일반 데이터 보호 규정(GDPR)

일반 데이터 보호 규정(GDPR)

파트 A: 일반사항

적용 가능성

이 문서는 2018년 5월 25일부터 유효한 GDPR 준수 정책의 현재 운영 버전이며 다음 엔터티로 구성된 TechVersions의 활동에 적용됩니다.

기술 출판 회사인 TechVersions, 8000 Towers Crescent Drive, 13th Floor Vienna, VA 22182

소개

TechVersions의 핵심 활동은 목표 시장에서 효과적인 리드를 생성하여 고객에게 B2B 제품 마케팅을 지원하는 것입니다.

리드 생성은 소셜 미디어 마케팅, 웹 마케팅, 이메일 마케팅 및 텔레마케팅에서 관련 기술을 사용하는 비즈니스 파트너를 포함한 다양한 채널을 통해 기업의 신뢰할 수 있는 구매 의도를 식별하기 위해 관련 데이터를 수집하는 지능적인 시장 조사를 통해 수행됩니다.

이러한 활동 과정에서 TechVersions는 B2B 마케팅 체인에 가치를 추가하는 중개자 역할을 합니다. 캠페인 정보는 고객이 제공하며, 이는 잠재적인 시장 공간에 배포하기 위해 세부적으로 조정되고 캠페인 자료로 변환됩니다.

관련 미디어에 캠페인 자료를 배치하여 최종 대상 고객에게 배포하는 것은 리드를 생성하는 외부 게시자를 통해 이루어집니다. 리드의 일부는 사내 출판 활동과 TechVersions R&D 팀이 개발한 혁신적인 기업 의도 마케팅 도구의 사용을 통해 생성됩니다.

게시자가 생성한 리드는 지능적으로 필터링되어 품질을 향상시키고 고객에게 전달되기 전에 실행 가능한 마케팅 목표로 변환됩니다.

TechVersions는 신뢰할 수 있는 공급업체와 숙련된 인력의 개발을 포함하는 독점 제품, 프로세스 및 정보 생성 시스템을 개발했으며, 이는 TechVersions가 전 세계 B2B 마케팅 생태계에 제공하는 가치 제안을 함께 반영합니다. 이러한 전문 지식을 유지 및 육성하고 이를 상업적 기회 활용에 사용하는 것은 TechVersions의 정당한 이익을 나타냅니다.

TechVersions에서 채택한 이 GDPR 규정 준수 강령은 TechVersions가 전 세계적으로 "민주 사회 시민의 기본 권리로서의 개인 정보 보호"라는 개념을 고수하고 있으며 GDPR에서 요구하는 모든 개인 정보 보호 원칙을 선의로 이행해야 함을 선언합니다. 해당되는.

그러나 TechVersions는 B2B 시장 중개자로서 전 세계에서 합법적인 비즈니스 운영을 수행하는 것이 당사의 적법한 이익이며, TechVersions의 권리와 충돌하지 않고 선의로 비즈니스를 수행하는 것이 TechVersions의 민주적 권리임을 공개합니다. GDPR에 따라 개인정보를 보호하고자 하는 개인 자연인.

TechVersions는 또한 자사의 비즈니스 모델이 GDPR의 범위를 벗어나는 기업체의 데이터와 개인 데이터는 아니지만 부분적으로 개인 식별 정보를 포함할 수 있지만 아동 및 청소년의 개인 데이터를 포함하지 않는 비즈니스 연락처 데이터만 수집해야 함을 공개합니다. GDPR에 따라 "특수 범주"로 분류되는 개인 데이터입니다.

GDPR 노출

TechVersionsGroup은 기본적으로 전 세계적으로 운영되어 마케팅 리드를 생성하고 여러 국가의 고객에게 서비스를 제공하는 "B2B 마케팅 중개자"입니다. TechVersions는 소비자 시장에서 운영되지 않으므로 EU 데이터 주체의 개인 정보를 직간접적으로 수집하지 않습니다. TechVersions가 수집하는 데이터는 일반적으로 이름, 직장 이메일 및 직장 전화번호를 포함하는 회사 직원의 비즈니스 연락처 데이터 범주에 속합니다.

