GDPR

주식회사 에이비일팔공이 서비스하는 Airbridge는 EU GDPR(European Union General Data Protection Regulation)을 준수합니다.

Airbridge는 정보 주체가 본인의 개인 정보를 직접 통제할 수 있어야 한다는 것을 기본 철학으로 생각합니다. Airbridge는 어트리뷰션 분석에 반드시 필요한 개인 정보 항목만을 수집하고 처리하며, 강력한 정보 보안과 거버넌스 통제를 통해 GDPR에 적합한 개인 정보 보호를 수행합니다.

GDPR이란 무엇인가요?

GDPR은 2018년 5월 25일부터 시행된 유럽연합(EU)의 개인정보보호 법령입니다. EU 회원국 간 자유로운 개인정보의 이동을 보장하는 동시에 정보주체의 개인정보 보호 권리를 강화하는 내용을 가지고 있습니다.

GDPR은 크게 세 개의 주체에 대한 권리와 의무를 기술하고 있습니다. 세 가지 주체는 개인정보의 소유자이자 개인정보를 제공하는 정보주체(Data Subject), 제공받은 개인정보의 처리 목적과 수단을 결정하는 주체인 컨트롤러(Controller) 그리고 컨트롤러를 대신하여 개인정보를 처리하는 프로세서(Processor)로 구분됩니다.

Airbridge 서비스에 빗대어 생각해보면, 광고 성과를 분석하고자 하는 Airbridge의 고객사는 컨트롤러가 됩니다. 고객사 서비스의 고객, 즉 실제 개인정보를 제공하는 고객사의 회원은 정보주체가 됩니다. 마지막으로 고객사를 통해 정보주체의 정보를 받아 광고 성과 분석과 같은 정보 처리를 수행하는 Airbridge는 프로세서가 됩니다.

Airbridge가 제공하는 GDPR 준수 사항

Data Security

고객의 데이터를 안전하게 보호하고 GDPR에서 요구하는 보안 준수 사항을 만족하기 위해, Airbridge는 유무형의 모든 보안 위협을 상시 모니터링하고 관리하는데 지속적인 투자를 아끼지 않습니다. Airbridge는 제품, 시스템 인프라와 네트워크, 데이터 보관과 전송, 접근 통제, 개발, 모니터링, 업무연속성과 재해복구, 내외부 감사, 물리 및 인적 보안과 같은 다양한 계층에서 정보 보호를 수행합니다. Airbridge가 수행하고 있는 정보 보호에 관한 자세한 내용은 Information Security 페이지를 참고해주십시오.

International Data Transfer

Airbridge는 EU에 거주하는 시민(정보주체) 뿐만 아니라, EU에 법인을 두고 있는 고객사(컨트롤러)로 부터 안전하고 합법적으로 데이터를 전송받아 처리할 수 있도록 Standard Data Protection Clauses(SDPC, Standard Contractual Clauses 라고도 알려짐)를 준비해두고 있습니다. European Commission이 제정하고 표준화한 SDPC 계약은 GDPR이 보장하는 다양한 데이터 역외 이전 방법 중 가장 간편한 방법입니다. SDPC 계약은 EU의 개인정보보호 원칙을 포함하고 있기 때문에, SDPC를 통한 개인정보 역외 이전은 적정 수준의 보호조치를 보장하고 있는 것으로 인정됩니다. 자세한 내용은 해당 GDPR 조항을 참고해주십시오.

Data Subject Request Management

Airbridge는 GDPR에 명시되어 있는 정보주체가 가지는 권리들을 대부분 보장합니다. 이 권리들은 데이터 주체가 본인의 데이터를 직접 통제할 수 있다는 기본 철학에서 시작합니다. 정보주체는 이 링크의 Web UI(User Interface)와 같은 전자적 수단을 이용해 Airbridge에게 직접 권리를 행사할 수 있고, 본인이 가입한 고객사(Controller)를 통해 간접적으로 권리를 행사할 수도 있습니다. 고객사 역시 Web UI를 이용해 편리하게 Airbridge에 민원 처리를 요청할 수 있습니다. Airbridge가 프로세서로서 정보주체에게 보장하는 권리의 종류는 다음과 같습니다.

