Asana는 글로벌 개인 정보 보호 권리를 보호하고 존중하기 위해 노력하고 있습니다. 여러 관할권에서 기업의 개인 정보 취급 방식에 영향을 미치는 법률을 제정함에 따라, 끊임없이 변화하는 글로벌 개인 정보 보호법 및 규정을 준수하고 개인 정보 보호에 대한 Asana의 지속적인 노력을 강조하기 위해 Asana가 시행한 몇 가지 조치를 강조하고자 합니다.

지속적인 규정 준수 및 커뮤니케이션

데이터 보호 당국 및 규제 기관의 법률, 규정 및 지침이 계속 발전하고 더 많은 국가가 새로운 데이터 보호 법률 및 규정을 통과함에 따라, 당사는 이러한 발전을 면밀히 따르고 필요에 따라 프로그램을 변경하거나 개선할 수 있도록 평가할 것입니다.

Asana는 고객과의 커뮤니케이션을 소중하게 생각합니다. Asana의 데이터 보호 관행에 대해 궁금한 점이 있으면 privacy@asana.com으로 문의하시기 바랍니다.

일반 데이터 보호 규정

GDPR은 EU 거주자의 개인 데이터를 보호하기 위해 제정된 유럽법으로서 2018년 5월 25일에 발효되었습니다. GDPR에 따라 EU 거주자의 개인 데이터를 수집, 유지, 이용 또는 처리하는 조직은 (조직의 위치와 무관하게) 해당 데이터에 대해 특정 개인 정보 보호 및 보안 안전 조치를 마련해야 합니다. Asana는 광범위한 GDPR 준수 프로그램을 마련했으며, GDPR을 준수하기 위해 고객 및 벤더와 협력하는 데 최선을 다하고 있습니다. GDPR과 보조를 맞추기 위해 Asana가 마련한 몇 가지 중요한 조치는 다음과 같습니다.

• 요구사항 변화에 따라 필요에 따라 파트너, 공급업체, 사용자와의 정책 및 계약 개정

• 보안 관행 및 절차 강화

• 수집, 이용, 공유하는 데이터의 면밀한 검토 및 매핑

• 더 강력한 내부 개인 정보 보호 및 보안 문서 작성

• 전반적인 글로벌 개인 정보 보호 요구 사항 및 개인 정보 보호/보안 모범 사례에 관해 직원 교육 실시

• 데이터 주체의 정책 및 대응 프로세스의 면밀한 평가 및 구축

다음은 Asana GDPR 준수 프로그램의 핵심 분야와 고객이 Asana를 사용하여 자체 GDPR 준수 이니셔티브를 지원하는 방법에 대한 자세한 내용입니다.

데이터 처리 계약

GDPR에 따라 "데이터 컨트롤러"(즉, 데이터 처리 목적과 방법을 결정하는 업체)는 데이터를 대신 처리하는 다른 업체("데이터 처리업체"라고 함)와 계약해야 합니다. Asana는 EU 개인 데이터의 컨트롤러인 고객에게 데이터 처리 부칙을 체결할 수 있는 옵션을 제공하며, 이 부칙에 따라 Asana는 GDPR 요구 사항에 맞게 개인 데이터를 처리하고 보호합니다. 여기에는 데이터 컨트롤러의 지시에 따라 개인 데이터를 처리하는 Asana의 의무가 포함됩니다.

해외 데이터 이전

EU-미국 데이터 프라이버시 프레임워크 프로그램, EU-미국 DPF의 영국 확장본 및 스위스-미국 데이터 프라이버시 프레임워크

Asana는 미국 상무부의 규정에 따라 EU-미국 데이터 프라이버시 프레임워크 프로그램(EU-미국 DPF), EU-미국 DPF의 영국 확장본 및 스위스-미국 데이터 프라이버시 프레임워크(스위스-미국 DPF)를 준수합니다. Asana는 EU-미국 DPF에 따라 유럽연합으로부터 수신한 개인 데이터와 EU-미국 DPF의 영국 확장본에 따라 영국(및 지브롤터)으로부터 수신한 개인 데이터의 처리와 관련된 EU-미국 데이터 프라이버시 프레임워크 프로그램(EU-미국 DPF 원칙)을 준수함을 미국 상무부에 인증했습니다. Asana는 스위스-미국 DPF에 따라 스위스로부터 수신한 개인 데이터의 처리와 관련된 스위스-미국 데이터 프라이버시 프레임워크 프로그램 원칙(스위스-미국 DPF 원칙)을 준수함을 미국 상무부에 인증했습니다.