B2B 마케팅 리드의 일부는 EU 국가와 영국에서 생성됩니다. EU/UK에 위치한 일부 고객도 TechVersions 서비스를 이용할 수 있습니다. 현재 고객과의 상호 작용의 대부분은 미국에서 이루어지며 리드 생성 비즈니스 파트너와의 상호 작용의 대부분은 인도에서 이루어집니다.

따라서 TechVersions의 GDPR 노출은 EU/UK 지역에서 운영되는 비즈니스 조직으로부터 비즈니스 연락처 데이터를 수집할 때 인식됩니다.

GDPR 규정 준수에 대한 접근 방식

GDPR 규정 준수 위험에 노출된 데이터 처리에 가능한 한 엄격한 표준을 적용할 수 있도록 TechVersions는 GDPR 민감한 데이터(GSD)를 TechVersions 리소스를 통해 흐르는 "민감한 데이터"로 처리하는 정책을 채택합니다. 해당되는 경우 GSD로 분류하기 위해 적절한 태그가 포함된 수신 데이터입니다.

데이터 주체의 개인 정보 보호 및 GSD 태그 데이터와 관련된 개인 정보 보호와 관련된 정보의 보안이 지원 구조 설계에 고려됩니다.

데이터가 특정 위치에서 처리되고 GSD 처리를 위한 기술 인프라가 이러한 특정 위치에 위치하더라도 기업 수준의 GDPR 인식이 형성되었으며 계속해서 추구되어 본 GDPR 행동 강령의 원칙이 전체에 침투할 것입니다. 자체 기술 및 관리 인프라를 갖춘 다양한 위치에 있을 수 있는 마케팅, 재무 및 관리 기능을 포함하는 GSD 처리 이상의 조직입니다.

전체 데이터 처리 인프라에 대한 보안을 효과적으로 구현하기 위해 회사는 데이터 액세스, 처리 저장, 전송 등에 관한 여러 하위 정책을 포함하는 포괄적인 정보 보안 정책을 채택했습니다.

개인정보 보호 약속

TechVersions는 "개인 정보 보호"가 시민 사회에서 중요한 민주적 권리임을 인식하고 있습니다. 책임 있는 기업체로서 TechVersions는 개인 데이터가 처리를 위해 기업 데이터 저장소에 들어오는 모든 개인의 개인정보를 보호하기 위해 최선을 다하고 있습니다.

EU/UK에 고객이 있고 EU/UK에 거주하는 기업 직원의 활동을 모니터링하는 점을 고려하여 TechVersions는 그룹과 상호 작용할 수 있는 모든 자연인의 개인 정보 보호를 위해 GDPR 준수 표준을 채택하기로 결정했습니다. 그러한 상호 작용이 각 사업 조직의 사업 목표를 추구하는 다양한 사업체의 직원으로서의 역량에 국한되는 경우에도 마찬가지입니다.

정당한 이익

TechVersions의 핵심 활동에는 기업용 다양한 제품 구매와 관련된 데이터 처리가 포함됩니다. 활동 스펙트럼에는 수집, 집계, 분석, 세분화 및 의도 모니터링이 포함됩니다. 이러한 처리 과정에서 TechVersions는 비즈니스 환경에서 수집된 원시 데이터에 가치를 더하고 이를 부가가치가 높은 비즈니스 의사결정 지원 정보로 변환합니다.

수집된 원시 데이터는 데이터 주체에 속하고 GDPR에 따른 데이터 주체의 권리가 적용되는 데이터로 인식됩니다. 프로세스 중에 발생하는 데이터에 추가되는 가치는 TechVersions이 특정 수준의 지적 재산권 주장을 갖고 있는 TechVersions의 독점 데이터 처리 기능에서 발생합니다.

데이터가 가명처리된 경우, 가명처리된 부가가치 데이터는 TechVersions가 추가 연구에 사용할 수 있는 적법한 이해 관계가 있는 데이터로 간주됩니다. 부가가치 상태에 있는 가명화되지 않은 데이터에도 액세스, 정정, 제한, 이식성 및 삭제와 같은 데이터 주체의 권리 행사가 적용됩니다. 가명화된 데이터가 있는 경우 GDPR에 민감한 것으로 분류되지 않습니다.

