데이터 보호에 관한 새 연방법
nFADP란 무엇입니까?
nFADP는 2023년 9월 1일에 발효되는 데이터 보호에 관한 새 연방법(New Federal Act on Data Protection)의 약자입니다. nFADP는 스위스의 새로운 데이터 보호법으로, 스위스의 현행 법률 프레임워크를 최신 상태로 유지하고 GDPR과 같은 다른 법적 조치와 동등한 수준으로 유지하는 것을 목표로 합니다.
nFADP가 시행되면 스위스 시민에게 상품 및 서비스를 제공하고 이들의 개인 정보를 처리하는 모든 스위스 및 국제 기업에 nFADP가 적용됩니다. GDPR과 유사하게 nFADP에서도 적용 가능성과 관련하여 치외법권 원칙을 도입했습니다. 즉 스위스 외부에 위치한 조직이 스위스 시민의 개인 데이터를 처리하는 경우 해당 법의 적용을 받습니다.
특히, nFADP는 조직 데이터 보호도 포함했던 이전 FADP와는 달리 개인 데이터 보호에만 적용됩니다. 또한 입법자가 스위스의 규제 프레임워크와 일치시키고 GDPR에 더 근접하게 만들려고 의도했기 때문에 GDPR과 유사한 점이 많습니다. 그러나 nFADP는 특정 분야(예: 제재, DPO 임명, 개인 정보 보호 정책 요구 사항)에서 GDPR에 비해 덜 엄격합니다.
nFADP에 따라 데이터 주체는 어떤 권리를 얻습니까?
조직은 데이터 주체에게 자신의 개인 데이터에 대한 다음과 같은 권리를 부여해야 합니다.
1. 정보에 대한 권리
2. 데이터 이동성에 대한 권리
3. 삭제할 권리
4. 수정할 권리
Atlassian과 nFADP
GDPR과 유사하게 nFADP는 컨트롤러 및 프로세서의 역할을 명시합니다. Atlassian은 주로 Atlassian Cloud 제품을 제공하는 것과 관련하여 고객을 대신해 개인 데이터를 처리하는 프로세서 역할을 합니다. 자세한 내용은 2.2절 및 데이터 처리 부록의 별지 A, 부록 1(B), 파트 A를 참조하세요.
nFADP에 따른 데이터 주체 권리
Atlassian은 개인 정보 보호 정책에 따라 사용자 및 고객에게 데이터 처리 관행, 목적 및 기타 관련 데이터에 대한 정보를 제공합니다.
또한 Atlassian의 도구는 고객이 데이터 주체 요청과 관련하여 nFADP에 따른 의무를 이행할 수 있도록 지원합니다. 도구에 대한 자세한 내용은 아래에서 확인하세요.
1. 삭제할 권리와 관련하여 고객을 지원하려면 다음을 참조하세요.
2. 액세스할 권리와 관련하여 사용자를 지원하려면 다음을 참조하세요.
- Atlassian 조직 관리자는 Atlassian 고객 지원 팀에서 관리되는 사용자의 데이터에 액세스를 지원할 수 있습니다
- 관리되지 않는 최종 사용자도 Atlassian 고객 지원 팀을 통해 데이터 액세스 요청을 시작하여 개인 데이터에 액세스를 요청할 수 있습니다
- 자신의 개인 데이터를 Atlassian에 제공했거나 개인 데이터가 Atlassian에 제공되었지만 Atlassian 계정이 없는 사용자도 액세스 요청을 시작할 수 있습니다
선택 및 동의
Atlassian은 정보를 수집, 사용 및 공유하는 방법에 대한 선택과 투명성을 중요하게 생각하며 다양한 제품 또는 계정 설정 내에서 옵션을 제공합니다. Atlassian의 개인 정보 보호 정책에는 선택, 실행 방법 및 관련 제한 사항이 요약되어 있습니다.
최종 사용자 데이터 권리에 대한 자세한 내용은 '개인 데이터 개인 정보 보호 관리'를 참조하세요.
참고로 스위스 최종 사용자에 대해 Atlassian은 수집 시점에 명확한 설명 및 제어를 제공하기 위해 쿠키 및 마케팅 메시지에 대한 동의를 표시합니다.
데이터 프로세스 계약
Atlassian은 nFADP를 준수하도록 고객 데이터 처리 계약을 업데이트했습니다. 계약에 정의된 대로 스위스 FADP를 통합했습니다. 데이터 처리 계약의 최신 버전은 여기에서 확인할 수 있습니다.
