일반 데이터 보호 규정(GDPR) 시행 방법
유럽 연합의 대표적인 데이터 보호 법안인 일반 데이터 보호 규정(GDPR)은 2018년에 발효되었습니다. 그러나 많은 조직이 여전히 규정 준수 요구 사항을 충족하는 데 어려움을 겪고 있으며 EU 데이터 보호 당국은 주저하지 않고 벌금을 부과하고 있습니다.
세계 최대 규모의 기업조차도 GDPR 문제에서 자유롭지 않습니다. 아일랜드 규제 기관은 2023년에 Meta에 12억 유로의 벌금을 부과했습니다(ibm.com 외부 링크). 이탈리아 당국은 의심스러운 규정 위반을 이유로 OpenAI(ibm.com 외부 링크)를 조사하고 있으며, 심지어 ChatGPT를 일시적으로 금지하기까지 했습니다.
법이 복잡할 뿐만 아니라 많은 부분이 재량에 맡겨져 있기 때문에 많은 기업이 GDPR 요건을 이행하는 데 어려움을 겪고 있습니다. GDPR은 유럽 내외의 조직이 EU 거주자의 개인 데이터를 처리하는 방법에 대한 일련의 규칙을 제시합니다. 그러나 비즈니스가 이러한 규칙을 제정하는 방식에는 어느 정도의 재량권이 주어집니다.
GDPR을 완벽하게 준수하기 위한 조직의 계획의 세부 사항은 조직이 수집하는 데이터와 해당 데이터로 수행하는 작업에 따라 달라질 수 있습니다. 하지만 모든 기업이 GDPR을 이행할 때 취할 수 있는 몇 가지 핵심 단계가 있습니다.
- 개인 데이터 재고 관리
- 특수 카테고리 데이터 식별 및 보호
- 데이터 처리 활동 감사
- 사용자 동의 양식 업데이트
- 기록 보관 시스템 구축
- 규정 준수 책임자 지정
- 데이터 개인정보 보호정책 초안 작성
- 타사 파트너의 규정 준수 보장
- 데이터 보호 영향 평가 프로세스 구축
- 데이터 유출 대응 계획 구현
- 데이터 주체가 쉽게 권리를 행사할 수 있도록 지원
- 정보 보안 조치 배포
GDPR은 조직의 소재지에 관계없이 유럽 거주자의 개인 데이터를 처리하는 모든 조직에 적용됩니다. 상호 연결되고 국제적인 디지털 경제의 특성을 고려할 때, 오늘날 많은 기업, 어쩌면 대부분의 기업이 여기에 포함됩니다. GDPR의 적용 범위에 속하지 않는 조직도 데이터 보호를 강화하기 위해 이 요건을 채택할 수 있습니다.
보다 구체적으로, GDPR은 유럽 경제 지역(EEA)에 기반을 둔 모든 데이터 제어자 및 데이터 처리자에 적용됩니다. EEA에는 27개 EU 회원국과 아이슬란드, 리히텐슈타인, 노르웨이가 모두 포함됩니다.
데이터 제어자는 개인 데이터를 수집하고 사용 방법을 결정하는 모든 조직, 그룹 또는 개인입니다. 주문 업데이트를 보내기 위해 고객의 이메일 주소를 저장하는 온라인 소매업체를 생각해 보세요.
데이터 처리자는 데이터 처리 활동을 수행하는 모든 조직 또는 그룹입니다. GDPR은 데이터를 저장, 분석, 변경하는 등 데이터에 대해 수행하는 모든 작업을 “처리”라고 광범위하게 정의합니다. 처리자에는 관리자를 대신하여 개인 데이터를 처리하는 제3자(예: 사용자 데이터를 분석하여 기업의 주요 고객 인구 통계를 파악하는 데 도움을 주는 마케팅 회사)가 포함됩니다.
다음 조건 중 하나 이상을 충족하는 경우 EEA 외부에 위치한 제어자 및 처리자에게도 GDPR이 적용됩니다.
- 돈이 오가지 않더라도 기업이 EEA 거주자에게 정기적으로 상품과 서비스를 제공합니다.
- 기업이 추적 쿠키를 사용하는 등의 방식으로 EEA 거주자의 활동을 정기적으로 모니터링합니다.