TechVersions는 사업체 내 의사 결정 담당자의 기업 정보 및 비즈니스 연락처 데이터와 같은 비즈니스 관련 데이터의 수집 및 처리에 있어 EU GDPR 규정의 6(1)(f)조에 따라 인정되는 적법한 비즈니스 이익을 보유합니다.

또한 TechVersions의 비즈니스는 EU 국가 내외의 운영을 포함하므로 데이터 처리와 관련된 여러 국가의 법적 의무는 물론 제6조에 명시된 대로 일반적인 비즈니스 및 특히 IT 관련 활동에 적용되는 기타 법률에 노출됩니다. (1)(c) EU GDPR 규정.

또한 TechVersions는 필요한 경우 명시적인 사전 동의를 얻고 데이터 주체와의 계약 의무 요구 사항을 준수하는 것을 포함하여 제6조에 명시된 EU GDPR의 원칙을 통합하는 합법적인 처리를 위한 비즈니스 관행을 채택했습니다.

따라서 개인 정보 보호 및 데이터 보호에 대한 TechVersions의 정책은 TechVersions 시스템에 대한 출처 및 입력 단계에서 GDPR 민감한 데이터를 식별하고 처리 수명 주기 전반에 걸쳐 태그를 지정하는 문제를 다루는 특정 개인 정보 보호 및 정보 보안 제어로 구성됩니다.

데이터 처리 생태계로 규정 준수 범위 확대

또한 EU GDPR에 따라 개인의 개인 정보 보호에 대한 기본 권리를 보호하려는 입법 의도를 유지하면서 적절한 기술 및 조직/행정적 통제를 유지하여 GDPR을 대신하여 처리하기 위해 GDPR 민감한 데이터에 액세스할 수 있는 모든 다운스트림 비즈니스 관계자를 보장합니다. TechVerses는 GDPR도 준수합니다.

TechVersions는 대부분의 운영 부분에서 GDPR 목적에 따라 "데이터 컨트롤러"가 아니라 "데이터 프로세서"임을 인식합니다. 처리의 일부에 대해 하청업체의 서비스를 사용할 때 "공동 컨트롤러"의 역할을 맡을 수 있습니다.

이러한 역할을 염두에 두고 TechVersions의 정책 및 통제는 비즈니스 파트너의 GDPR 규정 준수 활동에 대한 적절한 정보를 유지하고 TechVersions의 자체 GDPR 규정 준수를 공유하기 위한 적절한 기술 및 조직/관리 통제의 유지 관리를 포함하여 GDPR 규정 준수를 보장하도록 구성되어 있습니다. 필요할 수 있는 조치.

이 문서의 제한 사항

다음 단락에서는 운영 시 GDPR 원칙을 만족스러운 수준으로 준수하는 데 대한 TechVersions의 접근 방식을 강조하는 기업 수준의 GDPR 준수를 위한 TechVersions의 포괄적인 정책을 제공합니다.

이 정책 문서는 TechVersions 외부의 사업체를 포함한 이해관계자와 제한적으로 공유하기 위한 것이므로 조직의 지적 재산을 보호하는 데 필수적인 처리에 대한 독점 정보는 제외됩니다.

여기에 명시된 것 이상의 정보 공개 요청은 TechVersions의 데이터 공개 정책에 따라 처리되며 그러한 요청은 평판이 좋지 않은 인증 이메일을 통해 개인 정보 보호 관리자에게 전달될 수 있습니다.

파트 B: 특정 정책 개요

  1. 할당된 책임

TechVersions는 모든 데이터 주체 요청 및 불만 사항을 처리할 연락 담당자가 될 개인 정보 보호 관리자를 지정했습니다. TechVersions의 GDPR 민감한 데이터에 대한 위험 노출의 현재 수준을 고려할 때 TechVersions의 핵심 활동에는 EU 데이터 주체에 대한 대규모의 체계적인 모니터링이나 EU의 개인에게 서비스 제공이 포함되지 않는 것으로 간주됩니다. GDPR에 따라 "데이터 보호 책임자"를 지정할 필요가 없습니다.

ISGC(정보 보안 거버넌스 위원회)는 GDPR 준수를 포함한 정보 보안 전반을 담당합니다. GDPR 정책을 포함한 모든 정보 보안 정책을 수립하는 책임을 맡은 TechVersions의 최고 정책 결정 기관이 될 것이며 적절한 시기에 개인이나 컨설턴트를 데이터 보호 책임자로 지정해야 할 필요성을 모니터링할 것입니다.

