일반 데이터 보호 규정 요약
GDPR(일반 데이터 보호 규제)는 EU(유럽 연합) 회원국 국민에게 제품과 서비스를 제공하거나 귀하 또는 귀사가 어디에 있는지 관계없이 EU 거주자의 데이터를 수집하고 분석하는 조직에 새로운 규칙을 도입합니다. 이 문서에서는 Microsoft 제품 및 서비스를 사용하는 경우 GDPR에서 권리를 부여하고 의무를 이행하는 데 도움이 되는 정보를 안내합니다. GDPR에 대한 권장 실행 계획 및 책임 준비 상태 검사 목록에서는 GDPR 규정 준수를 평가하고 구현하기 위한 추가 리소스를 제공합니다.
용어
이 문서에서 사용된 GDPR 용어에 대한 유용한 정의:
- 데이터 컨트롤러(컨트롤러): 개인 데이터 처리의 목적과 수단을 결정하는 법인, 공공 기관, 에이전시 또는 다른 사람과 독립적으로 또는 공동으로 작업하는 기타 단체입니다.
- 개인 데이터 및 데이터 주체: 식별되거나 식별 가능한 자연인(데이터 주체)과 관련된 모든 정보. 식별 가능한 자연인은 직접 또는 간접적으로 식별될 수 있는 사람입니다.
- 프로세서: 컨트롤러를 대신하여 개인 데이터를 처리하는 자연인이나 법인, 공공 기관, 에이전시 또는 기타 단체입니다.
- 고객 데이터: 비즈니스 운영의 일상적인 작업에서 생성되고 저장되는 데이터입니다.
GDPR이란?
GDPR에서는 조직에서 수집한 개인 데이터를 관리할 수 있는 권한을 사용자에 게 제공합니다. 이러한 권한은 DSR(데이터 주체 요청)을 통해 행사할 수 있습니다. 조직은 DSR 및 데이터 위반과 관련된 시기 적절한 정보를 제공하고, DPIA(데이터 보호 영향 평가)를 수행해야 합니다.
GDPR 요구 사항을 구현하거나 평가할 때는 몇 가지 사항을 고려해야 합니다.
- GDPR 규정 준수 데이터 개인 정보 보호 정책 개발 또는 평가
- 조직의 데이터 보안 평가.
- 누가 데이터 컨트롤러인가요?
- 수행해야 하는 데이터 보안 프로세스는 무엇인가요?
GDPR에 대한 권장 실행 계획 및 책임 준비 상태 검사 목록에 따라 추가적인 사항들을 고려해야 할 수 있습니다.
GDPR 표준을 충족하기 위해 다음과 같은 작업이 수행됩니다. 구현에 대 한 자세한 내용을 보려면 목록에 있는 링크를 따라 이동합니다.
- DSR(데이터 주체 요청). 데이터 주체가 개인 데이터와 관련해서 작업(변경, 제한, 액세스)을 수행하도록 컨트롤러에게 공식적으로 요청하는 것입니다.
- 위반 알림. GDPR에서 개인 데이터 위반은 ‘전송, 저장 또는 기타 방식으로 처리되는 개인 데이터의 의도치 않았거나 불법적인 파괴, 손실, 변경, 무단 공개 또는 액세스를 야기하는 보안 침해’를 의미합니다.
- DPIA(데이터 보호 영향 평가). 데이터 컨트롤러는 GDPR에 따라 ‘자연인의 권리와 자유에 대한 높은 위험을 초래할 가능성이 있는’ 데이터 작업에 대해 DPIA를 준부해야 합니다.
위에서 설명한 것처럼, GDPR의 권장 실행 계획 및 책임 준비 상태 검사 목록은 Microsoft 제품 및 서비스를 사용하여 GDPR 준수을 구현하거나 평가하기 위한 지침을 제공합니다.
Microsoft Purview 준수 관리자를 사용하여 위험 평가
Microsoft Purview 준수 관리자는 조직의 규정 준수 상태를 이해하고 위험을 줄이기 위한 조치를 취하는 데 도움이 되는 Microsoft Purview 규정 준수 포털 기능입니다. 준수 관리자는 Enterprise E5 고객에게 이 규제에 대해 사전에 빌드된 평가를 제공합니다. 준수 관리자의 평가 서식 파일 페이지에서 평가 빌드를 위한 서식 파일을 찾습니다. 준수 관리자의 평가 빌드 방법에 대해 알아봅니다.
