일반 데이터 보호 규정(GDPR) 및 데이터 보호 프레임워크
일반 데이터 보호 규정(GDPR)은 위치에 관계없이 유럽 경제 지역(EEA, EU 27개 회원국과 아이슬란드, 노르웨이, 리히텐슈타인)에 속한 사람들의 개인 데이터를 처리하는 모든 조직에 적용되는 유럽 연합의 법률로, 해당 지역 사람들에게 상품이나 서비스를 제공하거나 그들의 행동을 모니터링하는 맥락에서 적용됩니다. GDPR에 따라 조직은 개인 데이터 처리를 위한 법적 근거를 파악하고, 수집되는 데이터와 그 사용 방법을 개인에게 알리고, 개인이 본인에 대한 정보에 접근하거나 이를 수정 또는 삭제하도록 요청하는 경우 이를 존중하고, 개인 데이터를 무단 접근으로부터 보호하기 위한 적절한 보안 수단을 사용하고, 개인과 당국에 데이터 침해 사실을 알리고, 데이터 보호 책임자를 임명하고, 활동을 시작할 때부터 개인정보 보호를 고려해야 하며, 나중에 생각해서는 안 됩니다. GDPR은 수신 관할권에서 본질적으로 동등한 보호를 보장하는 안전장치가 마련되지 않는 한, EEA 외부로 개인 데이터를 전송하는 것을 제한합니다.
F5는 개인정보 보호정책 에 자세히 설명된 대로 GDPR을 준수합니다. F5는 통제자인 분산 클라우드 플랫폼 고객에게 프로세서로서 서비스를 운영합니다(또는 프로세서인 고객에게 하위 프로세서로서). 따라서 F5는 각 분산 클라우드 제품에 대해 제28조를 준수합니다. F5는 유럽 위원회가 미국 내 참여 기업으로의 데이터 전송에 대해 적절한 보호를 제공한다고 결정한 EU-US 데이터 개인 정보 보호 프레임워크에 참여하고 있으며, 지원 목적으로 글로벌 SOC 위치로 전송되는 개인 데이터를 보호하기 위해 표준 계약 조항을 활용합니다. 더욱이 F5는 고객이 GDPR에 따른 의무를 이행할 수 있도록 강력한 개인 정보 보호 및 보안 프로그램을 갖추고 있습니다. F5에서 매년 발행하는 SOC 2 Type II 보고서 사본을 요청하려면 영업 담당자에게 문의하세요. 이 보고서는 NDA에 따라 제공되며 GDPR에 따른 요구 사항에 대한 통제를 매핑한 표가 포함되어 있습니다.
자주 묻는 질문
F5는 고객의 어떤 개인 데이터를 처리합니까?
많은 서비스의 경우 F5는 서비스 제공에 필요한 개인 데이터의 "처리자"(통제자가 아님) 역할을 합니다. F5가 처리하는 개인 데이터에 대한 자세한 내용은 각 서비스의 개인정보 보호정책에 나와 있습니다. F5의 개인정보 보호정책 소개에서 모든 서비스별 개인정보 보호정책 링크를 https://www.f5.com/company/policies/privacy-notice 에서 찾을 수 있습니다.
F5는 개인 정보에 대해 어떤 구체적인 보안 조치를 제공합니까?
F5와 해당 서비스는 개인 정보 보호를 최우선으로 하며, 가장 높은 수준의 데이터 개인정보 보호 표준을 유지합니다. [TJ1] [AC2] F5에서 수집한 개인 데이터를 보호하는 기술적 및 조직적 통제는 특정 서비스 계약(예: 최종 사용자 서비스 계약에 따라 제공되는 서비스에 적용되는 서비스 별 약관 ) 및 F5의 SOC2 유형 II 보고서에 나열되어 있습니다. F5 글로벌 지원은 ISO 27001 인증을 받았으며 F5 분산 클라우드 서비스는 ISO 27017 및 ISO 27018 확장을 통해 ISO 27001 인증을 받았습니다. F5는 F5 분산 클라우드 서비스를 위한 레벨 1 서비스 공급자로서 PCI-DSS 규정을 준수합니다. 특정 F5 서비스 및 F5 하드웨어에는 추가적인 보안 인증이 적용됩니다. https://www.f5.com/company/policies/privacy-notice 에서 데이터 보안 관행에 대한 자세한 정보를 확인하세요 .
F5와 그 고객은 GDPR 제5장의 요구 사항과 미국 및 기타 국가로의 개인 데이터 전송과 관련된 영국 및 스위스 법에 따른 유사한 요구 사항을 어떻게 처리합니까?
주요 사업장이 유럽, 중동 또는 아프리카(총칭하여 EMEA)에 있는 고객은 F5 Networks, Ltd.와의 계약을 통해 서비스를 받습니다. 영국에 본사를 두고 영국 법률에 따라 설립된 F5 Networks는 F5의 EMEA 운영의 중심지입니다. EU와 스위스 당국은 영국 법률이 개인 데이터 보호를 제공하고 GDPR 제5장 및 동등한 스위스 법률의 요구 사항을 완전히 충족한다는 것을 인정했습니다.
