Genesys Cloud 및 GDPR 규정 준수

이 기사를 읽고 Genesys Cloud가 GDPR을 해결하는 방법과 조직이 Genesys Cloud의 GDPR 구현에 대해 알아야 할 사항을 알아보세요. GDPR에 대한 일반적인 개요는 다음을 참조하세요. GDPR 개요.

GDPR 교육

일반 데이터 보호 규정(GDPR)은 데이터 개인 정보 보호 규정의 중요한 변경 사항입니다. Genesys Cloud는 보안 및 규정 준수 팀을 위한 GDPR 교육에 상당한 시간을 투자했습니다. 교육 및 인증 국제 개인 정보 보호 전문가 협회(IAPP) 2017년 초에 시작되었습니다. GDPR에 대한 자세한 내용은 다음을 참조하십시오. GDPR 준수.

GDPR 프로젝트

Genesys Cloud는 다음을 위해 GDPR 프로젝트를 의뢰했습니다.

  • 업데이트된 데이터 인벤토리를 완료하고 Genesys Cloud가 PII를 저장/처리/전송하는 모든 위치를 결정합니다.
  • 고객이 자신의 권리를 행사하려는 고객의 요청을 구현할 수 있도록 GDPR API를 설계하고 구현합니다. 기본 데이터 주체 권리
  • 데이터 보호 영향 평가 완료

Genesys Cloud는 GDPR을 준수합니까?

Genesys Cloud 법률 및 기술 전문가는 GDPR을 검토하고 다음에서 제공하는 교육 및 인증을 완료했습니다. 국제 개인 정보 보호 전문가 협회(IAPP).  데이터 처리자로서의 Genesys Cloud의 역할에서 Genesys Cloud는 규정의 요구 사항을 충족하기 위한 조치를 취했습니다.

GDPR은 28조에서 데이터 컨트롤러가 "적절한 기술적 및 조직적 조치를 구현하기에 충분한 보증을 제공하는 프로세서만 사용해야 한다"고 요구합니다. Genesys Cloud는 이러한 조치를 구현했습니다. 당사의 주제 전문가가 귀하와 논의할 수 있습니다.  자세한 내용은 다음으로 문의하십시오. dataprivacy@genesys.com

Genesys Cloud는 GDPR 인증을 받았습니까?

Genesys Cloud와 같은 클라우드 서비스 제공업체에 대한 GDPR 인증은 없습니다. 그러나 Genesys Cloud는 HIPAA.

데이터 처리자로서 Genesys Cloud는 적절한 기술 및 조직적 조치를 구현합니다. 자세한 내용은 보안 및 규정 준수 정보.

Genesys Cloud는 어디에서 GDPR 규정 준수를 지원합니까?

Genesys Cloud는 모든 Genesys Cloud 배포 Amazon Web Services(AWS) 리전에서 GDPR 규정 준수를 지원합니다.

GDPR 준수를 활성화해야 합니까?

GDPR 준수를 위해 Genesys Cloud 내에서 어떤 것도 활성화하거나 구성할 필요가 없습니다. GDPR API는 모든 고객이 사용할 수 있습니다. 그러나 GDPR은 귀하와 Genesys Cloud 간의 데이터 처리 계약(DPA)을 요구할 수 있습니다. DPA는 개인 데이터 처리를 다룹니다.

예측 참여를 위한 GDPR 요구 사항은 무엇입니까?

조직에서 사용할 계획인 경우 예측 참여 웹사이트에서 방문자의 활동에 대한 데이터를 수집하려면 GDPR 준수 단계를 따라야 합니다. 자세한 내용은 예측 참여 및 GDPR.

DPA 또는 데이터 처리 계약이란 무엇입니까?

GDPR은 28조에서 "처리자에 의한 처리는 컨트롤러와 관련하여 처리자에게 구속력이 있고 주제 및 기간을 명시하는 유럽 연합 또는 회원국 법률에 따른 계약 또는 기타 법적 행위의 적용을 받아야 합니다. 처리의 성격과 목적, 개인 데이터의 유형 및 데이터 주체의 범주, 컨트롤러의 의무와 권리.”

GDPR이 적용된다고 생각되면 Genesys Cloud는 이러한 요구 사항을 충족하는 DPA에 대해 논의할 준비가 되어 있습니다. Genesys Cloud DPA를 받으려면 다음 연락처로 문의하십시오. dataprivacy@genesys.com.