국가 간 데이터 전송
전 세계에 고객 기반을 대상으로 운영 중인 Atlassian은 전 세계에서 데이터를 전송하고 액세스할 수 있어야 합니다. Atlassian은 스위스 외부의 제3자에게 개인 데이터를 전송하는 것에 대한 규칙을 이해하고 존중하며 Atlassian 데이터 처리 부록(DPA)을 준수하기 위해 고객에게 강력한 국가 간 데이터 전송 프레임워크를 제공합니다. DPA는 스위스 법률에 따른 관련 개정 항목을 고려한 표준 계약 조항에 의거하여 고객이 스위스 외부의 Atlassian Cloud 제품으로 합법적으로 개인 데이터를 전송할 수 있도록 보장합니다.
GDPR과 유사하게 스위스 데이터 보호법도 법의 요건이 충족되는 한 국가 간 데이터 전송을 허용합니다. 연방 데이터 보호 및 정보 위원회(FDPIC)에 따르면, 새 EU 표준 모델 조항은 스위스에서 적절한 수준의 데이터 보호 규정이 없는 국가로의 국가 간 데이터 전송을 보호하는 데에도 활용될 수 있습니다. 여기에는 스위스 법을 고려한 필요한 수정 조항이 포함되어야 한다는 조건이 따릅니다.
Atlassian은 고객의 데이터를 Atlassian의 서브 프로세서에게 공유할 때마다 이러한 조직이 고객의 데이터를 사용하는 방식을 책임집니다. Atlassian은 모든 서비스 공급자가 철저한 실사 절차를 거쳐 고객의 개인 데이터가 적절한 보호 조치를 받을 수 있도록 하는 계약을 체결하도록 요구합니다. Atlassian은 이와 관련한 법적 요구 사항 및 유럽 데이터 보호 당국에서 규정하는 기타 사항을 지속적으로 분석할 것입니다. 그동안 Atlassian에 대한 다음 사항을 참고하세요.
- 데이터 전송 영향 평가의 데이터 전송과 관련된 정보를 제공
- 고객이 미사용 시 범위 내 제품 콘텐츠를 특정 위치에 고정하도록 허용합니다. 데이터 보존 프로그램에 대한 계획된 확장(앱 및 추가 위치에 대한 데이터 보존 포함)은 Atlassian의 Cloud 로드맵에 강조되어 있습니다.
- 전송 및 미사용 시 데이터 암호화
- 매년 투명성 보고서에서 사용자 데이터에 대한 정부 요청 및 콘텐츠 제거 또는 계정 중지에 대한 정부 요청 정보를 게시
- Atlassian의 법 집행 기관에 대한 가이드라인에서 사용자 데이터에 대한 요청에 대응하기 위한 정책 및 절차에 관한 추가 정보를 제공
데이터 처리 부록 및 표준 계약 조항에 대한 자세한 내용은 개인 정보 보호 FAQ를 참조하세요.
Atlassian이 GDPR에 따른 컨트롤러로서 개인 데이터를 처리하는 방법에 대한 자세한 내용은 개인 정보 보호 정책을 참조하세요.
최근 상황(데이터 전송 법률 포함)에 대한 소식을 보려면 데이터 처리 부록 페이지를 방문하시기 바랍니다.
기타 이행 약속
다음은 Cloud 내에 구현한 기타 이니셔티브입니다.
- Atlassian 고객 개인 데이터에 액세스하여 데이터를 처리하는 Atlassian 직원은 해당 데이터의 기밀성 및 보안을 유지할 수 있도록 데이터 처리에 대한 교육을 받았습니다.
- Atlassian은 서브 프로세서 페이지에서 Atlassian의 하위 처리자 목록 및 변경 사항에 대한 최신 정보를 확인할 수 있는 RSS 피드 구독을 제공합니다
- Atlassian은 데이터 영향 평가를 수행하고 적절한 경우 규제 기관과 협의하기 위해 최선을 다하고 있습니다
- Atlassian은 규제 기관에 보안 위반 사실을 알리고 고객 및 사용자에게 위반 사항을 즉시 알리는 것을 지원합니다
- Atlassian은 표준 모델 조항에 따른 데이터 수신자로서의 의무를 존중하기 위해 최선을 다합니다
언제든지 Atlassian 팀에 도움을 요청하세요
규정 준수 프로그램과 관련하여 질문이 더 있으신가요?
클라우드 인증이 있으십니까? 보안 및 위험 관련 설문 조사에 답변해 주실 수 있으십니까? 추가 정보는 어디에서 다운로드할 수 있을까요?
신뢰 및 보안 커뮤니티
Atlassian 커뮤니티의 신뢰 및 보안 그룹에 가입하여 보안 팀으로부터 직접 이야기를 듣고, Atlassian 제품을 안전하고 안정적인 방법으로 사용하기 위한 정보, 팁 및 모범 사례를 공유하세요.
Atlassian 지원
숙련된 지원 엔지니어에게 연락하여 질문에 대한 답을 얻으세요.