Global Privacy Standards

표준 발효일: 2016년 9월
최종 검토일: 2024년 7월

서문

본 문서는 Latham & Watkins 내의 유럽 개인 데이터(아래 정의됨)의 처리에 적용되는 표준을 설명합니다(이하 “표준”). Latham & Watkins은 전 세계 15개국에 사무소를 두고 있는 글로벌 로펌입니다. 당사는 내부 경계 없이 운영되고 있으며, 사업의 국제적인 특성상 당사 내부에서 개인 데이터 전송은 필수적입니다.

Latham & Watkins는 경영위원회를 통해 당사 내에서 처리되는 개인 데이터를 보호하기 위해 최선을 다하고 있습니다. 특히, 본 표준은 EU 규정 2016/679에 따라 Latham & Watkins 내에서 유럽 개인 데이터의 전송을 용이하게 하도록 설계되었습니다.

정의

“해당 법률”이란 L&W 법인이 위치한 관할권의 법률 및 L&W 법인에 적용되는 기타 모든 법률을 의미합니다.

“BCR 합의”란 유럽 개인 데이터를 처리하는 모든 L&W 법인이 표준을 준수하겠다고 약속한 합의를 의미합니다.

“데이터 보호 당국” 또는 “DPA”는 특정 국가의 데이터 보호법 준수를 감시하고 집행을 담당하는 감독당국을 의미합니다.

“DPIA”는 GDPR 제35조에 정의된 데이터 보호 영향 평가를 의미합니다.

“EEA”는 유럽경제지역(European Economic Area)을 의미합니다.

"EU 개인정보 보호법"은 유럽 규정 2016/679, 지침 2002/58(및 이를 개정하거나 대체하는 모든 법률) 및 관련 유럽 개인정보 보호 법률을 시행하는 EEA내 국가들의 법률을 의미합니다.

“유럽 개인 데이터”는 (i) 충원 및 인사 관리와 관련하여 수집 및 처리되는 직원, 변호사, 파트너, 컨설턴트, 계약직원 및 잠재적 후보자, (ii) 법률 서비스 제공 및/또는 마케팅 및 커뮤니케이션 목적과 관련하여 처리된 고객, 잠재 고객 및 전직사우회, (iii) 해당 법인과 Latham & Watkins 간의 관계 맥락에서 처리된 공급자, 벤더, 계약직원 및 자문인(이에 관한 추가 정보는 전인력 공정 데이터 처리 선언문,채용 개인정보 보호정책,전직사우회 개인정보 보호정책, 또는고객 및 제3자 데이터 개인정보 보호고지 중 어느 하나에 명시되어 있음)의 개인 데이터를 의미하는데, 이러한 개인 데이터는 해당 EU 개인정보 보호법의 적용을 받는 데이터 관리자인 L&W 법인에 의해 처리됩니다.

“GDPR”은 유럽 규정 2016/679를 의미합니다.

"Latham & Watkins" 및 "법인"은 미국 델라웨어 주 법률에 따라 조직된 유한 책임 파트너십(이하 "델라웨어 LLP")으로 전 세계에서 운영되는 Latham & Watkins를 의미하며, 프랑스, 이탈리아, 홍콩, 싱가포르, 사우디아라비아 왕국 및 영국에서 업무를 수행하는 제휴 유한 책임 파트너십과 일본에서 업무를 수행하는 제휴 파트너십을 포함합니다. Latham & Watkins는 한국에서 외국법자문법률사무소로 운영되며, 위에 언급된 것 외에도 델라웨어 LLP가 전적으로 소유한 모든 법인을 포함합니다.

“현지 법률”은 관련 EU 개인정보 보호법 외에, L&W 법인에 적용되는 국가의 법률 및/또는 규정 또는 그 국가에 의해 부과되는 기타 모든 법적 의무를 의미합니다.

“L&W 법인”은 당사를 구성하는 각각의 유한책임조합, 조합, 유한회사를 의미합니다.

“L&W 독일”은 Latham & Watkins의 프랑크푸르트 사무소를 의미합니다.

“모범 조항”은 제3국에 설립된 처리자 또는 관리자에게 전송되는 개인 데이터에 관하여 EU 집행위원회가 때때로 발표하고 승인하는 표준 계약 조항을 의미합니다.

