데이터 개인 정보 보호 규정
전 세계적으로 많은 법률과 규정이 데이터 보호 및 개인 정보 보호를 다루고 있습니다. 가장 널리 적용되는 두 가지 개인정보 보호법은 일반 데이터 보호 규정 2016/679(GDPR)와 2018년 캘리포니아 소비자 개인정보 보호법(CCPA)입니다.
- GDPR은 유럽 연합(EU) 및 유럽 경제 지역(EEA)에서 데이터 보호 및 개인 정보 보호를 관리하는 규정입니다.
- CCPA는 캘리포니아 주의 개인 정보 보호법으로서, 미국 최초의 포괄적 개인 정보 보호법입니다.
이 단원에서는 GDPR 개념 및 용어와 Microsoft가 데이터 개인 정보 보호 규정을 지원하고 약속하는 방법에 대해 설명합니다. 다음 단원에서는 CCPA에 대한 자세한 정보를 제공하고 두 규정을 비교합니다.
개요
GDPR은 EU 거주자에게 상품 및 서비스를 제공하거나 그들의 행동을 모니터링하는 조직의 개인 데이터 사용 및 처리를 관리합니다. 이 규정은 또한 개인에게 조직이 수집하는 개인 데이터를 관리할 수 있는 특정 권한을 부여합니다. 이 규정은 조직이 어디에 있든 관계없이 적용됩니다.
참고 항목
GDPR은 언뜻 보기보다는 훨씬 더 광범위하게 적용됩니다. 일부 다른 관할권의 개인 정보 보호법과 달리 이 규정은 유럽에 물리적으로 존재하지 않는 경우에도 모든 규모와 모든 산업의 조직에 적용됩니다. 법무팀과 긴밀히 협력하여 이 규정이 조직에 적용되는지 여부와 방법을 이해하세요.
이 규정의 한 가지 목표는 개인의 개인 데이터의 프라이버시 및 사용에 초점을 맞춤으로써 EU 거주자의 개인 데이터 보호를 강화하는 것입니다. 이 규정은 지침이 수립한 많은 원칙을 보존하는 동시에 개인에게 개인 데이터에 대한 더 많은 통제권을 부여함으로써 1995년 데이터 보호 지침을 업데이트하고 확장합니다. 이 규정은 개인 데이터를 수집, 처리 또는 분석하는 조직에 많은 새로운 의무를 부과합니다.
GDPR의 맥락에서 데이터에는 데이터 수집으로 시작하여 데이터 저장, 처리 및 사용으로 계속되고 시스템에서 데이터 삭제로 끝나는 수명 주기가 있습니다. 이 규정은 데이터 처리 요구 사항을 설정하고 이를 달성하는 방법에 대해 조언합니다. 규제 당국은 또한 법을 위반하는 조직에 상당한 벌금을 부과할 수 있는 새로운 권한을 갖게 되었습니다. GDPR은 2018년 5월에 발효되었습니다.
개념 및 용어
다음 개념과 용어는 이 규정을 이해하는 데 중요합니다.
개인 데이터는 식별되었거나 식별 가능한 자연인과 관련된 모든 데이터입니다. 개인 데이터는 식별 가능한 개인과 연결되거나 연결될 수 있는 모든 데이터입니다. 개인 데이터의 일반적인 예로는 이름, 주소, 생년월일, IP 주소가 있습니다. 가명 정보는 그 정보가 얼마나 모호하거나 기술적인지에 관계없이 개인과 연결된 경우 개인 데이터로 간주됩니다.
중요한 개인 데이터는 인종 또는 민족, 정치적 견해, 종교적 또는 철학적 신념 또는 노동조합 가입 여부를 드러내는 개인 데이터입니다. 중요한 개인 데이터에는 유전 데이터, 자연인을 식별하는 생체 데이터, 건강 데이터 또는 자연인의 성생활 또는 성적 취향에 대한 데이터도 포함됩니다. 이 데이터를 처리하는 데 더 큰 의무가 있습니다.
컨트롤러는 단독으로 또는 다른 사람과 공동으로 개인 데이터의 목적과 처리 방법을 결정하는 자연인 또는 법인, 공공 기관, 기관 또는 기타 기관입니다. 처리 목적 및 수단은 컨트롤러, 연합 또는 회원국 법률 또는 연합 또는 회원국 법률이 지명에 대해 제공하는 특정 기준에 의해 결정됩니다.
프로세서는 컨트롤러를 대신하여 개인 데이터를 처리하는 자연인 또는 법인, 공공 기관, 기관 또는 기타 기관입니다.
처리에 대한 법적 근거는 조직이 개인 데이터 처리에 대한 법적 근거를 제시할 수 있어야 함을 의미합니다. 다음을 포함하여 처리에 대한 6가지 법적 근거가 있습니다.
