Skip to Content

GDPR 요건 충족

SAP 및 SAP Ariba 솔루션이 조직의 GDPR 규정 준수 과정을 지원하는 방법

I. 소개

2016년 5월, 유럽 연합(EU)은 일반 데이터 보호 규정(GDPR)이라는 새로운 통합 데이터 보호법을 도입했으며, 이는 2018년 5월 25일부터 모든 EU 회원국 및 유럽 경제 지역에서 시행될 예정입니다. 이 GDPR에 전혀 새로운 개념들이 많이 도입되는 것은 아니지만 이로 인해 개인 데이터 처리와 관련된 데이터 관리자 및 처리자의 규정 준수 요구 사항이 크게 증가합니다.

기업으로써 SAP는 2018년 5월 28일까지 GDPR 규정 준수를 보장하기 위해 최선을 다하고 있습니다. SAP는 일반 제품 표준의 일부로 데이터 보호 접근법을 일관되게 유지해 왔으며 이제는 GDPR의 새로운 요구 사항을 반영하여 확장하고 있습니다.

고객사가 규정 준수를 준비함에 따라 SAP는 GDPR에서 도입한 변경 사항과 이러한 변경 사항의 영향 및 SAP 제품 기능이 고객사의 GDPR 요구 사항 구현을 어떻게 지원하는지 요약하여 제공합니다.SAP의 일부로써 SAP Ariba는 고객의 GDPR 준수를 사전 대응 방식으로 지원하며 고객이 이를 이행하는 데 제공되는 구체적인 SAP Ariba 솔루션 기능 및 지원은 본 백서의 후반부에서 설명합니다.

본 백서에 수록된 정보는 일반적인 지침일 뿐이며 SAP가 법률 자문을 제공하지 않는다는 이해하에 제공됩니다. GDPR 규정을 준수하기 위한 적절한 조치를 취할 책임은 GDPR의 관점에서 관리자로서 고객사에게 있으며 SAP는 본 백서에 대한 대응으로 취해진 조치에 대해 어떠한 책임도 지지 않습니다. 따라서 본 백서는 법률 또는 전문 상담을 대신하는 것으로 활용될 수 없습니다.

II. 목표

GDPR의 목표는 유럽 전역의 데이터 보호 요구 사항을 단일 규정으로 통일하는 것입니다. GDPR은 관리자 또는 처리자 역량에 있어 공법 및 민법이 적용되는 기업을 다룹니다. 새로운 법률의 목표는 자연인의 권리와 자유를 보호하고 개인 데이터를 보유 또는 처리하는 조직에 대한 데이터 주체의 신뢰를 강화하며 EU의 내부 시장을 강화하는 것입니다. 이를 위해 GDPR은 EU 전역에서의 개인 데이터 처리에 적용되는 통일된 규정 집합을 제공합니다. 그러나 GDPR을 통해 달성될 수 있는 EU 차원의 통일 정도는 EU 회원국이 특정 데이터 처리 활동에 대한 국가별 법률 및 요구 사항을 수립하는 것을 허용하는 첫 번째 조항에 포함된 규정의 범위까지로 제한됩니다. 따라서 이러한 첫 번째 조항으로 인해 데이터 관리자 및 처리자에게 추가적인 규정 및 의무가 적용될 수 있지만 원본 규정이 변경되거나 바뀌지는 않습니다.

III. 실질적 범위

GDPR의 실제 범위는 광범위하여 파일링 시스템의 일부를 목적으로 하는 것 등 자동화 수단 또는 기타 구조화된 형식에 의한 개인 데이터 처리를 다룹니다. 자연인이 온전히 개인, 비공개 또는 가정 활동 중에 개인 데이터를 독점적으로 처리하는 경우에는 적용되지 않는다고 GDPR에 명시되어 있기 때문에 이러한 차이가 분명해집니다.

IV. 지역 범위

유사하게 GDPR은 광범위한 영토 범위를 가지고 있으며 개인의 개인 데이터 처리를 포함하는 EU의 데이터 관리자 또는 처리자의 모든 활동에 적용됩니다. 여기에서는 관리자 또는 처리자가 EU 내에 위치하는지의 여부가 핵심입니다. 또한, GDPR은 처리 서비스가 EU 내에 거주하는 데이터 주체에게 상품이나 서비스를 제공하거나 EU 내에 거주하는 데이터 주체의 행동을 모니터링하는 EU 외부의 관리자 또는 처리자에게도 적용됩니다.

