Scovai는 데이터 보호를 핵심으로 하여 설계되었습니다. 이 GDPR 정책은 일반 데이터 보호 규정 (EU) 2016/679를 준수하는 방법을 설명하고 데이터 주체의 권리를 보호하기 위해 구현하는 보안 조치를 설명합니다. 특히 우리의 AI 기반 채용 플랫폼을 통해 개인 데이터가 처리되는 후보자들입니다.
1. GDPR에 따른 우리의 역할
Scovai는 맥락에 따라 두 가지 역할로 작동합니다:
- 데이터 처리자: 조직(테넌트)이 Scovai를 사용하여 채용 프로세스를 관리할 때, 우리는 테넌트(데이터 컨트롤러)를 대신하여 데이터 처리자로 작동합니다. 처리는 데이터 처리 계약(DPA)에 의해 관리됩니다.
- 데이터 컨트롤러: 우리 웹사이트 방문자, 우리의 인재 풀에 직접 지원하는 자, 계정 보유자의 경우, 우리는 데이터 컨트롤러로 작동합니다.
2. 설계 및 기본값에 의한 데이터 보호
GDPR 제25조에 따라, Scovai는 설계 및 기본값에 의한 데이터 보호를 구현합니다:
- 다중 테넌트 격리: 각 조직의 데이터는 논리적으로 격리되어 있습니다. 사용자는 자신의 테넌트 내의 데이터에만 액세스할 수 있습니다.
- 최소 데이터 수집: 사용되는 채용 기능에 필요한 데이터만 수집합니다.
- 익명화: 의미 있는 매칭에 사용되는 벡터 임베딩은 인간이 읽을 수 없으며 원래 CV 텍스트를 재구성하기 위해 되돌릴 수 없습니다.
- 접근 제어: 역할 기반 접근 제어(RBAC)는 사용자가 역할(관리자, 채용담당자 또는 후보자)과 관련된 데이터만 볼 수 있도록 보장합니다.
- 암호화: 전송 중인 모든 데이터는 TLS를 통해 암호화됩니다. 민감한 자격 증명은 AES-256-CBC를 사용하여 암호화되어 저장됩니다.
3. 동의 관리
Scovai는 다음을 수행하는 기본 제공 동의 관리 시스템을 제공합니다:
- 특정 처리 목적(CV 파싱, AI 점수 매김, 심리측정 평가, 인터뷰 참여, 인재 풀 포함)에 대한 세분화된 동의를 기록합니다.
- 동의가 주어지고, 수정되고, 철회된 시기에 대한 완전한 감사 추적을 유지합니다.
- 후보자가 프로필을 통해 언제든지 동의를 철회할 수 있도록 합니다.
- 동의가 철회되면 자동으로 처리를 제한합니다.
4. 자동화된 의사결정 보호(제22조)
Scovai는 점수 매김, 프로파일링 및 평가를 위해 AI를 사용합니다. 제22조(3)에 따라 다음 보호조치를 구현합니다:
4.1 순전히 자동화된 결정 없음
플랫폼은 의사결정 지원 도구로 설계되었습니다. AI 결과(점수, 순위, 인터뷰 평가)는 인간 채용담당자에게 권장사항으로 제시되며, 채용 결정에 대한 모든 권한을 유지합니다.
4.2 설명 가능성
모든 AI 생성 점수에는 평이한 언어로 점수에 영향을 준 요소를 설명하는 설명 가능한 AI(XAI) 근거가 포함됩니다. 여기에는 다음이 포함됩니다:
- 점수에 기여한 기술 및 자격
- 어떤 조정이 적용되었고 그 이유
- 후보자가 직무 요구사항과 어떻게 비교되는지
4.3 이의 제기 권리
후보자는 플랫폼의 규정 준수 모듈을 통해 AI 생성 평가 또는 점수에 대한 인간 검토를 요청할 수 있습니다. 테넌트는 통보되며 합리적인 기간 내에 검토 요청에 응해야 합니다.