DSR(데이터 주체 요청)
GDPR은 잘못된 데이터를 수정하고, 데이터를 지우거나 처리를 제한하고, 데이터를 수신하고, 다른 관리자에 대한 데이터 전송 요청을 이행할 권리를 포함하여 개인 데이터의 처리와 관련된 특정 권리를 개인(또는 데이터 주체)에게 부여합니다. 컨트롤러는 시기 적절한 GDPR 일치 응답을 제공해야 합니다. 기술 세부 정보에 대해서는 데이터 주체 요청을 참조하세요.
DSR FAQ
DSR을 완료하는 데 필요한 작업은 무엇인가요?
DSR에는 6가지 활동인 검색, 액세스, 수정, 제한, 내보내기 및 삭제가 포함됩니다.
데이터 원본이란 무엇인가요?
Excel 및 Outlook과 같은 Office 응용 프로그램으로 조직 데이터의 상당 부분이 생성됩니다. Microsoft 제품 및 서비스에서 생성된 인사이트와 시스템 생성 로그에서도 DSR 관련 데이터를 찾을 수 있습니다.
어떤 종류의 데이터를 검색해야 하나요?
개인 데이터는 고객 데이터, Microsoft 제품 및 서비스에서 생성된 인사이트 및 시스템 생성 로그에서 찾을 수 있습니다.
개인 데이터는 어떤 방식으로 검색되나요?
개인 데이터 검색은 Microsoft 제품 및 서비스에 따라 다를 수 있습니다. 검색 도구에는 콘텐츠 검색 또는 앱 내 검색 용량이 포함됩니다. 관리자는 사용자의 활동과 연결된 시스템 생성 로그에 액세스할 수 있습니다.
개인 데이터는 어떤 형식으로 사용할 수 있어야 하나요?
GDPR ‘데이터 이동권’을 통해 데이터 주체는 ‘구조화되고 자주 사용되며 컴퓨터가 읽을 수 있는 형식’으로 된 개인 데이터의 복사본을 요청하고, 조직에서 이러한 파일을 다른 데이터 통제자에게 전송하도록 요청할 수 있습니다.
GDPR은 무엇을 요구하며 관리자의 책임은 무엇인가요?
GDPR은 관리자에게 다음을 할 수 있도록 요구합니다.
- 데이터 주체에게 개인 데이터 사본과 처리 중인 데이터 범주에 대한 설명, 해당 처리의 목적, 데이터가 공개될 제3자의 범주를 제공합니다.
- 모든 개인이 부정확한 개인 데이터를 수정하고, 데이터를 지우거나 처리를 제한하고, 읽을 수 있는 형태로 데이터를 수신하고, 다른 관리자에 대한 데이터 전송 요청을 이행할(해당되는 경우) 권리를 행사하도록 합니다.
GDPR은 무엇을 요구하며 프로세서로서의 Microsoft의 책임은 무엇인가요?
위에서 설명한 것처럼 Microsoft는 귀하가 데이터 주체의 요청에 대처하여 권리를 행사하도록 지원하기 위한 적절한 기술적 및 조직적 방침을 구현해야 합니다.
온-프레미스 서버에 대한 GDPR 관련 정보를 어디에서 찾을 수 있나요?
여기에서 다양한 GDPR 관련 문서를 확인할 수 있습니다. Microsoft에서 제작한 이 문서들은 SharePoint Server, Exchange Server, Project Server, Office Web Apps 서버, Office Online Server 및 온-프레미스 파일 공유를 위한 온-프레미스 작업에 권장되는 방법을 제공합니다.
Microsoft는 사용자가 데이터 주체 요청에 대처하도록 어떻게 지원하나요?
온라인 서비스는 사용자가 관리자로서 데이터 주체의 요청에 응답할 수 있도록 다양한 기능을 제공합니다. Microsoft Enterprise Online 서비스 및 관리 컨트롤 기능은 사용자가 Microsoft 클라우드에 저장된 컨트롤러가 관리하는 데이터에 포함된 개인 데이터를 검색, 액세스, 수정, 제한, 삭제 및 내보내기할 수 있도록 해주어 데이터 주체의 권리 요청에 따라 필요한 개인 데이터를 가지고 작업할 수 있도록 지원합니다. 또한 온라인 서비스는 사용자에게 해당 데이터가 필요한 경우 컴퓨터에서 읽을 수 있는 형태로 제공합니다.
