Binding Corporate Rules

프레지니우스 카비 사업 부문의 그룹사 (프레지니우스 카비 AG 및 그 계열회사)와 프레지니우스 Corporate 간에 개인 데이터가 취급되거나 처리되는 방식을 일관되게 규율하기 위해, 당사는 구속력 있는 기업 규칙(BCR)을 채택하였습니다. 이러한 BCR은 유럽 데이터 보호 당국의 승인을 받았습니다.

BCR은 다국적 조직 내 데이터 처리에 대한 내부 규칙이며, 관련 보안 정책 및 절차와 함께, 참여하는 회사를 위한 전 세계적으로 균일하고 적절한 데이터 보호 수준을 만드는 것을 목표로 합니다.

개인 데이터 처리에 대한 공통 표준과 데이터 보호 규정 준수에 대한 효과적인 접근 방식에 대한 헌신은 글로벌 및 로컬 수준에서 귀하의 개인 정보를 보호하려는 당사의 헌신을 강화합니다.

당사의 구속력 있는 회사 규칙에 관심이 있으신 경우, 아래의 문서 또는 요약을 확인하십시오:

Fresenius Kabi Binding Corporate Rules Document

Filename
20220715_Binding_Corporate_Rules_Fresenius-Kabi.pdf
Size
415 KB
Format
pdf
Fresenius Kabi Binding Corporate Rules Document

구속력 있는 기업 규칙(BCR) 요약

하기는 요약이며, BCR 문서를 대체하지 않습니다.  BCR 문서는 모든 경우에 있어서 법적으로 적용 가능한 유일한 문서입니다.

적절하고 균일한 수준의 데이터 보호

Fresenius는 전 세계의 다양한 데이터 보호법을 따라야 합니다. 구속력 있는 기업 규칙(BCR)은 균일하고 적절한 수준의 데이터 보호를 설정합니다. 이를 통해 범위 내의 Fresenius 법인 간에 개인 데이터를 내부적으로 교환할 수 있습니다.

전 세계에 적용 가능

BCR은 다음과 같은 Fresenius 법인에 적용됩니다:

  • Fresenius Kabi AG including all subsidiaries / affiliates 
  • Fresenius Netcare GmbH
  • Fresenius SE & Co. KGaA

특정 활동에 적용 가능

BCR은 다음과 같은 개인 데이터 처리 활동에 적용됩니다: 

  • 유럽 법인의 모든 활동
  • 비 유럽 법인의 활동:
    • 유럽 Fresenius 법인을 대신하여 개인 데이터를 수집할 때 
    • 유럽 Fresenius 법인과 협력할 때 
    • 유럽 법인으로부터 개인 데이터를 받을 때
    • 유럽에 위치한 사람들로부터 개인 데이터를 수집할 때 (상품이나 용역의 제공을 위해 또는 행동 모니터링 관련하여)

BCR은 종이 기반 프로세스와 IT 기반 프로세스 모두에 적용됩니다.
BCR은 개인 데이터에 대한 구조화된 검색을 허용하는 모든 프로세스에 적용됩니다.

BCR은 최소 수준을 설정합니다

현지 데이터 보호법이 개인 데이터 처리에 대해 보다 엄격하거나 추가적인 규칙을 요구하는 경우 이를 추가적으로 준수해야 합니다.

현지 법률이 BCR과 모순되는 경우 데이터 보호 책임자(DPO: Data Protection Officer)에게 알려야 합니다. DPO는 영향을 평가하고 충돌을 해결합니다.

법인이 BCR 요구 사항과 일치하지 않는 개인 데이터 공개 명령을 관계 기관으로부터 받는 경우 DPO에게 알려야 합니다. DPO는 독일의 감독 기관에 알립니다.

BCR은 조직 및 당사 직원들에게 구속력이 있습니다

BCR은 의무적이어야 하며 다음에 대해 구속력이 있습니다:

  • 모든 법인: 계약에 서명합니다.
  • 모든 직원: 고용 계약에 따라 기업 정책을 따를 의무가 있습니다.

조직과 사람들은 이러한 의무에 따라 권리가 파생됩니다. 
BCR의 이행 및 위반으로 인한 제재 가능성은 다른 정책 위반의 경우와 동일합니다.