V. 주요 조항

GDPR은 여러 새로운 법적 요구 사항을 도입하며 이는 관리자 또는 처리자의 비즈니스에 상당한 영향을 줄 수 있습니다. 그러므로 각 관리자 또는 처리자는 본인에게 적용되는 GDPR 의무를 확인하고 그에 따른 구현 방법을 파악해야 합니다.일반 원칙

일반 처리 원칙에 따라 GDPR은 적법하고 비례하며 투명하며 적절하고 정확하며 안전하고 기밀이며 제한된 시간 내에 그리고 지정된 목적으로 개인 데이터를 처리하고 책임 있는 방식(즉, 기술적 및 조직적 수단 등의 적절한 보안을 적용하여 무결성 및 기밀성 보장)으로 수행할 것을 요구합니다.

개인 데이터

GDPR은 개인 데이터라는 용어의 의미를 식별되고 식별 가능한 개인과 관련된 모든 데이터로 명시적으로 정의하고 있습니다. GDPR 제4(1)조는 "식별 가능한 자연인이란 이름, 식별 번호, 위치 데이터, 온라인 식별자 등의 식별자 또는 해당 자연인의 신체적, 생리적, 유전적, 정신적, 경제적, 문화적 또는 사회적 신원에 대한 하나 이상의 요소를 참조하여 직간접적으로 식별 가능한 사람이다."라고 명시합니다. 이 조건에는 IP 주소, 쿠키 또는 개인을 역추적할 수 있는 기타 식별자(해당 데이터의 조합 포함) 등의 메타 데이터 또는 기타 관련 데이터가 명확하게 포함됩니다. GDPR은 개인 데이터의 특수 범주에 대한 알려진 목록을 확장하여 유전자 데이터, 자연인을 고유하게 식별하기 위해 사용되는 경우의 바이오메트릭 데이터 및 형사 기소 및 방어와 관련된 데이터가 포함됩니다.

적법성

GDPR에 명시된 바와 같이 권한 기준 중 하나를 충족하는 경우에만 개인 데이터 처리가 적법합니다. 직접적으로 법에서 허용되지 않는 경우 조직은 데이터를 처리할 개인으로부터 동의를 얻어야 합니다. 이러한 동의는 조직(데이터를 처리하려는)이 데이터를 수집 및 처리하기 위한 모든 목적을 다루며 언제라도 동의를 철회할 수 있는 개인의 권리를 허용해야 합니다. 즉, 여러 미지정 목적에 대한 포괄적 동의 또는 전반적 동의는 개인 데이터 처리에는 유효하지 않습니다.

책임성

GDPR은 개인 데이터 처리의 책임을 개선하고 처리되는 데이터의 투명성을 높이는 것을 목표로 합니다. 현재 EU 지침의 요소 및 구조와 유사함에도 불구하고 GDPR은 집행과 관련하여 훨씬 엄격합니다. 미준수와 관련한 처벌은 잠재적인 손실 청구 및 기업이 내부 구조를 향상하고 규정에 따라 처리하도록 장려하기 위해 고안된 기타 법적 책임 위험과 함께 전 세계 연매출의 최대 4% 또는  €2000만 중 큰 금액에 해당하는 행정 벌금 등으로 매우 강력합니다.

기본 및 설계상의 데이터 보호

GDPR 약관에 따라 개인 정보는 정교하게 구축되어야 하며 기본적으로 시스템 및 프로세스 모두에 채택되어야 합니다. 조직은 개인 데이터의 처리가 특정 목적을 위한 것임을 보장해야 하고 조직은 해당 데이터 보호가 IT 프레임워크 및 솔루션 설계의 핵심이라는 것을 입증해야 합니다.

