파트 A: 일반 사항

적용 가능성

본 문서는 2018년 5월 25일부터 효력이 발생하는 GDPR 준수 정책의 현행 운영 버전이며, 다음 법인으로 구성된 TechVersions의 모든 활동에 적용됩니다.

TechVersions는 기술 전문 출판사이며, 주소는 8000 Towers Crescent Drive, 13th Floor, Vienna, VA 22182입니다

소개

TechVersions의 핵심 사업은 목표 시장에서 효과적인 잠재 고객을 발굴하여 고객이 B2B 제품을 마케팅하는 데 필요한 지원을 제공하는 것입니다.

잠재 고객 발굴은 지능형 시장 조사를 통해 관련 데이터를 수집하여 기업의 구매 의도를 파악하고, 소셜 미디어 마케팅, 웹 마케팅, 이메일 마케팅, 텔레마케팅 등 관련 기술을 활용하는 비즈니스 파트너를 포함한 다양한 채널을 통해 이루어집니다.

이러한 활동 과정에서 TechVersions는 B2B 마케팅 체인에 가치를 더하는 중개자 역할을 합니다. 고객이 제공한 캠페인 정보를 다듬고 잠재 시장에 배포할 캠페인 자료로 변환합니다.

캠페인 자료를 관련 매체에 게재하여 최종 목표 고객에게 배포하는 과정은 외부 퍼블리셔를 통해 이루어지며, 이들은 잠재 고객을 발굴합니다. 잠재 고객 중 일부는 자체 퍼블리싱 활동과 TechVersions의 R&D 팀이 개발한 혁신적인 기업 의도 마케팅 도구를 활용하여 생성됩니다.

게시자가 생성한 리드는 품질을 향상시키기 위해 지능적으로 필터링되고 실행 가능한 마케팅 목표로 변환된 후 고객에게 전달됩니다.

TechVersions는 독자적인 제품, 프로세스 및 정보 생성 시스템을 개발해 왔으며, 여기에는 신뢰할 수 있는 협력업체와 숙련된 인력 양성도 포함됩니다. 이러한 모든 요소는 TechVersions가 전 세계 B2B 마케팅 생태계에 제공하는 가치 제안을 반영합니다. 이러한 전문성을 유지하고 육성하여 상업적 기회를 창출하는 것은 TechVersions의 중요한 이익입니다.

TechVersions가 채택한 본 GDPR 준수 규정은 TechVersions가 전 세계적으로 "민주 사회 시민의 기본권으로서의 개인정보 보호"라는 개념에 전념하며, GDPR이 적용되는 모든 영역에서 GDPR에 명시된 모든 개인정보 보호 원칙을 성실하게 이행할 것임을 선언합니다.

TechVersions는 자사가 B2B 시장 중개자로서 전 세계적으로 합법적인 사업 운영을 하는 것이 정당한 이익이며, GDPR에 따라 보호받고자 하는 개인의 권리와 충돌하지 않고 선의로 사업을 영위하는 것이 TechVersions의 민주적 권리라고 밝히고 있습니다.

TechVersions는 또한 자사의 비즈니스 모델은 GDPR의 적용 범위에서 제외되는 사업체 데이터와 개인 데이터는 아니지만 일부 개인 식별 정보를 포함할 수 있는 비즈니스 연락처 데이터만 수집하는 것을 요구한다고 밝혔습니다. 단, 아동의 개인 데이터 및 GDPR에 따라 "특별 범주"로 분류되는 개인 데이터는 포함하지 않습니다.

GDPR 노출

TechVersionsGroup은 기본적으로 전 세계적으로 마케팅 리드를 창출하고 여러 국가의 고객에게 서비스를 제공하는 "B2B 마케팅 중개업체"입니다. TechVersions는 소비자 시장에서 사업을 운영하지 않으므로 EU 데이터 주체의 개인 정보를 직간접적으로 수집하지 않습니다. TechVersions가 수집하는 데이터는 일반적으로 회사 직원의 업무 연락처 데이터 범주에 속하며, 여기에는 이름, 회사 이메일 주소 및 회사 전화번호 등이 포함됩니다.

