GDPR 규정 준수 란 무엇입니까? : 데이터와 데이터 사용 방법에 대해 알아야 할 모든 것

2018년 5월 25일로, 일반 데이터 보호 규정 ( GDPR ) 규칙은 전역 전군에 들어간 유럽 연합 (EU) . GDPR 법률은 개인 정보의 수집, 처리 및 사용 방법에 대한 지침을 설정하는 동시에 사용되는 정보를 제어 할 수있는 권리를 관리합니다. Chrome 검색 기록을 삭제하는 것도 중요하지만 GDPR은 단순한 개인 정보 보호 옵션 이상입니다. GDPR은 또한 EU 내에서 개인의 개인 데이터를 처리하는 모든 국가에 영향을 미칩니다 . 벌금은 무겁다GDPR을 제대로 준수하지 못하는 사람들을 위해. 결론은 GDPR이 EU 거주자를 보호하고 개인 또는 회사가 보유하고 사용하는 정보를 통제 할 권리를 부여한다는 것입니다.

페이스 북과 캠브리지 ANALYTICA 스캔들 2018은보기에 개인화 된 광고 데이터 수확의 개념을 가져오고, 그러한 관행의 위험성을 강조했다. 요약하면, 영국의 분석 회사 인 Cambridge Analytica는 2016 년 대통령 선거에서 투표 습관에 영향을 미치는 사용자의 동의와 지식없이 수백만 개의 Facebook 계정에서 데이터를 수집 한 혐의를 받았습니다.

Cambridge Analytica 스캔들 + Facebook은 Brexit 투표에서 역할을 수행했을 수도 있습니다. 페이스 북은 신뢰에 대한 엄청난 배신을 가능하게하기 위해 문을 열었다 고한다.

기업이 데이터를 처리하는 방식을 관리하도록 설정되었지만 GDPR은 웹을 사용하는 모든 사람을 보호하는 것을 목표로합니다. 온라인 쇼핑을하고, 웹 사이트에서 쿠키를 허용하고, 소셜 네트워크에 가입하고, 뉴스 레터를 구독하는 경우에도 새로운 규정이 귀하와 귀하가 탐색하는 방식에 직접적인 영향을 미칩니다. 다른 사람이나 회사와 개인 데이터를 공유하는 경우 GDPR은 데이터가 사용되는 방식에 중요한 역할을합니다.

여기에 알아야 할 모든 것이 있습니다.

GDPR이란 무엇입니까?

EU의  GDPR (일반 데이터 보호 규정) 은 데이터가 이전에 예측할 수 없었던 새로운 방식에 따라 데이터 보호 법안을 마련하기 위해 EU에서 4 년 동안 노력한 결과입니다.

영국은 이미 1995 년 EU 데이터 보호 지침에 따라 제정 된 1998 년 데이터 보호법에 의존하고 있지만 새로운 법률이이를 대체 할 것입니다. GDPR은 비준수 및 위반에 대해 더 엄격한 벌금을 부과하고 기업이 데이터로 할 수있는 일에 대해 사람들에게 더 많은 발언권을 제공합니다. 또한 EU 전체에서 데이터 보호 규칙을 어느 정도 동일하게 만듭니다.

GDPR 초안이 작성된 이유

GDPR의 원동력은 두 가지입니다.

첫째 , EU는 사람들에게 데이터가 사용되는 방식에 대해 더 많은 통제권을 부여하기를 원했습니다. Facebook 및 Google과 같은 많은 회사는 서비스 사용을 위해 사람들의 데이터에 대한 액세스를 교환합니다. 인터넷과 클라우드 기술이 데이터를 악용하는 새로운 방법을 만들기 전에 현행 법이 제정되었으며 GDPR은이를 해결하려고합니다. 데이터 보호법을 강화하고 더 엄격한 시행 조치를 도입함으로써 EU는 신흥 디지털 경제에 대한 신뢰를 높이기를 희망합니다.

