GDPR 자주 묻는 질문

GDPR 준수로 향하는 여정에 오른 조직을 지원하기 위해 자주 묻는 질문 및 답변 목록을 한 곳에 정리했습니다.


|

예. GDPR은 (Microsoft의 엔터프라이즈 온라인 서비스를 사용하는 조직과 같은) 데이터 컨트롤러가 GDPR의 주요 요구 사항을 충족하기 위한 충분한 보장을 제공하는 데이터 컨트롤러(예: Microsoft)만을 사용해야 한다고 규정하고 있습니다. Microsoft는 모든 볼륨 라이선싱 고객에게 계약의 일환으로 이러한 약정을 제공하는 적극적인 조치를 취한 바 있습니다.

 

GDPR과 관련 있는 Microsoft의 계약상의 약정은 GDPR 개요 페이지의 고객 계약 아래에서 확인할 수 있습니다.

 

Microsoft는 고객의 GDPR 책임을 지원하기 위한 도구와 설명서를 제공하고 있습니다. 여기에는 데이터 주체 권리 지원, 자체 데이터 보호 영향 평가 수행, 개인 정보 침해 해결을 위한 협력이 포함됩니다. GDPR 개요 페이지를 방문하세요.

 

Microsoft의 GDPR 약관에는 제28조에 명시된 데이터 프로세서의 책임이 반영되어 있습니다. 제28조는 데이터 프로세서가 다음을 수행해야 한다고 규정하고 있습니다.

  • 데이터 컨트롤러의 동의하에서만 하위 프로세서를 사용하고, 하위 프로세서에 대한 법적 책임을 집니다.
  • 데이터 컨트롤러의 지시가 있을 경우에만 개인 정보를 처리(데이터 전송 관련 처리 포함)합니다.
  • 개인 정보를 처리하는 담당자가 기밀 유지를 준수하도록 감독합니다.
  • 위험에 부합하는 개인 정보 보안 수준을 확립할 수 있도록 적절한 기술적·조직적 조치를 구현합니다.
  • GDPR 권리를 행사하기 위한 데이터 주체의 요청에 대응해야 한다는 데이터 컨트롤러의 의무를 지원합니다.
  • 침해 알림 및 지원 요구 사항을 충족합니다.
  • 데이터 컨트롤러의 데이터 보호 영향 평가 및 감독 기관 상담을 지원합니다.
  • 서비스 제공을 마친 후에 개인 정보를 삭제하거나 반환합니다.
  • 데이터 컨트롤러의 GDPR 준수 증빙 자료 확보를 지원합니다.

 

 

Microsoft는 오랫동안 표준 계약 조항(모델 조항)을 당사의 엔터프라이즈 온라인 서비스를 위한 데이터 전송의 근거로 삼아 왔습니다. 표준 계약 조항은 규정을 준수하며 유럽 경제 지역 외부로 데이터를 전송하는 데 사용할 수 있는, 유럽 연합 집행위원회에서 제공하는 표준 약관입니다. Microsoft는 온라인 서비스 약관을 통해 당사의 모든 볼륨 라이선싱 계약에 표준 계약 조항을 적용했습니다. Microsoft의 표준 계약 조항 구현 실태는 제29조 위원회의 규정 준수 승인을 받은 바 있습니다.

 

또한, Microsoft는 EU-미국 Privacy Shield가 발효되었을 때 이에 대한 인증을 받은 최초의 기업입니다. Microsoft Privacy Shield 인증서를 살펴보고 온라인 서비스 약관을 읽어 보세요. EU-미국 Privacy Shield는 미국으로 본인의 정보를 전송하려는 고객이 고객의 데이터 보호 의무를 준수하며 정보를 전송할 수 있도록 지원합니다.

 

전 세계 거의 모든 국가에서 고객을 보유하고 있는 글로벌 기업인 Microsoft는 고객을 지원하는 강력한 규정 준수 포트폴리오를 갖추고 있습니다. FedRamp, HIPAA/HITECH, ISO 27001, ISO 27002, ISO 27018, NIST 800-171, UK G-Cloud를 비롯한 당사 규정 준수 제품의 전체 목록을 보려면 규정 준수 제품 목록을 방문하세요.

|

 

GDPR 요구 사항에 대응하는 데 사용되는 Microsoft 서비스의 기능에 관한 정보를 확인하려면 www.microsoft.com/trust-center/privacy/gdpr-accountability-documentation을 방문하세요.

