GDPR 준수 체크리스트 - IBM 블로그

일반 데이터 보호 규정(GDPR)은 조직이 데이터를 수집하고 사용하는 방법을 규제하는 유럽 연합(EU) 법률입니다. 개인 정보. EU에서 운영되거나 EU 거주자의 데이터를 처리하는 모든 회사는 GDPR 요구 사항을 준수해야 합니다.

그러나 GDPR 준수가 반드시 간단한 문제는 아닙니다. 법은 다음과 같은 사항을 명시하고 있습니다. 데이터 프라이버시 사용자의 권리와 개인 데이터 처리에 대한 일련의 원칙. 조직은 이러한 권리와 원칙을 옹호해야 하지만 GDPR은 각 회사가 방법을 결정할 여지를 남겨둡니다.

위험이 크며 GDPR은 규정을 준수하지 않을 경우 상당한 처벌을 부과합니다. 가장 심각한 위반은 최대 EUR 20,000,000 또는 해당 조직의 전년도 전 세계 매출액의 4%에 해당하는 벌금이 부과될 수 있습니다. GDPR 규제 기관은 불법 데이터 처리 활동을 종료하고 조직에 변경을 강요할 수도 있습니다.

아래 체크리스트는 핵심 GDPR 규정을 다루고 있습니다. 조직이 이러한 규정을 충족하는 방법은 수집하는 데이터의 종류와 해당 데이터를 사용하는 방법을 포함한 고유한 상황에 따라 달라집니다.

GDPR 기본 사항

GDPR은 유럽 경제 지역(EEA)에 기반을 둔 모든 조직에 적용됩니다. EEA에는 EU 회원국 27개국과 아이슬란드, 리히텐슈타인, 노르웨이가 모두 포함됩니다.

GDPR은 다음과 같은 경우 EEA 외부 조직에도 적용됩니다.

• 회사는 돈을 교환하지 않더라도 정기적으로 EEA 거주자에게 상품이나 서비스를 제공합니다.
• 회사는 추적 쿠키를 사용하는 등 EEA 거주자의 활동을 정기적으로 모니터링합니다.
• 회사는 EEA에 기반을 둔 회사를 대신하여 데이터를 처리합니다.

GDPR은 상업적 목적으로 고객 데이터를 사용하는 기업에만 적용되는 것이 아닙니다. 이는 어떤 목적으로든 EEA 거주자의 데이터를 처리하는 거의 모든 조직에 적용됩니다. 학교, 병원 및 정부 기관은 모두 GDPR 권한에 속합니다.

GDPR에서 면제되는 유일한 데이터 처리 활동은 국가 안보 또는 법 집행 활동과 순전히 개인적인 데이터 사용입니다.

유용한 정의

GDPR은 몇 가지 특정 용어를 사용합니다. 규정 준수 요구 사항을 이해하려면 조직은 이러한 맥락에서 이러한 용어가 의미하는 바를 이해해야 합니다.

GDPR은 다음과 같이 정의합니다. 개인 정보 식별 가능한 인간과 관련된 모든 정보. 이메일 주소부터 정치적 의견까지 모든 것이 개인 데이터로 간주됩니다.

A 데이터 주체 데이터의 주인은 인간이다. 다르게 말하면 데이터와 관련된 사람입니다. 회사에서 SMS를 통해 마케팅 메시지를 보내기 위해 전화번호를 수집한다고 가정해 보겠습니다. 해당 전화번호의 소유자는 데이터 주체입니다.

GDPR이 데이터 주체를 언급할 때 이는 EEA에 거주하는 데이터 주체를 의미합니다. GDPR에 따른 데이터 개인 정보 보호 권리를 갖기 위해 주체가 EU 시민일 필요는 없습니다. EEA 거주자만 있으면 됩니다.

A 데이터 컨트롤러 개인 데이터를 수집하고 해당 데이터의 사용 방법을 결정하는 조직, 그룹 또는 개인입니다. 이전 예로 돌아가서, 마케팅 목적으로 전화번호를 수집하는 회사는 컨트롤러가 됩니다. 

데이터 처리 수집, 저장 또는 분석을 포함하여 데이터에 수행되는 모든 작업입니다. ㅏ 데이터 프로세서 그러한 활동을 수행하는 조직이나 행위자입니다.

