소비자 데이터를 안전하게 보호하기 위해 유럽연합(EU)은 일반데이터보호규정(GDPR)(일반데이터보호규정(GDPR))으로 알려진 엄격한 개인정보 보호 및 보안법을 시행했습니다. 일반데이터보호규정(GDPR)은 EU 시민의 개인정보에 관한 권리를 정의하고 집행합니다. 데이터 사용의 책임성, 보안 및 투명성에 대한 표준을 구현합니다.

유럽연합 내에서 활동하거나 EU의 개인정보를 다루는 글로벌 기업들은 일반데이터보호규정(GDPR)이 자신들에게 어떤 영향을 미치는지, 그리고 GDPR 준수를 어떻게 유지할지 이해해야 합니다.

그 준수의 한 측면은 데이터 처리 계약(DPA)의 이행입니다. 일반데이터보호규정(GDPR) 데이터 처리 계약서는 데이터 처리 활동과 관련된 세부 사항, 규칙, 권리 및 의무를 명시합니다. 이는 기업의 준수를 보장하고, 데이터를 보호하며, 소비자를 보호하고 만족시키는 데 도움을 줍니다.

이 가이드는 DPA가 어떻게 작동하는지, DPA에 포함해야 할 내용을 자세히 설명합니다.

일반데이터보호규정(GDPR)에 따른 DPA란 무엇인가요?

데이터 처리 계약은 데이터 관리자와 그들의 데이터를 처리할 데이터 처리자 간에 체결된 계약입니다. 이는 완전한 일반데이터보호규정(GDPR) 준수를 위해 필요합니다.

DPA는 진행될 처리 활동의 성격, 목적, 기간을 명시합니다. 또한 처리할 개인 데이터 유형과 데이터가 속한 개인의 범주를 명시합니다. 이 조종자는 통제자가 가질 권리와 의무를 정의합니다. 특정 수준의 암호화와 같은 기술적 보안 조치의 사용을 명시할 수 있습니다.

DPA는 법적 구속력이 있으며, 데이터 컨트롤러와 처리자는 이를 준수하지 않으면 리스크 심각한 벌금(벌금)을 받게 됩니다.

DPA의 주요 장점은 데이터 처리자의 자격과 신뢰성을 보장한다는 점입니다. 기업들은 자신들의 데이터가 안전한 손에 맡겨져 있고, 사생활과 호기심 어린 시선으로부터 안전하다는 것을 알아야 합니다. DPA는 이러한 보장을 제공하는 데 도움을 줍니다.

일반데이터보호규정(GDPR)과 그 DPA 요구사항은 향후 사업 운영 시스템에 상당한 영향을 미칠 가능성이 큽니다. 개인 데이터 수집이 제한되고, 데이터 수집 및 저장에 관한 소통이 필수적이며, 제3자 벤더 관계가 더 엄격한 계약을 요구함에 따라 비즈니스 거래가 변할 수 있습니다. 개별 기업과 인사 부서는 일반데이터보호규정(GDPR) 요구사항을 준수하기 위해 프로세스를 조정하면서 광범위한 영향을 경험할 것입니다.

일반개인정보보호규정(GDPR) 요건의 장점은 사람들이 데이터의 프라이버시 및 보호에 대한 확신을 갖게 되면서 비즈니스에 대한 신뢰가 더욱 높아질 수 있다는 점입니다.

언제 데이터 처리 계약이 필요한가요?

데이터 처리 동의가 필요하신가요? EU 내에서 또는 EU에서 개인 데이터를 취급하는 경우 가능합니다.

일반데이터보호규정(GDPR)에 따르면, 개인이나 조직이 협력 서비스를 위해 제3자 서비스 제공자에게 개인정보를 제공할 때 DPA 문서는 필수입니다. 데이터 처리자 역할을 하는 모든 당사자는 데이터 컨트롤러와 DPA를 체결해야 합니다.

예를 들어, EU에서는 웹사이트를 호스팅하는 서비스가 해당 웹사이트의 기업과 DPA를 체결해야 합니다. 타겟 소비자 마케팅을 위해 개인정보를 처리하는 기업도 DPA에 서명해야 합니다.

아래는 DPA가 필요한 다른 일반적인 비즈니스 서비스와 시나리오입니다:

  • 이메일 관리 아웃소싱
  • 재무 및 급여 회계를 위한 기술 데이터 처리 솔루션
  • 물리적 서버 또는 클라우드를 통한 데이터 백업 서비스
  • 외부 서비스 제공업체를 통한 데이터 수집 또는 디지털화
  • 민감한 데이터가 포함된 오래된 하드웨어 폐기

경우에 따라 일반데이터보호규정(GDPR)이 유럽 외 기업에 대해 DPA를 요구할 수 있습니다. 이 요건은 EU 데이터가 관련될 때마다 적용됩니다. 예를 들어, 캐나다에 위치한 기업이 EU 시민 관련 데이터를 다루면 DPA 요건의 대상이 될 수 있습니다.

