소개

DPIA는 프로젝트의 데이터 보호 위험을 설명, 평가, 관리하고 데이터 보호 의무 이행을 입증하기 위해 데이터 컨트롤러가 수행하는 문서화된 프로세스입니다. 이러한 맥락에서 '프로젝트'는 교육, 학습, 공동작업을 지원하기 위해 Google Workspace for Education을 사용하거나 Google을 사용하는 조직의 아웃소싱 등이 될 수 있습니다.

조직은 '컨트롤러'로서 처리하는 개인 정보와 관련하여 DPIA를 완료해야 합니다. 이 용어는 GDPR에 정의되어 있으며 본질적으로 조직에서 개인 정보를 처리하는 방법과 목적을 결정하는 것을 의미합니다. Google은 일부 고객이 자체적으로 데이터 프로세서일 수 있음을 알고 있습니다. 하지만 이 리소스 센터는 기본적으로 컨트롤러로서 클라우드 서비스를 사용하는 조직을 위한 것입니다. 

DPIA는 다음 사항을 설명해야 합니다.

• 개인 정보를 처리하는 방법과 이유, 해당 처리를 위한 GDPR의 법적 근거

• 처리의 필요성 및 비례성 평가(목표 달성을 위해 개인 정보를 처리해야 하는 이유) 여기에는 Google과 같은 데이터 프로세서에서 처리를 지원하는 데 사용하는 데이터가 포함됩니다.

• 파악한 모든 잠재적 위험과 그러한 위험을 해결 및 완화하기 위해 취할 조치. DPIA는 프로젝트의 데이터 보호 원칙 준수 여부를 평가하고 입증하는 효과적인 방법이 될 수 있습니다. 

개인 정보 처리와 관련된 새 프로젝트를 시작하는 경우 DPIA가 필요한지 여부를 조기에 판단하고 프로세스를 숙지해야 합니다. 또한 DPIA를 조기에 실시하면 프로젝트에 필요하거나 선택할 수 있는 변경사항을 파악하는 데 큰 도움이 될 수 있습니다. DPIA가 필요하다고 판단한 경우에는 GDPR에 따라 개인 정보 처리가 시작되기 전에 DPIA를 완료해야 합니다. DPIA가 필요한가요?를 참조하세요.

또한 DPIA를 지속적으로 검토해야 합니다. 개인 정보 처리 방식에 중대한 변화가 있는 경우(예: 새로운 워크로드에 클라우드 서비스를 사용하기로 결정한 경우 또는 다른 데이터 세트를 처리하기로 결정한 경우) 위험을 재평가하고 위험을 완화하기 위해 추가 조치가 필요한지 여부를 판단해야 합니다.

데이터 컨트롤러는 DPIA가 필요한지 여부를 결정하고 DPIA를 준비할 책임이 있습니다. 

조직에 데이터 보호 담당자(DPO)가 있는 경우 DPIA를 수행할 때 DPO에게 조언을 구해야 합니다. 또한 조직의 다른 팀이나 개인에게 프로세스를 지원하는 데 필요한 관련 기술 및 전문 지식(예: IT팀, 규정 준수팀 또는 법무팀)에 대한 자문을 구하는 것이 좋습니다.

DPIA는 사내에서 완료하거나 외부 자문에게 아웃소싱할 수 있지만, 책임은 여전히 데이터 컨트롤러에게 있습니다.

컨트롤러는 프로젝트와 관련된 개인 정보 처리 과정이 개인의 권리와 자유에 '고위험'을 초래할 가능성이 있는 경우 DPIA를 수행해야 합니다. 일부 처리 유형은 항상 ‘고위험’으로 간주되며, 항상 DPIA가 필요합니다. 다른 처리 유형의 경우에는 관련된 위험에 대한 객관적인 평가를 수행해야 합니다. 

유럽 데이터 보호 위원회는 신기술의 사용을 ‘높은 위험’을 나타낼 수 있는 요인 중 하나로 꼽았으며, 클라우드 서비스에 의존하는 많은 공공 부문 처리 업무에 DPIA가 필요할 것으로 예상된다는 지침서를 발행했습니다.

자세한 내용은 '이러한 처리가 DPIA의 트리거를 충족하는지 여부는 어떻게 판단할까요?' 섹션을 참조하세요.

아래의 정보는 DPIA를 실시해야 하는지 여부에 대한 초기 평가에 도움이 됩니다. 하지만 해당 국가의 데이터 보호 당국의 지침서를 검토하고 독립적인 법률 자문을 구하는 것이 좋습니다.  

데이터 프로세서 역할만 맡고 있다면 DPIA를 완료할 필요가 없습니다. 하지만 규정 준수를 연습하기에 좋은 기회가 될 것입니다. 

GDPR에 따르면 일부 처리 활동에는 항상 DPIA가 필요합니다. 프로젝트가 다음 중 하나와 관련 있는 경우가 여기에 해당합니다.

• 개인의 사적인 부분을 체계적이고 광범위하게 평가하는 개인 정보 처리 자동화(프로파일링 포함). 이러한 처리는 해당 개인에게 법적(또는 이와 비슷하게 의미 있는) 영향을 미치는 결정을 알립니다.

예를 들어, 클라우드 서비스를 사용하여 직원과 관련된 개인 정보(예: 업무 성과)를 자동으로(예: 사람의 개입 없이) 분석하는 경우 이 과정이 개인의 고용 조건이나 급여에 영향을 미칠 수 있다면 DPIA가 필요할 가능성이 높습니다.

• 특별한 범주의 데이터 또는 유죄 판결 기록 또는 범죄 관련 데이터의 대규모 처리. 

예를 들어 클라우드 스토리지를 사용하여 의료 기록이나 임상 테스트 결과와 같은 개인 건강 데이터의 대규모 데이터 세트를 저장하는 경우 DPIA가 필요할 가능성이 높습니다.

• 누구나 접근할 수 있는 구역에 대한 체계적인 대규모 모니터링. 이러한 맥락에서 누구나 접근할 수 있는 구역은 모든 대중에게 공개된 구역을 말합니다.

예를 들어 사무실 건물의 CCTV 영상을 클라우드에 저장하는 등 CCTV 시스템을 클라우드 서비스와 통합하려는 경우 DPIA가 필요할 가능성이 높습니다.

참고: 유럽 각국의 데이터 보호 당국은 항상 DPIA를 요구하는 추가적인 처리 유형을 규정하고 있습니다. 따라서 해당 국가의 추가 요건을 확인해야 합니다. 