B2B 마케팅 리드의 일부는 EU 국가와 영국에서 생성됩니다. EU/영국에 위치한 일부 고객은 TechVersions의 서비스를 이용할 수도 있습니다. 현재 고객과의 상호 작용은 대부분 미국에서 이루어지고 있으며, 리드 생성 비즈니스 파트너와의 상호 작용은 대부분 인도에서 이루어지고 있습니다.

따라서 TechVersions는 EU/영국 지역에서 사업을 운영하는 기업으로부터 비즈니스 연락처 데이터를 수집할 때 GDPR(일반 데이터 보호법)의 적용을 받는다는 점을 인지하고 있습니다.

GDPR 준수 접근법

GDPR 준수 위험에 노출된 데이터 처리에 가능한 한 엄격한 기준을 적용하기 위해 TechVersions는 GDPR 민감 데이터(GSD)를 TechVersions 리소스를 통해 전송되는 모든 데이터에 적절한 태그를 지정하여 GSD로 분류하는 정책을 채택하고 있습니다.

데이터 주체의 개인정보 보호 및 GSD 태그 데이터와 관련된 정보 보안은 지원 구조 설계에 반영되어 있습니다.

데이터 처리는 특정 위치에서 이루어지고 GSD 처리를 위한 기술 인프라도 지정된 위치에 있지만, 기업 차원의 GDPR 인식 제고를 위해 지속적으로 노력할 것입니다. 이를 통해 본 GDPR 행동 강령의 원칙이 GSD 처리뿐 아니라 마케팅, 재무, 경영 기능 등 조직 전체에 스며들도록 할 것입니다. 이러한 기능들은 각각 다른 위치에 있으며 자체적인 기술 및 관리 인프라를 갖추고 있을 수 있습니다.

회사 전체 데이터 처리 인프라의 보안을 효과적으로 구현하기 위해 데이터 접근, 처리, 저장, 전송 등에 관한 여러 세부 정책을 포함하는 포괄적인 정보 보안 정책을 채택했습니다.

개인정보 보호 약속

TechVersions는 "개인정보 보호"가 시민 사회에서 중요한 민주적 권리임을 인식하고 있습니다. 책임감 있는 기업으로서 TechVersions는 기업 데이터 저장소에 처리 목적으로 저장되는 모든 개인의 개인정보 보호에 최선을 다하고 있습니다.

TechVersions는 EU/UK에 고객이 존재하고 EU/UK에 거주하는 임직원의 활동을 모니터링하는 점을 고려하여, 당사와 상호 작용하는 모든 개인의 개인정보 보호를 위해 GDPR(일반 데이터 보호 규정) 준수 기준을 채택하기로 결정했습니다. 이는 해당 개인이 각 사업체의 직원으로서 사업 목표를 추구하는 경우에도 마찬가지입니다.

정당한 이익

TechVersions의 핵심 사업은 기업용 제품 구매와 관련된 데이터를 처리하는 것입니다. 사업 범위는 데이터 수집, 집계, 분석, 세분화 및 구매 의도 모니터링을 포함합니다. 이러한 데이터 처리 과정을 통해 TechVersions는 기업 환경에서 수집된 원시 데이터에 가치를 더하고, 기업의 의사 결정에 도움이 되는 부가가치 정보로 변환합니다.

수집된 원시 데이터는 데이터 주체의 데이터로 간주되며, GDPR에 따른 데이터 주체의 권리가 적용됩니다. 처리 과정에서 데이터에 추가되는 가치는 TechVersions가 보유한 특정 수준의 지적 재산권을 바탕으로 하는 TechVersions 고유의 데이터 처리 기술에서 비롯됩니다.

만약 데이터가 가명 처리되었다면, 부가가치가 부여된 가명 처리 데이터는 TechVersions가 추가 연구를 위해 사용할 정당한 이익이 있는 데이터로 간주됩니다. 가명 처리되지 않은 데이터는 부가가치가 부여된 경우에도 정보 주체의 권리(접근, 정정, 제한, 이동 및 삭제) 행사 대상이 됩니다. 가명 처리된 데이터는 GDPR의 민감 데이터로 분류되지 않습니다.

