GDPR과 클라우드 : 곤경에 빠지지 않으려면 알아야 할 것

David Linthicum | InfoWorld 2018.03.06
유럽연합의 새로운 데이터 규제는 클라우드 컴퓨팅을 사용하는 기업에 문제가 될 수 있다. 위반의 책임을 기업과 클라우드 서비스 업체 모두가 진다는 것을 알아야 한다.

GDPR(General Data Protection Regulation)은 2018년 5월 25일부로 유럽연합에 거주하는 모든 사람을 위한 데이터 보호를 통합한다. 여기에 더해 GDPR은 개인 데이터를 유럽연합 밖으로 내보내고 처리하는 문제도 해결하는데, 이 지점이 클라우드 사용 기업이 컴플라이언스와 관련해 주의를 기울여야 하는 부분이다.



단도직입적으로, GDPR을 준수하려면 어떻게 해야 하는가? 새로운 규제의 핵심은 유럽연합 거주민의 프라이버시를 보호하는 것이다. 많은 사람이 이를 데이터가 유럽연합 국가에 보관되어야만 하는 것으로 이해하지만, 실제로 데이터는 세계 어디에도 저장할 수 있다. GDPR 규제에 따라 수집하고 사용하면 된다.

만약 유럽연합 거주민에게 서비스를 제공하려면, 반드시 따라야 할 몇 가지 기본적인 규칙이 있다. 이들 규칙을 지원하기 위해 GDPR은 데이터 컨트롤러(Data Controller), 데이터 프로세서(Data Processor), 데이터 보호 담당관(Data Protection Officer, DPO) 등 몇 가지 역할을 정의한다.

- 데이터 컨트롤러는 개인 식별 정보를 어떤 목적으로 어떻게 처리하는 지를 정의한다. 다시 한 번 말하지만, 데이터 처리는 규제를 따르는 한 유럽연합 안에서도 밖에서도 일어날 수 있다.

- 데이터 프로세서는 개인 데이터 기록을 유지하고 처리한다. GDPR은 데이터 프로세서에게 데이터 침해의 책임을 지게 한다. 이는 클라우드 기반 플랫폼을 사용한다는 점을 고려할 때 중요한데, 기업과 클라우드 서비스 업체 모두가 규제 위반의 책임을 진다. 심지어 아웃소싱한 데이터 프로세서가 규제를 위반해도 기업과 클라우드 서비스 모두 곤란해질 수 있다. 기본적으로 기업이 고용한 서비스 업체의 활동과 비활동 모두를 책임져야 하기 때문이다.

- DPO는 유럽연합 거주민의 데이터를 저장하고 처리하는 모든 기업이 반드시 두어야 하는 역할이다. 기업을 교육하고 GDPR 규제준수를 보장하며, 위반 등의 문제가 생겼을 때 규제기관과 연락하는 사람이다.

글로벌 2000대 기업 대부분이 그렇지만, 유럽연합 거주민과 관련된 사업을 한다면 이들 새로운 규제를 알고 있어야 한다. 사실 아직까지 GDPR에 맞춰 내부 개편과 재조직 과정을 시작하지 않았다면, 이미 늦었을지도 모른다.

한편, 이런 과정의 일부로 SLA를 업데이트해 GDPR 컴플라이언스 관련 용어를 포함시켜야 한다. 이 지점에서 기업과 클라우드 서비스 업체 모두 약간의 위험을 감수해야 하는데, 기본적인 GDPR의 규칙과 프로세스를 따르지 않으면 서로에게 피해를 줄 수 있다.

필자는 또한 1년에 두 번 정도 내부적인 컴플라이언스 감사를 실시할 것으로 권장하는데, GDPR을 준수할 수 있는 역량을 정확하게 파악할 수 있다. 만약 GDPR의 규제를 위반하면, 기업이 어디에 있든 엄청난 벌금을 물 수 있다.

컴플라이언스 비용 때문에 일부 소규모 기업은 유럽연합 거주민에게 서비스를 제공할 수 없을 수도 있으며, 이런 기업은 유럽연합에 서비스를 제공하지 않는다는 것을 확실히 해야 한다. 그외 모든 기업은 자사 뿐만 아니라 클라우드 서비스 업체가 GDPR의 규제를 준수하는지 확실히 할 필요가 있다.  editor@itworld.co.kr
 Tags GDPR

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.