위 섹션에서 설명한 처리 과정에는 항상 DPIA가 필요합니다. 하지만 이러한 범주에 속하지 않는 처리 과정의 경우에도 개인의 권리와 자유에 '높은 위험'을 초래할 가능성이 있는지 여부를 판단해야 합니다.

이러한 결정을 내리려면 처리 과정에서 발생하는 위험을 객관적으로 평가해야 합니다. 평가 시에는 처리 과정의 성격, 범위, 맥락, 목적을 고려해야 합니다. 즉, 개인 정보를 사용하는 용도, 이유, 모든 주변 상황을 고려해야 합니다. 

처리 과정에서 새로운 기술이 사용되는 경우 DPIA가 필요할 가능성이 더 높습니다. 그렇다고 해서 새로운 기술과 관련된 모든 처리 과정에 기본적으로 DPIA가 필요한 것은 아닙니다. 그러나 조직이 혁신적인 기술이나 기존 기술의 새로운 애플리케이션을 사용하고 있다면 평가 과정에서 해당 사용 방식도 고려해야 합니다. 클라우드 서비스 고객은 위험 평가를 준비할 때 Google Cloud 기술이 처리 과정에서 하는 역할에 각별히 주의를 기울이는 것이 좋습니다.

유럽 데이터 보호 위원회(EDPB)는 처리가 '고위험'으로 이어질 가능성이 있는지 판단하는 안내서를 내놓았습니다. 이 안내서에는 '높은 위험'을 나타내는 9가지 요소가 포함되어 있습니다.

1. 처리 과정에 개인에 대한 프로파일링, 평가, 채점(예: 신용 조회 점수)이 포함된 경우

2. 개인 정보를 사용하여 개인에게 법적 또는 유사한 상당한 영향을 미치는 자동화된 결정을 내리는 경우(예: 전자 채용 또는 온라인 마이너스 통장 신청 거부)

3. 개인을 체계적으로 모니터링하는 경우(예: CCTV 또는 위치 추적)

4. 특수한 카테고리의 데이터 또는 매우 개인적인 성격의 개인 정보(예: 의료 기록)를 처리하는 경우

5. 개인 정보를 대규모로 처리하는 경우. '대규모'는 안내서에 정의되어 있지 않으므로 본인이 판단해야 합니다.

6. 여러 데이터 세트를 매칭하거나 결합하는 경우(예: 제3자로부터 별도의 데이터 세트를 받아 기존 데이터 세트를 보강하는 경우)

7. 취약한 개인(예: 아동 또는 환자)에 대한 데이터를 처리하는 경우

8. 새로운 기술 또는 조직 솔루션을 적용하거나 기술을 혁신적으로 사용하는 경우(예: 인공지능)

9. 처리 과정에서 개인이 권리를 행사하거나 서비스 또는 계약을 사용하지 못하게 되는 경우(예: 개인 대출 거부).

일반적으로 처리 과정이 이러한 위험 요인 중 두 가지 이상을 충족하는 경우 DPIA를 수행해야 할 가능성이 높습니다.

결정과 관련된 또 다른 요소는 조직이 공공기관인지, 공공부문(예: 정부 부서, 지방 의회, 지자체) 내에서 개인 정보를 처리하는지입니다. EDPB는 클라우드 서비스를 사용하는 많은 공공 부문 처리 작업이 데이터의 민감한 특성 또는 처리 규모 등으로 인해 '고위험'을 초래할 수 있다는 안내서를 발표했습니다.

일부 데이터 보호 당국은 DPIA가 필요한지 여부를 판단하는 데 도움이 되는 위험 평가 툴을 개발했으므로, 해당 기관의 웹사이트에서 안내서를 확인할 것을 적극 권장합니다.

DPIA가 필요한지 여부를 판단하고 DPIA를 준비하는 것은 데이터 컨트롤러의 책임입니다. Google은 고객을 대신하여 DPIA를 실시할 수는 없지만, 고객이 클라우드 서비스 사용을 위해 DPIA를 완료하는 데 도움이 되는 정보와 기타 리소스를 제공하는 방식으로 고객을 지원합니다.

DPIA는 일반적으로 몇 가지 주요 단계로 구성되며, 자세한 내용은 이 섹션에서 설명합니다.

1. 데이터 처리 설명

2. 필요성 및 비례성 평가

3. 위험 및 위험 관리 방법 설명

4. 추가 의견 수집

5. 결론 문서화

DPIA에는 정해진 형식이 없습니다. 일부 데이터 보호 당국에서 귀하가 사용할 수 있도록 게시한 템플릿 또는 Google Cloud에서 제공하는 템플릿을 사용할 수 있습니다(Google의 DPIA 지원 방식 참조).

템플릿을 사용하든 자체적인 DPIA 형식을 작성하든, DPIA에는 다음 사항이 포함되어야 합니다.

• 조직에서 개인 정보를 처리하고 GDPR의 법적 근거(예: 동의, 계약 이행 또는 적법한 이익)를 파악하는 방법과 이유

• 처리의 필요성 및 비례성 평가(목표 달성을 위해 개인 정보를 처리해야 하는 이유)

• 파악한 모든 잠재적 위험과 그러한 위험을 해결 및 완화하기 위해 취할 조치. 이는 프로젝트의 데이터 보호 원칙 준수 여부를 평가하고 입증하는 효과적인 방법이 될 수 있습니다.

또한 DPIA가 수행되는 데이터 처리 활동을 정기적으로 모니터링하고 필요한 경우 업데이트를 통합하는 것은 전체 DPIA 수명 주기의 핵심입니다. 데이터 처리 활동에 영향을 미치는 중요 변경이 발생하는 경우, 그에 따라 DPIA의 관련 부분을 검토하고 업데이트할 수 있습니다.

1. 데이터 처리 설명

데이터 처리에 대한 기능적 설명을 제공해야 합니다. 이 과정에서 다음과 같은 질문을 하는 것이 도움이 될 수 있습니다.

• 프로젝트에 어떤 유형의 개인 정보가 사용되나요(예: 이름, 연락처 정보, 재무 세부정보, 이메일)?

• 개인 정보의 주체(정보주체라고도 함)는 누구인가요(예: 직원, 고객, 학생)?

• 개인 정보의 출처는 어디인가요? 개인으로부터 직접 수집하나요, 아니면 제3자를 통해 수집하나요? 

• 데이터를 어떤 목적으로 사용할 예정이신가요? 즉, 정보를 처리하는 이유가 무엇인가요?

