일반 데이터 보호 규정 (GDPR), 유럽 연합의 랜드마크 데이터 프라이버시 법은 2018년에 발효되었습니다. 그러나 많은 조직은 여전히 ​​규정 준수 요구 사항을 충족하는 데 어려움을 겪고 있으며 EU 데이터 보호 당국은 주저하지 않고 처벌을 내립니다.

세계 최대 규모의 기업도 GDPR 문제에서 자유롭지 않습니다. 아일랜드 규제 기관 Meta에 1.2억 유로 벌금 부과 2023년. 이탈리아 당국은 OpenAI 조사 중 위반이 의심되는 경우 ChatGPT를 잠시 금지하기까지 합니다.

많은 기업에서는 법률이 복잡할 뿐만 아니라 많은 부분을 재량에 맡기기 때문에 GDPR 요구 사항을 구현하는 데 어려움을 겪고 있습니다. GDPR은 유럽 내부 및 외부 조직이 EU 거주자의 개인 데이터를 처리하는 방법에 대한 다양한 규칙을 제시합니다. 그러나 기업이 이러한 규칙을 제정하는 방법에 대해 어느 정도 재량권을 부여합니다.

GDPR을 완전히 준수하려는 조직의 세부 계획은 조직이 수집하는 데이터와 해당 데이터로 수행하는 작업에 따라 달라집니다. 즉, 모든 기업이 GDPR을 구현할 때 취할 수 있는 몇 가지 핵심 단계는 다음과 같습니다. 

• 개인 데이터 인벤토리
• 특수 카테고리 데이터 식별 및 보호 
• 데이터 처리 활동 감사
• 사용자 동의 양식 업데이트  
• 기록 보관 시스템을 구축하세요
• 규정 준수 책임자 지정
• 데이터 개인 정보 보호 정책 초안 작성
• 제3자 파트너가 규정을 준수하는지 확인하세요.
• 데이터 보호 영향 평가를 위한 프로세스 구축
• 데이터 침해 대응 계획 구현
• 정보주체가 자신의 권리를 쉽게 행사할 수 있도록 하십시오.
• 정보 배포 보안 조치

GDPR을 구현해야 합니까? 

GDPR은 다음을 처리하는 모든 조직에 적용됩니다. 개인 정보 해당 조직의 기반 위치에 관계없이 유럽 거주자의 수입니다. 디지털 경제의 상호 연결되고 국제적인 특성을 고려하면 오늘날 많은, 어쩌면 대부분의 비즈니스가 여기에 포함됩니다. GDPR의 범위에 속하지 않는 조직이라도 데이터 보호를 강화하기 위해 해당 요구 사항을 채택할 수 있습니다.

보다 구체적으로 GDPR은 유럽 경제 지역(EEA)에 기반을 둔 모든 데이터 컨트롤러 및 데이터 프로세서에 적용됩니다. EEA에는 EU 회원국 27개국과 아이슬란드, 리히텐슈타인, 노르웨이가 모두 포함됩니다. 

A 데이터 컨트롤러 개인 데이터를 수집하고 해당 데이터의 사용 방법을 결정하는 조직, 그룹 또는 개인입니다. 생각해보세요: 주문 업데이트를 보내기 위해 고객의 이메일 주소를 저장하는 온라인 소매업체입니다.

A 데이터 프로세서 데이터 처리 활동을 수행하는 조직 또는 그룹입니다. GDPR은 "처리"를 데이터에 대해 수행되는 모든 작업(데이터 저장, 분석, 변경 등)으로 광범위하게 정의합니다. 처리자에는 기업이 주요 고객 인구통계를 이해하도록 돕기 위해 사용자 데이터를 분석하는 마케팅 회사와 같이 관리자를 대신하여 개인 데이터를 처리하는 제3자가 포함됩니다.

GDPR은 다음 조건 중 하나 이상을 충족하는 경우 EEA 외부에 위치한 컨트롤러 및 프로세서에도 적용됩니다. 

• 회사는 돈이 바뀌지 않더라도 정기적으로 EEA 거주자에게 상품과 서비스를 제공합니다.
• 회사는 추적 쿠키를 사용하는 등 EEA 거주자의 활동을 정기적으로 모니터링합니다. 
• 회사는 EEA의 컨트롤러를 대신하여 개인 데이터를 처리합니다. 
• 회사에는 EEA에 직원이 있습니다.

