유럽에서 안전하게 비즈니스 하기!? Cloud Z 면 GDPR도 O.K!!

지난 몇 주에 걸쳐 GDPR (General Data Protection Regulation) 관련 기사를 많이 보셨으리라 생각합니다. GDPR은 유럽연합(EU) 사용자의 개인정보 데이터 보호를 강화하고 관련 항목들을 통일하기 위해 제정된 규정으로 2016년 4월에 유럽의회를 통과했고 2018년 5월 25일부터 시행되었죠. EU소비자 개인정보보호 강화를 목적으로 제정된 GDPR은 적용 범위가 넓고, 소비자 개인정보보호와 관련해 기업이 준수해야 할 항목들을 구체적으로 정의하고 있습니다. 또한 이를 위반 시 강력한 처벌이 내려지기 때문에 관련 기업들이 발빠르게 준비 중입니다. 따라서 EU 소비자 대상으로 사업을 하는 우리 기업들도 상세 분석과 체계적 준비가 꼭 필요한 상황입니다. 그래서 오늘은 GDPR의 주요 내용이 무엇이고, 어떤 기업들이 대상이 되는지 정리해 보았습니다. 

 

GDPR 주요 내용은 다음과 같습니다.

1) 개인정보보호 권리 및 데이터 보호 의무의 강화

사용자가 자신의 데이터에 접근할 수 있고 필요한 처리를 할 수 있는 실제적 통제력을 제공해야 함. 비밀 보호, 기록 유지 및 데이터 이용에 대한 투명성 확보와 정책에 대한 엄격한 기준 적용

2) 기업 책임 강화를 위한 조치 강화

개인정보보호책임자(DPO)지정, 개인정보처리활동 기록, 개인정보 영향평가 등 기업의 책임 강화

3) 개인정보의 EU지역 외 이전

EU가 인정한 적절한 수준의 보호 조치가 선행되어야 EU지역 외로 정보 이전 가능한 정책 시행

4) 법 위반 시 과징금 부과

GDPR 준수에 실패한 기업에게 고의성 여부에 상관 없이 무거운 벌금을 부과하는 처벌 규정으로 위반 사항에 따라 전체 매출의 2%/ 4% 또는 1천만 유로/ 2천만 유로 중 높은 금액을 벌금 납부

5) 이용 약관, 개인정보 수집, 처리 및 이전 정책 안내 수정 및 게시

6) EU 지역 내 업무 대리인 지정 의무화

EU 소비자에게 서비스를 제공 또는 EU지역에 사업 거점을 가진 조직은 EU지역 내 업무 대리인을 의무적으로 지정 필요.

 

GDPR 적용 대상 기업은 다음과 같습니다:

1) EU에 사업장을 운영하고 있는 기업 (지사, 지점 및 영업점 등)

2) EU지역에 물리적 사업장은 없지만, 인터넷을 통해 EU 소비자에게 상품 및 서비스를 판매 또는 제공하는 기업 (예, EU국가의 언어로 영업 및 마케팅을 하거나 EU통화 결제를 하는 기업)

3) EU지역 소비자 행동을 모니터링 하는 기업

 

위 언급된 항목으로 EU 소비자의 개인정보를 처리하는 기업들은 모두 적용 대상이 되는 것이죠. 그리고 이 기업들은 EU지역 내 정보처리 담당자(DPO)와 업무 대리인을 지정해야 합니다. 그런데 기업에게 요구되는 GDPR 준비의 많은 부분이 IT환경 및 시스템과 관련되어 있습니다. 온-프레미스 중심의 IT환경을 가진 기업은 클라우드 기반 기업에 비해 상대적으로 준비해야 할 업무와 시스템이 많고 이에 따른 비용과 작업도 클 수 밖에 없습니다. 반면에 클라우드 기반의 IT 환경을 가진 기업들은 클라우드 서비스 공급 업체의 GDPR 준비 수준에 따라 희비가 달라질 것 같습니다. 그럼 Cloud Z은 어떻게 GDPR에 대응할까요? 여러분도 잘 알다시피 Cloud Z는 IBM 클라우드 플랫폼을 공유하기 때문에 구조적, 기술적 그리고 운영적 강점을 그대로 활용할 수 있죠. 오늘 주제인 GDPR에도 동일하게 적용됩니다!

 

GDPR 대응을 위해 Cloud Z를 선택해야 하는 이유는?

 

Cloud Z 핵심 전략, Data First!

GDPR이 많은 것을 규정하고 있지만 핵심은 Data입니다. 소비자 데이터 보호 강화, 데이터 통제 및 관리 체계 의무화 그리고 데이터 이동 및 반출 규제 강화 등…모든 내용은 데이터로 귀결되고 있죠. GDPR의 데이터 중심 정책에 대응하는 Cloud Z의 핵심은 Data first 전략입니다. Data first 정책의 실현을 위해서는 완벽한 데이터 보호 및 관리 투명성을 보장할 수 있는 클라우드 아키텍처와 플랫폼이 필수죠. Cloud Z는 설계 시점부터 Data first 철학이 반영되었기 때문에 GDPR 요건을 완벽하게 충족하는 클라우드 서비스로 평가받고 있는 것이죠. 