GDPR 데이터 요청에 어떻게 응답해야 합니까?

Genesys Cloud는 GDPR API Genesys Cloud 고객이 GDPR 요청에 응답하기 위해 선호하는 셀프 서비스 솔루션입니다. GDPR API를 사용하면 Genesys Cloud에서 개인 데이터에 액세스, 수정 또는 삭제하라는 데이터 주체 요청에 응답할 수 있습니다. 

GDPR API의 제한 사항

GDPR API는 개별 데이터 주체 요청에 응답해야 하는 고객을 위해 설계되었습니다. GDPR API는 대량 데이터 삭제와 같은 대량 요청에 응답하도록 설계되지 않았습니다. GDPR API에는 API 문서에 설명된 비율 제한이 적용됩니다. 이러한 속도 제한은 플랫폼 가용성을 유지하기 위해 대량 작업 시도를 제한할 수 있습니다.

Genesys Cloud GDPR 서비스는 어떻게 작동합니까? 

Genesys Cloud GDPR API에 대해 알아야 할 사항.

GDPR 서비스 엔드포인트

GDPR 서비스는 두 개의 엔드포인트를 노출합니다. 첫 번째 엔드포인트는 과목 주어진 검색어가 일치하고 실제로 GDPR을 시작하기 위한 두 번째 끝점 요청. NS 과목 엔드포인트는 이름, 주소, 전화번호, 이메일 주소 또는 소셜 미디어 핸들의 단일 검색어를 수락하고 userId, externalContactId 또는 dialerContactId로 구성된 0개 이상의 일치하는 제목 목록을 반환합니다. NS 요청 엔드포인트는 15조(액세스), 16조(정정) 및 17조(삭제) 요청에 응답하기 위해 단일 검색어와 Get, Export, Update 또는 Delete 요청 유형을 수락합니다. 요청 엔드포인트는 지정된 GDPR 요청 유형을 시작하기 위해 이름, 주소, 전화번호, 이메일 주소, 소셜 미디어 핸들, 사용자 ID, 외부 연락처 ID 또는 다이얼러 연락처 ID의 단일 검색어를 허용합니다. 용어가 ID인 경우 서비스는 먼저 이를 해당 리소스(사용자, 외부 연락처, 다이얼러 연락처)로 확인하고 GDPR 요청에 알려진 필드를 포함합니다.

주제 엔드포인트는 주제 및 검색어 일치를 식별합니다.

NS 과목 끝점은 네 가지 유형의 단일 검색어를 허용합니다. 이름, 주소, 전화 또는 이메일을 입력하고 검색어와 일치하는 모든 제목의 목록을 반환합니다.  제목은 userId, externalContactId 또는 dialerContactId일 수 있습니다. 반환된 목록에는 0개의 주제, 단일 주제 또는 많은 주제가 포함될 수 있습니다. 

Genesys Cloud는 후속 요청 엔드포인트가 영향을 받는 개인을 식별하기 위해 모든 잠재적 GDPR 요청에 대해 주체 엔드포인트를 사용할 것을 권장합니다.  검색어와 일치하는 주제를 찾아 Genesys Cloud 고객은 주어진 GDPR 요청의 예상치 못한 영향의 위험을 줄일 수 있습니다. 주제 끝점은 주어진 검색어가 여러 주제와 일치할 때 결과를 명확하게 하는 데 사용할 수도 있습니다. 특히, 주제 엔드포인트는 주어진 검색어에 대해 일치하는 모든 주제를 반환하기 때문에 API 사용자는 후속 GDPR 요청에 대해 보다 정확한 검색 기준을 발견할 수 있습니다. 

일부 Genesys Cloud 기능 및 서비스에 의해 저장된 데이터의 경우 제목과 함께 GDPR API를 사용해야 합니다.  GDPR API 요청에 주제를 포함해야 하는 서비스는 다음과 같습니다.

요청 엔드포인트는 단일 검색어 및 특정 요청 유형을 허용합니다.