- 기업은 EEA에 기반을 둔 제어자를 대신하여 개인 데이터를 처리합니다.
- 이 회사는 EEA에 직원을 두고 있습니다.
GDPR의 적용 범위에 대해 주목할 만한 몇 가지 사항이 더 있습니다. 첫째, 이는 GDPR 용어로 데이터 주체라고도 하는 자연인의 개인 데이터에만 해당됩니다. 자연인이란 살아있는 인간을 말합니다. GDPR은 법인이나 사망자와 같은 법인의 데이터는 보호하지 않습니다.
둘째, GDPR 보호를 받기 위해 EU 시민이 될 필요는 없습니다. EEA에 정식으로 거주하기만 하면 됩니다.
마지막으로, 상업, 학술, 정부 및 기타 목적으로 개인 데이터를 처리할 때 GDPR을 반드시 준수해야 합니다. 기업, 병원, 학교, 공공 기관은 모두 GDPR의 규제 대상입니다. GDPR의 규제가 적용되지 않는 유일한 처리 활동은 국가 안보 및 법 집행 활동과 순전히 개인적인 용도로 데이터를 사용하는 것 뿐입니다.
만능의 GDPR 준수 계획 같은 것은 없지만, 조직이 GDPR 시행 노력을 안내하는 데 사용할 수 있는 몇 가지 기본 관행이 있습니다.
GDPR의 주요 요구 사항 목록은 GDPR 준수 체크리스트를 참조하세요.
개인 데이터 재고 관리
GDPR에서 명시적으로 데이터 재고를 요구하지는 않지만, 많은 조직에서 두 가지 이유로 데이터 재고를 시작합니다. 첫째, 회사가 보유하고 있는 데이터와 처리 방법을 알면 조직이 규정 준수 부담을 더 잘 이해하는 데 도움이 됩니다. 예를 들어, 사용자 건강 데이터를 수집하는 기업은 이메일 주소만 수집하는 기업보다 더 강력한 보호가 필요합니다.
둘째, 포괄적인 재고를 통해 데이터를 공유, 업데이트 또는 삭제하려는 사용자 요청을 더 쉽게 해결할 수 있습니다.
데이터 재고에는 다음과 같은 세부 정보를 기록할 수 있습니다.
- 수집되는 데이터 유형(사용자 이름, 인터넷 사용 기록)
- 데이터 집단(고객, 직원, 학생)
- 데이터 수집 방법(이벤트 등록, 랜딩 페이지)
- 데이터 저장 위치(온프레미스 서버, 클라우드 서비스)
- 데이터 수집 목적(마케팅 캠페인, 행동 분석)
- 데이터 처리 방법(자동 채점, 집계)
- 데이터에 액세스할 수 있는 사람(직원, 공급업체)
- 기존 보호 장치(암호화, 다중 인증)
조직의 네트워크 전반에 걸쳐 다양한 워크플로, 데이터베이스, 엔드포인트, 심지어 섀도우 IT 자산에 분산되어 있는 개인 데이터를 추적하는 것은 어려울 수 있습니다. 데이터 재고를 더 쉽게 관리하기 위해 조직은 데이터를 자동으로 검색하고 분류하는 데이터 보호 솔루션의 사용을 고려할 수 있습니다.
특수 카테고리 데이터 식별 및 보호
데이터 재고를 작성할 때 조직은 추가 보호가 필요한 특히 민감한 데이터를 기록해 두어야 합니다. GDPR은 특히 특수 카테고리 데이터, 범죄 유죄 판결 데이터, 아동 데이터 등 세 가지 유형의 데이터에 대해 추가 예방 조치를 의무화하고 있습니다.
- 특수 카테고리 데이터에는 생체 인식, 건강 기록, 인종, 민족 및 기타 매우 개인적인 정보가 포함됩니다. 조직은 일반적으로 특수 카테고리 데이터를 처리하려면 사용자의 명시적인 동의가 필요합니다.
- 범죄 유죄 판결 데이터는 공공 기관에 의해서만 통제되며 그 지시에 따라서만 처리될 수 있습니다.
- 아동 데이터는 부모의 동의 없이는 처리할 수 없으며, 조직은 데이터 주체의 연령과 부모의 신원을 확인할 수 있는 메커니즘이 필요합니다. 각 EEA 국가는 GDPR에 따라 '아동'에 대한 정의를 자체적으로 정합니다. 기준은 13세 미만부터 16세 미만까지 다양합니다. 기업은 이러한 다양한 정의를 준수할 준비가 되어 있어야 합니다.
