Skip to content
데이터 보호 정책
1. 본 정책은 전 세계적으로 ATPI의 개인 데이터 수집, 사용, 처리 및 전송에 적용되는 법률 및 규정 준수를 보장하기 위한 요건을 정의합니다.
2. 범위
2.1 ATPI는 회사가 사업을 운영하는 국가의 해당 데이터 보호법을 준수하기 위해 노력합니다. 각 관할권의 차이점을 고려하여, 회사는 일반적인 준수를 달성하기 위한 공통된 가치, 정책 및 절차의 핵심을 수립하는 본 데이터 보호 정책을 채택했으며, 고유한 요구 사항이 있는 관할권에는 (해당하는 경우) 추가 지침 및 안내를 통해 보완하고 있습니다.
2.2 본 정책은 개인정보 보호 규정 준수를 위한 강력한 일반 모델을 제공하는 EU 규정 2016/679 및 일반 데이터 보호 규정(GDPR)을 기반으로 합니다. 회사는 또한 인정된 EU 표준 계약 조항을 기반으로 하는 그룹 내 데이터 전송 계약(IGDTA)을 수립하여, 전체 그룹 회사 글로벌 네트워크 전반에 걸쳐 데이터의 전 세계적 전송 및 후속 하위 처리를 승인받았습니다.
2.3 본 정책은 회사의 모든 정규직 및 비정규직 직원, 파견 직원, 그리고 회사로부터 개인 데이터를 수신하거나, 회사가 수집 또는 처리하는 개인 데이터에 접근하거나, 지리적 위치에 관계없이 회사에 정보를 제공하는 모든 공급업체 및 고객에게 적용됩니다.
2.4 정책 약속으로서, 회사는 그러한 처리에 대한 인정된 적법한 근거 없이 개인 데이터를 처리하지 않을 것입니다. 데이터 보호법 준수를 보장하기 위해, 회사는 모든 데이터 처리에 대해 데이터 컨트롤러 또는 데이터 처리자로서의 지위를 정확하게 설정할 것입니다.
3. 그룹 준수
3.1 회사의 데이터 규정 준수 프로그램은 회사의 데이터 보호 책임자가 데이터 보호 관리자 및 현지에서 임명된 규정 준수 직원과 내부 감사관의 도움을 받아 감독할 것입니다. 책임은 DPO에 의해 위임될 수 있습니다.
3.2 DPO는 회사의 국제 데이터 보호 정책 및 절차와 IGDTA, 그리고 데이터 보호법에 의해 요구되는 모든 의무를 이행할 것이며, 다음을 포함합니다:
3.2.1 회사의 데이터 처리 활동 결과로 하나 이상의 데이터 보호 당국에 통지가 필요한지 여부를 결정하고, 필요한 통지를 수행하며, 해당 통지를 최신 상태로 유지합니다.
3.2.2 데이터 보호법 준수를 보장하기 위한 직원 교육 지속 프로그램 설계 및 구현.
3.2.3 (IT 및 법무 부서의 참여를 통해) 회사로부터 개인 데이터를 수신하거나, 회사가 수집 또는 처리하는 개인 데이터에 접근하거나, 지리적 위치에 관계없이 회사에 정보를 제공하는 그룹 회사, 고객, 공급업체 및 제3자가 본 정책을 준수하도록 하기 위한 절차 및 표준 계약 조항을 수립하는 것.
3.2.4 본 정책, 구현 절차 및 해당 법률 준수에 대한 정기 감사를 위한 메커니즘을 구축합니다.
3.2.5 자신의 권리를 행사하려는 정보 주체에게 신속하고 적절하게 대응하기 위한 시스템을 구축, 유지 및 운영합니다.
3.2.6 데이터 보호법에 따라 요구되는 경우 관련 당국 및/또는 정보 주체에게 신속하고 적절하게 공개하기 위한 시스템을 구축, 유지 및 운영합니다.
3.2.7 해당 데이터 보호법 위반에 대해 회사 및/또는 그 직원에게 부과될 수 있는 잠재적인 기업 및 개인 민사 및 형사 처벌/벌금에 대해 회사의 고위 관리자, 임원 및 이사에게 알립니다.
3.2.8 데이터 보호와 관련된 위험 관리 계획이 효과적이고 신속하게 구현되도록 보장합니다.
