머리말
당사의 기업 데이터 보호 정책은 고객, 잠재 고객, 비즈니스 파트너 및 직원과 관련된 개인 데이터를 처리하기 위한 엄격한 요구 사항을 제시합니다. 이는 유럽 데이터 보호 지침(GDPR)의 요구 사항을 충족하며 국내 및 국제 데이터 보호법의 원칙을 준수하도록 보장합니다.
이 정책은 당사에 적용되는 데이터 보호 및 보안 표준을 설정하고 그룹 회사 간의 정보 공유를 규제합니다. 투명성, 데이터 경제 및 데이터 보안 등 7가지 데이터 보호 원칙을 가이드라인으로 수립했습니다.
당사의 관리자와 직원은 정책을 준수하고 현지 데이터 보호법을 준수해야 합니다.
기업 데이터 보호를 담당하는 사람으로서 Dents의 데이터 보호 규칙과 원칙을 준수하는 것이 저의 의무입니다.
로버트 옌토프
의장
23/5/18
목차
I. 데이터 보호 정책의 목적
II. 데이터 보호 정책의 범위
III. 국가법 적용
IV. 개인 데이터 처리 원칙
1. 공정성과 적법성
2. 특정 목적에 대한 제한
3. 투명성
4. 데이터 감소 및 데이터 경제
5. 삭제
6. 사실적 정확성; 최신 데이터
7. 기밀 및 데이터 보안
V. 데이터 처리의 신뢰성
1. 고객 및 파트너 데이터
1.1 계약 관계에 대한 데이터 처리
1.2 광고 목적으로 데이터 처리
1.3 데이터 처리에 대한 동의
1.4 법적 승인에 따른 데이터 처리
1.5 정당한 이익에 따른 데이터 처리
1.6 매우 민감한 데이터 처리
1.7 개별 의사 결정 자동화
1.8 사용자 데이터 및 인터넷
2. 직원 데이터
2.1 고용 관계에 대한 데이터 처리
2.2 법적 승인에 따른 데이터 처리
2.3 데이터 처리에 대한 동의
2.4 정당한 이익에 따른 데이터 처리
2.5 매우 민감한 데이터 처리
2.6 자동 결정
2.7 통신 및 인터넷
VI. 개인정보 전송
VII. 계약 데이터 처리
VIII. 데이터 주체의 권리
IX. 처리의 기밀성
X. 처리 보안
XI. 데이터 보호 제어
XII. 데이터 보호 사고
XIII. 책임 및 제재
- 나. 데이터 보호 정책 목표
사회적 책임의 일환으로 듀허스트 덴트 그룹(그룹)은 데이터 보호법을 준수하기 위해 최선을 다하고 있습니다. 이 데이터 보호 정책은 전 세계적으로 그룹에 적용되며 데이터 보호에 대한 전 세계적으로 인정되는 기본 원칙을 기반으로 합니다. 데이터 보호를 보장하는 것은 신뢰할 수 있는 비즈니스 관계의 토대이며 매력적인 고용주로서 그룹의 모든 기업의 평판을 보장합니다.
데이터 보호 정책은 국경을 넘나들기 위해 필요한 프레임워크 조건 중 하나를 제공합니다.
그룹 회사 간의 데이터 전송. 적절한 수준의 데이터 보호를 보장합니다.
GDPR및 국경 간 데이터 전송에 대한 국가 법률에 의해 규정, 아직 적절한 데이터 보호 법이없는 국가를 포함.
- II. 데이터 보호 정책의 범위
이 데이터 보호 정책은 덴트, 개비, 덴트 오스트레일리아 Pty, 코기 호시리( Corgi Hosiery Ltd), D.찰스 애슬레(경매인) 및 솔실 패브릭과 같은 그룹의 모든 회사와 부서에 적용됩니다.
데이터 보호 정책은 개인 데이터의 모든 처리로 확장됩니다.
- III. 국가법 적용
이 데이터 보호 정책은 국제적으로 인정되는 데이터 개인 정보 보호 원칙으로 구성됩니다.
현행 국가법을 대체하지 않고. 그것은 국가 데이터 개인 정보 보호 법을 보완.
관련 국가법은 이 데이터 보호와 충돌하는 경우 우선합니다.