GDPR의 범위에 대해 주목할 만한 몇 가지 사항이 더 있습니다. 첫째, 자연인의 개인정보에만 관련됩니다. 데이터 주체 GDPR 용어로. ㅏ 자연인 살아있는 인간이다. GDPR은 기업과 같은 법인이나 사망자의 데이터를 보호하지 않습니다.

둘째, GDPR 보호를 받기 위해 EU 시민일 필요는 없습니다. EEA의 정식 거주자만 있으면 됩니다.

마지막으로, GDPR은 상업, 학술, 정부 등 거의 모든 이유로 개인 데이터 처리에 적용됩니다. 기업, 병원, 학교, 공공 기관은 모두 GDPR의 적용을 받습니다. GDPR에서 제외되는 유일한 처리 작업은 국가 안보, 법 집행 활동 및 순전히 개인적인 데이터 사용입니다.

GDPR 구현 단계 

모든 경우에 적용되는 일률적인 GDPR 규정 준수 계획은 없지만 조직에서 GDPR 구현 노력을 안내하는 데 사용할 수 있는 몇 가지 기본 관행이 있습니다.

주요 GDPR 요구 사항 목록은 다음을 참조하세요. GDPR 준수 체크리스트. 

개인 데이터 인벤토리  

GDPR은 명시적으로 데이터 인벤토리를 요구하지 않지만 많은 조직이 두 가지 이유로 여기에서 시작합니다. 첫째, 회사가 어떤 데이터를 보유하고 있고 어떻게 처리되는지를 알면 조직이 규정 준수 부담을 더 잘 이해하는 데 도움이 됩니다. 예를 들어, 사용자 건강 데이터를 수집하는 기업은 이메일 주소만 수집하는 기업보다 더 강력한 보호가 필요합니다.

둘째, 포괄적인 인벤토리를 통해 데이터 공유, 업데이트 또는 삭제에 대한 사용자 요청을 더 쉽게 준수할 수 있습니다. 

데이터 인벤토리는 다음과 같은 세부정보를 기록할 수 있습니다.

• 수집된 데이터 유형(사용자 이름, 검색 데이터)
• 데이터 모집단(고객, 직원, 학생)
• 데이터 수집 방법(이벤트 등록, 랜딩 페이지)
• 데이터가 저장되는 위치(온프레미스 서버, 클라우드 서비스)
• 데이터 수집 목적(마케팅 캠페인, 행동 분석)
• 데이터 처리 방법(자동 채점, 집계)
• 데이터에 접근할 수 있는 사람(직원, 공급업체)
• 기존 보호 장치(암호화, 다중 요소 인증) 

다양한 워크플로우, 데이터베이스, 엔드포인트, 심지어는 조직 네트워크 전체에 흩어져 있는 개인 데이터를 추적하는 것이 어려울 수 있습니다. 섀도우 IT 자산. 데이터 인벤토리를 보다 쉽게 ​​관리하기 위해 조직은 데이터를 자동으로 검색하고 분류하는 데이터 보호 솔루션 사용을 고려할 수 있습니다. 

IBM Guardium® Data Protection이 AWS, DBaaS 및 온프레미스 메인프레임과 같은 주요 저장소에서 민감한 데이터를 자동으로 검색, 분류 및 보호하는 방법을 알아보세요.

특수 카테고리 데이터 식별 및 보호 

데이터 목록을 작성할 때 조직은 추가 보호가 필요한 특히 민감한 데이터를 기록해 두어야 합니다. GDPR은 특히 특수 범주 데이터, 범죄 유죄 판결 데이터, 아동 데이터 등 세 가지 종류의 데이터에 대해 추가 예방 조치를 요구합니다.  

• 특수 카테고리 데이터 생체 인식, 건강 기록, 인종, 민족 및 기타 매우 개인적인 정보가 포함됩니다. 조직에서는 일반적으로 특수 범주 데이터를 처리하기 위해 사용자의 명시적인 동의가 필요합니다. 

• 범죄 유죄 판결 데이터 공공 기관에 의해서만 통제되고 해당 기관의 지시에 따라 처리될 수 있습니다. 

