GDPR 도래: 준비 방법

게시 됨: 2017-11-15

참고: 이것은 일반적인 정보 제공의 목적으로만 사용되며 법률 분석이나 법률 자문을 구성하기 위한 것이 아닙니다. GDPR에 따른 귀하의 특정 의무에 대해 자세히 알아보려면 변호사에게 문의해야 합니다.

유럽 ​​연합 시민과 거래하는 조직의 일원이라면 GDPR(일반 데이터 보호 규정)과 관련된 향후 변경 사항에 대해 들어보았을 것입니다. GDPR은 EU 시민의 이익을 위해 데이터 보호 규칙과 권리를 강화하고 통합하기 위한 유럽 연합 법률입니다. GDPR은 EU에 상품과 서비스를 제공하거나 추적 기술(예: 쿠키 또는 추적 픽셀)을 사용하여 EU 사용자의 행동을 모니터링하는 EU 조직 및 비EU 조직(모든 규모)에 적용됩니다.

GDPR은 2018년 5월 25일부터 시행됩니다.

이때 규정을 준수하지 않는 조직은 벌금 및 기타 규제 제재를 받을 수 있습니다. GDPR에 대한 개요는 이 문서에서 시작하는 것이 좋습니다.

GDPR의 주요 원칙

귀하와 귀하의 팀이 다가오는 GDPR을 준비할 때 다음 원칙을 염두에 두십시오.

  • 수집된 개인 데이터는 공정하고 적법하며 투명한 방식으로 처리되어야 합니다. 합리적으로 예상할 수 없는 방식으로 사용해서는 안 됩니다.
  • 개인 데이터는 특정 목적을 달성하기 위해서만 수집되어야 하며 해당 목적과 양립할 수 없는 방식으로 더 이상 사용되지 않아야 합니다. 조직은 개인 데이터를 수집할 때 개인 데이터가 필요한 이유를 지정해야 합니다.
  • 보유하고 있는 개인 데이터는 최신 상태로 정확해야 합니다. 목적을 달성하는 데 필요한 것 이상으로 보유해서는 안 됩니다.
  • EU 시민은 자신의 개인 데이터에 액세스할 권리가 있습니다. 또한 데이터 사본을 요청할 수 있으며 방해 없이 데이터를 업데이트, 삭제, 제한하거나 다른 조직으로 이동할 수 있습니다.
  • 모든 개인 데이터는 안전하고 안전하게 유지되어야 하며 특정 유형의 활동을 수행하는 회사는 이제 데이터 보호 담당자를 임명해야 합니다.

개인 데이터란 무엇입니까?

개인 데이터에 대한 GDPR 정의에는 이름, 여권 번호, 생년월일 등 일반적으로 개인 식별 정보(PII)로 간주되는 항목이 포함되지만 IP 주소 또는 장치와 같이 PII가 아닌 것으로 간주될 수 있는 데이터도 포함됩니다. 아이디.

개인 데이터에는 해시되거나 암호화된 개인에 대한 데이터도 포함될 수 있습니다.

GDPR에서 개인 데이터로 간주하는 항목의 전체 목록은 GDPR 4(1)조를 참조하십시오.

또한 개인 데이터의 정의에는 "개인 데이터의 특수 범주"로 알려진 데이터의 하위 집합이 포함됩니다. 개인 데이터의 특수 범주는 GDPR에 명시적으로 명시된 데이터의 특정 목록이며 인종, 종교, 정치적 견해, 건강 데이터 등을 포함합니다.

GDPR 준비 단계

데이터 매핑 – 다음을 결정(및 문서화)합니다.

  • 어떤 개인 데이터를 보유하거나 수집합니까?
  • 개인정보는 어떤 용도로 사용되나요?
  • 이 데이터는 어디에서 왔으며 어떤 당사자와 공유되었습니까?
  • 이 데이터는 현재 어디에 있습니까?
  • 데이터는 얼마나 오래 저장됩니까?
  • 데이터 주체가 요청을 제출하는 경우 이 데이터는 어떻게 삭제되거나 수정됩니까?

권리 – 데이터 주체의 권리를 준수할 수 있도록 현재 절차를 확인합니다. EU 시민은 자신의 개인 데이터에 액세스할 권리가 있습니다. 또한 데이터 사본을 요청할 수 있으며 특정 상황에서는 데이터를 업데이트, 삭제, 제한하거나 방해 없이 다른 조직으로 이동할 수 있습니다.

동의 – 개인 데이터 처리의 근거로 동의에 의존하는 경우 동의를 추구, 획득 및 문서화하는 방법을 설명합니다. 특정 유형(전부는 아님) 활동의 경우 일반적으로 개인 데이터를 사용하려면 개인의 동의를 얻어야 합니다(예: 특정 범주의 개인 데이터를 처리하는 경우). GDPR에 따르면 동의는 명확한 적극적 조치로 이루어져야 합니다. 묵음, 미리 체크된 상자 또는 비활성은 일반적으로 동의로 간주되지 않습니다. 동의도 알려야 합니다.