“개인 데이터”는 신원이 확인되거나 신원 확인이 가능한 자연인(‘데이터 주체’)과 관련된 정보를 의미합니다. 신원 확인이 가능한 사람이란 특히 이름, 신원 확인 번호, 위치 데이터, 온라인 식별자, 또는 그 사람의 신체적, 심리적, 유전적, 정신적, 경제적, 문화적 또는 사회적 신분에 특수한 하나 이상의 요소를 참고하여 직접 또는 간접적으로 신원을 확인할 수 있는 사람입니다. “개인 데이터”라는 용어에는 해당 EU 개인정보 보호법에 따라 요구되는 경우에 자연인이 아닌 사람과 관련된 어떠한 정보도 포함될 수 있습니다.

“인력”은 임시직이든 정규직이든 Latham & Watkins의 파트너, 변호사, 직원을 의미합니다.

“보안 위반”은 L&W 법인이 처리하는 유럽 개인 데이터의 우발적 또는 불법적 파기, 분실, 변경, 무단 공개 또는 접근을 초래하는 일체의 보안 위반을 의미합니다.

“특수 범주 데이터”란 인종이나 출신 민족, 정치적 견해, 종교 또는 철학적 신념, 노동조합 가입 여부, 위법 행위, 유죄가 선고된 형사사건, 건강, 성적 지향성 또는 성생활, 유전 및 생체 데이터, 해당 EU 개인정보 보호법에서 다루어지는 일체의 기타 특수 범주와 관련된 유럽 개인 데이터를 의미합니다.

“처리”, “데이터 관리자” 및 “처리자”라는 용어는 GDPR에 있는 것과 같은 의미를 가집니다.

범위

Latham & Watkins는 현재 다음 국가에서 법률 서비스를 제공하고 있습니다(EEA 내 국가는 굵은 글씨로 강조 표시됨).

국가	사무소	연락처
미국	오스틴, 보스턴, 센추리 시티, 시카고, 휴스턴, 로스앤젤레스, 로스앤젤레스 GSO, 뉴욕, 오렌지 카운티, 샌디에이고, 샌프란시스코, 실리콘 밸리, 워싱턴 D.C.	1271 Avenue of the Americas, New York, NY 10020
영국	런던, 맨체스터(변호사 없음)	99 Bishopsgate, London EC2M 3XF, United Kingdom
벨기에	브뤼셀	Boulevard du Régent, 43-44, B-1000 Brussels, Belgium
프랑스	파리	45, rue Saint-Dominique, Paris 75007, France
이탈리아	밀라노	Corso Matteotti, 22, Milano, 20121, Italy
독일	프랑크푸르트, 뮌헨, 함부르크, 뒤셀도르프	Reuterweg 20, 60323 Frankfurt am Main, Germany
스페인	마드리드	Plaza de la Independencia 6, Madrid 28001, Spain
사우디아라비아	리야드	Al-Tatweer Towers, 7th Floor, Tower 1, King Fahad Highway, PO Box 17411, Riyadh 11484, Saudi Arabia
아랍에미리트	두바이	ICD Brookfield Place, Level 16, Dubai International Financial Centre, PO Box 506698, Dubai, United Arab Emirates
이스라엘	텔아비브	28 HaArba’a Street, North Tower, 34th floor, Tel Aviv, 6473925, Israel
대한민국	서울	서울시 영등포구 국제금융로 10 One IFC 29층
중국	베이징	Unit 2318, China World Trade Office 2, 1 Jian Guo Men Wai Avenue, Beijing 100004, People's Republic of China
홍콩		18th Floor, One Exchange Square, 8 Connaught Place, Central, Hong Kong
싱가포르		9 Raffles Place, #42-02 Republic Plaza, Singapore 048619
일본	도쿄	Marunouchi Building, 32nd Floor, 2-4-1 Marunouchi, Chiyoda-ku, Tokyo 100-6332, Japan

본 표준은 EU 개인정보 보호법의 적용을 받는 Latham & Watkins 법인의 유럽 개인 데이터 처리에 적용됩니다.

본 표준은 직원, 지원자, 고객 및 제3자의 개인 정보 전송에 적용됩니다.