TechVersions는 EU GDPR 규정 제6조(1)(f)항에 따라 기업 정보 및 기업 의사결정권자의 연락처 데이터와 같은 사업 관련 데이터를 수집 및 처리하는 데 있어 정당한 사업적 이익을 보유하고 있습니다

또한 TechVersions의 사업은 EU 국가 내외에서 운영을 포함하므로 EU GDPR 규정 제6조(1)(c)에 따라 예상되는 바와 같이 데이터 처리와 관련된 여러 국가의 법적 의무 및 일반 사업과 특히 IT 관련 활동에 적용되는 기타 법률의 적용을 받습니다.

또한 TechVersions는 EU GDPR 제6조에 명시된 원칙을 통합한 적법한 데이터 처리 관련 사업 관행을 채택했으며, 여기에는 필요한 경우 명시적인 동의를 얻고 데이터 주체와의 계약상 의무를 준수하는 것이 포함됩니다.

따라서 TechVersions의 개인정보 보호 및 데이터 보호 정책은 GDPR에 따른 민감한 데이터를 데이터 생성 및 TechVersions 시스템 입력 단계에서 식별하고 처리 주기 전반에 걸쳐 태그를 지정하는 문제를 해결하는 구체적인 개인정보 보호 및 정보 보안 통제를 포함하고 있습니다.

데이터 처리 생태계로의 규정 준수 범위 확대

또한, EU GDPR에 명시된 개인의 기본권인 사생활 보호라는 입법 취지를 준수하기 위해, TechVersions를 대신하여 GDPR 관련 민감 데이터에 접근하여 처리할 수 있는 모든 하위 비즈니스 파트너 또한 GDPR을 준수하도록 적절한 기술적 및 조직적/관리적 통제를 유지하고 있습니다.

TechVersions는 대부분의 운영 과정에서 GDPR 목적상 "데이터 관리자"가 아닌 "데이터 처리자"임을 인지하고 있습니다. 다만, 처리 과정의 일부를 하청업체에 위탁하는 경우에는 "공동 관리자"의 역할을 수행할 수 있습니다.

이러한 역할을 염두에 두고 TechVersions는 GDPR 준수를 보장하기 위한 정책 및 통제 체계를 구축했습니다. 여기에는 비즈니스 파트너의 GDPR 준수 활동에 대한 정보를 적절히 파악하고 필요에 따라 TechVersions 자체의 GDPR 준수 조치를 파트너와 공유하기 위한 적절한 기술적 및 조직적/관리적 통제가 포함됩니다.

이 문서의 한계점

다음 단락에서는 기업 차원의 GDPR 준수를 위한 TechVersions의 포괄적인 정책을 설명하고, TechVersions가 운영 과정에서 GDPR 원칙을 만족스러운 수준으로 준수하기 위한 접근 방식을 강조합니다.

본 정책 문서는 TechVersions 외부의 사업체를 포함한 이해관계자와의 제한적인 공유를 목적으로 하며, 따라서 조직의 지적 재산권을 보호하는 데 필수적인 처리 관련 기밀 정보는 제외합니다.

여기에 명시된 내용 외의 정보 공개 요청은 TechVersions의 데이터 공개 정책에 따라 처리되며, 신뢰할 수 없는 인증 이메일을 통해 개인정보 관리자에게 문의할 수 있습니다.

파트 B: 구체적인 정책 개요

1. 담당 업무

TechVersions는 모든 데이터 주체 요청 및 불만 사항을 처리할 담당자인 개인정보 관리자를 지정했습니다. TechVersions의 GDPR 민감 데이터 노출 위험 수준을 고려할 때, TechVersions의 핵심 사업 활동은 EU 데이터 주체에 대한 대규모의 체계적인 모니터링이나 EU 거주자에게 서비스를 제공하는 것을 포함하지 않으므로 GDPR에서 규정하는 "데이터 보호 책임자"를 지정할 필요가 없다고 판단합니다.

정보 보안 거버넌스 위원회(ISGC)는 GDPR 준수를 포함한 정보 보안 전반을 총괄합니다. 이 위원회는 TechVersions의 최고 정책 결정 기구로서 GDPR 정책을 포함한 모든 정보 보안 정책을 수립하고, 향후 데이터 보호 책임자(DPO) 지정 필요성을 검토하고 감독합니다.

