유럽 연합 일반 정보 보호 규정

(EU General Data Protection Regulation, EU GDPR)

시행일: 2018년 5월 25일 - 규정 미준수 조직에 과중한 벌금을 부과하는 시점.

유럽 연합 일반 정보 보호 규정(EU General Data Protection Regulation, EU GDPR)

일반 정보 보호 규정(GDPR)에서 하나의 작은 요소이지만, 중요한 한 가지: Kingston 암호화 USB와 함께 규정을 준수하십시오

위협 관리 및 위험 감소

개인 및 기업에서 정부까지 모든 이의 요구사항을 만족시킬 옵션들이 있습니다.

  • 100% 규정 준수 암호화 USB 데이터 저장
  • 간단하고 사용이 용이함, 소프트웨어 또는 드라이버 필요 없음
  • 신속하고 효율적인 배치를 위해 설계됨
EUGDPR Compliance Logos
Keep Compliant with Kingston

EU GDPR: 고려해야 하는 최상위 5가지 주요 영역

  1. 암호화 - 데이터 처리 표준의 보안(32조, 처리의 보안)
  2. 데이터 보호 책임자(DPO) 지명
  3. 사이버 보안 프로그램 확립
  4. 책임 사항 문서화
  5. 동의 양지

무엇을 알아야 합니까?

이는 제 비즈니스에 어떤 영향을 미칩니까?

  • 유럽연합 시민과 관련된 정보로 작업하는 회사는 다음 사항을 준수해야 합니다
  • 이러한 규칙은 관리자 및 처리자 모두에게 적용되며 '클라우드'가 GDPR 시행으로부터 면제되지 않는다는 것을 숙지하는 것이 중요합니다.
  • 유럽연합 시민의 데이터를 처리하는 모든 조직(유럽연합 및/또는 비유럽연합)에 적용됩니다
  • 개인 데이터 손실을 보호하기 위해 적절한 보안 조치를 이행함에 있어 개인 식별 가능 정보를 처리하거나 보유하는 기관이 필요합니다.

규정 준수를 위해 제 사업장에서는 무엇을 해야 합니까?

  • 자체 평가 - 250명 이상의 직원을 고용하는 회사에 데이터 보호 책임자가 필요합니다. 조직은 해당 직원과 고객의 개인 식별 가능 정보 처리와 관련한 내부 검토를 수행해야 합니다
  • 데이터를 저장하는 내장, 외장 제품 / 장치 맵핑 - 기록을 하고 사용된 회사 장비가 데이터 보안 정책을 따르도록 해야 하며 데이터 암호화를 활용하는지 확인합니다. 해당 품목에는 서버, 하드 드라이브, SSD, USB 플래시 드라이브, 컴퓨터 및 모바일 장치 등을 포함하지만 이에 국한되지 않습니다.
  • 재고 분석 - 전체적인 개인 데이터 양 평가
  • 제거 - 불필요한 개인 식별 가능 정보(PII) 기록 제거
  • 정보 관리자 - 개인 정보 보호 위험 및 영향 평가 검토
  • 계약 - 2018년 5월 시행 이후 의무화되는 정책을 지금 제정하여 귀사 비즈니스의 미래 경쟁력을 갖추십시오
  • 데이터 위반 - 72시간 내 알리도록 규정

해결책 - 규정 미준수 위험을 완화하기 위해 개인 데이터 / 개인 식별 가능 정보(PII)에 대한 데이터 암호화 등 적절한 보호, 기술 표준 및 정책 실행 (자세한 내용 보기 – 암호화 USB 표준 모범 사례)

데이터 암호화

  • Kingston 및 IronKey 암호화 USB 드라이브는 데이터 암호화 준수를 표준화할 수 있는 한 가지 해결책입니다.
  • “…개인 데이터의 암호화를 포함하여 위협에 적합한 보안 수준을 충족하도록 적절한 기술 및 조직상의 조치"(32조, 보안 처리)를 시행합니다
  • 해당 제안서에서는 조직이 전송 중인 민감한 데이터 및 유휴 상태의 민감한 데이터 모두에 대해 암호화하도록 요구합니다.
  • 개인 데이터 손실을 보호하기 위해 적절한 보안 조치를 이행함에 있어 유럽연합 거주자의 개인 식별 가능 정보를 처리하거나 보유하는 기관이 필요합니다.
  • 조직은 제3자 서비스 제공업체와 거래 시 향상된 데이터 처리 표준을 포함시켜야 합니다.

확장된 장소 범위(역외 적용 범위)

데이터 보안의 규제 환경에 있어 가장 큰 변화임에 틀림없습니다.

  • GDPR의 확장된 관할 지역은 해당 회사 위치에 관계 없이 유럽연합에 거주하는 데이터 주체의 개인 데이터를 처리하는 모든 회사에 적용됩니다.

위반 알림

개인의 권리 또는 자유에 위험을 초래할 가능성이 없을 경우, DPA에 알릴 필요가 없다 하더라도 실행 가능한 경우라면 해당 위반이 파악된지 72시간 내에 데이터 위반 알림이 이루어져야 합니다.