데이터 처리 활동 감사
데이터 재고 작성 중에 조직은 데이터가 수행하는 모든 처리 작업을 기록합니다. 그런 다음 조직은 이러한 작업이 GDPR 처리 규칙을 준수하는지 확인해야 합니다. 가장 중요한 GDPR 원칙은 다음과 같습니다.
- 모든 처리에는 확립된 법적 근거 필요: 데이터 처리는 조직에 해당 처리에 대한 승인된 법적 근거가 있는 경우에만 허용됩니다. 일반적인 법적 근거에는 사용자 동의 얻기, 사용자와의 계약을 이행하기 위한 데이터 처리, 공익을 위한 데이터 처리가 포함됩니다. 조직은 시작하기 전에 모든 처리 작업에 대한 법적 근거를 문서화해야 합니다.
승인된 법적 근거의 전체 목록을 보려면 GDPR 준수 페이지를 참조하세요.
- 목적 제한: 데이터는 구체적으로 정의된 목적을 위해 수집 및 사용되어야 합니다.
- 데이터 최소화: 조직은 지정된 목적에 필요한 최소한의 데이터만 수집해야 합니다.
- 정확성: 조직은 수집하는 데이터가 정확하고 최신인지 확인해야 합니다.
- 저장 제한: 조직은 목적이 달성되면 즉시 데이터를 안전하게 폐기해야 합니다.
GDPR 처리 원칙의 전체 목록은 GDPR 준수 체크리스트를 참조하세요.
사용자 동의 양식 업데이트
사용자 동의는 처리를 위한 일반적인 법적 근거입니다. 그러나 GDPR에 따르면 동의는 정보에 입각하고, 긍정적이며, 자유롭게 이루어진 경우에만 유효합니다. 조직은 이러한 요구 사항을 충족하기 위해 동의 양식을 업데이트해야 할 수 있습니다.
- 조직은 정보에 근거한 동의를 확보하려면 데이터 수집 시점에서 어떤 정보를 수집하는지 그리고 그 데이터를 어떻게 사용할 것인지 명확하게 밝혀야 합니다.
- 동의를 확실히 받으려면 조직은 사용자가 적극적으로 확인란을 선택하거나 서명하여 동의를 표시하는 옵트인 방식을 채택해야 합니다. 동의서는 번들로 묶을 수 없습니다. 사용자는 각 처리 활동에 개별적으로 동의해야 합니다.
- 자유로운 동의를 보장하기 위해 조직은 서비스에 진정으로 필수적인 데이터 처리 활동에 대해서만 동의를 요구할 수 있습니다. 다시 말해, 기업은 티셔츠를 구매하기 위해 사용자에게 정치적 의견을 공개하도록 강요할 수 없습니다. 사용자는 언제든지 동의를 철회할 수 있어야 합니다.
기록 보관 시스템 구축
직원 수가 250명 이상인 조직과 데이터를 정기적으로 처리하거나 고위험 데이터를 처리하는 모든 규모의 기업은 처리 활동에 대한 서면 전자 기록을 보관해야 합니다.
그러나 모든 조직은 이러한 기록을 유지하기를 원할 수 있습니다. 이는 개인정보 보호 및 보안 노력을 추적하는 데 도움이 될 뿐만 아니라 감사 또는 위반이 발생하는 경우 규정 준수를 입증할 수도 있기 때문입니다. 기업은 규정 준수를 위해 선의의 노력을 기울였다는 것을 입증할 수 있다면 처벌을 줄이거나 피할 수 있습니다.
데이터 제어자는 GDPR에 따라 파트너 및 공급업체의 규정 준수에 대한 책임을 지기 때문에 특히 견고한 기록을 유지하기를 원할 수 있습니다.
GDPR 규정 준수 리드 지정
특수 카테고리 데이터를 정기적으로 처리하거나 대규모로 정보 주체를 모니터링하는 모든 공공 기관과 조직은 데이터 보호 책임자(DPO)를 지정해야 합니다. DPO는 GDPR 준수를 담당하는 독립적인 기업 책임자입니다. 일반적인 책임에는 위험 평가 감독, 데이터 보호 원칙에 대한 직원 교육, 정부 당국과의 협력 등이 포함됩니다.