2. 데이터 분류

TechVersions는 개인을 대상으로 마케팅을 하지 않으므로 일반적으로 GDPR 규정에 따라 개인 식별 정보를 수집하지 않습니다. 그러나 사업부 또는 직원이 EU/영국에 소재하는 것으로 알려진 경우, 직원의 이메일 주소 및 전화번호와 같이 잠재적으로 식별 가능한 모든 개인 정보는 "GDPR 민감 정보"로 분류됩니다.

따라서 EU/UK 내 실제 위치 주소와 관련된 전체 비즈니스 연락처 데이터 세트는 GDPR 민감 데이터(GSD)로 식별되어 조직 내 추가 처리 과정에서 태그가 지정됩니다.

정보 주체의 물리적 위치 정보가 없는 경우, 관련 사업체의 물리적 위치가 관련 있는 정보로 간주됩니다.

3. 데이터 감사

2018년 5월 25일 이전과 그 이후에는 매월 또는 ISGC가 달리 정하는 간격으로 저장된 데이터 세트를 검증하여 GSD(지속적인 데이터 유출)를 찾아내고, 해당 데이터의 보관, 삭제 또는 기타 특별 보안 조치 필요 여부와 같은 관련 규정 준수 요건을 확인합니다.

적절한 "동의서" 또는 "정당한 이익 관련 고지"가 첨부되지 않은 모든 GSD 데이터 세트는 삭제 대상으로 권고됩니다.
확인 후 해당 데이터는 법적 절차에 따라 삭제됩니다.

4. GDPR 영향 평가

GDPR 격차 평가가 완료되었으며, 필요한 시정 조치는 2018년 5월 25일 이전에 모두 이행되었습니다. 2018년 5월 25일 이후에는 ISGC에서 필요성을 판단하는 경우, 중요한 신규 프로젝트 착수 시마다 데이터 보호 영향 평가(DPIA)를 실시할 예정입니다.

5. 신규 사업 승인 정책

2018년 5월 25일 이후 데이터 처리가 포함된 모든 신규 사업 계약은 데이터 보호 책임자(DPO)가 데이터 처리를 담당하는 기술팀과 협의하여 제출한 특정 GDPR 영향 평가서와 함께 ISGC의 승인을 받아야 합니다.

6. GSD 데이터 저장 정책

GSD는 지정된 사람만 접근할 수 있는 시스템에 저장되어야 하며, 접근 권한은 엄격하게 "알 필요가 있는 사람에게만 부여"되어야 합니다.

모든 GSD 데이터 세트에는 해당 데이터가 제공된 데이터 관리자, 즉 동의 또는 계약에 따라 데이터를 수집한 책임이 있는 관리자가 태그로 표시되어야 합니다.

해당 데이터 세트와 관련된 특정 제한 사항도 데이터 세트에 함께 표시해야 합니다.

데이터 저장소는 데이터 주체의 권리 행사(예: 데이터 정정, 데이터 이동, 데이터 삭제 또는 데이터 접근 요청)를 위해 데이터 세트를 언제든지 찾고 처리할 수 있도록 해야 합니다.

7. GSD 데이터 접근 정책

GSD는 접근 제어 정책에 따라 접근해야 하며, 이 정책은 각 GSD 데이터 세트에 특정 접근 매개변수를 설정하여 누가 어떤 방식으로 데이터에 접근할 수 있는지를 정의합니다. GSD 직원으로 지정된 사람만 GSD 데이터 세트에 접근할 수 있습니다.

비밀번호와 같은 접근 매개변수는 필요한 수준의 복잡성과 고유성을 갖도록 정의되어야 하며, 암호화 및 기기 ID 태그를 추가하여 GSD 데이터는 승인된 GSD 직원에게 할당된 특정 하드웨어에서만 접근할 수 있도록 해야 합니다.

데이터가 클라우드에 저장되는 경우, GDPR을 준수하는 클라우드 서비스만 사용해야 하며, 저장 및 전송 중인 데이터가 무단 접근으로부터 보호되도록 필요한 추가적인 통제 조치를 취해야 합니다.

프로젝트별 GSD는 해당 프로젝트와 관련된 직원만 접근할 수 있도록 저장해야 합니다. 프로젝트 간 접근은 필요에 따라 규제해야 합니다.