요청 엔드포인트는 모든 유형(이름, 주소, 전화, 이메일, 사용자 ID, 외부 연락처 ID, 다이얼러 연락처 ID)의 단일 검색어와 가져오기, 내보내기, 업데이트 또는 생성 및 시작된 GDPR 요청을 삭제하고 반환합니다. 내보내기는 제15조(접근) 요청, 업데이트는 제16조(정정) 요청, 삭제는 제17조(삭제) 요청에 해당합니다. 요청 유형이 "삭제"인 경우 일부 서비스는 삭제가 아닌 개인 데이터를 익명화할 수 있습니다. 해당 요청의 실제 처리는 비동기적으로 발생합니다.  주어진 용어가 사용자 ID 또는 외부 연락처 ID인 경우 GDPR 서비스는 먼저 해당 ID를 해당 사용자, 외부 연락처 또는 다이얼러 연락처로 각각 확인하고 사용자, 외부 연락처 또는 다이얼러 연락처의 알려진 모든 필드를 포함합니다. 제공된 ID 외에 요청.

고객은 요청 엔드포인트를 사용하여 실제 GDPR 요청을 생성합니다. 사용하는 검색어가 의도한 데이터 주체에만 영향을 미치도록 하려면 주체 끝점을 먼저 사용해야 합니다. 여러 기준이 알려진 경우 용어당 하나씩 여러 요청을 제출해야 합니다. 고객은 개인에 대해 알려진 모든 식별자에 대한 요청을 제출하는 것이 좋습니다.  예를 들어 개인 또는 데이터 주체가 고객에게 요청을 제출하는 경우 고객은 해당 개인의 이름, 전화번호, 이메일 주소를 수집하고 각각에 대해 GDPR 요청을 Genesys Cloud에 제출해야 합니다.

Genesys Cloud GDPR API 비율 제한

GDPR은 유럽 연합의 데이터 주체에 적용되지만 Genesys Cloud GDPR API는 모든 Genesys Cloud 지역의 고객이 사용할 수 있습니다. 그러나 GDPR API에는 솔루션의 성능을 유지하기 위해 엄격한 비율 제한이 있습니다.

단일 고객 보기를 사용하는 경우 어떻게 됩니까?  

조직에서 단일 고객 보기를 사용하는 경우 두 개 이상의 외부 연락처가 동일한 사람을 대표할 때 병합될 수 있습니다. 이는 GDPR API에 두 가지 의미를 갖습니다. 

첫째, subjects 엔드포인트는 동일한 사람(즉, 동일한 병합 집합에 속함)에 해당하는 여러 외부 연락처 ID를 표시할 수 있습니다. subjects 엔드포인트의 응답을 검사할 때 호출자는 외부 연락처 API를 사용하여 동일한 병합 집합에 속하는 외부 연락처 ID를 확인해야 합니다. 이렇게 하려면 각 연락처를 가져와서 동일한 canonicalContact를 공유하는 연락처를 확인합니다. 

둘째, 요청 엔드포인트에 요청할 때 해당 병합 세트의 표준 연락처 ID에 대해 병합 세트당 단일 요청만 수행합니다. GDPR API는 해당 연락처의 병합 집합에 있는 각 외부 연락처 ID에 대한 요청을 투명하게 복제하고 응답 본문의 'relatedRequests' 필드에 관련 요청을 반환합니다. 

관련 요청은 독립적인 완전한 요청입니다. 각 관련 요청은 다른 요청과 독립적으로 성공하거나 실패하며 각 관련 요청의 결과를 개별적으로 검사해야 합니다. 관련 요청 중 하나가 실패하면 요청을 재시도하기 전에 모든 관련 요청이 완료될 때까지 기다리십시오. 이렇게 하면 진행 중인 요청 집합을 쉽게 이해할 수 있습니다. 모든 관련 요청이 완료되기 전에 재시도하면 병합 집합의 다른 연락처에 대한 요청이 아직 진행 중인 경우 중복 검사를 통해 시스템이 중복 요청을 생성하지 않도록 해야 합니다. 

연락처 데이터 모델, 표준 연락처 및 병합 집합에 대한 자세한 내용은 개발자 센터에서 연락처 병합을 참조하세요.

검색은 외부 연락처 내의 데이터를 기반으로 검색을 전파합니까?

