GDPR에 따른 AWS의 역할

AWS는 GDPR에 따라 데이터 프로세서와 데이터 컨트롤러의 역할을 모두 수행합니다.

제32조에 따라 컨트롤러와 프로세서는 “자연인의 권리와 자유에 대해 다양한 가능성과 심각도를 나타내는 위험뿐 아니라 구현의 최신 상태 및 비용과 처리의 성격, 범위, 맥락 및 목적”을 고려하는 “...적절한 기술적 및 조직적 조치를 구현”해야 합니다. GDPR은 다음을 포함하여 어떤 유형의 보안 조치가 필요할 수 있는지에 대한 구체적인 제안을 제공합니다.

• 개인 데이터의 가명 처리 및 암호화

• 처리 시스템과 서비스의 지속적인 기밀성, 무결성, 가용성, 복원력을 보장할 수 있는 기능

• 물리적 또는 기술적 사고가 발생할 경우 개인 데이터의 가용성과 액세스 권한을 시기 적절하게 복원할 수 있는 기능

• 처리의 보안을 보장할 수 있도록 기술적 및 조직적 조치의 효과를 정기적으로 테스트, 검사 및 평가하는 프로세스

데이터 프로세서로서의 AWS

고객 및 AWS 파트너 네트워크(APN) 파트너가 AWS 서비스를 사용하여 자체 콘텐츠의 개인 데이터를 처리할 때 AWS는 데이터 프로세서 역할을 합니다. 고객 및 APN 파트너는 AWS 서비스에서 제공하는 제어 기능(보안 구성 제어 기능 포함)을 사용하여 개인 데이터를 처리할 수 있습니다. 이러한 상황에서 고객 또는 APN 파트너는 데이터 컨트롤러 또는 데이터 프로세서 역할을 하고, AWS는 데이터 프로세서 또는 하위 프로세서 역할을 할 수 있습니다. AWS GDPR 준수 데이터 처리 부칙(DPA)에는 데이터 프로세서로서 AWS의 약정이 통합되어 있습니다.

데이터 컨트롤러로서의 AWS

AWS가 개인 데이터를 수집하고 해당 개인 데이터를 처리하는 목적과 수단을 결정할 때 AWS는 데이터 컨트롤러 역할을 합니다. 예를 들어 AWS가 계정 등록, 관리, 서비스 액세스를 위해 계정 정보를 처리하거나 고객 지원 활동을 통해 지원을 제공하기 위해 AWS 계정의 연락처 정보를 처리하는 경우 AWS는 데이터 컨트롤러 역할을 합니다.