GDPR에 따른 프로세서 및 컨트롤러 의무: 요약표

게시 됨: 2021-08-18

다가오는 GDPR(일반 데이터 보호 규정)에 대한 블로그 시리즈 계속 하면서 GDPR이 데이터 컨트롤러 데이터 프로세서 에 부여하는 다양한 의무를 설명하는 데 몇 분을 할애한 다음 몇 가지 빠른 정보가 포함된 치트 시트를 남깁니다. 특히 규정 준수를 위해 수행해야 하는 작업을 식별하는 데 도움이 되는 작업 포인트.

그러나 먼저 몇 가지 정의입니다.

GDPR은 4(6)조에서 데이터 컨트롤러 다음과 같이 정의합니다 .

" 단독으로 또는 다른 사람과 공동으로 개인 데이터 처리의 목적과 수단을 결정하는 자연인 또는 법인, 공공 기관, 기관 또는 기타 기관"

데이터 프로세서 반면 (제 4 (7))이다 :

"컨트롤러를 대신하여 개인 데이터를 처리하는 자연인 또는 법인, 공공 기관, 기관 또는 기타 기관"

더 구체적인 예를 들자면: 당신이 온라인 위젯 소매상이고 Jane Do가 당신의 위젯에 대해 더 알고 싶어(또는 판매가 있을 때까지 숨어서) 메일링 리스트에 등록한다면, 당신은 아마도 그녀가 가입할 때 그녀의 이메일 주소와 다른 연락처 정보를 수집합니다. 축하합니다! 귀하는 Jane Doe의 개인 데이터 관리자가 되었습니다. 그녀는 귀하로부터 마케팅 메시지를 받는 데 동의했으며 데이터 컨트롤러인 귀하는 이러한 이메일을 보낼 시기와 방법을 결정할 수 있습니다.

이제 실제로 자신의 마케팅 이메일을 보내지 않고 콘텐츠 제작, 이메일 일정 예약, 배송 추적 및 보고를 돕기 위해 이메일 서비스 제공업체(ESP)를 고용할 수 있습니다. ESP는 Jane의 데이터로 원하는 모든 작업을 수행할 수 있는 권한이 없으며 요청 시 캠페인 초안 작성, 이메일 전송 등을 도울 수 있는 권한만 있습니다. 이 경우 ESP는 데이터 프로세서입니다.

앞으로 가까운 파트너 A와 공동 브랜드 마케팅을 하기로 결정합니다(이 경우에는 괜찮습니다. Jane이 가입할 때 이 목적을 위해 파트너 A와 데이터 를 공유 하는 데 그녀의 동의를 얻었기 때문입니다 ). 협상 프로세스를 통해 귀하는 캠페인을 보내기 위해 귀하가 아닌 파트너 A의 ESP를 사용하기로 결정했습니다. 따라서 가입자 목록(Jane의 데이터 포함)을 파트너에게 보내면 파트너가 ESP에 업로드합니다. 이메일이 전송됩니다.

공동 마케팅 활동을 위해 Jane의 데이터를 파트너 A와 공유함으로써 파트너 A를 Jane의 데이터에 대한 공동 컨트롤러로 만들었습니다. 파트너 A는 Jane과의 관계 범위 밖에서 Jane의 데이터를 계속 사용할 것입니다. 파트너 A의 ESP는 여전히 데이터 처리자이며 귀하와 파트너 A의 요구 사항을 모두 준수해야 하지만 GDPR에서 추적해야 하는 Jane과의 관계에 몇 가지 복잡성을 도입했습니다.

GDPR에 따라 데이터 소유자는 데이터 주체에게 다음과 같은 권리를 부여합니다. (이 목록은 전체 목록이 아닙니다.)

