오늘 Gdpr이 시작됩니다! 당신이 알아야 할 것은

2018 년 5 월 25 일부터 유럽 연합 (EU)의 일반 데이터 보호 규정 (GDPR) 법률은 기업이 개인 데이터를 어떻게 처리해야하는지에 대한 질문에서 사실상 세계 법이 될 것입니다. 유럽에서 비준 된 데이터 보호법이 유럽인에게만 적용된다고 생각할 수도 있지만 잘못된 것입니다. 이는 GDPR이 거주하는 지역과 사업 관계에 상관없이 모든 EU 시민을 보호하기 때문입니다. 즉, EU 고객을 보유한 미국 회사는 GDPR 요구 사항과 형벌에 처하게됩니다. 크라우드 리서치 파트너 (Crowd Research Partners)의 최근 보고서에 따르면 현재 마감일까지 GDPR을 준수 할 기업은 7 %에 불과하기 때문이다.

그리고 오늘날에도 회사가 GDPR을 어느 정도 안전하게 유지하기 위해 취할 수있는 조치가 있지만, 완전한 규정 준수를 달성하는 것이 간단한 프로젝트는 아닙니다. 데이터 수집 프로세스는 회사에서 데이터를 사용하는 방법 (예: 전자 상거래 회사의 의료 기록 데이터가 아닌 소비자 쇼핑 데이터)과 관련이 있어야합니다. 회사는 수집 된 데이터와 이유를 정확하게 설명 할 수 있어야합니다. 보안 관행은 손실, 손상 및 파괴로부터 보호 할 수있는 명확한 능력을 보여 주어야하며 데이터가 필요 이상으로 오래 보유되어서는 안됩니다. 이 규정을 준수하지 않은 회사는 연간 수입에서 4 %의 몰수 대상이됩니다.

정보 관리 시스템 공급 업체 인 Alfresco의 전략 솔루션 리더 인 Ankur Laroia는 "이것은 규칙이없는 규칙이 아닙니다."라고 말했습니다. Laroia는 규정 내규 내 여러 문제로 인해 회사가 규정을 준수하기가 어려울 수 있다고 주장합니다. 예를 들어, 몇 가지 문제에는 데이터를 수집하는 이유에 대한 추상적으로 작성된 규칙, 요청시 고객 데이터를 스크러빙하기위한 요구 사항 초과, 일부 회사에서 규정 준수를위한 목적으로 만 보안 절차를 완전히 수정해야하는 문제가 있습니다. 그럼에도 불구하고 라 로이 아는 EU가 혼란스러워하지 않는다고 생각합니다.

"유럽 연합은 범죄자들을 뒤쫓을 것"이라고 예측했다. "이것이 제정 되었으면 Equifax는 많은 문제에 봉착했을 것입니다."

GDPR은 주로 EU 시민에 초점을 맞추면서 미국 사업자에게 악몽 시나리오를 제시합니다. 우리는 GDPR 준수를 향한 여정을 시작하기 위해 미국인들이 알아야 할 사항을 세분화 할 것입니다.

1. 미국 기업은 준수해야합니다

엄마 앤팝 서점에서 고향 이외의 지역으로 패키지를 배송 한 적이 없다면 GDPR에 대해 걱정할 필요가 없습니다. 그러나 EU 기반 고객이 한 명인 경우 GDPR을 준수하는 프로세스를 즉시 시작해야합니다. 조례에 따라 EU 시민 데이터는 보호되어야하며, 요청시 시민에게 해당 데이터를 제공해야합니다. 더 중요한 것은 시민이 요청하는 경우 시스템에서 해당 데이터를 제거해야 할 수도 있습니다. 그렇지 않으면 GDPR 워치 독이 발견하면 연간 수익의 4 %를 잃게됩니다.

IDC의 보안 연구 담당 부사장 인 피트 린드 스트롬 (Pete Lindstrom)은“이는 EU 지침이지만 EU 거주자를 고객으로하는 전세계 모든 회사에 영향을 미친다. "주소 필드가 있고 유럽 주소 인 경우 유럽 주소로 간주 될 것입니다."

EU에 본사를 둔 회사 나 일리노이 주 스코 키와 같은 도시에는 차이가 없습니다. 그 대신 법은 개인 식별 정보 (PII) 및 데이터와 관련된 사람의 거주지에 중점을 둡니다. 유럽 ​​고객에 대한 모든 종류의 PII 데이터를 보유한 사람은 모두 준수해야합니다.

