2018.02.21

성큼 다가온 GDPR 시행, 어떻게 준비할까? 11가지 팁

Tom Macaulay | Computerworld UK
2018년 5월 25일 GDPR(General Data Protection Regulation)이 발효까지 100일도 채 남지 않았다.



영국 정보위원회 위원장 엘리자베스 덴햄은 GDPR을 "한 세대 동안 데이터 보호법에서 가장 큰 변화"라고 표현했다. 복잡한 규제를 위반하면 최고 2,000만 유로 또는 전세계 매출액의 4%의 벌금이 부과될 수 있어 대부분 기업은 발효일이 임박해 옴에 따라 노력을 해야 한다.

영국 정부의 연구에 따르면 GDPR에 대해 알고 있다고 밝힌 기업은 38%에 불과했다. 규정을 알고 있는 사람 중에서 새로운 요구 사항에 대응하기 위해 업무가 바뀌었다고 밝힌 응답자는 4분의 1이었다.

그렇다고 패닉 상태에 빠질 수는 없다. 아직 준비할 시간은 있다. 당신의 조직이 GDPR 시행일보다 앞서 준비돼 있는지 확인하려면 다음 사항을 점검해 보길 바란다.

1. GDPR를 이해하라
GDPR은 2016년 4월에 유럽 의회에서 개인정보 사용과 관련해 우려되는 데이터 보호 규정을 최신으로 유지하기 위해 채택됐다. EU 안에서 처리되는 모든 데이터와 EU 밖에 있는 기업에서 사용하는 EU 관련된 데이터에 적용된다.

이 규제는 2018년 5월 25일에 발효되며 EU와 EU를 탈퇴한 영국에도 적용될 예정이다. GDPR 규제는 현재 영국 의회에 상정된 데이터 보호 법안에도 반영됐다.

이는 '컨트롤러'와 '프로세서'에 모두 적용되며, 현재 강화된 기존 규정과 데이터 주체에 대한 일련의 새로운 권리를 다룬다.

2. 보유한 데이터를 확인하고 문서로 만들어라
현재 저장하고 있는 데이터를 철저히 조사하라. 보관 장소, 개인 또는 중요 데이터, 처리 방법 및 접근 권한을 식별하라. 가능한 한 철저히 이 정보를 기록하라.

IBM 글로벌 GDPR 책임자인 리처드 호그는 최소한의 기록 관리 수준을 제안하며 "당신의 비즈니스에서 개인 데이터를 알 수 있는 초기 카탈로그를 보유하고 있다. 이는 오는 5월 시행되는 GDPR에 사용할 기반을 형성할 것이다"고 말했다.

3. 현재 데이터 거버넌스 사례를 검토하라
가트너는 조직이 투명하게 모든 처리 활동에 대한 책임을 설명하라고 조언했다.

현재의 데이터 거버넌스 관행 및 정책을 평가하고, 모든 처리에 대한 합법적인 근거를 문서로 만들며, 개선이 필요한 영역을 확인하라. 내부 기록은 모든 데이터가 태그되고 분류된 상태에서 모든 처리 활동에 대해 보관돼야 한다.

GDPR이 처리, 연령 확인, 해당 정보에 대한 동의, 관련 보안 요구 사항을 크게 강화했으므로 EU 안팎의 국경에서 데이터가 어떻게 유출되는지 확인하고 아동 데이터 관련 관행에 특히 주의해야 한다.

영국 정보위원회 사무국(ICO)은 기업이 정보보안, 다이렉트 마케팅, 기록 관리, 데이터 공유, 주체 접근, CCTV 같은 일반적인 상황을 점검할 수 있도록 일련의 데이터 보호 자체 평가 툴킷을 제작했다.

4. 동의 절차를 확인하라
GDPR 하에서 모든 데이터 처리에 대한 동의는 구체적이고 세밀하며 감사할 수 있어야 한다. 동의는 이해하기 쉽고 철회도 쉬워야 한다.

