세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
다음 달부터 시행되는 GDPR, 초간단 요약
  |  입력 : 2018-04-14 14:33
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
기본 데이터 보호 원칙, 데이터 주체, 관리자 책임만 알면 충분
데이터 주체들의 권리 행사, 비용 없이 한 달 안에 대응해줘야


[보안뉴스 문가용 기자] 현재 다음 달 시행될 GDPR은 온 세상을 공포에 떨게 만들고 있다. 그러나 찬찬히 들여다보면 그렇게까지 복잡하거나 무서운 것이 아니다. 다섯 가지 데이터 보안 원칙만 이해하고, 데이터 주체가 갖는 권리에 민감해지고, 데이터 제어에 관한 책임감만 있으면 오히려 GDPR 정도 가볍게 지킬 수 있게 된다. 그런 의미에서 GDPR의 요점을 아주 간략하게 정리해본다.

[이미지 = iclickart]


기본 데이터 보호 원칙
1) 사람과 관련된 데이터를 처리할 때는 반드시 법의 절차를 따라 합법적이고 공평하고 투명하게 해야 한다.
2) 데이터의 원주인이 인지하고 있는 바 그대로 데이터를 다뤄야 한다.
3) 사업을 운영하는 데에 필요한 만큼의 데이터만을 가지고 있어야 한다.
4) 보유하고 있는 데이터는 항상 정확해야 하며, 필요한 기간만큼만 보유할 수 있다.
5) 필요 없는 데이터라면 반드시 삭제하고, 가지고 있는 데이터는 적절하게 보호해야 한다.

이를 좀 더 짧게 요약하면 다음과 같다. “기업은 최소한의 데이터만을 필요한 기간 동안만 가지고 있고, 가지고 있는 동안에는 정확하고 안전하게 지켜야 한다.”

데이터 주체의 권리
1) 데이터 주체들은 기업이 그 데이터를 가지고 무엇을 할 계획인지 알 권리가 있다.
2) 데이터 두체들은 기업이 가지고 있는 자신들의 혹은 자신들에 관한 데이터의 복사본을 항시 요청할 수 있고 제공 받을 권리가 있다.
3) 데이터 주체들은 기업이 자신의 데이터를 가지고 있어야 할 당위성과 보유 기간을 질문할 수 있고 답을 들을 권리가 있다.

4) 기업이 보유하고 있는 데이터가 올바르지 않거나 부정확하다면 데이터 주체는 정정 요청을 할 수 있으며, 기업은 이를 최대한 빨리 수정해야 한다.
5) 데이터 주체들은 기업에 데이터 삭제를 요청할 수 있다(잊힐 권리). 그러나 이 부분은 절대적인 권리까지는 아니다. 예를 들어 대출을 받은 은행 고객이 대출 관련 기록을 은행에 삭제해달라고 요청할 수는 없다.

6) 데이터 주체들에게는 데이터 이동권이 있다. 기업은 이들에게 ‘기기로 읽을 수 있는 형태’로 정보를 제공해야 한다는 것이다. 무슨 뜻일까? 예를 들어 온라인 슈퍼마켓의 경우 고객이 선호하는 제품의 정보를 가지고 있거나, ‘찜한 제품’들이 장바구니에 담겨있을 수 있다. 그런데 그 고객이 다른 온라인 마켓을 사용하려고 할 때, 그러나 자신의 선호도 설정이나 제품 ‘찜하기’를 처음부터 다시 하기 귀찮을 때, 원래의 슈퍼마켓 업자에게 ‘내 쇼핑 관련 데이터를 다른 슈퍼마켓 업자에게 제공하시오’라고 요청할 수 있다는 것이다.

7) 데이터 주체들은 데이터 처리 방식에 이의를 제기하거나 거부권을 행사할 수 있다.
8) 데이터 주체들은 데이터 자동 처리 결과로 인해 실질적인 영향을 받지 않을 권리가 있다. 예를 들어 컴퓨터 기기가 자동화 기술로서 대출 신청을 거절하거나 신용등급을 낮게 처리했다면 “사람에 의한 검토를 다시 요청”할 수 있다는 것이다.
9) 기업은 위 권리 이행에 있어 데이터 주체에게 비용을 청구할 수 없다. 그리고 1달 이내에 대응해야 한다.

데이터 제어 주체의 책임
1) 기업은 정책 준수에 대한 책임이 있다. 적절한 거버넌스 구조와 정책을 보유하고 있어야 하며, 이를 항시 지켜야 한다.
2) 기업은 데이터 보호 및 프라이버시 중심 디자인(privacy by design)을 도입해야 한다.
3) 특정 유형 혹은 규모의 기업 중 유럽연합과 공식적인 관계가 수립되지 않은 곳이라면 유럽연합 대변인을 지정해야 한다.

4) 데이터 처리를 위한 서드파티를 임명할 때 상당한 주의를 기울여야 한다. 그리고 올바른 계약서를 작성해야 한다.
5) 직원 수가 250명 이상이거나 특정 유형의 데이터를 보유하고 있다면, 처리 과정에 대한 기록을 남겨야 하며, 규제기관이 요청할 때 언제라도 제공할 수 있어야 한다.
6) 유출 사고가 일어났을 때 지역 규제기관에 72시간 내에 알려야 한다. 위협 수준이 높다면 데이터 주체에도 알려야 한다.
7) 데이터 제어자는 규모와 다루는 데이터 유형에 따라 DPO를 임명해야 한다.

글 : 존 엘리엇(John Elliott), easyJet

[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
위즈디엔에스 2018WD 파워비즈 2017-0305 시작
설문조사
7월은 정보보호의 달, 7월 둘째 주 수요일은 정보보호의 날로 지정된 상태입니다. 정보보호의 달과 날짜가 특정되지 않은 ‘정보보호의 날’의 변경 필요성에 대해서는 어떤 견해를 갖고 계신지요?
정보보호의 날(달) 모두 현행 유지
정보보호의 달은 현행대로, 정보보호의 날은 7월 7일로
1.25 인터넷대란, 카드사 사태 발생한 1월, 정보보호의 달(날)로
매월 매일이 정보보호의 달(날), 기념일 폐지해야
기타(댓글로)