8. GSD 데이터 보존 정책

GSD는 처리 과정에 필요한 최소 기간 동안만 활성 프로세스 환경에 보관됩니다. 이후에는 정당한 이익에 따라, 예를 들어 프로젝트 청구 주기가 완료될 때까지 안전하게 보관됩니다.

이후 데이터는 회사의 정당한 이익 요건에 따라 안전하게 보관되거나 파기됩니다.

보관된 데이터에 대한 월별 검토를 실시하여 더 이상 필요하지 않은 데이터를 식별하고, 해당 데이터는 ISGC에 전달하여 폐기 지침을 받아야 합니다.

중복되는 법률로 인해 발생할 수 있는 데이터 보존에 관한 법적 의무는 적법한 이익 평가에 고려되어야 합니다.

9. GSD 데이터 공개 정책

GSD 공개 요청은 일반적으로 데이터 관리자로부터만 접수됩니다.

정보 주체로부터 직접 접수된 요청은 피싱 위험에 노출될 수 있으며, 그러한 요청이 있는 경우 해당 정보 주체로부터 동의 또는 계약에 따라 데이터를 수집한 데이터 관리자에게 문의해야 합니다.

공개될 데이터는 요청을 한 데이터 관리자의 담당자의 신원을 적절히 확인한 후에만 데이터 관리자에게 전송되며, 데이터 관리자는 해당 데이터를 데이터 주체에게 전달합니다.

예외적인 상황에서 정보 주체 또는 그의 권한을 위임받은 대리인, 혹은 법 집행 기관에 직접 정보를 공개해야 하는 경우, 정보 공개를 요청하는 사람의 신원을 적절하게 인증해야 합니다.

모든 데이터 공개 요청은 데이터 공개 전에 ISGC의 승인을 받아야 하며, 요청서와 평가 문서는 GDPR 준수에 필요한 문서로 간주됩니다.

10. GSD 데이터 사고 관리 정책

본 규정에서 "사건"이란 데이터 유출 여부와 관계없이 GSD 준수 규정 또는 그에 따른 정책이나 절차가 위반되었을 가능성을 시사하는 모든 상황을 의미합니다.

내부고발자 정책은 회사 내부 또는 외부의 관찰자가 사건을 신속하게 보고하도록 보장하기 위해 사용될 수 있습니다.

TechVersions가 인지하게 된 모든 이러한 사건은 GSD 사건 관리 등록부에 기록되고 즉각적인 조치를 위해 데이터 보호 책임자(DPO)에게 보고됩니다.

데이터보호책임자(DPO)는 사건 보고서를 검토하고 즉시 사건 해결 조치를 취해야 하며, 또한 해당 사건을 정보보안위원회(ISGC)에 보고해야 합니다.

ISGC는 신속하게 회의를 소집하여 해당 사건을 평가하고 데이터 유출 의심 사례가 있는지 여부를 판단합니다. 필요한 경우, ISGC는 사건에 대한 위험 평가를 위해 즉각적인 기술법률 감사를 명령할 수 있습니다. 위험 평가를 바탕으로 ISGC는 해당 데이터와 관련된 데이터 관리자에게 데이터 유출 통지를 발송하는 것을 포함한 추가 조치의 필요성을 결정합니다.

조직 내 다른 직원이 GSD(데이터베이스)에 접근한 사건은 보안 사고로 간주되지만, 반드시 "데이터 유출"로 이어지는 것은 아닙니다. 그러나 이러한 사건에 대해서는 무단 접근 원인을 조사해야 하며, 의도치 않은 우발적 접근인 경우 인사 정책에 따라 적절한 내부 징계 조치를 취할 수 있습니다. 데이터가 외부로 유출되거나 외부인이 접근하지 않은 경우에는 데이터 유출에 해당하지 않는 내부 데이터 사고로 분류될 수 있습니다.

접근 또는 이동된 데이터가 암호화된 형태로 전송되었고 수신자가 해독할 수 없는 상태였으며, 관련 복호화 키의 보안에 대한 적절한 내부 조사가 이루어진 경우, 해당 접근은 데이터 유출에 해당하지 않는 내부 데이터 사고로 분류될 수 있습니다.