3.2.9 데이터 보호 절차 및 감사의 효과성에 대한 적절한 보증이 이사회, 경영진 및 기타 이해관계자에게 제공되도록 보장합니다.
4. 데이터 보호 원칙
4.1 회사는 본 정책에서 특별히 규정하거나 해당 법률에서 요구하는 경우를 제외하고, 개인 데이터의 사용, 수집, 처리 및 전송을 관리하기 위해 다음 원칙을 채택했습니다:
4.1.1 개인 데이터는 공정하고 적법하게만 처리되어야 합니다.
4.1.2 개인 데이터는 명시적이고, 명확하며, 합법적이고, 정당한 목적으로만 수집되어야 하며, 해당 목적과 양립할 수 없는 방식으로 추가 처리되어서는 안 됩니다.
4.1.3 개인 데이터는 수집 및/또는 처리되는 목적과 관련하여 적절하고, 관련성이 있으며, 과도하지 않아야 합니다.
4.1.4 처리를 위한 적법한 근거가 적절하게 확립되지 않는 한 개인 데이터는 수집되거나 처리되어서는 안 됩니다.
4.2 적절한 물리적, 기술적 및 절차적 조치가 다음을 위해 취해져야 합니다:
4.2.1 개인 데이터의 무단 또는 불법적인 수집, 처리 및 전송을 방지 및/또는 식별하는 것; 그리고
4.2.2 개인 데이터의 우발적인 손실 또는 파괴, 또는 손상을 방지하는 것.
5. 제3자 전송
5.1 개인 데이터는 요구되는 데이터 보안 수준을 확립하고 유지하기 위한 합리적이고 적절한 조치가 취해지지 않는 한 다른 법인, 국가 또는 영토로 전송되어서는 안 됩니다.
5.2 개인 데이터는 데이터가 원래 수집된 목적과 일치하는 이유 또는 법률에 의해 승인된 다른 목적으로만 제3자에게 전달될 수 있습니다.
5.3 추가 처리를 위해 제3자에게 개인 데이터를 전송하는 모든 행위는 서면 계약, 전송을 위한 적법한 근거 또는 내부 데이터 전송을 위한 회사의 IGDTA에 따라야 하며, 해당 데이터 보호법을 완전히 준수해야 합니다.
5.4 EU(및 영국) 개인 데이터는 해당 전송이 EU에 의해 적절한 수준의 데이터 보안을 갖춘 것으로 인정된 국가 또는 지역으로 이루어지거나, 미국 데이터 프라이버시 프레임워크에 따라 미국으로 이루어지는 경우를 제외하고는 유럽 경제 지역(EEA) 외부의 국가 또는 지역으로 전송되어서는 안 됩니다.
6. 비준수 IT 시스템 방지
6.1 회사의 최고 정보 보안 책임자(CISO)는 개인 데이터의 개인정보 보호 및 보안에 대한 신규 또는 기존 기술의 영향을 평가하기 위한 절차를 수립해야 합니다.
6.2 DPO가 CISO로부터 데이터 보호법 위반이 없을 것이라는 서면 확인을 받기 전까지는 어떠한 신규 시스템이나 기존 시스템의 신규 버전도 사용 가능하게 해서는 안 됩니다.
7. 개인 데이터 출처
7.1 사업 목적의 특성상 다른 개인 또는 기관으로부터 데이터 수집이 필요한 경우가 아니라면, 개인 데이터는 정보 주체로부터만 수집되어야 합니다.
7.2 데이터 주체 외의 다른 사람으로부터 개인 데이터가 수집되는 경우, 데이터를 수집하는 사업부는 데이터 공급자로부터 개인 데이터의 처리 및 회사로의 전송에 대한 합법적인 근거가 있다는 서면 확인을 받아야 합니다.
8. 데이터 주체 권리
회사는 데이터 보호법을 준수하여 접수된 모든 정보 주체 접근 요청/불만에 응답할 것입니다. 이러한 요청/불만을 더 쉽게 할 수 있도록, 회사는 여기에서 찾을 수 있는 양식을 만들었습니다.
9. 데이터 품질 보증
9.1 개인 데이터는 허용된 사용에 필요한 기간 동안만 보관되어야 합니다. 회사는 데이터 삭제를 위한 해당 기간을 결정하는 데이터 보존 정책을 수립했습니다.
9.2 개인 데이터는 그 보관이 데이터 보호법을 위반하거나 회사에서 더 이상 데이터에 대한 지식이 필요하지 않은 경우, 또는 정보 주체의 요청에 따라 삭제되어야 합니다.