  1. The right to be informed (정보를 제공받을 권리): 정보주체는 본인이 어떠한 데이터 컨트롤러와 데이터 프로세서에 의해 어떠한 정보가 수집되고 처리되는지에 대해 알 권리가 있습니다. 이 페이지의 아래 부분에 표로 기술되어 있습니다.
  2. The right to erasure (The right to be forgotten 이라고도 알려짐, 삭제권): 제공된 본인의 정보를 삭제할 수 있습니다.
  3. The right of access by the data subject (열람권): 제공된 본인의 정보를 열람할 수 있습니다.
  4. The right to data portability (이동권): 제공된 본인의 정보를 다른 주체에게 이전하기 위해 제공받을 수 있습니다.
  5. The right to rectification (정정권): 제공된 본인의 정보를 정정할 수 있습니다.
  6. The right to restriction of processing (처리제한권): 데이터 컨트롤러나 데이터 프로세서가, 제공된 본인의 정보를 보유만 할 뿐 처리할 수 없게 할 수 있습니다.

Data Protection by Design and Default

Airbridge는 정보주체의 개인정보가 안전하게 보관 및 처리될 수 있도록, 정보 수집부터 처리, 제공에 이르는 모든 과정을 정보 보안과 개인정보 보호가 이루어질 수 있도록 설계하고 구현합니다.

  1. 정보주체의 동의하에 개인정보를 수집합니다.
  2. 정보주체가 동의하지 않았거나, 만 14세 미만 아동의 개인정보는 SDK의 Opt-Out 기능을 이용하여 서버로의 개인정보 전송을 사전에 차단할 수 있습니다.
  3. 민감한 개인정보는 암호화 및 가명처리(Pseudonymisation)하여 보관, 처리합니다.
  4. 수집한 개인정보를 제3의 주체에게 제공 및 판매하지 않습니다.
  5. 정보 수집 및 처리, 제공 과정에서, Airbridge의 임직원을 포함하여 정당한 권한을 부여받지 않은 어떠한 주체도 개인정보에 접근할 수 없습니다.

Representative

GDPR은 EU 내에 설립되지 않은 컨트롤러 또는 프로세서에 대해서 EU 역내 대리인을 서면으로 지정할 것을 요구하고 있습니다. Airbridge를 서비스하는 주식회사 에이비일팔공(AB180 Inc.)의 EU 역내 대리인의 정보 및 주소는 다음과 같습니다.

GDPR-Rep.eu
Maetzler Rechtsanwalts GmbH & Co KG
Attorneys at Law
c/o AB180 Inc.
Schellinggasse 3/10, 1010 Vienna, Austria

