GDPR 시행 단계 2주, 지금은?

마침내 일어났다 . 일반 데이터 보호 규정은 마침내 2018 년 5월 25일에 시행 단계에 들어갔습니다 .

많은 광고주들이 두려워하는 것에도 불구하고 GDPR이 시행 단계에 들어간 후에도 세상은 끝나지 않았습니다. 하지만 바뀌었습니다. 그림 크레딧: 개인 정보 보호

업계는 준비가 되었습니까? 마지막 순간의 정책 업데이트로 충분했습니까 ? 지금 무슨 일이 일어나는거야? 이 블로그 게시물에서는 주요 업체들이 마감일을 어떻게 준비했는지, GDPR이 시행되면 어떻게 되는지, 회사가 앞으로 어떻게 규정 준수를 위해 노력할 수 있는지 살펴봅니다.

가장 큰 선수에 대한 첫 번째 공격

대기업들이 소송의 고통을 느끼기까지는 그리 오랜 시간이 걸리지 않았습니다. GDPR이 발효된 지 불과 몇 분 만 에 개인 정보 보호 운동가인 Max Schrems와 그의 조직인 None of Your Business는 "강제 동의"를 주장하는 소송으로 Google과 Facebook을 강타했습니다. 소송은 특정 동의에 대한 GDPR 규칙을 준수하지 않는다고 주장합니다. 왜냐하면 이러한 회사는 사용자에게 일부 조건에 동의하고 다른 조건에는 동의하지 않도록 하는 대신 전부 아니면 전무 옵션(이 서비스에 액세스하기 위해 이러한 조건에 동의함)을 제공하기 때문입니다.

구글과 페이스북은 GDPR을 준수하기 위해 적절한 조치를 취했다고 주장했다.

그 후 프랑스 디지털 권리 그룹 La Quadrature du Net이 뒤를 이어 Google, Facebook, Apple, Amazon 및 LinkedIn에 대한 추가 불만 사항을 제출했습니다. 불만 사항은 Schrems가 제기한 불만 사항과 유사하며 강제 동의를 통한 위반을 주장합니다. La Quadrature는 또한 Android, WhatsApp, Instagram, Skype 및 Outlook에 대한 공식 불만을 제기할 계획이지만 이 글을 쓰는 시점에서 아직 공식적인 조치를 취하지는 않았습니다.

Apple, Facebook 및 Google이 준비한 방법

이러한 불만 사항이 진정으로 이들 회사를 놀라게 한 것인지 말하기는 어렵지만, 많은 회사가 시행에 앞서 일반적으로 준비가 되어 있다는 느낌을 전달했습니다.

예를 들어, Apple 은 2018년 5월 말에 고객에게 보유하고 있는 개인 데이터를 보여주는 새로운 웹사이트를 도입 했습니다. 이제 EU의 Apple 고객은 로그인 기록에서 연락처, 캘린더, 메모, 사진 및 문서에 이르기까지 이 데이터를 보도록 요청할 수 있습니다. 고객은 또한 데이터를 수정하고 계정을 비활성화하고 모든 정보를 삭제할 수 있습니다. (Apple은 현재 이 서비스를 EU 국가, 아이슬란드, 리히텐슈타인, 노르웨이, 스위스에서만 제공하고 있지만 올해 말 다른 국가로 확장할 계획이라고 밝혔습니다.)

2018년 4월, Facebook 은 서비스 약관 및 데이터 정책 의 명확한 버전 으로 웹사이트를 업데이트하여 사용자에게 새 언어에 대한 피드백을 제공하고 최종 사용자에게 동의를 요청하기 전에 7일을 제공했습니다. 페이스북은 또한 "설정을 거의 20개의 다른 화면에 분산시키는 대신 이제 한 곳에서 액세스할 수 있다"고 말하면서 설정을 더 쉽게 찾을 수 있도록 앱 컨트롤을 정밀 검사 하고 간소화할 것이라고 밝혔습니다.

Google 은 GDPR 마감일 6개월 전에 GDPR 관련 업데이트 를 수행하고 사용자에게 알린 초기 행위자 중 하나였습니다. 데이터 사용 방식에 대한 '명확하고 투명한 고지' 요구사항을 준수하기 위해 G Suite 및 Google Cloud에 대한 데이터 처리 수정 사항 및 보안 약관이 가장 중요하게 업데이트되었습니다. 기타 업데이트에는 데이터 내보내기를 위한 새로운 옵션과 기능이 포함됩니다.

