일반 데이터 보호 규정 (GDPR)
일반 데이터 보호 규정 ( " GDPR ")은 최근 뉴스에 많이 등장 했습니다. 그러나 새로운 규칙은 무엇이며 비즈니스에 어떤 영향을 미칩니 까?
배경
1995 년에 유럽 집행위원회는 데이터 보호 지침을 발표했습니다. 이를 위해서는 모든 EU 회원국이 자신의 시민들의 개인 정보가 적절히 보호되고 있는지 확인하고 시민들이 제 3 자에 의해 어떤 데이터가 보유되고 있는지 알 수있는 특정 권리가 보장되도록 데이터 보호법을 시행해야하며, 적절한 경우 해당 데이터의 수정 또는 삭제를 요구할 수 있습니다.
그러나 그 후 몇 년 동안 소셜 미디어, 스마트 폰 및 인터넷의 지속적인 발전의 급속한 발전은 기존의 법적 보호가 적절하지 않다는 것을 보여주었습니다. 그 결과 유럽 집행위원회는 새로운 규정 인 일반 데이터 보호 규정을 제안했습니다. 개별 EU 회원국이 자체적 인 방식으로 규칙을 이행 할 수 있었던 이전의 데이터 보호 지침과 달리 GDPR 규정은 단일 날짜에 단일 EU 전체 규정 (2018 년 5 월 25 일)으로 시행되어야했습니다.
GDPR의 핵심 목표 중 하나는 유럽의 기존 데이터 보호 체제를 확장하여 EU 비즈니스 또는 비 EU 비즈니스에서 데이터를 처리했는지 여부에 관계없이 모든 EU 시민이 동일한 수준의 보호를받을 수 있도록하는 것이 었습니다. 위원회는 개인의 데이터가 점점 더 미래의 디지털 경제에 핵심이되는 시대에 모든 시민들이 표준 "디지털 권리"를 갖도록하는 것이 그들의 목표라고 말했습니다.
GDPR이 중요한 이유는 무엇입니까?
GDPR은 규제의 넓은 범위와 비준수에 대한 중요한 벌칙 때문에 모든 사업에서 중요합니다. 중대한 위반의 경우 벌금 은 전세계 매출액의 2 % 또는 4 % 중 높은 금액에 도달 할 수 있습니다.
GDPR은 또한 모든 데이터 위반에 대한 잠재적 책임의 범위를 확대합니다. 이전에는 실제로 데이터를 소유 한 데이터 "컨트롤러"와 해당 데이터로 무언가를하기 위해 컨트롤러가 계약 한 데이터 "프로세서"가 구별되었습니다. 전자는 개인 데이터의 손실이나 오용에 대해서는 책임이 있지만 후자에 대해서는 책임을지지 않습니다. 그러나 GDPR 하에서 컨트롤러와 프로세서는 모두 공동으로 책임을집니다. 이는 어느 한쪽 또는 양쪽 당사자가 피해자가 고소하거나 규제 당국이 벌금을 부과 할 수 있음을 의미합니다.
기술 분야의 많은 기업들이 프로세서가 될 가능성이 있기 때문에 GDPR 하에서 기업들은 이전에는 없었던 잠재적 인 책임을지게 될 것입니다.
GDPR에는 실제로 어떤 것이 필요합니까?
GDPR은 데이터를 제어하거나 처리하는 사람에게 여러 가지 의무를 제시합니다. 이것은 포괄적 인 안내서가 아니며 기본 요구 사항은 다음과 같습니다.
- 어떤 데이터를 제어하고 어디에서 가져 왔는지 확인하십시오.
- 귀하가 관리하거나 처리하는 모든 데이터에 대해 귀하가 "합법적 인 근거"를 가지고 있는지 확인하십시오 (이에 대해서는 나중에 자세히 설명합니다)
- 적절한 조치를 취하여 통제하거나 처리하는 모든 데이터를 보호하고 해당 데이터에 대한 모든 위험을 모방합니다.
- 귀하가 통제하는 데이터 처리를 하도급 처리하는 경우, 귀하는 동일한 보호 기준에 따라 프로세서가 작동하는지 확인해야합니다
- "개인"또는 "민감한"데이터를 보관하는 경우 해당 데이터의 보호를 위해 추가 조치를 취해야합니다. 개인 데이터가 널리 사용됩니다 - 이메일 주소 또는 IP 주소도 개인 데이터로 간주 될 수 있습니다!