예를 들어, 직원의 개인정보에는 다음이 포함됩니다.

식별자(예시: 이름, 연락처 정보, 비상 연락처, 사진, 근로 자격 증명서 및 신분증 번호);
개인 및 가족 정보(예시: 출생지, 결혼 여부, 국적, 시민권, 가족 구성, 여권 및 비자 정보);
건강 정보(예시: 장애사항, 병가 기록, 사고 보고, 건강 검진 정보, 직업 건강 정보, 식사 선호도 및 음식 알레르기);
경력 관리 및 개발과 관련된 데이터(예시: 직원 범주, 정규직/파트타임 상태, 교육 및 자격사항, 언어 능력, 추천서, 배경 조사, 전문 경력);
고용 계약의 체결 및 종료와 관련된 데이터(예시: 고용 날짜, 직원 ID, 시간 기록, 근무 시간 및 휴가, 성과 평가, 교육, 징계 절차 및 불만, 퇴사 인터뷰);
재무 데이터(예시: 보수, 보상, 급여, 복리후생, 은행 계좌 정보, 세금/사회 보장 번호);
오디오 및 비디오 녹음(예시: CCTV 녹화, 온라인 회의 및 웨비나, 이벤트 및 출판물);
건물 출입 통제 시스템 및 사무실 장비 및 자원의 접근, 사용과 관련된 데이터;
업무 관계 증진을 위한 출장 또는 직원 복리후생 프로그램의 일환의 출장과 관련된 데이터.

지원자의 개인 데이터 예시는 다음을 포함합니다:

지원서에 포함된 정보(예시: 이름, 연락처 정보, 근무 및 교육 및 자격사항, 근로 자격 증명서 및 이력서에 포함된 추가 정보);
민감한 정보(예시: 인종이나 출신 민족, 장애);
인터뷰 및 평가 중 수집된 정보(예시: 인터뷰 노트, 피드백, 평가 및 비디오 인터뷰를 통해 수집된 정보);
채용 포털 및 웹사이트 사용에 대한 정보(예시: 쿠키를 통해 수집된 IP 주소 정보);
추천인 및 채용 담당자와 같은 제3자로부터 수집된 정보
고용 전 배경 조사를 수행하기 위해 필요한 정보(예시: 범죄 기록 조회, 자격 및 고용사항 확인);
건물 출입 정보, 보안 카메라 영상.

고객 및 제3자 관련 정보 예시는 다음을 포함합니다:

식별자(예시: 이름, 연락처 정보 및 식별 번호);
생체 정보(예시: 사진);
상업적 정보;
직업 또는 고용 관련 정보;
공개적으로 이용 가능한 소셜 미디어 및 뉴스 보고서;
특징적인 개인정보(예시: 국적, 정치적 소속, 시민권 상태); 및
오디오 및 비디오 녹음(예시: CCTV 녹화, 온라인 회의 및 웨비나).

유럽 개인 데이터의 처리는 다음을 기반으로 합니다

동의, GDPR 제6조 제1항 a호 및 제9조 제2항 a호,
계약 이행, GDPR 제6조 제1항 b호,
법적 의무 준수, GDPR 제6조 제1항 c호,
정당한 이익, GDPR 제6조 제1항 f호,
고용 상태에서의 의무 이행 및 특정 권리 행사, GDPR 제9조 제2항 b호,
법적 청구의 수립, 행사 또는 방어, GDPR 제9조 제2항 f호

유럽 개인 데이터는 법인 네트워크를 통해 상기의 표에 설명된 위치로 전송될 수 있습니다.

또한 본 표준은 L&W 법인이 EEA 외부로 유럽 개인 데이터를 전송하는 경우와 EEA 외부에 소재한 L&W 법인이 전송된 데이터를 처리하는 경우(데이터 관리자 또는 데이터 처리자의 자격으로) 및 EEA 외부의 L&W 법인으로 유럽 개인 데이터를 전송하는 경우에도 적용됩니다.

