소비자 데이터를 안전하게 보호하기 위해 유럽연합(EU)은  일반 데이터 보호 규정 (GDPR)으로 알려진 엄격한 개인정보 보호 및 보안 법률을 시행하고 있습니다. GDPR은  개인 데이터에 관한 EU 시민의 권리를 정의하고 집행합니다.  GDPR은 해당 데이터 사용에 대한 책임, 보안 및 투명성 표준을 구현합니다.

유럽연합에서 사업을 운영하거나 EU의 개인 데이터를 취급하는 글로벌 기업은  GDPR이 자신에게 어떤 영향을 미치는 지, 그리고 GDPR 준수를 어떻게 유지하는지 이해해야 합니다.

이러한 규정 준수의 한 측면은  데이터 처리 계약 (DPA)을 이행하는 것입니다.  GDPR 데이터 처리 계약은 데이터 처리 활동과 관련된 세부 정보, 규칙, 권리 및 의무를  명시합니다. 이를 통해 회사 규정 준수를 보장하고, 데이터를 보호하며, 소비자를 보호하고 만족시킬 수 있습니다.

이 가이드는 DPA의 작동 방식과 DPA에 포함시킬  내용을 자세히 설명합니다.

GDPR에  따른 DPA란 무엇입니까?

데이터 처리 계약은 데이터 관리자와  데이터 처리자 간에 체결 된 계약입니다. 이는 완전한 GDPR 준수를 위해 필요합니다.

DPA는 발생할 처리 활동의 성격, 목적 및 기간을 명시합니다. 또한 처리할 개인 데이터의 유형과 데이터가 속한 개인의 범주를 명시합니다. 이는 컨트롤러가 가질 권리와 의무를 정의합니다. 특정 수준의 암호화와 같은 기술적 보안 조치를 사용하도록 지정할 수 있습니다.

DPA는 법적 구속력이 있으며, 데이터 관리자 및 처리자는 DPA를 준수하거나 심각한 처벌을 받아야 합니다.

DPA의 주요 이점은 데이터 처리자의 자격과 신뢰성을 보장하는 것입니다. 기업은 자신의 데이터가 잘 관리되고 있으며, 개인적이고 억지로 눈을 돌리지 않도록 안전하다는 것을 알아야 합니다. DPA는 이러한 보증을 제공하는 데 도움이 됩니다.

GDPR과 그  DPA 요건은 향후 사업 운영에 상당한 영향을 미칠  가능성이 높습니다. 비즈니스 거래는 개인 데이터 수집이 점점 더 제한되고 데이터 수집 및 저장에 대한 커뮤니케이션이 필수적이며 제3자 벤더 관계는 보다 엄격한 계약을 필요로 함에 따라 변경될 수 있습니다. 개인 회사 및 HR 부서는 GDPR 요건을 준수하기 위해 프로세스를 조정함에 따라 광범위한 영향을 받게 됩니다.

GDPR 요건의 장점은 사람들이 데이터의 프라이버시와 보호에 더 자신감을 갖게 됨에 따라 비즈니스에서 신뢰가 번성할 수 있다는 것입니다.

데이터 처리 계약은 언제 필요합니까?

데이터 처리 계약이 필요합니까? EU 내에서 또는 EU에서 개인 데이터를 취급하는 경우 가능합니다.

GDPR에 따라 개인 또는 조직이 협업 서비스를 위해 제3자 서비스 제공업체에 개인 데이터를 제공할 때마다  DPA 문서는  필수입니다. 데이터 처리자의 역할을 하는 모든 당사자는  데이터 관리자와 DPA에 서명해야 합니다.

예를 들어, EU에서 웹사이트를 호스팅하는 서비스는 웹사이트가 속한 회사와 DPA에 서명해야 합니다. 표적 소비자 마케팅을 제공하기 위해 개인 데이터를 처리하는 회사도 DPA에 서명해야 합니다.

다음은 DPA가 필요한 몇 가지 기타 일반적인 비즈니스 서비스 및 시나리오입니다.

  • 이메일 관리 아웃소싱
  • 재무 및 급여 회계를 위한 기술 데이터 처리 솔루션
  • 물리적 서버 또는 클라우드를 통한 데이터 백업 서비스
  • 외부 서비스 제공업체를 통한 데이터 수집 또는 디지털화
  • 민감한 데이터가 포함된 이전 하드웨어의 폐기

일부의 경우, GDPR은 유럽 이외의 회사에  대해 DPA를 요구할 수 있습니다. 이 요건은 EU 데이터가 관련될 때마다 적용됩니다. 예를 들어, 캐나다에 위치한 회사가 EU 시민에 관한 데이터를 처리하는 경우 DPA 요건이 적용될 수 있습니다.