회사는 전화번호를 수집하고 이를 사용하여 마케팅 메시지를 보내는 것처럼 통제자이자 처리자가 될 수 있습니다. 또한 프로세서에는 다른 기업의 전화번호 데이터베이스를 호스팅하는 클라우드 스토리지 서비스와 같이 컨트롤러를 대신하여 데이터를 처리하는 제3자가 포함됩니다.

감독 당국 GDPR 요구 사항을 시행하는 규제 기관입니다. 각 EEA 국가에는 자체 감독 권한이 있습니다.

데이터 보안 및 보호 솔루션 살펴보기

GDPR 규정 준수 체크리스트

높은 수준에서 조직은 다음과 같은 경우 GDPR을 준수합니다.

• 데이터 처리 원칙을 준수합니다.
• 데이터 주체의 권리를 보호합니다.
• 적절한 데이터 보안 조치를 적용합니다.
• 데이터 전송 및 데이터 공유 규칙을 따릅니다.

다음 체크리스트는 이러한 요구 사항을 더욱 자세히 설명합니다. 조직이 이러한 요구 사항을 충족하기 위해 취하는 실제 단계는 무엇보다도 조직의 위치, 리소스, 데이터 처리 활동에 따라 달라집니다.

데이터 처리 원칙

GDPR은 조직이 개인 데이터를 처리할 때 따라야 하는 일련의 원칙을 만듭니다. 원칙은 다음과 같습니다.

조직은 데이터 처리에 대한 법적 근거를 가지고 있습니다.

GDPR은 기업이 개인 데이터를 합법적으로 처리할 수 있는 상황을 정의합니다. 조직은 데이터를 수집하기 전에 법적 근거를 확립하고 문서화해야 합니다. 조직은 데이터 수집 시점에 이 기반을 사용자에게 전달해야 합니다. 이용자의 동의가 없는 한 사후에 그 근거를 변경할 수 없습니다.

가능한 합법적 근거는 다음과 같습니다.

• 조직은 데이터 처리에 대한 주체의 동의를 얻습니다. 사용자 동의는 사전에 고지되고, 긍정적이며, 자유롭게 제공되는 경우에만 유효합니다.
  • 동의 회사가 어떤 데이터를 수집하고 있으며 해당 데이터를 어떻게 사용할 것인지 명확하게 설명한다는 의미입니다.
  • 긍정적인 동의 사용자가 동의를 표시하기 위해 진술서에 서명하거나 확인란을 선택하는 등 의도적인 조치를 취해야 함을 의미합니다. 동의는 기본 옵션이 될 수 없습니다.
  • 자유로운 동의 이는 회사가 정보주체에게 영향을 미치거나 강요하려고 시도하지 않는다는 것을 의미합니다. 피험자는 언제든지 동의를 철회할 수 있어야 합니다.

• 조직은 데이터를 처리할 법적 의무가 있습니다.

• 조직은 정보주체 또는 타인의 생명을 보호하기 위해 정보를 처리해야 합니다.

• 조직은 저널리즘이나 공중 보건 등 공익을 이유로 데이터를 처리하고 있습니다.

• 조직은 공식적인 기능을 수행하기 위해 데이터를 처리하는 공공 기관입니다.

• 조직은 정당한 이익을 추구하기 위해 데이터를 처리하고 있습니다.
  • A 정당한 이익 컨트롤러나 다른 당사자가 데이터를 처리함으로써 얻을 수 있는 이점입니다. 예를 들어 직원에 대한 배경 조사를 수행하거나 기업 네트워크에서 IP 주소를 추적하는 등의 작업이 포함됩니다. 사이버 보안 목적. 정당한 이익 근거를 주장하려면 조직은 처리가 필요하고 주체의 권리를 침해하지 않는다는 것을 입증해야 합니다. 

조직은 특정 목적을 위해 데이터를 수집하고 해당 목적으로만 사용합니다.

GDPR의 목적 제한 원칙에 따라 컨트롤러는 데이터 수집을 위해 식별되고 문서화된 목적을 가지고 있어야 합니다. 컨트롤러는 수집 시점에 이 목적을 사용자에게 전달해야 하며, 지정된 목적으로만 데이터를 사용할 수 있습니다.

조직은 필요한 최소한의 데이터만을 수집합니다.

컨트롤러는 명시된 목적을 달성하는 데 필요한 최소한의 데이터만 수집할 수 있습니다.

조직은 데이터를 정확하고 최신 상태로 유지합니다.