본 표준의 목적상, 영국("UK")은 GDPR의 조항에 따라 제3국으로 간주된다는 점을 인정합니다. 따라서 Latham & Watkins (London) LLP("L&W London")는 법인 내에서의 영국 데이터 전송을 다루는 별도의 글로벌 데이터 개인정보 보호 표준을 시행할 것입니다. 해당 데이터 전송과 관련하여, L&W London은 영국 표준을 위반하는 EEA 외부의 다른 L&W 법인의 행위 및 부작위를 시정하기 위한 조치를 취할 단독 책임을 지며, EEA 외부에 위치한 L&W 법인이 영국 표준을 위반하여 발생한 손해에 대해 보상할 책임을 집니다. 따라서 영국 데이터 전송과 관련하여 불만을 제기하고자 하는 데이터 주체는 L&W London에 연락해야 합니다.

규칙 및 원칙

1. 데이터 취급 원칙

데이터 관리자로서 각 L&W 법인은 모든 직원 공정 데이터 처리 방침, 채용 개인정보 보호 정책, 동문 개인정보 보호 정책 또는 고객 및 제3자 데이터 개인정보 보호 고지(해당되는 경우)에 따라 유럽 개인 데이터를 처리하고 다음 원칙을 준수합니다:

1.1 유럽 개인 데이터는 투명하게, 올바르고 적법하게 처리될 것입니다. 데이터 주체가 아직 데이터 관리자의 신원 정보를 알지 못하거나 이러한 정보를 수신하지 않는 한, 데이터 주체에게 자신의 개인 데이터가 사용되는 목적을 알리고(그러한 정보 조항에 적용되는 일체의 제한 승인 사항에 따라, 예를 들어 범죄 예방, 소송 또는 과세와 관련하여 또는 관련법에 따른 금지된 경우), 해당 EU 개인정보 보호법에서 요구하는 바에 따라 이 개인 데이터에 대한 접근권과 자료 정정 권한을 알릴 것입니다. 이러한 정보에는 EU 개인정보 보호법에 따라 데이터 주체가 이용할 수 있는 권리에 대한 세부 정보가 포함됩니다.

1.2 유럽 개인 데이터는 명시되고 분명하며 적법한 업무 목적을 위해서 수집되며, 관련 EU 개인정보 보호법에 따라 허용되지 않는 한, 이러한 목적에서 벗어난 그 어떤 방식으로도 추가 처리하지 않을 것입니다.

1.3 특수 범주 데이터는 당사의 업무 목적을 위해 엄격히 필요한 경우에 한하여 그리고 관련 EU 개인정보 보호법의 요건에 따라 처리될 것입니다.

1.4 수집 및 처리된 유럽 개인 데이터가 적정하되 과도하지 않고, 관련성과 정확성이 있으며, (필요에 따라) 최신 상태로 유지되도록 하기 위해 적절한 조치를 취할 것입니다. 또한 개인 데이터가 부정확한 것으로 밝혀지는 경우, 이를 신속히 정정 또는 삭제하기 위해 적절한 조치를 취할 것입니다.

1.5 유럽 개인 데이터는 처리 목적상 필요한 기간 이상으로 보관하지 않으며 당사의 문서화된 데이터 보관 정책에 따라(규제 요건 및 관련 EU 개인정보 보호법의 요건에 따라) 보관할 것입니다.

2. 데이터 보안

2.1 각각의 L&W 법인은 현행 기술 수준과 이행 비용을 참작하여 네트워크를 통한 데이터의 전송이 일어나는 데이터 처리의 경우 특히 우발적 또는 불법적 파기나 우발적 손실, 변경, 피해, 무단 공개 또는 접근 및 그 밖의 모든 불법적인 형태의 데이터 처리로부터 유럽 개인 데이터를 보호하기 위해 기술적 및 조직적 차원의 조치를 취할 것입니다. 이러한 조치는 유럽 개인 데이터의 처리 및 해당 데이터의 특성상 제기되는 위험에 적합한 수준의 보안을 확보하고, 특수 범주 데이터와 기타 기밀 수준이 높은 정보에 대한 보호를 한층 강화할 것입니다. 적절한 경우, 이러한 조치에는 다음이 포함됩니다.