데이터 보호 영향 평가
GDPR에 따라 데이터 컨트롤러는 ‘자연인의 권리와 자유에 대한 높은 위험을 초래할 가능성이 있는’ 작업을 처리하기 위해 DPIA(데이터 보호 영향 평가)를 준비해야 합니다. DPIA를 만들어야 하는 Microsoft 제품 및 서비스에는 아무것도 내제되어 있지 않습니다. 오히려 Microsoft 구성의 세부 정보에 따라 다릅니다. Office에서 고려해야 하는 세부 정보 목록은 DPIA 콘텐츠에서 찾을 수 있습니다
DPIA FAQ
DPIA는 언제 수행해야 하나요?
컨트롤러는 개인 데이터 보안 위험이나 데이터 위반이 발생할 경우 DPIA 조치를 수행해야 합니다. Office의 위험 요인에 대한 구체적인 예는 DPIA가 필요한지 여부 파악에 나와 있습니다.
DPIA를 완료하는 데 필요한 것은 무엇인가요?
DPIA에 포함되는 GDPR 권한에는 다음이 포함됩니다.
- DPIA의 목적과 관련한 데이터 처리의 필요성 및 비례성 평가
- 데이터 주체의 권리와 자유에 대한 위험 평가
- 의도된 위험 해결 조치, 안전 조치, 보안 조치 및 개인 정보 보호를 보장하고 GDPR 준수를 입증하는 메커니즘.
관리자로서의 책임은 무엇인가요?
GDPR에서 관리자는 개인의 권리와 자유에 높은 위험을 유발할 수 있는 데이터 처리(특히 신기술을 사용한 처리) 전에, DPIA를 이해해야 합니다. GDPR은 DPIA를 이행해야 하는 다음과 같은 부분적인 사례 목록을 제공합니다.
- 법적 효력이 있거나 데이터 주체에 비슷하게 중대한 영향을 미치는 프로파일링 및 비슷한 활동의 목적에 대한 자동 처리
- 다양한 특정 범주의 개인 데이터(혈통 또는 인종 기원, 정치적 성향 및 기호) 또는 범죄 전과 및 위법 행위와 관련된 데이터 처리
- 공개적으로 액세스할 수 있는 영역을 대규모로 체계적으로 모니터링.
또한 GDPR은 데이터 주체에 대한 높은 위험을 최소화하기 위한 충분한 프로세스를 찾을 수 없는 경우 처리를 시작하기 전에 DPA(데이터 보호 기관)의 자문을 요청할 것을 요구합니다.
Microsoft의 책임은 무엇인가요?
Microsoft는 해당 엔지니어링 및 비즈니스 업무에서 기본적으로 계획적인 개인 정보 보호 방침을 이행합니다. 이러한 노력의 일환으로 Microsoft는 데이터 주체의 권리와 자유에 영향을 미칠 수 있는 데이터 처리 작업에 대해 포괄적인 개인 정보 보호 검토 작업을 이행합니다. 서비스 그룹에 포함된 개인 정보 보호 팀은 서비스의 디자인 및 구현을 검토하여 개인 데이터가 국제법, 사용자의 기대치 및 당사의 표면적인 노력에 부합되는 방식으로 처리되도록 합니다.
이러한 개인 정보 보호 검토는 세부적으로 진행되며 특정 서비스는 수십 번 또는 수백 번의 검토를 받을 수 있습니다. Microsoft는 Microsoft EU DPO(데이터 보호 책임자)가 검토하게 되는 주요 처리 작업을 포괄하는 DPIA(데이터 보호 영향 평가)에 이러한 세부적인 개인 정보 보호 검토 작업을 포함합니다. DPO는 데이터 처리와 관련된 위험을 평가하여 충분한 완화 조치가 이행될 수 있도록 합니다. DPO가 완화할 수 없는 위험을 찾으면 다시 엔지니어링 그룹에 변경 조치가 권장됩니다. 데이터 보호 위험이 변경되면 DPIA가 검토된 후 업데이트됩니다.