기술적 및 조직적 보안

이러한 조직은 모든 필요한 기술적 및 조직적 수단(TOM)을 구현하여 데이터 주체에 대한 처리 위험에 적절한 보안 수준을 보장할 의무도 갖습니다. 그러므로 조직의 IT 자산 및 프로세스 환경을 분석하여 개인 데이터를 포함하는 데이터 흐름을 식별 및 매핑해야 합니다. 이는 보안 프레임워크의 적합성을 확인하는 데 도움이 됩니다.

데이터 주체 권리

개인이 알아야 하고 어떤 데이터가 누구에 의해 어떠한 목적으로 어느 기간에 처리되는지를 항상 식별할 수 있어야 한다는 개념에 따라 데이터 관리자는 특정 일반 및 특정 정보를 적극적으로 제공해야 하며 이는 데이터 이식성 및 개인의 액세스, 거부/거절 또는 잊혀질 권리에 대한 GDPR의 개정된 개념을 따릅니다. 개인 데이터 처리에 관련되는 조직에는 그러므로 지정된 역할이 포함된 강력한 내부 프로세스가 필요합니다.

데이터 거버넌스

조직은 데이터 관리자로서 위반 위험을 줄이기 위한 여러 체계적인 조치를 구현해야 하며 고객은 적용되는 규정을 준수하고 있음을 데이터 주체 및 규제 기관에 입증해야 하고 데이터 처리자로서 SAP는 동일한 사항을 고객에게 입증해야 합니다. 조직이 모든 개인 데이터 처리 목적을 유지하며 각 데이터 처리 사용 사례에 모든 개인이 동의했음을 보장해야 하는 경우에도 복잡성이 증가합니다. 이러한 수단은 기존 IT 인프라에 구축되어야 합니다. 기업의 데이터 보호 위험 평가 결과에 따라 전담 데이터 보호 책임자 지명, 개인 정보 영향 평가 이행 및 정기 감사 절차 도입 등의 조치는 규정 준수를 유지하는 데 도움이 됩니다.

위반 통지

내부의 조직적 조치가 데이터 유출을 방지하지 않았거나 개인 데이터 처리가 합법적인 목적을 벗어난 것으로 판명된 경우에서 수행됩니다. 데이터 위반의 경우 데이터 관리자는 감독 기관 및 영향을 받는 개인에게 상황 인지 시점으로부터 72시간 이내에 통지해야 합니다. 데이터 처리자는 개인 데이터 위반을 인지한 직후 지체 없이 데이터 관리자에게 통지해야 합니다.

VI. SAP Ariba 솔루션 및 서비스의 역할

SAP Ariba 솔루션은 고객이 여러 방법으로 GDPR 규정을 준수할 수 있도록 지원합니다. 예를 들면 다음과 같습니다.

  • SAP Ariba 솔루션은 데이터 접근성 및 가시성을 비롯하여 직원 및 공급업체 데이터의 관리 및 보호를 지원하므로 고객의 조달 및 공급망 팀이 비즈니스 수행에 집중할 수 있도록 해줍니다.

  • SAP Ariba를 사용하면 고객사는 공급업체와의 주요 협업을 강화 및 보호하여 소싱에서 금융 조달에 이르는 모든 것을 관리할 수 있습니다.

  • SAP Ariba는 조직의 책임성, 보안 및 개인정보보호 요구를 지원합니다. 

SAP Ariba 서비스와 관련된 GDPR 역할 및 정의

데이터 관리자: GDPR 제4(7)조는 "관리자란 단독으로 또는 공동으로 다른 사람과 개인 데이터 처리 목적 및 수단을 결정하는 자연인 또는 법인, 공공 기관, 기관 또는 다른 단체를 의미합니다(강조 추가됨).

일반적으로 관리자는 수집되는 모든 개인 데이터에 대한 책임을 지고 데이터 주체의 권리를 보장하며 관리자 자체의 법적 의무는 처리자에게도 적용되는 것으로 간주됩니다.

  • SAP Ariba 고객이 SAP Ariba 애플리케이션을 사용하는 경우 데이터 관리자가 됩니다. SAP Ariba는 계약(예: 데이터 보호 계약, 서비스 설명 또는 작업 설명 등)을 통해 고객을 대리하여 데이터 처리자의 역할을 수행합니다.

  • SAP Ariba 공급업체는 자체 등록 등으로 Ariba 네트워크에 입력되는 개인 정보에 대한 모든 책임이 있으므로 데이터 관리자입니다.