DPA가 필요하지 않은 경우는 언제인가요?

파트너십, 포털 서비스, 수집 대행사, 여러 회사의 공동 데이터 관리 등 DPA가 필요하지 않은 경우.

몇몇 특정 상황은 DPA가 필요하지 않습니다. DPA 보호가 불필요해진 내장 보호 기능이 있습니다. 이러한 상황에서 기업의 의무를 더 잘 이해하기 위해 다음 사항을 고려해 보세요:

  1. 기밀 유지 요건이 있는 전문 단체와의 파트너십: 많은 직업에서 서비스 제공자는 DPA가 요구하는 모든 보안 조치와 개인정보 보호 요건을 포함하는 업계별 맞춤형 비밀유지 계약을 체결하는 것이 모범 사례입니다. 일반적으로 이러한 비밀유지 계약을 사용하는 몇몇 직업으로는 법률, 세무 컨설팅, 재무 감사 등이 있습니다. 많은 의료 서비스도 자체적으로 엄격한 기밀 유지 보장을 제공합니다.
  2. 포털 서비스: 단순히 사람이나 단체를 연결하는 서비스들은 일반적으로 DPA 요건에서 면제됩니다. 이러한 전문 중매 서비스는 매우 일시적이어서 DPA는 큰 도움이 되지 않습니다. 예를 들어 리크루터가 이 범주에 속합니다. 그들은 단지 일자리를 찾는 사람들과 재능 있는 신입 팀원을 찾는 회사를 연결해 줄 뿐입니다. 이 경우 리크루터와의 DPA는 불필요합니다.
  3. 채권 추심 업체와의 협력: 채권 추심 기관은 개인 금융 정보와 의료 정보를 접근할 수 있습니다. 추심 기관은 원래 채권자와 별개이며 채권자를 위한 채권 회수이기 때문에 DPA 요건에서 면제됩니다. 만약 추심 기관이 원래 채권자를 대신해 일한다면, 추심 기관은 DPA에 서명해야 합니다.
  4. 여러 회사의 공동 데이터 관리: 어떤 경우에는 기업들이 집단으로 협력하여 데이터 수집을 관리하기도 합니다. 이러한 상황은 기업들이 공급업체, 제품 또는 영업 리드로부터 데이터를 공동으로 접근할 때 자주 발생합니다. 비록 두 회사가 경쟁자일 수 있지만, 동일한 데이터를 동일한 일반적인 목적에 사용합니다. 이러한 데이터 사용량의 규모 때문에 일반적으로 DPA는 의무가 아닙니다.
  5. 임상 시험: 대규모 임상 제약 시험은 수많은 참여자가 수반되기 때문에 일반적으로 DPA를 사용하지 않습니다. 의사, 연구 센터, 의뢰자 모두 피험자 데이터에 액세스할 수 있으며, 각자의 필요에 따라 데이터를 다르게 처리합니다. 수집된 데이터는 일반적으로 임상시험 전반에 걸쳐 다양한 목적으로 사용됩니다. 이러한 상황에서는 일반적으로 DPA가 적용되지 않습니다.

데이터 관리자는 누구인가요?

모든 DPA 계약은 데이터 컨트롤러와 데이터 프로세서 간에 이루어집니다. 데이터 관리자는 개인 데이터를 어떻게 처리해야 하는지, 왜 처리할지 결정하는 조직 또는 개인입니다. 만약 기업이 서버에서 백업을 위해 제3자에게 데이터를 보내기로 결정한다면, 기업이 데이터 관리자입니다.

데이터 컨트롤러의 핵심 특징은 의사결정 능력입니다. 데이터 관리자는 데이터 수집 목적과 개인정보 처리 방식에 대해 전반적인 결정을 내립니다.

대부분의 경우, 기업이나 조직이 데이터 통제자 역할을 합니다. 데이터 처리자는 회사와 계약을 맺은 별도의 법인입니다. 개인사업자나 자영업자와 같은 개인도 개인정보 수집 및 처리에 관한 결정을 내릴 경우 데이터 관리자가 될 수 있습니다.

데이터 처리자는 누구인가요?

데이터 프로세서는 데이터 컨트롤러를 위해 데이터를 처리하는 제3자입니다. 위 시나리오에서, 기업이 데이터를 백업을 위해 보내기로 결정하면, 백업 서비스를 제공하는 기업이 데이터 처리자입니다.