새로운 소비자 권리

소비자 혜택

Consumer Benefits

  • GDPR에 의한 추가 보호 및 익명 유지 기능
  • 데이터를 공유하고 싶지 않은 경우 자율권을 부여하여 소비자에게 권한을 제공합니다
  • 새롭게 향상된 소비자 권리 - 해당 데이터를 최종 사용하는 회사에 ‘잊혀질 권리’ - ‘데이터 이전에 관한 권리' 요구
  • 이러한 소비자 권리 규정을 준수하지 않는 회사는 소비자와 법적 기관으로부터 더 많은 소송을 당할 수 있습니다

동의

동의 조건이 강화되었으며 이러한 동의가 첨부된 데이터 처리를 위해 이해하기 쉽고 쉽게 접근할 수 있는 형식으로 동의를 요청해야 하므로 회사에서는 난해한 법률 용어로 가득한 긴 약관을 더 이상 사용할 수 없게 됩니다.

  • 동의는 명확하고 다른 문제와 구별될 수 있어야 하며 명료하고 분명한 언어를 사용해 이해하기 쉽고 쉽게 접근할 수 있는 형식으로 제공되어야 합니다. 동의하는 것만큼이나 동의를 철회하는 것도 쉬워야 합니다.

잊혀질 권리

데이터 이레이저로도 알려진 잊혀질 권리를 통해 데이터 주체는 본인의 데이터를 지우고 해당 데이터가 추가로 확산되는 것을 멈추며 제3자가 잠재적으로 데이터를 처리하는 것을 멈출 수 있습니다. (17조)에 간략하게 설명된 대로 지우기 약관에는 원래 처리 목적과 관련되어 있지 않은 데이터 또는 동의를 철회하는 데이터 주체가 포함되어 있습니다.

또한 이런 권리를 통해 해당 관리자는 이러한 요청을 고려할 경우 데이터 주체의 권리와 "데이터의 공익 관련 이용 가능성"을 비교해야 함을 약관에서는 또한 명시하고 있습니다.

개인 식별 가능 정보(PII)는 무엇입니까?

개인 식별 가능 정보(PII)는 공개될 경우 정보 노출로 피해를 입을 수 있는 유럽연합 시민들과 관련한 데이터를 지칭합니다. PII는 의료 기록, 생체 정보, 여권 번호와 사회 보장 번호 및 신용 카드 세부 정보를 비롯한 개인 식별 금융 정보를 포함할 수 있습니다. 이름과 성을 비롯한 정보 자체는 PII로 간주되지 않으며 다른 데이터와 관련될 경우 PII가 될 수 있습니다.

  • 조직의 데이터 자산은 데이터 저장 및 액세스 방법, 노출 위험 수준과 PII 포함 여부를 비롯한 위험 평가의 일부로 식별되어야 합니다. 데이터 자산은 응용 프로그램 데이터베이스, 서버 파일 시스템 및 최종 사용자 장치에 저장할 수 있습니다.
What is Personal Identifiable Information (PII)?

강조 부문

  • EU 전체 규칙의 단일 세트 — 데이터 보호에 관한 단일의 EU 전체 법률을 통해 해마다 23억 유로의 비용 절감이 예상됩니다.
  • 데이터 보호를 책임지는 데이터 보호 책임자는 공공 기관 및 거대한 규모의 데이터를 처리하는 사업장을 통해 지정됩니다.
  • 원스톱 매장 – 사업장은 오직 (주요 기반으로 하는 EU 국가의) 단일 감독 기관에 처리하면 됩니다.
  • 비 EU 기업을 위한 EU 규칙 - EU 외의 기반을 둔 기업들은 서비스 또는 상품을 제공하거나 EU 내 개인의 행위를 모니터링할 때 동일한 규칙을 적용해야 합니다.
  • 혁신 친화적인 규칙 - 초기 개발 단계(설계를 통해 기본적으로 데이터 보호)부터 제품 및 서비스에 데이터 보호 안전 장치가 구축되어 있음을 보장합니다.
  • 익명화(하나 이상의 인위적인 식별자로 대체된 데이터 레코드 내에서 필드를 식별하는 경우) 및 암호화(데이터가 인가된 당사자만 읽을 수 있는 방식으로 코딩되는 경우)와 같은 개인 정보 보호 친화적인 기법
  • 영향 평가 - 데이터 처리가 개인의 권리와 자유에 대한 높은 위험을 초래할 수있는 경우 기업은 영향 평가를 수행해야 합니다.
  • 기록 보관 - SME는 처리가 정기적이거나 처리 중인 데이터에 해당하는 사람의 권리와 자유에 위험을 초래할 가능성이있는 경우를 제외하고는 처리 활동 기록을 보관할 필요가 없습니다.

자세히 보기

일반 정보 보호 규정(GDPR) 내 핵심 날짜

  • 2018년 1월 31일 PCI-DSS v3.2 – 다중 요소 인증에 대한 요구사항(8.3.1) - 전 세계 조직에 영향
  • 2018년 6월 30일 PCI-DSS v3.2 – SSL 암호화 업그레이드에 대한 요구사항(2.2.3, 2.3, 4.1) - 전 세계 조직에 영향
  • 2018년 4월 PSD2 – 결제 서비스 규정 2 - 유럽 기업에 영향
  • 2018년 5월 GDPR – 일반 데이터 보호 규정 - 전 세계 조직에 영향