• 어린이 데이터 부모의 동의 없이는 처리할 수 없으며 조직에는 데이터 주체의 연령과 부모의 신원을 확인하는 메커니즘이 필요합니다. 각 EEA 주에서는 GDPR에 따라 "아동"에 대한 자체 정의를 설정합니다. 컷오프 범위는 13세 미만부터 16세 미만까지입니다. 기업은 이러한 다양한 정의를 준수할 준비가 되어 있어야 합니다. 

데이터 처리 활동 감사 

데이터 인벤토리 중에 조직은 데이터가 수행하는 모든 처리 작업을 기록합니다. 그런 다음 조직은 이러한 작업이 GDPR 처리 규칙을 준수하는지 확인해야 합니다. 가장 중요한 GDPR 원칙 중 일부는 다음과 같습니다.

• 모든 처리에는 확립된 법적 근거가 있어야 합니다. 데이터 처리는 조직이 해당 처리에 대해 승인된 법적 근거를 갖고 있는 경우에만 허용됩니다. 일반적인 법적 근거에는 사용자 동의 획득, 사용자와의 계약 이행을 위한 데이터 처리, 공익을 위한 데이터 처리 등이 포함됩니다. 조직은 시작하기 전에 모든 처리 작업에 대한 법적 근거를 문서화해야 합니다.

승인된 법적 근거의 전체 목록은 다음을 참조하세요. GDPR 준수 페이지.

• 목적 제한: 데이터는 구체적으로 정의된 목적을 위해 수집되고 사용되어야 합니다. 

• 데이터 최소화: 조직은 지정된 목적에 필요한 최소한의 데이터를 수집해야 합니다. 

• 정확도 : 조직은 수집한 데이터가 정확하고 최신인지 확인해야 합니다. 

• 저장 용량 제한 : 조직은 목적이 달성되는 즉시 데이터를 안전하게 폐기해야 합니다. 

GDPR 처리 원칙의 전체 목록은 다음을 참조하세요. GDPR 준수 체크리스트.

사용자 동의 양식 업데이트  

사용자 동의는 처리에 대한 일반적인 법적 근거입니다. 그러나 동의는 정보를 제공받고, 긍정적이며, 자유롭게 제공되는 경우에만 GDPR에 따라 유효합니다. 조직은 이러한 요구 사항을 충족하기 위해 동의 양식을 업데이트해야 할 수도 있습니다.

• 동의를 확실히 받으려면 조직은 데이터 수집 시점에 무엇을 수집하고 해당 데이터를 어떻게 사용할 것인지 명확하게 설명해야 합니다.

• 동의가 확실한지 확인하기 위해 조직은 사용자가 적극적으로 확인란을 선택하거나 동의 신호를 보내는 진술서에 서명해야 하는 사전 동의 접근 방식을 채택해야 합니다. 동의도 함께 묶을 수 없습니다. 사용자는 각 처리 활동에 개별적으로 동의해야 합니다.  

• 동의가 무료인지 확인하기 위해 조직은 서비스에 실제로 필수적인 데이터 처리 활동에 대해서만 동의를 요구할 수 있습니다. 즉, 기업은 사용자에게 티셔츠 구매를 위해 정치적 의견을 공개하도록 강요할 수 없습니다. 사용자는 언제든지 동의를 철회할 수 있어야 합니다.  

기록 보관 시스템을 구축하세요 

직원이 250명 이상인 조직과 정기적으로 데이터를 처리하거나 고위험 데이터를 처리하는 모든 규모의 회사는 처리 활동에 대한 서면 전자 기록을 보관해야 합니다. 

그러나 모든 조직은 그러한 기록을 보관하기를 원할 수 있습니다. 이는 개인 정보 보호 및 보안 노력을 추적하는 데 도움이 될 뿐만 아니라 감사 또는 위반이 발생한 경우 규정 준수를 입증할 수도 있습니다. 회사는 규정을 준수하기 위해 선의의 노력을 기울였다는 것을 입증할 수 있으면 처벌을 줄이거나 피할 수 있습니다.  

데이터 관리자는 GDPR에 따라 파트너 및 공급업체의 규정 준수에 대한 책임을 묻기 때문에 특히 강력한 기록을 유지하기를 원할 수 있습니다. 

GDPR 준수 책임자 지정  

정기적으로 특수 범주 데이터를 처리하거나 대상을 대규모로 모니터링하는 모든 공공 기관 및 조직은 담당자를 임명해야 합니다. 데이터 보호 책임자 (DPO). DPO는 GDPR 준수를 담당하는 독립적인 기업 책임자입니다. 일반적인 책임에는 위험 평가 감독, 데이터 보호 원칙에 대한 직원 교육, 정부 당국과의 협력이 포함됩니다.