데이터 처리자: GDPR 제4(8)조에는 "데이터 처리자"란 관리자를 대리하여 개인 데이터를 처리하는 자연인 또는 법인, 공공 기관, 기관 또는 다른 단체를 의미합니다(강조 추가됨).

일반적으로 이는 계약으로써 데이터 관리자의 지침에 따른 데이터 처리를 나타냅니다.

  • 고객 및 공급업체를 위한 클라우드 솔루션 제공자로서 SAP Ariba는 고객 및 공급업체(데이터 관리자)의 데이터 처리자입니다.

SAP Ariba 솔루션 및 개인 데이터

  • 개인 데이터 범주: SAP Ariba 솔루션은 이메일 주소, 직원 번호, 직원 이름, 업무용 전화 및 우편 주소 등 사용자 또는 기업 연락처로써 애긴의 기본적인 비즈니스 연락처 정보만을 처리합니다.

  • 개인 데이터의 특별 범주: SAP Ariba 개인정보보호정책은 특별 범주의 개인 데이터 처리를 위해 솔루션을 사용하는 것을 금지합니다.

  • 해외 데이터 전송: SAP Ariba는 개인 데이터 전송을 위해 EU 요구 사항을 준수하는 SAP/Ariba 계열사 및 하위 처리자 데이터 전송 계약을 유지합니다. 본 계약은 GDPR에 따른 규정 준수와 동일한 EU 표준 계약 조항을 기준으로 하여 EU 외의 제3국으로 데이터가 전송되는 경우 데이터가 적절한 수준으로 보호됨을 보장합니다.

  • 암호화: 개인 데이터는 저장소 수준에서 암호화되며 모둔 외부 통신이 암호화되고 해당 보안 정책이 적용됩니다.

데이터 처리자로서 SAP Ariba의 고객 지원 방법

  • SAP Ariba는 처리 활동 기록, 설계 검사 및 제품 사이클 내에 기본적이고 설계에 따른 개인정보보호를 통합하여 책임성 및 기술의 측면에서 적절한 TOM을 구현합니다. 

  • SAP Ariba는 고객 계약의 상당한 부분으로써 데이터 보호 계약(DPA)을 적용하여 모든 클라우드 솔루션에서 SAP의 통합 방식을 준수하며 이는 표준 계약 조항을 통합하여 고객에게 데이터 보호를 보장합니다.

  • SAP Ariba는 개인정보보호 원칙 및 보안 주제를 다루는 데이터 보호 및 개인정보보호/보안 인식 교육을 매년 직원이 통과하도록 요구하고 있습니다.

  • SAP는 인증 및 증명에 관한 정보, 데이터 처리 계약, 실시간 클라우드 솔루션 가용성 및 유사 영역을 SAP Trust Center 에 사전에 게시하여 SAP Ariba 솔루션이 데이터의 기밀성, 무결성 및 가용성을 보호하는 방법을 고객이 이해하고 현재의 책임성을 제공할 수 있도록 최선을 다하여 지원합니다.

GDPR 준비를 지원하는 SAP Ariba 솔루션 기능

  • 동의: SAP Ariba 솔루션은 개인정보보호 고지에 대한 사용자 동의 및 확인을 수집한 후 신규 사용자의 사용을 허용합니다. 여기에는 예를 들어 처리 목적 및 처리되는 개인 데이터의 범주가 포함됩니다. SAP Ariba는 고객이 구성할 수 있는 개인정보보호정책 등의 통합 동의 메커니즘을 검토합니다. 또한, 솔루션은 셀프서비스 옵트 아웃도 지원하여 수신자가 이메일 알림 등의 원치 않는 연락의 수신을 해지할 수 있습니다.

  • 잊혀질 권리: 구매자 대상 솔루션은 고객 관리자가 사용자 및 역할 관리를 수행하도록 합니다. 또한, SAP Ariba는 개인 데이터 삭제 및 익명화 등 개인 데이터 삭제 및 보존을 위한 기능을 검토합니다. 어떤 경우에도 일반 고객 데이터 삭제는 계약 종료 시에 수행됩니다.

