글로벌 개인정보 보호 표준

View in English.

표준 발효일: 2016년 9월

최종 검토일: 2024년 4월

서문

본 문서는 Latham & Watkins 내의 유럽 개인 데이터(아래 정의됨)의 처리에 적용되는 표준을 설명합니다(이하 “표준”). Latham & Watkins는 전 세계 15개국에 사무소를 두고 있는 글로벌 로펌입니다. 당사는 내부 경계 없이 운영되고 있으며, 사업의 국제적인 특성상 당사 내부에서 개인 데이터 전송은 필수적입니다.

Latham & Watkins는 경영위원회를 통해 당사 내에서 처리되는 개인 데이터를 보호하기 위해 최선을 다하고 있습니다. 특히, 본 표준은 EU 규정 2016/679에 따라 Latham & Watkins 내에서 유럽 개인 데이터의 전송을 용이하게 하도록 설계되었습니다.

정의

“준거법”이란 L&W 가 위치한 관할권의 법률 및 L&W에 적용되는 기타 모든 법률을 의미합니다.

“BCR 합의”란 유럽 개인 데이터를 처리하는 모든 L&W가 표준을 준수하겠다고 약속한 합의를 의미합니다.

“데이터 보호 당국” 또는 “DPA”는 특정 국가의 데이터 보호법 준수를 감시하고 집행을 담당하는 감독당국을 의미합니다.

“DPIA”는 GDPR 제35조에 정의된 데이터 보호 영향 평가를 의미합니다.

“EEA”는 유럽경제지역(European Economic Area)을 의미합니다.

“EU 개인정보 보호법”은 유럽 규정 2016/679, 지침 2002/58(및 이를 개정하거나 대체하는 모든 법률) 및 관련 유럽 개인정보 보호 법률을 시행하는 EEA내 국가들의  법률을 의미합니다.

“유럽 개인 데이터” 란 다음과 같은 데이터를 의미합니다.  (i) 채용 및 인사 관리와 관련하여 수집 및 처리되는 직원, 변호사, 파트너, 컨설턴트, 계약직원 및 잠재적 후보자의 개인 데이터, (ii) 법률 서비스 제공 및/또는 마케팅 및 커뮤니케이션 목적과 관련하여 처리된 고객, 잠재 고객 및사우회의 개인 데이터, 그리고 (iii) Latham & Watkins 와의 관계에서 처리되는 공급업체, 판매업체, 계약자 및 자문인의 개인 데이터(이에 관한 추가 정보는 전직원 공정 데이터 처리 정책, 채용 개인정보 보호정책, 사우회 개인정보 보호정책, 또는 고객 및 제3자 데이터 개인정보 보호고지 에 명시되어 있음)로 이러한 개인 데이터는 해당 EU 개인정보 보호법의 적용을 받는 데이터 관리자인 L&W에 의해 처리됩니다.

“GDPR”은 유럽 규정 2016/679를 의미합니다.

“Latham & Watkins” 및 “회사”는 미국 델라웨어 주 법률에 따라 조직된 유한 책임 파트너십(이하 “델라웨어 LLP”)으로 전 세계에서 운영되는 Latham & Watkins를 의미하며, 프랑스, 이탈리아, 홍콩, 싱가포르, 사우디아라비아 왕국 및 영국에서 업무를 수행하는 제휴 유한 책임 파트너십과 일본에서 업무를 수행하는 제휴 파트너십을 포함합니다. Latham & Watkins는 한국에서 외국법자문법률사무소로 운영되며, 위에 언급된 것 외에도 델라웨어 LLP가 전적으로 소유한 모든 회사를 포함합니다.

“현지 법률”은 관련 EU 개인정보 보호법 외에, L&W에 적용되는 국가의 법률 및/또는 규정 또는 그 국가에 의해 부과되는 기타 모든 법적 의무를 의미합니다.

“L&W ”는 당사를 구성하는 각각의 유한책임조합, 조합, 유한회사를 의미합니다.

“L&W 독일”은 Latham & Watkins의 프랑크푸르트 사무소를 의미합니다.

“표준 조항”은 제3국에 설립된 처리자 또는 관리자에게 전송되는 개인 데이터에 관하여 EU 집행위원회가 때때로 발표하고 승인하는 표준 계약 조항을 의미합니다.

“개인 데이터”는 신원이 확인되거나 신원 확인이 가능한 자연인(‘데이터 주체’)과 관련된 정보를 의미합니다. 신원 확인이 가능한 사람이란 특히 이름, 신원 확인 번호, 위치 데이터, 온라인 식별자, 또는 그 사람의 신체적, 심리적, 유전적, 정신적, 경제적, 문화적 또는 사회적 신분에 특수한 하나 이상의 요소를 참고하여 직접 또는 간접적으로 신원을 확인할 수 있는 사람입니다. “개인 데이터”라는 용어에는 해당 EU 개인정보 보호법에 따라 요구되는 경우에 자연인이 아닌 사람과 관련된 어떠한 정보도 포함될 수 있습니다.

“직원”은Latham & Watkins의 파트너, 변호사, 및 임시직과 정규직을 포함한 직원을 의미합니다.

“보안 위반”은 L&W 가 처리하는 유럽 개인 데이터의 우발적 또는 불법적 파기, 분실, 변경, 무단 공개 또는 접근을 초래하는 일체의 보안 위반을 의미합니다.

“특수 범주 데이터”란 인종이나 출신 민족, 정치적 견해, 종교 또는 철학적 신념, 노동조합 가입 여부, 위법 행위, 유죄가 선고된 형사사건, 건강, 성적 지향성 또는 성생활, 유전 및 생체 데이터, 해당 EU 개인정보 보호법에서 다루어지는 일체의 기타 특수 범주와 관련된 유럽 개인 데이터를 의미합니다.

“처리”, “데이터 관리자” 및 “처리자”라는 용어는 GDPR에 있는 것과 같은 의미를 가집니다.

범위

Latham & Watkins는 현재 다음 국가에서 법률 서비스를 제공하고 있습니다(EEA 내 국가들은 회색으로로 강조 표시됨).

