Mosaic Image

GDPR 준수를 위한 방법

SaaS 플랫폼이 GDPR(개인정보보호법)을 준수하고 과중한 벌금 위험을 줄이려면 아래 지침을 따르세요. GDPR 준수는 사용자 개인 정보를 보호하고 고객 신뢰를 유지하기 위해 필수적입니다.

 

이 가이드는 주요 GDPR 개념 이해 및 데이터 보호 조치 구현을 포함하여 개인 정보 보호를 중시하는 SaaS 플랫폼 구축에 도움이 될 수 있는 필수 단계에 대한 개요를 제공합니다. 

 

집중도 유지를 위해 아래에 편리한 체크리스트를 제공합니다.

1단계

GDPR의 범위 및 요구 사항 이해

처음부터 시작하여 공식 GDPR 텍스트를 자세히 살펴보세요. 다소 딱딱하게 느껴질 수 있지만, “개인 데이터”(식별 가능한 사람과 관련된 정보), “처리”(개인 데이터에 대해 수행되는 모든 작업) 및 “데이터 주체”(데이터와 관련된 개인)와 같은 주요 용어를 살펴보세요.

 

GDPR은 7가지 핵심 원칙을 기반으로 합니다. 

 

  • 적법성, 공정성 및 투명성: 데이터 처리에 대한 법적 근거가 있어야 하며, 고객에게 귀사의 처리 방식을 명확하게 알리고, 조금이라도 기만적인 행위를 피해야 합니다.
  • 목적 제한: 데이터는 합법적이고 구체적이며 명확한 이유로만 사용 및 수집되어야 하며, 향후 사용을 위해 저장되어서는 안 됩니다.
  • 데이터 최소화: 필요한 정보만 수집하세요.
  • 정확성: 최신 정보를 유지하세요. – 잘못된 정보는 피해를 줄 수 있습니다. 
  • 저장 제한: 데이터를 계속 보관할 필요는 없으므로 명확한 보존 정책을 마련하십시오.
  • 무결성 및 기밀성(보안): 암호화를 사용하고 손실, 손상 및 무단 액세스로부터 데이터를 항상 안전하게 보호하십시오.
  • 책임: 규정 준수를 책임지고, 프로세스를 문서화하고, 모든 GDPR 요구 사항을 충족하십시오.

데이터 보호법에 정통한 전문가와 상담하거나, 해당 주제에 대한 온라인 과정이나 웹 세미나를 알아보거나, SaaS 규정 준수 가이드를 살펴보십시오.

2단계

데이터 감사 수행

GPDR 규정 준수의 핵심은 포괄적인 데이터 감사입니다. 따라서 데이터가 무엇인지, 어디에서 와서 어디로 가는지, 어떻게 사용되는지 이해하는 것을 목표로 삼으십시오. 소프트웨어 또는 매핑 도구를 사용하여 데이터 흐름을 이해하고 관리하십시오. 데이터 감사 체크리스트를 만드십시오.

 

  • 우리는 어떤 개인 데이터를 수집하고 있습니까? (이름, 이메일 주소, 전화번호, IP 주소 등)
  • 이 데이터는 어떻게 수집되나요? (사용자로부터 직접 수집, 제3자 통합 등)
  • 데이터는 어디에 저장되나요? (자체 서버, 클라우드 저장소 등)
  • 이 데이터에 누가 접근할 수 있나요? (직원, 계약직, 제3자 공급업체 등)
  • 데이터는 어떻게 사용되나요? (마케팅, 분석, 개인 맞춤 설정 등)
  • 데이터를 얼마나 오래 보관하나요? (데이터 보관 정책이 있나요?)
  • 각 데이터 유형을 처리할 합법적인 이유가 있나요? (동의, 계약, 정당한 이익 등)

 완전하고 정확한 평가를 위해 감사에 확실하지 않은 개인 데이터를 포함하십시오. 나중에 후회하는 것보다 안전한 것이 좋습니다.

3단계

디자인 및 기본 개인 정보 보호(PbD) 구현

플랫폼에서 개인 정보 보호를 최우선으로 생각하십시오. 데이터 수집을 최소화하고 강력한 보안 조치를 사용하며 데이터 사용에 대해 사용자에게 투명하게 공개하십시오.

 

다음을 고려하세요.

