조직이 GDPR 요구 사항을 충족할 수 있도록 IBM은 의도적으로 데이터 프라이버시에 대한 지속적인 노력을 강화하고 있습니다. IBM은 데이터 보호 원칙을 비즈니스 프로세스에 더욱 깊이 적용하기 위해 노력하고 있습니다. 이러한 노력은 기본적으로 개인 데이터의 공유를 방지하는 모바일 애플리케이션 등 개인 데이터에 대한 액세스를 제한하는 기존 보호 장치도 강화합니다.

이러한 노력의 일환으로 많은 IBM® Cloud 제품 및 서비스가 EU Cloud CoC(유럽 연합 클라우드 행동 강령) 인증(ibm.com 외부 링크)을 받았습니다. EU Cloud CoC 요구 사항은 클라우드 서비스 제공업체(CSP)가 GDPR 준수 능력을 입증할 수 있도록 프레임워크를 제공합니다. EU Cloud CoC 인증을 획득한 특정 IBM Cloud 제품 및 서비스에 대해 자세히 알아보려면 EU Cloud CoC 페이지를 방문하거나 준수 선언 확인서(ibm.com 외부 링크)를 읽으세요. 

IBM 보안 및 개인정보 보호에 대해 자세히 알아보려면 IBM Trust Center를 방문하세요.

IBM®의 데이터 프라이버시 약관에 대한 자세한 내용은 IBM® Terms의 '데이터 보호' 아래에서 확인할 수 있습니다.

데이터 프라이버시 관련 질문이 있는 경우 IBM 개인정보 보호 팀(chiefprivacyoffice@ca.ibm.com)에 직접 문의하세요.

GDPR의 데이터 처리 규칙 및 원칙은 27개의 모든 EU 회원국과 아이슬란드, 리히텐슈타인, 노르웨이가 포함된 EEA에서 활동하는 모든 데이터 컨트롤러 및 프로세서에게 적용됩니다.

데이터 컨트롤러(컨트롤러)는 개인 데이터를 수집하고 해당 데이터의 사용 방법을 결정하는 조직, 공공 기관이나 기타 그룹 또는 개인입니다. 예를 들어 사용자에 대한 데이터베이스를 보관하는 소셜 미디어 사이트는 컨트롤러가 됩니다.  

데이터 프로세서(프로세서)는 분석, 저장 또는 변경 등의 방식으로 개인 데이터에 영향을 주는 조직입니다. 기업은 컨트롤러 겸 프로세서가 될 수 있습니다. 프로세서는 데이터 저장 및 분석을 제공하는 클라우드 서비스 제공업체와 같이 컨트롤러를 대신하여 데이터를 처리하는 제3자 조직일 수도 있습니다.

EEA에 기반을 둔 모든 컨트롤러와 프로세서는 데이터를 EEA 외 지역에서 저장하고 처리하는 경우에도 GDPR의 적용을 받습니다. 

EEA 외 지역에 기반을 둔 비즈니스는 다음 조건 중 하나라도 적용되는 경우 GDPR의 적용을 받습니다.

• 돈이 오가지 않더라도 기업이 EEA 거주자에게 정기적으로 상품과 서비스를 제공합니다.
  
  
• 기업이 추적 쿠키를 사용하는 등의 방식으로 EEA 거주자의 활동을 정기적으로 모니터링합니다.
  
  
• 기업이 EEA에 기반을 둔 컨트롤러를 대신하여 데이터를 처리합니다. 

GDPR이 적용되지 않는 유일한 데이터 처리 활동은 국가 안보 또는 법 집행 활동과 순전히 개인적인 데이터 사용입니다.

GDPR은 기업이 개인 데이터를 처리하는 데 사용할 수 있는 법적 근거를 정의합니다. 이러한 조건 중 하나 이상이 충족되지 않으면 처리가 불법이 됩니다.

데이터 주체가 데이터 처리에 동의합니다. 동의를 얻은 경우 기업은 개인의 데이터를 처리할 수 있습니다. 동의는 사전 고지가 있었고, 적극적이며 자유롭게 이루어진 경우에만 유효합니다. 