본 표준은 EU 개인정보 보호법의 적용을 받는 Latham & Watkins 의 유럽 개인 데이터 처리에 적용됩니다.

본 표준은 직원, 지원자, 고객 및 제3자의 개인 정보 전송에 적용됩니다.

예를 들어, 직원의 개인정보에는 다음이 포함됩니다.

• 식별자(예시: 이름, 연락처 정보, 비상 연락처, 사진, 근로 자격 증명서 및 신분증 번호);
• 개인 및 가족 정보(예시: 출생지, 결혼 여부, 국적, 시민권, 가족 구성, 여권 및 비자 정보);
• 건강 정보(예시: 장애사항, 병가 기록, 사고 보고, 건강 검진 정보, 직업 건강 정보, 식사 선호도 및 음식 알레르기);
• 경력 관리 및 개발과 관련된 데이터(예시: 직원 범주, 정규직/파트타임 상태, 교육 및 자격사항, 언어 능력, 추천서, 배경 조사, 전문 경력);
• 고용 계약의 체결 및 종료와 관련된 데이터(예시: 고용 날짜, 직원 ID, 시간 기록, 근무 시간 및 휴가, 성과 평가, 교육, 징계 절차 및 불만, 퇴사 인터뷰);
• 재무 데이터(예시: 보수, 보상, 급여, 복리후생, 은행 계좌 정보, 세금/사회 보장 번호);
• 오디오 및 비디오 녹음(예시: CCTV 녹화, 온라인 회의 및 웨비나, 이벤트 및 출판물);
• 건물 출입 통제 시스템 및 사무실 장비 및 자원의 접근, 사용과 관련된 데이터;
• 업무 관계 증진을 위한 출장 또는 직원 복리후생 프로그램의 일환의 출장과 관련된 데이터.

지원자의 개인 데이터 예시는 다음을 포함합니다:

• 지원서에 포함된 정보(예시: 이름, 연락처 정보, 근무 및 교육 및 자격사항, 근로 자격 증명서 및 이력서에 포함된 추가 정보);
• 민감한 정보(예시: 인종이나 출신 민족, 장애);
• 인터뷰 및 평가 중 수집된 정보(예시: 인터뷰 노트, 피드백, 평가 및 비디오 인터뷰를 통해 수집된 정보);
• 채용 포털 및 웹사이트 사용에 대한 정보(예시: 쿠키를 통해 수집된 IP 주소 정보);
• 추천인 및 채용 담당자와 같은 제3자로부터 수집된 정보;
• 고용 전 배경 조사를 수행하기 위해 필요한 정보(예시: 범죄 기록 조회, 자격 및 고용사항 확인);
• 건물 출입 정보, 보안 카메라 영상.

고객 및 제3자 관련 정보 예시는 다음을 포함합니다:

• 식별자(예시: 이름, 연락처 정보 및 식별 번호);
• 생체 정보(예시: 사진);
• 상업적 정보;
• 직업 또는 고용 관련 정보;
• 공개적으로 이용 가능한 소셜 미디어 및 뉴스 보고서;
• 특징적인 개인정보(예시: 국적, 정치적 소속, 시민권 상태); 및
• 오디오 및 비디오 녹음(예시: CCTV 녹화, 온라인 회의 및 웨비나).

유럽 개인 데이터의 처리는 다음을 기반으로 합니다

• 동의, GDPR 제6조 제1항 a호 및 제9조 제2항 a호,
• 계약 이행, GDPR 제6조 제1항 b호,
• 법적 의무 준수, GDPR 제6조 제1항 c호,
• 정당한 이익, GDPR 제6조 제1항 f호,
• 고용 상태에서의 의무 이행 및 특정 권리 행사, GDPR 제9조 제2항 b호,
• 법적 청구의 수립, 행사 또는 방어, GDPR 제9조 제2항 f호.

유럽 개인 데이터는 회사 네트워크를 통해 상기의 표에 설명된 위치로 전송될 수 있습니다.

또한 본 표준은 L&W 가 EEA 외부로 유럽 개인 데이터를 전송하는 경우와 EEA 외부에 소재한 L&W 가 전송된 데이터를 처리하는 경우(데이터 관리자 또는 데이터 처리자의 자격으로) 및 EEA 외부의 L&W 으로 유럽 개인 데이터를 전송하는 경우에도 적용됩니다.

본 표준의 목적상, 영국(“UK”)은 GDPR의 조항에 따라 제3국으로 간주된다는 점을 인정합니다. 따라서 Latham & Watkins (London) LLP(“L&W London”)는 회사 내에서의 영국 데이터 전송을 다루는 별도의 글로벌 데이터 개인정보 보호 표준을 시행할 것입니다. 해당 데이터 전송과 관련하여, L&W London은 영국 표준을 위반하는 EEA 외부의 다른 L&W 의 행위 및 부작위를 시정하기 위한 조치를 취할 단독 책임을 지며, EEA 외부에 위치한 L&W 가영국 표준을 위반하여 발생한 손해에 대해 보상할 책임을 집니다. 따라서 영국 데이터 전송과 관련하여 불만을 제기하고자 하는 데이터 주체는 L&W London에 연락해야 합니다. 자세한 내용은 https://www.lw.com/Privacy 내 UK 글로벌 데이터 프라이버시 표준을 참조하십시오.

규칙 및 원칙

1. 데이터 취급 원칙

데이터 관리자로서 각 L&W 은모든 직원 공정 데이터 처리 방침, 채용 개인정보 보호 정책, 사우회 개인정보 보호 정책 또는 고객 및 제3자 데이터 개인정보 보호 고지[A2] (해당되는 경우)에 따라 유럽 개인 데이터를 처리할 때 다음 원칙을 준수합니다:

1.1 유럽 개인 데이터는 투명하고 공정하며 합법적으로 처리됩니다.데이터 주체가 데이터 관리자(들)의 신원이나 개인 데이터가 사용될 수 있는 목적(예: 범죄 예방, 법적 절차 또는 과세와 관련하여, 또는 관련 법률에 의해 금지된 경우와 같은 정보 제공에 대한 허용된 제한에 따름)에 대해 알지 못하거나 수신하지 않은 경우, 처리의 법적 근거 및 해당EU 개인정보 보호법에 의해 요구되는 기타 관련 정보를 제공받을 수 있습니다.이러한 정보에는 EU 개인정보 보호법에 따라 데이터 주체가 이용할 수 있는 권리에 대한 세부 정보가 포함됩니다.

