이 문장 정리에는 세 가지 이유가 있습니다.
1. 인터넷에서 GDPR 에 관한 많은 문장 들은 불완전하거나 심지어 틀렸다.
2. 이 기회를 빌어 회사 내에서 GDPR 특집 교육을 실시합니다.
3. 앞으로 청련운의 일부 고객업무는 GDPR 의 영향을 받을 것이다.
이후 일련의 관련 문장, 기업의 관점에서 법안이 사물인터넷 산업에 미치는 영향과 대응책을 더 많이 생각할 계획이다. 한편, 우리는 GDPR 의 동료 회사와 더 많은 상호 작용 토론을 하고 싶습니다. 둘째, 보안과 프라이버시에 대한 국제법의 태도를 전파하고 사물의 인터넷 안전에 대한 인식을 높이기를 희망합니다.
다음에 대해 알아봅니다.
1, GDPR 이란 무엇입니까 (중요)
2.GDPR 개발
3.GDPR 핵심 용어의 정의 (중요)
4.GDPR 은 어떤 기업 (중요) 에 영향을 미칩니까?
5.GDPR 은 어떤 상황에 적용되지 않습니까?
6. GDPR 에 의해 제한되는 데이터는 무엇입니까 (중요)
7.GDPR 데이터 주체의 권리 (중요)
8. GDPR 에서 개인 데이터를 처리하는 기본 원칙 (중요)
9.GDPR 법적 처리 데이터 정의
10 및 GDPR 아동 데이터 처리 규정
1 1.GDPR 데이터 컨트롤러 및 데이터 처리기의 의무 (중요)
12, 특수 유형의 개인 데이터 처리에 대한 GDPR 규정
13.GDPR 데이터 잊혀진 권리에 관한 규정 (중요)
14, GDPR 데이터 주체 이식성에 관한 규정 (중요)
15, GDPR 개인 정보 공개 통지 규정 (중요)
16, 데이터 보호 공무원 설립에 관한 GDPR 규정
17, GDPR 법 집행 및 처벌 규정 (매우 중요)
18, 요약
GDPR 이란 무엇입니까?
20 16 년 4 월 4 일, 유럽 의회는 4 년간의 GDPR (Global 데이터 보호 규정) 을 논의하기 위해 투표했습니다. 새 청구서는 1 1 장 ***99, 20 18 년 5 월 25 일로 구성됩니다. 기존 데이터 보호 지침 95/46/EC 를 대체하고 eu 회원국의 데이터 보호에 관한 법률 및 규정을 통합합니다.
또한 GDPR 의 새로운 규정은 28 개 EU 회원국에서 통일되어 28 개 EU 와 유럽 경제 회원국의 프라이버시 보호법이 더욱 일관되고 현대화될 것입니다.
GDPR 은 유럽 연합 시민의 프라이버시와 데이터를 보호하는 새로운 규정으로, 유럽 연합의 개인 정보 보호 및 규제가 전례 없는 수준에 이르렀다는 것을 의미하며, 이는 역사상 가장 엄격한 데이터 보호 법안입니다.
GDPR 개발 과정
(인터넷에서 찍은 사진)
GDPR 핵심 용어의 정의
개인 데이터는 식별되거나 식별 가능한 자연인 (데이터 주체) 을 가리키는 모든 정보입니다. 인식 가능한 자연인은 이름, ID 번호, 위치 데이터 및 온라인 인식과 같은 인식 목록을 참조하거나 자연인의 신체, 생리학, 유전, 심리, 경제, 문화 또는 사회적 정체성과 같은 하나 이상의 요소를 참조하여 직접 또는 간접적으로 식별할 수 있습니다.
처리: 수집, 기록, 조직, 구축, 저장, 적응 또는 수정, 검색, 조회, 사용, 공개, 전파 또는 기타 활용, 정렬, 조합, 제한, 삭제 또는 폐기와 같은 개인 데이터 또는 개인 데이터 세트에 대한 모든 작업 또는 일련의 작업을 나타냅니다
익명화: 특정 데이터 주체를 가리키거나 추가 정보를 사용하지 않는 개인 데이터를 처리하는 방법입니다. 이러한 처리 방식은 개인 데이터를 다른 추가 정보와 별도로 저장하며, 기술 및 조직 수단으로 인해 개인 데이터는 식별 가능하고 인정받는 자연인을 가리킬 수 없습니다.