Fresenius Group은 내부 데이터 보호 조직을 설립하고 다음과 같은 역할 및 책임을 할당했습니다:

  • 데이터 보호 책임자(DPO)는 BCR, 현지 법률, 데이터 보호 규칙 및 프로세스의 준수 여부를 모니터링, 즉, 확인하고 감독합니다. DPO는 감사, 검토 및 조사를 수행할 수 있습니다. DPO는 또한 유럽의 데이터 보호 기관에 대한 접점입니다. 연락처 세부 정보는 다음과 같습니다:

    데이터 보호 책임자:
    Else-Kröner-Str. 1
    61352 Bad Homburg v.d.H.
    Germany
    또는 우편:
    For Fresenius SE and Netcare: dataprotectionofficer@fresenius.com
    For Fresenius Kabi entities: dataprotectionofficer@fresenius-kabi.com
  • 지역 데이터 보호 고문(LDPA: Local Data Protection Advisor)은 현지 직원과 프로세스 소유자(process owner) 가 데이터 보호 관련 질문이 있거나 우려 사항이 있을 때마다 이들을 돕고 조언합니다. 필요한 경우 LDPA는 DPA와 DPO를 지원하고(예: 요청 시 모니터링 기능에서)감독 기관과 연락합니다(예: 언어 문제가 있을 경우).
  • 데이터 보호 고문(DPA: Data Protection Advisor)은 LDPA를 위해 작업에 대한 지원 및 컨설팅을 제공하며 데이터 보호 관리 시스템에 대한 책임이 있습니다. 필요한 경우 DPA는 요청 시 모니터링 기능에서 DPO를 지원하고 감독 기관과 연락합니다(예: 언어 문제가 있을 경우).

개인 데이터를 처리할 때 우리는 BCR에 따라 개인의 기본 권리와 자유를 보호하기 위해 몇 가지 원칙을 따릅니다. 각 법인은 개인 데이터를 처리할 때 다음과 같은 원칙을 준수해야 합니다:

원칙 1: 합법성

개인 데이터를 수집, 사용 및 처리할 때에는 문서화된 법적 근거를 확보하십시오. 이러한 법적 근거는 제한적입니다. 예는 다음과 같습니다: 

  • 직원 계약 및 판매 계약과 같은 개인과의 계약 이행을 위해 처리가 필요합니다
  • 개인이 동의했습니다
  • Fresenius의 적법한 이익이 개인에 대한 부정적인 결과보다 큽니다
  • 세법, Vigilance 요구 사항 또는 품질 요구 사항과 같은 기타 법적 의무를 이행해야 할 필요성

건강 데이터와 같은 특별한 범주의 데이터에는 추가 법적 근거가 필요합니다.
현지 법률이 추가 또는 다른 규정을 요구하는 경우 이를 따라야 합니다(예: 직원 데이터와 관련된 규정).

원칙 2: 투명성 및 공정성

개인 데이터를 공정하고 투명한 방식으로 처리하십시오. 개인 데이터를 수집하고 사용하기 전에 또는 해당 시점에 다음에 대해 개인에게 알리십시오: 

  • 누가 책임자이며 우리에게 어떻게 연락할 수 있는가
  • 어떤 데이터가 수집되는가
  • 데이터가 어떻게 수집되는가
  • 데이터가 필요한 이유는 무엇인가(목적)
  • 데이터가 어떤 조직과 공유되는가
  • 데이터가 다른 국가와 공유되는가
  • 데이터는 얼마 동안 보관되는가
  • 데이터 수집 및 사용에 대한 법적 근거와 그에 대한 설명(원칙1)
  • 개인이 프로파일링되는가
  • 자동화된 수단으로 결정을 내리는가
  • 데이터가 제공되어야만 하는가, 그렇게 하지 않으면 어떻게 되는가
  • DPO 및 기관의 연락처 세부 정보
  • 개인이 가진 권리

이러한 모든 정보는 명확하고 평이한 언어를 사용하여 포괄적이고 쉽게 접근할 수 있는 형식으로 제공되어야 합니다.

원칙 3: 목적 제한

개인 데이터는 해당 데이터가 수집되는 명시적이고 합법적인 지정된 목적으로만 사용하십시오. 이러한 추가 사용이 원래 목적과 일치하지 않거나 추가 조치가 취해지지 않는 한 추가 사용은 허용되지 않습니다.
일반적으로 원래 목적과 일치하는 것으로 간주되는 추가 처리 목적은 다음과 같습니다: 

  • 아카이브
  • 내부 감사
  • 조사

(L)DPA는 목적의 변경이 허용되는지 여부에 대해서 지침을 제공할 수 있습니다. 목적의 변경이 허용된 경우 개인에게 해당 변경을 알려야 합니다.

원칙 4: 데이터 최소화

개인에게 전달된 정의된 목적을 위해 필요한 개인 데이터만 수집하고 사용하십시오. 이는 개인 데이터가 목적의 관점에서 과도하지 않으며 관련성이 있음을  의미합니다.

원칙 5: 정확성

개인 데이터를 정확하고 최신 상태로 유지하십시오. 부정확한 데이터가 지체 없이 삭제, 수정 또는 업데이트 되도록 하는 절차를 구현해야 합니다.