  • 제15조(접근권): Jane은 귀하에게 편지를 보내 귀하가 수집한 개인 데이터의 사본을 요청할 수 있습니다. 데이터 컨트롤러인 귀하는 요청을 받은 후 30일 이내에 이 요청을 준수해야 합니다.
  • 제16조(정정 권리): Jane이 귀하가 보유한 데이터가 부정확하거나 불완전하다고 판단하는 경우 귀하에게 업데이트를 요청할 수 있습니다(예: 이메일 주소 변경 또는 데이터베이스에서 이름 철자 변경).
  • 제17조(삭제권): Jane은 귀하에게 자신의 데이터를 모두 삭제하도록 요청할 수 있습니다. 아마도 그녀는 귀하로부터 향후 메시지 수신에 대한 동의를 철회하거나 귀하가 그녀를 대상으로 하는 캠페인이 잘못된 방향으로 가고 있다고 생각하고 처음부터 시작하기를 원할 수 있습니다.
  • 제18조(처리 제한에 대한 권리): 귀하가 Jane의 열기 및 클릭(행동 기반 추적)을 추적하기 시작했지만 Jane은 귀하가 그렇게 하도록 허용하는 데 동의했다고 생각하지 않습니다(GDPR에 따르면 행동 기반 추적 동의가 필요합니다. 할 수 있다고 가정할 수는 없습니다.) Jane은 그녀가 실제로 동의한 내용을 두 사람이 정리할 때까지 그녀의 열기 및 클릭 추적을 중지하도록 요청할 수 있습니다.
  • 제20조(데이터 이식성 권리): 경우에 따라 Jane은 귀하에게 자신의 데이터를 압축하여 경쟁업체 중 한 곳으로 이전하도록 요청할 권리가 있습니다. (예! 그렇습니다. 이것은 Jane이 그녀의 데이터를 이동하는 데 도움을 주기 위한 것입니다. 예를 들어 Jane의 소셜 미디어 존재를 한 앱에서 다른 앱으로 쉽게 이동하는 것입니다. "성능 계약" 또는 "동의에 기초하여", 이 조항이 귀하에게 적용될 수 있습니다.

Jane이 자신의 권리를 행사하기로 결정하고 데이터 삭제를 요청하는 경우 단일 컨트롤러-프로세서 패러다임에서는 매우 간단합니다. 당신은 당신의 시스템에서 그녀의 데이터를 삭제하고 프로세서(당신의 ESP)에게도 그들의 데이터를 삭제하도록 요청합니다.

그러나 공동 컨트롤러 모델에서는 17(2)조에 따라 귀하와 귀하의 프로세서 인프라에서 삭제해야 할 뿐만 아니라 다음도 수행해야 합니다.

"개인 데이터를 처리하는 컨트롤러에게 데이터 주체가 삭제를 요청했음을 알리기 위해 기술적 조치를 포함한 합리적인 조치를 취합니다."

다시 말해, Jane의 데이터를 보낸 위치에 대한 매우 신중한 기록을 유지하고 Jane의 데이터를 가지고 있을 수 있는 다른 공동 컨트롤러에게 Jane을 대신하여 데이터 삭제 요청을 시작해야 합니다. 그런 다음 이러한 공동 컨트롤러는 자신이 사용하는 프로세서에 연락하고 해당 시스템에서 Jane의 데이터도 삭제해야 합니다.

그리고 이것은 Jane의 정보에 대한 데이터 프로세서 및 컨트롤러로서의 의무의 시작일 뿐입니다. GDPR에서 요구되는 사항에 대한 간략한 목록과 GDPR에서 더 자세한 정보를 찾을 수 있는 곳은 아래를 참조하십시오.

데이터 보안
 컨트롤러 의무:데이터 보안을 보호하기 위해 적절한 기술적 및 조직적 조치를 구현합니다.

  • 암호화, 적절한 경우 데이터 가명화
  • 데이터의 기밀성, 무결성 및 복원력을 보장하는 능력
  • 보안을 정기적으로 테스트, 평가 및 평가하는 프로세스
  • 노력을 문서화하십시오.

프로세서 의무:데이터 보안을 보호하기 위해 적절한 기술적 및 조직적 조치를 구현합니다.

  • 암호화, 적절한 경우 데이터 가명화
  • 데이터의 기밀성, 무결성 및 복원력을 보장하는 능력
  • 보안을 정기적으로 테스트, 평가 및 평가하는 프로세스
  • 노력을 문서화하십시오.

GDPR 문서:미술. 32 처리의 보안

위반 알림
 컨트롤러 의무:

  • 데이터 주체에 대한 높은 위험 가능성이 있는 경우 위반 후 72시간 이내에 감독 기관에 알립니다.
  • 해당되는 경우 데이터 주체 고지

프로세서 의무:

  • 위반 사실을 알게 되면 부당한 지체 없이 관리자에게 알립니다.

GDPR 기사:미술. 33 데이터 침해 통지
미술. 34 데이터 주체에 대한 데이터 침해의 커뮤니케이션

데이터 처리의 원리
 컨트롤러 의무:

  • 데이터가 데이터 주체에게 적법하고 투명한 방식으로 처리되도록 합니다.
  • 원래 목적과 양립할 수 없는 방식이 아닌 특정 목적을 위해 수집 및 처리된 데이터를 확인합니다.
  • 수집된 데이터가 정확하고 최신 상태인지 확인
  • 규정 준수를 입증할 수 있는지 확인

GDPR 기사:미술. 5 개인 데이터 처리에 관한 원칙
미술. 6 처리의 적법성

개인정보 보호정책
 컨트롤러 의무:

  • 데이터 주체가 사용할 수 있어야 합니다.
  • 어떤 데이터가 어떤 목적으로 수집되는지 설명합니다.
  • EEA 외부로 전송될지 여부와 데이터가 향후 전송으로 보호되는 방법을 포함하여 데이터를 수신할 수신자를 자세히 설명합니다.
  • 데이터 수집 및/또는 처리에 정당한 이익이 있는 경우.
  • 데이터 보관 및/또는 보관 기간 또는 보관 기간을 결정하는 데 사용되는 기준을 설명합니다.
  • 데이터 주체의 권리와 데이터 주체가 자신의 권리를 행사할 수 있는 방법을 설명합니다.
  • 자동화된 의사 결정 사용에 대한 세부 정보.

GDPR 기사:미술. 12 정보주체의 권리 행사를 위한 투명한 정보, 커뮤니케이션 및 방식
미술. 13 정보주체로부터 개인정보를 수집하는 경우 제공할 정보
미술. 14 정보주체로부터 개인정보를 취득하지 않은 경우 제공되는 정보

프로세서와의 계약 요구 사항
 컨트롤러 의무:

  • GDPR 규정을 충족할 수 있는 프로세서만 고용하십시오.
  • 데이터 주체 데이터를 적절하게 보호할 수 있는 프로세서만 사용하십시오.
  • 처리 활동의 주제, 기간 및 특성을 설명합니다.
  • 처리의 성격과 목적을 설명합니다.
  • 처리되는 개인 데이터의 유형을 설명합니다.
  • 처리 중인 데이터 주체의 범주를 설명합니다.

프로세서 의무:

  • 컨트롤러의 문서화된 지침에 따른 데이터만 처리
  • 데이터 처리 권한이 있는 모든 개인이 기밀 유지 계약에 동의했는지 확인합니다.
  • 컨트롤러가 데이터 주체 액세스 권한 요청을 처리하도록 지원
  • 보안 관련 의무 및 감독 기관의 요청에 대해 컨트롤러를 지원합니다.
  • 준수 의무에 대해 컨트롤러를 지원할 수 있고 지원할 수 있어야 합니다.
  • 컨트롤러 요청 또는 요구 사항에 따라 모든 데이터 삭제 또는 반환
  • EEA 외부로의 데이터 전송에 대해 설명하고 데이터를 보호할 보호 장치를 설명합니다.
  • 컨트롤러 또는 기타 필요한 권한이 수행하는 감사에 기여
  • 하위 프로세서의 참여가 컨트롤러가 요구하는 동일한 의무를 충족하는지 확인합니다.
  • 컨트롤러의 승인이 있는 경우에만 하위 프로세서를 사용하십시오.

GDPR 기사:미술. 24 컨트롤러의 책임
미술. 28 프로세서
미술. 29 컨트롤러 또는 프로세서의 권한 하에 처리

데이터 보호 관행 채택
 컨트롤러 의무:

  • 데이터 최소화 원칙을 입증할 수 있어야 하며, 해당되는 경우 설계 및/또는 기본 설정에 따른 데이터 보호가 사용됩니다.
  • 데이터 주체에 위험을 초래할 수 있는 모든 처리 활동에 대해 개인 정보 영향 평가를 수행합니다.

GDPR 기사:미술. 5 개인 데이터 처리에 관한 원칙
미술. 25 설계 및 기본에 의한 데이터 보호
미술. 35 데이터 보호 영향 평가

처리 활동 기록 보관
 컨트롤러 의무:

  • 데이터 컨트롤러 및 DPO 또는 EU 담당자의 이름/연락처 정보
  • 데이터 주체의 범주, 개인 데이터의 범주 및 데이터 수신자를 문서화합니다.
  • EEA 외부로의 데이터 전송에 대한 법적 근거를 문서화하고 데이터를 보호할 보호 장치를 설명합니다.
  • 데이터 보존 기간
  • 데이터 처리 활동에 대한 법적 근거 문서화

프로세서 의무:

  • 데이터 컨트롤러 및 DPO의 이름/연락처 정보
  • 컨트롤러에 대해 수행되는 처리 범주

GDPR 문서:미술. 30 처리활동에 관한 기록

이것은 많은 것을 받아들여야 하고 많은 작업처럼 보일 수 있습니다. 그러나 장기적으로는 귀하와 귀하의 파트너가 유럽 법률을 준수하도록 하고 데이터 주체 의 권리를 보호할 것입니다. 더 많은 GDPR 통찰력을 찾고 계십니까? 블로그의 GDPR 카테고리와 주문형 웨비나: GDPR로 가는 길에서 더 많은 정보를 찾을 수 있습니다.