정책 또는 이 정책보다 더 엄격한 요구 사항이 있습니다. 이 데이터 보호 정책의 내용
또한 해당 국가 법률이 없는 경우 준수해야 합니다. 보고
국가법에 따른 데이터 처리 요건을 준수해야 합니다.
그룹의 각 회사는 이 데이터 보호 정책 및 법적 의무를 준수할 책임이 있습니다. 모든 직원은 개인 데이터를 처리할 때 본 정책 및 관련 정책을 읽고, 이해하고, 준수해야 하며, 위반으로 인해 징계 조치가 취해질 수 있습니다.
- IV. 개인 데이터 처리 원칙
1. 공정성과 적법성
개인 데이터를 처리할 때데이터 주체의 개별 권리를 보호해야 합니다.
개인 데이터는 합법적이고 공정한 방식으로 수집및 처리되어야 합니다. 데이터 보호 법규는 이 정책에 명시된 특정 목적을 위해 처리할 수 있습니다. 데이터 주체는 회사의 직원 개인 정보 보호 고지에서 찾을 수 있는 개인 데이터 정보를 처리하기 위한 목적을 통보합니다.
2. 구체적이고 명시적이며 합법적인 목적에 대한 제한
개인 데이터는 지정되고 명시적이며 합법적인 목적으로만 처리될 수 있으며 이러한 목적과 호환되지 않는 방식으로 처리되지 않습니다. 목적에 대한 후속 변경은 제한된 범위로만 가능하며 입증이 필요합니다.
3. 투명성
데이터 주체는 해당 데이터 처리 방법에 대해 알려야 합니다. [직원들은 데이터가 어떻게 처리되고 있는지 알려주는 개인 정보 보호 고지가 제공됩니다.] 정보는 간결하고 투명하며 쉽게 접근 할 수 있으며 명확하고 계획된 언어로 됩니다.
일반적으로 개인 데이터는 해당 개인으로부터 직접 수집됩니다. 데이터가 수집되면 데이터 주체는 다음을 알고 있거나 다음을 통보해야 합니다.
» 데이터 컨트롤러의 ID
» 데이터 처리의 목적
» 데이터가 전송될 수 있는 제3자의 제3자 또는 범주
개인 데이터는 간접적으로 수집될 수도 있습니다(예: 제3자 또는 공개적으로 이용 가능한 출처). 데이터 주체는 데이터를 수집/수신한 후 가능한 한 빨리 위의 정보를 알 수 있습니다.
4. 데이터 감소 및 데이터 경제
개인 데이터는 적절하고 관련성이 있으며 처리 목적과 관련하여 필요한 것으로 제한되어야 합니다. 개인 데이터를 처리하기 전에 개인 데이터 처리가 수행되는 목적을 달성하기 위해 필요한지 여부와 정도를 결정해야 합니다.
목적이 허용하는 곳과 관련 비용이 추구되는 목표와 비례하는 경우 익명 또는 통계 데이터를 사용해야 합니다. 개인 데이터는 국가 법에 의해 요구되거나 허용되지 않는 한 사전에 수집및 잠재적 인 미래의 목적을 위해 저장되지 않을 수 있습니다.
5. 삭제
개인 데이터가 더 이상 필요하지 않은 경우 회사의 데이터 보존 지침 및 정책에 따라 삭제됩니다. 데이터 주체는 데이터가 저장되는 기간과 해당 기간이 개인 정보 보호 정책에 따라 결정되는 방식에 대해 알려드립니다.
제3자는 해당되는 경우 더 이상 필요하지 않은 데이터를 삭제해야 합니다.
6. 사실적 정확성; 최신 데이터
파일에 있는 개인 데이터는 정확해야 하며, 필요한 경우 최신 정보를 유지해야 합니다. 부정확하거나 불완전한 데이터가 삭제되거나 수정되거나 보완되거나 업데이트되도록 적절한 단계를 수행해야 합니다.
7. 기밀 및 데이터 보안
개인 데이터는 기밀 유지의 대상이 됩니다. 개인 차원에서 기밀로 취급되어야 하며 무단 액세스, 불법 처리 또는 배포, 우발적 인 손실, 손상, 수정 또는 파괴를 방지하기 위한 적절한 조직 및 기술적 조치로 보호되어야합니다. 당사는 당사의 규모, 범위, 리소스 및 식별된 위험에 적합한 안전 장치를 마련하여 정기적으로 평가하고 테스트할 수 있습니다. 당사는 의심되는 개인 데이터 유출에 대처하기 위한 절차를 마련했으며, 법적으로 필요한 경우 데이터 주체 또는 해당 규제 기관에 통보할 것입니다.
