일반 데이터 보호 규정 (GDPR) 정책
1. 정책 선언
매일 우리 비즈니스는 고객, 공급업체, 면접 후보자 및 동료에 대한 개인 정보를 수령, 사용 및 저장합니다. 이 정보는 [2018 데이터 보호법]과 일반 데이터 보호 규정(통칭 '데이터 보호 요건')의 요구 사항과 일치하게 성실하고 적절하게 처리되어야 합니다.
우리는 데이터 보호 의무를 중요하게 여깁니다. 왜냐하면 우리는 개인 정보를 적절하고 책임 있게 사용하는 데 대한 신뢰를 존중하기 때문입니다.
2. 이 정책에 대해
본 정책 및 그와 관련된 다른 문서는 수집하거나 처리하는 모든 개인 데이터를 처리하는 근거를 설명합니다.
본 정책은 어떤 직원의 고용 계약의 일부가 되는 것이 아니며 언제든지 수정될 수 있습니다.
Alex Smit은 저희의 데이터 보호 책임자(DPO)로서, 회사가 데이터 보호 요건과 이 정책을 준수하는 것을 책임집니다. 본 정책의 운영에 대한 질문이나 정책이 따르지 않았다는 우려 사항은 우선적으로 DPO에게 문의하거나 회사 불만 정책에 따라 신고해야 합니다 (직원 설명서 참조).
3. 개인 데이터란 무엇인가요?
개인 데이터란 (전자적으로 저장되거나 종이 기반인) 생존 개인과 관련된 데이터로, 해당 데이터에서 (또는 해당 데이터와 우리 소유의 다른 정보에서) 직접적 또는 간접적으로 식별할 수 있는 데이터를 말합니다.
처리는 개인 데이터를 사용하는 어떠한 활동이든지 포함됩니다. 이는 데이터를 획득, 기록 또는 보유하는 것, 데이터를 조직화, 수정, 검색, 사용, 공개, 삭제 또는 파괴하는 것을 포함합니다. 처리는 또한 개인 데이터를 제3자에게 전송하는 것을 포함합니다.
민감한 개인 데이터는 개인의 인종 또는 민족 출신, 정치적 견해, 종교적 또는 철학적 신념, 노동 조합 가입 여부, 유전적, 생체 인식, 신체적 또는 정신적 건강 상태, 성적 성향 또는 성생활에 관한 개인 데이터를 포함합니다. 범죄 행위 또는 유죄 판결에 관한 데이터도 포함될 수 있습니다. 민감한 개인 데이터는 개인의 동의를 받는 등 엄격한 조건 하에만 처리할 수 있습니다.
4. 데이터 보호 원칙
개인 데이터를 처리하는 모든 사람은 데이터가 다음과 같은 것을 보장해야 합니다:
a. 공정하게, 법률적으로 그리고 투명하게 처리됩니다.
b. 특정, 명확하고 합법적인 목적을 위해 수집되며, 추가 처리는 호환 가능한 목적을 위해 완료됩니다.
c. 목적에 적합하고 관련성이 있으며, 의도된 목적을 위해 필요한 것에 한정됩니다.
d. 정확하며 필요한 경우 최신 상태를 유지합니다.
e. 의도된 목적을 위해 더 이상 필요하지 않을 때까지 식별이 가능한 형태로 보관됩니다.
f. 개인의 권리와 일치하게 처리되며, 적절한 보안조치를 취하여 개인 데이터의 무단 또는 불법 처리, 우발적 손실, 파괴 또는 손상으로부터 보호되도록 처리됩니다. 이에는 적절한 기술적이거나 조직적 조치를 사용하는 것이 포함됩니다.
g. 적절한 보호가 없는 국가에 위치한 사람들이나 조직에 이전되지 않으며, 먼저 개인에게 고지된 후에 처리되지 않습니다.
5. 공정하고 합법적인 처리
데이터 보호 요건은 개인의 권리에 불리하게 영향을 미치지 않으면서 공정하게 처리되도록 보장하기 위해 존재하는 것이지 개인 데이터의 처리를 막기 위한 것이 아닙니다.