Microsoft는 프로세서로서 GDPR에 규정된 DPIA 요구 조항을 준수하도록 하기 위해 관리자를 지원할 책임이 있습니다. 당사의 고객을 지원하기 위해 Microsoft의 DPIA 관련 섹션이 발췌되고, 향후 업데이트 시 이 섹션에 제공됩니다. 이러한 작업은 Microsoft 서비스를 활용하는 관리자가 이러한 발췌 데이터를 활용하여 자체 DPIA를 만들 수 있도록 하기 위한 목적을 가지고 있습니다.
위반 알림
GDPR은 개인 데이터의 위반에 대해 데이터 관리자 및 프로세서에게 알려야 한다고 명시합니다. Microsoft는 데이터 프로세서로서 고객이 GDPR의 위반 알림 요구 사항을 충족할 수 있도록 합니다. 데이터 컨트롤러는 데이터 개인 정보에 대한 위험을 평가하고 위반 사항이 고객의 DPA에 알려야 하는 위반인지의 여부를 판단할 책임이 있습니다. Microsoft는 이러한 평가에 필요한 정보를 제공합니다. Microsoft에서 개인 데이터 위반을 감지하고 대처하는 방법에 대한 자세한 내용은 GDPR에서 데이터 위반 알림에 나와 있습니다.
위반 알림 FAQ
GDPR에서 개인 데이터의 위반을 구성하는 요인은 무엇인가요?
개인 데이터는 개인을 직간접적으로 식별하는 데 사용할 수 있는 개인과 관련된 정보를 의미합니다. 개인 데이터 위반은 ‘전송, 저장 또는 기타 방식으로 처리되는 개인 데이터의 의도치 않았거나 불법적인 파괴, 손실, 변경, 무단 공개 또는 액세스를 야기하는 보안 침해’를 의미합니다.
관리자로서의 책임은 무엇인가요?
개인의 권리와 자유(예: 차별, 신분 도용, 사기, 재정적 손실 또는 평판 손상)에 높은 위험을 초래할 수 있는 개인 데이터의 위반이 발생하는 경우 GDPR은 다음 사항을 요구합니다.
- Microsoft가 사용자에게 통지한 후 72시간 이내에 해당 데이터 보호 당국(DPA)에 이를 알립니다. 해당 기간 동안 DPA에 알리지 않으면 DPA에 사유를 설명해야 합니다. DPA에 알리는 작업은 개인이 높은 위험에 처하지 않은 경우에도 필요합니다.
- 지체하지 말고 위반 사항을 데이터 주체에게 알립니다.
- 위반 특성(예: 영향을 받은 사람의 수, 영향을 받은 데이터 레코드의 수, 위반 결과, 조직이 제안하거나 이미 취한 수정 조치)에 대한 설명을 포함하여 위반 사실을 문서화합니다.
프로세서로서 Microsoft의 책임은 무엇인가요?
개인 데이터 위반 사실을 알게 되면 GDPR에 따라 지체 없이 사용자에게 알려야 합니다. 프로세서의 입장에서 Microsoft는 GDPR의 요구 사항과 Microsoft의 전 세계 표준 계약 조항 모두를 반영할 책임이 있습니다. Microsoft는 확인된 모든 개인 데이터 침해가 위험 임계 수준에 있지 않은지 여부를 판단합니다. Microsoft는 데이터 침해 문제가 Microsoft에서 직접 발생했는지 또는 하위 프로세서에게 발생했는지와 관계 없이 이를 고객에게 알립니다. 당사는 조직에서 확인된 보안 사고를 빠르게 식별하고 보안 사고 담당자에게 연락하기 위한 프로세스를 보유하고 있습니다. 또한 모든 하위 프로세서는 계약에 따라 자체 위반 사항을 Microsoft에 신고하고, 결과에 대한 보증을 제공할 의무가 있습니다.
Microsoft는 어떻게 데이터 위반을 감지하나요?
모든 서비스 및 직원은 적절한 예방 조치를 통해 최전선에서 데이터 위반을 방지하기 위해 내부 사고 관리 절차를 따릅니다. 그러나 온라인 서비스는 드물게 발생하는 데이터 위반을 감지하기 위한 구체적인 보안 제어 기능을 플랫폼에 구축하고 있습니다.
Microsoft에서 데이터 위반에 어떻게 대응하나요?
Microsoft는 개인 데이터 위반을 지원하기 위해 다음을 수행합니다. - 따라야 할 특정 절차에 대해 학습된 보안 담당자입니다. - Microsoft에서 자세한 레코드를 유지 관리하도록 정책, 절차 및 컨트롤이 있습니다. 이 대응에는 사고 관리 시스템에 대한 추적 및 저장 정보 뿐만 아니라 사고 사실, 결과 및 수정 조치를 캡처하는 문서도 포함됩니다.