앞으로의 일

GDPR의 완전한 영향은 아직 결정되지 않았으며 부분적으로 고객과 활동가 그룹이 새로운 권리를 얼마나 많이 행사하는지에 달려 있습니다. 2017년 8월 영국 소비자를 대상으로 한 Forrester 설문조사 에서 응답자의 51%가 GDPR에 따라 새로운 권리를 행사할 가능성이 적어도 어느 정도 있다고 말했습니다. 그러나 인용된 가장 일반적인 예는 데이터 삭제로, 본격적인 소송과는 거리가 멉니다.

그러나 이 새로운 규정의 가장 큰 장점은 더 많은 소비자가 회사를 면밀히 조사하고 있다는 것이 아니라 더 많은 회사가 다른 회사를 면밀히 조사하고 있다는 것입니다. GDPR은 개인 데이터를 만지는 모든 당사자에 대한 공동 책임을 의무화하기 때문에 기업은 비즈니스 파트너의 프로세스와 행동을 훨씬 더 자세히 조사하고 있습니다. 이것이 GDPR의 진정한 천재성이라고 데이터 규정 준수 유럽 이사인 Simon McGarr는 최근 Quartz 기사 에서 다음과 같이 설명합니다 .

“유럽에는 많은 데이터 보호 당국이 있지만 모든 문을 두드리기에는 충분하지 않습니다. 따라서 법에 다단계 규정 준수 구조가 구축되어 있어 대기업이 소기업에 대해 규정 준수를 시행하게 하는 등의 방식을 따르게 됩니다.”

5월 25일 이후에 기대했던 것보다 준비가 덜 된 기업은 이미 비즈니스 파트너로부터 압박을 받고 있을 수 있으며 사이버 보안 전문가인 Elliot Rose는 마감된 후에도 여전히 속도를 내는 조직이 많이 있을 것이라고 예측합니다. 이러한 상황에 있는 사람들의 최우선 순위는 민감한 정보를 다루는 고위험 영역을 해결하는 것입니다. 기업은 민감한 데이터를 보호하고 데이터가 저장된 위치와 액세스 권한을 가진 사람을 조사하는 데 집중해야 합니다. 중요한 것은 계획을 세우고 가능한 한 빠르고 정확하게 진행하는 것입니다.

대비하기

궁극적으로 GDPR은 개인 정보 보호 및 투명성과 관련하여 경쟁의 장에까지 도움이 될 것이며 이전에 닫혀 있던 커뮤니케이션의 문을 열 것입니다. 기업으로서 대화를 지속하기 위해 취할 수 있는 몇 가지 단계는 다음과 같습니다.

데이터가 법적으로 처리되는 방식 평가

최종 사용자의 동의가 있습니까? 구체적이고 모호하지 않으며 자유롭게 제공됩니까? 최종 사용자 경험이 이를 명확히 합니까? 데이터를 수집, 처리 및 저장할 정당한 이익이 있습니까? 각 질문에 "예"로 대답할 수 없다면 한 발 물러나야 할 때입니다.

필요한 모든 알림 업데이트

최종 사용자에게 제공하는 현재 개인 정보 보호 정책, 고지 또는 기타 정보를 검토했습니까? 수집 시점에 이러한 중요한 통지가 있습니까? 데이터 수집, 사용 및 저장을 최종 사용자에게 투명하게 유지하기 위해 모든 개인 정보 보호 고지를 검토해야 할 수 있습니다.

데이터 액세스, 수정 권리 및 잊혀질 권리 프로토콜 채택

이러한 원칙을 통해 최종 사용자는 오래되거나 부정확한 개인 데이터를 수정하고 처리에서 완전히 제거할 수 있습니다. 이러한 요청에 적절하게 대응할 수 있도록 내부 정책 및 절차를 구현하고 유지해야 합니다.

가명 또는 익명 데이터 사용

데이터의 익명화 또는 가명화를 통해 고유 식별자를 제거하거나 제한하는 것을 고려하십시오. 일부 기술에는 해싱, 솔팅, 암호화 및 토큰 사용이 포함됩니다. 이는 최종 사용자의 향후 식별 가능성을 최소화하는 데 도움이 될 수 있으며 규정 준수 의무를 최소화하는 데도 도움이 될 수 있습니다.

TUNE 및 GDPR에 대해 자세히 알아보려면 여기에서 당사 페이지를 읽으십시오 .