11. GSD 데이터 유출 알림 정책

"데이터 유출" 사고란 TechVersions가 필요한 조사를 거쳐 GSD에 저장된 특정 데이터 세트에 대한 접근 권한이 침해되어 외부 기관이 해당 데이터 세트에 접근하거나 전송한 사실을 알게 된 경우를 말합니다.

그러한 데이터 유출 사고는 즉시 ISGC에 보고해야 하며, ISGC는 지체 없이 해당 데이터 세트와 관련된 데이터 관리자에게 사고에 대한 관련 세부 정보와 함께 통지해야 합니다.

해당 보고서에는 침해의 성격 및 범위, 침해 발생 시간 및 날짜, 영향을 받은 데이터 주체의 세부 정보, 침해 사실 인지 후 취해진 조치 등이 명시되어야 합니다. 필요한 경우 데이터 침해 사실을 감독 기관에 보고할 수도 있습니다.

12. GSD 데이터 주체 권리 관리 정책

TechVersions의 데이터 처리 시스템은 GDPR 요구 사항, 특히 GDPR에 명시된 정보 주체의 권리 준수를 위해 "설계 단계부터 개인정보 보호 및 보안을 고려"했습니다.

TechVersions는 데이터 주체의 권리인 "접근권", "정정권", "삭제권", "데이터 이동권" 및 "제한권"을 충족하기 위해 특정 데이터 주체에 속하는 데이터 세트를 별도로 추출하여 처리할 수 있도록 GSD 저장 및 접근 시스템을 구축했습니다.

따라서 이 시스템은 GDPR의 가장 엄격한 요구 사항을 준수하도록 설계되었습니다.

데이터 주체로부터 그러한 권리 행사 요청이 접수되면, 데이터 공개 정책에 따라 먼저 요청의 유효성을 검증하고, 데이터 관리자로부터 데이터를 받은 경우 데이터 관리자에게 데이터 공개 확인을 요청합니다.

일반적으로 요청은 데이터 관리자와의 통신을 통해 처리되며, 데이터 이관이 필요한 경우 데이터 관리자에게 다시 반환됩니다.

TechVersions가 데이터 관리자의 협조 없이 데이터 주체의 요청을 처리해야 하는 예외적인 상황에서는, TechVersions가 부당한 정보 유출로부터 보호받는 것이 정당한 이익이므로, 정보 유출을 방지하기 위해 적절한 예방 조치를 취할 것입니다.

13. GSD 데이터 전송 정책

GSD 데이터는 일반적으로 애플리케이션 인터페이스(API)를 통해 시스템으로 유입됩니다. 해당 인터페이스에 대한 접근은 안전한 비밀번호 접근 시스템을 통해 이루어지며, GSD 위험이 높은 경우 적절한 2단계 인증이 추가됩니다.

데이터 전송은 암호화 기반으로 이루어지며, 알려진 취약점을 포함하는 전송 보안 관리가 적용됩니다.

애플리케이션 자체는 물론 내장된 저장 및 처리 요소와 API는 적절한 악성코드 방지 및 보안 접근 관리 시스템을 통해 무단 접근 및 악의적인 공격으로부터 보호됩니다

GSD 세트가 고객 또는 하청업체에게 전송되는 경우, 해당 전송은 API 또는 암호화된 이메일을 통해 암호화된 통신 채널을 통해 관리됩니다.

14. GSD 마케팅 이용 정책

TechVersions는 이메일, 전화 또는 기타 방법을 통해 마케팅 목적으로 GSD를 사용할 때, 그러한 커뮤니케이션을 가능하게 하는 적절한 동의 또는 계약이 있는지 확인하기 위해 주의를 기울입니다.

TechVersions는 또한 리드 생성 업체, 하청 처리 업체 및 고객을 포함한 모든 파트너가 사용 허가 범위 내에서만 GSD를 사용하도록 강력히 권고합니다.

명확한 동의를 얻을 수 없는 경우에는 잠재 고객 발굴자로부터 비즈니스 연락처 정보를 수집하거나 고객에게 전달하거나 하청업체를 통해 처리하지 않습니다.

그러한 데이터는 TechVersions 시스템에 입력되는 즉시 삭제되며 "적절한 처리 동의가 없는 GSD"로 식별됩니다.