Microsoft는 데이터 위반이 발생할 때 사용자에게 어떻게 알리나요?
Microsoft에는 사용자에게 즉시 알리기 위한 정책 및 절차가 구현되어 있습니다. DPA에 대한 알림 요건을 충족하기 위해, Microsoft는 개인 데이터 침해가 발생했는지 확인하는 데 사용하는 프로세스에 대한 설명, 침해 특성에 대한 설명, 침해 완화를 위해 수행한 조치에 대한 설명을 제공합니다.
GDPR에 대한 책임 준비 상태 검사 목록
이러한 검사 목록은 Microsoft 제품 사용 시 GDPR을 지원하는 데 필요할 수 있는 정보에 편리하게 액세스할 수 있습니다. GDPR 타일의 고객 관리형 컨트롤에서 컨트롤 ID 및 컨트롤 제목을 참조하여 Microsoft Purview 준수 관리자 를 사용하여 검사 목록 항목을 관리할 수 있습니다.
GDPR FAQ
Microsoft는 GDPR과 관련하여 고객에게 약정을 제공하고 있나요?
예. GDPR에는 컨트롤러(예: Microsoft 엔터프라이즈 온라인 서비스 사용하는 조직)가 GDPR의 주요 요구 사항을 충족하기에 충분한 보증을 제공하는 프로세서(예: Microsoft)만 사용해야 합니다. Microsoft는 모든 볼륨 라이선싱 고객에게 계약의 일환으로 이러한 약정을 제공하는 적극적인 조치를 취한 바 있습니다.
Microsoft는 규정 준수를 위해 어떤 도움을 제공하나요?
Microsoft는 GDPR상의 책임을 지원하기 위해 도구 및 문서를 제공합니다. 여기에는 데이터 주체 권리에 대한 지원, 자체적인 데이터 보호 영향 평가 수행 및 개인 데이터 유출 문제 해결을 위한 협력이 포함됩니다.
GDPR 조항에는 어떤 약정이 포함되어 있나요?
Microsoft의 GDPR 조항은 제28조에 프로세서에게 필요한 약정을 반영합니다. 제28조는 프로세서가 다음 사항을 약정할 것을 요구합니다.
- 컨트롤러의 동의가 있는 경우에만 하위 프로세서를 사용하고 하위 프로세서에 대한 책임을 유지합니다.
- 전송과 관련된 경우를 포함해 반드시 컨트롤러의 지시에 따라서만 개인 데이터를 처리합니다.
- 개인 정보를 처리하는 사람은 기밀 유지를 약속해야 합니다.
- 위험에 적합한 개인 데이터 보안 수준을 보장하기 위해 적절한 기술 및 조직적 조치를 수행합니다.
- 컨트롤러가 GDPR 권리를 행사하는 주체의 데이터 요청에 응답할 의무를 수행하는 데 지원을 합니다.
- 위반 알림과 지원 요구 사항을 충족합니다.
- 데이터 보호 영향 평가와 관리 기관을 통한 상담을 통해 컨트롤러를 지원합니다.
- 서비스 공급이 종료될 때 개인 데이터를 삭제하거나 반환합니다.
- GDPR을 준수하는 증거 자료를 사용하 여 컨트롤러를 지원합니다.
Microsoft는 어떤 기준에 따라 EU 외부부에서의 개인 데이터의 전송을 촉진하나요?
Microsoft는 오랫동안 표준 계약 조항(모델 조항이라고도 함)을 엔터프라이즈 온라인 서비스를 위한 데이터 전송의 기초로 사용해 왔습니다. 표준 계약 조항은 유럽위원회(European Commission)에서 제공하는 표준 조건으로 데이터를 유럽 경제 지역(European Economic Area) 외부로 전송하는 데 사용될 수 있습니다. Microsoft는 온라인 서비스 약관을 통해 표준 계약 조항을 모든 볼륨 라이선싱 계약에 통합했습니다. 유럽 경제 지역과 스위스 및 영국의 개인 데이터의 경우 Microsoft는 개인 정보의 제3자 혹은 국제 기관 이전 시 적절한 보호 조치를 받도록 GDPR 46조에 의거하여 이를 준수합니다. Microsoft는 프로세서 및 기타 모델 계약에 대한 표준 계약 조항에 따른 Microsoft의 약속과 더불어 Privacy Shield 프레임워크 조건을 계속 준수하지만 이를 더 이상 EU/EEA에서 미국으로 개인 데이터를 전송하는 기준으로 사용하지 않습니다.