  1. 데이터 분류

TechVersions는 개별 자연인을 대상으로 한 마케팅에 관여하지 않으므로 일반적으로 GDPR의 규제 조항에 따라 개인 식별 데이터를 수집하지 않습니다. 그러나 사업부 또는 직원이 EU/UK에 위치한 것으로 알려진 경우 조직 직원의 이메일 주소 및 전화번호와 같이 잠재적으로 식별 가능한 모든 개인 데이터는 "GDPR 민감"으로 분류됩니다.

따라서 EU/UK의 실제 위치 주소와 관련된 전체 비즈니스 연락처 데이터 세트는 GDPR 민감 데이터(GSD)로 식별되고 조직 내에서 추가 처리 중에 태그가 지정됩니다.

정보주체의 물리적 위치 정보가 없는 경우 관련 사업 조직의 물리적 위치가 관련 있는 것으로 간주됩니다.

  1. 데이터 감사

2018년 5월 25일 이전과 그 이후에는 월간 간격으로 또는 ISGC가 달리 결정한 대로 저장된 데이터 세트를 확인하여 GSD를 찾고 데이터를 보관, 삭제해야 하는지 또는 특별히 다른 방식으로 보관해야 하는지 여부와 같은 이와 관련된 규정 준수 요구 사항을 확인합니다. 확보되었습니다.

적절한 "동의" 또는 "적법한 이익 메모"가 첨부되지 않은 모든 GSD 데이터 세트는 삭제가 권장됩니다.
확인 시 해당 데이터는 법의학적으로 삭제됩니다.

  1. GDPR 영향 평가

2018년 5월 25일 이전에 GDPR 격차 평가가 수행되었으며 필요한 시정 조치가 구현되었습니다. 2018년 5월 25일 이후에는 중요한 새 프로젝트가 착수될 때마다 ISGC가 필요성.

  1. 신규 사업 수락 정책

2018년 5월 25일 이후 데이터 처리와 관련된 완전히 새로운 비즈니스 약속은 처리를 담당하는 기술 팀과 협의하여 DPO가 제출한 특정 GDPR 영향 평가 메모와 함께 ISGC의 승인을 받아야 합니다.

  1. GSD 데이터 저장 정책

GSD는 엄격한 "알아야 할 필요성"에 따라 지정된 사람만 액세스할 수 있는 시스템에 저장됩니다.

모든 GSD 세트에는 해당 세트를 출처로 삼고 동의 또는 계약에 따라 데이터 수집을 담당하는 데이터 컨트롤러 태그가 지정되어야 합니다.

그러한 데이터 세트와 관련된 특정 제한사항도 데이터 세트로 태그 지정되어야 합니다.

데이터 저장소는 데이터 수정 요청, 데이터 이동성, 데이터 삭제 또는 데이터 액세스와 같은 데이터 주체의 권리를 실행하기 위해 개별 데이터 세트를 찾아 처리할 수 있도록 하며 수명 주기 중 언제든지 데이터 액세스를 가능하게 해야 합니다.

  1. GSD 데이터 액세스 정책

GSD는 각 GSD 데이터 세트가 데이터에 액세스할 수 있는 사람과 데이터에 액세스하는 방법을 정의하는 특정 액세스 매개변수를 갖도록 보장하는 액세스 제어 정책에 따라 액세스됩니다. GSD 인력으로 지정된 사람만이 GSD 데이터 세트에 접근할 수 있습니다.

비밀번호와 같은 액세스 매개변수의 사용은 요구되는 복잡성과 고유성 정도에 따라 정의되어야 하며 암호화 및 시스템 ID 태그로 보완되어 GSD 데이터는 승인된 GSD 직원에게 할당된 특정 하드웨어에서만 액세스할 수 있습니다.

데이터 저장소가 클라우드에 있는 경우, 저장 및 전송 시 데이터를 무단 액세스로부터 보호하는 데 필요할 수 있는 추가 제어와 함께 GDPR 준수 클라우드 서비스만 사용해야 합니다.

프로젝트별 GSD는 특정 프로젝트와 관련된 직원만 데이터에 액세스할 수 있는 방식으로 저장되어야 합니다. 프로젝트 간 접근은 필요에 따라 규제됩니다.