Please add the following subject to all correspondence:
GDPR-REP ID: 12799064

정보를 제공받을 권리에 따라, Airbridge가 정보주체에게 안내하는 정보

제공하는 정보의 종류
내용
컨트롤러와 (해당되는 경우) 컨트롤러 대리인의 신원 및 연락처와 DPO의 연락처
- 데이터 컨트롤러: 고객사마다 다를 수 있습니다.
- 데이터 프로세서: 주식회사 에이비일팔공 (AB180 Inc.)
- 연락처: compiance@ab180.co
- DPO: 류원경 / compiance@ab180.co
해당 개인정보의 처리 목적
모바일 어플리케이션 광고 성과 분석 목적
데이터 컨트롤러 또는 제 3자의 정당한 이익
데이터 컨트롤러는 모바일 어플리케이션 광고를 집행할 때, 수집한 정보를 프로세서를 통해 분석하여 광고에 대한 성과를 명확히 분석할 수 있게 됩니다. 데이터 프로세서는 광고 성과를 분석하고 이에 대한 용역 대금을 지급 받습니다.
개인정보 수령인 또는 수령인의 유형
- 수령인: 주식회사 에이비일팔공 (AB180 Inc.)
- 수령인의 유형: 데이터 프로세서
제3국으로 이전한 상세 내용 및 보호 방법
- 이전 항목: 수집한 개인정보
- 이전 국가: 대한민국, 일본
- 보호 방법: 보안 프로토콜(암호화)를 이용한 온라인 전송
보유 기간 또는 보유 기간 결정을 위하여 적용한 기준
- 보유 기간: 최대 1년
- 기준: 데이터 프로세서인 주식회사 에이비일팔공은 대한민국 법인으로서, 대한민국의 <개인정보 보호법>에 의거하여 더 이상 데이터를 보유해야할 목적이 존재하지 않는 경우 최대 1년 까지 데이터를 보유할 수 있습니다.
정보주체가 갖는 각 권리의 존재
정보주체는 <정보를 제공 받을 권리>, <삭제권>, <열람권>, <정정권>, <이동권> 그리고 <처리제한권>의 권리를 가집니다. 각 권리는 데이터 컨트롤러를 직접 행사한 뒤 데이터 프로세서에서 전달(Email 또는 Web UI를 통하여)되거나, 데이터 프로세서에게 직접 Web UI를 통해 행사할 수 있습니다.
언제라도 동의를 철회할 수 있는 권리
정보주체는 데이터 컨트롤러를 통해 동의를 철회한 뒤, 데이터 컨트롤러가 데이터 프로세서에게 전자적 수단(SDK상 Opt-Out 처리 후 Email 또는 Web UI를 통해 정보 삭제 요청)을 이용해 철회를 전달하는 방식으로 권리를 행사할 수 있습니다.
감독기구에 불만을 신청할 수 있는 권리
모든 정보주체는 기존의 행정적/사법적 구제를 받을 권리를 제한 또는 침해받지 않고 감독기구에 민원을 제기할 권리가 있습니다. 이 경우 정보주체는 거주지나 근무지 또는 침해 발생이 있을 것으로 추정되는 장소가 소재한 회원국의 감독기구에 민원을 제기할 수 있습니다.
개인정보의 제공이 법률 또는 계약상 요건이나 의무인지 여부 및 개인정보를 제공하지 않을 경우 생길 수 있는 영향
정보주체의 개인정보 제공은 법률 또는 계약상 요건이나 의무가 아닙니다. 정보주체가 정보 제공에 동의하지 않는 경우 데이터 컨트롤러는 데이터 프로세서가 제공하는 Opt-Out 기능을 이용해 정보 제공을 중단해야 합니다. 이미 정보 주체가 정보 제공에 동의하였고 정보가 제공되고 있는 상황에서의 동의 철회도 가능합니다. 데이터 프로세서는 정보주체가 개인정보를 제공하지 않아도 서비스를 제공하는데 차별을 두지 않습니다.
프로파일링 등 자동화된 결정의 존재 및 어떻게 결정되는 지에 대한 정보와 그 중요성 및 영향
정보주체로 부터 제공된 정보는 광고 성과 분석을 위해 전자적으로 프로파일링됩니다. 그러나 이를 통해 정보주체는 자동화된 의사결정의 대상이 되지 않습니다. 특히 법적 효력 또는 법적 효과와 유사한 중대한 효과를 발생시키지 않습니다.

GDPR을 준수하고 싶은 고객사(Controller)를 위한 Best Practice

고객사들은 다음의 Best Practice를 통해 GDPR을 준수하는데 도움을 받을 수 있습니다. GDPR을 준수함으로 고객들에게 더 높은 신뢰를 얻을 수 있으며, EU에 거주하는 시민들을 대상으로 서비스를 운영하는 경우 규제 리스크를 최소화 할 수 있습니다.

  1. 고객사가 GDPR의 적용 대상인지 파악하세요.
  2. GDPR에서 명시한 DPO(Data Protection Officer) 의무 지정 대상인 경우, 사내에 GDPR에 따른 책무를 수행할 수 있는 DPO를 지정하세요.
  3. 정보주체를 통해 수집하는 정보가 무엇인지, 어떠한 방식으로 처리되고 보관되는지 파악하세요. 각 단계에 따른 정책적, 기술적 정보 유출 취약점을 파악하고 개선하세요.
  4. 정보주체에게 보장해야하는 권리를 이해하고, 손쉬운 방법으로 정보주체의 요청을 받아들일 수 있는 장치를 마련하세요.
  5. 정보주체에게 정보를 수집하기 전, '자유롭게 주어지고, 구체적이고 명확하며, 모호하지 않은' 방식으로 개인정보 수집에 대한 동의를 수령하세요. 더불어 아동의 개인정보를 수집하는 경우에는 반드시 대리인의 동의를 받아 아동의 정보를 처리해야 합니다.
  6. 제 3의 컨트롤러 혹은 프로세서와 개인정보를 주고 받아야 하는 경우에는 GDPR에 따른 개인정보 역외 이전 방법에 따라 이전 업무를 수행해주세요.
  7. 개인정보 유출 사고가 발생하는 경우 즉각 감독 당국에 신고하고, 정보주체에게 통지해야 합니다. 이러한 내용을 미리 프로세스로 준비해두면 좋습니다.
  8. GDPR은 EU 내 설립되지 않은 글로벌 기업의 경우, EU 내의 대리인을 지정하도록 하고 있습니다. EU 감독 기구와 커뮤니케이션을 수행할 수 있는 대리인을 지정하세요.
  9. Airbridge와 같이 GDPR을 준수하고 있는 3rd Party 툴을 사용하세요. 더욱 안전하고 간편하게 GDPR을 준수할 수 있습니다.

관련 리소스