일반 데이터 보호 규정

Image

Salesforce는 강력한 개인정보보호 및 보안 보호를 통해 고객이 GDPR을 준수할 수 있도록 노력하고 있습니다. 2018년 5월 25일 제정된 일반 데이터 보호 규정(General Data Protection Regulation , GDPR) 개인정보보호법은 유럽연합(EU) 개인의 개인정보보호 권리를 확대하고 EU 개인 데이터를 광고, 추적, 취급하는 모든 조직에 새로운 의무를 부과합니다.

GDPR은 무엇입니까?

GDPR은 EU의 포괄적인 데이터 보호법으로 기존 법률을 업데이트하여 기술이 빠르게 발전하고 급속하게 세계화가 이루어지며 국제 데이터 흐름이 더욱 복잡해지고 있는 환경에서 개인 데이터의 보호 수준을 강화합니다. 법률은 현재 단일 규칙 집합으로 규정된 국내 데이터 보호법을 대체하며, EU 회원국에서 강제 집행됩니다.

GDPR은 EU에 속한 개인의 개인 데이터 수집, 저장, 전송 또는 사용 등 개인 정보 처리를 규제합니다. 온라인 활동 추적 등 EU에 속한 개인의 개인 데이터를 처리하는 모든 조직은 조직이 실제로 EU에 위치하는 지와는 상관없이 법률의 적용을 받게 됩니다. 무엇보다 GDPR 하에서 "개인 데이터"의 개념은 광범위하며, 식별된 개인 또는 식별 가능한 개인("데이터 주체"라고도 함)과 관련된 모든 정보를 나타냅니다.

Image
Image

보안 조치 및 보고 요구 사항

조직은 적절한 기술 및 조직상의 보안 조치를 취하여 무단 처리 및 예기치 않은 공개, 액세스, 손실, 파괴 또는 변형으로부터 개인 데이터를 보호해야 합니다. 특정 사용 사례 및 처리된 개인 데이터에 따라 데이터를 분리, 암호화, 가명 처리, 익명 처리하여 사용하는 것이 좋으며, 일부 경우 개인 데이터를 보호하기 위해 필수적으로 데이터를 분리, 암호화, 가명 처리, 익명 처리해야 합니다.

GDPR에 따라 데이터 컨트롤러는 모든 데이터 위반 사항을 가능한 한 빨리 데이터 보호 당국에 보고해야 하며, 위반 사항이 데이터 주체에게 어떠한 해도 끼치지 않는 경우를 제외하고 위반을 인지한 이후 72시간 이내에 보고가 이루어져야 합니다. 해를 입힐 가능성이 높을 경우 데이터 컨트롤러는 가능한 한 빨리 데이터 주체에게 데이터 위반 사실을 보고해야 합니다. 데이터 처리 담당자는 가능한 한 빨리 데이터 컨트롤러에게도 데이터 위반 사실을 알려야 합니다.

GDPR에 따라 취해야 할 보안 조치는 무엇입니까?

  • 암호화

    필수적이지 않더라도 법률에서는 암호화를 개인 데이터의 보안 및 기밀성을 유지하기 위한 효과적인 방법으로 간주합니다.

  • 가명 처리

    GDPR은 조직에서 데이터 보안 및 개인 권한을 보호하기 위한 위험 기반 조치이며 가명 처리 방식을 사용하도록 권고합니다.

  • 익명 처리

    가명 처리보다 한 단계 발전한 형태의 데이터 익명 처리는 개인 데이터를 보호하는 가장 안전한 방법입니다. 실제로 익명 처리를 하려면 데이터를 추가로 처리하거나 기타 정보와 결합해도 데이터로부터 개인을 식별할 수 없어야 합니다.

  • 책임감

    GDPR 하에서 데이터 컨트롤러는 직접 통제하는 개인 데이터가 GDPR 원칙에 따라 처리되도록 보장하기 위한 조치를 구현할 책임을 가지며, 데이터 보호 담당자 지명, 처리 담당자에게 계약상의 의무 부과 및 "설계상"/"기본적으로 개인정보보호 원칙 사용" 등의 방식으로 실현할 수 있습니다. 또한 데이터 컨트롤러는 처리 활동을 기록하고 개인정보 영향 평가를 실시하는 등 규정 준수 사실을 입증할 수 있어야 합니다.

  • EU Trailhead: GDPR 및 준수 방법에 대해 알아보기

    EU 개인정보보호법 기본 사항 모듈에서 GDPR의 핵심 원칙과 GDPR 준수 프로그램 구현 방법을 학습합니다.

  • US Trailhead: 미국 개인정보보호법과 준수 방법에 대해 알아보기

    미국 개인정보보호법 기본 사항 모듈에서 미국 헬스케어, 금융 부문의 개인정보보호법, 주별 법률을 학습합니다.

캘리포니아 소비자 개인정보보호법

Image

캘리포니아 소비자 개인정보보호법(California Consumer Privacy Act, "CCPA")는 2020년 1월 1일에 발효된 포괄적인 개인정보보호법입니다. 개인의 개인 정보를 우편번호에 의존하지 않도록 연방 개인정보보호법이 필요하다고 생각하며, 동시에 미국 정보보호 요구사항에서 한 발자국 진전을 이루며 개인정보보호와 데이터 보호를 위한 Salesforce의 지속적인 노력을 강화할 수 있는 기회가 되는 CCPA 를 환영합니다.