  1. GSD 데이터 보존 정책

GSD는 처리에 필요한 최소 기간 동안만 활성 프로세스 환경에 유지되어야 합니다. 그 후 데이터는 예를 들어 프로젝트 청구 주기가 완료될 때까지 적법한 이익에 따라 식별된 요구 사항에 따라 안전하게 보관됩니다.

그 후, 데이터는 회사의 확인된 적법한 이익 요구 사항에 따라 안전한 보관 상태로 계속 유지되거나 파기됩니다.

더 이상 필요하지 않은 데이터를 식별하기 위해 보관된 데이터를 월간 검토하여 ISGC에 폐기 지침을 문의해야 합니다.

중복되는 법률로 인해 발생할 수 있는 데이터 보존에 대한 법적 의무는 적법한 이익 평가에 고려됩니다.

  1. GSD 데이터 공개 정책

GSD 공개 요청은 일반적으로 소스 데이터 컨트롤러로부터만 접수됩니다.

데이터 주체로부터 직접 받은 요청은 피싱 위험에 노출될 수 있으며, 그러한 요청이 있는 경우 해당 데이터 주체 간에 존재할 수 있는 동의 또는 계약에 따라 데이터 주체로부터 데이터를 수집한 해당 데이터 컨트롤러에게 문의해야 합니다.

공개될 데이터는 요청을 한 데이터 컨트롤러 대표자의 신원을 적절하게 인증한 후 데이터 주체에게 계속 전송될 수 있도록 데이터 컨트롤러에게만 전송되어야 합니다.

데이터를 데이터 주체, 권한을 부여받은 대리인 또는 법 집행 기관에 직접 공개해야 하는 예외적인 상황에서는 요청하는 사람의 신원에 대한 적절한 인증이 보장되어야 합니다.

모든 데이터 공개 요청은 데이터 공개 전에 ISGC의 승인을 받아야 하며 요청과 평가 문서는 필수 GDPR 준수 문서로 간주됩니다.

  1. GSD 데이터 사고 관리 정책

본 규정에 따른 "사고"는 데이터 손상이 의심되는지 여부에 관계없이 GSD 준수 규정이나 그에 따른 정책 또는 절차가 위반되었음을 나타낼 가능성이 있는 모든 관찰을 의미합니다.

내부고발자의 정책은 회사 내부 또는 외부의 모든 관찰자가 사건을 즉시 보고하도록 보장하는 데 사용될 수 있습니다.

TechVersions이 인지하게 된 모든 사건은 GSD 사고 관리 등록부에 기록되고 즉각적인 조치를 위해 DPO에 회부됩니다.

DPO는 사건 보고서를 검토하고 사건을 해결하기 위한 즉각적인 조치를 취하며 ISGC에 사건을 보고해야 합니다.

ISGC는 신속하게 회의를 소집하고 사건을 평가하여 의심되는 데이터 침해가 있는지 확인합니다. 필요한 경우 ISGC는 사건의 위험 평가를 위해 즉각적인 기술 법률 감사를 명령할 수 있습니다. 위험 평가에 따라 ISGC는 데이터와 관련된 데이터 컨트롤러에게 데이터 위반 알림을 보내는 것을 포함하여 추가 조치의 필요성을 결정합니다.

조직의 다른 직원이 GSD에 접근한 사고는 보안 사고로 간주되며 반드시 "위반"은 아닙니다. 그러나 그러한 사건은 무단 접근의 원인에 대해 조사되어야 하며, 의도하지 않은 우발적인 접근인 경우 인사 정책에 따라 적절한 내부 징계 조치를 통해 해결될 수 있습니다. 데이터가 외부로 이동되지 않았거나 외부인이 접근하지 않은 경우 해당 사건은 위반에 해당하지 않는 내부 데이터 사고로 분류될 수 있습니다.

외부로 이동된 접근 또는 데이터가 암호화된 형태로 알려져 있고 수신자가 이를 해독할 수 없는 상태인 경우, 관련 복호화 키의 보안에 대한 적절한 내부 조사를 거쳐 접근이 분류될 수 있습니다. 위반에 해당하지 않는 내부 데이터 사고로 간주됩니다.