(a) 가명화
(b) 암호화
(c) 시스템 및 서비스의 기밀성, 무결성, 가용성 및 복원력
(d) 백업 및 재해 복구 시설
(e) 보안 조치의 효과를 테스트, 감정 및 평가하는 프로세스

2.2 각 L&W 법인은 일체의 보안 위반을 지체 없이 당사의 글로벌 데이터 개인정보 보호실에 통지해야 합니다. 글로벌 데이터 개인정보 보호실은 보안 위반, 데이터 주체에 대한 잠재적 영향 및 취한 시정 조치를 문서화하는 적절한 기록을 보관할 것입니다. 글로벌 데이터 개인정보 보호실은 EU 개인정보 보호법에 따라 요구될 수 있는 관련 데이터 보호 당국 및 영향을 받은 데이터 주체에게 통지하도록 해야 합니다. 글로벌 데이터 개인정보 보호실은 L&W 법인이 EEA 또는 영국에서 데이터 관리자로서 처리하는 유럽 개인 데이터에 관한 보안 위반 기록을 해당 DPA가 요청하는 경우 해당 국가 또는 관할권의 DPA와 공유합니다.

2.3 각각의 L&W 법인은, 당사의 지시에 따른 유럽 개인 데이터의 처리를 포함하여, 유럽 개인 데이터에 접근하거나 이에 대한 책임이 있는 인력의 신뢰성을 확보하기 위한 조치를 취할 것입니다.

3. 데이터 처리자와의 협력

3.1 L&W 법인이 자신을 대신하여 유럽 개인 데이터를 처리하기 위해 데이터 처리자로서 다른 L&W 법인의 서비스를 이용하는 경우, 해당 데이터 처리자는 본 표준의 관련 요건을 준수하고, 필요한 경우 당사자들은 해당 EU 개인정보 보호법에서 요구하는 일체의 추가 계약 조건을 마련하고 준수합니다.

3.2 L&W 법인이 자신을 대신하여 유럽 개인 데이터를 처리하도록 데이터 처리자를 고용하고 그 데이터 처리자가 제3자일 경우, 해당 L&W 법인은 처리되는 유럽 개인 데이터와 관련하여 데이터 처리자가 사용할 보안 수준에 대해 적절한 보증을 제공하는 데이터 처리자를 선택할 것입니다. L&W 법인은 해당 EU 개인정보 보호법의 관련 요건을 충족하는 계약을 제3자 데이터 처리자와 체결해야 합니다.

3.3 EEA 또는 영국에서 설립된 L&W 법인이 EEA 외부에서 설립된 제3자 데이터 처리자를 고용하여 유럽 개인 데이터의 처리를 대행시킬 경우, 해당 L&W 법인은 다음 중 하나를 수행합니다:

(a) 데이터 처리자를 위한 모델 조항의 형식 또는 조건을 실질적으로 포함하는 계약을 데이터 처리자와 체결하도록 보장합니다 (해당 EU 개인정보 보호법에 의해 허용될 수 있는 개정을 포함); 또는
(b) 해당 EU 개인정보 보호법에 따라, 유럽 개인 데이터를 보호할 수 있는 다른 적합한 보호 조치를 시행할 것입니다.

동일한 표준은 2020년 12월 24일에 체결된 EU와 영국 간의 무역 및 협력 협정의 제 FINPROV.10A 조항 1항, 4항에 명시된 전환 기간이 만료된 후 영국에 설립된 제3자 데이터 처리자에게도 적용됩니다. 전환 기간이 만료된 후, L&W 법인은 GDPR 제45조 이하에 따른 적절한 법적 보호 조에 근거하여서만 유럽 개인 데이터를 영국으로 전송할 것입니다. 해당 보호 조치는 모델 조항 또는 영국이 EU와 유사한 수준의 데이터 보호를 보장할 수 있음을 결정하는 유럽연합 집행위원회의 적정성 결정 등이 될 수 있습니다.

3.4 만약 (데이터 관리자인) L&W 법인이 당사 외부의 제3자 관리자에게 유럽 개인 데이터를 전송할 경우, 해당 L&W 법인은 그러한 데이터의 전송이 해당 EU 개인정보 보호법의 요건에 따라서 시행되도록 할 것입니다. 해당 EU 개인정보 보호법에 따라 요구되거나 이 법에 따라 달리 허용되거나 적절한 것으로 간주되는 경우, 해당 L&W 법인은 유럽 개인 데이터 및 개인의 권리를 보호하기 위한 안전장치를 시행할 것입니다. 그러한 안전장치는 관리자 간 전송에 관한 모범 조항의 형식으로 되어 있거나 적절한 수준의 보호를 제공하는 또 다른 형식의 계약을 취할 수 있습니다.