• 데이터를 어떻게 사용할 예정인가요? 어떻게 저장할 예정인가요? 얼마 동안 보관할 예정인가요?

• 조직 내부의 개인 정보에 누가 액세스할 수 있나요?

• 조직 외부의 사람과 데이터를 공유할 예정인가요?

설명의 일부로 다이어그램, 흐름 차트 또는 기타 시각 자료를 포함할 수도 있습니다. 

2. 필요성 및 비례성 평가 

필요성과 비례성은 유럽 데이터 보호법의 핵심 원칙입니다. 처리의 필요성과 비례성을 입증하기 위해 GDPR에 따라 데이터 보호 의무를 이행하는 방법을 보여주어야 합니다. 평가는 다음에 대해 생각했다는 것을 보여주어야 합니다.

• 이 데이터의 처리에 대한 GDPR 6조의 법적 근거는 무엇인가요(예: 동의, 계약 이행, 적법한 이익 등)? 적법한 이익에 의존하는 경우 해당 이익에 대해 설명해야 합니다.

• 목적을 달성하는 데 처리가 필요한가요? 개인 정보를 처리하지 않으면 이 목적을 달성할 수 없어도 만족하시나요?

• 필요 이상으로 많은 개인 정보를 처리하지 않도록 하기 위해 어떻게 할 예정인가요? 데이터를 가명처리하거나 익명처리하는 것을 고려했나요?

• 우려하는 개인에게 귀하가 이들의 개인 정보를 처리하고 있다는 사실을 어떻게 알리고 GDPR에서 요구하는 정보(예: 개인정보처리방침 또는 고지)를 어떻게 제공할 예정인가요?

• 귀하는 개인 정보 액세스 또는 데이터 처리 반대 등 귀하의 개인 정보 사용에 관한 권리에 대해 정보주체에게 알리나요? 클라우드 서비스가 정보주체의 권리를 지원하는 방법에 대한 자세한 내용은 Google의 DPIA 지원 방식을 참조하세요. 

• 개인 정보의 최대 보관 기간을 설정했나요? 이러한 근거는 어떻게 되며 데이터가 제때 삭제되도록 하기 위해 어떤 조치를 취할 수 있을까요?

• 처리를 지원하기 위해 어떤 데이터 프로세서를 사용하고 있나요? Google Cloud는 데이터 프로세서 중 하나이므로 DPIA에 이를 문서화해야 합니다. Google 및 Google 보조 프로세서에 관한 자세한 내용은 Google의 DPIA 지원 방식을 참조하세요. 

• 유럽 경제 지역(또는 영국과 같이 적정성 결정이 내려진 국가) 외부에 있는 외부 기업(예: 외부 기업 또는 자회사)과 데이터를 공유하는 경우, 이러한 제3국에서 데이터를 보호하기 위해 어떤 보호 장치를 마련했나요? Google Cloud의 데이터 전송 보호 장치에 관한 자세한 내용은 Google의 DPIA 지원 방식을 참조하세요. 

• 데이터 보호 당국이 승인한 윤리 강령을 처리 과정이 준수하는 경우 이를 고려해야 합니다. Google의 EU 클라우드 윤리 강령 준수에 대한 자세한 내용은 Google의 DPIA 지원 방식을 참조하세요.

3. 위험 및 위험 관리 방법 설명

DPIA는 데이터 처리로 인해 발생할 수 있는 개인의 권리와 자유에 대한 위험을 파악해야 합니다. 

이러한 위험을 식별하는 것, 즉 데이터 처리 활동의 실제 영향을 평가하는 것은 DPIA의 중요한 부분입니다. 이러한 영향과 위험은 조직의 활동, 개인 데이터의 성격, 관련 개인에 따라 달라질 수 있습니다. 

데이터 보호의 영향과 위험을 평가하는 방법에는 여러 가지가 있으며, GDPR은 특별한 접근 방식을 요구하지 않습니다. 일부 데이터 보호 당국은 조직이 이 평가를 수행하는 데 도움이 되는 자료와 툴을 공개했으며, 이는 도움이 될 수 있습니다.

아래는 평가의 일부로 구성될 수 있는 몇 가지 요소입니다.

A) 고려해야 할 잠재적 위험은 무엇인가요?

DPIA는 프로젝트의 결과로 발생할 수 있는 부정적인 영향을 고려해야 합니다. 처리할 개인 정보의 당사자인 개인의 입장에서 생각해 보고 무엇이 걱정될 수 있는지 생각해 보면 도움이 될 수 있습니다. 

잠재적 위험의 예는 다음과 같습니다.

• 개인이 놀랄 만하거나 예상하지 못한 개인 정보의 사용

• 개인 정보에 대한 개인의 통제력 상실

• 차별 또는 편견

• 신원 도용 또는 사기 위험 증가

• 사람들의 사생활 침해

• 기밀성 상실

• 가명처리된 데이터 재식별

• 민감한 정보 또는 취약한 개인(예: 아동)에 대한 정보 공개

• 개인에 대해 부정확한 정보를 수집하거나 부정확한 가정을 하는 경우

또한 평가 시 평판 악화, 규제 조치 또는 대중의 신뢰 상실에 대한 위험과 같은 조직 자체의 위험을 포함할 수도 있습니다.

또한 잠재적 피해의 가능성과 심각도를 모두 고려하여 위험 수준을 고려합니다. 예를 들어 위험도가 매우 심각하지만 실제로는 거의 발생하지 않을 수 있습니다. 반면에 위험도가 상대적으로 낮지만 발생할 가능성은 높을 수 있습니다. 수치적 위험 점수를 할당하거나 빨간색/주황색/녹색 '신호등' 접근 방식을 사용하면 도움이 될 수 있습니다. 

B) 위험을 완화하기 위해 취할 수 있는 조치는 무엇인가요?

위험 수준을 평가한 후에는 이러한 위험을 완화하기 위해 취할 수 있는 모든 조치를 식별해야 합니다. 완화 조치의 예는 다음과 같습니다.

• 개인 정보의 일부를 수집하지 않기로 결정

• 데이터 가명처리

• 가능한 경우 데이터 세트에서 취약한 개인 제외

• 위험에 적절한 수준의 보안을 보장하기 위한 조치 구현

• 직원을 위한 내부 데이터 처리 정책 구현

• 직원에게 개인 정보 사용 방법 교육

• 조직의 개인 정보 처리 방식을 개인에게 알리기 위한 추가 조치 수행

• 개인 정보가 사용되는 방식에 대한 선택권을 개인에게 제공

모든 위험을 완전히 제거할 필요는 없습니다. 그러나 GDPR에 명시된 의무에 따라 전반적인 위험을 적절한 수준으로 줄일 수 있어야 합니다. 잔여 위험을 평가할 때는 개인의 이점을 비롯한 프로젝트의 이점을 고려할 수 있습니다. 잔여 위험이 여전히 '높음'인 경우 프로젝트를 계속 진행하지 않기로 결정하거나 계속 진행하기 전에 데이터 보호 당국과 상의해야 할 수 있습니다.

