개인 정보 보호 규정 FAQ
이 문서에서는 지원되는 법적 개인 정보 보호 규정 및 Adobe Experience Cloud에서의 구현에 대한 FAQ에 대한 답변을 제공합니다.
일반 질문
다음 질문은 Experience Cloud에서 지원하는 모든 개인 정보 보호 규정과 관련되어 있습니다.
지원되는 개인 정보 보호 규정은 누구에게 영향을 줍니까?
Experience Cloud에서 지원하는 개인 정보 보호 규정은(는) 조직의 지리적 위치에 관계없이 규정의 각 관할 구역 내에서 시민의 개인 데이터를 저장하고 처리하는 모든 조직에 적용됩니다.
개인 데이터의 구성 요소
개인 데이터는 자연인 또는 데이터 주체와 관련된 모든 정보이며, 해당 개인을 직접 또는 간접적으로 식별하는 데 사용할 수 있습니다. 이름, 사진, 이메일 주소, 은행 정보, 소셜 네트워크 웹 사이트의 게시물, 의료 정보 또는 컴퓨터 IP 주소에서 모든 것일 수 있습니다.
다음 식별자는 Experience Cloud 애플리케이션에서 일반적으로 사용되며 개인 정보 보호 규정 요구 사항의 적용을 받을 수 있습니다.
- 이름
- 우편 주소
- 고유 개인 식별자
- 온라인 식별자
- IP 주소
- 이메일 주소
- 계정 이름
개인 정보는 또한 인터넷 또는 다른 전자 네트워크 활동 정보를 포함할 수 있다. 여기에는 다음이 포함되지만 이에 국한되지 않습니다.
- 검색 기록
- 검색 기록
- 웹 사이트, 애플리케이션 또는 광고와 소비자의 상호 작용에 대한 정보
개인 정보 보호 규정에 따라 광범위한 개인 정보가 포함되지만, Adobe의 표준 계약 조항에는 중요한 개인 정보(예: SSN, 운전면허 정보, 금융 계좌 정보 및 생체 인식 데이터)가 일반적으로 Experience Cloud 애플리케이션에서 가져오기 및 사용이 금지되어 있습니다.
데이터 컨트롤러와 데이터 프로세서의 차이점은 무엇입니까?
데이터 컨트롤러 는 개인 데이터 처리의 목적, 조건 및 방법을 결정하는 엔터티이고 데이터 프로세서 은(는) 데이터 컨트롤러 대신 개인 데이터를 처리하는 엔터티입니다.
데이터 컨트롤러 는 개인 데이터의 수집, 사용 또는 공개와 관련된 결정을 내릴 권한과 책임이 있는 사람 또는 조직입니다. 데이터 처리자 는 개인 데이터의 수집, 사용 또는 공개와 관련하여 운영하는 개인 또는 조직 및 데이터 관리자의 지침입니다.
명시적 데이터 주체 동의와 모호하지 않은 데이터 주체 동의의 차이점은 무엇입니까?
명시적 동의 는 구두 또는 서면 형식으로 데이터 주체의 의사를 명확하게 표시하는 동의 표준을 의미합니다. 간단히 말해, 정보주체는 그 동의가 명시적으로 고려되기 위해서는 문자 그대로 명시적으로 '동의한다' 또는 '동의한다'고 해야 한다. 또한 동의를 철회하는 것이 주는 것만큼 쉬워야 한다.
모호하지 않은(묵시적인) 동의 는 데이터 주체가 명시적으로 부여하지 않았지만 기본적으로 모호하지 않은 동의를 나타냅니다. 예를 들어 회사 웹 사이트에 대한 가입 프로세스 중에 이메일 주소를 제공하면 데이터 주체가 특별 오퍼에 대한 이메일 수신에 동의한다는 알림이 제공됩니다. 정보주체가 고지서를 읽었을 경우, 이들의 이메일을 입력하는 적극적 행위는 모호하지 않은 동의로 간주되기에 충분하다.
GDPR과 같은 많은 규제의 경우 민감한 개인 데이터를 처리하려면 명시적인 동의가 필요하며, 여기서 "옵트인"만 하면 됩니다. 그러나 민감하지 않은 데이터의 경우 모호하지 않은(묵시적인) 동의가 허용됩니다.
특정 연령 미만의 데이터 주체가 동의할 수 있습니까?
많은 개인정보 보호 규정에서는 데이터 주체가 특정 연령 미만인 경우 개인 데이터 수집에 대해 법적으로 동의할 수 없다고 규정하고 있습니다. 일부 규정은 이러한 경우 해당 정보주체에 대한 친권자의 동의를 허용하는 것도 있지만 전부는 아니다. 다음 표에는 추가 정보에 대한 메모와 함께 데이터 주체가 각 규정에 대한 자체 동의를 제공할 수 있는 최소 연령이 나열되어 있습니다.
- 부모의 동의는 13세 이상의 정보주체에게만 제공될 수 있다.
- 만 13세 미만 대상자의 개인정보 수집은 엄격히 금지하고 있습니다.
- EU의 일부 회원국은 이러한 목적으로 낮은 연령에 대해 법을 제공할 수 있지만 13세보다 낮지 않다.
- 연령 제한 이하의 모든 정보주체에 대해 부모의 동의를 제공해야 한다.
- 연령 제한 이하의 모든 정보주체에 대해 부모의 동의를 제공해야 한다.
- 개인 데이터의 처리가 최선의 이익을 위해 진행되는 한 13~18세의 자연인이 동의할 수 있습니다.
