Google Cloud와 개인정보 보호법(GDPR)

GDPR 준수는 Google Cloud와 고객의 최우선 과제입니다. 유럽 지역의 개인정보 보호 강화를 목표로 하는 GDPR은 우리 모두의 업무 방식에 영향을 줍니다. 이와 관련된 고객 여러분의 의문사항을 적극적으로 해결해 드리겠습니다. Google Cloud는 고객 중심의 보호, 통제, 규정 준수 정책을 유지하고 있으며 고객의 GDPR 관련 대처에 있어 핵심적인 역할을 하고자 합니다.

Google Cloud와 GDPR 백서 Google Cloud GDPR 빠른 참조 가이드 G Suite 데이터 보호 구현 가이드

GDPR 리소스 센터 방문 

GDPR이란 무엇인가요?

1995년 수립된 EU 데이터 보호 지침을 대체한 GDPR은 2018년 5월 25일부터 시행되고 있습니다.

GDPR은 유럽에서 설립되었거나 유럽 사용자를 대상으로 하는 기업과 단체에 대한 다음과 같은 구체적인 요구사항을 담고 있습니다.

  • 기업이 개인 정보를 수집, 사용, 저장할 수 있는 방식 규제
  • 현행 문서화 및 보고 의무를 기반으로 책임성 강화
  • 요구사항을 준수하지 않은 기업에 과태료 부과

Google의 대응 방침

Google Cloud는 사용자 데이터의 보안과 개인정보 보호를 강화하는 프로젝트를 최우선적으로 추진하고 있습니다. Google은 GDPR 시행 후에도 Google Cloud 고객이 안심하고 서비스를 사용할 수 있도록 여러 가지 업데이트를 적용했습니다. Google Cloud의 파트너가 되시면 다음과 같은 지원을 제공 받을 수 있습니다.

  1. 모든 Google Cloud Platform 및 G Suite 서비스에서 고객 개인 정보 처리와 관련하여 GDPR 준수 의무를 계약에 명시
  2. 가장 민감한 개인 정보를 더욱 안전하게 보호하는 데 도움이 될 수 있는 추가적인 보안 기능 제공
  3. Google 서비스의 개인정보 보호 수준을 평가하는 데 도움이 되는 문서 및 리소스 제공
  4. 규제 환경의 변화에 대응하여 지속적으로 역량 강화

G Suite 및 Google Cloud Platform의 GDPR 준수 약속

우선 데이터 컨트롤러는 데이터 처리과정이 GDPR 요건을 충족하도록 적절한 기술 및 조직 조치를 이행함을 충분히 보증하는 데이터 프로세서만 사용해야 합니다. G Suite 및 Google Cloud Platform 서비스를 평가함에 있어 다음과 같은 기준을 고려해 보시기 바랍니다.

데이터 보호 전문 지식

Google의 보안 및 개인정보 보호 전문가는 정보, 애플리케이션, 네트워크 보안 분야에서 세계 최고 수준의 역량을 갖추고 있습니다. 이러한 전문가 팀이 기업의 방어 시스템을 유지관리하고, 보안 검토 프로세스를 개발하고, 더욱 강력한 보안 인프라를 구축하고, Google의 보안 정책을 정교하게 구현하는 업무를 담당합니다.

또한 Google은 Google Cloud의 개인정보 보호 및 보안 규정 준수를 살피는 변호사, 준법 전문가, 공공 정책 전문가로 폭넓게 구성된 팀을 운영하고 있습니다.

이러한 팀은 G Suite 및 Google Cloud Platform 서비스가 고객의 규정 준수 요구사항을 해결하는 데 일조할 수 있도록 고객, 업계 이해관계자, 감독 당국과 긴밀히 협조하고 있습니다.

고객의 할 일

고객의 책임은 무엇인가요?

G Suite1 및 Google Cloud Platform 고객은 Google Cloud 서비스 사용을 통해 Google에 제공하는 개인 콘텐츠의 데이터 컨트롤러로 활동하는 경우가 일반적입니다. 데이터 컨트롤러는 개인 정보를 처리하는 목적과 수단을 결정합니다. 데이터 프로세서의 역할은 일반적으로 Google이 담당합니다. Google Cloud는 데이터 프로세서로서 G Suite 또는 Google Cloud Platform을 사용하는 데이터 컨트롤러를 대신하여 개인 정보를 처리합니다.

데이터 컨트롤러란 무엇일까요?

데이터 컨트롤러는 모든 데이터 처리 과정이 GDPR을 준수하여 수행되는지 확인하고 입증하기 위해 적절한 기술적, 조직적 수단을 구현할 책임이 있습니다. 컨트롤러의 의무는 데이터와 관련된 적법성, 공정성, 투명성, 목적 제한, 데이터 최소화, 정확성, 정보주체의 권리 존중과 같은 원칙과 직결됩니다.