개인 데이터는 당사의 요구되는 정책 및 절차를 준수하는 데 동의하고 데이터 보안을 유지하기 위해 적절한 조치를 취하는 데 동의하는 제3자 서비스 제공업체로만 전송됩니다. 적절한 안전 장치가 마련되지 않으면 개인 데이터가 다른 국가로 전송되지 않습니다.
- V. 데이터 처리의 신뢰성
개인 데이터 수집, 처리 및 사용은 다음과 같은 법적 근거하에서만 허용됩니다.
이러한 법적 근거 중 하나는 개인 데이터를 수집, 처리 및 사용하는 목적이 원래의 목적에서 변경되어야 하는 경우에도 필요합니다.
1. 고객 및 파트너 데이터
1.1 계약 관계에 대한 데이터 처리
관련 잠재 고객, 고객 및 파트너의 개인 데이터는 계약을 수립, 실행 및 해지하기 위해 처리 될 수 있습니다. 여기에는 계약 목적과 관련된 경우 계약에 따라 파트너에 대한 자문 서비스도 포함됩니다. 계약 개시 단계 동안 개인 데이터는 입찰 또는 구매 주문을 준비하거나 계약 체결과 관련된 잠재 고객의 다른 요청을 이행하기 위해 처리 될 수 있습니다. 잠재 고객은 계약 준비 과정에서 제공한 정보를 사용하여 연락할 수 있습니다. 잠재 고객이 요청한 모든 제한 사항은 준수해야 합니다.
1.2 광고 목적으로 데이터 처리
데이터 주체가 그룹 회사에 연락하여 정보를 요청하는 경우(예: 제품에 대한 정보 자료 수신 요청), 이 요청을 충족하는 데이터 처리가 허용됩니다.
고객 충성도 또는 광고 조치는 추가 법적 요구 사항에 따라 달라질 수 있습니다. 개인 데이터는 원래 데이터가 수집된 목적과 일치한다는 점을 나타내는 광고 목적 또는 시장 및 의견 조사를 위해 처리될 수 있습니다. 데이터 주체는 광고 목적으로 데이터를 사용하는 것에 대해 알려야 합니다. 광고가 게재되는 목적으로만 데이터가 수집되는 경우 데이터 주체의 공개는 자발적입니다. 데이터 주체는 이러한 목적을 위해 데이터를 제공하는 것이 자발적이라는 통보를 받아야 합니다. 데이터 주체와 통신할 때, 광고 목적으로 데이터를 처리하기 위해 그/그녀에게서 동의를 얻어야 한다. 동의를 할 때 데이터 주체는 일반 메일, 전자 메일 및 전화와 같은 사용 가능한 연락처 형태 중에서 선택할 수 있습니다(동의, 참조 V.1.3 참조). 데이터 주체가 광고 목적으로 자신의 데이터 사용을 거부하는 경우, 더 이상 이러한 목적을 위해 사용될 수 없으며 이러한 목적을 위해 사용을 차단해야 합니다. 광고 목적으로 데이터 사용에 관한 특정 국가의 기타 제한 사항을 준수해야 합니다.
1.3 데이터 처리에 대한 동의
데이터는 데이터 주체의 동의에 따라 처리될 수 있습니다. 동의를 하기 전에 데이터 주체는 IV.3에 따라 통보되어야 합니다. 이 데이터 보호 정책 중. 동의 선언은 문서의 목적을 위해 서면으로 또는 전자적으로 얻어야 합니다. 전화 통화와 같은 경우에, 동의는 구두로 주어질 수 있습니다. 동의를 부여해야 합니다.
1.4 법적 승인에 따른 데이터 처리
국가 법률이 요청하거나 요구하거나 허용하는 경우에도 개인 데이터 처리가 허용됩니다. 데이터 처리의 유형 및 범위는 법적으로 승인된 데이터 처리 활동에 필요하며 관련 법적 조항을 준수해야 합니다.