일부 조직에서만 DPO를 임명해야 하지만 모든 조직에서는 그렇게 하는 것을 고려할 수 있습니다. 지정된 GDPR 규정 준수 책임자가 있으면 구현을 간소화하는 데 도움이 될 수 있습니다.

DPO는 기업의 직원이거나 계약에 따라 서비스를 제공하는 외부 컨설턴트일 수 있습니다. DPO는 최고 경영진에게 직접 보고해야 합니다. 회사는 DPO가 직무를 수행한 것에 대해 보복할 수 없습니다. 

EEA 외부 조직이 EEA 거주자의 데이터를 정기적으로 처리하거나 매우 민감한 데이터를 처리하는 경우 EEA 내에 담당자를 임명해야 합니다. 그만큼 EEA 대표의 주요 임무는 조사 중에 회사를 대신하여 데이터 보호 당국과 조정하는 것입니다. 대표자는 직원, 계열사 또는 고용된 서비스일 수 있습니다. 

DPO와 EEA 담당자는 역할과 책임이 다릅니다. 특히, 대표자는 조직의 지시에 따라 행동하는 반면 DPO는 독립적인 임원이어야 합니다. 조직 한 당사자를 지정할 수 없습니다 DPO 및 EEA 대표로 활동합니다.

조직이 여러 EEA 주에서 운영되는 경우 다음을 식별해야 합니다. 수석 감독 기관. 수석 감독 기관은 유럽 전역에서 해당 회사의 GDPR 준수를 감독하는 주요 데이터 보호 기관(DPA)입니다. 

일반적으로 수석 감독 기관은 조직에 본사가 있거나 핵심 처리 활동을 수행하는 회원국의 DPA입니다. 

데이터 개인 정보 보호 정책 초안 작성 

GDPR은 조직이 사람들에게 데이터 사용 방법에 대한 정보를 제공하도록 요구합니다. 회사는 회사가 수집하는 내용, 보존 및 삭제 정책, 사용자 권한 및 기타 관련 세부 사항을 포함하여 처리 작업을 명확하게 설명하는 개인 정보 보호 정책 초안을 작성하여 이러한 요구 사항을 충족할 수 있습니다.

개인정보 보호정책은 누구나 이해할 수 있는 평이한 언어를 사용해야 합니다. 복잡한 전문 용어 뒤에 중요한 정보를 숨기는 것은 GDPR을 위반할 수 있습니다. 조직은 데이터 수집 시점에 개인정보 보호정책을 공유하여 사용자가 정책을 볼 수 있도록 할 수 있습니다. 조직은 웹사이트의 찾기 쉬운 공개 페이지에 개인정보 보호정책을 호스팅할 수도 있습니다. 

제3자 파트너가 규정을 준수하는지 확인하세요. 

컨트롤러는 처리자, 공급업체 및 기타 제3자가 개인 데이터를 사용하는 방식을 포함하여 자신이 수집한 개인 데이터에 대한 궁극적인 책임을 집니다. 파트너가 규정을 준수하지 않는 경우 컨트롤러는 처벌을 받을 수 있습니다. 

조직은 데이터에 접근할 수 있는 제3자와의 계약을 검토해야 합니다. 이러한 계약은 법적 구속력이 있는 방식으로 GDPR과 관련된 모든 당사자의 권리와 책임을 명확하게 명시해야 합니다.

조직이 EEA 외부의 처리자와 협력하는 경우 해당 처리자는 여전히 GDPR 요구 사항을 충족해야 합니다. 실제로 EEA 외부의 데이터 전송에는 엄격한 표준이 적용됩니다. EEA의 컨트롤러는 다음 기준 중 하나가 충족되는 경우에만 EEA 외부 프로세서와 데이터를 공유할 수 있습니다.

• 유럽연합 집행위원회는 해당 국가의 개인 정보 보호법이 적절하다고 간주했습니다.
• 유럽연합 집행위원회는 프로세서가 충분한 데이터 보호를 갖고 있다고 간주했습니다.
• 컨트롤러는 데이터가 보호되도록 조치를 취했습니다.

