monday.com과 개인정보보호규정(GDPR)
monday.com은 GDPR이 준비되어 있습니다
monday.com은 고객의 성공과 개인정보보호를 가장 중요하게 여깁니다. 우리는 전 세계 거의 모든 국가의 고객과 더불어 일반개인정보보호법(GDPR)을 준수합니다. GDPR은 유럽에 거주하는 개인에게 부여된 개인정보보호 권리를 확대하고 유럽에 거주하는 개인의 개인정보를 처리하는 특정 기업들이 새로운 규정을 준수하도록 요구합니다. 특히 GDPR은 유럽인 개인의 개인정보를 처리하고 EU에 소재한 기업(예: 사무실 또는 시설)과 EU에 소재하지는 않지만 유럽 시장을 목표(예: 유럽 시장에 상품 또는 서비스 제공)로 하거나 유럽인 개인의 행동을 모니터링하는 기업에 적용될 수 있습니다. 고객이 GDPR을 준수하실 수 있도록 우리가 도와 드리겠습니다.
GDPR의 정의
2016년 유럽 연합(EU)은 흔히 GDPR로 알려져 있는 일반개인정보보호법이라는 새로운 개인정보보보호규정을 승인했습니다. GDPR은 EU 개인의 데이터와 정보를 수집하고 특정 지역 요건을 충족하는 모든 회사에 적용되는 필수 규정입니다. GDPR은 EU 내에서 개인정보의 보안 및 보호를 강화하고 기업에 개인정보를 수집, 처리, 사용 및 공유하는 방법에 대한 구조화된 틀을 제공하도록 설계되었습니다. GDPR에서 “개인정보”의 개념은 매우 광범위하며 특정 개인과 관련된 거의 모든 정보를 포함합니다.
GDPR 시행 일시
EU 개인의 개인정보를 수집하거나 처리하는 모든 기업은 2018년 5월 25일까지 GDPR을 준수해야 합니다.
컨트롤러 및 프로세서
GDPR은 개인정보 수집 및 처리와 관련하여 정보 컨트롤러와 정보 프로세서라는 두 유형의 당사자들과 책임을 정의하고 구분합니다. 정보 컨트롤러는 개인정보가 처리되는 목적과 방법을 결정하는 반면 정보 프로세서는 컨트롤러를 대신하여 정보를 처리하는 당사자입니다. 이는 컨트롤러가 모든 기업이나 조직이 될 수 있음을 의미합니다. 프로세서는 실제로 컨트롤러를 대신하여 정보를 처리하는 사스(SaaS), IT 또는 기타 기업일 수 있습니다. monday.com은 정보 프로세서입니다. monday.com 고객(monday.com을 사용하는 조직)은 정보 컨트롤러입니다. 컨트롤러는 자신과 거래하는 모든 프로세서가 GDPR을 준수하는지 확인할 책임이 있으며 프로세서는 처리 활동 기록을 보관할 책임이 있습니다.
monday.com이 GDPR 요건에 따라 취한 조치
우리는 GDPR 도입을 환영하며 이 규정이 데이터 보호, 보안 및 규정 준수 기준을 높일 것으로 보고 있습니다. 우리는 고객과 사용자가 monday.com을 정보 프로세서로 사용하는 동안 GDPR을 준수할 수 있도록 계속 최선을 다하겠습니다.
우리는 공학, 제품, 보안 및 법무팀과 협력하여 제품 및 법적 조건을 GDPR에 맞추었으며 지속적으로 이를 유지해나갈 것입니다. monday.com은 GDPR 준비 프로젝트의 일환으로 다음 조치를 수행했습니다.
- 보안 인프라 및 관행, 전송 중 및 저장 시 정보 암호화, 백업, 로그 및 보안 경고를 검토하고 강화했습니다.
- 저장 또는 처리될 수 있는 모든 정보를 GDPR 지침에 따라 처리 및 관리하도록 리스크 평가 및 데이터 매핑 프로세스를 만들었습니다.
- 사용자 삭제 후 사용자 분석 정보를 삭제하거나 익명처리합니다.