1.5 정당한 이익에 따른 데이터 처리
그룹의 정당한 이익을 위해 필요한 경우 개인 데이터를 처리할 수도 있습니다. 합법적인 이익은 일반적으로 법적(예: 미지급 채권 의 수집) 또는 상업적 성격(예: 계약 위반 방지)입니다. 개인 데이터는 합법적인 이익을 위해 처리되지 않을 수 있으며, 개인의 경우 데이터 주체의 이익이 보호된다는 증거가 있으며, 이는 우선한다는 증거가 있습니다. 데이터를 처리하기 전에 보호를 받는 관심사가 있는지 여부를 결정해야 합니다.
1.6 매우 민감한 데이터 처리
매우 민감한 개인 데이터는 법이 이를 요구하거나 데이터 주체가 명시적인 동의를 받은 경우에만 처리될 수 있습니다. 이 데이터는 데이터 주체에 대한 법적 청구를 주장, 운동 또는 방어하는 것이 필수인 경우에도 처리될 수 있습니다. 매우 민감한 데이터를 처리할 계획이 있는 경우 해당 회사의 회장 또는 CEO(데이터 보호 책임자)에 대해 사전에 통보해야 합니다.
1.7 개별 의사 결정 자동화
특정 측면(예: 신용도)을 평가하는 데 사용되는 개인 데이터의 자동 처리는 부정적인 법적 결과를 초래하거나 데이터 주체를 크게 손상시킬 수 있는 의사 결정의 유일한 근거가 될 수 없습니다. 데이터 주체는 자동화된 개별 의사 결정의 사실과 결과 및 응답 가능성에 대해 알려야 합니다. 잘못된 결정을 피하기 위해 직원이 테스트 및 타당성 검사를 수행해야 합니다.
1.8 사용자 데이터 및 인터넷
개인 데이터가 웹 사이트 또는 앱에서 수집, 처리 및 사용되는 경우 데이터 주체는 개인 정보 보호 성명서 및 해당되는 경우 쿠키에 대한 정보를 알려야 합니다. 개인 정보 보호 명세서와 쿠키 정보는 데이터 주체에게 쉽게 식별할 수 있고, 직접 액세스 가능하며, 일관되게 사용할 수 있도록 통합되어야 합니다. 웹 사이트 및 앱의 사용을 평가하기 위해 프로필(추적)을 사용하는 경우 데이터 주체는 항상 개인 정보 보호 정책에 따라 알려야 합니다. 개인 추적은 국가법에 따라 또는 데이터 주체의 동의에 따라 허용되는 경우에만 영향을 받을 수 있습니다. 추적이 가명을 사용하는 경우 데이터 주체는 개인 정보 보호 정책에 옵트아웃할 수 있는 기회를 제공해야 합니다. 웹 사이트 나 앱이 등록된 사용자로 제한된 영역에서 개인 데이터에 액세스할 수 있는 경우 데이터 주체의 식별 및 인증은 액세스 중에 충분한 보호를 제공해야 합니다.
2. 직원 데이터
2.1 고용 관계에 대한 데이터 처리
고용 관계에서는 고용 계약을 개시, 수행 및 종료하는 것을 포함하여 고용 계약을 수행하는 데 필요한 경우 개인 데이터를 처리할 수 있습니다. 취업 관계를 시작하면 지원자의 개인 데이터를 처리할 수 있습니다. 후보자가 거부된 경우 신청자가 향후 선발 절차를 위해 파일에 남아 있기로 동의하지 않는 한 6개월 이내에 데이터를 삭제해야 합니다.
기존 고용 관계에서는 고용 계약을 수행하기 위해 데이터 처리가 필요할 수 있지만 아래에 명시된 대로 처리에 대한 다른 합법적인 기반이 있을 수도 있습니다. 제3자로부터 신청자에 대한 정보를 수집하기 위해 신청 절차 중에 필요한 경우 해당 국가법률의 요건을 준수해야 합니다. 의심의 경우 데이터 주체로부터 동의를 얻어야 합니다. 고용 관계와 관련된 개인 데이터를 처리하기 위한 대체 법적 근거가 있을 수 있습니다. 여기에는 법적 요구 사항, 직원의 동의 또는 회사의 정당한 이익이 포함될 수 있습니다.
2.2 법적 의무에 따른 데이터 처리
국가 법률이 요청, 요구 또는 승인하는 경우에도 개인 직원 데이터의 처리가 허용됩니다. 데이터 처리의 유형 및 범위는 법적으로 승인된 데이터 처리 활동에 필요하며 관련 법적 조항을 준수해야 합니다.