데이터 통제인: 개인 데이터 처리의 목적과 방식을 독립하거나 공동으로 결정할 수 있는 자연인, 법인, 사업 단위, 행정기관 또는 기타 불법인 조직입니다.
데이터 처리자: 데이터 통제자를 위해 개인 데이터를 처리하는 자연인, 법인, 사업 단위, 행정 기관 또는 기타 불법인 조직입니다.
데이터 수신자: 제 3 자 자연인, 법인, 사업 단위, 행정 기관 또는 기타 불법 단체 등 전송된 개인 데이터를 수신하는 주체만 나타냅니다. 유럽 연합 또는 회원국 법률 프레임워크 내의 특정 조사에 따라 정부가 받은 개인 데이터는 "데이터 수신자" 로 간주해서는 안 됩니다.
개인 데이터 유출: 전송, 저장 또는 기타 처리 중 보안 문제로 인한 우발적 또는 불법 손상, 손실, 변경, 무단 유출 또는 액세스를 의미합니다.
GDPR 은 어떤 기업에 영향을 미칩니까?
유럽연합 GDPR 법안은 역외 효력을 가지고 있다. 즉, GDPR 은 유럽연합에 개인 정보 보안에 대한 치외법권을 부여한다.
주로 영향을 받는 기업은 다음 네 가지 범주가 있습니다.
L? 유럽연합에 설립된 기업 (컨트롤러, 가공자)
L? EU 내에 설립되지는 않지만 EU 내 데이터 주체 (자연인) 에 제품과 서비스를 제공하는 기업 (컨트롤러, 가공자).
L? EU 에 설립되지는 않지만 EU 데이터 주체 (자연인) 행위 모니터링에 참여하는 기업 (컨트롤러, 가공자).
L? 유럽연합 내부에 세워진 것이 아니라 유럽연합 회원국 법률이 적용되는 곳에 세워진 기업 (컨트롤러, 가공자).
요약하면 GDPR 은 유럽 연합에 위치한 기업 조직뿐만 아니라 유럽 연합 외부에 있는 기업 조직에도 적용됩니다. EU 데이터 주체에게 제품 및 서비스를 제공하거나 관련 행동을 모니터링하거나 EU 에 거주하는 데이터 주체에 대한 개인 데이터를 처리하고 보유하는 경우 해당 조직의 위치에 관계없이 GDPR 법의 규제를 받습니다.
GDPR 법안은 데이터 컨트롤러 및 데이터 프로세서에도 적용됩니다. 만약 사건이 데이터 처리자와 관련된다면, 데이터 통제자는 책임을 면제할 수 없다. GDPR 은 데이터 처리자와의 계약이 GDPR 규정을 엄격히 준수할 수 있도록 컨트롤러가 더 많은 책임을 져야 한다고 규정하고 있습니다.
GDPR 이 적용되지 않는 곳은 어디입니까?
GDPR 은 기업의 데이터 사용을 감독하는 것이 더 많다. 다음 네 가지 데이터 사용 측면은 GDPR 에 적용되지 않습니다.
L? 주관당국이 형사처벌을 실시하여 형사범죄를 방지, 조사, 수사 또는 기소하기 위해 실시한 데이터 처리.
L? 국가 안보 목적에 따른 데이터 처리 행동
L? 자연인이 순수한 개인이나 가족 활동에서 발생하는 데이터 처리 행위.
L? Eu 법의 범위를 벗어나는 데이터 처리 활동.
GDPR 은 어떤 데이터를 제한합니까?
개인 데이터:
식별을 통해 자연인의 정보를 직접 또는 간접적으로 식별할 수 있습니다.
자동 분류 또는 수동 분류 모두 시간순으로 정렬된 개인 데이터가 포함된 레코드 모음을 포함합니다.
익명된 개인 데이터는 기존 로고를 사용하여 특정 개인을 식별하는 데 어려움이 있습니다.
민감한 개인 데이터:
"특수한 유형의 개인 데이터" 라고도 합니다.
노조원들의 인종이나 민족 혈통, 정치적 견해, 종교나 철학 신앙, 개인 정보 공개 등이 포함된다.
처리 후 개인을 고유하게 식별할 수 있는 유전 데이터와 생물학적 데이터를 포함한다.