동의를 위한 새로운 요구 사항으로 인해 일부 조직은 현재 데이터 주제에 다시 접근하여 데이터 사용 권한을 새로 요청할 수 있다. 현재 동의 절차를 검토하고 의무 이행을 보장하기 위해 동의가 필요한 시기와 방법을 결정하라.

ICO의 국제 전략 및 정보 책임자 스티브 우드는 "GDPR이 동의와 기록을 유지하는 데 초점을 맞추고 있다”며 "동의는 철회하기가 쉬워야 하며, 조직의 이름을 명확하게 지정하고 개인 및 데이터를 공유할 수 있는 제삼자에게 명확하게 알릴 수 있어야 한다"고 이야기했다.

취해진 모든 동의에 대한 기록을 분명히 하고, 직접 철수 메커니즘을 수립하며, 절차 활동을 변경하기 위해 정기적으로 절차를 검토한다.

5. 데이터 보호 리드를 할당하라
개인, 범죄 유죄 판결 및 범죄와 관련한 특수한 데이터, 데이터 카테고리를 대규모로 모니터링하는 공공기관에는 데이터 보호 책임자(DPO)가 필요하다.

DPO가 조직에 필수적이지 않더라도 데이터 거버넌스를 담당하는 담당자를 지정하면 GDPR 준수를 유지하는 데 도움이 된다.

가트너는 개인이 데이터 보호 기관(DPA) 및 데이터 주체 및 DPA의 접촉 지점으로 활동하도록 개인을 지정하고 DPA가 처리 작업을 준수하도록 권장했다.
 
6. 위반 사례 보고 절차를 수립하라
침해를 탐지하고, 조사하며 보고해 어떻게 대응할지 내부 계획을 수립할 수 있는 프로세스를 마련하라. 데이터 유출 테스트를 하면, 프로세스가 효율적으로 수행될 수 있다.

사생활 보호 기관의 보고서에 따르면 CIPL(Center for Information Policy Leadership) 센터는 조직이 위반 사실을 통지할 계획을 마련하거나, 사이버 보험에 가입하거나, 홍보 및 포렌식 전문가를 유지할 것을 권고한다.

7. 데이터 주체의 권리를 지원하는 정책과 절차의 틀을 마련하라
데이터 주체가 GDPR 하에서 확대된 권리를 행사하기에 적절한지 기업의 프로세스를 확인하라. 여기에는 통보받을 권리, 접근할 권리, 수정할 권리, 처리를 제한할 권리, 데이터를 옮길 권리, 이의 신청 권리, 자동화된 의사 결정의 대상이 되지 않을 권리, 삭제 권리(잊혀질 권리) 등이 포함된다.

조직은 이러한 각 권리 규정을 준수하기 위해 누가 책임질지, 어떤 시스템을 지원할지, 일반적으로 어떻게 정보를 제공할지 등 대응할 방안을 고려하라. 

위험 평가 프레임워크를 구축하는 것은 개인정보 데이터를 관리하고 준수를 보장하는 합리적인 방법이다. ICO는 처리 운영 및 목적에 대한 설명, 위험의 목적 및 평가, 처리에 필요한 조치와 관련된 처리 필요성에 대한 평가를 포함하도록 권고한다.

8. 의식을 고취하라
GDPR은 기본적으로 개인정보 보호를 요구한다. 정보 거버넌스의 모범 사례는 조직 전체와 각 비즈니스 프로세스의 모든 단계에 포함돼야 한다.

CIPL 보고서는 "데이터가 많은 비즈니스 프로세스, 제품 및 서비스에 중요하다"며 "따라서 GDPR 구현은 최고 데이터 책임자(CDO), CIO, CISO, 기타 수석 리더십과 협력하여 DPO가 조직 전체의 노력을 기울여야 하는 이유다"고 설명했다.

모든 직원이 GDPR의 요구 사항 및 준수 보장을 위한 개별적인 책임을 이해할 수 있도록 교육해야 한다.