4. 추가 의견 수집

조직에 데이터 보호 담당자(DPO)가 있는 경우 GDPR에 따라 DPIA를 준비할 때 DPO의 조언을 구해야 합니다. 또한 조직 내 다른 이해관계자와 대화를 나누는 것도 도움이 될 수 있습니다(예: IT팀, 규정 준수팀 또는 법무팀). 

프로젝트의 성격과 관련 위험에 따라, 처리할 데이터의 당사자인 개인의 의견을 구하는 것도 좋습니다. 프로젝트와 위치에 따라 다양한 형태로 의견이 수집될 수 있습니다. 예를 들어 직원들과 대화하며 질문이나 우려사항에 답변하거나, 조직 내 직원 대표와 상담하거나(예: 직장 위원회나 위원회가 있는 경우), 시장 조사를 실시하여 최종 사용자(예: 소매 조직인 경우 고객)의 의견을 파악합니다. 

5. 결론 문서화

평가를 완료한 후 DPIA에 다음 사항을 기록해야 합니다.

• 사전에 계획한 개인 정보 처리의 식별된 위험성

• 위험을 완화하기 위해 취할 조치

• 잔여 위험이 남아 있는 정도 및 해당 잔여 위험의 수준

• 데이터 보호 당국과 상의하는 등 추가 조치가 필요한지 여부

DPIA 결과, 식별된 위험을 충분히 완화할 수 있다고 판단되면 조직의 데이터 보호 당국과 상의하지 않고 진행할 수 있습니다.

하지만 잔여 위험을 허용 가능한 수준으로 줄일 수 없으므로, 평가 결과로 볼 때 처리 시 위험도가 여전히 '높다'고 판단한 경우에는 처리를 시작하기 전에 데이터 보호 당국에 문의해야 합니다. 프로젝트를 진행하지 않도록 결정할 수도 있습니다. 

Google에서는 두 가지 템플릿 DPIA를 제공하는데, 하나는 Google Workspace(Google Workspace for Education 포함)용이고 다른 하나는 Google Cloud용입니다.

• Google Workspace용 템플릿 DPIA

• Google Cloud용 템플릿 DPIA

이러한 템플릿은 DPIA를 구상하고, 계획하고, 실시하는 데 유용한 도구가 될 수 있습니다. 이러한 도구는 클라우드 서비스와 관련하여 사용하도록 설계되었지만 고객이 클라우드 서비스에서 경험할 수 있는 가능한 모든 사용 사례를 예상하지는 않으며 그렇게 할 수도 없으므로 일반적인 도구이며 권장 시작점으로 생각하면 좋습니다. 또한 여기에 포함된 정보는 법적 조언으로 간주되지 않습니다. DPIA를 완료하는 것은 데이터 컨트롤러의 책임이며, DPIA는 클라우드 서비스에 대해 계획된 사용 사례에 맞게 구체적으로 지정해야 합니다.

DPIA에 정해진 형식은 없으며, 규제 요건을 준수한다면 어떤 접근 방식이든 선택할 수 있습니다. 자체 템플릿 DPIA를 공시한 데이터 보호 당국도 있으므로 권장 형식을 살펴보는 것이 좋습니다.

고객이 관련 데이터 처리를 설명하는 데 도움이 되도록 아래에서 클라우드 서비스에 대한 몇 가지 정보를 확인할 수 있습니다. 또한 DPIA의 이 섹션을 완료하는 데 도움이 될 수 있는 클라우드 서비스에 관한 추가 자료의 링크도 찾을 수 있습니다.

DPIA에서 다루어야 할 개인 정보는 무엇인가요?

DPIA에는 귀하가 컨트롤러로서 처리하는 모든 개인 정보가 포함되어야 하며, 이는 Google의 Cloud 데이터 처리 추가 조항('CDPA')의 '고객 개인 정보' 정의에 해당합니다. 

CDPA의 부록 1에 명시된 바와 같이, 클라우드 서비스를 통해 처리되는 개인 정보 카테고리에는 고객이나 최종 사용자가 직접 또는 고객이나 최종 사용자의 지시에 따라 클라우드 서비스를 통해 Google에 제공되는 개인과 관련된 모든 데이터가 포함됩니다. 

실제로 여기에는 다음 사항이 포함될 수 있습니다.

• 정보주체와 정보주체의 개인적인 특징을 식별하는 정보를 포함하는 개인 정보. 예: 이름, 주소, 연락처 정보, 연령, 생년월일, 성별, 신체적 특징

• 정보주체의 고용과 관련된 정보를 포함한 고용 세부정보. 예: 고용 및 경력, 채용 및 해고 세부정보, 출석 기록, 성과 평가, 교육 기록, 보안 기록

• 정보주체의 재무와 관련된 정보를 포함한 재무 세부정보. 예: 수입, 급여, 자산 및 투자, 지불, 신용도, 대출, 복리후생, 지원금, 보험 세부정보, 연금 정보 등

• 정보주체의 교육 및 전문 교육과 관련된 정보를 포함한 교육 및 훈련 세부정보. 예: 학력, 자격증, 기술, 훈련 기록, 전문 지식, 학생 기록 등

• 공공 기관에서 신분증으로 발급한 개인 정보. 예: 여권 세부정보, 국가 보험 번호, 신분증 번호, 운전면허증 세부정보

• 정보주체의 가족과 정보주체의 라이프스타일 및 사회적 상황과 관련된 모든 정보를 포함한 가족, 라이프스타일, 사회적 상황. 예: 가족 및 다른 가족 구성원, 습관, 주택, 여행 세부정보, 여가 활동 및 자선기관 또는 자원봉사 단체의 회원권에 대한 세부정보

• 조직에서 관리하는 기타 모든 개인 정보

귀하의 클라우드 서비스 용도에 따라 개인 정보에 인종 또는 민족, 정치적 견해, 종교 또는 철학적 신념, 노조 가입 여부를 공개하는 데이터, 유전자 데이터, 생체 인식 데이터(식별 목적으로 사용되는 경우), 건강, 성생활 또는 성적 지향과 관련된 데이터 등 특수한 종류의 개인 정보가 포함될 수 있습니다.