2.3 데이터 처리에 대한 동의
직원 데이터는 해당 사람의 동의하에 처리될 수 있습니다. 동의 선언은 자발적으로 제출해야 합니다. 비자발적 동의는 무효입니다. 동의 선언은 문서의 목적을 위해 서면으로 또는 전자적으로 얻어야 합니다. 특정 상황에서는 구두로 동의가 부여될 수 있으며, 이 경우 제대로 문서화되어야 합니다.
직원은 성명서 또는 처리에 대한 긍정적 인 행동으로 합의를 명확하게 나타내는 경우 개인 데이터 처리에 동의합니다. 다른 문제를 다루는 문서에서 동의가 주어지는 경우 동의는 다른 문제와 별도로 유지되어야 합니다. 직원은 언제든지 쉽게 동의를 철회 할 수 있어야합니다.
처리에 대한 다른 법적 근거가 없는 한 특별한 범주의 데이터 처리에 명시적인 동의가 필요합니다(아래 파라 2.5 참조). 일반적으로 회사는 다른 법적 근거에 의존하며 특별 범주 데이터를 처리하기 위해 명시적인 동의를 요구하지 않습니다.
2.4 정당한 이익에 따른 데이터 처리
개인 데이터는 그룹 또는 제3자의 정당한 이익을 위해 필요한 경우에도 처리 될 수 있습니다. 합법적인 이익은 일반적으로 법적(예: 법적 청구에 대한 제기, 시행 또는 방어), 재무(예: 회사의 평가) 또는 기타 성격(예: 개인 또는 다른 사람의 중요한 이익을 보호할 필요가 있거나 공익을 위해 수행되는 작업의 수행을 위해 필요함)입니다.
개인 데이터는 개인의 경우 개인 데이터 보호를 요구하는 데이터 주체의 이익 또는 기본 권 및 자유에 의해 무시되는 경우 합법적인 이익에 따라 처리되지 않을 수 있습니다. 신뢰할 수 있는 합법적인 이익은 해당 개인정보 보호고지에 명시되어 있습니다. 또한, 국가법에 따른 추가 요건(예: 직원 대표에 대한 공동 결정권 및 데이터 주체의 정보권)을 고려해야 합니다.
2.5 매우 민감한 데이터 처리
매우 민감한 개인 데이터는 특정 조건하에서만 처리될 수 있습니다. 매우 민감한 데이터는 인종 및 민족, 정치적 견해, 종교적 또는 철학적 신념, 노동조합 가입, 유전 데이터, 생체 인식 데이터, 건강 데이터 및 성적 삶과 데이터 대상자의 방향에 대한 데이터에 대한 데이터입니다. 국가 법에 따라 추가 데이터 범주는 매우 민감한 것으로 간주되거나 데이터 범주의 내용을 다르게 작성할 수 있습니다. 또한 형사 유죄 판결 및 범죄와 관련된 데이터는 종종 국가 법에 따라 특별한 요구 사항에 따라 처리 될 수 있습니다. 처리는 명시적으로 허용되거나 국가 법에 따라 규정되어야 합니다. 또한, 책임있는 권한이 고용법 영역에서 권리와 의무를 이행할 필요가 있는 경우 처리를 허용할 수 있습니다. 직원은 또한 처리에 명시적으로 동의할 수 있습니다. 매우 중요한 데이터를 처리할 계획이 있는 경우 데이터 보호 관리자에게 사전에 통보해야 합니다.
매우 민감한 데이터는 다음과 같은 상황에서 처리할 수 있습니다.
- 데이터 주체의 명시적 동의
- 고용, 사회 보장 또는 사회 보호와 관련하여 데이터 컨트롤러 또는 데이터 주제에 대한 법률에 의해 부과되는 의무 또는 권리를 수행하거나 행사하는 데 필요한 경우 고용주는 적절한 정책 문서와 추가 안전 장치를 갖추고 있습니다.
- 개인 또는 다른 사람의 중요한 이익을 보호하기 위해 처리가 필요한 경우 개인이 동의를 할 수 없습니다.
- 처리가 개인이 공개한 개인 데이터와 관련된 경우
- 법적 청구를 수립, 행사 또는 방어하기 위해 처리가 필요한 경우
- 실질적인 공익을 위해 처리가 필요한 경우 고용주가 적절한 정책 문서와 추가 안전 장치를 마련하는 경우. 여기에는 치료의 평등을 촉진하기 위한 목적으로 데이터 처리가 포함될 수 있습니다.