데이터 보호 요건에 따라 우리는 개인 데이터를 처리할 때 법적 목적이 필요한 경우에만 처리할 것입니다. 법적 목적은 (다른 목적들 중에서) 개인이 동의했는지 여부, 개인과 계약을 이행하기 위해 처리가 필요한지, 법적 의무를 준수하기 위해 처리가 필요한지 또는 비즈니스의 정당한 이해를 위해 처리가 필요한지를 포함합니다. 민감한 개인 데이터가 처리될 때는 추가적인 조건을 충족해야 합니다.
6. 한정된 목적으로 처리
비즈니스를 진행하는 과정에서 우리는 개인 데이터를 수집하고 처리할 수 있습니다. 이는 데이터 주체로부터 직접 받은 데이터(예: 양식 작성 또는 우편, 전화, 이메일 등을 통한 문의를 통해 받은 데이터)와 다른 출처(예: 위치 데이터, 비즈니스 파트너, 기술, 지불 및 배송 서비스의 하청 업체, 신용 평가 기관 등)에서 받은 데이터를 포함할 수 있습니다.
우리는 일정 1에 명시된 구체적인 목적이나 데이터 보호 요건에 명시적으로 허용된 다른 목적을 위해 개인 데이터를 처리할 것입니다. 우리는 해당 목적을 데이터 주체에게 데이터를 처음 수집할 때 또는 최대한 빨리 이후에 가능한 한 알릴 것입니다.
7. 개인에게 통지
개인으로부터 개인 데이터를 직접 수집하는 경우, 그들에게 다음 사항에 대해 안내할 것입니다:
a. 우리가 개인 데이터를 처리할 목적 또는 목적과 처리의 법적 근거.
b. 비즈니스의 합법적 이익을 근거로 개인 데이터를 처리하는 경우, 추구하는 합법적 이익.
c. 개인 데이터를 공유하거나 공개할 예정인 경우, 경우에 따라서 제3자 종류.
d. 개인이 우리의 개인 데이터 사용 및 공개를 제한할 수 있는 방법.
e. 그들의 정보가 저장될 기간 또는 해당 기간을 결정하는 기준에 대한 정보.
f. 우리로부터 컨트롤러로 개인 데이터에 대한 접근 권한 및 개인 데이터의 수정 또는 삭제 또는 처리 제한을 요청할 수 있는 권리 등에 대한 정보.
g. 처리에 이의를 제기할 권리 및 데이터 이전 가능성에 대한 권리.
h. 언제든지 동의를 철회할 수 있는 권리(동의가 이루어진 경우)로서 동의를 철회하기 전 처리의 적법성에 영향을 미치지 않게.
i. 정보 위원회에 불만을 제기할 권리.
j. 해당 개인에 관한 개인 데이터의 원천인 다른 출천 및 공개적으로 접근 가능한 출천에서 비롯된 것인지 여부.
k. 개인 데이터 제공이 법적 의무 또는 계약 의무사항이며 계약에 필수적인 요구사항인지 여부, 그리고 개인이 개인 데이터를 제공할 의무가 있는지 및 데이터 제공을 하지 않았을 경우의 결과에 대한 정보.
8. 적절하고 관련성 있고 지나치지 않은 처리
우리는 개인 데이터를 수집할 때, 해당 데이터 주체에게 알려진 구체적인 목적에 필요한 범위만큼만 수집할 것입니다.
9. 정확한 데이터
우리는 보유한 개인 데이터가 정확하고 최신 상태를 유지하도록 보장할 것입니다. 우리는 개인 데이터의 정확성을 수집 시점과 이후 규칙적인 간격에서 확인할 것입니다. 잘못된 또는 오래된 데이터를 파기하거나 수정하는 데 필요한 모든 합리적인 조치를 취할 것입니다.
10. 적시 처리
우리는 수집된 목적 또는 목적을 위해 필요한 것 이상으로 개인 데이터를 보유하지 않을 것입니다. 더 이상 필요하지 않은 모든 데이터를 파기하거나 시스템에서 지우기 위해 모든 합리적인 조치를 취할 것입니다.