모든 파트너십과 데이터 전송이 GDPR을 준수하는지 확인하는 한 가지 방법은 표준 계약 조항을 사용하는 것입니다. 미리 작성된 이러한 조항은 유럽연합 집행위원회의 사전 승인을 받았으며 모든 조직에서 자유롭게 사용할 수 있습니다. 계약에 이러한 조항을 삽입하면 각 당사자가 해당 조항을 준수하는 경우 GDPR을 준수하게 됩니다. 표준 계약 조항에 대한 자세한 내용은 유럽연합 집행위원회 웹사이트를 참조하세요 (링크는 ibm.com 외부에 있습니다).

데이터 보호 영향 평가를 위한 프로세스 구축

GDPR은 조직이 고위험 처리 전에 DPIA(데이터 보호 영향 평가)를 수행하도록 요구합니다. GDPR은 신기술 사용, 민감한 데이터의 대규모 처리 등 몇 가지 예를 제공하지만 위험도가 높은 모든 활동을 철저하게 나열하지는 않습니다.

조직은 안전을 위해 새로운 처리 작업 전에 DPIA 수행을 고려할 수 있습니다. 다른 사람들은 DPIA를 보장할 만큼 위험이 충분히 높은지 확인하기 위해 단순화된 사전 심사를 사용할 수 있습니다.

최소한 DPIA는 처리 및 그 목적을 설명하고, 처리의 필요성을 평가하고, 데이터 주체에 대한 위험을 평가하고, 완화 조치를 식별해야 합니다. 완화 후에도 위험이 여전히 높은 경우 조직은 진행하기 전에 데이터 보호 기관과 협의해야 합니다. 

IBM Guardium® Insights가 GDPR, CCPA 및 기타 주요 규정에 대해 사전 구성된 워크플로우를 통해 규정 준수 보고를 간소화하는 데 어떻게 도움이 되는지 알아보세요.

데이터 침해 대응 계획 구현 

조직은 가장 개인적인 것을 보고해야 합니다. 데이터 유출 72시간 이내에 감독 기관에 신고해야 합니다. 위반이 정보주체에게 신원 도용과 같은 위험을 초래하는 경우 회사는 또한 이를 주체에게 알려야 합니다. 통지는 실행 불가능하지 않는 한 피해자에게 직접 전송되어야 합니다. 이 경우에는 공고만으로 충분합니다.

조직은 효과적인 사고 대응 진행 중인 침해를 신속하게 식별하고 위협을 근절하며 당국에 알리는 계획입니다. 사고 대응 계획에는 시스템 복구 및 복원을 위한 도구와 전술이 포함되어야 합니다. 정보 보안. 조직이 통제권을 빨리 회복할수록 심각한 규제 조치를 받을 가능성이 줄어듭니다.

조직은 또한 이 기회를 통해 강화할 수 있습니다. 데이터 보안 측정. 침해가 사용자에게 해를 끼칠 가능성이 없는 경우(예: 도난당한 데이터가 너무 심하게 암호화되어 해커가 사용할 수 없는 경우) 회사는 데이터 주체에게 알릴 필요가 없습니다. 이를 통해 데이터 침해로 인해 발생할 수 있는 평판 및 수익 피해를 방지할 수 있습니다.

정보주체가 자신의 권리를 쉽게 행사할 수 있도록 하십시오. 

GDPR은 조직이 데이터를 사용하는 방법에 대한 데이터 주체의 권리를 부여합니다. 예를 들어, 수정 권한을 통해 사용자는 부정확하거나 오래된 데이터를 수정할 수 있습니다. 삭제 권한이 있으면 사용자는 자신의 데이터를 삭제할 수 있습니다.

일반적으로 조직은 30일 이내에 데이터 주체의 요청을 준수해야 합니다. 요청을 보다 쉽게 ​​관리할 수 있도록 조직에서는 주체가 데이터에 액세스하고, 변경하고, 데이터 사용을 제한할 수 있는 셀프 서비스 포털을 구축할 수 있습니다. 포털에는 피험자의 신원을 확인하는 방법이 포함되어야 합니다. GDPR은 요청자가 누구인지 확인해야 하는 부담을 조직에 부과합니다.

자동화된 의사결정 및 프로파일링 

데이터 주체는 자동화된 처리에 관한 특별한 권리를 갖습니다. 특히 조직은 자동화를 사용하여 사용자의 동의 없이 중요한 결정을 내릴 수 없습니다. 사용자는 자동화된 결정에 이의를 제기하고 사람이 결정을 검토하도록 요청할 권리가 있습니다. 