형사 유죄 판결 및 범죄와 관련된 개인 데이터는 포함되지 않지만 이러한 데이터의 처리 및 보존에는 특별한 요구 사항이 있습니다.
GDPR 데이터 주체의 권리 (제 3 장)
L? 알 권리
L? 접근 권한
L? 반대권
L? 이식성 권리
L? 수정권
L? 삭제/잊혀진 권리
L? 처분권을 제한하다
L? 데이터 초상화의 영향을 받지 않다
GDPR 에서 개인 데이터를 처리하는 기본 원칙
L? 합법적이고 공정하며 투명합니다
L? 데이터 처리의 목적은 제한되어 있다.
L? 이 용도로 사용되는 최소 데이터만 처리됩니다.
L? 데이터를 정확하고 시기 적절하게 업데이트해 주십시오.
L? 데이터 저장 기간은 목표 달성에 필요한 시간을 초과할 수 없습니다.
L? 기술 및 관리 조치를 취하여 데이터를 안전하게 보호하다.
L? 데이터 관리자는 책임이 있으며 이러한 점에 도달했음을 증명할 수 있어야 합니다.
GDPR 법적 처리 데이터 정의
다음 중 하나 이상이 충족되면 데이터를 처리하는 것이 합법적입니다.
L? 데이터 주체는 특정 목적을 위해 해당 데이터를 처리하는 데 동의합니다.
L? 데이터 처리는 계약을 체결하거나 이행하는 데 필요합니다.
L? 데이터 처리는 법적 의무를 준수하는 데 필요합니다.
L? 데이터 처리는 데이터 주체 또는 기타 자연인의 절실한 이익을 보호하기 위한 것이다.
L? 데이터를 처리하는 것은 공공의 이익이나 정부가 부여한 권력을 위한 것이다.
L? 데이터를 처리하는 것은 데이터 제어자의 합리적인 이익을 추구하기 위해서이지만 데이터 주체의 이익을 훼손해서는 안 된다.
어린이 데이터 처리에 관한 GDPR 규정
16 이하 아동의 개인데이터를 처리하려면 아동 부모나 보호자의 동의나 허가를 받아야 합니다. 회원국은 위의 연령을 조정할 수 있지만 13 세 이상이어야 한다.
GDPR 데이터 컨트롤러 및 데이터 처리기의 의무
DPO (데이터 보호 책임자) 설정
문서 관리
데이터 보호 영향 평가
사전 협상 메커니즘
데이터 유출 보고 메커니즘
안전조치
국경 간 데이터 전송 규칙 준수
GDPR 은 특별한 유형의 개인 데이터 규정을 처리합니다.
노조원, 개인 유전자 인식 데이터, 생물학적 데이터, 건강, 성생활 또는 성적 취향과 관련된 데이터 등 개인의 인종적 또는 민족적 혈통, 정치적 관점, 종교 및 철학적 신념을 반영하는 데이터를 수집하고 처리하는 것은 금지되어 있습니다. 그러나 특수한 경우에도 이러한 데이터를 수집하고 처리할 수 있습니다. 예를 들어, 개인의 명확한 동의를 받았거나, 데이터 통제인이 노동관계와 사회보험을 처리해야 하기 때문에 법률이 허용하는 범위 내에서 적절한 보호 조치를 취했습니다.
데이터 잊혀진 권리에 관한 GDPR 규정 (중요)
개인 데이터가 수집 및 처리 목적과 무관한 경우 데이터 주체는 해당 데이터가 처리되기를 원하지 않거나 데이터 컨트롤러가 데이터를 저장할 정당한 이유가 없는 경우 데이터 주체는 언제든지 해당 데이터를 수집하는 기업 또는 개인에게 개인 데이터를 삭제하도록 요청할 수 있습니다.
데이터가 제 3 자 (또는 제 3 자 웹 사이트) 로 전송되는 경우 데이터 컨트롤러는 제 3 자에게 데이터 삭제를 통지해야 합니다.
GDPR 데이터 주체 이식성에 관한 규정 (중요)
데이터 주체는 데이터 컨트롤러에서 해당 데이터를 요청하거나 개인 데이터를 다른 데이터 컨트롤러로 전송할 수 있습니다.