4.4 편향 모니터링
플랫폼에는 AI 점수 매김 패턴을 인구통계학적 불균형, 점수 전체의 성별 및 연령대 분포를 분석하는 자동 편향 모니터링이 포함되어 있습니다.
5. 데이터 주체 권리
Scovai는 모든 GDPR 데이터 주체 권리의 행사를 지원합니다:
| 권리 | GDPR 조항 | Scovai가 지원하는 방법 |
|---|---|---|
| 접근 | 제15조 | 후보자는 프로필을 통해 모든 데이터를 볼 수 있습니다. 테넌트는 규정 준수 모듈을 통해 후보자 데이터를 내보낼 수 있습니다. |
| 정정 | 제16조 | 후보자는 프로필 데이터를 직접 편집할 수 있습니다. 채용담당자는 후보자 정보를 업데이트할 수 있습니다. |
| 삭제 | 제17조 | GDPR 데이터 내보내기 및 삭제 요청은 완전한 감사 로깅을 통해 규정 준수 모듈에서 시작할 수 있습니다. |
| 제한 | 제18조 | 분쟁이 해결되는 동안 후보자별로 처리를 제한할 수 있습니다. |
| 이동성 | 제20조 | 데이터는 규정 준수 모듈 또는 API를 통해 구조화된 JSON 형식으로 내보낼 수 있습니다. |
| 이의 | 제21조 | 후보자는 동의 설정을 통해 프로파일링 및 자동화된 처리에 이의를 제기할 수 있습니다. |
| 자동화된 결정 | 제22조 | 인간 검토 요청은 모든 AI 결정에 대해 제출할 수 있습니다. 위의 섹션 4를 참조하세요. |
6. 데이터 처리 계약
모든 테넌트 관계는 다음을 지정하는 데이터 처리 계약(DPA)에 의해 관리됩니다:
- 처리의 대상, 기간 및 범위
- 처리의 성격 및 목적
- 처리되는 개인 데이터의 유형
- 데이터 주체의 범주
- 컨트롤러와 처리자의 의무 및 권리
- 하위 처리자 요구사항 및 승인 절차
7. 데이터 침해 절차
개인 데이터 침해 발생 시, Scovai는 다음을 수행합니다:
- 영향을 받는 테넌트(데이터 컨트롤러)에 지체 없이 그리고 침해를 인식한 후 72시간 이내에 알립니다.
- 침해의 성격, 영향을 받는 데이터, 가능한 결과 및 해결을 위해 취한 조치를 포함하여 자세한 정보를 제공합니다.
- 테넌트가 감독 기관 및 데이터 주체에게 고지 의무를 이행하도록 지원합니다.
- 내부 침해 등록부에 모든 침해를 문서화합니다.
8. 하위 처리자
Scovai는 하위 처리자의 사용을 최소화합니다. 현재:
- AI 처리: 대부분의 AI 처리(CV 파싱, 점수 매김, 평가, 인터뷰)는 EEA 내의 로컬 호스팅 인프라에서 실행됩니다. 후보자 개인 데이터는 외부 AI 제공자로 전송되지 않습니다.
- 직무설명 생성: Anthropic Claude API를 사용하지만, 후보자 개인 데이터는 절대 전송되지 않으며 직무 관련 데이터(직함, 요구사항)만 전송됩니다.
- 인프라: 모든 호스팅 인프라는 유럽경제지역 내에 위치합니다.
개인 데이터를 처리하는 새로운 하위 처리자를 이용하기 전에 테넌트에 알립니다.
9. 데이터 보존 및 삭제
데이터 보존 기간은 플랫폼 수준에서 구성되며 허용된 범위 내에서 테넌트에 의해 사용자 정의될 수 있습니다. 기본 보존 기간은 우리의 개인정보 보호 정책에 자세히 나와 있습니다. 자동화된 삭제 프로세스는 매일 실행되어 보존 기간을 초과한 데이터를 제거합니다.
10. 데이터 보호 팀에 문의
GDPR 관련 문의, 데이터 주체 요청 또는 데이터 처리 계약 사본 요청:
이메일: privacy@scovai.com