편집자 주: WRAL TechWire는 가장 빠르게 성장하고 가장 복잡한 기술법 영역 중 하나를 명확하게 하기 위해 데이터 개인정보 보호법에 대한 XNUMX부작 시리즈를 운영하고 있습니다. 첫 번째 부분은 여기. 이 시리즈의 두 번째 기사는 사이버, 데이터 개인 정보 보호 및 기술(CIPP/E, CIPM) 고문 Steve Britt, 사이버, 데이터 개인 정보 보호 및 기술(CIPP/US) 파트너 Parker Poe 및 Sarah Hutchins가 기고한 것입니다. , 파커 포.

독자 참고 사항: WRAL TechWire는 기고자들이 표현한 견해에 대해 여러분의 의견을 듣고 싶습니다. 다음 주소로 이메일을 보내주십시오. info@wraltechwire.com.

+ + +

롤리 – 25년 2018월 XNUMX일 유럽 연합의 GDPR(일반 데이터 보호 규정) 제정은 전 세계적으로 데이터 개인 정보 보호의 분수령이 되었습니다.

그것은 데이터 개인 정보 보호에 대한 최고 수위를 설정했으며 캘리포니아가 캘리포니아 소비자 보호법(CCPA)의 초기 반복에서 약간의 전환을 취하는 동안 이러한 이탈 중 일부는 현재 새로운 규정에 따라 재검토되고 있습니다. 캘리포니아 프라이버시 권리 법 (CPRA), 이 XNUMX부작 시리즈에서 다음에 논의할 것입니다.

데이터 프라이버시와 당신: 법적 관점에서 당신이 정말로 알아야 할 것

EU 문화에 구운

그러나 GDPR에 의해 입증된 바와 같이 유럽에 대해 이해해야 할 첫 번째 사항은 데이터 프라이버시가 유럽 문화에 녹아 있다는 것입니다. 실제로 1995년에 미국이 전자 상거래의 폭발로 이어진 인터넷을 발견했을 때 유럽은 현재 GDPR에서 볼 수 있는 것과 동일한 원칙을 많이 포함하는 데이터 보호 지침(DPD)을 제정했습니다.

유럽의 "지침"은 27개 EU 국가와 3개 유럽 경제 지역(EEA) 국가에서 공통적으로 적용되는 지침입니다. 지침의 문제는 각 회원국이 자체 현지 법률을 제정하여 이러한 규칙을 구현하도록 요구한다는 것입니다.

우리가 지금 미국에서 보고 있는 것처럼 개별 현지 법률을 요구하면 일관되지 않고 종종 상충되는 규칙의 바둑판 모양이 됩니다. 반면에 규정은 GDPR이 나타내는 모든 회원국에 적용되는 필수 규칙 집합을 만듭니다. GDPR은 모든 EEA 주에 적용되지만 HR 데이터와 같은 특정 문제에 대해서는 별도의 현지 규칙을 허용합니다.

범위와 관련하여 GDPR은 EU에서 "설립"된 모든 법인(영리 또는 비영리)에 적용됩니다. 법인이 EU에서 설립되었거나 EU에 계열사, 지사 또는 사무실이 있거나 EU에 직원이나 계약자가 있는 경우 법인은 "설립"됩니다.

경고: 버지니아의 새로운 데이터 개인정보 보호법은 노스캐롤라이나 기업에도 영향을 미칠 수 있습니다.

큰 변화

그러나 GDPR의 주요 변경 사항은 역외 적용이었습니다. EU에서 비즈니스를 설립하지 않은 경우에도 (비 EU) 조직이 EU 거주자(온라인 포함)에게 상품 또는 서비스를 판매하거나 EU 거주자를 프로파일링하는 경우 GDPR이 적용됩니다. 이는 유럽 활동과 관련하여 국제적으로 사업을 하는 광범위한 미국 회사를 GDPR로 휩쓸었습니다.

GDPR은 회사 매출의 4%(즉, 전 세계 총 수익)에 도달하는 규제 벌금의 위협에 의해 뒷받침되는 광범위한 새로운 의무를 부과합니다. 다행히 GDPR은 주로 데이터 감독 기관(법무장관과 유사)에 의해 시행되지만 GDPR은 현지 법률에서 허용하는 경우 소비자 조직의 집단 소송을 허용합니다.

인터넷 서비스 제공 업체는 강력한 메인 개인 정보 보호법에 대한 반대를 철회

주요 조항

다음은 GDPR의 주요 조항 중 일부입니다.

• 비즈니스에서 데이터를 수집하는 자연인에게 다음을 포함하여 광범위한 데이터 권한을 부여합니다.
  • 어떤 개인정보가 수집되었는지 알 권리
  • 그러한 데이터의 오류를 수정할 권리
  • 잊혀질 권리(즉, 개인 데이터 삭제를 요청할 권리)
  • 개인 데이터 처리에 대한 제한 또는 반대를 요청할 권리
  • 데이터를 다른 프로세서로 전달할 수 있도록 컴퓨터가 읽을 수 있는 형식으로 개인 데이터를 반환할 권리
  • 자동화된 처리에 기반한 불리한 결정으로부터 자유로울 권리, 그리고
  • 개인 데이터 처리에 대한 사전 동의를 철회할 권리
• 기업은 고위험 활동에 대한 데이터 보호 영향 평가를 수행해야 합니다.
• 회사는 또한 PbD(Privacy by Design)를 구현해야 합니다. 즉, 데이터 처리에 대한 기본 설정이 데이터 개인 정보를 가장 보호해야 함을 의미합니다.
• 해당 기업은 포괄적인 기록 보관을 통해 모든 데이터 처리 활동과 규정 준수 노력을 문서화해야 합니다.
• 기업은 EU에 시설이 있는 경우 데이터 보호 책임자를 임명하고, 그렇지 않은 경우 EEA에 대표자를 임명해야 합니다.
• 회사는 개인 데이터 처리를 제한하는 프로세서와 공식 데이터 처리 계약에 서명해야 합니다.
• 회사는 정보주체에게 규정된 내용과 함께 상세한 개인정보 보호 고지를 제공해야 합니다.

데이터 단속 예정: FTC, 소비자 개인 정보 보호를 위한 노력 시작

추가 복잡성

또 다른 복잡성 영역은 GDPR의 국가 간 전송 규정과 관련이 있습니다. GDPR 데이터 권리는 EU 개인 데이터에 첨부되며 회사는 이러한 권리가 수입국에서 존중되지 않는 한 EU 데이터를 수출할 수 없습니다. EU 데이터 서버에서 단순히 EU 데이터에 액세스하는 것은 이 규칙에 따른 국가 간 전송이며, 첫 번째 인스턴스의 데이터 수집 및 사용에 대한 규칙을 넘어 특별한 데이터 전송 메커니즘을 사용해야 합니다.

다국적 보안 사고에 대한 여러 감독 기관의 관할권 조정을 포함하여 GDPR의 다른 많은 요소가 있습니다. 현재로서는 2016년에 개인 데이터 처리에 대한 "세상을 변화"시키겠다는 유럽의 목표가 실제로 실현되었다는 점에 주목합니다.

FCC: 무선 데이터 정보는 이동통신사에서 보관하며 경찰에 제공됩니다.