아니요. 고객은 externalContactId를 주체로 사용할 수 있습니다. 일치하는 externalContactID가 있는 연락처에는 직장 전화번호, 휴대전화 번호 또는 소셜 미디어 채널 정보 등 하나 이상의 추가 유형의 개인 데이터가 포함될 수 있습니다. externalContactID 주체를 사용하여 GDPR API 요청에 응답할 때 Genesys Cloud는 해당 필드에서 발견되는 해당 연락처와 연관된 개인 데이터를 플랫폼에서 자동으로 검색하지 않습니다. 이 시나리오에서 Genesys Cloud는 고객에게 일치하는 연락처와 연락처에 포함된 모든 개인 데이터를 검토하고 해당 주체에게 추가 GDPR API 요청을 제출할 것을 권장합니다. 위에서 언급했듯이 Genesys Cloud는 모든 잠재적 GDPR 요청에 대해 주체 엔드포인트를 사용하여 후속 요청 엔드포인트가 영향을 미치는 개인을 식별할 것을 권장합니다. Genesys Cloud 고객은 검색어와 일치하는 주제를 찾음으로써 주어진 GDPR 요청에 따른 예상치 못한 영향의 위험을 줄일 수 있습니다.

GDPR API는 첨부 파일도 검색합니까?

이메일 상호 작용 및 메시지 상호 작용(Facebook Messenger, WhatsApp 및 Twitter Direct Message와 같은 타사 메시지 플랫폼, Genesys Cloud 웹 메시징 및 공개 메시징)과 같은 ACD 상호 작용은 파일 첨부 형식으로 개인 데이터를 수신할 수 있습니다. Genesys Cloud는 이러한 첨부 파일의 내용을 개인 데이터로 검색하지 않습니다. 대신 GDPR 요청은 외부 ID와 함께 작동하며 해당 특정 ID가 요청에 사용되는 경우 대화 및 연결된 첨부 파일을 찾습니다. 나중에 관련 첨부 파일이 후속 데이터 주체 요청에 대한 GDPR API 응답에 포함 및/또는 제거됩니다.

예를 들어 데이터 주체가 Facebook Messenger를 통해 이미지를 업로드하면 Genesys Cloud는 외부 ID를 사용하여 대화 및 관련 첨부 파일을 찾아 업로드합니다. 이후 정보주체가 자신의 정보 삭제를 위해 제17조 삭제 요청을 하면 Genesys Cloud API는 내용과 상관없이 해당 정보주체가 업로드한 모든 파일을 제거합니다.  예에서 Genesys Cloud는 GDPR API 요청에 응답하고 이미지의 실제 내용과 상관없이 데이터 주체가 Facebook Messenger를 통해 업로드한 이미지를 제거합니다. 

파일 첨부 형식의 개인 데이터를 포함하는 모든 ACD 상호 작용은 다음과 연결되어야 합니다. 연락처 프로필 에 저장 외부 연락처. 외부 연락처와 독립적으로 ACD 상호 작용에 저장된 개인 데이터를 검색하는 방법은 없습니다. 개인 데이터가 사용자 정의 변수를 통해 ACD 상호 작용에 저장된 경우 상호 작용이 연락처 프로필과 연결되어 있지 않으면 GDPR API를 통해 찾을 수 없습니다.

GDPR 데이터 주체 요청 응답의 예를 제공할 수 있습니까?

이 예는 다음을 사용하여 GDPR 데이터 주체 요청에 대한 효과적인 응답을 보여줍니다. Genesys Cloud GDPR API

요청

데이터 주체로부터 데이터 삭제에 대한 유효한 요청을 받았습니다. 데이터 주체는 이름과 이메일 주소를 제공했습니다.  

응답

  1. 데이터 주체가 제공한 두 개의 개별 식별자(이름 및 이메일 주소)를 사용하여 두 개의 개별 주체 API 호출을 수행합니다.
  2. 주제 엔드포인트 요청의 결과를 검토하여 결과를 명확하게 하고 일치하는 주제를 찾습니다. 데이터 주체가 제공한 식별자와 상호 연관될 수 있는 주체만 일치하는 주체로 간주됩니다.
  3. 2단계에서 식별된 일치하는 각 주제에 대해 개별 요청 API 호출을 수행합니다. 두 개의 주제 끝점 호출이 여러 개체를 반환한 경우 일치하는 각 주제에 대해 하나씩 여러 요청 API 호출을 수행해야 합니다. 그렇지 않으면 응답이 불완전합니다.
  4. "단일 고객 보기를 사용하는 경우 어떻게 합니까?"에 설명된 대로 GDPR API가 관련 요청을 생성했는지 확인하십시오.

Genesys Cloud GDPR API를 사용할 수 없으면 어떻게 합니까?