 

데이터 최소화:

 

  • 가정에 대한 도전: 수집하는 모든 것을 고려하십시오. 더 적은 정보로도 충분합니까? 정말로 필요합니까?
  • 단계별 수집: 필요에 따라 수집하십시오. 예를 들어 처음에는 이메일 주소만 요구한 다음 필요한 경우 나중에 더 자세한 정보를 요청할 수 있습니다.
  • 대안 제공: 데이터 수집을 제한할 수 있는 옵션을 사용자에게 제공하십시오. 예를 들어, 게스트 결제를 사용하거나 고객이 데이터 공유 기능을 거부할 수 있도록 허용하십시오.

 

목적 제한:

 

  • 명확한 목적 설명: 개인정보보호 및 동의 관련 내용에서 데이터 수집 목적을 명확하게 밝히십시오.광범위하거나 모호한 언어를 사용하지 말고 명확하고 간결하며 요점을 곧바로 전달하는 언어를 사용하십시오.
  • 내부 접근 제한: 업무상 반드시 필요한 직원에게만 접근 권한을 제한해야 합니다.
  • 데이터 삭제: 의도된 목적으로 사용된 후 보관할 필요가 없는 데이터를 삭제하기 위한 프로토콜을 만드십시오.

 

투명성:

 

  • 세분화된 동의: 사용자가 특정 기능의 사용 여부를 선택하고 공유하는 데이터를 제어할 수 있도록 하세요.
  • 명확한 언어로 된 개인정보처리방침: 개인정보처리방침은 법률 용어 대신 일상적인 언어를 사용하여 친숙하고 이해하기 쉽게 유지하세요.
  • 계층화된 알림: 주요 정보에 대한 모든 사용자 알림 요약을 간결하게 작성하고 자세한 내용을 읽고 싶어하는 사용자를 위해 추가 세부 정보 링크를 제공하세요.

 

가명 처리/익명화: 가능한 경우 개인 데이터를 식별 해제할 수 있는 방법을 구현하세요. 예를 들어, 데이터를 개인에게 연결하는 것을 방지하기 위해 식별 정보를 가명(예: User123)으로 대체하세요. 데이터를 개인과 연결할 수 없도록 식별자를 완전히 제거하는 것을 고려하세요.

 

보안:

 

  • 액세스 제어: 개인 데이터를 보고, 수정하거나 삭제할 수 있는 사람을 선택적으로 제한하세요.
  • 데이터 유출 대응 계획: 데이터 유출을 감지, 억제 및 긴급 대응하기 위한 프로세스를 마련하십시오.
  • 정기적인 감사: 잠재적인 보안 문제를 찾아 해결하기 위해 보안에 대한 감사 및 평가를 사전에 예약하십시오.
  • 암호화: 강력한 알고리즘을 사용하여 저장 데이터 및 전송 중인 데이터를 암호화하십시오.
4단계

유효한 동의 얻기

사용자 데이터가 어떻게 사용될지 나타내는 간단하고 명확한 동의 언어를 사용하십시오. 동의는 제공되고, 정보를 기반으로 하고, 구체적이며 언제든지 철회될 수 있음을 투명하게 밝히십시오. 

 

  • 동의 요청은 명확하고 간결하여 사용자가 무엇에 동의하는지 이해할 수 있어야 합니다.
  • 동의에는 특정 목적이 있으며 전체 계약이 아닙니다.
  • 동의는 명확한 "예"여야 합니다. 
  • 동의는 선택 사항이며 강요된 요구 사항이 아닙니다.
  • 사용자는 언제든지 쉽게 동의를 철회할 수 있습니다.
5단계

정보 주체의 권리 이행

GDPR(개인정보보호법)은 정보 주체(개인)가 자신의 개인 정보와 관련하여 가지는 특정 권리를 명시하고 있습니다. 귀사의 SaaS 비즈니스 및 플랫폼은 이러한 권리를 준수해야 합니다. 