Google이 프로세서로서 서비스 데이터를 처리하는 경우의 추가 정보

Google의 고객 개인 정보 처리와 별도로 Google은 클라우드 서비스를 제공할 때 서비스 데이터도 처리합니다. Google Cloud 개인정보처리방침에 따라 서비스 데이터는 Google에서 클라우드 서비스의 제공 또는 관리 중에 수집하거나 생성하는 개인 정보로, 고객 데이터는 제외됩니다. 

Google Workspace for Education 고객은 Google과의 계약 조항(Google Workspace for Education 서비스 데이터 관련 추가 조항이라고 함)을 이용할 수 있으며, 이 조항에 따라 고객은 서비스 데이터의 컨트롤러로서 서비스 데이터 프로세서인 Google에 지시를 전달합니다. 단, 제한적인 서비스 데이터 처리의 경우 Google이 계속해서 컨트롤러 역할을 수행합니다. 이러한 고객은 본 리소스 센터에서 본 하위 섹션과 동일한 제목을 갖는 부분을 참조하여 DPIA의 서비스 데이터 사용 부분을 설명할 수 있습니다.

클라우드 서비스 사용과 관련된 처리를 어떻게 설명할 수 있나요?

처리 활동을 설명할 때 클라우드 서비스의 일부로 제공되는 서비스 및 기능에 대한 설명을 읽어 보면 도움이 될 수 있습니다.

• Google Workspace 및 Google Workspace for Education은 생산성 및 공동작업 도구입니다. 서비스는 Google Workspace 서비스 요약에 설명되어 있습니다(관련 버전/SKU로 이동). 이러한 서비스에 대한 자세한 내용은 Google Workspace의 경우 여기에서 확인할 수 있고, Google Workspace for Education의 경우 여기에서 자세한 내용을 확인할 수 있습니다.

• Google Cloud는 150개가 넘는 클라우드 컴퓨팅, 데이터 분석, 머신러닝 제품으로 구성되어 있습니다. Google Cloud 고객에게 제공되는 서비스는 Google Cloud 서비스 요약에 설명되어 있습니다. 이러한 서비스에 관해 자세히 알아보려면 여기를 참조하세요.

데이터 처리 목적에서 클라우드 서비스 사용이 무엇을 의미하나요?

DPIA에는 귀하가 컨트롤러로서 프로세서에게 귀하를 대신하여 개인 정보를 처리하도록 지시하는 목적이 설명되어야 합니다.

귀하의 목적이 무엇이든, 귀하는 클라우드 서비스를 사용할 때 Google Cloud가 귀하를 대신하여 고객 개인 정보를 처리하도록 합니다(하나 이상의 목적을 위해). 해당 데이터의 컨트롤러인 귀하는 프로세서인 Google Cloud에 관련 클라우드 서비스 계약(CDPA 포함) 및 관련 법률에 따라 다음 목적으로만 데이터를 처리하도록 지시합니다.

• 클라우드 서비스 계약에 따라 제공되는 클라우드 서비스 및 기술 지원 서비스를 제공, 보호, 모니터링하기 위해

• 관련 클라우드 서비스 및 기술 지원 서비스의 사용 또는 CDPA에 따라 귀하가 제공하고 Google에서 확인한 기타 서면 지침을 통해 자세히 명시된 대로

Google은 유럽 법규에서 금지하지 않는 한 이러한 처리와 관련하여 CDPA에 명시된 안내를 준수합니다.

Google이 프로세서로서 서비스 데이터를 처리하는 경우의 추가 정보

Google Workspace for Education 고객이 Google Workspace for Education 서비스 데이터 관련 추가 조항에 동의하기로 선택한 경우, 프로세서인 Google Cloud이 서비스 데이터와 관련하여 준수해야 하는 안내는 해당 추가 조항에 명시되어 있습니다.

어떤 제3자가 클라우드 서비스의 개인 정보에 액세스할 수 있나요?

DPIA에는 개인 정보를 공유할 제3자가 명시되어야 합니다.

• 클라우드 서비스 사용 시 귀하는 CDPA에 명시된 Google 계약 당사자와 고객 개인 정보를 공유하게 되며, 이 당사자가 해당 데이터의 프로세서가 됩니다. 여기에서 올바른 당사자를 확인할 수 있습니다.

• Google Cloud는 또한 클라우드 서비스와 관련하여 기술 지원 서비스, 데이터 센터 운영 또는 서비스 유지관리와 같은 제한된 활동을 보조 프로세서를 이용하여 수행합니다. Google의 CDPA에 동의하면 이러한 제3자의 임명을 승인하는 것으로 간주됩니다.

참고: 보조 프로세서의 목록과 이들이 수행하는 활동에 대한 정보는 Google Workspace(Google Workspace for Education 포함)의 경우 여기, Google Cloud의 경우 여기에서 확인할 수 있습니다.

보조 프로세서가 사용되는 경우 Google은 다음을 보장하기 위해 노력합니다.

• 각 보조 프로세서가 Google과 고객 간의 클라우드 서비스 계약(CDPA 포함)에 따라, 해당 보조 프로세서에 하도급된 제한된 활동 범위 내에서만 고객 데이터(고객 개인 정보 포함)에 액세스하도록 합니다.

• 고객 개인 정보의 처리에 GDPR(또는 기타 유럽 데이터 보호법)이 적용되는 경우 보조 프로세서에 CDPA에 설명된 데이터 보호 의무가 적용되도록 합니다.

• Google의 고객은 새로운 보조 프로세서가 고객 개인 정보를 포함한 고객 데이터의 처리를 시작하기 전에 해당 보조 프로세서의 이름 및 위치, 해당 보조 프로세서가 수행할 활동을 포함한 사전 알림을 받습니다.

Google이 프로세서로서 서비스 데이터를 처리하는 경우의 추가 정보

Google Workspace for Education 고객이 Google Workspace for Education 서비스 데이터 관련 추가 조항에 동의하기로 선택한 경우, Google의 고객 개인 정보 보조 프로세서는 서비스 데이터의 보조 프로세서도 겸하게 되며, 해당 추가 조항에 명시된 서비스 데이터에 대한 유사한 약정을 준수해야 합니다.

데이터는 어디에서 저장되고 처리되나요?

Google은 퍼블릭 클라우드 서비스의 글로벌 특성을 감안하여 고객 개인 정보를 포함한 고객 데이터를 저장하고 처리할 수 있는 시설을 전 세계 모든 리전에서 운영하고 있습니다.

