GDPR 적용 범위 1. 보호된 객체:
GDPR 은 "개인 데이터" 만 보호하고 개인 데이터 이외의 데이터는 포함하지 않습니다.
GDPR 제 4 조에 따르면 개인 데이터는 식별되거나 인식될 수 있는 자연인과 관련된 모든 정보를 의미합니다. 인식 가능한 자연인은 직접 또는 간접적으로 식별할 수 있는 것으로, 특히 이름, 주민등록번호, 지리적 위치, 온라인 인식 등의 신분 식별 수단을 통해 또는 신체, 생리학, 유전, 심리, 경제 또는 사회적 신분과 연결된 하나 이상의 요소를 통해 식별할 수 있습니다. 여기에 언급된 개인 자료는 살아 있는 자연인의 개인 자료로만 제한되며 죽은 사람, 태아 등은 포함되지 않는다.
또한 개인 데이터 보호는 익명 정보 또는 익명화되어 인식되지 않는 개인 데이터를 포함하지 않습니다. GDPR 은 인종 또는 민족적 혈통, 정치적 관점, 종교 또는 철학적 신념, 상회 구성원, 유전자, 생물학적 특징, 건강 상태, 성생활 및 기타 사항을 나타내는 특수한 개인 데이터 (개인의 민감한 데이터) 를 수집하고 사용하는 데 대한 특별 규정을 제공합니다. 개인 데이터 보호의 경우 GDPR 은 컴퓨터의 개인 데이터 처리 (자동화) 에 주로 적용되며 다른 유형의 처리 동작은 다루지 않습니다.
GDPR 제 4 조에 따르면 개인 데이터의 자동 처리에는 다음이 포함됩니다.
(1) 수집, 기록, 정리, 조직, 저장
(b) 적응, 조정, 검색, 상담 및 활용;
(3) 전송 또는 보급을 통한 공개 및 제공;
(4) 일치 조합;
(5) 제한, 삭제 및 파괴.
GDPR 의 개인 데이터 보호는 절대적이지 않으며,' 서문' 부분은 언론의 자유, 표현의 자유, 상업자유의 권리가 균형을 이루어야 한다는 것을 요구하는데, 이는 비례원칙, 법익균형원칙 등 법률의 기본 원칙에 부합한다.
2. 관할권:
GDPR 제 3 조는 GDPR 이 다음 세 가지 상황에 적용된다고 규정하고 있습니다.
(1) 여기서 데이터 컨트롤러 또는 데이터 처리기는 EU 에서 데이터 처리가 발생했든 해외에서 발생했든 EU 에 사업장이 있습니다. (2) 데이터 컨트롤러 또는 데이터 처리기는 EU 내에 사업장이 없지만 EU 내에서 데이터 주체에게 상품이나 서비스를 제공하거나 추적되는 네트워크 행위가 EU 내에서 발생합니다.
(3) 데이터 통제인이나 데이터 처리기가 유럽연합에 사업장을 설립하지 않았지만 국제공법에 따라 유럽연합 회원국의 법률이 적용되어야 한다. 두 번째 경우는 주로 미국의 인터넷 회사를 겨냥한 전형적인 역외 관할이다.
3. 데이터 항목:
GDPR 에서는 데이터 권리를 누리는 주체를 데이터 주체라고 하며, 개인 데이터가 가리키는 자연인은 데이터 주체입니다. 데이터 주체는 유럽연합 주민이어야 하며, 일반적으로 회원국의 국적이 필요하다.
4. 의무 주체:
GDPR 은 주로 데이터 컨트롤러 및 데이터 처리기라는 두 가지 유형의 의무 주체를 대상으로 합니다. 통제인은 개인 데이터 처리의 목적과 방식을 단독으로 또는 다른 사람과 공동으로 결정하는 자연인, 법인 또는 기타 조직이다. 처리자는 컨트롤러를 대신하여 개인 데이터를 처리하는 자연인, 법인 또는 기타 조직입니다.
GDPR 의 7 가지 기본 원칙은 합법적이고 공정하며 투명합니다. 데이터 주체와 관련된 데이터 정보는 합법적이고 공정하며 투명하게 처리해야 합니다.
데이터 수집은 명확한 목적을 가져야 합니다. 개인 정보 수집은 구체적이고, 명확하고, 합법적이어야 하며, 이러한 목적에 부합하지 않는 어떠한 방식으로도 데이터 처리를 계속할 수 없습니다.
데이터 수집의 최소 원칙: 개인 데이터 수집은 데이터 처리 목적과 관련된 모든 필수 데이터로 제한되어야 합니다.
정확성: 개인 데이터는 정확해야 하며, 필요한 경우 최신 데이터를 보존하려고 합니다.
스토리지 제한 사항: 개인 데이터 처리의 필요성을 초과하지 않는 한 인식 가능한 형식으로 데이터 주체로 저장할 수 있습니다.
무결성 및 기밀성: 무단 및 불법 처리, 우발적 손실, 분실 또는 손상 ("무결성 및 기밀성") 을 방지하기 위한 적절한 기술 또는 조직 조치를 포함하여 개인 데이터를 적절한 보안 방식으로 처리합니다.
책임: 컨트롤러 (기업 또는 조직) 는 자신의 기업이 GDPR 요구 사항을 충족한다는 것을 증명할 수 있어야 합니다.
데이터 주체의 권리 데이터 주체는 사용자, 고객, 직원 등을 의미합니다.