컨트롤러는 자신이 보유하고 있는 개인 데이터가 정확하고 최신인지 확인하기 위해 합리적인 조치를 취해야 합니다. 

조직은 더 이상 필요하지 않은 데이터를 삭제합니다.

GDPR은 엄격한 데이터 보존 및 삭제 정책을 요구합니다. 회사는 지정된 데이터 수집 목적이 달성될 때까지만 데이터를 보관할 수 있으며 더 이상 필요하지 않으면 데이터를 삭제해야 합니다.

조직은 아동 데이터 또는 특수 범주 데이터를 처리할 때 특별한 예방 조치를 취합니다.

컨트롤러와 프로세서는 특정 유형의 개인 데이터에 추가 보호 조치를 적용해야 합니다.

특별 카테고리 데이터에는 개인의 인종 및 생체 인식과 같은 매우 민감한 데이터가 포함됩니다. 조직은 심각한 공중 보건 위협을 예방하는 등 매우 제한된 상황에서만 특수 범주 데이터를 처리할 수 있습니다. 회사는 또한 주체의 명시적인 동의를 받아 특수 범주 데이터를 처리할 수도 있습니다.

범죄 유죄 판결 데이터 공공기관에 의해서만 통제될 수 있다. 처리자는 공공 기관의 지시에 따라서만 이 정보를 처리할 수 있습니다.

컨트롤러는 처리하기 전에 부모의 동의를 얻어야 합니다. 어린이 데이터. 그들은 피험자의 연령과 부모의 신원을 확인하기 위해 합리적인 조치를 취해야 합니다. 아동으로부터 데이터를 수집하는 경우 관리자는 아동에게 친숙한 언어로 개인정보 보호 고지를 제시해야 합니다.

각 EEA 주에서는 GDPR에 따라 "아동"에 대한 자체 정의를 설정합니다. 이는 "13세 미만의 모든 사람"부터 "16세 미만의 모든 사람"까지 다양합니다. 

조직은 모든 ​​데이터 처리 활동을 문서화합니다.

직원이 250명 이상인 조직은 데이터 처리 기록을 보관해야 합니다. 직원 수가 250명 미만인 조직은 매우 민감한 데이터를 처리하거나 정기적으로 데이터를 처리하거나 데이터 주체에게 상당한 위험을 초래하는 방식으로 데이터를 처리하는 경우 기록을 유지해야 합니다.

컨트롤러는 수집한 데이터, 해당 데이터로 수행하는 작업, 데이터 흐름 맵, 데이터 보호 조치 등을 문서화해야 합니다. 처리자는 자신이 작업하는 컨트롤러, 각 컨트롤러에 대해 수행하는 처리 유형 및 사용하는 보안 제어를 문서화해야 합니다.

컨트롤러는 규정 준수를 보장할 궁극적인 책임을 집니다. 

GDPR에 따라 규정 준수에 대한 궁극적인 책임은 데이터 관리자에게 있습니다. 이는 컨트롤러가 제3자 프로세서가 모든 관련 GDPR 요구 사항을 충족하는지 확인하고 증명할 수 있어야 함을 의미합니다. 

정보주체의 권리

GDPR은 데이터 주체에게 데이터에 대한 특정 권리를 부여합니다. 컨트롤러와 프로세서는 이러한 권리를 존중해야 합니다.

조직은 데이터 주체에게 자신의 권리를 행사할 수 있는 쉬운 방법을 제공합니다.

조직은 데이터 주체에게 자신의 데이터에 대한 권리를 주장할 수 있는 간단한 수단을 제공해야 합니다. 이러한 권리에는 다음이 포함됩니다.

• 접근 권한: 주체는 자신의 데이터 사본은 물론 회사가 데이터를 사용하는 방법에 대한 관련 정보를 요청하고 받을 수 있어야 합니다.

• 시정할 권리: 피험자는 자신의 데이터를 수정하거나 업데이트할 수 있어야 합니다.

• 삭제할 권리: 주체는 자신의 데이터 삭제를 요청할 수 있어야 합니다. 

• 처리를 제한할 권리: 피험자는 데이터가 부정확하거나 더 이상 필요하지 않거나 오용되고 있다고 의심되는 경우 데이터 사용 방법을 제한할 수 있어야 합니다. 

• 반대할 권리: 주체는 처리에 반대할 수 있어야 합니다. 이전에 동의한 주체는 언제든지 쉽게 동의를 철회할 수 있어야 합니다.

