GDPR Audit (감사)란 무엇인가요?
GDPR 감사는 기업의 데이터 개인 정보 보호 통제, 리스크 관리 및 거버넌스의 효과를 객관적으로 평가하기 위한 활동입니다. 이는 2018년 5월 EU GDPR이 발효되기 전 몇 달 동안 많은 관심을 받았습니다.
2018년 이후로 어떤 변화가 있었나요?
2018년 이후로 데이터 개인 정보와 관련하여 많은 변화가 있었으며 계속하여 주기적으로 변하고 있습니다. 2018년경 실시된 감사는 그 이후 문제된 여러 중요한 이슈를 다루지 못했을 뿐 아니라, 2024년 업데이트된 데이터 개인 정보 규정을 준수하기 위해 필요하거나 권장되는 주요 문제를을 다루지 않았을 것입니다. 규제 기관인 Information Commissioner’s Office (ICO)는 계속해서 많은 벌금을 부과하고 있습니다. 처음에는 Meta(12억 유로)와 Google(9천만 유로)과 같은 대규모 기관을 대상으로 했었지만, 저희의 최근 뉴스레터에서 알려드린 바와 같이 소규모 기업들도 이에 따른 영향을 받고 있습니다.
기업들은 지속적인 규제 컴플라이언스를 위해서 어떠한 조치를 취해야 하나요?
3CS는 모든 기업이 현재 규정을 준수하고 있는지 확인하기 위해 정기적인 검토를 수행하는 것을 강력히 권장합니다. 정기 감사는 기업이 데이터 개인 정보 및 보안에 대해 얼마나 주의를 기울이고 있는지를 보여주어 고객, 파트너 및 이해관계자들 사이에서 신뢰를 쌓는 데 도움이 됩니다. 기업이 감사를 자발적으로 진행하였음을 증명하면, 규정 위반 시 큰 벌금이 부과될 가능성도 낮아집니다.
어떠한 부분들을 집중적으로 고려해야 하나요?
- 국제 정보 공유(International Transfer of Data)
기업이 영국 외의 국가로 개인 데이터를 이전하는 경우, 해당 장소에 영국 기준의 적절성 결정이 없다면 해당 기업은 2018년에 적용되지 않았던 새로운 법률과 규정을 준수해야 합니다. 이는 모든 정보 이전에 적용되며, 데이터가 이전되는 국가에 대한 영국 기준의 적절성 규정이 없는 경우, 정보 이전은 관련 리스크 평가를 수행하고 적절한 개인 정보 및 보안 보호 조치를 평가한 후에만 이루어질 수 있습니다.
- 쿠키 및 정보 공유 동의
웹사이트에서 쿠키를 설정하는 경우 개인 데이터 처리가 포함된다면, 기업은 영국 GDPR의 요구 사항을 준수해야 합니다. 웹사이트 운영자들은 쿠키 사용에 대한 동의를 요청해야 하며, 해당 동의는 자유롭고 구체적이며 정확한 목적을 고지하고 받아야 합니다(쿠키가 절대 필요하지 않은 한). 쿠키 준수는 ICO의 인기 있는 주제 중 하나이며, ICO는 모든 웹사이트 운영자가 자신들의 웹사이트에서 사용하는 쿠키와 그 목적을 이해하기 위해 쿠키 관련 감사를 수행하는 것을 권장합니다.
- 광고
온라인 광고 수익을 수입원으로 하는 기업들에 대해서는 GDPR이 추가적인 문제를 제기합니다. 최근 몇 년 동안 광고 기술 산업은 데이터 보호 감독 기관의 점증하는 주목을 받았습니다. 소비자에게 구체적인 관심을 기반으로 하는 광고를 전달하는 데 사용되는 광고주, 플랫폼 및 중개자의 복잡한 생태계는 영국 GDPR 준수에 대한 잠재적인 어려움이 될 수 있습니다. ICO 및 기타 규제 기관은 정보 사용 동의의 증거를 엄격하게 분석하는 것을 권장하고 있습니다. 이어 올바른 법적 근거의 사용 및 투명성 확보를 권장하고 있습니다. 이러한 사항들은 영국 GDPR의 핵심 측면이기 때문입니다. 결론적으로, 기업들이 감사를 통해 규제 컴플라이언스 수준을 이해하는 것이 강력히 권장됩니다.
- 인공지능
데이터 거버넌스는 전 세계적으로 인공 지능 서비스 규제의 신흥 접근법의 핵심에 놓여 있습니다. 영국 GDPR은 포괄적인 개인 정보 보호 법률로써, 모든 산업에 해당되며 다음과 같은 모든 개인 데이터에 적용됩니다.