EU-미국 DPF, EU-미국 DPF의 영국 확장본 및 스위스-미국 DPF에 따라, Asana는 EU-미국 DPF, EU-미국 DPF의 영국 확장본 및 스위스-미국 DPF에 의거하여 수신된 개인 데이터 처리와 관련하여 해결되지 않은 불만 사항을 미국에 소재한 대안적인 분쟁 해결 제공 기구인 BBB National Programs에 회부할 것을 약속합니다. 당사로부터 귀하의 DPF 원칙 관련 불만 사항에 대한 접수 확인을 적시에 받지 못했거나 당사가 귀하의 DPF 원칙 관련 불만 사항을 만족스럽게 해결하지 못한 경우, 자세한 정보를 확인하거나 불만을 제기하려면 BBB National Programs 분쟁 해결 프로세스 웹사이트(https://bbbprograms.org/programs/all-programs/dpf-consumers/ProcessForConsumers)를 방문하시기 바랍니다. BBB National Programs의 서비스는 무료로 제공됩니다.

이러한 정식 절차를 통해 불만 사항이 해결되지 않는 경우, 제한적인 상황에서 DPF 원칙의 부록 I에 명시된 바와 같이 구속력 있는 중재 옵션을 이용할 수 있다는 점을 참고하시기 바랍니다. Asana는 EU-미국 DPF, EU-미국 DPF의 영국 확장본 및 스위스-미국 DPF의 조항 준수와 관련하여 연방거래위원회(FTC)의 조사 및 집행 권한의 적용을 받습니다.

Asana는 EU, 영국 및 스위스 용어에 따라 “데이터 처리자” 역할을 하는 제3자가 당사에서 위탁한 개인 데이터를 DPF 원칙에 부합하는 방식으로 처리하도록 보장하는 데 필요한 합리적이고 적절한 조치를 취할 것입니다. Asana는 각각 EU-미국 DPF, EU-미국 DPF의 영국 확장본 및 스위스-미국 DPF에 따라 수신한 EU, 영국 및 스위스 개인의 데이터를 제3자에게 계속 이전하는 경우 법적 책임을 지게 될 가능성이 있습니다.

본 개인정보 보호 정책의 약관과 EU-미국 DPF 원칙 및/또는 스위스-미국 DPF 원칙 사이에 충돌이 있는 경우, 해당 원칙이 우선 적용됩니다.

데이터 프라이버시 프레임워크(DPF) 프로그램에 대해 자세히 알아보고 당사의 인증서를 확인하려면 https://www.dataprivacyframework.gov/를 방문하십시오.

EU-미국 DPF, EU-미국 DPF의 영국 확장본 및 스위스-미국 DPF가 적용되지 않는 경우 Asana는 표준 계약 조항과 같은 EEA, 영국 및 스위스 외부로의 개인 데이터 이전에 대해 다른 데이터 이전 메커니즘을 기준으로 합니다.

데이터 액세스, 관리, 이동 도구

GDPR은 특정 상황에서 개인 데이터 주체에게 개인 데이터 액세스, 삭제, 수정 등의 권한을 부여합니다. Asana는 개인 정보 보호 정책에 명시된 대로 GDPR에 따라 데이터 주체의 요청에 빠르게 대응하기 위해 노력하고 있습니다.

개인 정보 보호 문서

GDPR은 투명성, 공정성, 책임감에 중심을 두고 있습니다. 따라서, 이 법률은 조직이 개인 정보 보호 관행과 개인 데이터를 취급하는 방법과 관련된 결정을 문서로 남기도록 요구합니다. Asana는 이러한 원칙에 대한 GDPR의 약속을 공유하고, GDPR에 따른 데이터 수집 및 처리 활동과 Asana가 준수하는 다양한 정책과 가이드라인에 대해 GDPR 준수 프로그램 문서에 지속적으로 기재하고 있습니다. Asana의 개인 정보 보호 정책을 방문하여 Asana가 개인 데이터를 수집, 이용, 공개하는 방법에 대해 자세히 확인할 수 있습니다.