10. 그룹 내 처리
10.1 회사가 처리 활동을 지원하기 위해 다른 그룹 회사에 의존하는 경우, 회사는 데이터에 대한 책임이 명확하게 식별되도록 해당 그룹 회사와 EU 표준 계약 조항(또는 데이터 보호법에 따라 요구되는 해당 표준 계약 조항)을 기반으로 하는 데이터 전송 계약을 체결할 것입니다. 이는 양 당사자가 데이터 컨트롤러로 간주될 수 있기 때문입니다.
10.2 다른 그룹 회사가 해외에 위치한 경우, 처리에 관련된 그룹 회사들은 각각 데이터 수출자와 데이터 수입자로 알려질 것이며, 처리에 여러 데이터 수입자가 관여할 수도 있습니다.
11. 제3자 처리자
마찬가지로, 회사가 처리 활동을 지원하기 위해 제3자에게 의존하는 경우, 회사는 충분한 보안 조치를 제공하고 해당 조치 준수를 보장하기 위한 합리적인 조치를 취하는 데이터 처리자를 선택할 것입니다.
12. 제3자 처리자를 위한 서면 계약
12.1 회사는 각 데이터 처리자와 서면 계약을 체결하여 데이터 보호법 및 현지 법규에 따라 회사에 부과되는 보안 요구사항을 준수하도록 요구해야 합니다.
13. 제3자 데이터 처리자 감사
13.1 회사의 내부 데이터 감사 프로세스의 일환으로, 회사는 제3자 데이터 처리자의 처리에 대해 정기적인 점검을 수행해야 하며, 특히 데이터 인계 절차, 특히 보안 조치와 관련하여 점검해야 합니다.
14. 데이터 보안
14.1 회사는 데이터 보안 관리 정책을 구현했으며, 이에 따라 데이터의 특성과 인간의 행동 또는 물리적, 자연적 환경으로 인해 노출되는 위험을 고려하여 개인 데이터의 보안을 보장하기 위한 물리적, 기술적, 조직적 조치를 채택해야 합니다. 여기에는 데이터의 변경, 손실, 손상, 무단 처리 또는 접근 방지가 포함됩니다. 이러한 조치들은 데이터 보안 관리 정책 내에 문서화될 것이며, 최소 연 1회 또는 보안 조치의 중대한 변경 사항을 반영하기 위해 필요할 때 검토될 것입니다.
14.2 적절한 보안 조치에는 다음의 모든 사항이 포함되어야 합니다.
14.2.1 개인 데이터가 처리되는 데이터 처리 시스템에 대한 무단 접근을 방지합니다.
14.2.2 데이터 처리 시스템을 사용할 권한이 있는 사람이 자신의 필요와 권한을 넘어 데이터에 접근하는 것을 방지합니다.
14.2.3 전송 중 전자적 전송 또는 데이터 캐리어에 저장 중인 개인 데이터가 무단으로 읽히거나, 복사되거나, 수정되거나, 제거될 수 없도록 보장합니다.
14.2.4 개인 데이터가 원치 않는 파괴 또는 손실로부터 보호되도록 보장합니다.
14.2.5 다른 목적으로 수집된 데이터가 별도로 처리될 수 있고 처리될 것임을 보장합니다.
14.2.6 데이터 보존 정책에 명시된 기간보다 데이터가 길게 보관되지 않도록 보장하며, 여기에는 제3자에게 전송된 데이터가 반환되거나 파기되도록 요구하는 것이 포함됩니다.
15. 규정 준수 측정
15.1 DPO는 모든 사업부에 대한 개인정보 보호 규정 준수 감사를 위한 일정을 수립하고 이를 구현해야 합니다. DPO는 사업부와 협력하여 식별된 모든 결함을 정해진 합리적인 시간 내에 수정하기 위한 계획 및 일정을 수립해야 합니다.
각 회사 사업부서는 매년 데이터 수집, 데이터 처리 및 데이터 보안 관행을 검토하고, “관련 파일링 시스템”을 구성하는 수동 시스템에 보관된 데이터를 포함하여 해당 사업부가 수집하는 개인 데이터가 무엇인지 결정해야 합니다.
15.2 이 연간 검토에서 수집된 정보는 검토 및 적절한 조치를 위해 DPO에게 전달되어야 하며, 다음을 포함하되 이에 국한되지 않습니다.