귀사에 EU 기반 고객이 적더라도 GDPR 워치 독이 해당 지역 서점을 감사 할 가능성은 거의 없습니다. 그러나 페이스 북이나 야후와 같은 대기업들은 GDPR을 막기위한 수단으로 미국의 충성을 주장 할 수 없다.

라 로이 아는“엄마와 아빠가 있고 위반이 있다면 법적으로 책임이있다”고 말했다. "각각 EU 회원국은 준수 사무소를 갖게 될 것입니다.이 사무소는 모든 사람들의 준수 제도를 요구하기 시작합니다. 그들은 지역에서 사업을 수행하는 회사의 재고를 만들 것입니다. 그들은 더 큰 사람들을 확인하고 질문을하기 시작합니다."

준수하지 않는 미국 회사는 GDPR 지원 EU 국가가 몰수 된 수입을 모 으려고 시도 할 때 미국 정부가 이들을 보호 할 것으로 기 대해서는 안됩니다. 라 로이 아 총재는“미국 정부는 이러한 판결이 시행되도록해야한다”고 말했다. "그들이 강제로 집행되고 있는지는 아직 보이지 않지만 EU의 정부는 싸워야 할 것이다."

2. 5 월 25 일 5 월 25 일을 의미

이 규정이 2018 년 5 월 25 일 오늘 발효되었지만 2016 년 4 월 14 일 EU 의회가이 법을 비준했습니다. 이는 EU에 관한 한 회사가 GDPR 준수 관행을 시행 할 충분한 시간이 있음을 의미합니다.. 따라서 회사가 내일 대규모 사이버 공격에 부딪 히고 고객, 웹 사이트 방문자 및 파트너에게 수집 한 데이터에 대한 정보가 악의적 인 다크 웹에 노출되면 "불충분 한 시간"을 EU 시민 데이터 공개에 대한 변명.

라 로이 아는“법령이 발효되었다”고 말했다. "규정 준수에 대한 여정을 이미 보여 달라는 요청을받을 수 있습니다. 인벤토리를 보유하고 있습니까? EU 시민이 귀하의 데이터에 대해 질문하는 프로토콜은 무엇입니까?이 회사는 지금이 정보를 요청할 수 있습니다. 내년에는 벌금이 부과 될 것입니다. 5 월 이후에는 규정 준수를 입증 할 수 없습니다."

3. 확장을 기대하지 마십시오

미국에서 우리가 가지고있는 대부분의 법적 규제 전투 (예: 순 중립성)와 달리 EU의 어느 누구도 2018 년 5 월 24 일 GDPR에 도전하여 규제를 무기한 연기하지 않았습니다. 유럽인들은 이것을 원했고 지금은 그것을 얻었습니다.

라 로이 아는 "이것은 규정이 수립 된 방식의 아름다움"이라고 말했다. "그들은 기업에 1 년 동안 올바른 행동을 취하도록했기 때문에 소송의 관점에서 어떤 문제도 발생하지 않았습니다. 우리가이를 볼 수 있다면 이미 일어 났을 것입니다. 누군가가 고소한 후에 그렇게 할 수 있습니까? 나는 그들이 시도 할 것이라고 확신하지만, 그 시점에서 그들에게는 제대로 보이지 않을 것이다."

4. 준수하기 위해해야 ​​할 일

규정에 따라 규정 준수 프로세스 관리 담당자를 임명해야합니다. GDPR 법이 "데이터 보호 책임자 (DPO)"라고하는이 사람은 회사가 데이터를 보호하는 방식을 통해 GDPR 감독 팀을 걷는 책임을 맡게됩니다. 이 사람은 또한 회사 내 이기종 사업을 통합하여 GDPR을 준수하고 유지하기위한 방법론을 생성 할 책임이 있습니다.

간단히 말해서 DPO의 임무는 다음과 같은 4 가지 주요 범주로 분류됩니다.