GDPR 개인 정보 공개 통지 규정 (중요)
데이터 컨트롤러는 72 시간 이내에 규제 기관에 개인 데이터 유출을 보고해야 합니다. 데이터 유출이 데이터 주체의 권리 또는 자유에 큰 위험을 초래할 수 있는 경우 데이터 컨트롤러는 데이터 주체가 적시에 조치를 취할 수 있도록 데이터 주체에게 즉시 알려야 합니다.
GDPR 에 데이터 보호 공무원 설립에 관한 규정
데이터 보호 규정 준수를 보장하고 데이터 보호 관련 문제를 처리하기 위해 데이터 컨트롤러 및 데이터 처리자는 데이터 보호관 (DPO) 을 설립해야 합니다.
컨트롤러와 프로세서는 데이터 보호 공무원에게 어떠한 지시도 내려서는 안 되며, DPO 는 임무 수행으로 인해 해고되거나 형사처벌을 받아서는 안 됩니다.
데이터 보호관은 최고 경영진에게 직접 보고합니다.
유럽연합이나 회원국의 법률에 따르면 데이터 보호 관리는 임무 내용을 기밀로 유지해야 합니다.
데이터 보호 관리들은 또한 다른 임무를 수행하고 다른 임무를 수행할 수 있다.
GDPR 법 집행 및 처벌 규정 (매우 중요)
편지의 데이터 프라이버시 규정을 준수하지 않는 결과는 엄중한 제재와 거액의 벌금이다.
GDPR 의 처벌은 인터넷에 올라온 글로벌 수입의 4% 만큼 직접적이지 않다. 그러나 행정 벌금에는 두 가지 수준이 있습니다.
일반 위반의 경우 벌금 한도는 654.38+백만 유로 또는 전년도 전 세계 연간 영업소득의 2% (더 큰 것을 기준으로 함) 입니다.
심각한 위법 행위의 경우 최대 벌금 2000 만 유로 또는 약속된 경우 전년도 전 세계 연간 영업소득의 4% 까지 (금액이 큰 것을 기준으로 함);
처벌의 엄격함은 다음 요소에 근거합니다.
L? 위반의 성격, 심각도 및 기간
L? 위반은 고의적입니까, 아니면 소홀한 것입니까?
L? 개인 신원 정보에 대한 책임 및 통제 수준
L? 위반이 단일 이벤트입니까, 중복 이벤트입니까?
L? 영향을 받는 개인 데이터의 유형 및 범위
L? 데이터 주체가 입은 피해의 정도
L? 피해를 줄이기 위해 취해진 조치
L? 위반으로 인한 재정적 기대 또는 이익.
GDPR 의 핵심 목적은 개인 데이터를 보호하고 법적 제약을 통해 기업과 시민 간의 신뢰 관계를 구축하는 것입니다. GDPR 위반 비용은 재무 수준을 훨씬 능가하며 기업의 명성에 큰 손해를 입히고 기업과 소비자 간의 신뢰 위기를 초래할 수 있습니다.
요약
청련운의 사물인터넷 업계도 GDPR 법안의 제약을 받고 있기 때문에 법안의 핵심 사상을 정리해 업계에 공유한다. GDPR 의 개혁은 시민의 기본권을 보호하는 이념에 기반을 두고 있다. 개인 데이터 보호 기준을 높이면서 기업의 규정 준수 비용도 증가합니다. 법안 뒤에는 프라이버시와 보안에 대한 수요가 있으며, 법안이 발효되면 국제 데이터 프라이버시 보호 기준이 될 것이다.
사물인터넷 업계의 관련 기업 (하드웨어, 소프트웨어, 제조, 데이터 분석 등). ), 인터넷 보안에 대한 인식을 높이고, 데이터 보안 및 사용자 프라이버시 보안을 중시하며, 적절한 시정 또는 강화 조치를 적극적으로 취해야 합니다. 청련 클라우드 보안 팀도 보안 공방 능력과 보안 규정 준수 의식을 지속적으로 높이는 동시에 고객 기업과 장기적인 보안 컨설팅 협력 관계를 구축하여 사물의 인터넷을 위한 안전하고 독립적이며 신뢰할 수 있는 새로운 보안 형식을 구축할 것입니다. (윌리엄 셰익스피어, Northern Exposure (미국 TV 드라마), 안전명언)