15.2.1 본 정책 및 해당 법률 준수를 개선하기 위한 정책 및 절차 개선 권고.
15.2.2 현지 데이터 보호 당국 내 자체 인증 준수 요구사항 및 회사의 자체 IGDTA 준수 요구사항 충족.
16. 인공지능 사용
16.1 Microsoft Copilot은 조직 직원의 내부 사용을 위해 배포됩니다. Copilot은 승인된 비즈니스 시스템 내에서 지능형 지원을 제공하고, 응답을 생성하며, 생산성을 지원하기 위해서만 개인 데이터를 처리합니다. 이는 업무 관련 요청을 이행할 목적으로만 문서, 이메일, 캘린더, 연락처 또는 브라우저 기록과 같이 직원이 연결하기로 선택한 정보에 접근할 수 있습니다. Copilot은 이러한 승인된 상호작용 외에서는 독립적으로 개인 데이터를 수집하거나 공유하지 않습니다. 모든 처리는 GDPR을 포함한 해당 데이터 보호법의 적용을 받으며, Microsoft의 개인정보 보호 및 보안 표준에 의해 규율됩니다. 직원은 자신의 데이터를 계속 제어하며 Copilot 설정 내에서 권한, 연결된 서비스 및 메모리 기능을 관리할 수 있습니다.
회사 내에서 인공지능을 사용하는 모든 행위는 데이터 보호법을 엄격히 준수하고 인공지능 정책에 따라 수행될 것입니다.
17. 구현
17.1 본 정책은 회사 웹사이트를 통해 직원 및 기타 사람들에게 제공될 것입니다.
17.2 본 정책은 DPO에 의해 언제든지, 그러나 최소 연 1회 개정될 수 있습니다. 중대한 개정 사항 통지는 회사 규정 준수 시스템을 통해 직원에게, 그리고 회사 웹사이트를 통해 기타 사람들에게 제공될 것입니다.
Nikki Matthews
법무 자문위원 겸 데이터 보호 책임자
2026년 1월
부록
A. 용어집
동의: 동의는 “데이터 주체가 자신과 관련된 개인 데이터 처리에 동의함을 나타내는, 자유롭게 주어진 특정하고 정보에 입각한 의사 표시”를 의미합니다.
그럼에도 불구하고, 동의는 여러 가지 방법으로 얻을 수 있습니다. 여기에는 고용 계약서의 조항, 신청서 또는 구매 양식 회신 시의 확인란, 그리고 개인 데이터가 입력되는 온라인 양식의 클릭란이 포함될 수 있습니다.
대부분의 유럽 연합 국가에서 민감한 개인 데이터 처리에 대한 동의는 명확하고 분명해야 합니다. 이는 일반적으로 특정하고 적극적인 형태의 동의가 필요하다는 것을 의미합니다. 이 요구사항은 EU 외부에서는 덜 명확하게 여겨지기도 합니다.
데이터: 본 정책에서 사용되는 데이터(첫 글자가 대문자이든 아니든)는 다음 중 하나에 해당하는 정보를 의미합니다.
- 해당 목적을 위해 주어진 지시에 따라 자동으로 작동하는 장비를 통해 처리되는 것;
- 그러한 장비를 통해 처리될 의도로 기록되는 것;
- 관련 파일링 시스템의 일부로 기록되거나 관련 파일링 시스템의 일부를 구성할 의도로 기록되는 것;
- 위 사항 중 어느 것에도 해당하지 않지만, 개인을 다루는 쉽게 접근 가능한 기록의 일부를 구성하는 것.
따라서 데이터는 컴퓨터 또는 자동화 장비에 의한 모든 디지털 데이터, 전화 녹음, 그리고 관련 파일링 시스템의 일부인 모든 수동 정보를 포함합니다.
데이터 컨트롤러: 데이터 컨트롤러는 (단독으로 또는 다른 사람들과 함께) 개인 데이터가 처리되는 목적과 방식을 결정하는 사람을 의미합니다. 일반적으로 대부분의 경우 회사가 데이터 컨트롤러가 될 것입니다.
데이터 수출자: 데이터 수출자는 개인 데이터를 해외로 전송하는 데이터 컨트롤러 또는 데이터 처리자를 의미합니다.