 

GDPR은 개인 정보를 수집하거나 처리하는 조직이 다음과 같은 여섯 가지 주요 원칙을 준수해야 한다는 요구 사항을 비롯해 다양한 요구 사항을 규정하고 있습니다.

  • 개인 정보 취급 및 사용의 투명성, 공정성 및 적법성. 개인 사용자에게 개인 정보를 사용하는 방식을 투명하게 공개해야 하며, 개인 정보를 처리할 ‘적법한 근거’가 있어야 합니다.
  • 개인 정보의 처리를 지정된 명시적이고 적법한 목적으로 제한. 데이터를 수집한 원래 목적에 ‘부합하지’ 않는 목적을 위해 개인 정보를 재사용하거나 공개할 수 없습니다.
  • 의도된 목적에 적합하고 관련 있는 방식으로 개인 정보의 수집 및 저장 최소화
  • 개인 정보의 정확성 보장 및 삭제 또는 수정될 수 있도록 지원. 자사에서 보관하는 개인 정보의 정확성을 보장하고 오류 발생 시 수정할 수 있도록 지원하기 위한 조치를 취해야 합니다.
  • 개인 정보의 저장 제한. 개인 정보가 정보를 수집한 목적을 달성하는 데 필요한 기간 동안만 보존되도록 감독해야 합니다.
  • 개인 정보의 보안, 무결성 및 기밀성 보장. 조직에서 기술적·조직적 보안 조치를 통해 개인 정보를 안전하게 보호하기 위한 조치를 취해야 합니다.

귀하의 GDPR 여정을 Microsoft가 지원하기는 하나, GDPR에 대한 조직의 구체적인 의무가 무엇인지, 그리고 이러한 의무를 어떻게 이행할 것인지 자체적으로 파악해야 합니다.

GDPR(일반 데이터 보호 규정)에 대해 자세히 알아보려면 www.microsoft.com/gdpr를 방문하세요. Azure, Dynamics 365, Enterprise Mobility + Security, Office 365 및 Windows 10 섹션에서는 GDPR 준수를 준비하는 데 각 Microsoft 제품이 어떤 도움이 되는지도 알아볼 수 있습니다.

GDPR은 EU 거주민이 일련의 ‘데이터 주체 권리’를 통해 자신의 개인 정보를 제어할 수 있도록 지원합니다. 여기에는 다음과 같은 권리가 포함됩니다.

  • 개인 정보가 사용되는 방식에 관한 정보에 액세스.
  • 조직에서 보관하고 있는 개인 정보에 액세스.
  • 잘못된 개인정보를 삭제하거나 정정.
  • 특정 상황에서 개인 정보를 수정하거나 지우기(‘잊힐 권리’라고도 함).
  • 개인 정보의 자동 처리 제한 또는 거부.
  • 개인 정보의 사본 받기.

데이터 컨트롤러는 단독으로 또는 다른 데이터 컨트롤러와 함께 개인 정보 처리의 목적과 수단을 결정하는 자연인 또는 법인, 공공 당국, 기관 또는 기타 주체입니다. 데이터 프로세서는 데이터 컨트롤러를 대신하여 개인 정보를 처리하는 자연인 또는 법인, 공공 당국, 기관 또는 기타 주체입니다.

예. 데이터 프로세서와 데이터 컨트롤러에게 GDPR이 적용됩니다. 데이터 컨트롤러는 GDPR의 요구 사항을 충족하기 위한 조치를 취하고 있는 데이터 프로세서만 사용해야 합니다.

 

GDPR에서는 데이터 보호법에 비해 규정을 준수하지 않거나 데이터 컨트롤러의 지시를 따르지 않은 데이터 프로세서에게 더 많은 의무와 법적 책임을 부과하고 있습니다. 데이터 프로세서의 임무는 다음과 같으며 이에 국한되지 않습니다.

  • 데이터 컨트롤러가 지시한 대로만 데이터를 처리합니다.
  • 적절한 기술적·조직적 조치를 사용하여 개인 정보를 보호합니다.
  • 데이터 주체 요청과 관련하여 데이터 컨트롤러를 지원합니다.
  • 데이터 프로세서가 사용하는 하위 프로세서가 이러한 요구 사항을 준수하도록 감독합니다.