DPO 임명이 필수인 조직은 일부에 불과하지만, 모든 조직이 이를 고려해 볼 필요가 있습니다. GDPR 규정 준수 책임자를 지정하면 구현 과정을 간소화하는 데 도움이 됩니다.
DPO는 기업의 직원이거나 계약에 따라 서비스를 제공하는 외부 컨설턴트일 수 있습니다. DPO는 최고 경영진에게 직접 보고해야 합니다. 회사는 DPO가 직무를 수행한 것에 대해 보복할 수 없습니다.
EEA 외부의 조직이 EEA 거주자의 데이터를 정기적으로 처리하거나 매우 민감한 데이터를 취급하는 경우 EEA 내 대리인을 지정해야 합니다. EEA 대리인의 주요 임무는 조사 중에 회사를 대신하여 데이터 보호 당국과 협력하는 것입니다. 대리인은 직원, 계열사 또는 고용된 서비스일 수 있습니다.
DPO와 EEA 대리인은 서로 다른 책임이 있는 서로 다른 역할입니다. 특히, 대리인은 조직의 지시에 따라 행동하는 반면, DPO는 독립적인 임원이어야 합니다. 조직은 동일한 당사자(ibm.com 외부 링크)를 DPO와 EEA 대리인으로 임명할 수 없습니다.
조직이 여러 EEA 국가에서 운영되는 경우 주요 감독 기관을 지정해야 합니다. 주요 감독 기관은 유럽 전역에서 해당 회사의 GDPR 규정 준수를 감독하는 주요 데이터 보호 기관(DPA)입니다.
일반적으로 주요 감독 기관은 조직이 본사를 두고 있거나 핵심 처리 활동을 수행하는 회원국의 DPA입니다.
데이터 개인정보 보호정책 초안 작성
GDPR에 따라 조직은 사람들에게 데이터 사용 방법을 계속 알려야 합니다. 회사는 수집하는 정보, 보존 및 삭제 정책, 사용자 권한 및 기타 관련 세부 사항을 포함하여 처리 작업을 명확하게 설명하는 개인정보 처리방침 초안을 작성하여 이 요건을 충족할 수 있습니다.
개인정보 처리방침은 누구나 이해할 수 있는 쉬운 용어를 사용해야 합니다. 어려운 전문 용어 뒤에 중요한 정보를 숨기면 GDPR을 위반할 수 있습니다. 조직은 데이터 수집 시점에 개인정보 처리방침을 공유하여 사용자가 정책을 볼 수 있도록 할 수 있습니다. 또한 조직은 웹사이트의 찾기 쉬운 공개 페이지에 개인정보 처리방침을 게시할 수도 있습니다.
타사 파트너의 규정 준수 보장
제어자는 프로세서, 공급업체 및 기타 제3자가 데이터를 사용하는 방법을 포함하여 수집하는 개인 데이터에 대해 궁극적으로 책임을 집니다. 파트너가 규정을 준수하지 않을 경우 제어자가 불이익을 받을 수 있습니다.
조직은 데이터에 액세스할 수 있는 모든 제3자와의 계약을 검토해야 합니다. 이러한 계약에는 법적 구속력이 있는 방식으로 GDPR과 관련된 모든 당사자의 권리와 책임이 명확하게 명시되어 있어야 합니다.
조직이 EEA 외부의 처리자와 협력하는 경우에도 해당 처리자는 GDPR 요구 사항을 충족해야 합니다. 실제로 EEA 외부로의 데이터 전송에는 엄격한 기준이 적용됩니다. EEA 내 제어자는 다음 기준 중 하나를 충족하는 경우에만 EEA 외부의 처리자와 데이터를 공유할 수 있습니다.
- 유럽연합 집행위원회가 해당 국가의 개인정보 보호법이 적절하다고 판단했습니다.
- 유럽연합 집행위원회가 처리자가 충분한 데이터 보호 기능을 갖추고 있다고 간주했습니다.
- 제어자가 데이터를 보호하기 위한 조치를 취했습니다.
