GDPR 준수
AB180이 제공하는 어트리뷰션 애널리틱스 서비스 Airbridge는 유저의 데이터 프라이버시 및 제어 권리를 보장하기 위해 GDPR에 명시된 데이터 보안 및 보호 기준을 준수하고 있어요.
Airbridge는 어트리뷰션 분석에 꼭 필요한 항목만을 수집·처리하여 유저의 데이터 프라이버시 및 제어 권리를 최우선으로 존중해요. 데이터 제어, 삭제, 보유, 이전 등 정보 주체의 모든 권리를 보장하는 것이 Airbridge 엔지니어링 전반에 걸쳐 엄격하게 적용돼요.
GDPR이란?
GDPR(General Data Protection Regulation, 일반 데이터 보호 규정)은 2018년 5월 25일 전면 시행된 유럽연합(EU)의 개인정보 보호 규정이에요. EU 회원국 내 개인정보의 자유로운 이동을 보장하고, 정보 주체의 개인정보 보호 권리를 강화해요.
GDPR은 세 가지 주요 역할의 권리와 의무를 규정해요. 개인정보를 소유하고 제공하는 정보 주체(Data Subject), 정보 주체가 제공한 개인정보의 처리 목적과 수단을 결정하는 컨트롤러(Controller), 컨트롤러를 대신하여 처리 업무를 수행하는 프로세서(Processor)예요.
Airbridge 서비스의 경우, 광고 캠페인 측정 및 어트리뷰션 서비스를 이용하는 클라이언트가 데이터 컨트롤러예요. 클라이언트 서비스의 고객으로서 개인정보를 제공하는 유저가 정보 주체예요. 마지막으로, 캠페인 측정 및 어트리뷰션 등의 데이터 처리를 위해 클라이언트를 통해 정보 주체의 데이터를 수신하는 Airbridge가 데이터 프로세서로 활동해요.
Airbridge의 GDPR 준수
데이터 보안
클라이언트 데이터를 안전하게 보호하고 GDPR 보안 요구사항을 충족하기 위해, Airbridge는 모든 유형의 유·무형 보안 위협을 상시 모니터링하고 관리하기 위해 최선의 노력을 기울이고 있어요. 제품, 시스템 인프라 및 네트워크, 데이터 저장 및 전송, 접근 제어, 개발, 모니터링, 사업 연속성 및 재해 복구, 내·외부 감사, 물리적·인적 보안 등 다양한 수준에서 데이터 보안을 구현하고 있어요. 자세한 내용은 Airbridge의 정보 보안 페이지를 확인해 주세요.
국제 데이터 이전
대한민국에 본사를 두고 일본(도쿄 리전)에 서버를 운영하는 Airbridge는 GDPR 적정성 결정(Adequacy Decision)을 보유한 국가에서 EU 기반 고객(컨트롤러)으로부터 수신한 데이터를 안전하고 합법적으로 처리하기 위한 요구사항을 충족해요. 이 결정은 유럽위원회(European Commission)가 EU와 동등한 수준의 데이터 보호 기준을 갖추고 있다고 판단한 특정 국가로의 개인정보 이전을 추가 조치 없이 허용해요. 자세한 내용은 관련 GDPR 조항을 참조해 주세요.
정보 주체 요청 관리
Airbridge는 GDPR에 포함된 정보 주체의 대부분의 권리를 보장해요. 이러한 권리는 정보 주체 스스로가 자신의 데이터를 제어할 수 있어야 한다는 기본 원칙에 기반해요. 정보 주체는 이 링크에 명시된 웹 UI(User Interface) 등의 전자적 수단을 통해 Airbridge에 직접 권리를 행사하거나, 소속된 클라이언트(컨트롤러)를 통해 간접적으로 권리를 행사할 수 있어요. 클라이언트도 웹 UI를 사용하여 Airbridge에 편리하게 불만 사항을 전달할 수 있어요. 프로세서로서 Airbridge는 정보 주체에게 다음의 권리를 보장해요.
정보를 제공받을 권리(Right to be informed)
정보 주체는 어떤 데이터 컨트롤러와 프로세서가 어떤 종류의 데이터를 수집하고 처리하는지에 대해 고지받을 권리가 있어요. 이는 아래 표에 나와 있어요.