다른 Microsoft 규정 준수 제품에는 무엇이 있나요?
전 세계 거의 모든 국가에 고객이있는 글로벌 기업인 Microsoft는 고객을 지원할 수 있는 강력한 규정 준수 포트폴리오를 보유하고 있습니다. FedRamp, HIPAA/HITECH, ISO 27001, ISO 27002, ISO 27018, NIST 800-171, UK G-Cloud 등을 포함한 모든 규정 준수 제품 목록을 보려면 규정 준수 항목을 방문하세요.
GDPR는 우리 회사에 어떤 영향을 주나요?
GDPR은 6가지 주요 원칙을 준수하기 위한 요구 사항을 포함하여 기관에 대해 개인 데이터를 수집하거나 처리하는 광범위한 요구 사항을 적용합니다.
- 개인정보를 처리하고 사용하는 과정에서의 투명성, 공정성 및 적법성. 개인 데이터를 사용하는 방법에 대해 개인에게 명확하게 설명해야 하며 해당 데이터를 처리하기 위해 "합법적인 기준"도 필요합니다.
- 개인 데이터의 처리를 구체적, 명시적 및 합법적 목적으로 제한. 데이터가 원래 수집된 목적과 "호환되지 않는" 목적으로는 개인 데이터를 재사용하거나 공개할 수 없습니다.
- 의도된 목적에 적합하고 관련성 있는 경우로 개인 데이터의 수집 및 저장을 최소화
- 개인 데이터의 정확성을 보장하고 데이터를 지우거나 수정할 수 있도록 합니다. 보유한 개인 데이터가 정확하고 오류가 발생할 경우 이를 정정할 수 있도록 조치를 취해야 합니다.
- 개인 데이터 저장소 제한. 사용자는 데이터가 수집된 목적을 달성하기 위해 필요한 경우에만 개인 데이터를 보존하도록 해야 합니다.
- 개인 데이터의 보안, 무결성 및 기밀성 보장. 조직은 기술 및 조직 보안 조치를 통해 개인 데이터를 보호하기 위한 조치를 취해야합니다.
사용자의 GDPR 여정을 Microsoft가 지원하지만, 조직의 GDPR에 대한 구체적인 의무가 무엇인지와 이러한 의무를 어떻게 충족시킬 것인지를 이해해야 합니다.
GDPR에 따라 기업에서는 어떤 권리를 지원해야 하나요?
GDPR은 일련의 '데이터 주체 권리'를 통해 EU 거주자가 개인 데이터를 제어할 수 있도록 합니다. 여기에는 다음과 같은 권리가 포함됩니다.
- 개인 데이터가 사용되는 방법에 대한 정보에 액세스.
- 조직에서 보유하고 있는 개인 데이터에 액세스.
- 잘못된 개인 데이터를 삭제하거나 수정하도록 함.
- 특정 상황에서 개인 정보를 수정하고 삭제하도록 함(때에 따라 "잊혀질 권리"라고 함).
- 개인 데이터에 대한 자동화된 처리를 제한하거나 거부.
- 개인 데이터의 사본 수령.
데이터 프로세서와 데이터 컨트롤러란 무엇인가요?
데이터 컨트롤러는 단독으로 또는 다른 데이터 컨트롤러와 함께 개인 정보 처리의 목적과 수단을 결정하는 자연인 또는 법인, 공공 당국, 기관 또는 기타 주체입니다. 프로세서란 컨트롤러를 대신하여 개인 데이터를 처리하는 자연인이나 법인, 공공 기관, 에이전시 또는 기타 단체입니다.
GDPR이 프로세서와 컨트롤러에게 적용되나요?
예. GDPR은 컨트롤러와 프로세서에게 모두 적용됩니다. 컨트롤러는 GDPR의 요구 사항을 충족하기 위한 조치를 취하는 프로세서만 사용해야 합니다. 데이터 보호 지침(Data Protection Directive)과 비교할 때 프로세서는GDPR에 하에서 컨트롤러가 제공한 지침을 준수하지 않거나 이를 벗어난 행위에 대해 추가적인 업무나 책임을 지게 됩니다. 프로세서 업무에는 다음이 포함되지만 이에 국한되지는 않습니다.