모든 파트너십과 데이터 전송이 GDPR을 준수하도록 하는 한 가지 방법은 표준 계약 조항을 사용하는 것입니다. 이러한 사전 작성된 조항은 유럽연합 집행위원회의 사전 승인을 받았으며 모든 조직에서 무료로 사용할 수 있습니다. 이러한 조항을 계약서에 삽입하면 각 당사자가 해당 조항을 준수하는 경우 GDPR을 준수하게 됩니다. 표준 계약 조항에 대한 자세한 내용은 유럽연합 집행위원회 웹사이트(ibm.com 외부 링크)를 참조하세요.
데이터 보호 영향 평가 프로세스 구축
GDPR에 따라 조직은 고위험 활동을 수행하기 전에 데이터 보호 영향 평가(DPIA)를 수행해야 합니다. GDPR은 새로운 기술 사용, 민감한 데이터의 대규모 처리 등 몇 가지 예를 제시하고 있지만, 모든 고위험 활동을 일일이 열거하지는 않습니다.
조직은 안전을 위해 새로운 처리 작업 전에 DPIA를 실시하는 것을 고려할 수 있습니다. 다른 업체에서는 간소화된 사전 심사를 통해 DPIA가 필요할 만큼 위험이 높은지 여부를 판단할 수 있습니다.
최소한 DPIA는 처리와 그 목적을 설명하고, 처리의 필요성을 평가하고, 정보 주체에 대한 위험을 평가하고, 완화 조치를 식별해야 합니다. 완화 조치 후에도 위험이 여전히 높은 경우 조직은 데이터 보호 기관과 상의한 후 조치를 진행해야 합니다.
데이터 유출 대응 계획 구현
대부분의 조직은 개인 정보 유출 사실을 72시간 이내에 감독 기관에 보고해야 합니다. 유출로 인해 신원 도용 등 정보 주체에게 위험이 발생할 수 있는 경우 회사는 해당 주체에게도 이를 통지해야 합니다. 통지는 실행 불가능한 경우를 제외하고는 피해자에게 직접 발송해야 합니다. 발송이 불가능한 경우 공지로도 충분합니다.
조직에는 진행 중인 보안 침해를 신속하게 식별하고, 위협을 근절하고, 당국에 통보하는 효과적인 인시던트 대응 계획이 필요합니다. 인시던트 대응 계획에는 시스템을 복구하고 정보 보안을 복원하기 위한 툴과 전술이 포함되어야 합니다. 조직이 통제권을 빨리 회복할수록 심각한 규제 조치를 받을 가능성이 줄어듭니다.
조직은 이 기회를 활용하여 데이터 보안 조치를 강화할 수도 있습니다. 유출이 사용자에게 해를 끼칠 가능성이 없는 경우(예: 도난당한 데이터가 너무 심하게 암호화되어 해커가 사용할 수 없는 경우) 회사는 데이터 주체에게 통지할 필요가 없습니다. 이를 통해 데이터 유출로 인해 발생할 수 있는 평판 및 매출 손실을 방지할 수 있습니다.
데이터 주체가 쉽게 권리를 행사할 수 있도록 지원
GDPR은 조직이 데이터를 사용하는 방식에 대해 데이터 주체에게 권한을 부여합니다. 예를 들어, 수정 권한을 통해 사용자는 부정확하거나 오래된 데이터를 수정할 수 있습니다. 삭제 권한을 통해 사용자는 자신의 데이터를 삭제할 수 있습니다.
일반적으로 조직은 30일 이내에 데이터 주체의 요청에 응해야 합니다. 요청을 보다 쉽게 관리하기 위해 조직은 주체가 데이터에 액세스하고, 변경하고, 사용을 제한할 수 있는 셀프 서비스 포털을 구축할 수 있습니다. 포털에는 주체의 신원을 확인할 수 있는 방법이 포함되어야 합니다. GDPR에 따라 조직은 요청자가 본인이 맞는지 확인해야 하는 부담을 안게 됩니다.
자동화된 의사 결정 및 프로파일링
데이터 주체는 자동화된 처리에 대한 특별한 권리를 갖습니다. 특히 조직은 사용자의 동의 없이 자동화를 사용하여 중요한 의사 결정을 내릴 수 없습니다. 사용자는 자동화된 결정에 이의를 제기하고 사람이 결정을 검토하도록 요청할 권리가 있습니다.