11. 데이터 주체의 권리에 맞는 처리
우리는 모든 개인 데이터를 데이터 주체의 권리에 따라 처리할 것이며, 특히 다음과 같은 권리를 가지고 있습니다:
a. 개인과 관련된 개인 데이터가 처리되고 있는지 여부에 대한 확인.
b. 데이터 컨트롤러가 보유한 자신에 대한 어떤 데이터에 대한 접근 요청.
c. 자신의 개인 데이터에 대한 정정, 삭제 또는 처리 제한 요청.
d. 감독 기관에 불만을 제기할 권리.
e. 직접 마케팅을 포함한 처리에 이의 제기할 권리.
12. 데이터 보안
우리는 개인 데이터의 불법 처리 또는 무단 처리, 그리고 전달, 저장 또는 기타 처리된 개인 데이터의 우연한 또는 불법적인 파괴, 손상, 유실, 변경, 무단 공개 또는 액세스에 대한 적절한 보안 조치를 취할 것입니다. 불법 데이터 전송이 발생할 경우, 적절한 책임자에 의해 조사되며 회사 징계 절차가 적용될 것입니다.
개인 데이터의 처리 수단과 데이터 수집 지점부터 데이터 파기 지점까지의 보안을 유지하기 위해 절차와 기술을 마련할 것입니다. 개인 데이터는 데이터 프로세서에게만 전달될 것이며, 그가 해당 절차와 정책을 준수하거나 그 자체로 적절한 조치를 취할 경우에만 전달될 것입니다.
개인 데이터의 기밀성, 무결성 및 가용성을 보호함으로써 데이터 보안을 유지할 것입니다. 이는 다음과 같이 정의됩니다:
a. 기밀성은 데이터를 사용할 권한이 있는 사람만이 액세스할 수 있어야 함을 의미합니다.
b. 무결성은 개인 데이터가 처리되는 목적에 정확하고 적합해야 함을 의미합니다.
c. 가용성은 권한이 있는 사용자가 필요한 경우 데이터에 액세스할 수 있어야 함을 의미합니다. 따라서 개인 데이터는 각각의 개인 PC가 아닌 회사의 중앙 컴퓨터 시스템에 저장되어야 합니다.
보안 절차는 다음과 같습니다:
a. 입장 통제. 입장 제한 영역에 발견된 외부인은 신고되어야 합니다.
b. 안전한 자물쇠 잠금 책상과 찬장. 책상과 찬장에는 어떠한 종류의 기밀 정보도 보유하고 있다면 잠그고 보관되어야 합니다. (개인 정보는 항상 기밀로 간주됩니다.)
c. 데이터 최소화.
d. 폐기 방법. 종이 문서는 파쇄돼야 합니다. 디지털 저장 장치는 더 이상 필요하지 않을 때 물리적으로 파괴되어야 합니다.
e. 장비. 직원들은 개인 모니터가 보행자에게 기밀 정보를 보이지 않도록하고, PC를 방치한 채로 떠나기 전에 로그오프 해야 합니다.
13. 주체 엑세스 요청
개인들은 우리가 보유한 자신에 관한 정보에 대한 공식 요청을 해야 합니다. 요청을 받은 직원은 즉시 DPO나 인사부의 구성원에게 전달해야 합니다.
전화 문의를 받을 때, 우리는 다음 조건을 충족하는 경우에만 시스템에 보유한 개인 데이터를 공개할 것입니다:
a. 정보가 정당한 사람에게만 제공되도록 전화 걸러의 신원을 확인할 것입니다.
b. 전화 걸러의 신원을 확신할 수 없거나 신원을 확인할 수 없는 경우 요청을 서면으로 제출하도록 전화 걸러에게 제안할 것입니다.
요청이 전자적으로 이루어질 경우, 가능한 경우 데이터도 전자적으로 제공될 것입니다.
어려운 상황에서 직원은 요청을 처리하기 위해 상사에게 참조할 것입니다.
14. 정책 변경
우리는 언제든지 본 정책을 변경할 권리를 보유합니다. 적절한 경우 웹사이트의 쿠키 배너를 통해 변경 사항을 통보할 것입니다.