특정 GDPR 요구 사항을 준수하지 않은 기업은 최대 2,000만 유로와 전 세계 연간 총 매출의 4% 중 큰 금액에 해당하는 벌금을 부과받을 수 있습니다. 그 밖의 개인적인 구제책 또한 GDPR 요구 사항을 준수하지 않은 기업의 위험을 높일 수 있습니다.

GDPR에서 확인할 수 있는 몇 가지 요인에 따라 달라집니다. GDPR 제37조는 (a) 데이터 처리가 공공 당국 또는 주체에 의해 수행되는 경우(사법권에 따라 법원이 수행하는 경우 제외), (b) 데이터 컨트롤러 또는 데이터 프로세서의 주요 활동에 그 성격, 범위 및/또는 목적상 대규모의 데이터 주체를 정기적·시스템적으로 모니터링하는 처리 작업이 포함되어 있는 경우, (c) 데이터 컨트롤러 또는 데이터 프로세서의 주요 활동에 제9조에 따른 특수 범주의 개인 정보 및 제10조에서 언급하는 형사상 판결 및 위법 행위와 관련 있는 개인 정보를 대규모로 처리하는 작업이 포함되어 있는 경우 중 어느 하나에만 해당하더라도 데이터 컨트롤러와 데이터 프로세서가 데이터 보호 책임자를 임명해야 한다고 규정하고 있습니다.

대부분의 기업에서 GDPR을 준수하기 위해서는 시간과 비용이 필요합니다. 단, 탄탄하게 설계된 클라우드 서비스 모델을 사용하고 있으며 효과적인 데이터 거버넌스 프로그램을 이행하고 있는 기업의 경우에는 보다 매끄러운 전환을 기대할 수 있습니다.

|

GDPR은 ‘개인 정보’의 수집, 저장, 사용 및 공유에 적용됩니다. GDPR은 개인 정보를 식별된 또는 식별 가능한 자연인과 관련 있는 모든 데이터로 매우 광범위하게 정의하고 있습니다.

 

개인 정보에는 온라인 식별자(예: IP 주소), 직원 정보, 판매 데이터베이스, 고객 서비스 데이터, 고객 피드백 양식, 위치 데이터, 생체 데이터, CCTV 동영상, 고객 멤버십 기록, 건강 및 재무 정보를 포함할 수 있으며 이에 국한되지 않습니다. 개인 정보에는 사람이 없는 풍경 사진과 같이 언뜻 봐서는 개인 정보로 보이지 않지만 계정 번호나 고유 코드를 통해 식별 가능한 개인에게 연결되어 있는 정보를 포함할 수도 있습니다. 필명으로 처리된 개인 정보도 해당 필명이 특정 개인과 연결될 수 있다면 개인 정보가 될 수 있습니다.

 

특정 ‘특수’ 범주의 개인 정보(예: 개인의 인종이나 민족을 드러내는 개인 정보, 개인의 건강이나 성적 지향을 드러내는 개인 정보 등)에는 ‘일반적인’ 개인 정보보다 더욱 엄격한 규칙이 적용된다는 사실에도 유의하시기 바랍니다.

 

이처럼 개인 정보 여부의 평가는 사안에 따라 달라질 수 있으므로 전문가를 고용하여 구체적인 상황을 평가할 것을 권장합니다.

예. 자체 목적을 위해 데이터를 수집하고 처리하는 조직(‘데이터 컨트롤러’)과 다른 주체를 대신하여 데이터를 처리하는 조직(‘데이터 프로세서’)에는 세부적인 규칙은 다를 수 있지만 모두 GDPR이 적용됩니다. 이는 데이터 컨트롤러에게만 적용되었던 기존의 데이터 보호법과 다른 점입니다.

개인 정보는 식별된 또는 식별 가능한 개인과 관련 있는 모든 정보입니다. 이때 개인의 비공개, 공개 또는 업무 역할이 구분되지 않습니다. 개인 정보는 다음을 포함할 수 있습니다.

