Loading…
개인정보 침해는 주말, 공휴일 또는 경영진의 가용 여부와 관계없이 멈추지 않는 규제 시계를 작동시킵니다. GDPR 제33조에 따라 감독기관에 통지하기까지 인지 시점으로부터 72시간이 주어집니다. DPDPA 규칙 7, PDPA 제26B조, LGPD 결의 15/2024도 유사한 기한을 설정합니다.
이 플레이북은 72시간을 다섯 개의 명명된 단계 — 탐지, 봉쇄, 평가, 문서화, 제출 — 로 나누고 각 관문마다 구체적인 산출물을 제시합니다. 런북으로 활용하십시오. 무언가에 불이 났을 때 절차를 작성하고 있어서는 안 됩니다. 그것을 실행하고 있어야 합니다.
제33조는 "그것을 인지한 후 72시간 이내"라고 규정합니다. 인지란 컨트롤러가 보안 사고가 발생했고 개인정보가 관련되어 있다는 데 대해 합리적 수준의 확실성을 가질 때를 말합니다. 이는 다음이 아닙니다:
개인정보 침해 통지에 관한 EDPB 지침 9/2022는 인지에 이르기 위한 짧은 조사 기간을 허용하지만, 그 기간은 짧아야 합니다 — 며칠이 아니라 몇 시간의 문제입니다.
목표: 사고 발생을 확인하고, 포렌식 증거를 보존하며, 대응 팀을 가동합니다.
T+6시간 산출물: 한 페이지 분량의 사고 요약 — 무엇이, 언제 발생했는지, 어떤 시스템인지, 어떤 데이터 범주가 관련될 수 있는지, 알려진 미지의 사항은 무엇인지.
목표: 출혈을 멈추고, 영향받은 시스템을 격리하며, 시간에 민감한 외부 당사자에게 통지합니다.
T+24시간 산출물: 봉쇄 확인; 예비 범위 진술.
목표: 규모와 예상 피해를 판단합니다 — 이것이 모든 후속 결정을 좌우합니다.
T+48시간 산출물: 피해 위험 평가; 통지 결정 매트릭스; 작성된 통지 템플릿 초안.
목표: 제출할 문서를 구축하고, 내부 기록을 확정하며, 이해관계자에게 보고합니다.
T+72시간 산출물: 제출 준비된 통지; 완전한 내부 기록.
목표: 법정 기한 내에 규제 기관에 통지하고, 필요한 경우 정보주체에게 커뮤니케이션합니다.
T+72시간 이후 산출물: 제출 확인; 정보주체 커뮤니케이션 발송(또는 통지하지 않기로 한 결정의 문서화); 14일 이내 사후 검토 일정 수립.
| 규제 기관 | 법정 기한 | 기준 |
|---|---|---|
| EU 감독기관(GDPR) | 인지 시점으로부터 72시간(제33조) | 권리와 자유에 위험을 초래할 가능성이 낮은 경우 제외 |
| ICO(UK GDPR) | 인지 시점으로부터 72시간 | 동일한 위험 기반 기준 |
| CPPA / 캘리포니아 법무장관(CCPA) | "가능한 가장 신속한 시점"(Cal. Civ. Code §1798.82) | 캘리포니아 주민 500명 초과에 영향을 미치면 법무장관 통지 발동 |
| 인도 데이터 보호 위원회(DPDPA) | 지체 없이; 세부 사항은 규칙 7 | 모든 개인정보 침해 |
| CERT-In(인도 2022년 IT법 지침) | 인지 시점으로부터 6시간 | 지정된 사고 범주(랜섬웨어, DDOS, 디페이스먼트 등) |
| PDPC(싱가포르 PDPA) | 평가가 통지 대상 침해임을 확인한 후 72시간 | 중대한 피해 또는 500명 이상 |
| ANPD(브라질 LGPD) | 확인 시점으로부터 3영업일(Res. 15/2024) | 정보주체에 대한 위험 또는 관련 손해 |
| PPC(일본 APPI) | 지체 없이(통상 주 단위가 아니라 일 단위) | 민감 데이터 유출, 금전적 손실, 악의적 의도, 또는 1,000건 이상의 레코드 |
가장 흔한 조직적 실패는 실제 규제 기관 제출에 대한 DPO와 법무총괄 간 소유권의 불명확성입니다. 사전에 정리하십시오 — 대부분의 팀은 기본적으로 자문 특권 하에 DPO가 초안을 작성하고, 제출 문서 자체에는 DPO를 지정 연락처로 둡니다.
GDPR 제34조는 권리와 자유에 고위험이 있을 때 정보주체 커뮤니케이션을 발동합니다. 그 기준은 감독기관 통지 기준보다 높습니다. 통지가 정당화되는 예:
제34조(3)는 직접 커뮤니케이션에 대한 세 가지 면제를 열거합니다: 권한 없는 자에게 데이터를 판독 불가능하게 만드는 암호화, 고위험을 제거하는 조치, 또는 공개 커뮤니케이션으로 대체할 수 있는 불균형적 노력.
통지 내용(제34조(2)): 침해의 성격, DPO의 성명과 연락처, 예상 결과, 취한 조치. 평이한 언어로.
아닙니다. 제33조는 영업일이 아닌 시간 단위로 규정합니다. 일부 규제기관(LGPD, 싱가포르 PDPA)은 기한을 영업일 단위로 정의하므로, 해당 제도를 확인하십시오.
제33조(1)은 "지연 사유를 첨부하여" 추후 통지하는 것을 허용합니다. 감독기관은 이를 수용하지만 면밀히 심사합니다. 반복적인 지연은 집행의 계기가 됩니다.
제33조(2)는 프로세서가 "부당한 지체 없이" 컨트롤러에게 통지하도록 요구합니다. 귀사의 데이터 처리 계약(DPA)에는 더 엄격한 기한(흔히 24~48시간)이 명시되어 있을 가능성이 높습니다. 감독기관에 대한 통지는 컨트롤러의 의무이지만, 프로세서는 컨트롤러가 72시간 기한을 준수할 수 있도록 충분한 정보와 시간을 제공해야 합니다.
중대한 사안이라면 그렇습니다. 외부 자문은 조사 작업 산출물에 대한 비밀유지특권을 확립하고, 추후 소송에서의 증거개시 노출을 크게 줄여줍니다. 저렴한 보험입니다.
현실적인 인젝트 기반 시나리오로 분기별 도상 훈련을 실시하되, 72시간을 시뮬레이션하도록 90분으로 시간을 압축합니다. 각 단계 전환 시 의사결정 지연을 포착하십시오. 실제로 제출하게 될 제33조(3)와 동일한 콘텐츠 세트를 사용하십시오.
RegulatoryBridge는 비밀유지특권 하에 연중무휴 24시간 침해 대응—사고 지휘관, 규제기관 제출, 정보주체 커뮤니케이션—을 수행합니다. 수 분 내에 가동하십시오.