4. 직원 훈련

4.1 Latham & Watkins는 회사의 모든 직원, 변호사, 준법률인을 대상으로 당사의 개인정보 보호 및 보안 정책과 정보보호 및 보안 모범 사례에 초점을 맞춘 개인정보 보호 및 보안 의식 고취 프로그램을 지속적으로 시행하고 있습니다.

4.2 개인정보 보호 및 보안 의식에 관한 정보를 확산시키기 위해 다양한 소통 창구가 동원됩니다. 모범 사례 가이드와 개인정보 보호 및 보안 의식에 관한 도움말 자료와 프로그램 안내서는 인트라넷에 있는 별도의 개인정보 보호 및 보안 사이트를 통해 모든 인력이 볼 수 있습니다.

4.3 각각의 L&W 법인은 개인 데이터 접근권이 있거나 개인 데이터 관리 책임이 있는 인력이 적절한 지도와 훈련을 받을 수 있도록 할 것입니다.

5. 해당 현지 법률과의 분쟁

5.1 현지 법률에 따라 본 표준에 규정된 것보다 높은 수준의 유럽 개인정보 보호가 요구되는 경우, 현지 법률의 조항이 적용됩니다.

6. 데이터 보호 당국과의 상호 지원 및 협력

6.1 각각의 L&W 법인은 해당 국가나 관할권의 DPA가 내린 지시가 본 표준과 관련되어 있거나 유럽 개인 데이터의 일반적인 처리와 관련되어 있는 한 DPA의 지시를 따를 것이며, 본 표준의 해석과 관련된 DPA의 모든 조언을 고려할 것입니다.

6.2 L&W 는 본 표준과 관련된 DPA가 시행하는 모든 문의 또는 조사에 대응하는데 서로 협력하고, 유럽 개인 데이터 처리와 관련하여 DPA가 합리적으로 요청하는 정보를 제공할 것입니다.

6.3 L&W 법인은 또한 본 표준 또는 유럽 개인 데이터의 처리와 관련하여 데이터 주체가 보내는 질의나 불만사항에 대응하는 데 있어서도 서로 도움을 주고받을 것입니다.

7. 데이터 전송

7.1 L&W 법인은 유럽 개인 데이터를 GDPR 제44조에서 제46조 또는 GDPR 제49조에 따른 예외규정에 따라 데이터 처리자 및 기타 제3자에게 전송해야 합니다.

7.2글로벌 개인정보보호실은 L&W를 대신하여 다음 사항들을 고려하고 유럽 개인 데이터 전송에 앞서 데이터 전송에 따른 영향 평가를 수행하고 문서화해야 합니다:

7.2.1 전송의 구체적인 상황, 처리 기간, 관련된 인원수 및 사용된 전송 채널; 예정된 재전송; 수신자의 유형; 처리 목적; 전송된 개인 데이터의 범주 및 형식; 전송으로 발생하는 경제 부문; 전송된 데이터의 저장 위치;

7.2.2제3국 목적지의 법률 및 관행 — 공공 당국에 대한 데이터 공개 요구 및 그러한 당국의 데이터 접근 허용 요구 —전송의 특수 상황 및 적용 가능한 제한 및 보호 조치;

7.2.3 목적지 국가에서의 개인 데이터 전송 및 처리에 적용되는 조치를 포함한 조항을 보완하기 위해 마련된 관련 계약, 기술 또는 조직적 보호 조치.