IBM의 글로벌 사이버 보안 인텔리전스 책임자인 닉 콜맨에 따르면, 최고 개인정보 책임자(Chief Privacy Officer)는 조직의 많은 사람이 자신의 인식을 높이고 이를 이해할 수 있도록 돕는 진정한 챔피언이라고 생각한다.
 
9. GDPR 준수 이행 계획을 수립하라
현재의 정책과 관행 중 무엇을 수정해야 하는지 결정한 후 필요한 변경을 구현하기 위한 계획을 수립하라.

콜맨은 "어떻게 싸울지 계획이 있어야 한다"며 “실무에서 우선순위를 정하고 지원에서 우선순위를 정하며 2018년 5월까지 편안하게 느끼게 할 수 있는 성숙도 수준에서 필요한 역량을 우선시 한다"고 말했다. 

10. GDPR 준수 툴을 고려하라
GDPR에 현금을 투자하려는 소프트웨어 업체는 규제 준수를 지원하기 위해 점점 더 많은 제품을 출시하고 있다.

데이터 관행이 순조롭게 이뤄지도록 보장하는 완벽한 제품은 없겠지만 그중 다수는 규제를 준비하는 데 도움을 줄 것이다. 여기에는 데이터 검색 도구, 동의 관리 시스템, 자체 평가 툴킷 및 포괄적인 데이터 관리 플랫폼이 포함된다.

11. 긍정적인 자세를 유지하라
GDPR을 준수하는 데는 많은 시간과 노력이 요구되지만, 규제에는 긍정적인 의미도 있다.

덴햄은 11월 ICO 블로그에 "데이터 보호 변화의 핵심 동력 중 하나는 영국과 전세계에서 디지털 경제의 중요성과 지속적인 발전이다. 따라서 ICO와 영국 정부는 수년간 EU 법 개혁을 추진해 왔다”고 썼다.

이어서 덴핸은 "디지털 경제가 주로 많은 양의 개인 데이터를 포함해 데이터 수집 및 교환에 기반을 두고 있다. 디지털 경제의 성장은 이 정보의 보호에 대한 대중의 신뢰가 필요하다"고 전했다. ciokr@idg.co.kr



2018.02.21

성큼 다가온 GDPR 시행, 어떻게 준비할까? 11가지 팁

Tom Macaulay | Computerworld UK
2018년 5월 25일 GDPR(General Data Protection Regulation)이 발효까지 100일도 채 남지 않았다.



영국 정보위원회 위원장 엘리자베스 덴햄은 GDPR을 "한 세대 동안 데이터 보호법에서 가장 큰 변화"라고 표현했다. 복잡한 규제를 위반하면 최고 2,000만 유로 또는 전세계 매출액의 4%의 벌금이 부과될 수 있어 대부분 기업은 발효일이 임박해 옴에 따라 노력을 해야 한다.

영국 정부의 연구에 따르면 GDPR에 대해 알고 있다고 밝힌 기업은 38%에 불과했다. 규정을 알고 있는 사람 중에서 새로운 요구 사항에 대응하기 위해 업무가 바뀌었다고 밝힌 응답자는 4분의 1이었다.

그렇다고 패닉 상태에 빠질 수는 없다. 아직 준비할 시간은 있다. 당신의 조직이 GDPR 시행일보다 앞서 준비돼 있는지 확인하려면 다음 사항을 점검해 보길 바란다.

1. GDPR를 이해하라
GDPR은 2016년 4월에 유럽 의회에서 개인정보 사용과 관련해 우려되는 데이터 보호 규정을 최신으로 유지하기 위해 채택됐다. EU 안에서 처리되는 모든 데이터와 EU 밖에 있는 기업에서 사용하는 EU 관련된 데이터에 적용된다.

이 규제는 2018년 5월 25일에 발효되며 EU와 EU를 탈퇴한 영국에도 적용될 예정이다. GDPR 규제는 현재 영국 의회에 상정된 데이터 보호 법안에도 반영됐다.

이는 '컨트롤러'와 '프로세서'에 모두 적용되며, 현재 강화된 기존 규정과 데이터 주체에 대한 일련의 새로운 권리를 다룬다.