데이터 보안

GDPR은 조직이 개인 데이터의 보안, 기밀성, 무결성을 보호하기 위해 적절한 기술적, 조직적 대책을 사용하도록 요구합니다. 보안은 Asana의 최우선 과제이며 ISO 27018(클라우드에서 개인 데이터 보호), ISO 27701(개인 정보 관리) 및 기타 인증은 글로벌 개인 정보 보호 표준에 대한 당사의 노력을 입증합니다. 또한 보안, 가용성 및 기밀성과 관련된 통제에 대한 SOC 2(유형 I) 및 (유형 II) 감사를 성공적으로 완료했습니다. 즉, 독립된 제3자가 이러한 신뢰 서비스 기준과 관련하여 프로세스와 관행을 검증했고 Asana가 직접 구축한 컨트롤로 계속 준수할 능력이 있는지를 확인했습니다. Asana는 데이터 전송을 보호하는 웹 연결 암호화, 플랫폼 신뢰성을 지원하는 데이터베이스 복제, 시설 및 사무실 네트워크에 대한 액세스 제어 등 플랫폼의 보안을 보호하기 위해 다양한 안전 조치도 마련했습니다. 또한, Asana는 팀 데이터의 보안을 더욱 강화하기 위해 추가 보안 컨트롤을 사용할 수 있는 기능을 고객에게 제공합니다. 자세한 내용은 신뢰 페이지를 참조하세요.

관련 글로벌 개인 정보 보호법에 따른 권리 행사

귀하의 권리를 행사하려면 글로벌 데이터 보호 권리 요청 양식을 작성하여 요청을 제출하시기 바랍니다. CCPA에 따라 개인 소비자에게 개인 정보에 액세스하고 삭제를 요청할 수 있는 기능을 제공하는 방법에 대한 자세한 내용은 당사의 개인 정보 처리 방침의 캘리포니아 거주자를 위한 개인 정보 처리 방침을 참조하시기 바랍니다.

캘리포니아 소비자 개인 정보 보호법

캘리포니아 소비자 개인 정보 보호법(CPRA에 의해 개정됨)은 캘리포니아 소비자에게 개인 정보와 관련하여 특정 권리를 부여하는 법률입니다. 특히, 이 법의 적용을 받는 기업은 소비자에게 자신의 데이터에 대한 액세스 및 삭제를 요청할 수 있는 권한과 특정 유형의 개인 정보 공개를 거부할 수 있는 권한을 부여해야 합니다. 이 법은 기업을 대신하여 개인 정보를 처리하는 서비스 제공업체가 해당 정보를 이용하는 방법도 제한합니다.

CCPA의 적용을 받는 기업이 Asana와 서비스 계약이나 구독 계약을 체결한 경우, Asana는 해당 기업의 서비스 제공업체 역할도 하게 됩니다. 특히, Asana는 해당 계약에 명시된 목적으로만 해당 고객의 개인 정보를 처리하며 삭제 또는 액세스 요청과 관련된 고객의 의무를 이행하기 위해 고객과 협력할 것입니다.

CCPA 데이터 처리 부칙

Asana는 데이터 처리 부록을 업데이트하여 CCPA(CPRA에 의해 개정됨)에 따른 당사의 의무를 구체적으로 언급했습니다. 귀사가 Asana의 고객이고 부록이 필요한 경우 dpa@asana.com으로 문의하시기 바랍니다.

