BS 10012 표준은 조직 전체를 아우르는 정보 거버넌스 인프라의 일부분으로써, 데이터보호 요구사항을 준수 및 개선하기 위한 프레임워크인 개인정보경영시스템 (PIMS: Personal information management system)을 잘 구축 및 올바로 적용할 수 있게 하기 위해 만들어 졌습니다.
BS 10012의 2017년 개정본은 지난 2016년 4월 14일 유럽연합의회에서 승인된 EU 일반정보보호규정 (GDPR: General Data Protection Regulation)의 발행 내용을 반영하여 작성되었습니다. 이 EU GDPR은 기존의 EU 개인정보보호지침 (European Directive 95/46/EC)을 대체하게 되었으며 약 2년의 유예기간을 두고 2018년 5월 25일부터 각 회원국에 시행될 예정 입니다.
2018년 5월부터 GDPR 위반 시에는 최대 2천만 유로(약 258억원) 또는 이전 회계연도 기준 매출액의 4% 중 높은 금액으로 과징금을 부과 받게 되는 등 관련 기업은 벌금을 내야 합니다.
특히 GDPR은 EU 내 소재한 기업뿐만 아니라, EU 기업과 비즈니스를 하는 모든 기업 및 EU 거주자의 개인 데이터를 저장하는 전 세계 모든 기업에 적용됩니다.
BS 10012의 2009 버전과의 주요 차이점은:
- 개인 및 민감한 정보에 대한 새로운 정의
- 개인 데이터를 사용한 정보수집에 대한 제약
- 데이터 보호 담당자들을 위한 새로운 관리 요구사항
- 익명 데이터 관련사항 특별 추가
- 알림/등록 요구사항에 대한 폐지
- 처리를 위한 동의에 있어 더 엄격해진 요구
- 주체에 접근 및 데이터 주체에 대한 기타 권리의 변경
- 보안 위반 알림에 대한 요구사항
- 개인정보 보호 설계 및 영향력 분석에 대한 요구사항
- 데이터 처리장치를 다루는 법률 확대
- 미국으로의 데이터 전송에 대한 safe Harbour 내용 제외
이와 같은 변경사항은 GDPR의 요구사항에 맞춰 변경이 되었으며, BS 10012를 통해 많은 조직은 제대로 된 “정보 거버넌스” 전략을 실행할 수 있습니다.
또한 해당 표준 이행을 통해 GDPR 불이행 및 미준수로 인해 조직이 부과해야 될 수도 있는 상당한 벌금과 명성의 훼손을 방지하실 수 있습니다. 또한 정보보호 위반으로 비롯 될 복구에 필요한 ‘실제’ 비용을 감소하는 데에도 도움이 됩니다.