2. 보유한 데이터를 확인하고 문서로 만들어라
현재 저장하고 있는 데이터를 철저히 조사하라. 보관 장소, 개인 또는 중요 데이터, 처리 방법 및 접근 권한을 식별하라. 가능한 한 철저히 이 정보를 기록하라.

IBM 글로벌 GDPR 책임자인 리처드 호그는 최소한의 기록 관리 수준을 제안하며 "당신의 비즈니스에서 개인 데이터를 알 수 있는 초기 카탈로그를 보유하고 있다. 이는 오는 5월 시행되는 GDPR에 사용할 기반을 형성할 것이다"고 말했다.

3. 현재 데이터 거버넌스 사례를 검토하라
가트너는 조직이 투명하게 모든 처리 활동에 대한 책임을 설명하라고 조언했다.

현재의 데이터 거버넌스 관행 및 정책을 평가하고, 모든 처리에 대한 합법적인 근거를 문서로 만들며, 개선이 필요한 영역을 확인하라. 내부 기록은 모든 데이터가 태그되고 분류된 상태에서 모든 처리 활동에 대해 보관돼야 한다.

GDPR이 처리, 연령 확인, 해당 정보에 대한 동의, 관련 보안 요구 사항을 크게 강화했으므로 EU 안팎의 국경에서 데이터가 어떻게 유출되는지 확인하고 아동 데이터 관련 관행에 특히 주의해야 한다.

영국 정보위원회 사무국(ICO)은 기업이 정보보안, 다이렉트 마케팅, 기록 관리, 데이터 공유, 주체 접근, CCTV 같은 일반적인 상황을 점검할 수 있도록 일련의 데이터 보호 자체 평가 툴킷을 제작했다.

4. 동의 절차를 확인하라
GDPR 하에서 모든 데이터 처리에 대한 동의는 구체적이고 세밀하며 감사할 수 있어야 한다. 동의는 이해하기 쉽고 철회도 쉬워야 한다.

동의를 위한 새로운 요구 사항으로 인해 일부 조직은 현재 데이터 주제에 다시 접근하여 데이터 사용 권한을 새로 요청할 수 있다. 현재 동의 절차를 검토하고 의무 이행을 보장하기 위해 동의가 필요한 시기와 방법을 결정하라.

ICO의 국제 전략 및 정보 책임자 스티브 우드는 "GDPR이 동의와 기록을 유지하는 데 초점을 맞추고 있다”며 "동의는 철회하기가 쉬워야 하며, 조직의 이름을 명확하게 지정하고 개인 및 데이터를 공유할 수 있는 제삼자에게 명확하게 알릴 수 있어야 한다"고 이야기했다.

취해진 모든 동의에 대한 기록을 분명히 하고, 직접 철수 메커니즘을 수립하며, 절차 활동을 변경하기 위해 정기적으로 절차를 검토한다.

5. 데이터 보호 리드를 할당하라
개인, 범죄 유죄 판결 및 범죄와 관련한 특수한 데이터, 데이터 카테고리를 대규모로 모니터링하는 공공기관에는 데이터 보호 책임자(DPO)가 필요하다.

DPO가 조직에 필수적이지 않더라도 데이터 거버넌스를 담당하는 담당자를 지정하면 GDPR 준수를 유지하는 데 도움이 된다.

가트너는 개인이 데이터 보호 기관(DPA) 및 데이터 주체 및 DPA의 접촉 지점으로 활동하도록 개인을 지정하고 DPA가 처리 작업을 준수하도록 권장했다.
 
6. 위반 사례 보고 절차를 수립하라
침해를 탐지하고, 조사하며 보고해 어떻게 대응할지 내부 계획을 수립할 수 있는 프로세스를 마련하라. 데이터 유출 테스트를 하면, 프로세스가 효율적으로 수행될 수 있다.

사생활 보호 기관의 보고서에 따르면 CIPL(Center for Information Policy Leadership) 센터는 조직이 위반 사실을 통지할 계획을 마련하거나, 사이버 보험에 가입하거나, 홍보 및 포렌식 전문가를 유지할 것을 권고한다.