- 개인의 작업 능력 평가또는 건강 전문가와의 접촉에 따라 처리가 필요한 경우 기밀 유지 보호의 대상이 됩니다.
2.6 자동 결정
개인 데이터가 고용 관계의 일부로 자동으로 처리되고 특정 개인 정보가 평가되는 경우(예: 인사 선택 또는 기술 프로필 평가)이 자동 처리는 영향을 받는 직원에게 부정적인 영향을 미치거나 중대한 영향을 미칠 의사 결정에 대한 유일한 근거가 될 수 없습니다. 잘못된 결정을 피하기 위해 자동화된 프로세스는 자연인이 상황의 내용을 평가하고 이 평가가 결정의 기초가 되도록 해야 합니다. 데이터 주체는 또한 자동화된 처리의 사실과 결과 및 응답 가능성에 대해서도 알려야 합니다. 회사는 자동 의사 결정을 사용하지 않을 뿐만 아니라 위치가 변경될 경우 직원에게 서면으로 통보합니다.
2.7 통신 및 인터넷
전화 장비, 전자 메일 주소, 인트라넷 및 인터넷과 내부 소셜 네트워크는 주로 회사에서 업무 관련 업무를 제공합니다. 도구이자 회사 리소스입니다. 해당 법률 규정 및 내부 회사 정책 내에서 사용할 수 있습니다. 사적인 목적으로 의한 공인사용의 경우, 해당되는 경우 통신비밀및 관련 국가통신법 준수에 관한 법률을 준수해야 합니다. 전화 및 전자 메일 통신 또는 인트라넷/ 인터넷 사용에 대한 일반적인 모니터링은 없습니다. IT 인프라 또는 개별 사용자에 대한 공격을 방어하기 위해 기술적으로 유해한 콘텐츠를 차단하거나 공격 패턴을 분석하는 그룹 회사 네트워크에 대한 연결에 대한 보호 조치를 구현할 수 있습니다. 보안상의 이유로 전화 장비, 전자 메일 주소, 인트라넷/인터넷 및 내부 소셜 네트워크의 사용은 임시로 기록할 수 있습니다. 특정 개인의 이 데이터를 평가한 것은 그룹의 법률 또는 정책 위반이 의심되는 경우에만 가능합니다. 관련 국가법은 그룹 규정과 동일한 방식으로 준수되어야 합니다.
- VI. 개인정보 전송
그룹 외부 또는 내부의 수신자에게 개인 데이터를 전송하는 것은 섹션 V에 따라 개인 데이터 처리에 대한 승인 요건의 적용을 받습니다. 특정 안전 장치 및 계약 조치가 마련되지 않는 한 개인 데이터는 제3자와 공유되지 않습니다. 데이터 수신자는 정의된 목적과 지침에 따라 데이터를 사용해야 합니다.
데이터가 그룹 외부의 수신자에게 EU 이외의 국가를 포함하여 제3국으로 전송되는 경우, 당사는 본 데이터 보호 정책에 명시된 보호 수준과 동등한 개인 데이터를 보호하기 위해 해당 국가에 적절한 수준의 보호가 있음을 보장할 것입니다. 타사에서 그룹 회사로 데이터가 전송되는 경우 데이터가 의도된 용도로 사용되도록 해야 합니다.
- VII. 계약 데이터 처리
대신 데이터 처리는 공급자가 개인 데이터를 처리하기 위해 고용된다는 것을 의미합니다.
관련 비즈니스 프로세스에 대한 책임을 할당합니다. 이러한 경우, 계약
대신 데이터 처리에 대한 외부 공급자 및 회사 간에 체결되어야 합니다.
그룹 내에서. 클라이언트는 데이터 처리의 올바른 성능에 대한 모든 책임을 유지합니다. 공급자는 클라이언트의 지침에 따라 개인 데이터를 처리할 수 있습니다. 주문을 발행할 때는 다음 요구 사항을 준수해야 합니다. 주문을 하는 부서는 해당 부서가 충족되는지 확인해야 합니다.
- 공급자는 필요한 기술 및 조직 적 보호 조치를 충당할 수 있는 능력에 따라 선택해야 합니다.