 

개인 정보의 예:

 

신원

  • 이름
  • 집 주소
  • 회사 주소
  • 전화 번호
  • 휴대폰 번호
  • 전자 메일 주소
  • 여권 번호
  • 주민등록증
  • 주민등록번호(또는 이와 동등한 정보)
  • 운전면허증
  • 신체적, 생리적 또는 유전적 정보
  • 의료 정보
  • 문화 정체성

재무

  • 은행 정보/계좌 번호
  • 납세 번호
  • 회사 주소
  • 신용 카드/직불 카드 번호
  • 소셜 미디어 게시물

온라인 아티팩트

  • 소셜 미디어 게시물
  • IP 주소(EU 지역)
  • 위치/GPS 데이터
  • 쿠키

예. 단, GDPR은 유럽 경제 지역 외부로 유럽 거주민의 개인 정보를 전송하는 행위를 엄격하게 규제하고 있습니다. 전송을 수행하려면 계약과 같은 구체적인 법적 메커니즘을 설정하거나 인증 메커니즘을 준수해야 할 수 있습니다. Microsoft는 온라인 서비스 약관에서 당사가 사용하는 메커니즘을 자세히 설명하고 있습니다.

GDPR은 “데이터 컨트롤러에게 적용되는 유럽 연합법 또는 회원국 국내법에 의해 처리가 요구되는 법적 의무를 준수하기 위한” 경우와 같이(제17(3)(b)조) 계속적인 처리 및 데이터 보존을 위한 법적 근거가 있는 경우, 해당 조직에서 데이터를 보존해야 할 필요성을 인지하고 있습니다. 단, 이 경우에도 데이터 보존 근거가 데이터 주체의 권리 및 자유, 데이터가 수집된 시점에서 데이터 주체의 기대치 등과 비교될 수 있도록 법률 책임자의 검토를 받아야 합니다.

GDPR에서는 개인 정보가 침해되었을 때 개인 정보를 알아볼 수 없도록 만드는 보호 조치로 암호화를 규정하고 있습니다. 따라서 암호화가 사용되었는지 여부가 개인 정보 침해 알림 요구 사항에 영향을 줄 수 있습니다. GDPR은 또한 몇몇 경우에 위험에 따른 적절한 기술적 또는 조직적 조치로 암호화를 지목하고 있습니다. 암호화는 PCI(지불 카드 업계) 데이터 보안 표준의 요구 사항이자 금융 서비스 업계에 적용되는 엄격한 규정 준수 지침의 일부이기도 합니다. Azure, Dynamics 365, Enterprise Mobility + Security, Office 365, SQL Server/Azure SQL Database, Windows 10과 같은 Microsoft의 제품과 서비스는 전송 중 데이터와 미사용 데이터를 위한 강력한 암호화를 제공하고 있습니다.

 

Microsoft 제품 및 서비스를 사용하여 조직에서 GDPR 준수에 대비하는 방법을 알아보려면 Microsoft 제품을 사용하여 GDPR 요구 사항을 준수하는 방법을 살펴보시기 바랍니다.

GDPR로 인해 데이터 보호 요구 사항이 변경되게 되며, 개인 정보 침해 통보와 관련하여 데이터 프로세서와 데이터 컨트롤러에게 보다 엄격한 의무가 부과됩니다. 새로운 규정하에서, 데이터 프로세서는 개인 정보 침해를 인지한 후에 부당한 지연 없이 데이터 컨트롤러에게 해당 사실을 통보해야 합니다. 개인 정보 침해를 인지한 데이터 컨트롤러는 72시간 이내에 관련 데이터 보호 당국에 해당 사실을 통보해야 합니다. 침해로 인해 개인의 권리와 자유에 심각한 위험이 초래될 수 있는 경우, 데이터 컨트롤러는 영향받는 개인에게도 부당한 지연 없이 해당 사실을 통보해야 합니다. 현재 EU 제29조 위원회가 이 주제에 관한 추가 지침을 개발하고 있습니다.

 

Azure, Dynamics 365, Enterprise Mobility + Security, Office 365, Windows 10과 같은 Microsoft 제품 및 서비스에는 보안 위협과 침해를 탐지 및 평가하고 GDPR의 침해 알림 의무를 준수하는 데 도움이 되는 솔루션이 구현되어 있습니다.

|

Microsoft의 고객 성공 서비스인 Microsoft FastTrack은 비즈니스가 Microsoft 클라우드로 더욱 빠르게 비즈니스 가치를 실현할 수 있도록 지원하는 서비스 혜택*입니다. FastTrack은 다음과 같은 지원을 제공합니다.

