이 DPO를

    임명해야하며 EUGDPR.org에따라 "대규모의규칙적이고체계적인

    데이터객체나특수한영역의데이터또는범죄기소관련

    데이터의모니터링요구되는처리운영데이터제어및처리

    업체"는 DPO가필요합니다. DPO의주요업무는 GDPR 적용을

    확실하게확인하는것입니다. GDPR 의무조항에대한정보와

    조언을제공해서개인데이터를포함한처리운영을기록하는

    것입니다.

    1.3 처벌

    데이터침해의유형, 가중, 기간, 영향을받은데이터객체의수, 손상

    수준및여러다른요인에따라서벌금은아래와같습니다.

    상황에따라서 10,000,000 유로까지또는이전회계년도의전세계

    매출의 2%까지, 이중더높은쪽을벌금으로부과합니다.

    GDPR규정준수준비하기 05 // 12

    상황에따라서 20,000,000 유로까지또는이전회계년도의전세계

    매출의 4%까지, 이중더높은쪽을벌금으로부과합니다.

  • 2. GDPR규정준수를위한두가지핵심사항

    강화되고엄격한규칙을적용할수있도록조직은현재사용하고있는

    데이터보안솔루션및처리운영에대한감사를수행하고이를

    기반으로운영해야합니다. 감사는각개인에게어떤데이터가

    수집되고누가접근을하고개인데이터의무결성을확보하는방법

    등을보여주어야합니다. 발견된정보의단편을기반으로새로운

    규정에대비하여업그레이드된견고한계획의틀을만들고모든이해

    관계자에게공유할수있어야합니다. 너무많은리소스의소비없이

    GDPR을준비할수있는방법을살펴보기로하겠습니다.

    중요성인지

    CSO, IT 책임자, CEO, 각부서의비즈니스임원등은 GDPR 도입으로변경된

    법률을숙지하고이규정을준수하기위해서적용되는분명하고간단한

    조치를찾아야합니다. 목적이분명하면할수록모든사람들이더빠르게

    그들의역할을이해하고적절하게행동할것입니다. 모든부서관리자, 최고

    경영자, 의사결정권자는주의깊게 GDPR을숙지하거나규정에나온의무에

    관련하여변호사에게조언을구해야합니다. 규정에사용된전문용어는

    일반적으로이해하기가어려워서의무적인것은아니지만변호사의조언을

    받는것을권장합니다. 개인데이터보호에관련된회사의의무에대한

    완전한인지는다음단계를위한견고한초석이됩니다.

    프로젝트로 GDPR 규정준수를다루는것은

    시작및계획단계를정의하는것입니다.

    변호사조언.

    GDPR 규정준수준비하기 06 // 12

  • 2. GDPR 규정준수를위한두가지핵심사항

    엄격한실행 여러분의임무는유럽시민, 위치, A에서 B지점의경로,

    처리하는시스