1.2 유럽 개인 데이터는 명시되고 분명하며 적법한 업무 목적을 위해서 수집되며, 관련 EU 개인정보 보호법에 따라 허용되지 않는 한, 이러한 목적에서 벗어난 그 어떤 방식으로도 추가 처리하지 않을 것입니다.

1.3 특수 범주 데이터는 당사의 업무 목적을 위해 엄격히 필요한 경우에 한하여 그리고 관련 EU 개인정보 보호법의 요건에 따라 처리될 것입니다.

1.4 수집 및 처리된 유럽 개인 데이터가 적정하되 과도하지 않고, 관련성과 정확성이 있으며, (필요에 따라) 최신 상태로 유지되도록 하기 위해 적절한 조치를 취할 것입니다. 또한 개인 데이터가 부정확한 것으로 밝혀지는 경우, 이를 신속히 정정 또는 삭제하기 위해 적절한 조치를 취할 것입니다.

1.5 유럽 개인 데이터는 처리 목적상 필요한 기간 이상으로 보관하지 않으며 당사의 문서화된 데이터 보관 정책에 따라(규제 요건 및 관련 EU 개인정보 보호법의 요건에 따라) 보관할 것입니다.

2. 데이터 보안

2.1 각각의 L&W 는현행 기술 수준과 이행 비용을 고려하여 네트워크를 통한 데이터의 전송이 일어나는 데이터 처리의 경우 특히 우발적 또는 불법적 파기나 우발적 손실, 변경, 피해, 무단 공개 또는 접근 및 그 밖의 모든 불법적인 형태의 데이터 처리로부터 유럽 개인 데이터를 보호하기 위해 기술적 및 조직적 차원의 조치를 취할 것입니다. 이러한 조치는 유럽 개인 데이터의 처리 및 해당 데이터의 특성상 제기되는 위험에 적합한 수준의 보안을 확보하고, 특수 범주 데이터와 기타 기밀 수준이 높은 정보에 대한 보호를 한층 강화할 것입니다. 적절한 경우, 이러한 조치에는 다음이 포함됩니다.

(a) 가명화

(b) 암호화

(c) 시스템 및 서비스의 기밀성, 무결성, 가용성 및 복원력

(d) 백업 및 재해 복구 시설

(e) 보안 조치의 효과를 테스트, 감정 및 평가하는 프로세스

2.2 각 L&W는 일체의 보안 위반을 지체 없이 당사의 글로벌 데이터 개인정보 보호실에 보고해야 합니다. 글로벌 데이터 개인정보 보호실은 보안 위반, 데이터 주체에 대한 잠재적 영향 및 취한 시정 조치를 문서화하는 적절한 기록을 보관할 것입니다. 글로벌 데이터 개인정보 보호실은 EU 개인정보 보호법에 따라 요구될 수 있는 관련 데이터 보호 당국 및 영향을 받은 데이터 주체에게 통지하도록 해야 합니다. 글로벌 데이터 개인정보 보호실은 L&W가 EEA데이터 관리자로서 처리하는 유럽 개인 데이터에 관한 보안 위반 기록을 해당 DPA가 요청하는 경우 해당 국가 또는 관할권의 DPA와 공유합니다.

2.3 각각의 L&W는 , 당사의 지시에 따른 유럽 개인 데이터의 처리를 포함하여, 유럽 개인 데이터에 접근하거나 이에 대한 책임이 있는직원의 신뢰성을 확보하기 위한 조치를 취할 것입니다.

2.4 8번 항목은 회사의 정보 보안 정책과 개인정보 보호 기능에 대해 설명합니다. 8.3번에 기술된 보안 위원회는회사 내 모든 정보 보안 정책 및 표준에 대한 책임이 있습니다.회사의 정책과 절차는 수시로 업데이트되며, 반드시 준수해야 하는 정보 보안에 대한회사의 세부 표준을 명시하고 있습니다.

3. 데이터 처리자와의 협력

3.1 L&W가  유럽 개인 데이터를 처리하기 위해 데이터 처리자로서 다른 L&W 의 서비스를 이용하는 경우, 해당 데이터 처리자는 본 표준의 관련 요건을 준수하고, 필요한 경우 당사자들은 해당 EU 개인정보 보호법에서 요구될 수 있는 일체의 추가 계약 조건을 마련하고 준수합니다.

3.2 L&W가유럽 개인 데이터를 대신 처리하도록 데이터 처리자를 고용하고 그 데이터 처리자가 제3자일 경우, 해당 L&W 는 처리되는 유럽 개인 데이터와 관련하여 데이터 처리자가 사용할 보안 수준에 대해 적절한 보증을 제공하는 데이터 처리자를 선택할 것입니다. L&W는 해당 EU 개인정보 보호법의 관련 요건을 충족하는 계약을 제3자 데이터 처리자와 체결해야 합니다.

3.3 EEA에설립된 L&W가  EEA 외부에서 설립된 제3자 데이터 처리자를 고용하여 유럽 개인 데이터의 처리를 대행시킬 경우, 해당 L&W는 다음 중 하나를 수행합니다:

(a) 데이터 처리자를 위한 표준 조항의 형식 또는 조건을 실질적으로 포함하는 계약을 데이터 처리자와 체결하도록 보장합니다 (해당 EU 개인정보 보호법에 의해 허용될 수 있는 개정을 포함); 또는

(b) 해당 EU 개인정보 보호법에 따라, 유럽 개인 데이터를 보호할 수 있는 다른 적합한 보호 조치를 시행합니다.