둘째 , EU는 기업이 운영 할 수있는보다 간단하고 명확한 법적 환경을 제공하여 단일 시장 전체에서 데이터 보호법을 동일하게 만들고자합니다 (EU는이를 통해 기업이 연간 26 억 달러를 절약 할 것으로 예상합니다).

GDPR은 언제 발효 되었습니까?

GDPR은 2018 년 5 월 25 일에 발효되었습니다. GDPR은 지침이 아닌 규정이므로 영국은 새로운 법률을 작성할 필요가 없었습니다. 대신 법이 자동으로 적용됩니다. 이 규정은 실제로 2016 년 5 월 24 일 EU의 모든 섹션이 최종 텍스트에 동의했을 때 시작되었습니다. 그러나 기업과 조직은 2018 년 5 월 25 일까지 법을 적용해야했습니다.

GDPR은 누구에게 적용됩니까?

데이터의 "관리자"및 "처리자"는 GDPR을 준수해야합니다. 데이터 컨트롤러는 개인 데이터가 처리되는 방법과 이유를 설명하는 반면 프로세서는 데이터의 실제 처리를 수행하는 당사자입니다. 따라서 컨트롤러는 영리를 추구하는 회사에서 자선 단체 또는 정부에 이르기까지 모든 조직이 될 수 있습니다. 프로세서는 실제 데이터 처리를 수행하는 IT 회사 일 수 있습니다.

앞서 언급했지만 매우 중요한 것은 EU 외부에 기반을 둔 컨트롤러와 프로세서가 EU 거주자의 데이터를 처리 할 때 여전히 GDPR 준수를 요구합니다.

프로세서가 데이터 보호법을 준수하는지 확인하는 것은 컨트롤러의 책임이며 프로세서는 자신의 처리 활동 기록을 유지하기 위해 규칙을 준수해야합니다. 프로세서가 데이터 침해에 연루된 경우, 데이터 보호법에 따른 것보다 GDPR에 따라 훨씬 더 많은 책임이 있습니다.

GDPR에 따라 어떻게 동의합니까?

동의는 사전 선택 상자 또는 옵트 아웃을 허용하는 일부 현재 모델에서 수동적 수락이 아니라 데이터 주체의 적극적이고 긍정적 인 조치 여야합니다.

컨트롤러는 개인이 동의 한 방법과시기를 기록해야하며 개인이 원할 때마다 동의를 철회 할 수 있습니다. 동의를 얻기위한 현재 모델이 이러한 새로운 규칙을 충족하지 않는 경우 해당 모델에서 데이터 수집 속도를 높이거나 데이터 수집을 중지해야합니다.

GDPR에서 개인 데이터로 간주되는 것은 무엇입니까?

EU는 GDPR에 따라 개인 데이터의 정의를 크게 확장했습니다. 조직이 현재 사람에 대해 수집하는 데이터 유형을 반영하기 위해 IP 주소와 같은 온라인 식별자는 개인 데이터로 간주됩니다 . 경제, 문화 및 정신 건강 정보와 같은 기타 데이터 도 개인 식별 정보로 간주됩니다 .

가명 화 된 개인 데이터는 자신의 데이터를 식별하는 것이 얼마나 쉬운 지 또는 어려운지에 따라 GDPR 규칙의 적용을받을 수 있습니다.

데이터 보호법에 따라 개인 데이터로 간주되는 모든 항목도 GDPR에 따라 개인 데이터로 간주됩니다.

회사가 저에 대해 저장 한 데이터에 언제 액세스 할 수 있습니까?

"합리적인 간격"으로 액세스를 요청할 수 있으며 컨트롤러는 일반적으로 1 개월 이내에 응답해야합니다. GDPR은 컨트롤러와 프로세서가 데이터를 수집하는 방법, 데이터로 수행하는 작업 및 처리 방법에 대해 투명해야합니다. 데이터 정책 및 절차를 설명 할 때 설명은 명확해야합니다 (일반 언어 사용).

