원격 근무/재택 근무
코로나바이러스(COVID-19)가 경제에 가져온 변화 중 가장 익숙한 측면은 재택근무(WFH) 프로토콜의 광범위한 적용이다. 재택근무는 직원들이 원격으로 업무를 수행할 수 있게 함으로써 기업이 운영을 유지할 수 있도록 했다. 원격 운영에는 종종 고용주가 가상 사설망(VPN)을 제공하여 직원들이 가정용 기기로 고용주의 내부 네트워크에 연결할 수 있도록 하는 것이 포함된다.
VPN을 통해 웹사이트에 접속할 경우, 방문자들은 일반적으로 VPN 서버의 위치에서 접속하는 것으로 표시됩니다. 이는 VPN을 사용하는 개인이 캘리포니아, 유럽 연합 또는 시민의 개인정보 보호나 사용을 규율하는 법률이 있는 기타 관할권의 거주자인 경우 규정 준수 문제를 야기할 수 있습니다.
캘리포니아 소비자 개인정보 보호법(CCPA) 및 일반 데이터 보호 규정(GDPR)
지난 몇 년간 많은 관할 구역에서 시민의 개인정보를 보호하기 위한 상세한 규제 체계를 제정했습니다. 이 중 가장 대표적인 것은 유럽연합의 일반 데이터 보호 규정(GDPR)과 캘리포니아주의 캘리포니아 소비자 개인정보 보호법(CCPA)입니다. 이 법률들은 개인의 개인정보를 수집하고 사용하는 기업들이 해당 정보를 보호하기 위한 상세한 안전 조치를 준수하고, 수집된 정보의 유형과 용도(개인정보 판매 포함)를 공개하며, 정보가 수집 및 처리되는 개인에게 특정 거부권을 제공할 것을 요구합니다.
GDPR 및 CCPA와 같은 개인정보 보호 규정을 준수하기 위해 많은 웹사이트 운영자는 방문자의 위치에 따라 서로 다른 정보나 URL을 표시합니다. 웹사이트 운영자는 방문자가 인터넷 접속에 사용하는 기기의 IP 주소를 통해 각 방문자의 지리적 위치를 파악하여 적절한 정보로 안내합니다. 그러나 VPN을 사용할 경우 방문자는 VPN 서버의 위치에서 사이트에 접속하는 것으로 표시됩니다. 이는 캘리포니아에 위치한 직원이 다른 지역에서 웹사이트나 애플리케이션에 접속하는 것처럼 보일 수 있음을 의미합니다. (예를 들어 로스앤젤레스에 위치한 직원이 컴퓨터에 로그인하여 "현지" 날씨를 제공하는 웹사이트를 방문할 때 뉴욕 날씨가 표시되는 이유가 바로 이것입니다.) 따라서 캘리포니아 거주자는 (i) CCPA가 요구하는 개인정보 보호 정보를 표시하는 웹사이트 버전을 보지 못할 수 있으며, (ii) 자신의 개인정보가 CCPA 요건에 따라 처리 및 보관되는 웹사이트 운영자의 사용자 정보 저장소로 분류되지 않을 수 있습니다. 이 문제는 재택근무 환경뿐만 아니라 광역 네트워크(WAN)로 인해 회사 위성 사무실의 기기 IP 주소가 본사 또는 중앙 서버와 동일한 도시에 위치한 것처럼 표시될 수 있는 다중 사무실 환경에서도 적용됨을 유의하십시오.
준수하지 않을 경우의 결과
CCPA 및 GDPR 미준수 시 부과되는 처벌은 매우 엄격할 수 있습니다. 두 제도 모두 의도하지 않은 위반에 대해서도 상당한 법정 벌금을 부과하며, 피해 개인에게 민사 소송권을 부여합니다. GDPR의 경우 유럽연합 회원국들은 위반 시 형사 처벌을 추가로 부과할 수 있습니다. CCPA 및 GDPR의 요구사항과 처벌에 관한 자세한 내용은 여기에서 확인할 수 있습니다.
무엇을 할 수 있나요?
원격 근무 환경은 CCPA 및 GDPR 적용 대상 기관에 상당한 위험을 초래합니다. 귀사가 상기 고려 사항의 영향을 받을 수 있다고 판단될 경우, CCPA, GDPR 및 유사한 개인정보 보호 규정에 의해 보호받는 개인과 관련된 개인정보의 부적절한 처리로 인해 발생할 수 있는 위험을 평가하고 완화하는 데 다음 활동이 유용할 수 있습니다.