DPA가 필요하지 않은 경우는 언제입니까?

몇 가지 특정 시나리오에는 DPA가 필요하지 않습니다. DPA 보호를 불필요하게 만드는 보호 기능이 내장되어 있습니다. 이러한 상황에서 회사의 의무를 더 잘 이해할 수 있도록 다음 사항을 고려하십시오.

  1. 기밀 유지 요건이 있는 전문 그룹과의 파트너십: 많은 직업에서 모범 사례는 서비스 제공업체가 DPA가 요구하는 모든 보안 조치 및 개인정보 보호 요건을 다루는 산업별 맞춤형 기밀 유지 계약을 체결하는 것입니다. 이러한 기밀 유지 계약을 일반적으로 사용하는 몇 가지 직업에는 법률, 세무 컨설팅 및 재무 감사가 포함됩니다. 많은 의료 서비스 또한 일반적으로 자체적으로 엄격한 기밀유지 보장을 제공합니다.
  2. 포털 서비스: 사람 또는 법인을 연결하는 서비스만 일반적으로 DPA 요구 사항에서 제외됩니다. 이러한 전문 매치메이킹 서비스는 DPA가 거의 혜택을 받지 못할 정도로 일시적입니다. 예를 들어, 리크루터는 이 범주에 속합니다. 이들은 단순히 업무를 찾는 사람들과 재능 있는 새로운 팀원을 찾는 회사들을 연결시켜 줍니다. 이 시나리오는 채용 담당자와의 DPA를 불필요하게 만듭니다.
  3. 권 추심 기관과 협력: 채권 추심 기관은 개인 금융 정보 및 의료 정보에 접근할 수 있습니다. 추심 대행사는 원래 채권자와 별개이며 자신의 이익을 위해 부채를 추심하기 때문에 DPA 요건에서 면제됩니다. 원래 채권자를 대신하여 일하는 경우, 추심 기관은 DPA에 서명해야 합니다.
  4. 여러 회사의 공동 데이터 관리: 일부의 경우, 기업은 데이터 수집을 관리하기 위해 그룹으로 일합니다. 이 시나리오는 회사가 공급업체, 제품 또는 영업 리드의 데이터에 공동으로 액세스할 때 종종 발생합니다. 회사는 경쟁사일 수 있지만, 동일한 데이터를 동일한 일반적인 목적으로 사용합니다. 이러한 데이터 사용의 규모는 일반적으로 DPA가 필수가 아님을 의미합니다.
  5. 임상 시험: 대규모 임상 제약 시험은 일반적으로 DPA를 사용하지 않습니다. DPA에는 많은 기여자가 관여하기 때문입니다.  의사, 연구 센터 및 후원자는 모두 시험대상자 데이터에 액세스할 수 있으며, 이들은 모두 필요에 따라 다르게 처리합니다. 수집된 데이터는 또한 일반적으로 임상시험 전반에 걸쳐 다양한 목적을 수행합니다. 이러한 상황에서는 일반적으로 DPA가 적용되지 않습니다.

데이터 관리자는 누구입니까?

모든 DPA 계약은 데이터 컨트롤러와 데이터 프로세서 간에 이루어집니다. 데이터 관리자는 개인 데이터를 처리하는 방법과 이유를 결정하는 조직 또는 개인입니다. 회사가 서버에서 백업을 위해 제3자에게 데이터를 전송하기로 결정하는 경우, 귀사는 데이터 컨트롤러입니다.

데이터 컨트롤러의 특징은 의사 결정 능력입니다.  데이터 컨트롤러는 데이터 수집 이유와 개인 데이터  처리 방법에 대해 중요한 결정을 내립니다 .

대부분의 시나리오에서 회사 또는 조직은 데이터 관리자입니다. 데이터 처리자는 회사와 계약하는 별도의 법인입니다. 개인 데이터 수집 및 처리에 대한 결정을 내리는 경우, 개인 사업자 또는 자영업자와 같은 개인도 데이터 관리자가 될 수 있습니다.

데이터 처리자는 누구입니까?

데이터 처리자는 데이터 컨트롤러를 위해 데이터를 처리하는 제3자입니다. 위의 시나리오에서 회사가 백업을 위해 데이터를 보내기로 결정하는 경우 백업 서비스를 제공하는 회사가 데이터 프로세서입니다.