조직은 개인 데이터를 수집하는 이유와 사용 목적에 대한 정보를 제공해야 합니다.

귀하는 또한 누가 동의했는지, 언제, 어떤 구체적인 진술에 동의했는지를 포함하여 획득한 모든 동의 기록을 유지해야 합니다. EU 개인은 언제든지 동의를 철회할 권리가 있습니다.

개인 정보 보호 정책 – 현재 개인 정보 보호 정책을 검토하고 업데이트가 필요한지 확인합니다.

제품 디자인 – 프로젝트에 개인 정보 보호를 설계하고 제품의 개인 정보 영향을 최소화할 수 있는 방법을 고려해야 합니다. 적절하거나 필요한 경우 가명화, 익명화 및 암호화를 사용하십시오. 개인 정보 보호 설계에 대한 자세한 정보는 GDPR 25조에서 찾을 수 있습니다.

데이터 침해 절차 – 데이터 침해 를 감지, 보고 및 조사하기 위한 절차가 마련되어 있는지 확인합니다. GDPR은 침해가 개인의 개인 정보 보호 권리에 대한 위험을 초래할 가능성이 없는 경우를 제외하고 일반적으로 탐지 후 72시간 이내에 데이터 보호 기관에 침해를 보고하도록 조직에 요구합니다.

데이터 보호 책임자 – 데이터 보호 책임자(DPO)를 임명해야 하는지 결정합니다. GDPR은 조직의 핵심 활동이 "대규모 데이터 주체에 대한 정기적이고 체계적인 모니터링"을 포함하거나 조직이 "특정 범주의 개인 데이터"를 대규모로 처리하는 경우 DPO를 임명해야 한다고 명시합니다. DPO는 GDPR 요구 사항 준수를 감독할 책임이 있으며 조직과 감독 기관 간의 연락 창구 역할을 합니다.

제3자 제공자 – 데이터 주체의 개인 데이터에 액세스하거나 처리할 수 있는 현재 사용 중인 모든 제3자 솔루션(웹사이트 추적 쿠키 포함)의 목록을 만드십시오. 제3자 제공업체와의 모든 계약을 검토해야 합니다. 필요한 경우 GDPR을 준수하는 기밀 및 데이터 개인 정보 보호 조항을 계약에 포함합니다. GDPR 규정을 준수하는지 여부를 판단한 제3자 제공업체에 문의하십시오.

인식 – 직원에게 GDPR과 GDPR이 고객의 개인 데이터 수집 및 처리에 미치는 영향에 대해 교육합니다.

프라이버시 실드는 어떻습니까?

GDPR에는 EU 외부로의 개인 데이터 전송과 관련된 특정 요구 사항이 있습니다.

예를 들어, 데이터 전송은 적절한 데이터 보호법이 있는 것으로 결정되었거나 적절한 데이터 내보내기 메커니즘을 마련한 국가에서만 발생해야 합니다.

EU는 미국이 적절한 데이터 보호법을 갖고 있다고 생각하지 않습니다. 그러나 Privacy Shield는 미국 조직이 GDPR의 요구 사항을 충족하기 위해 적절한 데이터 보호 관행을 갖추고 있음을 보여주기 위해 참여할 수 있는 자발적인 자체 인증 프로그램입니다. .

SendGrid는 Privacy Shield 인증을 받았으며 대체 데이터 내보내기 메커니즘으로 고객에게 표준 계약 조항을 제공합니다.

이것은 이메일에 어떤 영향을 미칩니까?

GDPR은 마케팅 관행에 영향을 미칩니다. GDPR과 관련된 모든 이메일 마케팅 담당자는 필요한 경우 동의를 추구, 획득 및 문서화하는 방법을 설명해야 합니다. 마케터는 또한 요청 시 개인의 데이터를 업데이트, 삭제, 제한 또는 이동할 수 있는지 확인하기를 원할 것입니다. GDPR을 준수하고 원치 않는 제목의 이메일 주소를 목록에서 제거하면 배달 가능성을 높일 수 있습니다!

다음은?

귀하의 조직이 GDPR의 영향을 받을 것이라고 생각되면 변호사에게 연락하여 GDPR에 따른 귀하의 특정 의무에 대해 자세히 알아보십시오. 이 게시물의 목적은 GDPR의 결과로 조직에 발생할 수 있는 몇 가지 변경 사항을 강조하는 것입니다. GDPR의 전체 텍스트는 여기에서 볼 수 있습니다. 쿠키 사용, 전자 개인 정보 보호 규정 및 GDPR과의 관련성에 대한 자세한 정보는 여기에서 확인할 수 있습니다.