Google과 보조 프로세서가 시설을 유지관리하는 위치에 대해 자세히 알아볼 수 있습니다.

Google Workspace(Google Workspace for Education 포함):

• Google의 시설

• 보조 프로세서의 시설 

Google Cloud인 경우:

• Google의 시설

• 보조 프로세서의 시설

고객 데이터(고객 개인 정보 포함) 처리에 사용되는 인프라(예: 하드웨어 및 네트워크)에 관한 자세한 내용은 보안 인프라 설계 개요 및 다음 자료에서 확인할 수 있습니다.

• Google Workspace(Google Workspace for Education 포함)의 경우 Google Workspace 보안 백서를 참조하세요.

• Google Cloud의 경우 Google 보안 개요를 참조하세요.

또한 일부 고객은 고객 데이터의 위치에 대해 더 많은 선택권과 통제권을 원하는 것을 알고 있습니다.

• Google Cloud: 고객이 Cloud 위치 페이지에 나와 있는 특정 리전 또는 멀티 리전에 고객 저장 데이터를 저장하도록 여기에 나열된 서비스를 구성할 수 있습니다. 이 약정은 Google Cloud 서비스별 약관의 '데이터 위치' 섹션에 반영되어 있습니다. 또한 고객은 지원되는 서비스에서 새 리소스의 물리적 위치를 제한하는 조직 정책을 설정할 수도 있습니다.

• Google Workspace(Google Workspace for Education 포함): 적격 버전을 사용 중인 고객은 Google의 데이터 리전 기능을 통해 원하는 데이터 리전(예: 유럽)을 선택하여 해당 고객 저장 데이터(백업 포함)를 저장할 수 있습니다. 이 기능은 현재 여기(Google Workspace 서비스별 약관의 '데이터 리전' 섹션에 반영됨)에 명시된 Google Workspace 핵심 서비스 및 데이터에 적용됩니다.

Google이 프로세서로서 서비스 데이터를 처리하는 경우의 추가 정보

Google Workspace for Education 서비스 데이터 관련 추가 조항에 동의하기로 선택한 Google Workspace for Education 고객의 경우 부록의 관련 링크에서 '보조 프로세서' 시설에 대한 관련 정보를 확인할 수 있습니다.

Google Cloud는 고객 데이터를 얼마 동안 보관하나요?

고객이 미리 삭제하지 않는 한 Google Cloud는 고객 데이터를 다음 두 가지 기간 동안 처리합니다.

• CDPA의 기간(클라우드 서비스 프로비저닝이 끝나면 종료됨)

• 계약 기간 종료 후 데이터가 삭제될 때까지의 기간 최대 30일의 복구 기간이 지나면 Google은 법에 따라 보관해야 하는 경우를 제외하고 합리적으로 실행 가능한 범위에서 최대 180일 이내에 데이터를 삭제합니다. 계약 기간이 끝난 후 데이터를 보관하려면 데이터 내보내기 도구와 같은 기본 제공 기능을 사용하여 계약 기간이 끝나기 전에 데이터를 반환해 줄 것을 Google에 요청할 수 있습니다.

또한 계약 기간 중 언제든지 귀하가 사용하는 클라우드 서비스의 기본 제공 기능을 이용하여 고객 데이터를 삭제할 수 있습니다. 클라우드 서비스 기능을 사용해 고객 데이터를 삭제하는 경우, Google은 법에 따라 보관해야 하는 경우를 제외하고 합리적으로 실행 가능한 범위에서 최대 180일 이내에 해당 데이터를 삭제합니다.

보관 및 삭제에 대한 자세한 내용은 다음을 참조하세요.

• Google Workspace(Google Workspace for Education 포함)의 경우 조직에서 사용자 삭제하기 및 조직의 Google 계정 삭제하기에 대한 고객센터 도움말을 참조하세요.

• Google Cloud의 경우 Google Cloud의 데이터 삭제 페이지를 참조하세요.

Google 또는 보조 프로세서의 시스템 외부에 저장하도록 선택한 데이터의 사본에 대한 책임은 귀하에게 있습니다.

Google이 프로세서로서 서비스 데이터를 처리하는 경우의 추가 정보

Google Workspace for Education 서비스 데이터 관련 추가 조항에 동의하기로 선택한 Google Workspace for Education 고객의 경우, 서비스 데이터와 관련된 Google의 보관 및 삭제 약정이 해당 부록에 명시되어 있습니다.

처리의 필요성과 비례성을 평가할 때 DPIA는 데이터 보호 원칙 준수의 다양한 측면을 고려해야 합니다.

규정 준수를 입증하는 것은 컨트롤러의 책임이지만 클라우드 서비스에 내장된 보호 장치, 특징, 기능이 평가에 도움이 될 수 있습니다.

Google에서는 데이터 수집 최소화를 위한 노력을 어떻게 지원할 수 있나요?

Google Cloud는 명시된 목적을 달성하는 데 필요한 최소한의 개인 정보만 처리하도록 구현한 기술적, 조직적 조치 외에도 클라우드 서비스에서 처리되는 개인 정보의 양을 줄이는 데 도움이 될 수 있는 특정 특성, 기능, 리소스를 제공할 수 있습니다. 민감한 정보 익명화 및 가명처리에 대한 Google Cloud 문서 등을 참조하세요.

정보주체의 권리를 준수하는 데 Google이 어떤 도움을 줄 수 있을까요?

개인 정보 컨트롤러는 개인 정보와 관련된 권리(예: 접근권, 삭제권, 이동권)를 개인에게 알리고 해당 권리를 행사하는 개인의 요청에 응할 책임이 있습니다.

귀하의 의무 준수를 지원하기 위해 Google은 클라우드 서비스의 기능에 따라 고객 데이터(고객 개인 정보 포함)의 삭제, 액세스, 내보내기, 정정 또는 처리 제한을 지원합니다.

Google의 클라우드 데이터 보호팀에서 개인으로부터 고객 개인 정보와 관련되어 있고 귀하의 조직을 식별하는 요청을 받은 경우, Google은 해당 개인이 귀하에게 요청을 제출하도록 안내합니다. Google은 요청이 접수되었음을 귀하에게 즉시 통보하며 귀하의 승인 없이는 요청에 응하지 않습니다. 

Google Workspace(Google Workspace for Education 포함)의 경우 이러한 서비스를 사용하여 정보주체의 요청에 응하는 방법에 대한 자세한 정보를 Google Workspace 정보주체 요청(DSR) 가이드에 제공합니다.

