Offcanvas

CIO / How To / 보안 / 분쟁|갈등 / 클라우드

일반 데이터 보호 규정 마련한 EU··· 기업은 어떻게 준비할까?

2017.01.25 Thor Olavsrud   |  CIO
유럽연합의 일반 데이터 보호 규정(GDPR)이 약 18개월 안에 시행될 경우 규제 당국이 엄청난 벌금을 부과할 수 있게 될 것이다. 이에 대응하려면 데이터 보호 담당자가 필요할 수 있다.

유럽연합의 일반 데이터 보호 규정(GDPR) 시행으로 2018년 5월 25일부터 EU 거주자와 관련 개인 데이터를 처리하는 기업 및 기관의 준비가 미흡할 경우 벌금을 내야 할 것이다.

사이버 보안 및 정보 위험 관리에 중점을 둔 글로벌 독립 정보보안 기관인 정보보안포럼(ISF)의 전무인 스티브 더빈은 대부분 조직에서 데이터 보호 책임자(DPO)를 지명해야 한다고 말했다.

더빈은 이달 초 성명서에서 "GDPR은 전 세계적으로 비즈니스 목표의 최전선에 데이터 보호를 적용하도록 하고 있다. 그 범위는 다른 어떤 국제법과도 비교할 수 없으며, EU 거주자의 개인 데이터를 처리하거나 EU를 기반으로 하므로 ISF 회원 중 98% 이상이 요구 사항의 영향을 받을 것으로 예상한다. 향후 18개월은 데이터 보호 체제가 GDPR의 적용 가능성과 규제 준수 및 위험 관리를 관리하는 데 필요한 통제와 기능을 결정하는 중요한 시기가 될 것이다"고 설명했다.
 
EU는 데이터 규제를 현대화하고자 5년 이상 노력한 끝에 2016년 4월 GDPR을 마련했다. 데이터를 처리하는 위치와 상관없이 EU 거주자와 관련된 개인 데이터에는 GDPR이 적용된다. 또한 EU는 데이터 보호법의 범위도 정의했다. 더빈은 GDPR이 규제 당국에 골칫거리를 줬다고 말했다. 규제 준수 비용과 벌금은 최대 2,000만 유로이거나 이전 회계연도 기준 연 매출액의 4%까지 될 수 있다.

따라서 데이터 침해 사고는 기업의 위험에 영향을 미칠 수 있다. 더빈은 기업이 가능한 한 빨리 그 영향을 반드시 이해해야 한다고 강조했다.

데이터 보호 규제, 준비됐나
이달 초 ISF는 회원들에게 ‘일반 데이터 보호 규정 준비’ 보고서를 발표했다. 이 보고서는 데이터 보호 개념과 GDPR가 도입한 변경 사항을 간략하게 설명했다. 또한 규제 준수 프로그램을 준비할 때 조직에서 고려해야 하는 주요 요구 사항을 포함해 ISF 접근법을 소개했다.

ISF는 기업에 다음 사항을 권장했다.

• 개인 데이터 처리 활동에 대한 GDPR의 적용 가능성을 정하라
• 새로운 법률에 따라 요구되는 통제 요구 사항을 평가하라
• GDPR에서 요구하는 성과를 제공할 수 있는 조직 역량을 평가하라
• 미준수의 재무 및 운영상의 결과 이해하라
• 2018년 5월 25일까지 규정을 준수할 수 있도록 준비하라.

더빈은 "실제로, 기업 및 기관은 외부 전문기관의 인증을 받아 2018년 5월 이전에 GDPR 준비를 마쳐야 한다"고 말했다. 이어서 "데이터 보호, 법률, 정보보안 팀은 이 작업을 계획해 시행 마감일에 닥쳐 과중한 업무에 시달리지 않도록 미리미리 준비해야 한다"고 전했다.  

ISF에 따르면, 대부분 조직은 DPO를 임명해 프로세스를 마련해야 한다. 숙련된 인력이 부족하고 이들을 채용하는 기간이 길기 때문에 지금 당장 모집을 시작하고 내부 인력 가운데 지원자가 있는데 알아봐야 한다. 그런 다음 지금부터 교육을 시작하거나 역할 요구 사항을 충족하기 위한 외부 전문가를 찾아야 한다.

ISF는 기업이 실질적인 지침을 제공하고 법안을 해석하며 준수를 준비하고 필요한 통제와 기능을 구현할 수 있도록 2분기에 추가로 구축 가이드를 제공할 계획이다. ciokr@idg.co.kr
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.