- 연령 제한 이하의 모든 정보주체에 대해 부모의 동의를 제공해야 한다.
기업은 개인 정보에 액세스하거나 삭제하기 위해 소비자의 요청에 며칠 동안 응답해야 합니까?
사업자가 개인 정보를 수집했으며 특정 소비자의 신원을 인증하거나 확인할 수 있다고 가정할 때 개인정보 보호 규정은 소비자 요청이 이행될 특정 기간을 허용합니다. 다음 테이블은 일부 예외에 대한 메모와 함께 각 규정에 대한 적용 가능한 시간 창을 분류합니다.
비즈니스에 데이터 보호 담당자를 지정해야 합니까?
조직의 데이터 작업이 GDPR, LGPD 또는 PDPA의 법적 관할에 속하는 경우 다음과 같은 경우 데이터 보호 책임자(DPO)를 지정해야 합니다.
- 조직은 공권위자입니다.
- 조직이 대규모 체계적인 모니터링을 실시하고 있습니다.
- 조직은 중요한 개인 데이터를 대규모로 처리합니다.
개인 정보 보호 규정이 적용되는 데이터를 유지 관리하는 경우 소비자 개인 정보 보호 요청을 어떻게 지원할 수 있습니까?
적절한 법적 관할권에 속하는 소비자를 인증하는 데 필요한 단계를 수행하면 Adobe Experience Platform Privacy Service에서 호환되는 Experience Cloud 애플리케이션에 소비자 개인정보 보호 요청을 제출할 수 있습니다. 자세한 내용은 Privacy Service 개요를 참조하세요. 특정 Experience Cloud 응용 프로그램에서 개인 정보 보호 요청을 처리하는 방법에 대한 자세한 내용은 Privacy Service 및 Experience Cloud 응용 프로그램의 안내서를 참조하십시오.
CCPA 질문
다음 질문은 특히 CCPA와 관련되어 있습니다.
CCPA의 다양한 역할과 책임은 Experience Cloud에 어떻게 적용됩니까?
CCPA에서 정의한 바와 같이 Adobe 및 해당 고객에게 적용되는 역할은 다음과 같습니다.
- Adobe 고객(캘리포니아 거주자의 개인 정보 수집 및 사용을 요청하는 당사자)은 비즈니스 로 간주됩니다.
- Adobe은 서비스를 제공하는 역할에서 서비스 공급자(으)로 간주됩니다.
Adobe은 서비스 제공업체로서 비즈니스를 대신하여 개인 정보를 수집 및 처리하며 계약에 명시된 특정 목적으로만 해당 정보를 사용할 수 있습니다.
이 관계와 Adobe의 계약 언어를 고려할 때, Adobe에 대한 공개는 사업체가 통지를 제공하고 동의를 요청해야 하는 "판매"로 간주되지 않을 가능성이 높다.
그러나 Adobe 서비스를 사용하여 특정 데이터 공유 및 서드파티로의 전송을 활성화할 수 있습니다. 이러한 제3자 양도는 '매매'로 간주될 수 있으며 법적으로 공개 및 동의를 필요로 합니다. 고객은 법률 담당 변호사와 함께 특정 사용 사례를 평가하여 해당 요구 사항을 평가해야 합니다.
Adobe은 CCPA 요구 사항을 해결하는 데 도움이 될 수 있는 다른 도구를 제공합니까?
Adobe Experience Cloud 애플리케이션은 기업의 개인 정보 보호 요구 사항에 도움이 될 수 있는 데이터 관리 및 거버넌스 기능을 제공합니다. 이러한 도구에는 데이터 사용 레이블 지정, 역할 기반 액세스 제어, IP 난독화 및 해시 기능이 있습니다.
Adobe은 ISO 27001 인증 및 TrustArc GDPR 유효성 검사와 같은 개인정보 보호 및 보안 방침에 대한 다양한 인증을 받았습니다.
GDPR 질문
다음 질문은 특히 GDPR과 관련되어 있습니다.
규정과 지시의 차이점은 무엇입니까?
규정 은(는) 구속력 있는 입법 조치이며 EU 전체에 적용되어야 합니다. 지시문 은(는) 모든 EU 국가가 달성해야 하는 목표를 설정하는 법적 조치이지만 방법을 결정하는 것은 개별 국가의 몫입니다.
주의할 점은 GDPR은 지침인 이전 법령(자료보호지침)과 대비되는 규정이라는 점이다.
GDPR은 데이터 침해를 둘러싼 정책에 어떤 영향을 줍니까?
데이터 침해를 둘러싼 제안된 규정은 주로 침해를 당한 기업의 통지 정책과 관련된다. 개인에게 위험이 될 수 있는 데이터 침해는 72시간 이내에 데이터 보호 기관에 통보하고 영향을 받는 개인에게 과도한 지연 없이 통보해야 합니다.
PDPA 질문
다음 질문은 특히 PDPA와 관련되어 있습니다.
중요한 개인 데이터를 구성하는 것은 무엇입니까?
PDPA는 인종 또는 민족적 기원, 정치적 의견, 종교적 또는 철학적 신념, 범죄 기록, 노동조합 가입, 유전자 데이터, 생체 인식 데이터, 건강 기록, 성적 지향 또는 선호와 관련된 개인 데이터를 포함하는 민감한 개인 데이터의 수집 및 저장에 대한 엄격한 요구 사항을 제공합니다.