국가 또는 관할지 데이터 보호 당국의 웹사이트 및 IAPP(International Association of Privacy Professionals)와 같은 개인정보 보호 협회의 간행물을 정기적으로 확인하여 GDPR에 따른 책임 및 관련 지침을 확인할 수 있습니다. Google은 이 GDPR 페이지와 GDPR 리소스 센터를 항상 업데이트하여 최신 소식과 정보를 제공할 예정입니다.

이 사이트의 목적은 GDPR과 관련하여 Google Cloud의 입장에 대한 고객 여러분의 이해를 돕는 것입니다. 귀하의 조직에 해당하는 구체적인 요구사항에 대해서는 법률 전문가와 상담하시기 바랍니다. 이 사이트의 내용은 법적 자문에 해당하지 않습니다.

어디서부터 시작해야 할까요?

Google Cloud의 고객은 데이터 보호 규정 준수 전략에 GDPR을 통합할 필요가 있습니다. 다음과 같은 팁을 참고하세요.

  • GDPR의 제반 조항을 숙지하세요.
  • 취급하는 개인 정보의 업데이트된 인벤토리를 만드세요. Google에서는 데이터를 식별하고 분류하는 데 도움이 되는 도구를 제공합니다.
  • GDPR의 요구사항과 관련하여 데이터 관리 및 보호에 대한 현행 관리 체계, 정책, 프로세스를 검토하세요. 차이를 파악하고 해결 방안을 수립하세요.
  • 자체 규정 준수 프레임워크의 일부로 Google Cloud의 기존 데이터 보호 기능을 활용할 방법을 고려하세요. 우선 G Suite 또는 Google Cloud Platform의 제3자 감사 및 인증 자료를 검토해 보세요.
  • G Suite 데이터 처리 수정안(여기)과 GCP 데이터 처리 및 보안 약관(여기)에서 설명하는 선택적 동의 절차에 따라 개정된 데이터 처리 약관을 검토하고 수락하세요.
1 G Suite는 G Suite for Business 및 G Suite for Education으로 구성되어 있습니다. 2 어떠한 국가 또는 관할지 데이터 보호 당국이 적절한지 판단하려면 외부 법률 자문을 받는 것이 좋습니다.

FAQ

GDPR이란 무엇인가요?
개인정보 보호법(General Data Protection Regulation)의 약어로, 2018년 5월 25일부터 1995년 10월 24일자 95/46/EC 데이터 보호 지침을 대체하는 개인정보 보호 법안입니다.
GDPR은 개인 정보를 EU에 저장하도록 의무화하나요?
아니요. GDPR은 95/46/EC 데이터 보호 지침과 마찬가지로 개인 정보를 EU 외부로 전송하는 데 대한 특정 조건을 명시합니다. 표준 계약 조항과 같은 메커니즘을 통해 이러한 조건을 충족할 수 있습니다.
GDPR을 반영하기 위해 약관이 어떻게 개정되었나요?
다년간 Google Cloud는 고객에 대한 Google의 개인정보 보호 및 보안 의무를 명시하는 데이터 처리 약관을 제공해 왔습니다. 클라우드 서비스 제공업체의 계약상 의무와 무관하게 GDPR은 클라우드 서비스 제공업체에 직접 적용되지만, Google은 GDPR을 반영하고자 자체적으로 약관을 개정해 왔습니다. GDPR을 반영한 Google의 약관은 특히 클라우드 고객의 데이터 프로세서 이용에 적용되는 GDPR 28조의 조항을 반영합니다.
GDPR은 고객이 Google Cloud를 감사할 수 있는 권리를 보장하나요?
GDPR은 데이터 프로세서와 계약을 맺는 데이터 컨트롤러에게 의무적으로 감사권을 부여하도록 하고 있습니다. Google의 개정된 데이터 처리 계약에는 고객을 위한 감사권이 포함됩니다.
GDPR 준수에 있어 제3자 ISO/IEC 27001, ISO/IEC 27017, ISO/IEC 27018, SOC 2/3 보고서의 역할은 무엇인가요?
Google의 제3자 ISO 인증 및 SOC 2/3 감사 보고서는 고객이 위험성을 평가하고 적절한 기술적, 조직적 수단이 갖춰졌는지 판단하는 데 사용할 수 있습니다.
GDPR과 관련하여 Google은 이외에 어떠한 정보와 리소스를 제공하나요?
Google의 비즈니스 및 데이터 웹사이트GDPR 리소스 센터를 참조하세요.