데이터 프로세서는 다양한 형태를 취할 수 있습니다. 기업, 개인, 또는 공공기관일 수 있습니다. 관련 기준은 해당 개인이나 단체가 데이터 관리자를 대신해 데이터를 처리하는지 여부입니다.

DPA 문서에는 무엇이 포함되어 있나요?

일반데이터보호규정(GDPR) 28조부터36 조까지는 일반데이터보호규정(GDPR)의 DPA 규칙에 따라 데이터 처리자에게 의무화되는 계약 의무를 명시하고 있습니다. 아래는 필수 DPA 조항 일부입니다:

1. 데이터 처리 세부 사항에 대한 철저한 분석입니다

DPA는 데이터 처리의 모든 측면이 어떻게 진행될지에 대해 포괄적인 세부 사항을 제공해야 합니다. DPA에는 다음과 같은 주제에 대한 명확한 정보가 포함되어야 합니다:

  • 처리해야 할 개인 데이터 유형
  • 데이터의 주제
  • 데이터 주체의 분류
  • 처리의 목적 및 성격
  • 예상 데이터 처리 시간
  • 개인정보 처리의 법적 근거
  • 처리 종료 시 개인 데이터의 반환 또는 삭제

2. 데이터 컨트롤러 및 처리자의 권리 및 책임

DPA는 누가 데이터 처리를 통제하는지에 대한 명확성을 보장합니다.

양 당사자의 권리와 책임을 명시할 때 DPA는 데이터 취급을 누가 통제하는지 명확하게 규정합니다.

DPA는 데이터 처리자가 데이터 컨트롤러의 희망과 사양에 따라 처리를 수행해야 함을 명시적으로 명시해야 합니다. 프로세서가 아닌 컨트롤러가 데이터와 데이터에 대한 완전한 제어권을 보유하도록 명시해야 합니다.

DPA는 데이터 처리자에게 데이터 관리자의 직접 지시에만 따라 처리하도록 지시해야 하며, EU 법률이나 회원국 법률이 요구하는 경우에만 그 지시에서 벗어나도록 해야 합니다.

3. 데이터 처리자에게 요구되는 기밀성 조치

DPA는 개인정보의 기밀성을 보장하기 위해 데이터 처리자가 따라야 할 프로토콜을 명시해야 합니다.

예를 들어, 데이터 처리자는 정규직, 임시 직원, 하청업체가 개인정보 처리를 시작하기 전에 비밀유지 계약서에 서명하도록 요구해야 합니다. 비밀유지 계약이 불필요한 유일한 경우는 이미 법적 의무가 처리자가 비밀 유지를 보장하도록 요구할 때입니다.

4. 정보 보안을 위한 필수 기술 및 조직 프로토콜

DPA는 적절한 경우 이러한 조치를 포함하여 데이터 처리자가 구현해야 하는 보안 조치의 개요를 설명해야 합니다:

  • 데이터 암호화
  • 데이터 주체 가명화
  • 모든 데이터 처리 시스템의 기밀성, 가용성, 복원력 및 보안을 보장하기 위한 프로토콜
  • 공격 또는 침해 후 개인 데이터에 대한 액세스 권한을 복원하는 프로세스
  • 모든 보안 조치의 효과를 테스트하고 평가하는 정기적인 프로그램

많은 프로세서가 공식 인증을 받거나 구현된 프로토콜을 증명하는 공식 행동 강령을 작성하고자 할 수 있습니다. 이러한 조치를 통해 데이터 처리가 일반개인정보보호규정(GDPR)을 완전히 준수하고 있음을 보장할 수 있습니다.

5. 하도급업체 계약 조건

또한 DPA는 데이터 처리자가 하청업체에 부과해야 하는 요구 사항의 개요를 설명해야 합니다. 예를 들어, 프로세서는 이러한 규칙과 모범 사례를 반드시 준수해야 합니다:

  • 데이터 컨트롤러의 명시적 동의와 승인이 있는 경우에만 하청업체를 고용합니다.
  • 데이터 처리자가 준수해야 하는 것과 동일한 데이터 보안 요구 사항을 하청업체에 부과하는 계약서 작성 및 서명
  • 하청업체의 데이터 보호 요구 사항 준수 보장
  • 하도급업체와 관련된 변경 사항을 데이터 컨트롤러에 알리고, 컨트롤러가 대응할 시간을 주는 것

6. 데이터 처리자에 대한 협력 의무

데이터 처리자는 처리 중에 데이터 컨트롤러가 준수 감사를 수행할 수 있도록 허용해야 합니다.