 

  • 접근 권한: 사용자의 데이터 처리 여부에 대한 요청을 확인하고 사본을 제공해야 합니다.
  • 수정 권한: 개인이 자신의 개인 정보 수정을 요청할 경우 조치를 취해야 합니다.
  • 처리 제한 권한: 정확성에 대한 이의 제기와 같이 특정 상황에서 데이터 처리 제한 요청은 존중되어야 합니다.
  • 이의 제기 권한: 개인은 자신의 데이터가 직접 마케팅에 사용되는 것을 거부할 수 있으며, 이는 데이터 처리 거부 요청의 한 예시입니다.
  • 삭제권("잊힐 권리"): 사용자가 자신의 개인 데이터 삭제를 요청할 경우, 더 이상 데이터가 필요하지 않은 경우 등 특정 상황에서는 이 요청이 승인될 권리가 있습니다. 
  • 데이터 이동권: 개인은 구조화되고 기계가 읽을 수 있는 형식으로 자신의 데이터 사본을 요청할 수 있으며, 해당 데이터를 다른 관리자에게 전송할 권리가 있습니다.

 

DSAR(데이터 주체 접근 요청)에는 책임자, 요청 확인 방법, 제공되는 정보 등이 포함된 명확하고 문서화된 절차가 필요합니다.


직원들은 GDPR에 따라 DSAR을 처리하고 접수 후 한 달 이내에 응답할 수 있도록 교육을 받고 준비되어야 합니다. 복잡한 경우 최대 3개월까지 허용될 수 있습니다. 이러한 절차를 간소화하기 위해 DSAR 관리 도구를 사용하는 것이 좋습니다.

 

데이터 주체의 권리를 준수하는 것은 사용자와의 신뢰를 구축하고 개인 정보 보호에 대한 의지를 보여주는 것이기도 합니다.

6단계

데이터 보호 책임자(DPO) 임명

SaaS 플랫폼에서 많은 양의 개인 데이터를 처리하거나 위험도가 높은 것으로 간주되는 활동에 참여하는 경우 DPO를 지정하는 것이 좋습니다. 필수 사항은 아니지만, 데이터 보호 책임자를 두는 것이 좋습니다.

 

DPO의 주요 책임:

 

  • 회사에 데이터 보호 의무에 대해 알립니다.
  • 감독 당국 및 데이터 주체의 연락 창구 역할을 합니다.
  • 감독 당국과 협력합니다.
  • 데이터 보호 영향 평가(DPIA)에 대한 SME(주제 전문가) 역할을 합니다.
  • GDPR 및 기타 데이터 보호법을 준수합니다.
7단계

데이터 침해 통지

데이터 침해 통지 계획을 수립해야 합니다. 침해가 발생하는 경우, 해당 권한이 있는 기관에 72시간 이내에 통지해야 하며, 권리와 자유에 위험이 있는 경우 영향을 받는 개인에게 지체 없이 통지해야 합니다. 

 

데이터 유출 대응 계획:

 

  • 사고 식별: 데이터 침해를 식별하기 위한 기준을 만드세요. 어떤 사건이 대응 계획을 실행할지 명확하게 정의해야 합니다.
  • 봉쇄: 비밀번호 변경, 취약점 패치, 시스템 격리 등 침해로 인한 추가 피해를 방지하고 침해를 억제하기 위한 절차를 마련해야 합니다.
  • 평가: 침해의 심각도를 평가하고 유출된 데이터를 파악하세요. 침해에 연루된 개인의 수를 파악하고 이로 인해 발생할 수 있는 개인 권리에 대한 잠재적 위험을 평가하세요.
  • 알림: 데이터 침해가 발생하여 개인의 권리가 침해될 수 있는 경우 72시간 이내에 관계 당국에 알리세요. 침해로 인해 개인의 권리와 자유에 심각한 위험이 발생할 경우, 영향을 받는 개인에게 침해 사실과 자신을 보호하기 위해 취할 수 있는 조치에 대한 명확하고 간결한 정보를 제공해야 합니다. 항상 안전을 위해 그들에게 최신 정보를 제공하는 것이 좋습니다.
  • 조사 및 개선: 철저한 조사 후 근본 원인을 파악하고 향후 침해를 방지하기 위한 적절한 조치를 취하세요.

결론

GDPR 준수는 일회성 업무가 아닌 지속적인 진행형 작업으로 간주되어야 합니다. 제안된 단계를 따르고, 규정을 최신 상태로 유지하고, 데이터 보호를 우선순위로 함으로써 신뢰를 구축하고 법적 및 재적 위험을 완화할 수 있습니다.

FAQ

시작할 준비가 되셨나요?

저희는 여러분과 같은 길을 걸어왔습니다. 18년의 경험을 공유하고 글로벌 꿈을 현실로 만들어 보세요.

가입하기 Mosaic Image
ko_KR한국어