GDPR.
GDPR이란 유럽 연합[EU]의 개인정보 보호를 위한 공통법으로 개인정보,신용카드,금융 및 의료 정보 등의 주요 데이터가 저장되거나 전송되는 위치 및 방법,정보에 접근할 시 적용되는 정책 또는 감사에 대한 관리감독을 요구한다.EU내 기업 뿐만 아니라 미국 및 기타 국가의 기업까지 세계적으로 확대 적용되어,EU 국가에서 비즈니스를 하거나 EU기업과 비즈니스를 하는 모든 기업에게 적용되기 때문에 국내 기업에게도 영향을 미친다.정식 시행일은 2018년 5월 25일이다.
EU에서는 1995년부터 개인정보 보호를 위한 EU 개인정보 보호지침[Directive 95/46/EC]를 시행하고 있었다.2016년 4월 14일 대체하는 GDPR이 유럽의회로부텉 승인이 된 상태인 것이다.GDPR은 이전 Directive보다 강화된 Regulation으로 시행이 된다.
Directive => EU 회원 국가들에게 목표를 정해주고 각 국가에서 자체 법률을 만들어,목표를 달성하도록 하는 비교적 자유로운 법.
Regulation => EU 회원 국가들이 무조건 적용해야 하는 법,비교적 강화된 법.
적용대상은 EU내 법인이 아니더라도 정보를 다루는 기업까지 확대되었고, 개인정보의 정의는 IP주소,쿠키,시리얼 넘버 등 온라인 식별자까지 적용되었다.위반 시 처벌 수위는 최대 직전 회계 연도 전세계 매출의 4% or 2천만 유로까지 높아져 처벌 부분만 봐도 기존 법보다 많이 강화된 것을 알 수 있다.
GDPR 체계도.
[출처: http://www.certit.kr/?p=1609]
7가지 주요 이행 규칙.
1.동의 획득 => 개인정보가 어떻게 이용되고 처리될 것인지에 대한 약관이 사용자가 이해하기 쉽게 명시되어야 하며, 개인정보가 새로이 이용될 때마다 사용 동의를 획득해야 한다. 또한 사용자는 개인정보 이용 동의를 언제든지 철회할 수 있다.
2.위반 통보 => 사업체가 동 규정을 위반했을 경우 반드시 72시간 내에 감독 당국에 유출 사실을 통보해야 한다.유출 내용이 개인의 사생활,권리 또는 정당한 이익에 영향을 미칠 가능성이 있는 경우 정보 주체에게 알려야 한다.또한 조직에서 발생한 데이터 유출에 대한 내부 기록을 유지해야 한다.
3.개인 정보, 접근 권한 => 사용자는 사업자가 자신의 개인정보를 어떻게 처리하고 이용하는지 알 권리가 있으며, 사업체는 사용자가 원한다면 개인정보 처리 내역을 제공해야 할 의무가 있다.
4.잊혀질 권리 => 사용자는 언제든지 사업체에게 자신의 개인정보 삭제 및 이용중치 요청을 할 수 있다.
5.정보 이동성 => 사용자에게는 사업체에게 자신의 개인정보 복사를 요청하여 비슷한 서비스를 제공하는 다른 사업체에게 이동할 수 있는 권리가 있다.
6.프라이버시 중심 디자인 => 사업체는 서비스나 제품을 개발할 때 처음부터 정보보호 기능, 장치를 최우선시 해야 하며, 서비스,제품 개발 후 정보보호 기능,장치를 덧입히는 방식을 이용할 수 있다.
7.정보보안책임자(DPO) => 개인정보를 다루는 모든 사업체는 정보보안책임자를 선임해야 한다.
KISA에서는 GDPR 시행에 따른 주요 변화,GDPR 인식 제고 준비,기업책임성 강화,정보주체 권리 강화 등을 반영한 GDPR 1차 가이드라인을 발표했다.
GDPR 준수는 인식 활동에서 시작한다.개인정보를 처리 원칙과 이를 입증하는 책임성 원칙을 증명하면서 마무리되는 과정이다.개인정보보호 활동을 이끌어갈 DPO[Data Protection Officer]를 지정해 확인된 차이 분석을 반영해 필요한 액션 플랜을 수립,이행하는 한편 책임성 원칙에 따라 입증 책임을 증명할 방안을 마련해야 한다.
[출처: KISA]
GDPR을 준수하기 위해서는 상시 모니터링 체계가 필요하다.먼저 보유대상 개인정보의 유형을 파악하는 것이 중요하다.이를 문서화해 유지하고 민감정보와 고위험 개인정보는 위험수준에 대한 세밀한 평가를 수행해야 한다.
대한민국은 개인정보보호법,정보통신망법에서 개인정보 처리 6대 원칙을 마련하고 있지만 선언적 내용에 그치고 있다.반면에 GDPR에서는 문제 발생시 원칙을 준수했는지 이를 활동과 관련 문서, 기록을 갖고 있는지에 따라 처벌 수위가 결정될 것이다. 즉 개인정보 처리 원칙은 선언이 아니라 구체적으로 준수해야 하는 의무라고 볼 수 있다.
[출처:http://techm.kr/bbs/board.php?bo_table=article&wr_id=4464]
기업 책임성 강화를 위해서는 설계단계부터의 프라이버서 보호 내재화,DPO 임명,개인정보영향평가(DPIA),개인정보 국외 이전, 선임 감독 기구 파악이 필요하다.
핵심이 되는 건 설계단계부터 프라이버서 보호를 내재화하는 규정은 대한민국 개인정보보호법에서는 빠져있는 부분이다.이를 위해 개발 절차내 적합한 기술,관리 조치를 채택해야 한다.개인정보 처리를 위한 최신 기술을 고려하고 개인정보는 반드시 필요한 범위에서 최소한으로 수집처리되도록 해야 한다.
[출처: KISA]
GDPR에서는 공공기관,단체가 개인정보를 처리하는 경우, 프로세서의 핵심 활동이 정보주체에 대한 대규모로 정기적,체계적으로 모니터링을 요구하거나 대규모 민감 정보 또는 범죄 경력 연관 정보를 처리하는 경우에 DPO를 의무적으로 지정해야 한다.
국내 기업이 GDPR을 현장 적용할 때 궁금중을 가져야 하는 부분은 GDPR 적용 범위,GDPR의 주요 개념, 개인정보 위탁자와 수탁자 간 역할 및 관계, 개인정보 국외 이전 등에 대해 대비를 해야 한다.
Related Link => http://techm.kr/bbs/board.php?bo_table=article&wr_id=4464
'#Security' 카테고리의 다른 글
| TLS & WTLS. (0) | 2018.05.30 |
|---|---|
| Google Chrome Removes HTTPS Site "Safe" Mark. (0) | 2018.05.30 |
| ISO 27001. (0) | 2018.05.29 |
| ISMS + PIMS. (0) | 2018.05.29 |
| PIPL. (0) | 2018.05.28 |