Genesys Cloud는 GDPR 요청에 응답하기 위한 셀프 서비스 옵션으로 GDPR API를 사용할 것을 권장합니다. GDPR API를 사용하여 오류가 발생하는 경우 다음을 통해 사례를 제출하세요. 마이서포트 포털. GDPR API를 사용할 수 없고 GDPR 요청에 응답해야 하는 경우 전문 서비스 팀이 도와드릴 수 있습니다. 이러한 노력에 대한 작업 명세서를 작성하려면 고객 성공 관리자에게 문의하십시오.

Genesys Cloud가 GDPR 데이터 주체 요청에 응답하는 데 얼마나 걸립니까?

Genesys Cloud가 액세스 또는 이동성 요청에 대한 응답으로 모든 개인 데이터를 검색하는 일반적인 응답 시간은 1-2일입니다. GDPR에 따른 제거 또는 "잊어버려" 요청과 관련하여 Genesys Cloud는 요청 시 개인 데이터를 제거하거나 익명으로 만드는 데 14일 이상 필요하지 않습니다.

직원이 제17조 삭제 요청을 제출하면 어떻게 되나요? 

Genesys 제품을 사용하려면 Genesys 솔루션이 제대로 작동하기 위해 직원의 개인 데이터(사용자 이름, 직장 전화번호, 직장 이메일)를 처리해야 합니다. 직원과 관련된 이 개인 데이터를 저장하지 않고, Genesys Cloud가 기능 수행을 중지할 수 있습니다. 따라서 현재 직원의 경우 고객이 추구하는 정당한 이익을 위해 개인 데이터를 처리해야 합니다. 또한 고객은 다른 규제 요구 사항을 충족하기 위해 직원 상호 작용 기록을 보관해야 할 수 있습니다. 이 처리의 합법성과 Genesys 제품 디자인에 따라 Genesys는 진행 중인 사용자와 관련된 개인 데이터를 지우는 것을 권장하지 않습니다.

고객이 개인 데이터를 삭제할지 또는 익명으로 할지 지정할 수 있습니까?

아니요. 일부 Genesys Cloud 서비스는 요청 시 개인 데이터를 삭제합니다. 다른 서비스는 요청 시 개인 데이터를 익명으로 만듭니다.

GDPR을 준수하는 방식으로 Genesys Cloud를 사용할 책임이 있습니까?

네. 개인 데이터를 저장하는 특정 서비스를 잘못 구성할 수 있습니다. 이렇게 하면 Genesys Cloud가 해당 데이터를 검색, 액세스 또는 제거할 수 없습니다.

  • Genesys Cloud 플랫폼  사용자 정의 속성 키에 개인 데이터를 저장하지 마십시오. 이 필드는 GDPR API 기능에 의해 검색, 업데이트 또는 제거되지 않습니다.
  • Architect 흐름 이름, 흐름 설명, 상태 이름, 작업 이름, 작업 이름 또는 프롬프트 텍스트 음성 변환 값에 개인 데이터를 저장하지 마십시오.
  • 디렉터리 개인 정보를 개인 상태로 저장하지 마십시오.
  • We b 메시징 인터랙션 개인 데이터가 포함된 모든 웹 메시징 상호 작용은 다음과 연결되어야 합니다. 연락처 프로필 에 저장 외부 연락처. 외부 연락처와 별개로 웹 메시징 상호 작용에 저장된 개인 데이터를 검색하는 방법은 없습니다. 개인 데이터가 사용자 정의 변수를 통해 웹 메시징 상호 작용에 저장된 경우 웹 메시징 상호 작용이 연락처 프로필과 연결되어 있지 않으면 GDPR API를 통해 찾을 수 없습니다.
  • 웹 채팅 상호 작용: 개인 데이터가 포함된 모든 웹 채팅 상호 작용은 다음과 연결되어야 합니다. 연락처 프로필 에 저장 외부 연락처. 외부 연락처와 별개로 웹 채팅 상호 작용에 저장된 개인 데이터를 검색할 수 있는 방법은 없습니다. 개인 데이터가 사용자 정의 변수를 통해 웹 채팅에 저장된 경우 웹 채팅 상호 작용이 연락처 프로필과 연결되어 있지 않으면 GDPR API를 통해 찾을 수 없습니다.

Genesys의 GDPR 역할

GDPR과 관련된 역할을 하는 Genesys 직원:

  • 최고 개인 정보 보호 책임자 – William Dummett
  • 유럽 데이터 개인 정보 보호 책임자 – Shahzad Muhammad Naveed Ahmad 
  • Genesys Cloud 앱 보안 및 규정 준수 이사 – Eric Cohen CISSP, CIPM, CIPP/E