동일한 표준은 2020년 12월 24일에 체결된 EU와 영국 간의 무역 및 협력 협정의 제 FINPROV.10A 조항 1항, 4항에 명시된 전환 기간이 만료된 후 영국에 설립된 제3자 데이터 처리자에게도 적용됩니다. 전환 기간이 만료된 후, L&W은 GDPR 제45조 이하에 따른 적절한 법적 보호 조치에 근거하여서만 유럽 개인 데이터를 영국으로 전송할 것입니다. 해당 보호 조치는 표준 조항 또는 영국이 EU와 유사한 수준의 데이터 보호를 보장할 수 있음을 결정하는 유럽연합 집행위원회의 적정성 결정 등이 될 수 있습니다.

3.4 만약 (데이터 관리자인) L&W가 당사 외부의 제3자 관리자에게 유럽 개인 데이터를 전송할 경우, 해당 L&W사무소는 그러한 데이터의 전송이 해당 EU 개인정보 보호법의 요건에 따라서 시행되도록 할 것입니다. 해당 EU 개인정보 보호법에 따라 요구되거나 해당 법에 의해 허용되거나 적절한 것으로 간주되는 경우, 해당 L&W사무소는 유럽 개인 데이터 및 개인의 권리를 보호하기 위한 안전장치를 시행할 것입니다. 그러한 안전장치는 관리자 간 전송에 관한 표준 조항의 형식으로 되어 있거나 적절한 수준의 보호를 제공하는 또 다른 형식의 계약일 수 있습니다.

4. 직원 교육

4.1 Latham & Watkins는 회사의 모든 직원, 변호사, 준법률인을 대상으로 당사의 개인정보 보호 및 보안 정책과 정보보호 및 보안 모범 사례에 초점을 맞춘 개인정보 보호 및 보안 의식 고취 프로그램을 지속적으로 시행하고 있습니다. 모든 직원은 회사에 입사할 때와 이후 2년마다 의무적인 데이터 개인정보 보호 e-러닝 모듈을 완료해야 합니다. 이 모듈의 완료율은 회사에서 추적 관리합니다. 개인 데이터에 대한 특정 책임이 있는 직원에게는 필요에 따라 맞춤형 데이터 보호 교육도 제공됩니다.

4.2 개인정보 보호 및 보안 의식에 관한 정보를 확산시키기 위해 다양한 소통 창구가 동원됩니다. 모범 사례 가이드와 개인정보 보호 및 보안 의식에 관한 도움말 자료와 프로그램 안내서는 인트라넷에 있는 별도의 개인정보 보호 및 보안 사이트를 통해 모든직원이 볼 수 있습니다.

4.3 각각의 L&W는개인 데이터 접근권이 있거나 개인 데이터 관리 책임이 있는 직원이 적절한 지도와 훈련을 받을 수 있도록 할 것입니다.

5. 해당 현지 법률과의 분쟁

5.1 L&W사무소가 현지 법률, 규정 또는 기타 법적 의무로 인해 본 표준을 준수할 수 없으며, 이로 인해 본 표준이 제공하는 보장에 상당한 악영향을 미칠 수 있다고 믿을 만한 이유가 있는 경우, L&W사무소는즉시 개인정보 보호 위원회(아래에 정의됨)에 이를 알리고 유럽 개인 데이터의 예정된 전송을 중단합니다(예: 법 집행 조사의 기밀성을 유지하기 위해 법률 또는 법 집행 기관에 의해 금지된 경우는 제외). 개인정보 보호 위원회는 이러한 모든 통지와 관련하여 취해진 조치에 대한 기록을 보관합니다.

5.2 개인정보 보호 위원회는 L&W사무소가 통지한 결과 필요한 모든 조치에 대한 결정을 내리며, L&W는 개인정보 보호 위원회가 발행한 모든 지침을 준수합니다. 개인정보 보호 위원회는 L&W가 민주 사회에서 필요한 범위를 넘어서는 대규모, 불균형 또는 무차별적인 방식으로 유럽 개인 데이터를 공공 기관에 전송해서는 안 된다는 점을 인정합니다. 개인정보 보호 위원회는 현지 법률과 표준 간의 분쟁을 해결하는 방법에 대한 언제든지 관련 DPA와 상담하여 조언을 받을 수 있습니다.

5.3 개인정보 보호 위원회는 현지 법률이 본 표준이 규정하는 보장에 상당한 악영향을 미칠 가능성이 있다고 판단한 경우, 법률 또는 법 집행 기관에 의해 금지된 경우(예: 법 집행 조사의 기밀성을 유지하기 위해) 제외하고, 관련 DPA에 보고합니다. 이러한 금지가 시행 중인 경우, 개인정보 보호 위원회는 관련 L&W에게 가능한 한 빨리 관련 DPA에 최대한 많은 정보를 공개할 수 있도록 제한의 면제를 얻기 위해 최선을 다하도록 지시하고, 이를 위한 노력을 기록으로 남깁니다. DPA의 본 표준 준수에 대한 감독 행사와 관련하여 DPA와 분쟁이 있는 경우, 유럽 경제 지역 내의 법원에 제기됩니다.

5.4 개인정보 보호 위원회는 회사가 공개해야 할 의무가 있고 본 표준에서 제공하는 보장에 상당한 악영향을 미칠 가능성이 높은 유럽 개인 데이터의 모든 공개 기록을 보관하고, (법률 또는 법 집행 기관에 의해 부과된 제한을 고려하여) 관련 DPA에 매년  요약된 공개본을 제공할 것입니다.

5.5 현지 법률에 따라 본 표준에 규정된 것보다 높은 수준의 유럽 개인정보 보호가 요구되는 경우, 현지 법률의 조항이 적용됩니다.

6. 데이터 보호 당국과의 상호 지원 및 협력

6.1 각각의 L&W 는해당 국가나 관할권의 DPA가 내린 지시가 본 표준과 관련되어 있거나 유럽 개인 데이터의 일반적인 처리와 관련되어 있는 한 DPA의 지시를 따를 것이며, 본 표준의 해석과 관련된 DPA의 모든 조언을 고려할 것입니다.