당신은이 회사가 당신에 대해 보유하고있는 정보에 접근 할 권리 , 그리고 그 데이터가 처리되는 이유를 알 권리 , 그것을 위해 저장된 시간을 , 그리고 누가 그것을보고 얻는다 . 가능한 경우 데이터 컨트롤러는 사람들이 컨트롤러에 대해 저장하는 정보를 검토 할 수 있도록 안전하고 직접적인 액세스를 제공해야합니다.

부정확하거나 불완전한 경우 해당 데이터를 요청하여 원할 때마다 수정할 수도 있습니다.

GDPR의 "잊혀 질 권리"는 무엇입니까?

귀하는 데이터가 수집 된 목적에 더 이상 필요하지 않은 경우 데이터 삭제를 요구할 권리가 있습니다. 이 시나리오를 "잊혀 질 권리"라고합니다. 이 규칙에 따라 데이터 수집에 대한 동의를 철회 하거나 처리 방식에 반대하는 경우 데이터 삭제를 요구할 수 있습니다  .

컨트롤러는 다른 조직 (예 : Google)에 데이터 사본 및 사본 자체에 대한 링크를 삭제하도록 지시 할 책임이 있습니다.

데이터를 다른 곳으로 옮기려면 어떻게해야합니까?

컨트롤러는 이제 사용자가 요청하는 경우 사용자의 데이터를 다른 조직 (무료)으로 이동하기 위해 일반적으로 사용되는 형식 (예 : CSV 파일)으로 사용자의 정보를 저장해야합니다. 컨트롤러는 1 개월 이내에이 작업을 수행해야합니다.

회사가 데이터 유출을 당하면 어떻게됩니까?

조직이 인식 한 후 72 시간 이내에 사람들의 권리와 자유를 위험에 빠뜨리는 데이터 침해에 대해 데이터 보호 당국에 알리는 것은 회사의 책임입니다. 영국 당국은 정보 커미셔너 사무실입니다. 정보 커미셔너 Elizabeth Denham은 행정부가 GDPR에 대처하고 위반 사실을 알리는 조직에 대응하기 위해 더 많은 자원이 필요하다고 생각합니다. 2017 년 3 월, 그녀는 숙련 된 인력을 채용하고 유지하기 위해 더 많은 자금이 필요하다고 EU 내무 소위원회에 말했습니다.

그 기한은 기업이 침해를 발견 할 때까지 모든 세부 정보를 파악하지 못할 수 있음을 의미 할만큼 촉박합니다. 그러나, 그들의 데이터 보호 기관과의 초기 접촉은 간략하게 설명한다 영향을받는 것 데이터의 성격 , 사람들이 영향을받는 대략 얼마나 많은 , 결과가 그들을 위해 의미 할 수 무엇을 하고, 무엇을 이미 조치가 취해 또는 계획 대응 조치에 한 측정 .

데이터 보호 기관에 연락하기 전에 회사는 데이터 유출의 영향을받는 사람들에게 알려야합니다. 72 시간 기한을 지키지 못한 사람들은 전 세계 연간 매출의 최대 2 % 또는 1 천만 유로 ( 2020 년 7 월 12 일 현재 11,305,550 달러 , 통화 변동에 따라 변동될 수 있음) 중 더 높은 벌금 을받을 수 있습니다.

좋아요, GDPR을 준수하지 않으면 다른 어떤 벌금이 부과 되나요?

회사가 동의, 데이터에 대한 개인의 권리 무시, 데이터를 다른 국가로 전송하는 것과 같은 데이터 처리에 대한 기본 원칙을 따르지 않으면 벌금이 더 커집니다. 데이터 보호 당국은 최대 2 천만 유로 ( 2020 년 7 월 12 일 기준 으로 22,611,500 달러 , 환율 변동에 따라) 또는 회사의 글로벌 연간 매출액의 4 % 중 더 큰 금액을 부과 할 수 있습니다.