- CCPA/GDPR 평가 수행모든 기업이 CCPA 적용 대상은 아닙니다. 일반적으로 CCPA는 (i) 연간 총 매출액이 2,500만 달러를 초과하는 영리 기업, (ii) 5만 명 이상의 소비자, 가구 또는 기기 관련 개인정보를 보유한 기업, 또는 (iii) 연간 매출의 절반 이상을 소비자 개인정보 판매로 창출하는 기업에 적용됩니다. GDPR은 적용 범위가 더 넓지만, 유럽 거주자를 대상으로 제품 및 서비스를 제공하지 않는 기업에는 해당되지 않을 수 있습니다. 귀사의 비즈니스에 CCPA 및 GDPR이 적용되는지 여부를 판단하는 데 도움을 드릴 수 있습니다.
- 개인정보 처리 확인캘리포니아 및 유럽 출신 고객과 웹사이트 방문자의 개인정보를 다른 개인과 다르게 처리하는 경우, 해당 개인에게 적용되는 보호 조치를 일반적인 정보 처리 관행에 추가하는 것이 현명할 수 있습니다. 예를 들어, 귀사가 처리하는 모든 개인정보에 유사한 보안 조치를 적용하거나, 모든 개인이 자신의 정보에 접근하거나 삭제를 요청할 수 있도록 허용하는 것은 CCPA와 GDPR 모두에서 발생하는 특정 위험을 최소화할 것입니다. 귀사가 캘리포니아, 유럽 또는 기타 지역 거주자에게 서로 다른 개인정보 처리방침을 표시하는 경우, 다양한 관할권에 필요한 고려 사항을 포괄하는 단일 문서로 통합하는 것을 고려하십시오. 당사는 풍부한 경험을 보유하고 있으며 해당 프로세스를 지원해 드릴 수 있습니다.
- 웹사이트의 쿠키/픽셀/분석 관련 약관 및 설정 검토. CCPA는 해당 개인의 개인정보를 판매할 때 기업이 준수해야 하는 추가 요건을 포함합니다. CCPA에서 정의하는 "판매"는 비재정적 대가를 위한 정보 공개까지 포함하는 광범위한 개념입니다. 예를 들어, 제3자 추적 및 분석 도구 사용조차 CCPA상 판매로 간주될 수 있습니다. 특정 계약 조건을 충족하면 이러한 판단을 피할 수 있습니다. 여러 공급업체들이 CCPA상 '판매'로 분류되는 것을 피하기 위해 데이터 처리를 최소화하는 제품 설정을 제공하기 시작했습니다. 본 문서에서 설명한 사항이 귀사에 영향을 미치는 경우, 웹사이트 방문자의 개인정보를 수신 및 처리하는 제3자와의 계약을 검토하는 것이 좋습니다.
요약하자면, CCPA 및 GDPR 적용 대상이 될 수 있는 기업들은 코로나바이러스로 인한 부정적 영향과 원격 근무를 위한 VPN 사용과 관련된 지속적인 위험으로부터 피해를 입을 위험을 완화하기 위해 지금 추가 조치를 취하는 것이 중요합니다. 권장 조치에 대한 자세한 내용은 담당 Foley 관계 파트너에게 문의하시기 바랍니다.
경제 전 분야의 기업들은 코로나19의 영향을 지속적으로 받고 있습니다. 폴리는 고객사가 비즈니스 이익, 운영 및 목표에 미치는 단기적·장기적 영향을 효과적으로 대응할 수 있도록 지원합니다. 폴리는 다양한 산업과 분야에 걸친 통찰력과 전략을 제공하여, 기업들이 코로나바이러스의 영향 속에서 사업을 수행하며 직면하는 광범위한 법적·비즈니스적 과제에 대한 시의적절한 관점을 제시합니다. 오늘의 도전과 내일의 기회를 다루는 주요 간행물을 통해 최신 동향을 파악하고 선제적으로 대응하려면 여기를 클릭하십시오. 해당 콘텐츠를 이메일로 직접 수신하려면 여기를 클릭하여 양식을 제출하십시오.