  1. GSD 데이터 위반 알림 정책

"데이터 위반" 사고는 TechVersions가 필요한 조사를 거친 후 GSD에 따른 특정 데이터 세트에 대한 액세스가 손상되었으며 외부 단체가 GSD 세트에 액세스하거나 전송했다는 사실을 알게 된 사건입니다.

그러한 데이터 침해 사건은 즉시 ISGC에 보고되어야 하며 ISGC는 더 이상 지체 없이 사건의 관련 세부 사항과 함께 데이터 세트와 관련된 데이터 컨트롤러에게 통보해야 합니다.

이러한 보고서에는 위반의 성격과 범위, 위반 시간과 날짜, 영향을 받은 데이터 주체의 세부 정보, 위반 통지에 대해 취해진 조치 등이 명시되어야 합니다. 필요한 경우 데이터 위반은 다음 기관에 보고될 수도 있습니다. 감독 기관.

  1. GSD 데이터 주체의 권리 관리 정책

TechVersions 데이터 처리 시스템은 특히 GDPR에 따라 제공되는 데이터 주체의 권리와 관련하여 GDPR 요구 사항을 준수할 수 있도록 "개인 정보 보호 및 보안 설계"를 통합했습니다.

"액세스", "수정", "삭제", "이동성" 및 "제한"을 부과할 권리와 같은 데이터 주체의 이러한 권리를 충족하기 위해 TechVersions는 다음과 같은 방식으로 GSD 저장 및 액세스 시스템을 활성화했습니다. 특정 데이터 주체에 속하는 데이터 세트는 별도로 추출되어 처리될 수 있습니다.

따라서 이 시스템은 GDPR의 가장 엄격한 요구 사항을 준수하도록 설계되었습니다.

데이터 주체로부터 그러한 권리 행사 요청을 받을 때마다 데이터 공개 정책에 따라 요청이 먼저 검증된 후 데이터 컨트롤러로부터 데이터가 수신된 경우 데이터 컨트롤러에게 확인을 요청합니다. 데이터 공개.

일반적으로 요청은 데이터 컨트롤러와의 통신을 통해 처리되며, 이동되어야 하는 경우 데이터 컨트롤러로 다시 반환됩니다.

TechVersions가 데이터 컨트롤러의 협력 없이 데이터 주체의 요청을 처리해야 하는 예외적인 상황에서는 잘못된 공개를 방지하기 위해 적절한 예방 조치가 취해질 것입니다. 왜냐하면 가능한 잘못된 공개에 대해 면책되는 것이 TechVersions의 적법한 이익이 되기 때문입니다. .

  1. GSD 데이터 전송 정책

GSD 데이터는 일반적으로 애플리케이션 인터페이스(API)를 통해 시스템으로 유입될 수 있습니다. 인터페이스에 대한 액세스는 상당한 GSD 위험이 식별되는 적절한 2단계 인증으로 강화된 보안 비밀번호 액세스 시스템을 통해 이루어집니다.

데이터 전송은 알려진 취약점을 다루는 전송 보안 관리에 따라 암호화 기반으로 이루어집니다.

고유한 저장 및 처리 요소와 API와 함께 애플리케이션 자체는 적절한 맬웨어 및 보안 액세스 관리 시스템을 통해 무단 액세스 및 악의적 공격으로부터 보호됩니다.

GSD 세트가 고객이나 하도급자에게 전송되는 경우 전송은 API 또는 암호화된 이메일을 통해 암호화된 통신 채널을 통해 관리됩니다.

  1. GSD 마케팅 이용 정책

TechVersions가 이메일이나 전화 통화 등을 통해 마케팅 목적으로 GSD를 사용하는 경우 해당 통신을 가능하게 하기 위한 적절한 동의 또는 계약이 있는지 확인하기 위해 주의가 필요합니다.

TechVersions는 또한 리드 생성자, 하청 처리자 및 고객 모두의 파트너가 사용 가능한 권한을 제외하고 GSD를 사용하지 않는다고 주장합니다.

명확한 동의가 불가능한 경우 비즈니스 연락처 데이터는 리드 생성자로부터 수집되거나 고객에게 전달되거나 하청업체를 통해 처리되지 않습니다.