정보 투명성 및 정보 메커니즘: 데이터 처리자 또는 컨트롤러는 데이터 주체가 권리를 행사하는 투명성, 커뮤니케이션 및 방법을 보장해야 합니다. 즉, 사용자가 어떤 데이터를 수집하고 있는지, 왜 데이터를 받는지, 어떤 목적을 위해 사용자가 언제든지 자신의 데이터를 제어할 수 있도록 해야 합니다.
데이터 액세스, 컨트롤러는 데이터 주체가 언제든지 자신의 데이터에 액세스할 수 있도록 보장해야 합니다.
정정권: 자료 당사자는 통제인에게 부정확한 개인 자료를 정정할 것을 요구할 권리가 있어야 하며, 이유 없이 지체해서는 안 된다. 처리 목적을 고려하여 데이터 주체는 보충 진술을 포함한 불완전한 개인 데이터를 완성할 수 있는 권한을 가져야 합니다.
잊혀진 권리: 데이터 주체는 통제자에게 데이터 삭제를 요구할 권리가 있습니다. 예를 들어, 구글 사용자는 구글에게 자신에게 불리한 검색 결과를 삭제하도록 요청할 수 있습니다.
처리권 제한: 데이터 주체는 데이터 주체가 개인 데이터를 처리하도록 제한할 수 있습니다.
개인 데이터 수정 또는 삭제 또는 처리 제한에 대한 통지 의무: 개인 데이터를 공개한 수신자에게 개인 데이터 기반 수정, 삭제 또는 처리 제한을 전달해야 합니다. 데이터 주체가 요구할 경우 컨트롤러는 데이터 주체의 수신자에게 통지해야 합니다.
반대: 개인 데이터 처리의 목적이 직접 마케팅을 위한 것이라면, 데이터 주체는 언제든지 이런 마케팅에 대한 개인 데이터 처리에 반대할 권리가 있다. 여기에는 이런 직접 마케팅과 관련된 개황 분석이 포함된다. 데이터 주체가 직접 마케팅을 목적으로 하는 처리에 반대할 경우 이를 위해 개인 데이터를 처리할 수 없습니다.
거부 및 자율적 인 결정의 권리;
자율적인 개인 의사 결정 분석.
데이터 컨트롤러 또는 데이터 처리기의 의무 데이터 컨트롤러 및 데이터 처리기는 일반적으로 사용자 데이터를 저장하고 처리하는 회사를 나타냅니다.
통제자는 처리 수단을 결정할 때 익명과 같은 적절한 기술 및 조직 조치를 구현해야 합니다. 즉, 데이터 최소화와 같은 데이터 보호 원칙을 구현하고 법적 요구 사항을 충족하고 데이터 주체의 권리를 보호하는 데 필요한 보호 조치를 효과적으로 이행해야 합니다.
컨트롤러는 각 특정 처리 목적에 필요한 개인 데이터만 기본적으로 처리할 수 있도록 적절한 기술 및 조직 조치를 구현해야 합니다. 이 의무는 수집한 개인 데이터의 수, 데이터 처리 정도, 데이터 보존 기간 및 데이터 액세스 가능성에 적용됩니다. 특히 이러한 조치는 무제한의 자연인에 대한 개인적인 개입 없이 개인 데이터를 기본적으로 사용할 수 없도록 해야 합니다.
유럽 연합 회원국 내에서 파트너, 고객 또는 제 3 자 중개자가 될 수 있는 유럽 연합 대표를 지명합니다.
데이터 프로세서는 데이터 컨트롤러의 이름으로 데이터를 처리해야 합니다.
데이터 처리 활동을 기록해야 합니다.
감독 기관에 협조하고 협조하여 감독 기관의 조사에 적극적으로 협조하다.
프로세스 보안:
개인 데이터의 익명 및 암호화
(b) 데이터 시스템이 지속적인 기밀성, 무결성, 가용성 및 유연성을 유지하는 능력
(C) 자연 사고나 기술 사고가 발생했을 때 유용한 정보를 저장하고 적시에 개인 정보를 얻을 수 있는 능력
(D) 치료 과정의 안전을 보장하기 위해 기술 조치 및 조직 조치의 유효성을 정기적으로 테스트, 액세스 및 평가합니다.
데이터 유출 72 시간 보고 의무: 개인 데이터 유출의 경우 통제인은 무리하게 지체해서는 안 되며, 개인 데이터 유출이 자연인의 권리와 자유의 위험을 초래하지 않는 한 최소한 알고 있는 시점부터 72 시간 이내에 규제 기관에 통지해야 합니다. 통지가 72 시간 이후인 경우 지연의 원인을 설명해야 합니다.
데이터 주체와의 커뮤니케이션: 개인 데이터 공개가 자연인의 권리와 자유에 높은 위험을 초래할 수 있는 경우 제어인은 적시에 개인 데이터 공개 주체와 소통해야 합니다.
데이터 보호 영향 평가 및 사전 컨설팅
직원 250 명이 넘는 회사나 방대한 데이터를 처리하는 회사는 반드시 최고 데이터 보호 책임자를 설립해야 한다.
# # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # #
디지털 위험 관리 컨설팅 전문가
깊은 경작 바람 통제, 내부 통제, 규정 준수 분야의 디지털 컨설팅.
GDPR 규정 준수 컨설팅 및 시스템 제어 시스템을 제공합니다.