일반 데이터 보호 규정에 대한 통찰력

광고

GDPR은 유럽 연합이 제정한 새로운 규정 세트입니다. 개인의 개인정보 보호를 강조합니다. 이는 규제가 어떻게 개인의 사생활과 존엄성을 보호하고 이를 통해 개인과 관련된 “개인적”이라는 단어에 진정한 의미를 부여할 수 있는지 보여줍니다. GDPR은 주로 개인 데이터 위생에 중점을 두고 있으므로 이미 데이터 위생을 실천하고 있는 모든 조직은 이를 구현하는 데 큰 어려움을 겪지 않을 것입니다. 시장에는 GDPR 준수에 대한 찬반양론이 많습니다. 우리는 GDPR이 개인 데이터 보호에 대한 완전히 새로운 규정이 아니라는 점을 이해해야 합니다. 유럽에는 개인 데이터의 무결성을 항상 존중하고 해당 개인 데이터에 적절한 보안을 제공하는 DPA법과 같은 개인 데이터 보호에 대한 엄격한 법률이 있었습니다. GDPR은 기존 데이터 보호 법률보다 향상된 것이므로 이미 데이터 보호를 준수하고 있는 조직은 이러한 새로운 규정을 추가로 준수하는 데 큰 어려움을 겪지 않을 것입니다. GDPR의 폭에 대한 인식 부족으로 인해 시장은 많은 혼란과 혼란을 겪고 있습니다. 많은 컨설턴트는 GDPR의 처벌 조항을 더욱 홍보함으로써 이 사실을 포함하고 있습니다 법률사무원.

많은 조직에서는 GDPR이 IT 보안 시스템에 관한 것이라는 점을 이해하고 있으며 이는 GDPR에 대한 가장 일반적인 통념입니다. 실제로 GDPR은 IT 보안 시스템을 넘어 개인 데이터를 다루는 조직의 모든 부서와 관련되어 있습니다. 이는 개인 데이터를 다루는 조직 내 모든 프로세스, 통제와 관련됩니다. 일반 데이터 보호 규정은 암호화 사용을 의무화하지 않습니다. 조직이 암호화를 사용하지 않기로 결정한 경우 고객 개인 데이터를 보호하기 위해 어떤 대체 메커니즘을 사용할 계획인지 입증해야 합니다. GDPR은 암호화를 요구하지 않지만 대부분의 조직에서는 이것이 업계 최고의 관행으로 간주되고 데이터 암호화가 다른 규정 준수에도 규정되어 있기 때문에 데이터 암호화를 요구합니다. 따라서 현재 시장에는 데이터 암호화에 대한 큰 논란이 있습니다. 따라서 SaaS 기반 산업은 GDPR에 따라 의무화되지는 않더라도 현재 시장에서 수요가 있기 때문에 저장 및 전송 중인 데이터의 암호화를 준수해야 합니다.

GDPR은 개인으로부터 개인정보를 얻기 전에 동의를 얻어야 할 의무를 구체적으로 규정하고 있습니다. 개인의 동의를 얻으려면 링크를 제공해야 합니다. 링크를 통해 개인정보 보호정책을 숙독하고 자신의 정보가 어떻게 사용되는지, 정보가 어떤 목적으로 사용되는지 이해할 수 있습니다. 그러한 동의는 클릭을 통한 메커니즘을 통해 제공되어야 하며, 회사는 조직이 획득한 개인의 구체적인 동의를 입증하기 위해 해당 동의 로그를 보관할 수 있습니다. 개인정보를 획득하는 기업은 개인이 삭제를 요청하는 경우 개인정보를 삭제할 수 있는 적절한 메커니즘을 갖추어야 하며, 삭제에는 잊혀질 권리가 포함됩니다. 개인이 개인 정보 삭제를 요청하는 경우 회사는 해당 요청을 존중하고 해당 개인의 특정 개인 정보를 삭제해야 하며, 회사는 또한 해당 거래가 추적되지 않도록 웹 브라우저에 있는 모든 쿠키를 삭제 및/또는 제거해야 합니다.