Gramm-Leach-Bliley 법

GLBA(Gramm-Leach-Bliley Act)는 고객에게 대출, 금전적 또는 투자상의 조언, 보험과 같은 금융 상품이나 서비스를 제공하는 금융 기관이 고객에게 정보 공유 관행을 설명하고 민감한 데이터를 안전하게 지킬 것을 요구하는 법률입니다. 금융 기관이 고객의 NPI(비공개 개인 정보)에 접근할 수 있도록 허용한 서비스 제공자 또한 GLBA를 준수해야 합니다. Asana는 GLBA의 개인 정보 보호 규정(Privacy Rule) 및 보호 수단 규정(Safeguards Rule)을 준수합니다. 보안 수단을 사용함과 더불어 Asana는 Asana의 서비스를 제공하기 위한 목적으로만 고객의 업무 내용을 사용하며, 다른 목적을 위해서는 활용하지 않습니다. 고객은 민감한 개인 데이터(금융 계좌 번호 및 사회 보장 번호 등)를 Asana에 저장하면 안 됩니다.

가족 교육권 및 개인 정보 보호에 관한 법률

FERPA(가족 교육권 및 개인 정보 보호에 관한 법률)는 단과 대학 및 종합 대학과 같은 교육 기관은 학생의 교육과 관련된 기록의 개인 정보를 보호해야 한다고 규정한 미연방 법입니다. Asana는 개인 데이터가 안전하게 보호되고 서비스 약관 및 개인 정보 보호 정책에 설명된 대로 서비스를 제공하기 위한 목적으로만 사용될 수 있도록 하여 Asana의 고객이 FERPA를 준수할 수 있도록 지원합니다. 계약을 맺은 교육 기관이 지시하거나, 약관에 의해 허용되거나, 법에서 요구하는 경우를 제외하고 Asana는 계약에 따라 고객의 데이터를 공개하지 않을 의무를 다합니다.

HIPAA

1996년 건강보험 양도 및 책임에 관한 법안(Health Insurance Portability and Accountability Act, 이하 HIPAA)은 환자의 건강 관련 민감한 정보가 환자의 동의 없이 또는 환자가 알지 못하는 상태에서 공개되지 않도록 국가적 표준의 수립을 규정한 미국의 연방법입니다. HIPAA의 대상이 되는 기업은 Asana를 사용하여 HIPAA를 준수하는 방식으로 업무 관리를 지원할 수 있습니다.

Asana의 HIPAA 규정 준수는 Asana의 비즈니스 파트너 부록(BAA)의 적용을 받습니다. HIPAA 및 Asana에 대한 자세한 내용은 HIPAA 데이터 시트를 참조하세요.

개인 정보 보호에 관한 법률

개인 정보 보호법(APPI)은 개인정보 보호를 규율하는 일본의 주요 데이터 보호법입니다. 일본 내 개인의 개인정보를 취급하는 사업자에게 적용됩니다. APPI는 2003년 처음 제정된 이후 수차례 개정되었으며, 가장 최근의 개정안은 2022년 4월 1일부터 시행됩니다.

GDPR이 ‘데이터 관리자’와 ‘데이터 처리자’를 구분하는 것과 마찬가지로 APPI도 ‘사업자’ 또는 보유한 개인 정보를 통제하고 이에 대해 결정을 내릴 권한이 있는 독립체(즉 Asana의 고객)와 사업자(즉 Asana)를 대신하여 개인 정보를 취급하는 타사 서비스 제공자를 구분합니다.

APPI는 또한 일본 바깥으로 개인 정보를 국외 이전하는 것을 제한합니다. 개인 정보는 일본의 데이터 보호 기준 준수를 보장하는 내용의 합의가 계약으로 이루어진 경우에 해외 수령인에게 전송할 수 있습니다.

Asana는 APPI와 그 개정 법률이 요구하는 대로 개인 정보를 처리하고 보호하기 위해 노력합니다. Asana의 데이터 처리 부록은 (1) APPI를 준수하기 위한 당사의 데이터 보호 약속, (2) APPI에 따른 고객의 의무를 지원하는 방법, (3) 개인 정보를 보호하기 위해 구현된 기술적 및 조직적 조치를 다룹니다. Asana의 보안 및 데이터 보호 관행에 대한 자세한 내용은 신뢰 페이지를 참조하시기 바랍니다.

관련 리소스

• Asana 개인 정보 처리 방침

• Asana 데이터 처리 부칙

• Asana 신뢰 페이지

• Asana EU-미국 및 스위스-미국 Privacy Shield 인증

• GDPR 전문

• CCPA 전문 (CPRA에 의해 개정됨)