Google이 프로세서로서 서비스 데이터를 처리하는 경우의 추가 정보

Google은 Google Workspace for Education 서비스 데이터 관련 추가 조항에 동의하기로 선택한 Google Workspace for Education 고객에게 Google이 프로세서로서 처리하는 서비스 데이터에 적용되는 이 섹션에 설명된 약정도 제공합니다.

국제 데이터 전송을 위한 보호 장치는 무엇인가요?

귀하(컨트롤러)와 Google(프로세서)은 모두 고객 개인 데이터(Google Workspace for Education 서비스 데이터 관련 추가 조항에 동의하기로 선택한 Google Workspace for Education 고객의 경우 서비스 데이터도 해당)가 유럽 경제 지역 외부 국가(적정성 결정이 없는 국가)로 전송되는 경우 데이터 전송에 대한 GDPR의 요구 사항을 준수하도록 할 책임이 있습니다. 이러한 국가를 일반적으로 제3국이라고 합니다. 

Google이 대체 전송 솔루션(예: EU-미국 데이터 개인 정보 보호 프레임워크 또는 'DPF')을 채택하지 않은 한, 데이터가 제3국으로 전송되는 경우 Google은 유럽 표준 계약 조항에 대한 Google Cloud의 접근 방식 백서에 설명된 대로 EU 위원회의 승인된 표준 계약 조항(SCC)을 따릅니다. 특히 이 백서에서 'SCC에 대한 Google Cloud의 업데이트된 접근 방식'이라는 섹션을 검토하여 관련 '고객 개인 정보' 전송과 관련하여 어떤 SCC 모듈이 적용되는지 알아보시기 바랍니다. 제3국으로의 '고객 개인 정보' 전송에 관한 Google의 계약상 의무는 'CDPA'의 '데이터 처리 위치' 섹션에 명시되어 있습니다. 

또한 Google은 국제 데이터 전송을 보호하기 위해 Google에서 마련한 기술적, 법적, 조직적 보호 장치에 관한 추가 정보도 제공합니다.

• Google Workspace(Google Workspace for Education 포함)의 경우 Google Workspace 및 Google Workspace for Education을 통한 국제 데이터 전송의 보호 장치 백서를 참조하세요.

• Google Cloud의 경우 Google Cloud를 통한 국제 데이터 전송의 보호 장치 백서를 참조하세요.

이 백서에는 미국 법과 클라우드 서비스 적용 여부에 관한 정보가 포함되어 있어 'Schrems II'로 알려진 유럽 사법 재판소의 판결에 따라 고객이 완료해야 할 위험 평가에 도움이 될 수 있습니다. 

Google은 대체 전송 솔루션과 관련하여 DPF를 환영하며, 미국으로 전송되는 EU 개인 정보에 DPF를 채택하기 위해 노력하고 있습니다. Google은 CDPA의 요구사항에 따라 DPF를 대체 전송 솔루션으로 채택하는 경우 고객에게 이를 알릴 것이며, 가까운 미래에 이를 지원하는 것을 목표로 하고 있습니다. DPF를 대체 전송 솔루션으로 채택하면 이에 따라 관련 국제 데이터 전송이 이루어질 예정입니다. 

Google은 승인된 윤리 강령을 준수하나요?

Google은 클라우드 서비스와 관련하여 EU GDPR 클라우드 윤리 강령을 준수합니다. 

클라우드 윤리 강령은 클라우드 제공업체가 GDPR에 따른 프로세서로서 적절한 기술적, 조직적 조치를 구현하기 위해 충분한 보증을 제공하는 방식을 입증하기 위한 메커니즘입니다. 이 범위에 해당하는 클라우드 서비스를 확인하려면 여기를 참조하세요. 

클라우드 윤리 강령은 유럽 데이터 보호 위원회의 긍정적인 의견에 따라 2021년 5월 20일 벨기에 데이터 보호 당국에서 승인했습니다. 

처리 과정의 위험을 평가했다면, DPIA에서 그러한 위험을 완화하기 위한 계획을 설명해야 합니다. 이는 일반적으로 데이터 보안 조치를 비롯해 관련된 위험에 적합한 기술적, 조직적 조치를 갖추고 있음을 입증하는 것입니다.

클라우드 서비스를 사용하는 경우 고객 데이터 처리에 유용한 요소는 다음과 같습니다.

• Google이 구현하고 유지관리하는 업계 최고 수준의 보안 조치

• 클라우드 서비스 사용자가 이용할 수 있는 추가적인 보안 리소스, 기능 및/또는 제어 기능(선택에 따라 사용 가능)

• 기술적, 조직적, 물리적 조치에 대한 Google의 계약 약정 

Google이 프로세서로서 서비스 데이터를 처리하는 경우의 추가 정보

Google Workspace for Education 서비스 데이터 관련 추가 조항에 동의하기로 선택한 Google Workspace for Education 고객의 경우 Google이 프로세서로서 처리하는 서비스 데이터의 보안 조치에 대한 계약 약정도 여기에 포함됩니다. 

CDPA에 동의하면 이러한 조치가 처리와 관련된 위험에 따라 적절한 수준의 보안을 제공한다는 데 동의하는 것으로 간주됩니다.

Google은 클라우드 서비스와 관련하여 어떤 보안 조치를 유지관리하나요?

클라우드 혁신 기업인 Google은 클라우드 보안에 대해 잘 알고 있습니다. Google은 보안을 운영 업무에서 최우선순위로 삼고 있으며, 클라우드 서비스는 많은 온프레미스 접근 방식보다 더 나은 보안을 제공하도록 설계되었습니다.

Google의 조직 구조, 문화, 교육 우선순위, 고용 절차 역시 보안을 토대로 합니다. 데이터 센터의 설계와 그 안에 적용되는 기술을 결정하는 것 역시 보안이기 때문입니다. 보안은 Google의 일상적인 업무에서 매우 중요한 역할을 하며, Google의 고객 데이터와 서비스 데이터 처리 방식에서 우선순위를 가집니다. 또한 Google에서 유지관리하는 인증 및 감사 보고서에도 영향을 미칩니다.

Google의 보안 인프라 설계 개요에서 Google의 전 세계적 규모의 기술 인프라가 클라우드 서비스의 안전한 배포, 서비스 간의 안전한 통신, 인터넷을 통한 고객과의 안전한 비공개 통신, 관리자의 안전한 운영을 제공하도록 설계된 방법에 대해 자세히 알아볼 수 있습니다.