• 첫째, 초기 규정 준수 프로세스뿐만 아니라 향후 모든 GDPR 관련 데이터 처리 질문에 대해 포인트 담당자 역할을 수행 할 수있는 GDPR 세부 사항에 대해 충분히 알고 있어야하며, 두 선임자 모두가 필드 질문을 할 수있을 정도로 확실해야합니다. 경영진 및 데이터 처리 IT 요원
• 둘째, 조직에서 진행중인 모든 데이터 처리 프로세스를 모니터링하고 개인 데이터 안전과 관련하여 그 효과를 평가할 수 있어야합니다.
• 셋째, GDPR의 영향을받을 수있는 모든 비즈니스 영역에 대해 감사 및 모니터링 기능이 있어야하며 정기적으로 준수 여부를 평가해야합니다.
• 마지막으로, 그들은 산업계의 GDPR 당국과 연락을 취하고 그들과 협력하며 해당 당국의 모든 요청에 ​​대한 포인트 역할을 수행해야합니다.

이 모든 것은 데이터 흐름과 데이터 보호 조치 및 기술을 이해하는 사람뿐만 아니라 GDPR 법률 세부 사항에 대한 지식뿐만 아니라 E-Privacy Directive와 같은 관련 및 관련 EU 법률에 대한 지식으로 요약됩니다. 이러한 기술이 부족하여 비즈니스 및 IT 컨설턴트에게 녹색의 기회가 생겼을 것입니다. 그러나이 재능을 사내에서 개발하려는 경우 영어를 사용하는 유럽 온라인 학습 리소스를 검색하는 것이 좋습니다. 많은 사람들이이 목적으로 GDPR DPO 코스웨어를 개발했습니다. 또한 GDPR 교육 코스웨어 및 인증을 제공하는 IAPP (International Association of Privacy Professionals)와 같은 다국적 산업 조직이 있습니다.

보다 기술적 인 측면에서, 규정을 준수하려면 물리적 서버, NAS (Network Attached Storage), 디스크 및 드라이브 및 네트워크 액세스에 대해 하나 이상의 암호화 방법을 사용해야합니다. PII에 액세스 할 때와 PII 데이터를 포함하는 트랜잭션에 대해 직원 ID를 확인하고 MFA (Multifactor Authentication)를 수행해야합니다. 승인되지 않은 목적으로 데이터에 액세스하거나 처리하는 관행을 잘라 내고, 관련성을 보장하기 위해 데이터를 지속적으로 모니터링 및 확인하고, 요청이있을 때 고객 데이터를 완벽하고 비가 역적으로 제거해야합니다. 조직은 지속적인 위험 준수를 보장하기 위해 전체 위험 평가를 수행하고 파트너, 특히 API (응용 프로그래밍 인터페이스)를 통해 연결된 파트너와 협력해야합니다.

마지막으로, 조직의 데이터가 침해되면 위반과 그 결과를 전체적으로 설명하기 위해 관련 GDPR 감독자에게 즉시 알려야합니다. 또한 위반의 결과를 영향을받는 고객에게 전달해야합니다.

5. 미국 고객

Laroia는 고객 정보를 보호하고 관리하는 것이 궁극적으로 좋은 비즈니스 감각이라고 말했습니다. Laroia는“최종 고객의 관점에서이 점을 살펴 봐야합니다. "그들이이 회사들이 사업을하는 이유입니다. 그렇습니다. 비즈니스에 어려움을 겪고 있지만 회사는 기술에 투자하지 않았거나 혁신의 속도를 따라 가지 못했습니다."

불행히도 비슷한 미국 규정은 책에 없습니다. 뉴욕 재무 서비스의 사이버 보안 요건에 따라 뉴욕에서 사업을하는 회사는 어느 정도 보장됩니다. 이 규정은 뉴욕에 본사를 둔 사업체가 고위 임원 또는 해당 대상 이사회 (또는 해당위원회) 또는 이와 동등한 치리회가 승인 한 서면 정책 또는 정책을 구현하고 유지하도록 요구합니다. 여기에는 해당 법률에 따라 해당 정보 시스템에 저장된 정보 시스템 및 비공개 정보를 보호하기위한 해당 대상체의 정책 및 절차가 명시되어 있습니다.

콜로라도와 같은 다른 주들도 유사한 규정의 시행에 대해 논의했습니다. 그러나, 미연방 법률은 존재하지 않습니다. 그러나 Laroia는 미국이 다음에 올 것이라고 낙관적입니다. "미국인은 그런 권리가 없다"고 말했다. "하지만 5 년을 줘."