  • 전자 메일과 콘텐츠 마이그레이션, Microsoft 365 서비스 활성화
  • 디바이스의 배포 및 안전한 관리
  • 비즈니스 지원, 최종 사용자 도입률 증대

Microsoft FastTrack은 고객에게 제공되는 반복적이고 지속적인 서비스 혜택입니다. Microsoft 엔지니어와 전문가들이 고객 또는 파트너가 도입/사용률을 계획, 온보딩 및 추진하고 고객과 파트너의 속도에 맞게 클라우드로 안심하고 전환할 수 있도록 지원합니다.

 

고객이 Microsoft 온라인 서비스로 배포하고 마이그레이션할 수 있도록 지원하는 과정에서, Microsoft FastTrack은 GDPR이 발효되는 2018년 5월 25일부터 GDPR을 준수할 수 있도록 노력하고 있습니다. FastTrack 전문 서비스 혜택의 일환으로, Microsoft는 배포 및 도입 지원을 위해 고객의 기존 파트너와 협력하거나 파트너를 추천해 드립니다.

 

자세한 내용은 https://FastTrack.Microsoft.com을 참조하세요.

 

*‘서비스 혜택’은 Microsoft OST 및 MBSA에서 정의하는 바에 따라 ‘전문 서비스’로 간주됩니다.

FastTrack 엔지니어와 전문가들은 고객 또는 파트너가 달성하고자 하는 시나리오 및 비즈니스 가치를 계획하는 전문가로서, 고객 또는 파트너가 이러한 목표를 달성할 수 있도록 제품 및 서비스를 계획하고 배포하고 도입을 추진하는 데 중점을 둡니다. 보안 센터 웹 사이트에서 Microsoft의 제품 및 서비스가 GDPR 준수를 어떻게 지원하는지 알아보세요. Microsoft는 고객 및 파트너가 법적 자격을 갖춘 전문가와 GDPR, GDPR이 해당 조직에 적용되는 방식, GDPR을 준수하기 위한 최상의 방안을 상의할 것을 권장합니다.

Microsoft는 고객이 자체 법무팀 및 준수팀과 협력하여 암호화를 위한 GDPR 요구 사항과 전반적인 GDPR 요구 사항을 확인할 것을 권장합니다. GDPR 준수는 고객이 수집하는 데이터, 사용 시나리오 및 산업 부문이나 분야에 따라 달라집니다.

Microsoft FastTrack은 배포를 더욱 빠르게 진행하고, ROI를 창출하고, 고객사 직원들과 Microsoft 제품 및 서비스의 최종 사용자의 도입률을 높이기 위한 고객 성공 서비스입니다. 고객 또는 파트너가 Microsoft FastTrack을 통해 지원 요청을 제출하면 Microsoft는 고객 또는 파트너를 위해 Microsoft 제품 및 서비스를 적절하게 배포하기 위한 프로세스를 시작합니다.

 

FastTrack 전문 서비스 혜택의 일환으로, Microsoft는 배포 및 도입 지원을 위해 고객의 기존 파트너와 협력하거나 파트너를 추천해 드립니다. 여기에서 보안 센터의 GDPR 페이지에서 설명하는 바와 같이 Microsoft 파트너가 규정을 준수할 수 있도록 지원하는 GDPR 전문 파트너에 대해 자세히 알아보세요. 신뢰할 수 있는 클라우드/GDPR 웹 페이지에서는 GDPR 준비 상태를 평가하고 Microsoft 클라우드로 GDPR 준수를 가속하는 방법과 Microsoft FastTrack을 사용하여 배포 지원을 받는 방법을 알아볼 수 있습니다.


추가 리소스

파트너 찾기

Microsoft 기반 솔루션을 제공하는 Microsoft 글로벌 파트너의 도움이 받아 GDPR 관련 필요 사항에 대응하세요.

Microsoft 개인 정보 보호 방침

Microsoft가 고객 데이터를 관리하는 방식, 고객 데이터가 저장되는 위치, 누가 고객 데이터에 액세스할 수 있는지와 약관을 비롯한 다양한 정보를 확인하세요.

EU-미국 Privacy Shield

Microsoft가 EU-미국 Privacy Shield 프레임워크의 원칙을 어떤 식으로 준수하는지 알아보세요.

데이터 침해 알림

Microsoft가 개인 정보 침해를 탐지하고 이에 대응하며 GDPR에 따라 귀하에게 통보하는 방식