• 데이터 이식성에 대한 권리: 주체는 자신의 데이터를 전송할 권리가 있으며 컨트롤러와 프로세서는 이러한 전송을 촉진해야 합니다.

일반적으로 조직은 모든 ​​데이터 주체 액세스 요청에 30일 이내에 응답해야 합니다. 회사는 일반적으로 회사가 그렇게 하지 않을 수 있는 정당하고 최우선적인 이유가 있음을 입증할 수 없는 한 주체의 요청을 준수해야 합니다.

조직이 요청을 거부하는 경우 이유를 설명해야 합니다. 또한 조직은 회사의 데이터 보호 담당자 또는 관련 감독 기관에 결정에 대해 이의를 제기하는 방법을 주체에게 알려야 합니다.

조직은 데이터 주체에게 자동화된 결정에 이의를 제기할 수 있는 방법을 제공합니다.

GDPR에 따라 데이터 주체는 자신에게 중대한 영향을 미칠 수 있는 자동화된 의사 결정 프로세스에 구속되지 않을 권리가 있습니다. 여기에는 GDPR이 자동화를 사용하여 작업 성과 예측과 같은 개인의 일부 측면을 평가하는 것으로 정의하는 프로파일링이 포함됩니다.

조직이 자동화된 결정을 사용하는 경우 데이터 주체에게 그러한 결정에 이의를 제기할 수 있는 방법을 제공해야 합니다. 피험자는 인간 직원이 자신에게 영향을 미치는 자동화된 결정을 검토하도록 요청할 수도 있습니다.

조직은 개인 데이터를 어떻게 사용하는지 투명하게 공개합니다.

컨트롤러와 프로세서는 수집한 데이터, 이를 통해 수행하는 작업, 주체가 데이터에 대한 권리를 행사할 수 있는 방법 등 데이터 처리 활동에 대해 데이터 주체에게 적극적이고 명확하게 알려야 합니다.

이 정보는 일반적으로 데이터 수집 중에 피험자에게 제공되는 개인정보 보호정책을 통해 전달되어야 합니다. 회사가 주체로부터 직접 개인정보를 수집하지 않는 경우에는 1개월 이내에 해당 주체에게 개인정보 취급방침을 발송해야 합니다. 회사는 웹사이트에서 공개적으로 액세스할 수 있는 개인정보 보호정책에 이러한 세부정보를 포함할 수도 있습니다. 

데이터 개인정보 보호 및 보호 조치

GDPR은 컨트롤러와 프로세서가 개인 데이터의 오용을 방지하고 데이터 주체를 피해로부터 보호하기 위한 조치를 취할 것을 요구합니다.

조직은 적절한 사이버 보안 통제를 구현했습니다.

컨트롤러와 프로세서를 배포해야 함 보안 조치 개인 데이터의 기밀성과 무결성을 보호합니다. GDPR은 특별한 통제를 요구하지 않지만 기업이 기술적, 조직적 조치를 모두 채택해야 한다고 명시하고 있습니다.

기술적 조치 다음과 같은 기술 솔루션을 포함합니다. 신원 및 액세스 관리 (IAM) 플랫폼, 자동화된 백업 및 데이터 보안 도구. GDPR은 명시적으로 의무화하지 않지만 encrypting 데이터를 수집하는 경우 조직에서는 가능하면 가명화 및 익명화를 사용하는 것이 좋습니다.

조직적 조치 직원 교육 포함, 지속적인 위험 평가 기타 보안 정책 및 프로세스. 기업은 또한 새로운 시스템과 제품을 만들거나 구현할 때 설계 및 기본적으로 데이터 보호 원칙을 따라야 합니다.

조직은 필요에 따라 데이터 보호 영향 평가(DPIA)를 수행합니다.

기업이 주체의 권리에 큰 위험을 초래하는 방식으로 데이터를 처리하려는 경우 먼저 DPIA(데이터 보호 영향 평가)를 수행해야 합니다. DPIA를 유발할 수 있는 처리 유형에는 자동화된 프로파일링, 특수 범주의 개인 데이터에 대한 대규모 처리 등이 포함됩니다.

DPIA는 사용되는 데이터, 의도된 처리 및 처리 목적을 설명해야 합니다. 처리 위험과 이러한 위험을 완화하는 방법을 식별해야 합니다. 완화되지 않은 상당한 위험이 존재하는 경우 조직은 진행하기 전에 감독 기관과 상의해야 합니다.

