본문 바로가기
IT 와 Social 이야기

[IITP] GDPR(일반정보보호규정) 발효

by manga0713 2018. 6. 8.

 

 

 

 

 

*** 문서: [IITP] 모든 ICT 서비스의 기본 요건이 될 일반정보보호규정 발효

file5381906150382948200-184903.pdf

 

 

 

 

■ 5월 25일 발효 되었음

 

- 규정 위반 시 글로벌 매출의 4%까지 벌금을 부과할 수 있음

 

- EU 역내 사업을 하는 기업이 아니라, EU 시민과 관련된 데이터를 취급하는 기업을 대상으로 하고 있기에 사실상 전세계 모든 기업에 해당

 

- 한마디로 GDPR은 유럽인의 개인 데이터를 보유하고 있는 조직이 그 데이터를 합리적인 방식으로 사용하는 동시에, 그 개인 데이터의 선한 관리인이 될 것을 강제하는 규정

 

 

 

■ 기업은 자신들이 적용 대상인지 여부를 신속히 검토할 필요가 있음

 

- EU 역내에 본사를 둔 기업이나 단체

 

- EU 역외에 본사가 있지만 EU 역내의 데이터 주체를 상품과 서비스의 대상으로 하고 있는 기업이나 단체

 

- EU 역외에 본사가 있지만 EU 역내 개인의 행동을 파악하거나 추적하고 있는 기업이나 단체

 

 

 

■ 적용 대상 기업이나 단체는 EU 역내의 주요 감독기관이 어디인지를 확인할 필요가 있음

 

- EU 역내에 설립된 기업이나 단체는 본사 소재지를 기준으로 자신들의 주요 감독기관이 어디인지 확인해야 함

 

- 본사가 EU 역내에 없는 경우, 데이터 주체의 대부분이 존재하거나 개인 데이터 처리가 이루어지는 EU 회원국의 감독기관이 주요 감독기관이 되어야 함

 

- EU 지역에 거점이 없는 기업이나 단체가 GDPR의 적용 대상이 되는 개인 데이터를 처리하는 경우, 데이터 주체의 대부분이 존재하거나 개인 데이터의 처리가 이루어지는 EU 회원국 내에 반드시 대리인을 선임해야 함

 

 

 

■ 기업은 자신들이 처리하는 개인정보의 범위와 본질적 특성을 명확히 확인할 필요가 있음

 

- 식별된 또는 식별 가능한 자연인(데이터 주체)와 관련된 "어떤 정보 (any information)"라도 모두 개인 데이터(personal data)가 됨

 

- 특별 카테고리에 속하는 개인정보 규정

 

① 인종 또는 민족적 배경, 정치적 견해, 종교적 또는 철학적 신념, 노동조합원 자격 등을 드러내는 데이터

 

② 자연인을 고유하게 식별하기 위해 처리하는 유전자 혹은 생체 데이터

 

③ 건강에 관한 데이터

 

④ 자연인의 성생활 또는 성적 취향에 관한 데이터 등

 

 

 

■ 모든 개인 데이터 처리에 관해 최신의 정확한 세부 내역을 제공할 수 있도록 관련 기록을 유지 해야 함

 

- 기업이나 조직의 직원 수가 250명 이상인 경우

 

- 기업이나 조직의 직원이 250명 미만이더라도

 

① 그 개인 데이터의 처리가 데이터 주체의 권리와 자유에 위험을 초래할 수 있는 경우

② 데이터의 처리가 간헐적으로 발생하는 것이 아니라 정기적으로 발생하는 경우

③ 데이터 처리가 개인 데이터의 특별 카테고리를 포함하거나 전과기록 및 범죄와 관련된 경우

 

 

 

■ 많은 기업이 개인 데이터의 '관리자(controller)' 또는 '처리자(processor)' 모두에 해당 함을 인지해야 함

 

 

 

■ GDPR 요구사항 '갭(Gap) 분석'을 실시해야 함

 

- GDPR 준수를 위한 기업의 실행 우선수위 결정 시 주요 고려 요소

 

 

 

 

 

 

 

■ 가장 주의 깊게 볼 부분은 새롭게 등장한 요구사항 임, 대표적인 것이 "개인 데이터 처리 인벤토리(inventory)", "데이터 이동성(portability) 및 제거" 등 임

 

 

- GDPR 준수를 위한 IT 설계 시 CIO와 CSO가 고려해야 할 요소

 

 

 

 

 

 

 

■ GDPR은 IoT(사물인터넷) 서비스와도 매우 깊은 관계가 잇기 때문에, 이 분야 사업을 준비하는 기업들도 면밀한 검토와 대응이 필요 함

 

- 사람을 직접 대상으로 하지 않는 비즈니스를 영위하는 기업이라도 자신들의 데이터가 개인정보와 연관될 관련성에 대한 검토가 필요함

 

- 개인정보 데이터와 무관하더라도 IoT 데이터의 분석을 통해 얼마든지 개인정보를 유추할 수 있는 가능성이 있기 때문에, 사업을 하려면 GDPR 규정은 무조건 준수해야 한다는 입장을 견지하는 것이 필요함

저작자표시 비영리 변경금지

'IT 와 Social 이야기' 카테고리의 다른 글

[US-CERT: Bulletin(SB18-155)] 2018년 5월 28일까지 발표된 보안 취약점  (0) 2018.06.12
[KB지식비타민] '내가 생산하는 경제' 미코노미 Meconomy - 서정주 선임연구원  (0) 2018.06.11
[IITP] 진화하는 가치플랫폼, 블록체인 3.0 - 박지영 한국예탁결제원 차장  (0) 2018.06.07
[IITP] 서비스업에 종사하는 로봇의 세계  (0) 2018.06.07
[US-CERT: Bulletin(SB18-148)] 2018년 5월 21일까지 발표된 보안 취약점  (0) 2018.06.04

관련글

티스토리툴바