- 컨트롤러가 지시한 대로만 데이터를 처리.
- 적절한 기술 및 조직적 수단을 사용하여 개인 데이터를 보호.
- 데이터 주제의 요청으로 컨트롤러 지원.
- 자신과 관련된 하위 프로세서가 이러한 요구 사항을 충족하도록 보장.
규정을 준수하지 않은 기업에는 어느 정도의 벌금이 부과되나요?
특정 GDPR 요건을 충족시키지 못할 경우, 회사는 최대 2천만 유로 또는 연간 총 매출액의 4% 중 더 큰 금액을 벌금으로 부과받게 될 수 있습니다. GDPR 요구 사항을 준수하지 않으면 추가적인 개인 구제 조치로 인해 위험이 증가할 수 있습니다.
회사에서 DPO(데이터 보호 담당자)를 지정해야 하나요?
규정 내에서 지정된 몇 가지 요소에 따라 달라집니다. GDPR 제37조는 (a) 사법적 권한을 행사하는 법원을 제외하고 공공당국 또는 공공기관에 의해 처리가 수행되는 경우, (b) 컨트롤러 또는 프로세서의 핵심 활동이 그 성격, 범위 및/또는 목적에 의해 데이터 주제에 대한 규칙적이고 체계적인 대규모 모니터링을 요구하는 처리 작업으로 구성된 경우, 또는 (c) 컨트롤러 또는 프로세서의 핵심 활동이 제9조에 따른 특수 범주에 대한 대규모 데이터 처리 및 제10조에 언급된 범죄 기소 및 위반 행위와 관련된 개인 데이터로 구성된 경우에 컨트롤러 및 프로세서가 데이터 보호 책임자를 지명해야 한다고 규정합니다.
GDPR를 준수하려면 어느 정도 비용이 드나요?
GDPR 준수를 충족시키는 데는 시간과 비용이 많이 들지만, 잘 구성된 클라우드 서비스 모델을 운영하고 효과적인 데이터 거버넌스 프로그램을 보유한 사람들에게는 이전이 더욱 원활할 수 있습니다.
조직에서 처리 중인 데이터가 GDPR의 적용을 받는지 어떻게 알 수 있나요?
GDPR은 '개인 데이터'의 수집, 저장, 사용 및 공유를 규제합니다. GDPR에서 개인 데이터는 식별되거나 식별 가능한 자연인에 관련된 모든 데이터로 광범위하게 정의됩니다.
개인 데이터에는 온라인 식별자(예: IP 주소), 직원 정보, 영업 데이터베이스, 고객 서비스 데이터, 고객 피드백 양식, 위치 데이터, 생체 데이터, CCTV 영상, 로열티 체계 기록, 건강, 재무 정보 등이 있습니다. 또한 개인 정보로 보이지 않는 정보(예: 사람이 없는 풍경 사진)를 포함할 수도 있습니다. 이 정보는 계정 번호 또는 식별 가능한 개인에 대한 고유 코드로 연결됩니다. 가명을 사용한 개인 데이터라도 가명이 특정 개인과 연결될 수 있다면 개인 데이터가 될 수 있습니다.
특정 "특별한" 범주의 개인 데이터(예: 개인의 인종 또는 민족 출신을 드러내거나 건강 또는 성적 취향에 관한 개인 데이터)에는 "일반적인" 개인 데이터 처리보다 더 엄격한 규칙이 적용됩니다. 이러한 개인 데이터 평가는 사실에 따라 달라지므로 특정 상황을 평가하기 위해 전문가를 참여시키는 것이 좋습니다.
내 조직은 다른 사용자를 대신하여 데이터만 처리하고 있습니다. 여전히 GDPR을 준수해야 합니까?
예. 규칙은 다소 다르지만 GDPR은 자체 목적을 위해 데이터를 수집하고 처리하는 조직('컨트롤러')뿐만 아니라 다른 사람을 대신하여 데이터를 처리하는 조직('프로세서')에도 적용됩니다. 이 요구 사항은 컨트롤러에 적용되는 기존 데이터 보호 지침과 달라진 부분입니다.