8. Latham & Watkins 정책, 책임성 및 프라이버시 기능

8.1 EU 개인정보 보호법에 따라, L&W 독일은 DPO를 임명했습니다. DPO의 연락처는 Latham & Watkins의 개인정보 보호 정책에 게시될 것입니다.

9. 준법 책임

9.1 Latham & Watkins의 모든 인력은 본 표준을 준수해야 하며, 당사의 허용되는 최신 통신시스템 사용 정책과 함께 본 표준에 대한 수락의 표시를 당사에 입사할 때와 그후 매년 해야 합니다.

9.2 당사는 BCR 합의를 체결했습니다. 당사는 L&W 독일을 지정하여 EEA 데이터 보호 의무를 위임했습니다. L&W 독일은 BCR 합의를 통해 집행할 수 있는, 일체의 표준 위반을 바로잡는 조치를 취해야 합니다.

9.3 L&W 독일은 본 표준을 위반하는EEA 외부의 다른 L&W의 행위 및 부작위에 대해 시정 조치를 취하고, EEA 외부에 위치한 L&W 가 이러한 표준을 위반하여 발생한 손해에 대해 보상을 지급할 책임을 수락합니다. 따라서, EEA 외부에 위치한 Latham & Watkins 사무소에 대한 모든 청구는 L&W 독일을 상대로 제기해야 합니다 (영국과 관련된 청구는 Latham & Watkins (London) LLP를 상대로 제기해야 합니다). EEA 내에 소재한 Latham & Watkins 사무소에 대한 청구는 해당 Latham & Watkins 사무소를 상대로 제기해야 합니다.

10. 준법 인증 감사 프로그램

Latham & Watkins는 본 표준 및 해당 데이터 보호법에 대한 준수를 평가하고 입증하는 조치를 시행할 것입니다.

11. 업데이트

11.1 개인정보 보호 위원회는 본 표준을 검토하고, 정기적으로 업데이트하며, 관련 업데이트를 L&W 에 지체 없이 전달할 것입니다. 개인정보 보호 위원회는 법인 구조에 일어나는 모든 변경 사항이 본 표준에 반영되도록 하고,신규 L&W 가 본 표준의 조건에 동의하고 준수하도록 할 것입니다. 개인정보 보호 위원회는 본 표준의 모든 변경 사항을 L&W에 알릴 것입니다.

11.2 부록 1(데이터 개인정보 보호 불만 절차)의 내용을 포함하여, 본 표준의 비밀 유지 대상이 아닌 조항은 레이텀 앤 왓킨스 인터넷 사이트 및 레이텀 앤 왓킨스 인트라넷 사이트에 게시됩니다. 표준에 대한 모든 업데이트는 지체 없이 게시됩니다. 표준의 전문은 요청 시(기밀유지 계약에 따라) 부록 1의 데이터 개인정보 보호 불만사항 절차에 기술된 시정 권리를 행사하고자 하는 데이터 주체에게 제공됩니다.

12. 접근권, 정정권, 거부권(마케팅 및 자료수집 포함)

각각의 L&W 법인은 유럽 개인 데이터의 관리자로서 해당 L&W 법인과 관련하여 제3자 수혜자로서 데이터 주체에게 다음의 모든 권리가 있음을 인정합니다.

12.1 관련 L&W 법인이 유럽 개인 데이터의 데이터 관리자로서 자신의 개인 데이터를 처리하는 방식에 관한 정보를 수신할 권리. 여기에는 본 표준 및 데이터 개인정보 보호 불만 제기 절차의 사본이 포함됩니다.

12.2 해당 EU 개인정보 보호법에 명시된 기간 내에 그리고 명시된 간격으로 L&W 법인이 보유하는 자신에 관한 유럽 개인 데이터(목적 및 처리 방법 포함)의 사본을 수령할 권리. 이 경우, L&W 은 해당 EU 개인정보 보호법에 따라 그러한 요구를 전체 또는 일부 거부할 수 있는 권리를 가집니다.

12.3 해당 EU 개인정보 보호법의 조항에 따라 특히 자신의 유럽 개인 데이터의 불완전성 또는 부정확성으로 인해, 그러한 유럽 개인 데이터를 업데이트, 정정 또는 작성할 권리

12.4 해당 EU 개인정보 보호법의 조항에 따라 유럽 개인 데이터를 삭제할 권리

12.5 해당 EU 개인정보 보호법의 조항에 따라 유럽 개인 데이터의 처리를 제한할 권리

12.6 해당 EU 개인정보 보호법의 조항에 따라, 데이터 주체가 구조화되고 일반적으로 사용되며 기계로 판독 가능한 형식으로 유럽 개인 데이터의 데이터 관리자로서의 L&W 법인에 제공한 유럽 개인 데이터를 수신하고 다른 데이터 관리자에게 해당 개인 데이터를 전송할 권리