원칙 6: 보관 제한

법률에 의해 요구되지 않는 한 수집 목적을 위해 필요한 것보다 더 오래 개인 데이터를 보관하지 마십시오. 이러한 경우 해당 데이터에 대한 액세스가 제한되어야 합니다. 법적인 이유 또는 목적이 더 이상 존재하지 않는 경우 개인 데이터를 삭제하거나 익명화하십시오.

원칙 7: 보안, 무결성 및 기밀성

개인 데이터의 파괴, 손실, 변경, 승인되지 않은 공개 또는 액세스로부터 개인 데이터를 보호하기 위한 적절한 기술적, 조직적 조치를 취하십시오(예: 적절한 역할 및 권한 개념, 백업 및 복원 또는 암호화 사용을 통해). 
그러한 조치들을 취할 때, 개인에 대한 위험이 고려되어야만 합니다. IT 시스템을 설치하고 유지 관리할 때에는, 이러한 위험의 관점에서, IT 시스템의 보안이 평가되어야 합니다. 
영향을 받는 개인에게 위험을 초래할 수 있는 보안 위반을 문서화하고 데이터 보호 조직에 보고하십시오. 상황에 따라 이러한 위반은 감독 기관, 개인 또는 기타 조직에도 알려야 합니다.

원칙 8: 책임 해명성

BCR 준수를 입증할 수 있어야 합니다. 이는 다음과 같은 적절한 문서를 작성하고 유지함으로써 가능합니다: 

  • 처리 활동 기록
  • 데이터 보호 원칙을 준수하고 위험을 해결하기 위해 취해진 기술적 및 조직적 조치
  • 데이터 보호 위험 및 통제 평가

처리자 (Processors) 참여

해당 처리가 BCR 및 현지 데이터 보호법의 요구 사항을 충족하는 방식으로 적절한 기술적 및 조직적 조치를 구현할 것임을 충분히 보장할 수 있는 처리자(processor)만 참여시키십시오. 이는 각 법인 및 처리자(processor) 간의 데이터 보호 계약에 의해 보장되어야 합니다.

(향후) 개인 데이터의 전송 

이러한 BCR에 따라 EEA 외부에 있는 다른 조직에 대한 개인 데이터 전송을 적절히 보호하기 위한 조치를 이행하십시오. 이는 유럽 집행위원회(European Commission)가 다른 조직과 채택한 표준 계약 조항에 동의함으로써 이루어질 수 있습니다.

데이터 보호 위험 평가

모든 데이터 처리 활동에 대해 데이터 보호 위험 평가를 수행해야 합니다. 이러한 평가는 해당 활동이 관련된 각 데이터 주체의 권리와 자유에 미치는 영향을 평가하기 위한 공식적인 프로세스입니다.

식별된 통제 격차(control gaps)와 잠재적 위험을 보고하고 문서화해야 합니다. 데이터 처리 활동을 시작하기 전에 위험을 줄이는 기술적 및 조직적 조치가 이행되어야 합니다.

데이터 보호 영향 평가

데이터 보호 위험 평가의 결과가 고위험인 경우, 데이터 보호 영향 평가(DPIA: Data Protection Impact Assessment)를 수행해야 합니다. DPO의 조언을 구합니다.

DPIA가 특정 데이터 처리 활동의 높은 위험을 나타내는 경우, 처리 활동을 시작하기에 앞서 그러한 위험을 완화하기 위한 적절한 조치를 이행해야 합니다. 조치 이행 후에도 DPIA가 여전히 높은 위험을 나타내는 경우, 데이터를 처리하기 전에 관련 감독 기관과 상의해야 합니다.

개인은 자신의 다음과 같은 권리(데이터 주체 권리)를 행사할 수 있어야 합니다:

  • 개인 데이터에 액세스할 권리: 개인은 Fresenius가 처리하는 개인 데이터에 대한 정보(예: 처리의 목적, 관련된 개인 데이터의 범주, 수신자, 보관 기간, 자동화된 의사 결정의 존재)의 액세스/수신을 요청할 수 있습니다.
  • 개인 데이터를 수정할 권리: 개인은 부정확하거나 불완전한 개인 데이터를 수정하도록 요청할 수 있습니다.
  • 개인 데이터를 삭제할 권리: 개인은 해당 데이터가 유지되어야 하는 경우(예: 법적 보존 요구 사항으로 인해)가 아닌 한 자신의 개인 데이터를 삭제하도록 요청할 수 있습니다. 
  • 개인 데이터의 처리를 제한할 권리: 개인은 해당 개인 데이터의 정확성에 대해 이론이 있거나, 처리가 불법적인 경우(추구된 목적을 위해 더 이상 필요하지 않음) 자신의 개인 데이터 처리를 제한하도록 요청할 수 있습니다.
  • 휴대하기 쉬운 형식으로 개인 데이터를 받을 권리: 개인은 다음과 같은 조건이 충족되는 경우, 흔하게 사용되는 기계 판독 가능 형식으로 개인 데이터를 받기 위해 요청할 수 있습니다: 
    • 개인 데이터를 개인이 제공한 경우
    • 처리가 개인의 동의 또는 개인과의 계약을 기반으로 하는 경우
    • 처리가 자동화된 수단으로 수행되는 경우
  • 개인 데이터의 처리에 반대할 권리: 개인은 자신의 개인적 상황으로 인해, 합법적 또는 공적 이익에 기반한 자신의 개인 데이터의 처리에 반대할 수 있습니다. 그러한 요청은 평가되어야 합니다. 또한 개인은 직접 마케팅 및 프로파일링에 반대할 수 있습니다. 그러면 처리가 중단되어야 합니다.
  • 자동화된 의사 결정의 대상이 되지 않을 권리: 개인은 다음과 같은 경우를 제외하고 개인에게 법적 또는 이와 유사한 중대한 영향을 미칠 수 있는 자동화된 의사 결정(프로파일링 포함)의 대상이 되지 않을 권리가 있습니다:
    • 개인과 각 법인 간의 계약 체결 또는 이행을 위해 필요한 경우
    • 개인의 명시적 동의에 기반한 경우

BCR 액세스

BCR은 적절한 방식으로 개인에게 제공되어야 합니다. BCR은 인터넷과 인트라넷에 게시됩니다.

개인은 또한 각 DPO 또는 데이터 보호 조직의 구성원에게 연락하여 BCR에 액세스할 수도 있습니다. 

BCR 불만 처리

각 개인은 다음을 수행할 권리가 있습니다.:

  • BCR, 현지 데이터 보호법, 감독 기관의 명령, 내부 정책 및 지침 또는 데이터 보호와 관련된 자발적 자기 약속 위반을 주장합니다.
  • 개인의 권리를 다룹니다.
  • BCR의 기타 권리를 이행합니다.

그러한 불만은 전화, 이메일 또는 편지를 통해, 각 DPO, (L)DPA에게 구두로 문의하여, 또는 규정 준수 핫라인을 통해 제기할 수 있습니다. 
불만이 정당하다고 간주되는 경우 각 법인은 불만을 해결하기 위한 적절한 조치를 취하고 한 달 이내에 각 개인에게 알립니다.

책임 및 집행

자신의 개인 데이터 처리의 결과로 인해 영향을 받거나 피해를 입은 개인은 BCR의 해당 부분을 집행할 수 있으며, 해당되는 경우 관할 법원에서 보상을 받을 권리가 있습니다.
EU/EFA 외부에 설립된 법인이 위반을 한 것으로 입증된 경우, FSE는 개인의 모든 피해에 대한 책임 및 법적 책임을 집니다. 피해를 초래한 법인은 FSE가 해당 불만 또는 요청에 적시에 대응할 수 있도록 FSE에 합당한 지원을 제공해야 합니다.

감독 기관과의 협력

각 법인은 감독 기관과 협력하고 이러한 BCR의 해석에 관한 조언을 따르며 관련 감독 기관의 감사를 수락해야 합니다.

교육

각 법인은 직원이 BCR 및 데이터 보호에 대한 교육에 참여하도록 등록시키고 그러한 교육을 정기적으로 반복하도록 의무화 해야 합니다. 모든 관련 직원에게 일반 교육을 최소 1년에 2회 제공해야 합니다. 또한 특정 역할/개인의 특정 요구를 고려하여 역할(예: HR 또는 조달 부서)별 교육을 제공해야 합니다.

감사

모든 법인은 BCR 준수를 평가 및 테스트하고 법인의 BCR 미준수를 바로잡기에 적절하고 충분한 메커니즘을 구현하기 위해 계획된 또는 임시 감사를 통해 정기적인 감사를 받을 것을 약속합니다. 데이터 보호 조직은 제안된 시정 조치가 적절하게 이행되었는지를 평가하기 위해 수행된 감사에 대한 후속 조치를 취하고 감사 보고서에서 결과를 문서화합니다. 각 법인은 요청 시 감사 보고서를 감독 기관에 제공합니다.

BCR 업데이트

법인들은 현지 데이터 보호법을 검토하고 BCR 변경이 필요한지의 여부를 표시합니다. Fresenius는 필요한 경우 BCR을 수정할 수 있습니다. BCR에 대한 중대한 변경 사항은 즉시 각 법인과 감독 기관에 보고됩니다. BCR에 대한 중요하지 않은 기타 수정 사항은 가능한 한 빨리 각 법인들에게 보고됩니다.