Google에서 유지관리하는 기술적, 조직적 조치에 대한 보다 구체적인 정보도 확인할 수 있습니다.

• Google Workspace(Google Workspace for Education 포함)의 경우 Google Workspace 보안 백서를 참조하세요. 

• Google Cloud의 경우 Google 보안 개요 및 Google Cloud 보안 백서를 참조하세요. 

클라우드 서비스에 대한 Google의 기술적, 조직적 보안 조치에 관한 추가 리소스는 보안 권장사항 센터 및 개인정보 보호 리소스 센터에서 확인할 수 있습니다.

클라우드 서비스 사용에 적용할 수 있는 선택적 보안 제어 기능에는 어떤 것이 있나요?

Google은 클라우드 서비스 고객이 보안 및 규정 준수 요구사항을 충족할 수 있도록 추가적인 보안 제어 기능(선택사항)도 제공합니다. 여기에는 관리 콘솔, 암호화 솔루션, 로깅 및 모니터링 도구, ID 및 액세스 관리 등 고객이 선택해서 사용할 수 있는 보안 리소스, 기능 및 제어 기능이 포함됩니다.

조직에서 클라우드 서비스, 기능을 구성하는 방법에 대해 자세히 알아볼 수 있습니다.

• Google Workspace(Google Workspace for Education 포함), Google Workspace 및 Google Workspace for Education의 데이터 보호 구현 가이드에서 고객이 관련 서비스 및 설정을 사용하고 구성하는 방법에 대한 정보를 제공합니다.

• Google Cloud의 경우 Google Cloud 아키텍처 프레임워크에 권장사항과 구현 권장사항이 나와 있으며 고객이 비즈니스 니즈에 맞게 Google Cloud 배포를 설계할 때 이를 참고하면 유용합니다.

보안 및 규정 준수 요구사항을 충족하는 데 도움이 되는 다른 리소스는 보안 권장사항 센터 및 개인 정보 보호 리소스 센터를 참조하세요.

Google이 제공하는 계약 및 기타 약정으로는 어떤 것이 있나요?

CDPA는 고객 개인 정보를 포함한 고객 데이터에 관한 Google의 계약 약정을 명시합니다. Google은 무엇보다도 우발적 또는 불법적 파기, 손실, 변경, 무단 공개 또는 액세스로부터 고객 데이터를 보호하기 위한 기술적, 조직적, 물리적 조치를 구현하고 유지관리하기 위해 노력합니다.

이러한 조치는 CDPA 부록 2에 자세히 설명되어 있으며 데이터 센터 및 네트워크 보안, 액세스 및 현장 제어, 데이터 보안, 직원 보안, 보조 프로세서 보안에 대한 약속을 포함합니다.

또한 Google Cloud 엔터프라이즈 개인 정보 보호 약정에는 Google Cloud 서비스 고객의 데이터를 보호하는 데 Google이 어떤 도움을 주는지 좀 더 일반적인 용어로 설명되어 있습니다.

1. 귀하의 데이터 관리: 고객 데이터는 Google이 아닌 귀하의 데이터입니다. Google은 고객의 동의에 따라서만 데이터를 처리합니다.

2. 광고 타겟팅에 귀하의 데이터를 사용하지 않음: Google은 광고 프로필을 만들거나 Google Ads 제품을 개선하기 위해 귀하의 고객 데이터를 처리하지 않습니다.

3. Google은 데이터 수집 및 사용을 투명하게 공개함: Google은 투명성, GDPR과 같은 규정 준수, 개인 정보 보호 권장사항을 위해 최선을 다하고 있습니다.

4. Google은 절대로 고객 데이터 또는 서비스 데이터를 판매하지 않음: Google은 절대로 고객 데이터 또는 서비스 데이터를 제3자에게 판매하지 않습니다.

5. 모든 Google 제품은 기본 설계 기준으로 보안 및 개인 정보 보호를 준수함: 고객의 개인 정보를 최우선으로 생각한다는 것은 Google이 믿고 맡긴 데이터를 안전하게 보호한다는 의미입니다. Google은 Google 제품에 가장 강력한 보안 기술을 구축하였습니다.

Google이 프로세서로서 서비스 데이터를 처리하는 경우의 추가 정보

Google Workspace for Education 고객이 Google Workspace for Education 서비스 데이터 관련 추가 조항에 동의하기로 선택한 경우, Google이 프로세서로서 처리하는 서비스 데이터에 대한 Google 계약 약정이 해당 부록에 명시되어 있습니다

Google은 법 집행 기관의 요청을 어떻게 처리하나요?

Google은 법 집행 기관 및 정부의 데이터 액세스 요청과 관련하여 국제 권장사항을 준수하는 투명하고 철저한 프로세스를 개발했습니다. Google Cloud는 다양한 상황을 고려하고 현지 법규, 고객 계약, 개인정보처리방침을 고려하여 사례별로 대응합니다. 

이러한 요청과 관련하여 Google Cloud가 따르는 프로세스는 정부의 클라우드 고객 데이터 요청 백서에 설명되어 있습니다.

또한 Google의 투명성 보고서에는 관련 법률에서 허용하는 경우 법 집행 기관 및 정부 기관에서 엔터프라이즈 클라우드 고객 정보를 요청한 건수가 공개됩니다. 

Google Cloud는 규정 준수를 어떻게 입증하나요?

클라우드 서비스는 보안, 개인 정보 보호, 규정 준수 관리에 대해 독립 기관으로부터 정기적인 검증을 받고 있으며, 규정 준수를 입증하는 인증, 증명, 감사 보고서를 획득하고 있습니다. 고객은 규정 준수 보고서 관리자를 통해 다양한 인증(ISO 27001, 27017, 27018, 27701), 감사 보고서(SOC 1, 2, 3 포함), 기타 관련 리소스에 직접 액세스하고 다운로드할 수 있습니다. 

또한 서비스 데이터 보호를 위한 지속적인 노력의 표시로 ISO 27001, 27017, 27018, 27701 인증 범위를 확장하여 관련 Google Workspace 서비스에 대한 서비스 데이터도 포함시켰습니다(Google이 해당 데이터의 프로세서 역할을 하는 경우). 

또한 위에서 언급한 바와 같이 Google은 클라우드 제공업체가 GDPR에 따라 프로세서로서 적절한 기술적, 조직적 조치를 구현하기 위해 충분한 보증을 제공하는 방법을 입증하기 위한 메커니즘인 EU GDPR 클라우드 윤리 강령을 준수합니다.