15. GSD 동의 정책

정보 주체가 EU/영국에 거주하거나 정보 주체의 고용주가 EU/영국에 거주하는 경우와 같이 일반 개인정보보호법(GSD)으로 분류되는 모든 정보는 정보 주체가 GDPR에서 요구하는 형식에 따라 명시적인 동의를 제공한 경우에만 허용됩니다.

GDPR 시행 이전에는 개인정보 처리 원칙에 따라 개인정보 처리방침을 포함한 동의를 수집하는 것이 일반적이었습니다. 이러한 개인정보 처리방침에는 수집되는 정보의 종류, 수집 목적, 보관 기간, 보안 방법, 정보의 정확성, EU 외부로의 정보 전송 여부 등이 명시되어 있었습니다. 일부 동의는 기본 설정으로 "옵트인(Opt-in)" 원칙에 기반했습니다.

GDPR에 따라 개인 데이터는 명시적 동의를 기반으로만 수집되어야 하며, "거부"가 기본 옵션으로 설정되어 있고, 동의를 나타내는 적극적인 행동을 통해서만 동의가 인정됩니다.

또한, 개인정보 보호 고지에는 정보 주체가 "하위 처리자의 신원에 대한 정보를 받을 권리", "접근 및 정정 권리", "데이터 이동 및 삭제 권리"와 같은 특정 권리를 가지고 있음을 명시해야 합니다.

새로운 요구 사항을 고려하여 GDPR 이전 형식으로 얻은 모든 동의는 무효로 간주되며 TechVersions는 해당 데이터를 폐기합니다.

TechVersions에 리드를 제공하는 외부 퍼블리셔는 계약을 통해 데이터 주체가 EU/영국에 거주하는 경우 새로운 동의 양식을 통해 생성된 리드만 제공하겠다는 내용을 확인해야 합니다.

16. GSD 이해관계자 소통 정책

TechVersions는 GDPR 준수 프로그램의 이해 관계자인 여러 외부 조직을 통해 운영됩니다. 이러한 조직에는 고객, 잠재 고객 발굴 업체, 하청업체 등이 포함됩니다.

효과적인 규정 준수를 위해서는 이해관계자와의 모든 소통 과정에서 GSD 데이터는 안전한 전송 방식을 통해서만, 그리고 승인된 담당자에게만 전달되어야 합니다.

API를 통한 통신은 접근 정책에 따라 제어되지만, 이메일을 통한 다른 모든 통신은 이메일 통신 정책에 따라 제어되어야 합니다.

기본적으로 이메일 통신 정책에는 이해관계자와의 GSD 또는 GDPR 준수 정보 공유는 지정된 담당자 이메일 주소를 통해서만 이루어져야 하며, 필요한 경우 해당 담당자는 대부분 상대 조직의 데이터 보호 책임자(DPO)가 될 것이라는 점을 명시해야 합니다. 이메일 통신은 암호화되고 디지털 서명으로 인증될 수 있습니다.

17. GSD 정당한 이익 식별 정책

TechVersions는 데이터 주체의 특정 권리(예: 데이터 삭제 또는 데이터 정정)가 TechVersions의 정당한 이익 요건과 충돌하거나, 기타 법적 의무를 고려하여 해당 데이터에 적용될 수 있는 데이터 보존 법률과 충돌할 수 있음을 인지하고 있습니다.

데이터 주체 권리 행사와 관련된 모든 경우에 TechVersions는 추가 조치를 취하기 전에 요청을 평가합니다. TechVersions가 요청을 거부하거나 수락을 위해 수정해야 할 필요성을 인지하는 경우, 그 사유를 문서화하고 ISGC(정보 보안 고문)에서 GSD(일반 데이터 보호) 정당한 이익에 대한 메모를 작성합니다.

데이터가 활성화될 필요가 없는 경우, 정당한 이익이 소멸될 때까지 안전하게 보관될 수 있습니다.

정보 주체의 요청을 처리하기 위해 정당한 이익을 근거로 삼은 이유는 정보 주체에 대한 책임이 있는 데이터 관리자에게 전달되어야 하며, 데이터 관리자는 이를 정보 주체에게 전달해야 합니다.

18. GSD 인력 관리 정책

GSD는 TechVersions가 관리하는 동안 정보 보안 측면에서 특별한 주의가 필요한 데이터 세트로 간주됩니다.