- 미국공인회계사협회(AICPA)로부터 SOC 2 유형 II 보안 인증을 받도록 E&Y로부터 외부감사를 받았습니다.
- ISO 27001 ISMS(정보보안관리시스템) 및 ISO 27018(클라우드에서 개인정보 보호)에 대해 국제적으로 인정되는 보안 인증을 받았습니다.
- GDPR을 준수하면서 고객을 위한 정보 프로세서로서의 역할을 수행할 수 있도록 적절한 계약 조건이 있는지 확인했습니다.
- GDPR을 지속적으로 준수할 수 있도록 모든 내부 절차, 프로세스, 통제 및 반복적인 팀 교육 세션을 마련했습니다.
- GDPR 요건을 뒷받침하도록 이용약관 및 개인정보취급방침을 수정했습니다.
- 하위 프로세서가 모두 GDPR 요건을 준수하는지 확인하도록 하위 프로세서에 대한 보안 및 개인정보취급을 평가했습니다.
- 정보보호책임자(DPO)와 EU 담당자를 지정했습니다.
- 조직에서 정보 삭제를 처리할 수 있는 제품 기능을 개발하여 제공하고 있습니다.
- 사용자 프로필 삭제: 관리자는 이제 시스템에서 사용자의 개인정보를 삭제할 수 있습니다(자체 이니셔티브 또는 사용자의 요청에 따라). 이로써 조직은 GDPR 요건을 충족할 수 있습니다. 이렇게 하면 사용자 이름, 전화번호, 이메일, 사진, 주소, 직위, 소셜 네트워크 참조 및 기타 고객 필드(제공된 경우)가 삭제됩니다. 사용자를 삭제해도 사용자 게시물이나 업로드된 파일은 삭제되지 않습니다. 이러한 파일은 조직에서 정의한 대로 익명으로 조직에서 계속 사용할 수 있습니다.
- 계정 삭제: 계정을 해지하는 동안 관리자는 향후 사용을 위해 조직 정보(개인정보 포함) 유지 또는 영구 삭제 여부를 결정할 수 있습니다.
GDPR를 준수하기 위한 지침을 계속 모니터링하고 이러한 지침이 발효되면 제품 및 프로세스가 이를 준수하도록 보장하겠습니다.
monday.com 보안 및 개인정보취급관행, 인증, 법적 조건, 방침 및 절차를 자세히 알아볼 수 있는“법률, 보안 및 개인정보취급” 포털도 제작했습니다.
monday.com은 정보처리계약(DPA)을 제공합니까?
그렇습니다. 정보처리계약/부록(DPA)을 온라인으로 열람하실 수 있습니다. 서명된 DPA 사본이 필요한 경우, DPA를 다운로드하여 Legal@monday.com으로 서명된 사본을 보내시면 연대 서명된 사본을 제공해드립니다.
monday.com에는 정보보호책임자(DPO)가 지정되어 있습니까?
그렇습니다. monday.com는 지속적으로 개인정보규정을 준수하는지 모니터링 및 조언하고 정보주체 및 감독기관의 개인정보 사안에 대한 연락 창구 역할을 하도록 개인정보보호 전문가 아네르 라비노비츠(Aner Rabinovitz)를 정보보호책임자로 임명했습니다. 아네르(Aner) 연락처는 dpo@monday.com입니다.
GDPR은 기업이 EU 밖에서 정보를 저장하는 것을 금지합니까?
정보 프로세서가 필요한 규정 및 보호를 준수하는 한, GDPR의 어떠한 내용도 기업이 EU 밖에서 정보를 저장하는 것을 금지하지 않습니다. monday.com에서는 미국에 기반을 둔 아마존 웹 서비스(AWS)에 데이터를 저장합니다. monday.com과 마찬가지로, AWS도 GDPR 준비가 되었다고 발표했습니다.
GDPR에 대해 더 알아보기
더 많은 정보는 GDPR website of the European Union유럽 연합의 공식 GDPR 웹사이트에서 확인하실 수 있습니다.
더 궁금한 점이 있습니다. 어디에 문의할까요?
GDPR에 대해 더 궁금하신 점이 있으시면 support@monday.com, +1 (201) 778-4567로 문의 바랍니다.