사전 고지를 위해 기업은 어떤 데이터를 수집하며 해당 데이터를 어떻게 사용할 것인지 명확하게 설명해야 합니다. 동의가 적극적으로 이루어지도록 하기 위해 사용자는 진술서에 서명하거나 확인란을 선택하는 등 동의를 표시하기 위한 의도적인 조치를 취해야 합니다. 동의는 기본 옵션이 될 수 없으므로 미리 선택된 확인란과 같은 항목은 GDPR에 위반됩니다. 동의가 자유롭게 이루어지도록 하기 위해 기업은 어떠한 방식으로도 주체에게 영향을 미치거나 동의를 강요해서는 안 됩니다. 기업은 서비스 작동을 위해 처리가 필요한 경우를 제외하고는 서비스 이용에 대한 동의를 요구할 수 없습니다. 예를 들어 기업은 무언가를 판매하기 위해 개인의 신용 카드 번호가 필요할 수 있지만 IP 주소는 필요하지 않을 것입니다.   

기업은 데이터가 여러 목적으로 처리되는 경우 동의를 합쳐서 얻을 수 없습니다. 주체는 각 처리 활동을 개별적으로 수락하거나 거부할 수 있어야 합니다. 조직은 동의 기록을 보관해야 합니다. 주체는 언제든지 동의를 철회할 수 있으며, 그렇게 하는 경우 처리는 중지되어야 합니다. 

데이터는 데이터 주체와의 계약을 이행하기 위해 또는 주체를 대신하여 처리되어야 합니다. 예를 들어 누군가가 대출을 신청하는 경우 은행이 해당 개인의 금융 데이터와 근무 이력을 처리해야 할 수 있습니다. 

컨트롤러는 데이터를 처리할 법적 의무가 있습니다. 예를 들어 일부 의료 규정에서는 병원이 환자 데이터를 파일에 보관하도록 요구합니다. 

데이터는 주체 또는 다른 사람의 중요한 이익을 보호하기 위해 처리되어야 합니다. 이는 사람의 생명을 구하거나 피해를 방지하기 위해 데이터를 처리해야 하는 상황을 말합니다.   

데이터는 공익 또는 컨트롤러의 공식 권한에 해당하는 업무를 수행하기 위해 처리되어야 합니다. 저널리즘은 개인 데이터를 처리하는 공익적 이유의 전형적인 예입니다. 정부 기관은 공식적인 기능을 수행하기 위해 개인 데이터를 처리할 수 있습니다.   

데이터는 컨트롤러 또는 제3자의 합법적 이익을 추구하기 위해 처리되어야 합니다. 합법적 이익이란 기업이 데이터 처리를 통해 얻을 수 있는 이익을 말합니다. 그 예로는 직원에 대한 신원 조회를 수행하거나 사이버 보안을 위해 기업 네트워크에서 IP 주소를 추적하는 경우 등이 있습니다. 합법적 이익으로 간주되기 위해서는 처리가 요구되어야 합니다. 문제의 데이터 없이 업무를 해낼 수 있는 경우 기업은 합법적 이익을 주장할 수 없습니다. 또한 데이터 주체는 처리를 합리적으로 예상해야 합니다. 자신의 데이터가 특정 방식으로 사용되고 있다는 사실을 주체가 듣고 놀라게 된다면 기업에는 합법적 이익 근거가 없을 가능성이 큽니다. 일반적으로 데이터 주체의 권리는 기업의 합법적 이익보다 우선합니다.

조직은 데이터를 수집하기 전에 근거를 확립하고 문서화해야 합니다. 그리고 이러한 근거를 사용자에게 전달해야 합니다. 기업은 주체의 동의 없이 사후에 근거를 변경할 수 없습니다.  

GDPR은 일부 유형의 데이터를 특히 민감한 것으로 간주합니다. 이러한 특수 범주에는 무엇보다도 개인의 인종 또는 민족, 종교적 신념, 정치적 견해, 생체 인식 데이터에 대한 정보가 포함됩니다.

기업은 매우 특정한 상황에서만 특수 범주 데이터를 처리할 수 있습니다. 여기에는 다음과 같은 상황이 포함되지만 이에 국한되지는 않습니다. 

• 주체가 명시적으로 동의했습니다.
  
  

• 과학적 또는 역사적 연구를 위해 처리가 필요합니다.
  
  

• 형사 유죄 판결에 관한 데이터는 공식 기관에 의해서만 통제되며 그 명령에 따라서만 처리될 수 있습니다.  

조직은 처리 원칙을 따르고 모든 처리 활동에 대한 법적 근거를 확립하는 것에 더하여 GDPR을 준수하기 위해 몇 가지 다른 규칙도 따라야 합니다.