데이터 처리자는 다양한 형태를 취할 수 있습니다. 회사, 개인 또는 공공 기관일 수 있습니다. 관련 기준은 개인 또는 법인이 데이터 관리자를 대신하여 데이터를 처리하는지 여부입니다.

DPA 문서에는 무엇이 포함됩니까?

GDPR의 조항은 GDPR28-36의  DPA 규칙에  따라 데이터 처리자에게 의무적인 계약 의무를 명시합니다. 다음은 필수  DPA 조항의 일부입니다.

1. 데이터 취급 세부 사항에 대한 철저한 분석

DPA는 데이터 처리의 모든 측면이 어떻게 이루어지는지에 대한 포괄적인 세부 정보를 제공해야 합니다. DPA에는 다음과 같은 주제에 대한 명확한 정보가 포함되어야 합니다.

  • 처리할 개인 데이터의 유형
  • 데이터의 주제
  • 데이터 주체의 범주
  • 처리의 목적 및 성격
  • 예상되는 데이터 처리 기간
  • 개인 데이터 처리의 법적 근거
  • 처리 종료 시 개인 데이터의 반환 또는 삭제

2. 데이터 관리자 및 처리자의 권리와 책임

DPA는 양 당사자에 대한 권리와 책임을 명시함에 있어 데이터 취급을 통제하는 주체에 대한 명확성을 보장합니다.

DPA는 데이터 처리자가 데이터 관리자의 바람과 사양에 따라 처리를 수행해야 한다고 명시적으로 명시해야 합니다. 프로세서가 아닌 컨트롤러가 데이터에 대한 완전한 제어와 이에 대해 발생하는 일을 유지하도록 지정해야 합니다.

DPA는 데이터 처리자에게 데이터 관리자의 직접적인 지침에 따라서만 데이터를 처리하도록 지시해야 하며, EU 법률 또는 회원국 법률 중 하나에서 요구하는 경우에만 해당 지침을 벗어납니다.

3. 데이터 처리자에게 필요한 기밀 유지 조치

DPA는 개인 데이터의 기밀성을 보장하기 위해 데이터 처리자가 따라야 하는 프로토콜을 명시해야 합니다.

예를 들어, 데이터 처리자는 개인 데이터 처리를 시작하기 전에 정규직 직원, 임시직 직원 및 하청업체에게 기밀 유지 계약에 서명하도록 요구해야 합니다.기밀 유지 계약이 불필요하게 되는  유일한 시기는 법적 의무로 인해 이미 처리자가 기밀을 보장해야 하는 경우입니다.

4. 정보 보안을 위한 필수 기술 및 조직 프로토콜

DPA는 적절한 경우 다음과 같은 조치를 포함하여 데이터 처리자가 구현해야 하는 보안 조치를 약술해야 합니다.

  • 데이터 암호화
  • 데이터 주체 가명화
  • 모든 데이터 처리 시스템의 데이터 기밀성, 가용성, 복원력 및 보안을 보장하기 위한 프로토콜
  • 공격 또는 침해 후 개인 데이터에 대한 액세스를 복원하기 위한 프로세스
  • 모든 보안 조치의 효과를 테스트하고 평가하기 위한 정기적인 프로그램

많은 처리업체가 공식 인증을 받거나 구현된 프로토콜을 증명하는 공식 행동 강령을 작성하기를 원할 수 있습니다. 이와 같은 조치는 데이터 처리가 GDPR을 완전히 준수한다는 보장을 제공하는 데 도움이 됩니다.

5. 하도급 계약 조건

DPA는 또한 데이터 처리자가 하도급업체에 부과해야 하는 요건을 약술해야 합니다. 예를 들어, 처리기는 다음 규칙과 모범 사례를 반드시 준수해야 합니다.

  • 데이터 관리자의 명시적 동의 및 승인을 받은 경우에만 하청업체 고용
  • 데이터 처리자가 따라야 하는 하도급업체에 동일한 데이터 보안 요건을 부과하는 계약서 초안 작성 및 서명
  • 하도급업체의 데이터 보호 요건 준수 보장
  • 데이터 관리자에게 하청업체와 관련된 모든 변경 사항을 알리고 관리자에게 응답할 시간 제공

6. 데이터 처리자에 대한 협력 의무

DPA는 데이터 처리자가 데이터 관리자와 협력해야 하는 시기와 방법을 명시해야 합니다. 예를 들어 데이터 처리자는 데이터 액세스 요청을 해결하기 위해 협조해야 합니다. 처리자는 또한 특히 다음 요건을 충족함으로써 데이터 주체의 개인정보 및 권리를 보호하는 데 협조해야 합니다.