구체적으로 어떤 것이 개인 데이터로 간주되나요?
개인 데이터는 식별된 또는 식별 가능한 개인과 관련 있는 모든 정보입니다. 개인의 비공개, 공개 또는 업무 역할이 구분되지 않습니다. 개인 데이터에는 다음 정보가 포함될 수 있습니다.
- 이름
- 집 주소
- 회사 주소
- 전화 번호
- 휴대폰 번호
- 전자 메일 주소
- 여권 번호
- 주민등록증
- 주민등록번호(또는 이와 동등한 정보)
- 운전면허증
- 신체적, 생리적 또는 유전적 정보
- 의료 정보
- 문화 정체성
- 은행 정보/계좌 번호
- 납세 번호
- 회사 주소
- 신용 카드/직불 카드 번호
- 소셜 미디어 게시물
- IP 주소(EU 지역)
- 위치/GPS 데이터
- 쿠키
EU 외부로 데이터를 전송할 수 있나요?
예. 하지만 GDPR은 유럽인 거주자가 개인 데이터를 유럽 경제 지역 이외의 지역으로 전송하는 것을 엄격하게 규제합니다. 이러한 전송을 가능하게 하려면 계약과 같은 특정 법적 메커니즘을 설정하거나 인증 메커니즘을 준수해야 합니다. Microsoft는 온라인 서비스 약관에서 사용하는 메커니즘을 자세히 설명합니다.
규정 준수를 통한 데이터 보존 요구 사항이 있습니다. 이러한 요구 사항이 삭제 권한을 재정의합니까?
'법률 의무 준수를 위해, 컨트롤러가 적용되는 연합 또는 회원국 법률에 따라 처리해야 하는 경우'와 같은 지속적인 처리 및 데이터 보존에 대한 정당한 근거가 있는 경우(제17조 (3) (b)), GDPR은 조직이 데이터를 보유해야할 수도 있음을 인식합니다. 그러나 법적 자문가와의 상담을 통해 보존 근거를 데이터 주체의 권리와 자유, 데이터 수집 당시의 기대치 등에 대해 평가해야 합니다.
GDPR이 암호화를 다룹니까?
암호화는 GDPR에서 개인 데이터가 위반 행위의 영향을 받을 때 알아볼 수 없는 보호 수단으로 식별됩니다. 따라서 암호화 사용 여부는 개인 데이터 위반 알림 요구 사항에 영향을 줄 수 있습니다. 또한 GDPR은 위험에 따라 암호화를 적절한 기술적 또는 조직적 수단으로 인용합니다. 암호화는 또한 지불 카드 산업 데이터 보안 표준과 금융 서비스 산업에 대한 엄격한 준수 지침의 일부에서 요구되는 사항입니다. Azure, Dynamics 365, Enterprise Mobility + Security, Office Microsoft 365, SQL Server/Azure SQL 데이터베이스, Windows 10 및 Windows 11 등의 Microsoft 제품 및 서비스는 전송 중인 데이터와 미사용 데이터에 대해 강력한 암호화를 제공합니다.
GDPR은 개인의 데이터 침해에 대한 조직의 대응을 어떻게 변화시킵니까?
GDPR은 데이터 보호 요구 사항을 변경하고 개인 데이터 유출에 대한 통지와 관련하여 프로세서 및 컨트롤러에 대해 더 엄격한 의무를 수행합니다. 새로운 규정에 따라, 프로세서는 개인 데이터 침해 사실을 알게 된 후 부당하게 지체하지 말고 이를 데이터 컨트롤러에게 알려야 합니다. 컨트롤러는 개인 데이터 유출을 알게 되면 72시간 이내에 관련 데이터 보호 기관에 해당 사실을 알려야 합니다. 위반 행위가 개인의 권리와 자유에 높은 위험을 초래할 가능성이 있는 경우, 컨트롤러는 부당하게 지체하지 말고 이를 영향을 받는 개인에게 통지해야 합니다. 이 항목에 대한 추가 지침은 EU의 제29조 실무 그룹에서 개발하고 있습니다.
Azure, Dynamics 365, Enterprise Mobility + Security, Microsoft Office 365 및 Windows 10과 같은 Microsoft 제품 및 서비스는 현재 보안 위협 및 위반을 감지하고 평가하며 GDPR의 위반 통지 의무를 충족시키는 데 도움이 되는 솔루션을 보유하고 있습니다.