좀 더 살펴보면, Cloud Z는 GDPR 요건 – 소비자 데이터 저장 위치 파악, 데이터 접근 권한 제어 및 프로세서 수준의 하이퍼바이저를 이용한 소비자 데이터 직접 관리 그리고 필요 시 개인정보 즉각 삭제 기능 등 –들을 충족하고 있습니다. 한 기업이 개별적으로 GDPR 규정을 충족시키는 IT환경을 구현하는 것은 엄청난 시간과 비용을 필요로 하죠. 소비자 데이터 관리의 가시성을 확보하지 못한 기업들은 Cloud Z를 선택함으로써, 시간과 비용 그리고 서비스 완성도 3가지 이슈를 한 번에 해결 가능하죠. 그리고 비즈니스 위험 요소를 확실히 없앨 수 있습니다!

 

EU 전역을 지원하는 데이터센터와 네트워크 역량

GDPR은 EU 소비자 데이터를 보유한 기업들의 큰 걱정거리이죠. 효과적으로 고민을 해결하기 위해서 서비스 공급자는 믿을 수 있는 데이터 보호 정책과 클라우드 환경을 갖추어야 하고 해당 규제와 관련된 흐름과 정책을 누구보다도 잘 알아야 합니다. IBM은 EU Cloud Data Protection Code of Conduct에 가장 먼저 참여한 기업이고 현재도 주도적으로 참여하고 있습니다. IBM 클라우드 플랫폼을 공유하는 Cloud Z의 GDPR 대응 수준이 높을 수 밖에 없는 이유죠.

그리고 Cloud Z는 유럽 지역에서 운영되는 16개 클라우드 데이터센터 그리고 유럽 전역을 지원하는 데이터센터 네트워크를 통해 기업들이 GDPR 관련 고민을 해결합니다. 더불어 Cloud Z는 EU 전역의 데이터센터를 포함하는 보안, 통합 인증과 접근 제어, 데이터의 모니터링을 서비스 수준에서 관리함으로써 GDPR의 사용자 데이터 접근 제어, 통제 및 투명성 같은 이슈들을 안정적으로 처리하고 있죠. GDPR 관련 전문성, 리더쉽 및 믿을 수 있는 클라우드 플랫폼은 하루에 만들어지지 않습니다.

 

GDPR Framework을 활용한 최적의 운영 역량

완벽한 GDPR 대응을 위해서는 신뢰할 수 있는 데이터 보호 체계, 클라우드 플랫폼 및 데이터센터가 꼭 필요하죠. 하지만 하나 더! 잘 짜인 운영 정책과 프로세스가 필요합니다. Cloud Z는 GDPR Framework을 활용해 GDPR 운영 정책과 프로세스를 체계적으로 관리합니다. GDPR Frameworks는 5 단계 (assess, design, transform, operate 그리고 conform)로 구성되어 있습니다. 각 단계별로 수행해야 하는 활동과 산출물을 정의하고 업무 프로세스, 담당 인원 및 기술 요소들을 통합 운영함으로써 GDPR 업무의 효율성을 보장하는 것이죠.

 

GDPR을 위한 전문 파트너 체계 구축

믿을 수 있는 클라우드 플랫폼, 체계적 GDPR 프레임워크와 더불어 필요한 것은 GDRP 관련 전문 파트너들과의 협력 체계입니다. GDPR이 요구하는 업무 범위 및 조건들이 많기 때문에 다양한 전문가와의 협력이 필요합니다. Cloud Z는 GDPR 수준 및 상태를 정확히 감사, 분석 및 평가하는 전문 기업과의 파트너쉽을 통해 GDPR 관련 항목들의 지속적 모니터링과 평가 작업을 수행하고 있죠. 또한, Cloud Z 이용 기업들이 준수해야 하는 규제 및 관련 항목들에 대한 보고서와 정보를 제공하는 전문 기업과도 협력하고 있습니다.

 

EU지역 내 업무 대리인 지정 서비스 제공

Cloud Z가 GDPR 준비가 필요한 국내 기업들을 위해 준비한 차별화 요소 중 하나는 “EU지역 업무 대리인 서비스”입니다. EU지역 업무 대리인을 지정하는 가장 일반적 방법은 현지 법무 법인 (로펌)을 고용하는 것이죠. 그런데 문제는 엄청난 비용입니다. 이에 대한 대안으로 Cloud Z는 Online Total 서비스 전문 기업인 ISG와의 협력으로 “EU지역 소비자에게 서비스(예, 게임, 상거래)를 제공하는 기업은 EU지역 업무 대리인을 지정해야 한다”는 GDPR 요건을 지원합니다. 글로벌 네트워크와 비즈니스 경험을 가진 파트너, ISG 체코 법인을 통해 국내 기업들도 합리적 비용으로 GDPR을 준비할 수 있습니다.  

경제 영역의 세계화와 디지털 경제 환경으로 전환 가속화 등으로 인해 기업들이 준비해야 하는 각종 규제는 증가일로에 있습니다. 개인정보보호법 및 GDPR 등이 대표적이고 이런 흐름은 더 강화될 것으로 전문가들은 예상하고 있죠. 이런 규제들은 기업이 비즈니스 연속성 보장을 위해 꼭 대응해야 하는 사항이고 많은 비용과 시간의 투자를 요구합니다. 하지만 Cloud Z를 선택하는 기업들은 추가 비용과 노력없이 빠르게 수준 높은 GDPR 체계를 확보할 수 있습니다. 이것이 Cloud Z를 사용하셔야 하는 또 다른 이유입니다!