데이터 수입자: 데이터 수입자는 본 정책 및 관련 데이터 전송 계약의 조건에 따라 데이터 수출자로부터 추가 처리를 위한 개인 데이터를 수신하기로 동의하는 데이터 컨트롤러 또는 데이터 처리자를 의미합니다.
데이터 처리자: 데이터 처리자는 데이터 관리자의 직원이 아닌 자로서, 데이터 관리자를 대신하여 데이터를 처리하는 모든 사람을 의미합니다. 회사는 데이터 관리자와의 계약 조건에 따라 데이터 처리자로 정의되는 경우 데이터 처리자가 될 수 있습니다.
데이터 보호 당국: 데이터 및 개인정보 보호를 담당하는 기관입니다. 이 당국은 공공 및 사적 이익 모두에서 정보 권리를 옹호하기 위해 설립되었습니다.
데이터 보호법: 2018년 데이터 보호법 및 일반 데이터 보호 규정(EU 규정 2016/679); ATPI가 운영하는 국가 내 EU 외부의 모든 데이터 보호 법규; 그리고 2003년 전자 통신(EC 지침) 규정 및 그 개정 사항.
데이터 보안: 관리자와 처리자가 설계 및 기본적으로 데이터 보호 원칙을 준수하고, 최신 기술, 구현 비용, 처리의 성격, 범위, 맥락 및 목적을 고려하여 개인의 권리와 자유에 대한 위험에 적절한 수준의 보안을 보장하기 위해 구현해야 하는 조치.
데이터 주체: 데이터 주체는 데이터가 지칭하는 사람을 의미합니다. 데이터 주체에는 고객 및 웹 사용자, 연락처/이메일 목록 또는 마케팅 데이터베이스에 있는 개인, 직원, 계약자 및 공급업체가 포함됩니다.
개인 데이터: 개인 데이터는 데이터 컨트롤러 또는 데이터 처리자가 소유하고 있거나 소유하게 될 가능성이 있는 해당 데이터 또는 해당 데이터와 다른 정보로부터 식별될 수 있는 살아있는 개인과 관련된 데이터를 의미합니다. 개인 데이터에는 익명화되거나, 인코딩되거나, 식별자가 제거된 정보, 또는 다른 비공개 개인 정보와 결합되지 않는 한 공개적으로 이용 가능한 정보는 포함되지 않습니다.
처리: 처리는 데이터를 얻거나, 기록하거나, 보유하거나, 데이터에 대한 모든 작업 또는 일련의 작업을 수행하는 것을 포함하여 데이터와 관련된 광범위한 작업을 포괄하며, 다음을 포함합니다:
- 조직, 적응 또는 변경;
- 전송, 보급 또는 기타 방법으로 공개; 그리고
- 정렬, 결합, 차단, 삭제 또는 ‘처리됨’은 그에 따라 해석되어야 합니다.
관련 파일링 시스템: 관련 파일링 시스템은 개인과 관련된 모든 정보 집합을 의미하며,
수동 파일 또는 전자 파일로 보관되는지 여부와 관계없이, 개인을 참조하거나 개인과 관련된 기준을 참조하여 특정 개인과 관련된 특정 정보에 쉽게 접근할 수 있도록 구조화된 방식을 의미합니다.
따라서 식별 가능한 살아있는 개인과 관련된 모든 디지털 데이터베이스 및/또는 조직화된 수동 파일은 데이터 보호 법률 및 규정의 범위에 속하는 반면, 순수 통계 또는 금융 정보 데이터베이스(직접적으로든 간접적으로든 식별 가능한 살아있는 개인과 관련될 수 없는)는 그렇지 않습니다.
민감 데이터: 민감 데이터는 정보 주체의 다음 사항에 대한 정보를 포함하는 개인 데이터를 의미합니다.
- 인종 또는 민족적 출신;
- 종교적 신념 또는 유사한 성격의 기타 신념;
- 정치적 견해;
- 신체적 또는 정신적 건강 또는 상태;
- 성적 이력 또는 지향;
- 노동조합 가입 여부;
- 범죄의 실행 또는 혐의 및 관련 법원
기술: 기술은 데이터 수집 또는 처리를 위한 모든 수단을 광범위하게 해석해야 하며, 여기에는 컴퓨터 및 네트워크, 통신 시스템, 비디오 및 오디오 녹음 장치, 생체 인식 장치, 폐쇄회로 텔레비전 등이 제한 없이 포함됩니다.