대부분의 규제와 마찬가지로 GDPR은해야 할 것과하지 말아야 할 것에 대한 명확한 규칙 목록이 아닙니다. 따라서 Q / A 사이트에서 다루기에는 너무 광범위한 질문이 많습니다. 규제와 관련하여 많은 신화와 부정확 한 단순화가 있으며, 전체 산업은 규제에 의해 부과 된 제재에 대한 두려움에 기초합니다.
이 답변은 주제에 대한 실질적인 개요를 제공하려고합니다. 저는 변호사가 아니지만, 정보 수집 대기 및 접근 방식을 통해, 그리고 현재 실용적이고 우선 순위가 높은 반복적 접근 방식 으로 소개 된 이래로이 주제를 해결 하고 있습니다.
우리는 법정에서 규제가 어떻게 해석 될지 아직 (아직도) 알지 못하며, 많은 회사들이 여전히 다른 사람들의 행동을 기다리고 있습니다. 서버 결함은 IT 전문가를위한 것이기 때문에 규정과 다른 법률과의 관계를 해석 할 수있는 변호사는 아닙니다. 우리가 할 수 있더라도 Q / A 스타일 질문은 대답하는 데 필요한 모든 세부 정보를 갖기까지 매우 길 것입니다. GDPR 준수는 개별 행동의 문제가 아니라 회사 내부의 전체 전략입니다. 그러한 질문을해야하는 경우 컨설턴트 또는 변호사를 고용해야 할 수도 있습니다. 그러나 많은 의지는 하나도없이 생존합니다.
자신의 전략을 작성하고 (법적 조언이있을 수 있음)이를 바탕으로 GDPR을 준수하기 위해 수행중인 작업을 결정해야합니다. 실제 정보 시스템에서 이러한 변경 사항을 구현하려고하면 무언가를 달성하는 방법에 대한 기술적 문제가 발생할 수 있습니다. 그때 질문이 서버 결함 범위로 좁혀졌습니다!
시작하려면 규정이 무엇인지 알아야합니다. 기본적으로 개인 데이터는 수집에서 삭제에 이르기까지 일생 동안 신중하게 처리되도록하는 법적 프레임 워크입니다. GDPR 제 5 조는 개인 데이터 처리 원칙을 간략하게 설명합니다.
- 합법성, 공정성 및 투명성
- 목적 제한
- 데이터 최소화
- 정확성
- 저장 용량 제한
- 무결성과 기밀성.
GDPR은 데이터 주체, 즉 시민들이 자신의 개인 데이터를 통제 할 수있게 해주 며 이러한 원칙을 준수 할 수있는 도구를 제공합니다. 여기에는 자신의 데이터에 액세스 할 수있는 권리, 수정 및 이동, 잊어 버릴 권리 (다른 법이 보존을 요구하지 않는 경우)가 포함됩니다. 또한 제재 가능성이 있으며 회사는 데이터 보호 담당자 를 지정해야 할 수도 있습니다 .
대부분의 원칙은 이미 국가 법 ( Data Protection Directive 95 / 46 / EC 로 인해)으로 구현되어 EU 내부의 회사에 대한 변경이 상당히 제한적입니다. EU 이외의 회사는 EU 시민의 개인 데이터를 처리하는 경우 더 많은 일을 할 수 있습니다.
변경해야 할 주요 사항 중 하나는 책임입니다 . 절차는 철저하게 문서화하여 실제로 달성하는 것이 가장 좋습니다.
- 개인 정보 수집 방법 및 이유
- 처리를 합법적으로 만드는 것 (제 6 조의 한 가지 조건에 동의하는 것 )
- 데이터 저장 및 처리 방법
- 데이터에 액세스 할 수있는 사람과이를 제어하고 감사하는 방법
- 저장 이유가 만료 될 때 제거되는지 (자동 / 표준 사례) 여부
- 관련 위험을 처리하는 방법, 즉 위험 분석
제 생각에는 이러한 것들에 대해주의 깊게 생각하고 문제를 해결하고 발견 한 위험을 완화 한 다음이 모든 것을 문서화했다면 침입이 발생하더라도 제재에서 멀리 떨어져 있어야합니다. 귀하의 상황과 이직 벌금의 4 %에 해당하는 2 천만 유로 / 4 %에 해당하는 행동 종류 사이에는 소홀히 행동 할 수있는 바다가있을 것 입니다.