조직은 셀프 서비스 포털을 사용하여 데이터 주체에게 자동화된 결정에 이의를 제기할 수 있는 방법을 제공할 수 있습니다. 기업은 필요에 따라 인간 검토자를 임명할 준비도 해야 합니다. 

데이터 이식성 

데이터 주체는 원하는 곳 어디든 데이터를 전송할 권리가 있으며, 조직은 이러한 전송을 촉진해야 합니다. 

사용자가 쉽게 전송을 요청할 수 있도록 하는 것 외에도 조직은 데이터를 공유 가능한 형식으로 저장해야 합니다. 독점 형식을 사용하면 전송이 어려워지고 사용자의 권리가 침해될 수 있습니다. 

데이터 주체 권리의 전체 목록을 보려면, GDPR 준수 페이지를 참조하세요..

정보 보안 조치 배포

GDPR은 조직이 합리적인 데이터 보호 조치를 사용하여 시스템 취약성을 해결하고 무단 액세스 또는 불법 사용을 방지하도록 요구합니다. GDPR은 구체적인 조치를 요구하지는 않지만 조직에는 기술적 통제와 조직적 통제가 모두 필요하다고 명시하고 있습니다.

기술 보안 통제에는 소프트웨어, 하드웨어 및 기타 기술 도구가 포함됩니다. 시멘스 과 데이터 손실 방지 솔루션. GDPR은 암호화 및 가명화를 강력히 권장하므로 조직은 특히 이러한 제어를 구현하기를 원할 수 있습니다. 

조직적 조치에는 GDPR 규칙에 대한 직원 교육 및 공식 구현과 같은 프로세스가 포함됩니다. 데이터 거버넌스 정책. 

GDPR은 또한 기업이 기본적으로 설계에 따라 데이터 보호 원칙을 채택하도록 지시합니다. "설계상"은 기업이 처음부터 데이터 개인 정보 보호를 시스템과 프로세스에 구축해야 함을 의미합니다. "기본적으로"는 모든 시스템의 기본 설정이 가장 많은 사용자 개인 정보를 유지하는 설정이어야 함을 의미합니다. 

IBM 데이터 보안 및 보호 솔루션이 하이브리드 클라우드 전반에서 데이터를 보호하고 규정 준수 요구사항을 단순화하는 방법을 알아보세요.

GDPR 준수가 중요한 이유 

유럽 ​​경제 지역(EEA)에서 운영하려는 모든 조직은 GPDR을 준수해야 합니다. 규정을 준수하지 않으면 심각한 결과를 초래할 수 있습니다. 가장 중대한 위반 사항은 최대 EUR 20,000,000 또는 전년도 조직 전 세계 매출의 4% 중 더 높은 금액의 벌금이 부과될 수 있습니다.

그러나 데이터 준수 단지 결과를 피하는 것만이 아닙니다. 장점도 있습니다. GDPR 규정을 준수하면 조직이 세계 최대 시장 중 하나에 접근할 수 있다는 사실 외에도 GDPR 원칙은 데이터 보안 조치를 크게 강화할 수 있습니다. 조직은 더 많은 데이터 침해가 발생하기 전에 방지하여 평균 비용을 절감할 수 있습니다. 위반당 USD 4.45만.

GDPR 준수는 기업의 평판을 높이고 소비자와의 신뢰를 구축할 수도 있습니다. 사람들은 일반적으로 다음과 같은 조직과 거래하는 것을 선호합니다. 고객 데이터를 의미있게 보호.

GDPR은 다음을 포함한 다른 지역의 유사한 데이터 보호법에 영감을 주었습니다. 캘리포니아 소비자 개인 정보 보호법 인도의 디지털 개인 데이터 보호법. GDPR은 이러한 법률 중 가장 엄격한 법률 중 하나로 간주되는 경우가 많으므로 GDPR을 준수하면 조직이 다른 규정도 준수할 수 있습니다.

마지막으로, 회사가 GDPR을 위반하는 경우 일정 수준의 규정 준수를 입증하면 영향을 완화하는 데 도움이 될 수 있습니다. 규제 기관은 기존과 같은 요소를 평가합니다. 사이버 보안 제어 처벌을 결정할 때 감독 당국과의 협력.

IBM Guardium Data Protection 살펴보기