GDPR은 개인 정보를 수집하는 회사에 대해 매우 엄격한 규정 준수를 규정합니다. 현재는 다양한 조직에서 획득하는 개인 정보의 양과 유형을 기반으로 하는 서로 다른 규정 준수 세트가 없습니다. 이름, 이메일 ID와 같은 기본적인 개인 정보만 획득해야 하는 모든 회사는 막대한 양의 개인 정보를 획득하는 다른 회사가 따라야 할 수 있으므로 GDPR의 모든 엄격한 규정을 준수해야 합니다. 앞으로 몇 년 동안 우리는 기본적인 개인 정보만 획득하고 대량의 개인 정보를 획득할 필요가 없는 조직에 대해 일부 완화가 이루어져야 한다고 기대합니다. 향후 몇 년 동안 GDPR 규정과 그 시행은 다양한 국가에서 준수될 것입니다. 개인의 개인정보 보호에 뒤처져 있는 국가는 다양합니다. 일부 국가에서는 개인의 개인정보가 노골적으로 획득되고 오용되고 있습니다. 어떤 쇼핑몰에 가도 청구서를 지불하기 위해 휴대폰 번호를 제공하라고 요청할 것입니다. 개인 정보를 안전하게 유지하기 위한 규정이 없기 때문에 휴대폰 번호로 무엇을 할지 결코 알 수 없습니다. GDPR과 같은 규정은 개인 정보를 보호하기 위한 것이므로 상업적 이익을 위해 개인의 개인 정보를 획득하는 모든 기업에는 해당 개인 정보를 안전하게 유지할 사회적 책임이 있습니다. GDPR을 시행하는 동안 확립될 선례는 다른 국가에서 면밀히 모니터링됩니다. 따라서 다른 국가에서도 향후 GDPR에 의해 설정될 선례를 기반으로 유사한 규정을 채택할 것으로 예상됩니다.

이 규정에 대한 추가 지침이 계속 나올 예정이므로 이 규정의 일부 요구 사항은 한동안 구현하기 어려울 수 있습니다. 그러나 기업은 사전 예방적인 접근 방식을 취하고 너무 늦게 떠나지 않는 것이 중요합니다. GDPR은 개인 데이터 식별을 규정하지만 일부 업계에서는 이 단계가 매우 번거로울 수 있습니다. 데이터를 암호화된 형식으로 저장하고 해당 데이터를 해독할 필요가 없는 업계에서는 이러한 상황에서 해당 업계가 나머지 데이터에서 개인 데이터를 식별할 것이라고 기대할 수 없기 때문입니다. 이러한 산업의 경우 유일한 옵션은 전체 데이터를 GDPR에 따라 식별된 개인 데이터에 제공했던 것과 동일한 수준의 보호 및 규정 준수로 처리하는 것입니다. 그러나 개인 데이터가 식별되지 않으면 이러한 산업은 GDPR의 다른 요구 사항을 준수할 수 없습니다. 실제로 데이터 처리자가 수신하는 전체 데이터 세트에서 모든 개인 데이터를 식별하는 것은 현실적으로 불가능합니다. 예를 들어, 다른 조직/고객으로부터 계약 저장소로 막대한 양의 데이터를 수신하여 클라우드 모델에 저장하는 산업에서는 해당 산업이 조직/고객의 모든 계약을 확인하여 개인 데이터를 식별할 것이라고 기대할 수 없습니다. 이는 특히 클라우드 서비스 제공업체가 엄청난 양의 계약 데이터를 암호화된 형식으로 저장해야 하고 해당 데이터를 해독할 필요가 없는 시나리오에서는 실현 가능하지 않습니다.

GDPR은 개별 사례의 상황에 따라 최대 EUR 20,000,000 또는 전 세계 총 매출액의 4% 또는 두 가지 모두에 대한 벌금 부과와 같이 준수하지 않는 기업에 큰 영향을 미칠 수 있습니다. GDPR은 본질적으로 데이터 처리 문화의 신뢰와 변화에 관한 것입니다. 따라서 주어진 상황에서 기업은 고객과의 신뢰를 구축하고 신뢰를 유지하기 위해 GDPR 준수를 입증해야 합니다.

조헵 아민(Zoheb Amin) 법률 고문