  • 개정 권리: SAP Ariba 솔루션 사용자는 언제든지 시스템에서 사용자 프로필에 있는 개인 데이터를 편집하거나 수정할 수 있습니다.

  • 투명성: SAP Ariba 솔루션은 사용자의 개인 데이터에 대한 가시성을 제공합니다. 또한, SAP Ariba는 관리자 기능을 검토하여 표준 형식으로 사용자 데이터 내보내기 및 편리한 변경 사항 로그 보기를 지원합니다.

  • 권한 부여 및 공개 제한: SAP Ariba 솔루션은 고객이 권한 부여, 인증 및 직원, 계약자 및 타사의 역할 기반 액세스를 관리할 수 있도록 해줍니다. 상세 티켓 발행 및 워크플로 기능은 신규 SAP Ariba 관리자 사용자가 변화하는 역할을 관리하고 비활성 사용자를 관리하기 위해 사용자 액세스에 적응하는 데 도움을 줍니다.

  • 기본 및 설계상의 개인정보보호: SAP Ariba 제품 개발은 SAP의 제품 표준 보안 요구 사항 안내를 준수합니다. 추가적인 개인정보보호 원칙은 제한적인 개인 데이터 수집 관행 등의 설계 단계에 적용됩니다. 기본 설정은 최대한의 제한으로 설정되며 다음에 적용됩니다.

  • 계약 종료 및 요청 시 개인 식별 가능 정보(PII) 삭제

  • 개인정보보호 통지에 대한 동의(사용자 지정 가능)

  • 필드 수준에서 로그인 및 로그에 대한 액세스

  • PII 가시성, 편집 및 이식성

  • 구성 가능 보존 시간 및 제한적인 처리

  • 셀프서비스 옵트인–옵트아웃 및 로깅

  • 산업 표준 데이터 액세스, 권한 부여, 인증 및 암호화 메커니즘

GDPR 준비를 지원하는 SAP Ariba 서비스

  • 데이터 위반 통지: 개인 데이터 위반이 발생하는 경우 SAP Ariba 서비스는 지체 없이 데이터 위반을 통지해야 하는 의무를 모두 지원합니다. SAP Ariba는 위반 사실을 인식하고 고객 통지에 이르기까지 모든 프로세스를 제공합니다.

  • 데이터 주체 권리: SAP Ariba는 고객의 개인정보보호 관련 질의를 지원하고 고객이 개인의 권리 행사 또는 개인정보보호와 관련된 의무에 응답해야 할 의무가 있는 경우 지원을 제공합니다.

  • 투명성: SAP Ariba 서비스는 데이터 처리자가 모든 GDPR 요구 사항 준수할 수 있는 SAP Ariba 구성 요소를 제공하여 고객이 처리 활동 기록을 유지하는 의무를 이행할 수 있도록 지원합니다. 또한, SAP Ariba는 새로운 제품/서비스(혁신) 및 릴리스 사이클에서 정기 제품/서비스 변경에서 데이터 보호 영향 평가(DPIAs)를 수행합니다.

  • 책임: SAP Ariba는 정기 인증, 위험 평가 및 애플리케이션, 네트워크, IT 인프라의 보안 평가, 문서화된 보안 프로그램 및 정책, 정기 보안 교육 등 지속적인 책임 활동을 통해 보증을 제공합니다.

  • 하위 처리자 규정 준수: SAP Ariba는 개인 데이터 보호를 규제하는 데이터 보호 계약 등 SAP 기업 표준 구매 프로세스를 활용하여 보안 위험의 하위 처리자 계약 조회 및 평가로 지속적인 하위 처리자의 규정 준수를 보장합니다. 승인된 하위 처리자 목록은 고객에게 정기적으로 제공 및 업데이트됩니다.

VII. 추가 정보

GDPR에 대한 자세한 정보는 SAP Trust Center에서 확인하거나 유럽 위원회 웹 사이트에서 GDPR 관련 문서를 찾아보거나 유럽 데이터 보호법에 대한 핸드북에서 확인할 수 있습니다.

계정 및 모든 기존 SAP Ariba 계약이나 합의에 대한 구체적인 질문은 담당자에게 문의하십시오.

본 정보의 PDF 버전 다운로드