- 순서는 서면으로 배치해야합니다. 데이터 처리에 대한 지침과 클라이언트 및 공급자의 책임사항을 문서화해야 합니다.
- 데이터 보호 관리자가 제공하는 데이터 보호에 대한 계약 표준을 고려해야 합니다.
- 데이터 처리가 시작되기 전에 클라이언트는 공급자가 의무를 준수할 것이라고 확신해야 합니다. 공급자는 데이터 보안 요구 사항 준수를 문서화할 수 있습니다.
특히 적합한 인증을 제시합니다. 데이터 처리의 위험에 따라 계약 기간 동안 정기적으로 검토를 반복해야 합니다.
- 데이터와 관련하여 기밀 유지 의무가 있는 직원 및 기타 사람만 사용합니다.
- GDPR에 따라 고용주에게 부과되는 것과 동등한 보안 의무를 준수합니다.
- 고용주가 공유하는 개인 데이터와 관련하여 위반 사항을 고용주에게 알립니다.
- 고용주의 사전 허가하에 서브 프로세서를 등록합니다.
- 국경 간 계약 데이터 처리의 경우 해외 개인 데이터 공개에 대한 관련 국가 요구 사항을 충족해야 합니다. 특히 유럽 경제 지역의 개인 데이터는 공급자가 본 데이터 보호 정책에 해당하는 데이터 보호 표준을 가지고 있음을 증명할 수 있는 경우에만 제3국가에서 처리할 수 있습니다. 적합한 도구는 다음과 같은 수 있습니다.
- 공급자 및 모든 하청업체와 제 3 국의 계약 데이터 처리에 대한 EU 표준 계약 조항에 대한 합의.
- 충분한 데이터 보호 수준을 제공하기 위해 EU가 인증한 인증 시스템에 공급자의 참여.
- 데이터 보호를 위해 책임있는 감독 당국의 적절한 수준의 데이터 보호를 만들기 위해 공급자의 구속력 있는 기업 규칙을 인정합니다.
- 국경 간 계약 데이터 처리의 경우 해외 개인 데이터 공개에 대한 관련 국가 요구 사항을 충족해야 합니다. 특히 유럽 경제 지역의 개인 데이터는 공급자가 본 데이터 보호 정책에 해당하는 데이터 보호 표준을 가지고 있음을 증명할 수 있는 경우에만 제3국가에서 처리할 수 있습니다. 적합한 도구는 다음과 같은 수 있습니다.
- VIII. 데이터 주체의 권리
모든 데이터 주체는 다음과 같은 권한을 가지고 있습니다.
- 데이터 주체는 자신과 관련된 개인 데이터가 저장되었는지, 데이터가 수집된 방법 및 목적에 대한 정보를 요청할 수 있습니다. 추가 권한이 있는 경우
아래 고용 관계에 대한 고용주의 문서(예: 인사 파일) 보기
관련 고용법에 따라 영향을 받지 않습니다.
- 개인 데이터가 제3자에게 전송되는 경우, 신원에 대한 정보를 제공해야 합니다.
받는 사람 또는 받는 사람의 범주입니다.
- 개인 데이터가 부정확하거나 불완전한 경우 데이터 주체는 해당 데이터를 수정해 요청할 수 있습니다.
또는 보충.
- 데이터 주체는 광고 또는 시장/의견 조사를 위해 자신의 데이터 처리에 이의를 제기할 수 있습니다. 이러한 유형의 사용에서 데이터를 차단해야 합니다.
- 데이터 주체는 해당 데이터의 처리에 법적 근거가 없거나 법적 근거가 적용되지 않는 경우 해당 데이터를 삭제하도록 요청할 수 있습니다. 데이터 처리의 목적이 다른 이유로 적용 가능하거나 중단된 경우에도 마찬가지입니다. 기존의 보존 기간과 상충하는 이익 보호는 관찰되어야 합니다.
- 데이터 주체는 일반적으로 처리에 대한 정당한 이익(또는 제3자의 이익)에 의존하는 곳에서 처리되는 데이터에 이의를 제기할 권리가 있으며, 데이터 주체의 특정 상황에 대해 이의를 제기할 수 있습니다. 특정 개인 상황으로 인해 데이터 컨트롤러의 이익보다 이익 보호가 우선시되는 경우 이를 고려해야 합니다. 법적 조항에 따라 데이터를 처리해야 하거나 법적 청구의 설립, 행사 또는 방어를 위해 처리가 필요한 경우에는 적용되지 않습니다.