6.2 L&W 는 본 표준과 관련된 DPA가 시행하는 모든 문의 또는 조사에 대응하는데 서로 협력하고, 유럽 개인 데이터 처리와 관련하여 DPA가 합리적으로 요청하는 정보를 제공할 것입니다.

6.3 L&W 는 또한 본 표준 또는 유럽 개인 데이터의 처리와 관련하여 데이터 주체가 보내는 질의나 불만사항에 대응하는 데 있어서도 서로 협력할 것입니다.

7. 데이터 전송

7.1 L&W 는 유럽 개인 데이터를 GDPR 제44조에서 제46조 또는 GDPR 제49조에 따른 예외규정에 따라 데이터 처리자 및 기타 제3자에게 전송해야 합니다.

7.2글로벌 개인정보보호실은 L&W를 대신하여 다음 사항들을 고려하고 유럽 개인 데이터 전송에 앞서 데이터 전송에 따른 영향 평가를 수행하고 문서화해야 합니다:

7.2.1 전송의 구체적인 상황, 처리 기간, 관련된 인원수 및 사용된 전송 채널; 예정된 재전송; 수신자의 유형; 처리 목적; 전송된 개인 데이터의 범주 및 형식; 전송으로 발생하는 경제 부문; 전송된 데이터의 저장 위치;

7.2.2제3국 목적지의 법률 및 관행 — 공공 당국에 대한 데이터 공개 요구 및 그러한 당국의 데이터 접근 허용 요구  —전송의 특수 상황 및 적용 가능한 제한 및 보호 조치;

7.2.3  목적지 국가에서의 개인 데이터 전송 및 처리에 적용되는 조치를 포함한 조항을 보완하기 위해 마련된 관련 계약, 기술 또는 조직적 보호 조치.

7.3 L&W 는 유럽 개인 데이터 전송 전에 추가적인 보호 조치가 필요할 경우 글로벌 데이터 개인정보 보호실과 개인정보 보호 위원회에 보고합니다.

7.4 데이터 수신자로서의 L&W가 목적지 국가의 법률 또는 관행에 따라 본이 표준에 따른 의무를 이행할 수 없다고 판단하는 경우, 데이터 수신자로서의 활동하는 L&W는  데이터 반출자로서의 활동하는 L&W와 데이터 프라이버시 위원회에 이를 통보하고 유럽 개인 데이터의 보안과 기밀성을 보장하기 위한 보완 조치를 식별해야 합니다. L&W와 데이터 개인정보 보호 위원회가 보완 조치가 본 표준의 준수를 보장할 수 없다고 판단하는 경우, L&W유럽 개인 데이터의 예정된 전송을 중단합니다.

7.5 L&W은 전송 영향 평가를 정기적으로 검토하고 다른 L&W사무소와평가를 공유합니다.

8. Latham & Watkins 정책, 책임성 및 프라이버시 기능

8.1 정책 및 지침

회사는 개인정보 보호 위원회와 보안 위원회가 승인한 세부 정책, 표준, 절차 및 지침 문서를 수시로 업데이트하고 수정하여, 본 표준을 준수하기 위해 따라야 하는 규칙과 프로세스를 보다 자세히 설명하고, 특히 1항에 명시된 데이터 취급 원칙과 2항에 명시된 정보 보안 의무를 설명합니다. 직원들은 회사 인트라넷의 정책 섹션에서 관련 정책에 대한 자세한 내용을 확인할 수 있습니다.

8.2 책임

회사는 EU 개인정보 보호법에 따라 유럽 개인 데이터와 관련된 처리 활동의 기록을 보관합니다. 특히,회사는 GDPR 제30.1조에 따라 요구되는 처리 활동 기록을 전자 형식으로 보관합니다. 이러한 기록은회사가 사업을 운영하는 EEA 국가의 데이터 보호 당국의 요청에 따라 제공될 수 있습니다.

8.3 개인정보 보호 및 보안 위원회

(a) Latham & Watkins의 개인정보 보호 위원회와 보안 위원회는 별개의 위원회이지만, 회사의 파트너가 주재하고 회사의 경영위원회에 보고하는 밀접하게 연결된 위원회입니다. 개인정보 보호 위원회(글로벌 데이터 개인정보 보호실을 통해)의 주요 초점은 관련 개인정보 보호법과 표준(및 관련 정책)에 대한 인식을 높이고 준수를 강화하는 것입니다. 보안 위원회는회사의 정보 보안 정책 및 표준, 지침 및 관행을 담당하며, 통신 시스템 사용 제한 정책 가입을 포함합니다.  개인정보 보호 위원회는(글로벌 데이터 개인정보 보호실을 통해) 데이터 전송 계약, 공급업체와의 데이터 처리 계약, 현지 규제 요구 사항 준수, 내부 개인정보 업데이트(통신 시스템 사용 허용 정책에 대한 업데이트 포함), 현지 사무소의 교육 및 안내 메모와 개인정보 보호 질의를 감독합니다. 개인정보 보호 위원회는(글로벌 데이터 개인정보 보호실과 함께) 본 표준의 준수를 집행할 책임이 있습니다.

(b) 개인정보 보호 위원회(글로벌 데이터 개인정보 보호실을 통해)와 보안 위원회는 개인정보 보호에 대한 회사의 접근 방식이 선제적이고, 설계 및 기본 원칙에 따라 개인정보 보호 원칙을 통합하며, 단순히 데이터 침해나 기타 결함에 대한 대응이 아님을 보장할 공동 책임이 있습니다. 이 접근법에는 해당 목적을 위해 필요한 범위로 처리를 제한하고 데이터 주체의 권리를 보호하기 위해 설계된 기법(예: 데이터 최소화)의 사용이 포함됩니다.

(c)개인정보 보호 위원회(글로벌 데이터 개인정보 보호실을 통해)는 EU 개인정보 보호법에 따라 DPIA를 수행할 책임이 있습니다. DPIA가 유럽 개인 데이터의 주체인 개인의 권리와 자유에 높은 위험을 초래할 가능성이 있음을 나타내는 경우, 위험을 완화하기 위한 조치가 없는 경우, 개인정보 보호 위원회는 EU 개인정보 보호법에 따라 관련 DPA와 협의할 것입니다.