DPA는 데이터 프로세서가 언제 어떻게 데이터 컨트롤러와 협력해야 하는지 명시해야 합니다. 예를 들어, 데이터 처리 기관은 데이터 접근 요청을 해결하는 데 협력해야 합니다. 처리 기관은 특히 다음 요건을 충족하여 데이터 주체의 프라이버시와 권리를 보호하는 데 협력해야 합니다:

  • 개인 데이터 보안 보장
  • 개인 데이터 침해에 대한 당국 및 데이터 주체의 즉각적인 통지
  • 필요에 따라 데이터 보호 영향 평가(DPIA) 수행
  • 심각한 데이터 위험이 발생할 경우 관련 당국에 문의합니다

데이터 처리자는 처리 중에 데이터 컨트롤러가 준수 감사를 수행할 수 있도록 허용해야 합니다. 감사 시 처리자는 일반데이터보호규정(GDPR) 제 28 6조에 따른 준수 의무를 충족했음을 보여주기 위해 컨트롤러에게 모든 관련 정보를 신속히 제공해야 합니다.

또한 처리자가 일반 데이터보호규정(GDPR) 준수를 입증하기 위해 처리 활동 기록을 보관하는 것이 모범 사례입니다.

DPA에 따른 데이터 유출 후에는 어떻게 되나요?

데이터 유출이 발생하면 관련 기업들은 구체적이고 즉각적인 조치를 취해야 합니다. 귀하의 기업은 침해가 심각한 위험을 초래할 경우 72시간 이내에 관련 감독 당국에 통보해야 합니다.

만약 침해가 피해자에게 매우 높은 리스크를 초래한다면, 귀사의 기업은 보통 그 개인들에게도 통지해야 합니다. 하지만 기업이 이미 효과적인 기술적·조직적 리스크 완화 프로토콜을 갖추고 있다면, 통지가 필요하지 않을 수 있습니다.

예를 들어, 신용카드 기업이 데이터를 저장한 서버에 대한 공격으로 인해 데이터 유출을 당했다고 상상해 보세요. 고객의 개인 금융 정보가 유출되었습니다. 그들의 이름, 집 주소, 추가 연락처, 재정 정보, 그리고 신용카드로 지불한 결제 방식 등이 모두 공개되었습니다.

서버를 호스팅하는 기업은 72 시간 이내에 침해 사실을 당국에 통보해야 했다. 또한 신용카드 기업에도 통지해야 합니다.

기업은 개인 식별 정보가 공개되면 소비자가 리스크에 처할 수 있으므로 소비자에게 이를 알려야 할 가능성이 큽니다. 이 유출은 또한 신용카드로 의료비를 지불한 소비자의 민감하고 보호된 건강 정보가 공개될 수도 있습니다.

일반데이터보호규정(GDPR) 미준수에 대한 벌금(벌금)은 무엇인가요? 

데이터 유출이 발생하면 규정을 준수하지 않는 것으로 확인된 기업은 징계 조치를 받게 됩니다. 위반이 의심되는 경우 경고만 받게 됩니다. 확인된 규정 위반 사고는 다음 중 하나 이상의 벌금(과태료)의 대상이 될 수 있습니다:

  1. 공식 질책
  2. 데이터 처리에 대한 일시적 또는 영구 금지
  3. 최대 20 백만 또는 4 기업 연간 총 글로벌 매출의 퍼센트에 해당하는 벌금 부과

G-P와 함께 데이터 보안 전문가를 팀에 채용하세요

데이터 보안에 집중하는 국제 팀을 구성할 때는 G-P와 협력하세요. 저희 전문가 팀이 귀사의 기업에 적용되는 데이터 처리 계약 규정을 이해할 수 있도록 도와드립니다.

데이터 보호 담당자와 기타 법률 전문가가 팀에 있는 것은 DPA 준수를 유지하는 데 필수적입니다. 글로벌 기록상 고용주(EOR)로서), G-P 채용 및 성공에 필요한 국제 인재 비용을 지불하는 데 도움을 줍니다. 저희는 데이터 프라이버시를 매우 중요하게 여기며, 귀하가 기업을 국제적으로 확장하는 과정에서 현지 노동법 준수와 기밀 정보를 안전하게 보호할 수 있도록 도와드릴 수 있습니다.

G-P에서는 채용 프로세스를 신속하게 진행할 수 있도록 도와드립니다. 풀스택 글로벌 고용 플랫폼을 사용하면 클릭 몇 번으로 새로운 팀원을 채용하고 온보딩할 수 있어 시간을 절약하고 글로벌 기업 성장의 과제에 대한 접근 방식을 간소화할 수 있습니다.

지금 바로 제안서를 요청하거나 Atlassian 플랫폼을 통해 데이터 보안 전문가를 채용하는 방법에 대해 자세히 알아보려면 문의하세요.