- 데이터 주체는 개인정보 처리 제한을 요청할 수 있습니다. 이를 통해 데이터 주체는 고용주가 정확성이나 처리 이유를 확립하기를 원하는 경우와 같은 개인 정보 처리 정지를 요청할 수 있습니다.
- 데이터 주체는 경우에 따라 다른 당사자에게 개인 정보 전송을 요청할 수 있습니다.
- IX. 처리의 기밀성
개인 데이터는 기밀 유지의 대상이 됩니다. 직원의 무단 수집, 처리 또는 사용이 금지됩니다. 정당한 의무의 일환으로 수행할 권한이 없는 직원이 수행한 모든 데이터 처리는 승인되지 않습니다. "알아야 할 필요" 원칙이 적용됩니다. 직원은 해당 작업의 유형과 범위에 적합한 경우에만 개인 정보에 액세스할 수 있습니다. 이를 위해서는 역할과 책임의 구현뿐만 아니라 신중한 고장 및 분리가 필요합니다. 직원은 개인 또는 상업적 목적으로 개인 데이터를 사용하거나, 허가받지 않은 사람에게 공개하거나, 다른 방법으로 사용할 수 있도록 하는 것이 금지되어 있습니다. 감독자는 고용 관계를 시작할 때 직원에게 데이터 기밀을 보호할 의무를 알려야 합니다. 이 의무는 고용이 끝난 후에도 효력을 유지합니다.
- X. 처리 보안
개인 데이터는 무단 액세스 및 불법 처리 또는 공개뿐만 아니라 우발적 인 손실, 수정 또는 파괴로부터 보호되어야합니다. 이는 데이터가 전자적으로 또는 종이 형태로 처리되는지 여부에 관계없이 적용됩니다. 새로운 데이터 처리 방법을 도입하기 전에 특히 새로운 IT 시스템, 개인 데이터 보호를 위한 기술 및 조직적 조치를 정의하고 구현해야 합니다. 이러한 조치는 기술의 상태, 처리 위험 및 데이터를 보호할 필요성(정보 분류 프로세스에 의해 결정)을 기반으로 해야 합니다. 특히 책임 부서는 데이터 보호 관리자와 상의할 수 있습니다.
- XI. 데이터 보호 제어
데이터 보호 정책 및 해당 데이터 보호법을 준수하는 것은 정기적으로 확인됩니다. 데이터 보호 제어 결과는 데이터 보호 관리자에게 보고되어야 합니다.
- XII. 데이터 보호 사고
모든 직원은 본 데이터 보호 정책 위반 사례 또는 개인 데이터 보호(데이터 보호 사건)에 대한 기타 규정에 대해 감독자 또는 데이터 보호 관리자에게 즉시 알려야 합니다. 기능 또는 장치에 대한 책임이 있는 관리자는 책임 있는 데이터 보호 관리자에게 데이터 보호 사고에 대해 즉시 알려야 합니다.
In cases of
» 제 3 자에게 개인 데이터의 부적절한 전송,
» 제3자가 개인 데이터에 대한 부적절한 액세스 또는
» 개인 데이터의 손실
필요한 회사 보고서(정보 보안 인시던트 관리)를 만들어야 합니다.
국가법에 따른 보고 의무를 준수할 수 있도록 즉시.
- XIII. 책임 및 제재
그룹 회사의 집행 기관은 책임 분야의 데이터 처리를 담당합니다. 따라서 데이터 보호를 위해 법적 요구 사항및 데이터 보호 정책에 포함된 요구 사항이 충족되는지 확인해야 합니다(예: 국가 보고 의무). 관리 직원은 조직, HR 및 기술 조치가 마련되어 데이터 보호에 따라 모든 데이터 처리를 수행할 책임이 있습니다. 이러한 요구 사항을 준수하는 것은 관련 직원의 책임입니다. 공식 기관이 데이터 보호 제어를 수행하는 경우 데이터 보호 관리자는 즉시 통보해야 합니다. 개인 데이터의 부적절한 처리 또는 기타 데이터 보호법 위반은 많은 국가에서 형사 기소될 수 있으며 손해 배상 청구를 초래할 수 있습니다. 개별 직원의 책임이 있는 위반은 고용법에 따른 제재로 이어질 수 있습니다.