- 계약 이행을 위해 처리가 필요한 경우.
- 개인이 데이터 처리에 동의한 경우.
- 개인의 권리가 해당 이익을 능가하지 않는 한 처리가 조직의 정당한 이익에 부합하는 경우.
데이터 주체 권리는 조직 또는 컨트롤러의 개인 데이터 사용과 관련하여 개인에게 특정한 권리를 부여합니다. 특정 상황에서 개인은 조직이 저장, 처리 및 전송하는 개인 데이터에 대해 다음과 같은 데이터 주체 요청(DSR)을 제출할 수 있습니다.
- 데이터에 액세스합니다. 개인은 조직이 자신의 데이터를 처리하고 있는지 여부를 알 권리가 있으며, 그렇다면 해당 데이터에 액세스할 수 있습니다.
- 데이터 수정 요청. 개인은 회사에 개인에 대한 부정확한 데이터를 수정하도록 요청할 수 있습니다.
- 데이터 삭제를 요청하세요. 삭제권이라고도 하는 이 권리를 통해 개인은 회사가 수집한 개인 데이터의 삭제를 요청할 수 있습니다.
- 제한된 처리 요청. 개인은 회사에 데이터 처리를 억제하거나 제한하도록 요청할 수 있습니다.
- 데이터 이동성을 요청합니다. 개인은 다른 회사 또는 처리 시스템으로 개인 데이터를 이전하도록 요청할 수 있습니다.
- 개체입니다. 개인은 직접 마케팅을 비롯하여 자신의 데이터가 사용되는 다양한 용도를 거부할 수 있습니다.
- 프로파일링을 포함하여 자동화된 의사 결정의 대상이 되지 않도록 요청하세요. 데이터를 사용하여 사람을 프로파일링하고 자동화된 처리에만 의존하여 결정을 내리는 것에 대한 엄격한 규칙이 있습니다.
Microsoft 지원
Microsoft는 개인 정보가 기본적인 권리라고 믿으며 개인의 개인 정보 권리를 보호하고 활성화하는 데 도움이 되는 규정을 지원합니다. Microsoft는 규정 준수를 위해 최선을 다하고 있으며 고객이 규정 준수 의무를 충족할 수 있도록 많은 제품, 기능 및 리소스를 제공합니다.
조직 및 개발자와 같이 Microsoft의 온라인 서비스를 사용하는 컨트롤러는 컨트롤러를 대신해서만 개인 데이터를 처리해야 합니다. 컨트롤러는 규정 준수 요구 사항을 충족하기 위해 충분한 보증을 제공해야 합니다.
지정된 EU DPO
Microsoft에는 엔지니어링 및 비즈니스 그룹의 독립 고문인 지정된 EU DPO(데이터 보호 책임자)가 있습니다. DPO는 개인 데이터에 대해 제안된 모든 처리가 EU 법적 요구 사항과 Microsoft 회사 표준을 충족하도록 돕습니다. DPO 역할의 설계는 37-39조에 규정된 기준을 충족합니다.
EU DPO는 Microsoft 기업 및 법무 부문의 선임 임원인 Microsoft 최고 개인 정보 책임자에게 직접 보고합니다. DPO 역할에는 독립적이고 편파적이 않은 방식으로 기능을 수행할 수 있는 자율성이 있습니다. 최고 개인 정보 보호 책임자의 조직을 통해 DPO는 업무를 수행하는 데 필요한 교육 및 고객 대응 리소스에 액세스할 수 있습니다.
약정 및 조건
Microsoft 약관은 프로세서에 대해 28조에서 요구하는 다음 약속을 반영합니다. Microsoft는 구독 계약의 일부로 모든 온라인 서비스 고객에게 이러한 약정을 사전에 제공하고 기업 계약의 일부로 볼륨 라이선스 고객에게 제공합니다.
- 컨트롤러의 동의가 있는 경우에만 하위 프로세서를 사용하고 하위 프로세서에 대한 책임은 그대로 유지하세요.
- 컨트롤러의 지시에 따라서만 전송을 포함한 개인 데이터를 처리합니다.
- 개인 데이터를 처리하는 담당자가 비밀을 유지하는지 확인합니다.
- 위험에 대해 적절한 개인 데이터 보안 수준을 보장하기 위한 적절한 기술적/조직적 조치를 취합니다.
- 컨트롤러가 개인 데이터 권리를 행사하기 위한 데이터 주체의 요청에 응답해야 하는 의무를 충족하도록 지원합니다.
- 규정 위반 알림 및 지원 요구 사항을 충족합니다.
- 데이터 보호 영향 평가 및 감독 기관과의 협의를 통해 컨트롤러를 지원합니다.
- 서비스를 제공한 후 개인 데이터를 삭제하거나 반환한다.
- 규정 준수 증거로 컨트롤러를 지원하세요.