아시아 태평양(APAC) 지역에 본사를 둔 고객은 싱가포르에 있는 F5 Networks Singapore Pte Ltd.와 계약을 맺습니다. 다른 모든 고객(북미에 본사를 둔 고객 포함)은 미국에 있는 F5, Inc.와 계약을 맺습니다. 모든 F5 서비스에 대해 서비스별 약관 에 의해 보완된 데이터 보호 추가 조항(DPA) 에는 표준 계약 조항과 F5에 대한 모든 법적 적용 가능한 전송에 적용되는 규정이 포함되어 있습니다. 이 표준 계약 조항에는 영국 정부가 발행한 영국 내 데이터 전송에 관한 국제 데이터 전송 부록과 스위스 연방 데이터 보호 및 정보 위원이 발행한 스위스 내 데이터 전송에 관한 추가 언어가 함께 제공됩니다. 관련 서비스에 대해 F5는 또한 EU-US 인증을 유지하고 있습니다. 데이터 개인 정보 보호 프레임워크, EU-US에 대한 영국 확장 데이터 개인정보 보호 프레임워크 및 스위스-미국 데이터 개인정보 보호 프레임워크.
F5는 데이터 개인 정보 보호 프레임워크에 대한 인증을 받았습니까?
예. F5는 관련 서비스에 대해 EU-U.S. 인증을 유지 관리합니다. 데이터 개인 정보 보호 프레임워크, EU-U.S. 협정의 영국 확장 버전 데이터 개인 정보 보호 프레임워크 및 스위스-미국 데이터 개인정보 보호 프레임워크.
미국은 Schrems II 판결에서 논의된 외국 정보 감시법(FISA) 제702조 및 행정 명령(EO) 12333은 F5에 영향을 미칩니까?
아니요. 슈렘스 II 판결의 초점이었던 이 두 가지 미국 법률 조항은 F5에 영향을 미치지 않습니다. 어떤 경우든 Schrems II 판결에 따른 미국 법률의 개선으로 인해 유럽 위원회는 유럽 의회 및 이사회 규정(EU) 2016/679에 따라 2023년 7월 10일 시행 결정에서 EU-US 협정에 따른 개인 데이터 보호의 적정 수준에 대해 결정했습니다. 데이터 개인정보 보호 프레임워크 이전에 해당 조항에 대해 제기되었던 우려는 해결되었습니다. 유럽 데이터 보호 위원회(EDPB)는 유럽 위원회의 결정을 분석하고( 2023년 7월 10일 적정성 결정 채택 후 GDPR에 따라 미국으로 전송되는 데이터에 대한 정보 참고 자료에서) "미국 정부가 국가 안보 분야에서 도입한 모든 보호 조치(구제 메커니즘 포함)는 사용된 전송 도구에 관계없이 미국으로 전송되는 모든 데이터에 적용됩니다"(즉, 데이터가 데이터 개인 정보 보호 프레임워크, 표준 계약 조항 또는 다른 전송 도구를 통해 미국으로 전송되는지 여부에 관계없이).
F5는 FISA 702에 따라 데이터 접근 요청이나 다른 종류의 지침을 받은 적이 없습니다. 많은 F5 서비스는 FISA 702 지침의 대상이 될 수 없는 서비스 유형입니다. 또한 F5 서비스의 거의 모든 고객의 경우 F5는 타겟팅이 가능한 유형의 데이터를 처리하지 않습니다. FISA 702 지침에 따라 대량 살상 무기 확산, 미국에 대한 외국의 공격 계획, 외국 스파이의 비밀 활동에 대한 정보 또는 FISA 의미 내의 기타 "외국 정보"에 대한 데이터에 적용됩니다.
F5는 EO 12333에 따라 고객 데이터를 제출하라는 명령을 받을 수 없습니다. EO 12333 명령이라는 것이 존재하지 않기 때문입니다. 행정명령 12333은 미국 정보 커뮤니티 내에 특정한 책임을 할당하지만, 민간 부문에는 어떠한 의무도 부과하지 않습니다. F5는 전송 중인 데이터를 암호화하고, 2023년 유럽 위원회 적정성 결정 이전에 슈렘스 II 법원이 우려했던 이론적인 가로채기 활동으로부터 보호하기 위해 추가적인 보안 조치를 사용합니다.
미국은 어떻게 2018년 해외 합법적 데이터 사용 명확화법(CLOUD)은 미국 정부의 데이터 접근 요구 능력에 영향을 미칩니까?