- 자동 데이터 처리(개인 데이터 포함)는 높은 규제를 받습니다.
- 개인 데이터의 사용 방법에 대해 고지하도록 강력히 요구됩니다.
- 새로운 AI 관련 기술에 대한 데이터 보호 영향 평가를 수행하도록 명확히 요구하고 있습니다.
- 명시적 동의를 받아야 하는 프로파일링을 포함한 자동 개인 결정에도 데이터 보호 영향 평가가 요구됩니다.
모든 AI 도구에 대해, 영국 GDPR에서는 합법성, 공정성 및 투명성이 있는지를 주요 요건으로 검토합니다. 기업이 인공 지능을 더 많이 사용하려고 한다면, 현재 위의 기준을 어떻게 충족시키고 있는지 검토하기 위해 GDPR 감사를 수행하는 것을 권장합니다.
- 랜섬웨어, 사이버 공격 및 데이터 보안
Ransomware는 피해자의 개인 데이터에 영구적으로 액세스를 차단하고 랜섬을 지불하지 않으면 해당 액세스를 복구할 수 없게 하는 악성 소프트웨어인 암호화 바이러스 악성 소프트웨어의 일종입니다.
ICO는 랜섬웨어와 관련하여 구체적인 지침을 발행했으며, 다음과 같은 내용을 명시하고 있습니다:
- 영국 GDPR는 적절한 조치를 사용하여 기술 및 조직적 통제의 효과를 정기적으로 테스트, 평가 및 평가하도록 요구합니다. 특정한 테스트를 규정하고 있지는 않지만 모든 테스트는 기업의 전체 보안 프레임워크 내에서 고려되어야 합니다.
- 데이터 컨트롤러가 사이버 공격 및 랜섬웨어의 대상이 되면, 영국 GDPR 규정은 사건이 개인 데이터 침해로 이어졌는지를 결정하는 책임을 부여하며 기업은 침해 사실을 인식한 후 지체 없이 그리고 최대 72시간 이내에 ICO에 개인 데이터 침해를 통지해야 합니다.
- 사이버 공격 및 랜섬웨어를 인식한 후 정식적인 위험 평가를 수행해야 합니다.
- 개인 데이터의 백업은 랜섬웨어의 위험을 완화하기 위한 가장 중요한 통제 수단 중 하나입니다.
영국 GDPR의 핵심 원칙 중 하나는 '적절한 기술 및 조직적 조치'를 통해 개인 데이터를 안전하게 처리하는 것입니다. 이것이 규정 상 '보안 원칙'입니다. 이러한 원칙을 사이버 공격 및 랜섬웨어 시나리오에 적용하면, 강력한 기술적 및 조직적 평가가 현대 GDPR 감사의 중요한 부분을 형성한다는 것을 알 수 있습니다.
따라서 IT 보안이 부족하여 발생한 침해는 회사가 책임을 져야 합니다. 2020년에는 영국 항공이 "poor security arrangements" 사유로 약 50만 명의 고객 데이터를 사이버 범죄자가 유출할 수 있게 한 사건으로 인해 2천만 파운드의 벌금을 받았습니다. 당시 제안된 벌금은 COVID-19 사유로 인해 감경되었지만, 향후 벌금은 매우 클 것으로 예상됩니다.
- 바이오메트릭 (생체정보)
생체 인식 데이터는 자연인의 신체, 생리적 또는 행동적 특성과 관련된 특정 기술적 처리로 인해 발생하는 개인 데이터로써, 얼굴 이미지나 지문 데이터와 같이 해당 자연인의 고유 식별을 허용하거나 확인하는 데에 사용됩니다.
현재 생체 인식 데이터의 사용이 점차적 증가하고 있으며, 영국 GDPR에 따르면 이는 특별 범주 데이터로 알려진 개인 데이터의 하위 카테고리로 지정되어 있습니다. 영국 GDPR은 이러한 유형의 개인 데이터가 개인의 기본적 권리와 자유에 중대한 위험을 초래할 수 있으므로 특별한 보호가 필요하다고 규정하고 있습니다.
How 3CS can help
기업들은 영국 GDPR 규정을 준수하여 정보를 수집, 처리 및 저장할 때 주의를 기울여야 합니다. 감사를 통해 조직의 규제 컴플라이언스가 목적에 부합하는지 확인하는 것은 준법경영에 큰 도움이 될 것입니다.
GDPR 감사 또는 데이터 개인 정보 또는 상법에 대한 법률 자문 및 도움이 필요하신 경우, 다음을 통해 연락 주십시오.