필요한 경우 조직은 데이터 보호 책임자(DPO)를 임명했습니다.

대규모로 대상을 모니터링하거나 특정 범주의 데이터를 핵심 활동으로 처리하는 조직에서는 데이터 보호 책임자(DPO)를 임명해야 합니다. 모든 공공 기관도 DPO를 임명해야 합니다.

DPO는 조직이 GDPR을 준수하는지 확인할 책임이 있습니다. 주요 임무에는 데이터 보호 당국과의 조정, GDPR 요구 사항에 대해 조직에 조언 및 DPIA 감독이 포함됩니다.

DPO는 최고 경영진에게 직접 보고하는 독립적인 책임자여야 합니다. 조직은 직무 수행에 대해 DPO에 대해 보복할 수 없습니다.

데이터 위반이 발생하면 조직은 감독 당국과 데이터 주체에 알립니다.

조직은 가장 많은 것을 보고해야 합니다. 개인정보 침해 72시간 이내에 관련 감독 기관에 신고하세요. 위반이 데이터 주체에게 위험을 초래하는 경우 조직은 주체에게도 이를 알려야 합니다. 조직은 직접적인 의사소통이 불합리한 경우를 제외하고 주체에게 직접 통지해야 하며, 이 경우 공개 통지가 허용됩니다.

위반이 발생한 처리자는 과도한 지체 없이 관련 관리자에게 이를 통보해야 합니다.

EEA 외부에 위치한 경우 조직은 EEA에 대표자를 임명합니다.

EEA 거주자의 데이터를 정기적으로 처리하거나 특히 민감한 데이터를 처리하는 EEA 외부 회사는 EEA 내에 담당자를 임명해야 합니다. 담당자는 회사를 대신하여 정부 당국과 협력하고 GDPR 규정 준수 문제에 대한 연락 창구 역할을 합니다.

데이터 전송 및 데이터 공유

GDPR은 조직이 EEA 내부 및 외부의 다른 회사와 개인 데이터를 공유하는 방법에 대한 규칙을 설정합니다.

조직은 공식 데이터 처리 계약을 사용하여 처리자와의 관계를 관리합니다.

컨트롤러는 개인 데이터를 프로세서 및 기타 제3자와 공유할 수 있지만 이러한 관계는 공식적인 데이터 처리 계약에 따라 관리되어야 합니다. 이러한 계약에는 GDPR과 관련된 모든 당사자의 권리와 책임이 명시되어 있어야 합니다.

타사 프로세서는 컨트롤러의 지시에 따라서만 데이터를 처리할 수 있습니다. 그들은 자신의 목적을 위해 컨트롤러의 데이터를 사용할 수 없습니다. 프로세서는 하위 프로세서와 데이터를 공유하기 전에 컨트롤러의 승인을 받아야 합니다.

조직은 EEA 외부로 승인된 데이터 전송만 수행합니다.

컨트롤러는 데이터 전송이 다음 기준 중 하나 이상을 충족하는 경우에만 EEA 외부에 위치한 제3자와 데이터를 공유할 수 있습니다.

• 유럽연합 집행위원회는 제3자가 위치한 국가의 데이터 개인정보 보호법이 적절하다고 간주했습니다.
• 유럽연합 집행위원회는 제3자가 적절한 데이터 보호 정책과 통제권을 갖고 있다고 간주했습니다.
• 컨트롤러는 전송되는 데이터의 보안과 개인 정보 보호를 보장하는 데 필요한 모든 조치를 취했습니다.

GDPR 규정 준수 솔루션 살펴보기

GDPR 준수는 지속적인 프로세스이며 조직의 요구 사항은 새로운 데이터를 수집하고 새로운 종류의 처리 활동에 참여함에 따라 변경될 수 있습니다.

IBM Security® Guardium®과 같은 데이터 보안 및 규정 준수 솔루션은 GDPR 규정 준수 및 유지 관리 프로세스를 간소화하는 데 도움이 될 수 있습니다. Guardium은 GDPR 규제 데이터를 자동으로 검색하고, 해당 데이터에 대한 규정 준수 규칙을 시행하고, 데이터 사용량을 모니터링하고, 조직이 데이터 보안 위협에 대응할 수 있도록 지원합니다.

IBM의 데이터 보안 및 규정 준수 제품 제품군에 대해 자세히 알아보세요.