‘European Union’s General Data Protection Regulation’
5월 25일부터인 EU의 GDPR 개인정보보호 규정 시행이 한 달 앞으로 다가왔습니다.
GDPR에 대해 반드시 알아야 할 8가지를 정리했습니다.
더욱 자세한 내용은 기사에서 확인하실 수 있습니다.
[보안뉴스] 오다인 기자, GDPR 준비가 막막하다면 8가지 핵심부터 파악하자(2017. 7. 5.)
http://www.boannews.com/media/view.asp?idx=55629&page=3&kind=1&search=title&find=gdpr
01 적용 대상
정보 관리자와 정보 처리자 양자에 모두 적용됩니다.
정보 관리자: 정보 주체로부터 개인정보를 수집하는 모든 조직
정보 처리자: 정보 관리자를 위해 정보를 처리하는 모든 조직(Ex, 인건비를 처리하거나 클라우드를 제공하는 사람이 포함된 조직)
02 정보 침해 공지
정보 관리자는 프라이버시나 보안에 위협이 될 만한 모든 침해 사실에 대해 정보 주체에게 공지할 의무가 있습니다. 이 공지는 침해 사실을 발견하고 72시간 내에 실행해야 합니다.
또, 정보 처리자 역시 모든 침해 사실에 대해 정보 관리자에게 지체 없이 알려야 합니다.
03 정보보호를 기본 계획 단계부터 포함하기
EU 거주자의 정보를 다루는 조직이 제품과 서비스를 계획하는 기본 단계부터 프라이버시 보호를 포함하도록 규정합니다.
이는 처음부터 정보를 보호하고 정보 수집을 최소화해 사고가 발생한 뒤에 급히 수습하는 상황을 방지한다는 배경입니다.
04 정보 접근에 대한 개인 권한
정보 주체는 자신과 관련해 정보 관리자가 갖고 있는 개인정보 전량에 대해 사본을 요구하고 확보할 수 있습니다. 조직은 요청을 받으면 각 개인에게 요청자의 개인정보가 어디서, 무슨 목적으로 처리되고 있는지에 대해 확인을 해야 합니다.
05 정보 이동에 대한 권리
EU 거주자가 자신의 개인정보를 한 정보 관리자로부터 다른 정보 관리자로 이동시키라고 요구할 권리가 있습니다.
기술적으로 실현 가능한 모든 경우에 해당됩니다.
06 잊힐 권리
정보 주체가 각 조직에게 자기 개인정보를 삭제토록 요구할 권리를 법제화합니다.
정보 삭제 요청을 받았을 때, 정보 관리자는 삭제하기 전에 해당 정보를 지속적으로 보존했을 때 공공의 이익이 있는지를 판단해야 합니다.
07 데이터 보호 관리자(DPO: Data Protection Officer)
세 가지 요건 중 하나라도 해당하는 정보 관리자나 처리자라면 의무적으로 DPO를 지정해야 합니다.
1)공공기관에 해당하거나, 2)기업/단체의 핵심 활동이 정보 주체의 활동을 대규모로 모니터링하거나, 3)기업/단체의 핵심 활동이 민감 정보나 범죄 정보의 대규모 처리의 관여된 경우
(참고: NAVER 개인정보보호 블로그)
08 사전동의(Informed Consent)
GDPR에서 EU에 거주하는 개인들에게 부여하는 엄청난 통제권의 핵심은 동의입니다.
EU 거주자에 대해 개인별로 식별 가능한 정보를 수집, 저장, 처리하는 조직은 정보 주체로부터 사전동의를 받아야 합니다.
[유수현 기자(boan4@boannews.com)]
5월 25일부터인 EU의 GDPR 개인정보보호 규정 시행이 한 달 앞으로 다가왔습니다.
GDPR에 대해 반드시 알아야 할 8가지를 정리했습니다.
더욱 자세한 내용은 기사에서 확인하실 수 있습니다.
[보안뉴스] 오다인 기자, GDPR 준비가 막막하다면 8가지 핵심부터 파악하자(2017. 7. 5.)
http://www.boannews.com/media/view.asp?idx=55629&page=3&kind=1&search=title&find=gdpr
01 적용 대상
정보 관리자와 정보 처리자 양자에 모두 적용됩니다.
정보 관리자: 정보 주체로부터 개인정보를 수집하는 모든 조직
정보 처리자: 정보 관리자를 위해 정보를 처리하는 모든 조직(Ex, 인건비를 처리하거나 클라우드를 제공하는 사람이 포함된 조직)
02 정보 침해 공지
정보 관리자는 프라이버시나 보안에 위협이 될 만한 모든 침해 사실에 대해 정보 주체에게 공지할 의무가 있습니다. 이 공지는 침해 사실을 발견하고 72시간 내에 실행해야 합니다.
또, 정보 처리자 역시 모든 침해 사실에 대해 정보 관리자에게 지체 없이 알려야 합니다.
03 정보보호를 기본 계획 단계부터 포함하기
EU 거주자의 정보를 다루는 조직이 제품과 서비스를 계획하는 기본 단계부터 프라이버시 보호를 포함하도록 규정합니다.
이는 처음부터 정보를 보호하고 정보 수집을 최소화해 사고가 발생한 뒤에 급히 수습하는 상황을 방지한다는 배경입니다.
04 정보 접근에 대한 개인 권한
정보 주체는 자신과 관련해 정보 관리자가 갖고 있는 개인정보 전량에 대해 사본을 요구하고 확보할 수 있습니다. 조직은 요청을 받으면 각 개인에게 요청자의 개인정보가 어디서, 무슨 목적으로 처리되고 있는지에 대해 확인을 해야 합니다.
05 정보 이동에 대한 권리
EU 거주자가 자신의 개인정보를 한 정보 관리자로부터 다른 정보 관리자로 이동시키라고 요구할 권리가 있습니다.
기술적으로 실현 가능한 모든 경우에 해당됩니다.
06 잊힐 권리
정보 주체가 각 조직에게 자기 개인정보를 삭제토록 요구할 권리를 법제화합니다.
정보 삭제 요청을 받았을 때, 정보 관리자는 삭제하기 전에 해당 정보를 지속적으로 보존했을 때 공공의 이익이 있는지를 판단해야 합니다.
07 데이터 보호 관리자(DPO: Data Protection Officer)
세 가지 요건 중 하나라도 해당하는 정보 관리자나 처리자라면 의무적으로 DPO를 지정해야 합니다.
1)공공기관에 해당하거나, 2)기업/단체의 핵심 활동이 정보 주체의 활동을 대규모로 모니터링하거나, 3)기업/단체의 핵심 활동이 민감 정보나 범죄 정보의 대규모 처리의 관여된 경우
(참고: NAVER 개인정보보호 블로그)
08 사전동의(Informed Consent)
GDPR에서 EU에 거주하는 개인들에게 부여하는 엄청난 통제권의 핵심은 동의입니다.
EU 거주자에 대해 개인별로 식별 가능한 정보를 수집, 저장, 처리하는 조직은 정보 주체로부터 사전동의를 받아야 합니다.
[유수현 기자(boan4@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.gif)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.png){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