8.4 EU 개인정보 보호법에 따라, L&W 독일은 DPO를 임명했습니다. DPO의 연락처는 Latham & Watkins의 개인정보 보호 정책에 게시될 것입니다.

8.5 개인정보 담당자

8.5.1 Latham & Watkins의 글로벌 데이터 개인정보 보호실은 회사의 개인정보 보호 위원회의 관리 부서이며,회사 전반에 걸쳐 데이터 개인정보 보호 준수 및 모범 사례를 촉진하는 책임을 집니다. 글로벌 데이터 개인정보 는 개인정보 보호 및 보안 위원회와 여러 글로벌 사무소의 데이터 개인정보 보호 변호사와 긴밀히 협력하여 회사의 데이터 개인정보 보호 관행, 정책 및 절차를 개발, 해석 및 모니터링하고, 여러 Latham & Watkins 사무소 전반에 걸쳐 데이터 개인정보 보호  준수 및 모범 사례와 관련된 목표의 전략적 계획 및 구현에 기여합니다. 글로벌 데이터 개인정보 보호실은 파트너, 관리자, 감독자, 변호사 및 직원에게 개인정보 보호 모범 사례에 대한 지침과 조언을 제공합니다. 본 표준의 위반 또는 잠재적 위반이 발생할 경우, 글로벌 데이터 개인정보 보호실은 이러한 위반 또는 잠재적 위반 사실을 개인정보 보호 위원회에 보고하며, 개인정보 보호 위원회는 집행 또는 기타 조치가 필요한지 여부를 결정할 수 있습니다.

8.5.2 Latham & Watkins의 최고 정보 책임자는 회사의 보안 위원회의 일원이며, 정보 보안 책임자의 보안 책임을 감독합니다. 정보 보안 책임자는 Latham & Watkins의 정보 보안 관리 프로그램을 유지할 책임이 있습니다. 여기에는 회사의 정보 보안 정책 및 정보 보안 표준 준수를 감독, 시행 및 모니터링하는 프로세스를 수립하는 것이 포함됩니다.

8.5.3    회사의 실무 또는 비즈니스 기능을 지원하는 각 시스템 또는 애플리케이션에는 정보 소유자가 있습니다. 정보 소유자는 회사 관리의 대표자로서 시스템 또는 애플리케이션의 보호에 대한 책임을 집니다. 또한, 사무소 기술 관리자 및 리드는 특정 위치에서 회사의 정보 보안 정책 및 표준을 지원하고 관리할 책임이 있습니다.

8.5.4    각 사업장의 사무소 관리자는 사무소 관리 파트너 및 최고 운영 책임자와 협력하여 회사의 관행, 정책 및 절차를 개발, 해석 및 모니터링하고, 해당 Latham & Watkins 사무소의 목표의 전략적 계획 및 구현에 기여합니다. 사무소 관리자는회사의 일반적인 사업 운영과 관련하여 모든 관리자, 감독자, 변호사 및 직원에게 지침과 조언을 제공하며, 또한 제기된 사업 문의 및 문제를 처리할 책임도 있습니다.

9. 준법 책임

9.1 Latham & Watkins의 모든 직원은 본 표준을 준수해야 하며, 당사의 허용되는 최신 통신시스템 사용 정책과 함께 본 표준에 대한 수락의 표시를 당사에 입사할 때와 그후 매년 해야 합니다.

9.2 모든 Latham & Watkins 의 직원은 본 표준을 준수해야 하며, 회사에 입사할 때와 이후 매년 회사의 최신 통신 시스템 사용 허용 정책과 함께 본 표준을 수락했음을 동의해야 합니다(파리 사무소 제외). Latham & Watkins의 파리 사무소 직원은 사무소의 내부 규칙(“règlement intérieur”)을 통해 표준을 인지하게 되며, 직원은 사무소의 인트라넷 사이트를 통해 또는 사무실 내 물리적 공지를 통해 이를 열람하고 접근할 수 있습니다. 또한, 모든 직원이 규칙과 그 내용을 숙지할 수 있도록 매년 이메일로 règlement intérieur가 발송됩니다. 프랑스 법에 따라 파리 사무소의 모든 직원은 règlement intérieur의 조항을 준수해야 합니다. 본 표준(또는 파리 사무소의 경우 règlement intérieur)을 준수하지 않는 것은 징계 위반으로, 고용 종료 또는 파트너십 해지를 포함한 징계 조치로 이어질 수 있습니다. 파리에서는 각 직원의 범주에 적용 가능한 징계 조치가 이루어집니다: 직원의 경우, 징계 제재는 프랑스 노동법에 명시되어 있으며(경고에서 심각한 위법 행위로 인한 해고까지 범위가 있음), 변호사의 경우, 제재는 변호사 협회의 징계 기관 및/또는 회사에 의해 선고될 수 있습니다. (자영업 협력 계약의 종료 또는 파트너십 해지를 포함함)

9.3 당사는 BCR 합의를 체결했습니다. 당사는 L&W 독일을 지정하여 EEA 데이터 보호 의무를 위임했습니다. L&W 독일은 BCR 합의를 통해 집행할 수 있는, 일체의 표준 위반을 바로잡는 조치를 취해야 합니다.

9.4 L&W 독일은 본 표준을 위반하는EEA 외부의 다른 L&W의 행위 및 부작위에 대해 시정 조치를 취하고, EEA 외부에 위치한 L&W 가 이러한 표준을 위반하여 발생한 손해에 대해 보상을 지급할 책임을 수락합니다. 따라서, EEA 외부에 위치한 Latham & Watkins 사무소에 대한 모든 청구는 L&W 독일을 상대로 제기해야 합니다 (영국과 관련된 청구는 Latham & Watkins (London) LLP를 상대로 제기해야 합니다). EEA 내에 소재한 Latham & Watkins 사무소에 대한 청구는 해당 Latham & Watkins 사무소를 상대로 제기해야 합니다.

9.5 데이터 주체에 의해 제기된 청구에 대한 책임을 면하기 위해, L&W 독일은 그러한 위반이 발생하지 않았음을 입증하거나, EEA 외부에 위치한 L&W가  데이터 주체가 청구한 손해 또는 기타 구제책을 초래한 표준 위반에 대해 책임이 없음을 입증해야 합니다.