- 개인이 요청할 경우, 보유하고있는 데이터의 사본을 기계로 읽을 수있는 적절한 형식 ( "데이터 이식성")으로 신속하게 제공해야합니다.
- 개인이 요청한 경우 귀하가 보유하고있는 데이터를 삭제해야합니다 ( "잊을 권리").
"합법적 인 근거"
"합법적 근거"는 GDPR의 가장 중요한 부분 중 하나입니다. 본질적으로 수집 또는 처리되는 모든 데이터는 합법적 인 근거로 작성되어야합니다. 합법적 인 근거가 없다면 데이터를 수집하거나 처리 할 수 없으며 데이터를 파괴해야합니다.
합법적 인 근거로 간주되는 다양한 시나리오가 있습니다.
- 사용자가 데이터 수집 및 처리에 명시 적으로 동의 한 경우 이것은 가장 일반적인 합법적 인 근거이며 또한 만족하기 쉬운 방법입니다. 사용자에게 수집 할 데이터와 수집하려는 데이터를 명확하고 명확하게 알려야합니다. 그런 다음 사용자에게 그러한 컬렉션에 참여할 수있는 기회를 주어야합니다 (이 옵션은 옵트 인이어야하고 옵트 아웃하지 않아야 함)
- 계약을 이행하기 위해 데이터를 수집해야하는 곳. 이것은 또한 공통적 인 합법적 인 기반이 될 수 있으며 상품이나 서비스를 판매하는 온라인 상점과 같은 일반적인 상황에 대한 데이터 수집 및 처리를 허용하기위한 것입니다. 이 상황에서 고객은 상품이나 서비스를 구매하여 계약을 체결 했으므로 요금 청구 및 배송 정보를 수집하여 신용 카드 처리기로 전달하는 것이 합법적입니다. 실제로 계약을 이행해야합니다. 그러나이 데이터를 다른 목적 (예 : 마케팅)으로 사용하는 것은 계약을 이행하기 위해 필요하지 않으므로 합법적 인 근거가되지 않습니다
- 법으로 요구되는 곳. 법으로 요구되기 때문에 데이터를 수집하고 처리해야하는 상황이있을 수 있습니다. 좋은 예는 은행과 금융 기관이 법률에 따라 최대 6 년 동안 특정 기록을 보관해야하는 경우가 종종 있습니다
- 어디에 중요한 관심이 있습니다. 이 합법적 인 근거는 생명 또는 사망 비상 사태를 대비하고 응급 서비스와 같은 기관의 데이터 처리를 다루기 때문에 비즈니스 세계에서 마주 칠 법하지 않습니다
- 공공 업무에 필요한 곳. 정부 부처 또는 기타 공식 기관이 업무를 수행하기 위해 데이터를 수집하고 처리 할 수 있도록 허용하기 때문에 이러한 일이 발생할 가능성은 거의 없습니다. 사례에는 법원에 출두하는 등의 서비스를 제공하기 위해 데이터를 수집하고 처리해야하는 법률 회사가 포함될 수 있습니다
- 마지막으로 '합법적 인 이익'이 있습니다. 이것은 의도적으로 작성되어 매우 모호하지만 본질적으로 데이터를 수집하고 처리 할 수 있으므로이를 수행하는 데있어 가장 중요한 정당한 관심이 있습니다. 좋은 예는 개인이 사업장의 마케팅 이메일을받지 못하도록 요청한 경우 그 사람의 데이터를 완전히 삭제하지 않고 해당 이메일 주소를 보내지 않도록 해당 사람의 이메일 주소를 유지하는 것이 합법적 인 이익이 될 것이라는 것입니다 미래의 실수로 이메일을 보낼 위험이 있습니다. 그러나 합법적 인 이익에 대한 높은 기준이 있습니다. 회사에 편리하기 때문에 개인의 최우선 관심사에 있어야합니다.
수집되거나 처리되는 데이터가 "민감합니다"(기본적으로 인종, 종교, 성적 취향, 정치적 제휴, 의료 기록 또는 노동 조합 가입과 관련이있는 경우), 합법적 인 기본 요구 사항이 훨씬 엄격하게 적용됩니다 - 기본적으로 사용자로부터 명백한 동의가 있거나 압도적 인 공익을 얻거나 법으로 요구되는 경우에만 이러한 데이터를 수집하거나 처리 할 수 있습니다.
Reincubate는 어떨까요?
GDPR에 따른 Reincubate의 권리와 의무에 대한 자세한 내용은 개인 정보 보호 정책을 참조하십시오.