조직은 셀프 서비스 포털을 사용하여 데이터 주체에게 자동화된 의사 결정에 이의를 제기할 수 있는 방법을 제공할 수 있습니다. 또한 기업은 필요에 따라 인적 검토자를 지정할 준비가 되어 있어야 합니다.
데이터 이동성
데이터 주체는 원하는 곳 어디로든 데이터를 전송할 수 있는 권리가 있으며 조직은 이러한 전송을 용이하게 해야 합니다.
조직은 사용자가 전송을 쉽게 요청할 수 있도록 하는 것 외에도 데이터를 공유 가능한 형식으로 저장해야 합니다. 독점 형식을 사용하면 전송이 어려워지고 사용자의 권리가 침해될 수 있습니다.
데이터 주체 권리의 전체 목록은 GDPR 준수 페이지를 참조하세요.
정보 보안 조치 배포
GDPR은 조직이 합리적인 데이터 보호 조치를 사용하여 시스템 취약성을 해결하고 무단 액세스 또는 불법 사용을 방지하도록 요구합니다. GDPR은 특정 조치를 의무화하지 않지만, 조직에 기술적 제어와 조직적 제어가 모두 필요하다고 명시하고 있습니다.
기술 보안 제어에는 소프트웨어, 하드웨어 및 SIEM 및 데이터 손실 방지 솔루션과 같은 기타 기술 툴이 포함됩니다. GDPR은 암호화 및 가명화를 강력하게 권장하므로 조직은 특히 이러한 제어를 구현하는 것이 좋습니다.
조직적 조치에는 GDPR 규칙에 대한 직원 교육 및 공식 데이터 거버넌스 정책 구현과 같은 프로세스가 포함됩니다.
또한 GDPR은 기업이 의도적으로, 그리고 기본적으로 데이터 보호 원칙을 도입하도록 지시합니다. '의도적으로'란 기업이 처음부터 시스템과 프로세스에 데이터 개인정보 보호를 구축해야 한다는 의미입니다. '기본적으로'란 모든 시스템의 기본 설정이 사용자 개인정보 보호를 가장 많이 유지 관리하는 설정이어야 함을 의미합니다.
IBM 데이터 보안 및 보호 솔루션이 하이브리드 클라우드 전반에서 데이터를 보호하고 규정 준수 요구 사항을 간소화하는 방법을 알아보세요.
유럽 경제 지역(EEA)에서 운영하려는 모든 조직은 GPDR을 준수해야 합니다. 규정을 준수하지 않으면 심각한 결과를 초래할 수 있습니다. 가장 심각한 위반 사항은 최대 20,000,000유로 또는 전년도 조직의 전 세계 매출의 4% 중 더 높은 금액의 벌금이 부과될 수 있습니다.
하지만 데이터 규정 준수는 단순히 처벌을 피하는 것만이 아닙니다. 이점도 있습니다. GDPR 규정 준수를 통해 조직은 세계에서 가장 큰 시장 중 하나에 접근할 수 있다는 사실 외에도 GDPR 원칙은 데이터 보안 조치를 크게 강화할 수 있습니다. 조직은 더 많은 데이터 유출이 발생하기 전에 이를 방지하여 유출 건당 평균 445만 달러의 비용을 절감할 수 있습니다.
GDPR 규정 준수는 또한 비즈니스의 평판을 높이고 소비자와의 신뢰를 구축할 수 있습니다. 사람들은 일반적으로 고객 데이터를 의미 있게 보호하는 조직과 거래하는 것을 선호합니다(ibm.com 외부 링크).
GDPR은 California Consumer Privacy Act 및 인도의 디지털 개인 데이터 보호법을 비롯한 다른 지역의 유사한 데이터 보호법에 영향을 미쳤습니다. GDPR은 이러한 법률 중 가장 엄격한 법률 중 하나로 간주되는 경우가 많으므로 GDPR을 준수하면 조직이 다른 규정도 준수할 수 있습니다.
마지막으로, 기업이 GDPR을 위반하는 경우 일정 수준의 규정 준수를 입증하면 그 영향을 완화하는 데 도움이 될 수 있습니다. 규제 기관은 벌금을 결정할 때 기존 사이버 보안 통제 및 감독 기관과의 협력 여부와 같은 요소를 고려합니다.