9.6 L&W는 본 표준에 따라 유럽 개인 데이터를 본 표준에 의해 실질적으로 구속되는 L&W 에게만 전송해야 합니다.

10. 준법 인증 감사 프로그램

Latham & Watkins는 본 표준 및 해당 데이터 보호법에 대한 준수를 평가하고 입증하는 다음과 같은 조치를 시행할 것입니다.

10.1 내부 감사 — 감사는 회사의 내부 감사 팀에 의해 개인정보 보호 위원회 및/또는 글로벌 데이터 개인정보 보호실 구성원의 지원을 받아 지속적으로 수행되며, 유럽 개인 데이터를 처리하는 애플리케이션, IT 시스템 및 데이터베이스 테스트, 유럽 개인 데이터 전송, 수신국의 법률 검토, 공급업체 계약 검토와 같은 본 표준의 준수 여부를 평가합니다. 감사의 적합한 범위는 사례별로 결정됩니다. 본 표준은 합리적으로 요구되는 회사의 위험 기반 감사 접근 방식에 따라 정기적인 감사가 이루어집니다. 감사 결과는 필요에 따라 회사의 글로벌 데이터 개인정보 보호실, L&W 독일의 경영진 및 회사의 고위 경영진에게 보고됩니다. 이러한 감사에서 본 표준 준수를 위해 필요한 것으로 보고된 모든 시정 조치는 시행되며, 이는 감사 위원회에 의해 모니터링됩니다.

10.2 외부 감사 — 회사의 비즈니스 시스템 보안을 테스트하는 감사는회사의 외부 감사자에 의해 매년 수행됩니다. 추가 외부 감사는 필요에 따라 L&W 에 의해 조정될 수 있습니다. 감사 결과는 필요에 따라 회사의 개인정보 보호 위원회 및/또는 보안 위원회에 보고되며, 이는 개인정보 보호 또는 정보 보안과 관련이 있는 경우에 해당합니다.

10.3 10.1 및 10.2항에 기재된 감사 외에도, 운영위원회, 감사 위원회, DPO, 개인정보 보호 위원회 또는 보안 위원회는 추가 감사를 요청할 수 있습니다.

10.4 EEA 내 DPA에 감사 결과 제공 — 본 표준 준수와 관련이 있는 경우, EEA 내 L&W는 해당 DPA의 요청에 따라 해당 국가 또는 관할권의 DPA와 내부 또는 외부 감사의 결과를 공유합니다.

10.5 DPA 감사 제출 — 각 L&W는사업을 운영하는 EEA 국가의 DPA가 본 표준 및 해당 EU 개인정보 보호법 준수 여부를 검증하기 위해 해당 EEA 국가의 운영을 감사할 수 있도록 허용해야 합니다.

11. 정부 접근 요청

11.1 L&W가 법 집행 기관 또는 정부 당국을 포함한 제3자(“제3자 요구”)로부터 유럽 개인 데이터를 제공, 보유, 공개, 접근 허용 또는 기타 방식으로 처리하라는 요구를 받는 경우, L&W는 다음을 수행해야 합니다:

11.1.1 요청 또는 명령을 다른 관련 L&W사무소 및 개인정보 보호 위원회에 신속하게 알리고,데이터 반출자로서 역할을 하는 L&W사무소가 요청 또는 명령에 반대하도록 합리적으로 지원하기 위해 합리적인 노력을 기울입니다.

11.1.2 적용 법률에 의해 요청 또는 명령을 다른 관련 L&W  및 개인정보 보호 위원회에 알리는 것이 금지된 경우, 관할 법원에 이러한 요청 또는 명령에 이의를 제기하고 다른 관련 L&W사무소가 해당 절차에 개입할 수 있는 관련 허가를 얻기 위해 합리적인 노력을 기울입니다; 그리고

11.1.3 제3자 요구를 받은 L&W사무소의 요청이나 후속 공개 또는 기타 조치가 관련 L&W가 본 표준을 준수하지 못하게 하거나 방해할 경우,이를 준수할 수 없음을 다른 관련 L&W  및 개인정보 보호 위원회에신속히 알리는데 동의합니다.

11.2 L&W는 제3자 요구와 관련된 법적 평가를 문서화하고 본 표준의 기간 동안 정보를 보관합니다. 평가는 요청 시 DPA에 제공됩니다.

11.3 11.1항에 따라, L&W는 제3자 요구를 대응하는 데 합리적으로 필요한 유럽 개인 데이터만 제3자에게 제공하며, 이러한 전송은 민주 사회에서 필요한 범위를 넘어서는 대규모, 불균형 및 무차별적인 방식으로 이루어지지 않습니다.

12. 업데이트

12.1 8.3항에 언급된 개인정보 보호 위원회는 본 표준을 검토하고, 정기적으로 업데이트하며, 관련 업데이트를 L&W 에 지체 없이 전달할 것입니다. 개인정보 보호 위원회는 회사 구조에 일어나는 모든 변경 사항이 본 표준에 반영되도록 하고,신규 L&W 가 본 표준의 조건에 동의하고 준수하도록 할 것입니다. 개인정보 보호 위원회는 본 표준의 모든 변경 사항을 L&W에 알릴 것입니다.

12.2 개인정보 보호 위원회는 보안 위원회 및 L&W 에게 모든 업데이트를 알리고, 필요한 경우 관련 DPA에 업데이트를 신속하게 보고할 것입니다.

12.3 부록 1(데이터 개인정보 보호 불만 절차)의 내용을 포함하여, 본 표준의 비밀 유지 대상이 아닌 조항은 Latham & Watkins인터넷 사이트 및 Latham & Watkins 인트라넷 사이트에 게시됩니다. 표준에 대한 모든 업데이트는 지체 없이 게시됩니다. 표준의 전문은 요청 시(기밀유지 계약에 따라) 부록 1의 데이터 개인정보 보호 불만사항 절차에 기술된 시정 권리를 행사하고자 하는 데이터 주체에게 제공됩니다.