12.7 해당 EU 개인정보 보호법의 조항에 따라 요구될 경우, 사전에 동의하지 않은 상태에서 직접적인 마케팅 자료를 수신하지 않을 권리 및 모든 경우, 직접적 마케팅 목적의 자신의 개인 데이터 처리(프로파일링 포함)를 언제든지 거부할 권리

12.8 해당 EU 개인정보 보호법의 조항에 따라 유럽 개인 데이터의 처리를 언제든 반대할 권리

12.9 프로파일링을 포함하여 순전히 자동화된 처리를 기본으로 자신에 대해 유럽 개인 데이터와 관련하여 내려지는 결정이 자신의 개인적 특성 또는 행동을 평가하고 자신과 관련되거나 자신에게 중대한 영향을 미치는 법적 효력을 발생시키는 경우 그러한 결정에 대해 반대할 권리(해당 EU 개인정보 보호법에 포함된 안전장치에 의해 허용되고 이에 따라서 이루어지는 경우는 예외)

13. 본 표준의 위반

Latham & Watkins는 제3자 수혜자 자격으로 유럽 개인 데이터와 관련하여 당사에 대해 데이터 주체에게 다음의 모든 권리가 부여된다는 점을 인정합니다.

13.1 요청에 따라 본 표준의 사본을 취득할 권리(그러한 요청을 처리하는 당사 또는 L&W 법인이 합리적으로 요청하는 일체의 기밀유지에 대한 동의를 조건으로)

13.2 합리적인 기간 안에, 늦어도 요청 후 한 달 이내에(복잡한 요청의 경우 3개월 이내) EEA 외부에 있는 데이터 주체의 유럽 개인 데이터의 처리와 관련된 일체의 문의에 대해 답변을 받을 권리

13.3 일체의 L&W 법인에 의한 본 표준의 위반(직원 훈련, Latham & Watkins의 정책 및 개인정보 보호 기능, 감사 프로그램, 본 표준의 최신 변경사항과 관련된 조항의 일체의 위반은 제외)의 결과로 불만을 제기하고 적절한 보상을 받을 권리(타당한 경우, 손해 배상 포함)

13.4 데이터 주체의 상주 소재지 또는 근무지 또는 본 표준의 위반을 주장하는 장소의 국가에 있는 유럽경제지역의 데이터 보호 당국에 불만을 제기할 권리, 그리고

13.5 관련 L&W 법인이 설립된 관할권 또는 데이터 주체의 상주 소재지에 소재할 수 있는 유럽경제지역의 해당 법원에서 효과적인 사법적 구제를 추구할 권리.

14. 데이터 주체 권리의 행사

14.1 섹션 14에 기재된 권리의 행사를 위한 절차는 본 표준의 부록 1 Latham & Watkins 데이터 개인정보 보호 불만 제기 절차에 보다 상세히 설명되어 있습니다.

14.2 자신의 권리를 행사하고자 하는 데이터 주체는 먼저 글로벌 데이터 개인정보 보호실에 연락해야 하지만, 프랑크푸르트에 위치한 개인정보 보호 위원회 의장, DPA 또는 관련 L&W 법인이 위치한 지역의 법원에도 불만을 제기할 수 있습니다.

14.3 본 표준에 따른 자신의 권리를 행사하고자 하는 데이터 주체는 위반이 일어났음을 보여주는 일단의 사건(prima facie case)을 입증하는 증거를 제출해야 합니다.

14.4 L&W는 데이터 주체가 EU 개인정보 보호법에 따라 적절한 위임장을 제출한 비영리 단체, 조직 또는 협회에 의해 대리될 수 있음을 인정합니다.

15. 종료

15.1 본 표준의 종료 또는 전송 중단 시, 관련 L&W 는 데이터 반출자의 선택에 따라 유럽 개인 데이터 및 그 사본을 보관, 반환 또는 삭제할 수 있습니다.

부록 1

Latham & Watkins 개인정보 보호 불만 제기 절차