CLOUD법은 미국 정부에 미국에서 사업을 하는 기업에 데이터를 요구할 수 있는 새로운 권한을 부여하지 않았습니다. 미국 정부는 "CLOUD Act 명령"을 내리지 않으며 F5는 한 번도 명령을 받은 적이 없습니다. CLOUD법은 미국 정부가 적절한 기존 법적 절차(예: 연방 지방 법원 판사의 명령을 받아)에 따라 회사에 해당 회사가 소유, 보관 또는 관리하는 특정 데이터를 제공하도록 지시하는 경우, 해당 데이터의 위치가 회사가 명령에 이의를 제기하는 근거가 될 수 없다는 점을 명확히 했습니다(단, 해당 위치에서 시행 중인 법률과 충돌하는 경우는 여전히 근거가 될 수 있음). CLOUD법은 2020년 슈렘스 2세 판결 이전부터 시행되어 왔습니다. 슈렘스 2세 판결 이후 미국은 정부의 데이터 접근과 관련된 규칙과 관행을 다양하게 개선했습니다. 그런 다음 유럽 위원회는 이러한 개선 사항을 평가하고 미국 정부의 데이터 요구에 적용되는 미국법이 이제 GDPR의 의미 내에서 적절한 수준의 보호를 제공한다고 결정했습니다. 보다 유럽 의회 및 이사회 규정(EU) 2016/679에 따른 2023년 7월 10일 시행 결정 EU-US 개인 정보 보호의 적정 수준에 대해 데이터 개인 정보 보호 프레임워크 . 유럽 데이터 보호 위원회(EDPB)는 이 결정을 분석하고( 2023년 7월 10일 적정성 결정 채택 후 GDPR에 따라 미국으로 전송되는 데이터에 대한 정보 참고 자료에서) "미국 정부가 국가 안보 분야에서 시행한 모든 보호 조치(구제 메커니즘 포함)는 사용된 전송 도구에 관계없이 미국으로 전송되는 모든 데이터에 적용됩니다"(즉, 데이터가 데이터 개인 정보 보호 프레임워크, 표준 계약 조항 또는 다른 전송 도구를 통해 미국으로 전송되는지 여부에 관계없이).
F5는 정부의 정부 데이터 요구에 대처하기 위해 어떤 정책을 취합니까?
F5의 고객 관계의 특성과 F5가 고객을 위해 처리하는 제한적인(그리고 일반적으로 암호화된) 데이터를 고려할 때 이러한 요구는 매우 드뭅니다. 고객 데이터에 대한 모든 요구에 대한 F5의 정책은 (i) 법적으로 허용되는 경우 즉시 고객에게 통지한 다음 고객의 해결에 협조하거나 (ii) 고객 통지가 불법인 경우 요청 권한을 고객에게 재지정하려고 시도하는 것입니다. 이러한 노력으로도 문제가 해결되지 않으면 F5는 요구의 합법성을 평가하고 이에 대해 모든 합리적인 이의를 제기합니다(예: 항소). 여기에는 요청을 준수하는 것이 GDPR 또는 기타 관련 법률을 위반하는지 여부가 포함됩니다. 이 과정에서 F5는 항소 절차를 포함하여 유능한 사법 당국이 그 이유에 대해 결정을 내릴 때까지 청구의 효력을 정지해 달라고 요청할 것입니다. F5는 해당 절차 규칙에 따라 요구되지 않는 한 그러한 상황에서 어떠한 데이터도 공개하지 않습니다. 해당 지점에 도달하면 F5는 원래 요구 사항 중 나머지를 준수하는 데 필요한 최소한의 데이터만 공개합니다.
고객은 F5를 통해 적절한 국경 간 데이터 전송 메커니즘이 구축되어 있는지 어떻게 확인할 수 있나요?
F5 서비스에 대한 모든 고객 계약( 최종 사용자 서비스 계약(EUSA) )에는 F5의 데이터 보호 추가 조항(DPA) 을 통합 및 보완하는 서비스별 약관이 포함되어 있습니다. DPA에는 영국 또는 스위스 법에 따른 전송에 대한 관련 추가 언어와 함께 표준 계약 조항이 포함됩니다. 어떤 경우에는 고객과 F5가 동일한 보호 조치를 통합한 별도의 계약을 맺게 됩니다. 여기에는 특정 F5 지원 서비스 계약이 포함됩니다. 고객은 F5가 EU-US 인증을 받았음을 보여주는 https://www.dataprivacyframework.gov/list 도 참조할 수 있습니다. 데이터 개인 정보 보호 프레임워크, EU-US에 대한 영국 확장 데이터 개인정보 보호 프레임워크 및 스위스-미국 데이터 개인정보 보호 프레임워크.
F5와 그 고객은 영국 데이터 보호법이 적용되는 개인 데이터 전송을 어떻게 처리합니까?
영국을 포함한 "제3국"에 있는 F5 기관으로의 전송의 경우, F5와 그 고객은 영국 정보 위원회 웹사이트에서 확인할 수 있고 영국 법률에 따라 관리되는 관련 전송에 대한 F5 DPA 에 참조로 포함된 EU 위원회 표준 계약 조항에 대한 국제 데이터 전송 추가 조항을 따릅니다. 또한, 특정 서비스의 경우 F5는 EU-US에 대한 영국 확장에 따라 인증을 받았습니다. 데이터 개인정보 보호 프레임워크.