삭제 권리(잊힐 권리, Right to be forgotten)
정보 주체는 자신의 개인정보를 삭제할 권리가 있어요.
정보 주체의 접근 권리(Right of access)
정보 주체는 자신이 제공한 개인정보에 접근할 수 있어요.
데이터 이동 권리(Right to data portability)
정보 주체는 자신의 개인정보를 다른 주체에게 이전할 수 있어요.
정정 권리(Right to rectification)
정보 주체는 자신의 개인정보를 정정할 수 있어요.
처리 제한 권리(Right to restriction of processing)
정보 주체는 데이터 컨트롤러나 프로세서가 제공된 개인정보를 저장하되 처리하지 않도록 할 수 있어요.
설계 및 기본값에 의한 데이터 보호
Airbridge는 정보 주체의 개인정보를 안전하게 보호하고, 데이터 수집·처리부터 제공에 이르는 전 과정에서 데이터 보안과 개인정보 보호를 존중하기 위한 목적으로 데이터 보호를 설계하고 구현했어요.
- 개인정보는 정보 주체의 동의를 받아 수집돼요.
- 정보 주체의 동의 없이 또는 14세 미만 아동의 개인정보 이전은 SDK의 Opt-Out 기능을 사용하여 사전에 차단할 수 있어요.
- 민감한 개인정보는 암호화 및 가명 처리 후 저장·처리돼요.
- 수집된 개인정보는 제3자에게 제공되거나 판매되지 않아요.
- 데이터 수집, 처리, 제공 과정에서 권한이 부여되지 않은 Airbridge 직원을 포함한 다른 주체는 개인정보에 접근할 수 없어요.
EU 대리인
GDPR은 EU에 소재하지 않는 컨트롤러나 프로세서가 EU 내 대리인을 서면으로 지정하도록 요구해요. Airbridge 서비스 제공자인 AB180 Inc.의 EU 내 연락처 및 주소는 다음과 같아요.
GDPR-Rep.eu
Maetzler Rechtsanwalts GmbH & Co KG
Attorneys at Law
c/o AB180 Inc.
Schellinggasse 3/10, 1010 Vienna, Austria
모든 서신에 다음 제목을 추가해 주세요:
GDPR-REP ID: 12799064
Airbridge가 정보를 제공받을 권리에 따라 정보 주체에게 안내하는 정보
| 정보 유형 | 내용 |
|---|---|
| 컨트롤러 및 대리인(해당 시)의 식별 및 연락 정보, DPO 연락 정보 | 데이터 컨트롤러: 클라이언트에 따라 다를 수 있어요. / 데이터 프로세서: AB180 Inc. / DPO 연락처: compliance@ab180.co |
| 개인정보 처리 목적 | 모바일 애플리케이션 광고의 효과를 분석하기 위해 |
| 데이터 컨트롤러 또는 제3자가 얻을 수 있는 정당한 이익 | 모바일 애플리케이션 광고 시, 수집된 데이터가 프로세서를 통해 분석되므로 데이터 컨트롤러는 광고 효과를 명확히 분석할 수 있어요. 데이터 프로세서는 광고 효과를 분석하고 그에 따른 서비스 대가를 받아요. |
| 개인정보 수신자 및 수신자 유형 | 수신자: AB180 Inc. / 수신자 유형: 데이터 프로세서 |
| 제3국 이전 세부사항 및 보호 방법 | 이전 항목: 수집된 개인정보 / 이전 국가: 대한민국, 일본 / 보호 방법: 보안 프로토콜(암호화)을 통한 온라인 전송 |
| 보유 기간 또는 보유 기간 결정 기준 | 기준: 대한민국에 소재한 데이터 프로세서 AB180 Inc.는 대한민국 개인정보 보호법에 따라 데이터 보유 사유 없이도 최대 1년간 데이터를 보유할 수 있어요. |