7. 데이터 주체의 권리를 지원하는 정책과 절차의 틀을 마련하라
데이터 주체가 GDPR 하에서 확대된 권리를 행사하기에 적절한지 기업의 프로세스를 확인하라. 여기에는 통보받을 권리, 접근할 권리, 수정할 권리, 처리를 제한할 권리, 데이터를 옮길 권리, 이의 신청 권리, 자동화된 의사 결정의 대상이 되지 않을 권리, 삭제 권리(잊혀질 권리) 등이 포함된다.

조직은 이러한 각 권리 규정을 준수하기 위해 누가 책임질지, 어떤 시스템을 지원할지, 일반적으로 어떻게 정보를 제공할지 등 대응할 방안을 고려하라. 

위험 평가 프레임워크를 구축하는 것은 개인정보 데이터를 관리하고 준수를 보장하는 합리적인 방법이다. ICO는 처리 운영 및 목적에 대한 설명, 위험의 목적 및 평가, 처리에 필요한 조치와 관련된 처리 필요성에 대한 평가를 포함하도록 권고한다.

8. 의식을 고취하라
GDPR은 기본적으로 개인정보 보호를 요구한다. 정보 거버넌스의 모범 사례는 조직 전체와 각 비즈니스 프로세스의 모든 단계에 포함돼야 한다.

CIPL 보고서는 "데이터가 많은 비즈니스 프로세스, 제품 및 서비스에 중요하다"며 "따라서 GDPR 구현은 최고 데이터 책임자(CDO), CIO, CISO, 기타 수석 리더십과 협력하여 DPO가 조직 전체의 노력을 기울여야 하는 이유다"고 설명했다.

모든 직원이 GDPR의 요구 사항 및 준수 보장을 위한 개별적인 책임을 이해할 수 있도록 교육해야 한다.

IBM의 글로벌 사이버 보안 인텔리전스 책임자인 닉 콜맨에 따르면, 최고 개인정보 책임자(Chief Privacy Officer)는 조직의 많은 사람이 자신의 인식을 높이고 이를 이해할 수 있도록 돕는 진정한 챔피언이라고 생각한다.
 
9. GDPR 준수 이행 계획을 수립하라
현재의 정책과 관행 중 무엇을 수정해야 하는지 결정한 후 필요한 변경을 구현하기 위한 계획을 수립하라.

콜맨은 "어떻게 싸울지 계획이 있어야 한다"며 “실무에서 우선순위를 정하고 지원에서 우선순위를 정하며 2018년 5월까지 편안하게 느끼게 할 수 있는 성숙도 수준에서 필요한 역량을 우선시 한다"고 말했다. 

10. GDPR 준수 툴을 고려하라
GDPR에 현금을 투자하려는 소프트웨어 업체는 규제 준수를 지원하기 위해 점점 더 많은 제품을 출시하고 있다.

데이터 관행이 순조롭게 이뤄지도록 보장하는 완벽한 제품은 없겠지만 그중 다수는 규제를 준비하는 데 도움을 줄 것이다. 여기에는 데이터 검색 도구, 동의 관리 시스템, 자체 평가 툴킷 및 포괄적인 데이터 관리 플랫폼이 포함된다.

11. 긍정적인 자세를 유지하라
GDPR을 준수하는 데는 많은 시간과 노력이 요구되지만, 규제에는 긍정적인 의미도 있다.

덴햄은 11월 ICO 블로그에 "데이터 보호 변화의 핵심 동력 중 하나는 영국과 전세계에서 디지털 경제의 중요성과 지속적인 발전이다. 따라서 ICO와 영국 정부는 수년간 EU 법 개혁을 추진해 왔다”고 썼다.

이어서 덴핸은 "디지털 경제가 주로 많은 양의 개인 데이터를 포함해 데이터 수집 및 교환에 기반을 두고 있다. 디지털 경제의 성장은 이 정보의 보호에 대한 대중의 신뢰가 필요하다"고 전했다. ciokr@idg.co.kr

X