  • 개인 데이터 보안 보장
  • 개인정보 침해에 대해 당국 및 데이터 주체에게 즉시 통지
  • 필요에 따라 데이터 보호 영향 평가(DPIA) 수행
  • 심각한 데이터 위험이 발생할 경우 관련 당국에 문의

또한 데이터 처리자는 데이터 관리자가 처리 중에 준수 감사를 수행하도록 허용해야 합니다. 감사 중에 처리자는 28 GDPR 조항에 따른 준수 의무를 충족했음을 증명하기 위해 모든 관련 정보를 즉시 관리자에게 제공해야 합니다.

모범 사례는 또한 처리자가 GDPR 준수를 입증하기 위해 처리 활동에 대한 기록을 보관하는 것입니다.

DPA에 따른 데이터 침해 후에는 어떻게 됩니까?

데이터 침해가 발생하는 경우, 관련 회사들은 구체적이고 즉각적인 조치를 취해야 합니다. 위반이 심각한 위험을 제기하는  경우, 회사는 시간 내에 관련 감독 당국에  통지해야 72 합니다.

침해가 영향을 받는 사람들에게 매우 높은 위험을 제기하는 경우, 회사는 보통 이러한 개인들에게도 통지해야 합니다. 그러나 귀사에 이미 효과적인 기술적 및 조직적 위험 완화 프로토콜이 마련되어 있는 경우, 통지가 필요하지 않을 수 있습니다.

예를 들어, 신용카드 회사가 데이터를 저장한 서버에 대한 공격으로 인해 데이터 침해를 당했다고 상상해 보십시오. 고객의 개인 금융 정보가 침해되었습니다. 이들의 이름, 집 주소, 추가 연락처 정보, 재무 세부 정보 및 신용카드로 결제한 결제 유형의 세부 정보가 모두 공개되었습니다.

서버를 호스팅하는 회사는 72 시간 이내에 위반 사실을 당국에 알려야 합니다. 또한 신용카드 회사에 알려야 합니다.

개인 식별 정보의 공개는 소비자를 위험에 처하게 할 수 있기 때문에 회사는 소비자에게 알려야 할 가능성이 높습니다. 또한 신용카드로 의료비를 지불한 경우 소비자의 민감한 보호 대상 건강 정보가 공개 될 수도 있습니다.

GDPR 미준수에 대한 처벌은 무엇입니까? 

데이터 침해가 발생하는 경우, 규정을 준수하지 않는 것으로 밝혀진 회사는 징계 조치를 받게 됩니다. 위반 가능성이 있는 경우 경고만 받게 됩니다. 확인된 미준수 사건은 다음 중 하나 이상의 처벌을 받을 수 있습니다.

  1. 공식적인 질책
  2. 데이터 처리에 대한 일시적 또는 영구적 금지
  3.  최대 백만 유로의 벌금20 또는 회사의 연간 총 글로벌 매출의 4 퍼센트

Globalization Partners를 통해 팀에 데이터 보안 전문가 채용

데이터 보안에 중점을 둔 국제 팀을 구축할 때 Globalization Partners와 협력하십시오. 당사의 전문가 팀은 귀사에  적용되는  데이터 처리 계약 규정을 이해하는 데 도움을 드릴 수 있습니다.

데이터 보호 책임자 및 기타 법률 전문가를 팀에 배치하는 것은  DPA 규정 준수를 유지하는 데 필수적입니다.Globalization Partners는 글로벌 기록상 고용주(EOR) 로서 성공에 필요한 국제 인재를 채용하고 비용을 지불하도록 지원합니다. 당사는 데이터 프라이버시를 매우 중요하게 생각하며, 귀사가 국제적으로 확장할 때 현지 노동법을 준수하고 기밀 정보를 보호하는 데 도움을 드릴 수 있습니다.

Globalization Partners는 채용 프로세스를 신속하게 처리할 수 있도록 도와드립니다. 당사의  풀스택 Global Employment Platform 사용하면 몇 번의 클릭만으로 새로운 팀원을 채용하고 온보딩하여 시간을 절약하고 국제적인 회사 성장의 도전 과제에 대한 접근 방식을 간소화할 수 있습니다.

지금 제안서를 요청 하거나 당사 플랫폼을 통해 데이터 보안 전문가를 채용  하는 방법에 대해 알아보십시오.

 

이걸 읽는 걸 좋아하세요?
문의하기