많은 조직은 GDPR이 IT 보안 시스템에 관한 것이라는 것을 이해합니다. 이것은 GDPR에 대한 가장 일반적인 신화입니다. 실제로 GDPR은 IT 보안 시스템을 넘어 확장되며 개인 데이터를 다루는 조직의 모든 부서와 관련이 있습니다. 모든 프로세스, 개인 데이터를 다루는 조직 내의 제어와 관련이 있습니다. 일반 데이터 보호 규정은 암호화 사용을 의무화하지 않습니다. 조직이 암호화를 사용하지 않기로 선택하면 고객 개인 데이터를 보호하기 위해 어떤 대체 메커니즘을 사용할 것인지를 보여 주어야합니다. GDPR은 암호화에 대한 의무가 없지만 여전히 대부분의 조직은 데이터 암호화에 대한 요구를 여전히 최상의 산업 관행으로 간주하고 데이터 암호화는 다른 규제 준수에 따라 규정되어 있습니다. 따라서 현재 시장에서 데이터 암호화에 큰 색조와 외침이 있습니다. 따라서 SaaS 기반 산업은 또한 GDPR에 따라 의무화되지 않았지만 현재 시장에서 수요가 있기 때문에 휴식 중 및 운송 중에 데이터 암호화를 준수해야합니다.
GDPR은 특히 개인으로부터 개인 정보를 얻기 전에 동의를 얻을 의무를 부과합니다. 개인의 동의를 얻으려면 링크가 제공되어야하며, 여기서 개인 정보 보호 정책을 숙지하고 정보 사용 방법과 정보가 사용되는 목적을 이해할 수 있습니다. 이러한 동의는 클릭을 통한 메커니즘에 의해 제공되어야하며, 여기서 회사는 조직이 얻은 개인의 구체적인 동의를 입증하기 위해 동의의 로그를 유지할 수 있습니다. 개인 정보를 얻는 추가 회사는 그러한 삭제 요청이 개인에 의해 이루어지면 개인 정보를 삭제할 수있는 적절한 메커니즘이 있어야하며, 그러한 삭제에는 잊어 버릴 권리가 포함되어야합니다. 개인 정보의 삭제에 대한 개인 요청이라면 회사는 그러한 요청을 존중하고 개인의 특정 개인 정보를 삭제해야하며 회사는 웹 브라우저에있는 경우 모든 쿠키를 삭제 및 /또는 제거해야하므로 해당 거래에 대해 추적되지 않도록해야합니다.
GDPR은 개인 정보를 취하는 회사에 대한 엄격한 준수를 설정합니다. 현재 다른 조직에서 얻는 양자 및 개인 정보의 유형에 따라 다른 규정 준수 세트가 없습니다. 이름 및 이메일 ID와 같은 기본 개인 정보 만 얻어야하는 모든 회사는 다른 회사가 따라야 할 모든 규정의 모든 엄격한 규정을 준수해야합니다. 앞으로 몇 년 동안 우리는 기본적인 개인 정보를 얻는 조직을 위해 휴식을 추구해야하며, 대량으로 개인을 얻을 필요가없는 조직을 위해 이루어져야 할 것으로 기대합니다. 향후 몇 년 동안 GDPR 규정과 그 시행은 여러 국가에서 관찰 될 것입니다. 개인의 개인 정보를 보호하는 데 뒤쳐지는 다양한 국가가 있습니다. 일부 국가에서는 개인의 개인 정보가 뻔뻔스럽게 얻어지고 있으며 뻔뻔스럽게 오용되고 있습니다. 당신은 쇼핑몰에 가서 청구서를 모으기위한 휴대폰 번호를 제공하도록 요청할 것이며 개인 정보를 보호하는 규정이 없기 때문에 휴대 전화 번호로 무엇을 할 것인지는 결코 알 수 없습니다. GDPR과 같은 규정은 개인 정보를 보호하기위한 것이므로 상업적 혜택을 위해 개인의 개인 정보를 얻는 모든 기관은 해당 개인 정보를 보호하는 데 사회적 책임이 있습니다. GDPR을 구현하는 동안 설정 될 선례는 다른 국가에서 면밀히 모니터링됩니다. 그러므로 다른 국가들은 앞으로 몇 년 동안 GDPR이 설정할 선례를 유사한 규정 기준으로 채택 할 것으로 예상됩니다.
이 규정에 대한 추가 지침이 여전히 나오기 때문에이 규정의 일부 요구 사항은 한동안 구현하기가 어려울 수 있습니다. 그러나 회사는 사전 예방 접근 방식을 취하고 너무 늦게 떠나는 것을 피해야합니다. GDPR은 개인 데이터를 식별하기 위해 처방하지만 일부 산업은이 단계를 매우 번거롭게 발견 할 수 있습니다. 왜냐하면 데이터를 암호화 된 형태로 저장하고 해당 데이터를 해독 할 필요가 없기 때문에 그러한 상황에서는 해당 산업이 나머지 데이터에서 개인 데이터를 식별 할 것으로 기대할 수 없기 때문입니다. 이러한 산업의 경우 유일한 옵션은 전체 데이터를 GDPR에 따라 식별 된 개인 데이터에 제공 한 것과 동일한 수준의 보호 및 준수로 취급하는 것입니다. 그러나 개인 데이터가 식별되지 않으면 이러한 산업은 GDPR에 따라 다른 요구 사항을 준수 할 수 없습니다. 실제로 여러 번 데이터 프로세서가 수신중인 전체 데이터 세트에서 모든 개인 데이터를 식별하는 것은 불가능합니다. 예를 들어, 다른 조직/고객의 클라우드 모델에 저장 될 수있는 다른 조직/고객의 저장소로서 막대한 양의 데이터를받는 산업을 위해, 그러한 산업은 조직/고객의 각 계약을 확인하여 개인 데이터를 식별 할 것으로 기대할 수 없습니다. 이는 이러한 클라우드 서비스 제공 업체가 이러한 막대한 양의 계약 데이터를 암호화 된 형태로 저장해야하며 그러한 데이터를 해독 할 필요가없는 시나리오에서는 불가능합니다.
GDPR은 각 개별 사례의 상황 또는 둘 다에 따라 전 세계 이직률의 최대 20,000,000 또는 4%의 벌금을 부과하는 것과 같은 회사에 큰 영향을 줄 수 있습니다. GDPR은 본질적으로 데이터 처리 문화의 신뢰와 변화에 관한 것입니다. 따라서 주어진 상황에서 회사는 신탁을 구축하고 고객과의 신뢰를 계속 유지하기 위해 GDPR 준수를 보여 주어야합니다.
Zoheb Amin-Legal 조언