이러한 데이터는 TechVersions 시스템에 들어가고 "적절한 처리 동의가 없는 GSD"로 식별되는 첫 번째 인스턴스에서 삭제됩니다.

  1. GSD 동의 정책

EU/UK에 위치한 데이터 주체 또는 EU/UK에 위치한 해당 고용주로 인해 GSD로 분류된 모든 정보는 데이터 주체가 GDPR에서 요구하는 형식에 따라 명시적인 동의를 제공한 경우에만 허용됩니다.

GDPR 이전 시나리오에서 그러한 동의는 일반적으로 개인정보 보호정책을 포함한 개인 데이터 처리 원칙에 따라 수집되었습니다. 해당 개인정보 보호정책에는 수집되는 정보, 수집 목적, 보관 시간, 보안 방법, 정보의 정확성 여부, 처리를 위해 EU 외부로 전송되는지 여부 등이 명시되어 있습니다. 일부 동의는 기본 설정으로 "Opt-in" 원칙을 기반으로 했습니다.

GDPR에 따라 개인 데이터는 "거부"가 기본 옵션인 명시적 동의에 기초하여 수집되고 동의를 나타내는 적극적인 조치에 기초하여만 동의가 수락되는 것이 중요합니다.

또한, 개인정보 보호정책 고지에는 데이터 주체가 "하위 처리자의 신원에 대해 알릴 권리", "액세스 및 수정에 대한 권리", "이식 및 삭제에 대한 권리"와 같은 특정 권리가 있음을 명시해야 합니다.

새로운 요구 사항을 고려할 때 GDPR 이전 형식으로 얻은 모든 동의는 유효하지 않은 것으로 간주되며 해당 데이터는 TechVersions에서 삭제됩니다.

TechVersions에 대한 리드를 생성하는 외부 게시자는 데이터 주체가 EU/UK에 있는 경우 새로운 동의 형식으로 생성된 리드만 제공한다는 계약을 통해 확인해야 합니다.

  1. GSD 이해관계자 커뮤니케이션 정책

TechVersions는 TechVersions GDPR 규정 준수 프로그램의 이해관계자인 많은 외부 조직을 통해 운영됩니다. 이러한 조직에는 고객, 리드 생성자, 하청업체 등이 포함됩니다.

효과적인 규정 준수를 위해 보안 전송을 통한 경우와 승인된 담당자에게만 전달하는 경우를 제외하고 이해관계자와의 의사소통 시 GSD 데이터를 교환해서는 안 됩니다.

API를 통한 통신은 액세스 정책에 의해 제어되지만 이메일을 통한 다른 모든 통신은 이메일 통신 정책으로 제어되어야 합니다.

기본적으로 이메일 통신 정책은 GSD 또는 GDPR 준수 정보를 이해관계자와 공유하는 것이 대부분의 경우 다른 조직의 DPO가 될 통지된 연락처 이메일 주소를 통해서만 이루어져야 하며 필요한 경우 이메일 통신이 암호화되고 인증될 수 있음을 정의해야 합니다. 디지털 서명으로.

  1. GSD 적법한 이익 식별 정책

TechVersions는 데이터 삭제 또는 데이터 정정과 같은 데이터 주체의 특정 권리가 TechVersions의 적법한 이익 요구 사항과 충돌할 수 있거나 다른 법적 의무의 관점에서 데이터에 적용될 수 있는 데이터 보존법과 충돌할 수 있음을 인식합니다. .

데이터 주체의 권리가 구현되는 모든 경우에 TechVersions는 추가 조치를 취하기 전에 요청을 평가합니다. TechVersions가 요청을 거부하거나 승인을 위해 수정해야 할 필요성을 인식하는 경우, 그 이유가 문서화되고 ISGC는 GSD 적법한 이해 관계 메모를 작성합니다.

데이터가 활성화될 필요가 없는 경우, 적법한 이익이 만료될 때까지 안전하게 보관될 수 있습니다.

데이터 주체의 요청을 처리하기 위한 정당한 이익 주장을 행사하는 이유는 데이터 주체에 대한 향후 전송을 위해 데이터 주체를 담당하는 데이터 컨트롤러에게 전달되어야 합니다.

  1. GSD 인력 관리 정책

GSD는 TechVersions에 보관되는 동안 정보 보안 측면에서 독점적이고 특별한 주의가 필요한 데이터 세트로 간주됩니다.