13. 접근권, 정정권, 거부권(마케팅 및 자료수집 포함)

각각의 L&W는유럽 개인 데이터의 관리자로서 해당 L&W과 관련하여 제3자 수혜자로서 데이터 주체에게 다음의 모든 권리가 있음을 인정합니다.

13.1 관련 L&W가 유럽 개인 데이터의 데이터 관리자로서 자신의 개인 데이터를 처리하는 방식에 관한 정보를 수신할 권리. 여기에는 본 표준 및 데이터 개인정보 보호 불만 제기 절차의 사본이 포함됩니다.

13.2 해당 EU 개인정보 보호법에 명시된 기간 내에 그리고 명시된 간격으로 L&W가 보유하는 자신에 관한 유럽 개인 데이터(목적 및 처리 방법 포함)의 사본을 수령할 권리. 이 경우, L&W는  해당 EU 개인정보 보호법에 따라 그러한 요구를 전체 또는 일부 거부할 수 있는 권리를 가집니다.

13.3 해당 EU 개인정보 보호법의 조항에 따라 특히 자신의 유럽 개인 데이터의 불완전성 또는 부정확성으로 인해, 그러한 유럽 개인 데이터를 업데이트, 정정 또는 작성할 권리

13.4 해당 EU 개인정보 보호법의 조항에 따라 유럽 개인 데이터를 삭제할 권리

13.5 해당 EU 개인정보 보호법의 조항에 따라 유럽 개인 데이터의 처리를 제한할 권리

13.6 해당 EU 개인정보 보호법의 조항에 따라, 데이터 주체가 구조화되고 일반적으로 사용되며 기계로 판독 가능한 형식으로 유럽 개인 데이터의 데이터 관리자로서의 L&W 에 제공한 유럽 개인 데이터를 수신하고 다른 데이터 관리자에게 해당 개인 데이터를 전송할 권리

13.7 해당 EU 개인정보 보호법의 조항에 따라 요구될 경우, 사전에 동의하지 않은 상태에서 직접적인 마케팅 자료를 수신하지 않을 권리 및 모든 경우, 직접적 마케팅 목적의 자신의 개인 데이터 처리(프로파일링 포함)를 언제든지 거부할 권리

13.8 해당 EU 개인정보 보호법의 조항에 따라 유럽 개인 데이터의 처리를 언제든 반대할 권리

13.9 프로파일링을 포함하여 자동화된 처리를 기본으로 자신에 대해 유럽 개인 데이터와 관련하여 내려지는 결정이 자신의 개인적 특성 또는 행동을 평가하고 자신과 관련되거나 자신에게 중대한 영향을 미치는 법적 효력을 발생시키는 경우 그러한 결정에 대해 반대할 권리(해당 EU 개인정보 보호법에 포함된 안전장치에 의해 허용되고 이에 따라서 이루어지는 경우는 예외)

14. 본 표준의 위반

Latham & Watkins는 제3자 수혜자 자격으로 유럽 개인 데이터와 관련하여 당사에 대해 데이터 주체에게 다음의 모든 권리가 부여된다는 점을 인정합니다.

14.1 요청에 따라 본 표준의 사본을 취득할 권리(그러한 요청을 처리하는 당사 또는 L&W가  합리적으로 요청하는 일체의 기밀유지에 대한 동의를 조건으로)

14.2 합리적인 기간 안에, 늦어도 요청 후 한 달 이내에(복잡한 요청의 경우 3개월 이내) EEA 외부에 있는 데이터 주체의 유럽 개인 데이터의 처리와 관련된 일체의 문의에 대해 답변을 받을 권리

14.3 일체의 L&W 에 의한 본 표준의 위반(직원 훈련, Latham & Watkins의 정책 및 개인정보 보호 기능, 감사 프로그램, 본 표준의 최신 변경사항과 관련된 조항의 일체의 위반은 제외)의 결과로 불만을 제기하고 적절한 보상을 받을 권리(타당한 경우, 손해 배상 포함)

14.4 데이터 주체의 상주 소재지 또는 근무지 또는 본 표준의 위반을 주장하는 장소의 국가에 있는 유럽경제지역의 데이터 보호 당국에 불만을 제기할 권리, 그리고

14.5 관련 L&W가 설립된 관할권 또는 데이터 주체의 상주 소재지에 소재할 수 있는 유럽경제지역의 해당 법원에서 효과적인 사법적 구제를 추구할 권리.

15. 데이터 주체 권리의 행사

15.1 섹션 14에 기재된 권리의 행사를 위한 절차는 본 표준의 부록 1 Latham & Watkins 데이터 개인정보 보호 불만 제기 절차에 보다 상세히 설명되어 있습니다.

15.2 자신의 권리를 행사하고자 하는 데이터 주체는 먼저 글로벌 데이터 개인정보 보호실에 연락해야 하지만, 프랑크푸르트에 위치한 개인정보 보호 위원회 의장, DPA 또는 관련 L&W가 위치한 지역의 법원에도 불만을 제기할 수 있습니다.

15.3 본 표준에 따른 자신의 권리를 행사하고자 하는 데이터 주체는 위반이 일어났음을 보여주는 일단의 사건(prima facie case)을 입증하는 증거를 제출해야 합니다.

15.4 L&W는 데이터 주체가 EU 개인정보 보호법에 따라 적절한 위임장을 제출한 비영리 단체, 조직 또는 협회에 의해 대리될 수 있음을 인정합니다.

16. 종료

16.1 본 표준의 종료 또는 전송 중단 시, 관련 L&W 는 데이터 반출자의 선택에 따라 유럽 개인 데이터 및 그 사본을 보관, 반환 또는 삭제할 수 있습니다.

16.2 데이터 반출자가 관련 L&W가 개인 데이터를 보유할 수 있음에 동의하는 경우, 데이터 수신자는 GDPR의 데이터 전송 규정에 따라 유럽 개인 데이터의 보호가 유지되도록 보장해야 합니다.

16.3 현지 법률이 데이터 수신자로서의 L&W가 이 유럽 개인 데이터를 반환하거나 삭제하는 것을 금지하는 경우, 데이터 수신자는 본 표준에 따라 유럽 개인 데이터의 보호가 유지되도록 보장해야 합니다.