| 정보 주체가 보유한 각 권리의 존재 | 정보 주체는 정보를 제공받을 권리, 잊힐 권리, 정보 주체의 접근 권리, 정정 권리, 데이터 이동 권리, 처리 제한 권리를 보유해요. 정보 주체는 각 권리를 직접 행사하여 데이터 프로세서에게 전달(이메일 또는 웹 UI 사용)하거나, 웹 UI를 사용하여 데이터 프로세서에게 직접 권리 행사를 요청할 수 있어요. |
| 언제든지 동의를 철회할 권리 | 정보 주체가 데이터 컨트롤러를 통해 동의를 철회한 후, 데이터 컨트롤러가 전자적 수단으로 데이터 프로세서에게 철회 사실을 알리는 방식으로 권리가 행사돼요(SDK의 Opt-Out 기능 사용 후, 이메일 또는 웹 UI를 사용하여 데이터 삭제 요청 전송). |
| 감독 기관에 불만을 제기할 권리 | 모든 정보 주체는 다른 행정적 또는 사법적 구제 수단에 관계없이 감독 기관에 불만을 제기할 권리가 있어요. 이 경우, 정보 주체는 상주지, 근무지 또는 위반 발생지의 회원국 감독 기관에 불만을 제기할 수 있어요. |
| 개인정보 제공이 법적 또는 계약상 요건이나 의무인지 여부 및 제공하지 않을 경우의 가능한 결과 | 개인정보 제공은 법적 또는 계약상 요건이나 의무가 아니에요. 정보 주체의 데이터 제공 동의 없이, 데이터 컨트롤러는 데이터 프로세서가 제공하는 Opt-Out 기능을 사용하여 데이터 제공을 중단해야 해요. 정보 주체가 이미 동의했거나 데이터가 이미 제공된 경우에도 동의를 철회할 수 있어요. 데이터 프로세서는 정보 주체가 개인정보를 제공하지 않더라도 서비스 제공과 관련하여 정보 주체를 차별해서는 안 돼요. |
| 프로파일링을 포함한 자동화된 의사결정의 존재, 그러한 결정이 이루어지는 방법, 그 중요성 및 예상되는 결과 | 정보 주체가 제공한 데이터는 광고 효과 분석을 위해 전자적 데이터 프로파일링을 거쳐요. 그러나 정보 주체는 여기서 자동화된 의사결정의 대상이 아니에요. 특히, 법적 또는 이와 유사한 중대한 영향을 미치는 효과는 발생하지 않아요. |
GDPR을 준수하고자 하는 클라이언트(컨트롤러)를 위한 모범 사례
아래의 모범 사례는 클라이언트가 GDPR을 준수하는 데 도움을 줄 수 있어요. GDPR을 준수하면 EU에 거주하는 시민을 대상으로 서비스를 운영할 때 고객 신뢰를 구축하고 규제 제한의 위험을 최소화할 수 있어요.
- 클라이언트가 GDPR 적용 대상인지 확인하세요.
- GDPR에서 정한 DPO 의무 지정 대상인 경우, GDPR에 따른 직무를 수행할 DPO를 지정하세요.
- 정보 주체로부터 어떤 종류의 데이터가 수집되고 어떤 방식으로 처리·저장되는지 파악하세요. 각 단계에 따라 정치적·기술적 데이터 유출로 이어질 수 있는 취약점을 식별하고 개선하세요.
- 정보 주체에게 보장해야 할 권리를 파악하고, 정보 주체의 요청을 간편하게 수용할 수 있는 조치를 구현하세요.
- 정보 주체로부터 데이터를 수집하기 전에 '자유롭게 주어지고, 구체적이며, 명확하고, 모호하지 않은' 방법으로 개인정보 수집에 대한 동의를 받으세요. 또한 아동의 개인정보를 수집하는 경우, 법정 대리인의 동의를 받은 후에 처리해야 해요.
- 제3의 컨트롤러나 프로세서와 개인정보를 교환하는 경우, GDPR에서 정한 제3국 또는 국제기구로의 개인정보 이전 방법을 준수하세요.
- 개인정보 유출 사고가 발생한 경우, 즉시 감독 기관에 보고하고 정보 주체에게 사고 사실을 통지하세요. 이러한 사고에 대비한 조치를 사전에 마련하는 것이 좋아요.
- GDPR에 따라 EU에 소재하지 않는 글로벌 기업은 EU 내 대리인을 지정해야 해요. EU 감독 기관과 소통할 대리인을 지정하세요.
- Airbridge와 같이 GDPR을 준수하는 서드파티 도구를 사용하세요. 더 안전하고 편리하게 GDPR을 준수할 수 있어요.