따라서 GSD는 적절하게 분류되어 특별히 훈련된 직원들이 필요에 따라 정보를 처리할 것입니다.

GSD와 관련된 위험 수준을 고려하여 해당 직원과 GSD가 저장, 접근 및 처리되는 시스템은 안전하게 관리될 것입니다.

이 GSD 처리 과정에 인원을 배정하고 해제하는 과정은 강화된 수준의 신원 확인, 교육, 물리적 접근 권한 확인, 제재 정책 등을 포함한 적절한 보안 조치를 통해 관리되어야 합니다.

GSD 직원에 맞춰 인사 정책을 필요에 따라 적절히 개선해야 합니다.

19. GSD 가명 처리 정책

가명 사용은 성범죄 관련 정보 처리 과정에서의 위험을 줄이기 위한 전략으로 인정받고 있습니다.

가명 처리된 개인 데이터는 가명 처리 과정이 적절하게 구성된 경우 GDPR 규정의 목적상 "개인 데이터"로 간주되지 않습니다.

현재 TechVersions는 GDPR 관련 위험에 노출된 정도를 고려하여, 위험 완화 전략으로 가명화를 사용할 필요성을 현재로서는 인정하지 않습니다.

20. GSD DRP-BCP 정책

TechVersions는 GSD 처리 관련 운영을 포함하여 자사 운영에 있어 효과적인 재해 복구 및 비즈니스 연속성 계획의 중요성을 인식하고 있습니다.

TechVersions는 GSD 데이터에 대한 적절한 백업을 유지하고, 비상 상황 발생 시 비즈니스 연속성을 유지할 수 있는 합리적인 역량을 확보할 것입니다.

21. GSD 규정 준수 문서 정책

GDPR 준수 조치는 검토가 가능하도록 문서화되어야 합니다. 해당 준수 문서는 작성일로부터 최소 6년 동안 보관해야 합니다.

만약 어떤 문서가 법 집행 요건 또는 TechVersions의 정당한 이익 보호를 위한 잠재적 증거가 될 수 있는 경우, 해당 문서는 요건이 충족되는 한 보관됩니다.

22. GSD 감사 정책

TechVersions의 내부 보안 감사팀은 GDPR 및 기타 규제 요건에 대한 보안 수준과 준수 여부를 평가하기 위해 TechVersions의 정보 자산을 최소 1년에 한 번 감사합니다.

사업 프로필에 중대한 변화가 발생할 경우, ISGC의 평가를 바탕으로 외부 감사가 고려될 수 있습니다.

TechVersions는 계약상 의무 준수 여부를 확인하기 위해 하청업체의 시설에 대한 감사를 실시할 권리를 보유합니다.

TechVersions는 하청업체 시설에 대한 감사 권한 부여는 일종의 지원책이며 예외적인 상황에서만 사용되어야 함을 인지하고 있습니다. 이는 하청업체가 계약상 제공된 보증 사항에 따라 자체적으로 규정 준수 요건을 충족해야 할 책임을 경감하는 것이 아닙니다.

23. GSD 고충처리 정책

TechVersions는 데이터 주체와의 분쟁 발생 시 이를 해결하기 위해 다단계 고충 처리 정책을 제공할 것입니다. 이러한 고충은 1단계에서 데이터 보호 책임자(DPO), 2단계에서 정보 보안 고충 처리 위원회(ISGC), 그리고 3단계에서 이사회가 설립한 온라인 분쟁 해결 위원회를 통해 처리될 것입니다.

GDPR 감독 기관의 문의 사항은 데이터 보호 책임자(DPO)가 처리하고 필요한 경우 정보 보안 고문(ISGC)에게 전달해야 합니다.

고객, 출판사 또는 하청업체와의 분쟁은 각 계약에 따라 처리됩니다.

24. 네트워크 보안 정책

TechVersions는 회사가 사용하는 IT 인프라의 보안을 보장하기 위해 방화벽, 침입 탐지 시스템, 악성코드 방지 시스템, 시스템 패치 등을 포함하는 강력한 정보 보안 정책을 채택할 것입니다.

지정된 정보 보안 관리자는 네트워크 보안 유지 관리를 담당해야 합니다.

추신: 본 규정은 수시로 개정될 수 있습니다.