따라서 GSD는 특별히 교육을 받은 직원들이 알아야 할 필요에 따라 적절하게 태그를 지정하고 처리합니다.

이러한 직원과 GSD가 저장, 액세스 및 처리되는 시스템은 GSD와 관련된 위험 수준을 고려하여 안전하게 관리됩니다.

이 GSD 처리에 사람을 할당하고 제거하는 것은 더 높은 수준의 배경 확인, 교육, 물리적 액세스 ID, 제재 정책 등을 포함한 적절한 보안 조치를 통해 관리되어야 합니다.

HR 정책은 필요에 따라 GSD 인력에 맞게 적절하게 업그레이드되어야 합니다.

  1. GSD 가명처리 정책

가명처리는 GSD 처리에 따른 위험을 줄이기 위한 전략으로 인식됩니다.

가명처리된 개인 데이터는 가명처리 프로세스가 적절하게 구성된 경우 GDPR 규정의 목적에 따라 "개인 데이터"로 간주되지 않습니다.

현재 GDPR 위험에 대한 운영 노출 수준을 고려하여, TechVersions에서는 현재 위험 완화 전략으로 가명처리를 사용할 필요가 없다고 생각합니다.

  1. GSD DRP-BCP 정책

TechVersions는 GSD 처리와 관련된 작업을 포함하여 운영에 대한 효과적인 재해 복구 및 비즈니스 연속성 계획의 중요성을 인식하고 있습니다.

TechVersions은 GSD 데이터의 적절한 백업과 우발 상황 발생 시 비즈니스 연속성을 유지할 수 있는 합리적인 능력을 유지합니다.

  1. GSD 규정 준수 문서 정책

GDPR 준수 조치는 검토가 가능하도록 문서화되어야 합니다. 규정 준수 문서는 작성 후 최소 6년 동안 보관되어야 합니다.

문서가 법 집행 요구 사항 또는 TechVersions의 정당한 이익을 방어하기 위한 잠재적인 증거인 경우 해당 문서는 요구 사항이 지속되는 한 보관됩니다.

  1. GSD 감사 정책

TechVersions의 내부 보안 감사 팀은 보안 수준과 GDPR 및 기타 규제 요구 사항 준수 여부를 평가하기 위해 적어도 1년에 한 번 TechVersions의 정보 자산을 감사해야 합니다.

비즈니스 프로필에 상당한 변화가 발생할 때마다 ISGC의 평가를 기반으로 외부 감사가 고려될 수 있습니다.

TechVersions은 계약 의무에 따른 규정 준수를 보장하기 위해 하청업체의 시설에 대한 감사를 수행할 권리를 보유합니다.

그러나 TechVersions에서는 하청업체의 시설을 감사할 수 있는 권한이 부여된 것이며 예외적인 상황에서만 사용해야 한다는 점을 인식합니다. 이는 제공된 계약 보증에 따라 최종적으로 규정 준수 요구 사항을 충족해야 하는 하청업체의 책임을 감소시키지 않습니다.

  1. GSD 고충처리 정책

TechVersions은 데이터 주체와 관련된 분쟁을 해결하기 위해 다단계 불만 해결 정책을 제공합니다. 이러한 불만 사항은 첫 번째 수준에서는 DPO, 두 번째 수준에서는 ISGC, 세 번째 수준에서는 이사회가 해당 목적을 위해 설립한 온라인 분쟁 해결 위원회에서 처리합니다.

GDPR 감독 기관의 모든 문의는 DPO가 처리하고 필요한 경우 ISGC로 에스컬레이션해야 합니다.

고객, 게시자 또는 하도급업체와의 모든 분쟁은 해당 계약 계약에 따라 처리됩니다.

  1. 네트워크 보안 정책

회사에서 사용하는 IT 인프라의 보안을 보장하기 위해 TechVersions은 필요에 따라 방화벽, 침입 탐지 시스템, 맬웨어 방지 시스템, 시스템 패치 등을 포함하는 강력한 정보 보안 정책을 채택해야 합니다.

지정된 정보 보안 관리자는 네트워크 보안 유지를 담당합니다.

추신: 본 강령은 수시로 개정될 수 있습니다.