Skip to content
데이터 보호 정책
1. 목적
1. 본 정책은 전 세계적으로 ATPI의 개인 데이터 수집, 사용, 처리 및 전송에 적용되는 법률 및 규정 준수를 보장하기 위한 요건을 정의합니다.
2. 범위
2.1 ATPI는 (이하 “회사”)가 운영되는 국가의 해당 데이터 보호법을 준수하기 위해 노력합니다. 이러한 관할권 내의 차이점 때문에, 회사는 일반적인 준수를 달성하기 위한 공통된 가치, 정책 및 절차의 핵심을 만들고, (해당하는 경우) 고유한 관할권에 적용되는 추가 지침 및 안내로 보완되는 본 데이터 보호 정책을 채택했습니다.
2.2 본 정책은 EU 규정 2016/679 및 일반 데이터 보호 규정(GDPR)을 기반으로 하며, 이는 개인정보 보호를 위한 강력하고 일반적인 모델을 제공합니다. 회사는 또한 인정된 EU 표준 계약 조항을 기반으로 하는 그룹 내 데이터 전송 계약(IGDTA)을 수립하여, 전 세계 그룹 회사 네트워크 전체에서 데이터의 전 세계적 전송 및 후속 하위 처리를 승인합니다.
2.3 본 정책은 회사의 모든 정규직 및 비정규직 직원, 파견 직원, 그리고 회사로부터 개인 데이터를 수신하거나, 회사가 수집 또는 처리하는 개인 데이터에 접근하거나, 지리적 위치에 관계없이 회사에 정보를 제공하는 모든 공급업체 및 고객에게 적용됩니다.
2.4 정책적 약속으로서, 회사는 해당 처리에 대한 인정된 법적 근거 없이는 개인 데이터를 처리하지 않을 것입니다. 데이터 보호법 준수를 보장하기 위해, 회사는 모든 데이터 처리에서 데이터 관리자 또는 다른 데이터 관리자를 위한 데이터 처리자로서의 지위를 정확하게 설정할 것입니다.
3. 그룹 준수
3.1 회사의 데이터 준수 프로그램은 현지에서 임명된 준수 직원 및 내부 직원의 도움을 받아 회사의 데이터 보호 책임자(DPO)가 감독할 것입니다. 책임은 DPO에 의해 위임될 수 있습니다.
3.2 DPO는 회사의 국제 데이터 보호 정책 및 절차와 IGDTA, 그리고 데이터 보호법에 의해 요구되는 모든 의무를 이행할 것이며, 다음을 포함합니다:
3.2.1 회사의 데이터 처리 활동 결과로 하나 이상의 데이터 보호 당국에 통지가 필요한지 여부를 결정하고, 필요한 통지를 하며, 해당 통지를 유지하는 것.
3.2.2 데이터 보호법 준수를 보장하기 위해 직원 교육을 위한 지속적인 프로그램을 설계하고 구현하는 것.
3.2.3 (IT 및 법무 부서의 참여를 통해) 회사로부터 개인 데이터를 수신하거나, 회사가 수집 또는 처리하는 개인 데이터에 접근하거나, 지리적 위치에 관계없이 회사에 정보를 제공하는 그룹 회사, 고객, 공급업체 및 제3자가 본 정책을 준수하도록 하기 위한 절차 및 표준 계약 조항을 수립하는 것.
3.2.4 본 정책 준수에 대한 정기 감사 메커니즘을 수립하고, 절차 및 해당 규정을 이행하는 것.
3.2.5 데이터 주체가 자신의 권리를 행사하려는 요청에 신속하고 적절하게 대응하기 위한 시스템을 수립, 유지 및 운영하는 것.
3.2.6 개인 데이터 손실 발생 시 관련 당국 및/또는 데이터 주체에게 신속하고 적절하게 공개하기 위한 시스템을 수립, 유지 및 운영하는 것.
3.2.7 해당 데이터 보호법 위반으로 회사 및/또는 그 직원에게 부과될 수 있는 잠재적인 기업 및 개인 민사 및 형사 처벌에 대해 회사의 고위 관리자, 임원 및 이사에게 알리는 것.
3.2.8 데이터 보호와 관련된 위험 관리 계획이 효과적으로 구현되고 유지되도록 보장하는 것.
3.2.9 데이터 보호 절차 및 감사의 효과성에 대한 충분한 보증이 이사회, 경영진 및 기타 이해관계자에게 제공되도록 보장하는 것.
4. 데이터 보호 원칙
4.1 회사는 본 정책에서 특별히 규정하거나 해당 법률에서 요구하는 경우를 제외하고, 개인 데이터의 사용, 수집, 처리 및 전송을 관리하기 위해 다음 원칙을 채택했습니다:
4.1.1 개인 데이터는 공정하고 합법적으로만 처리되어야 합니다.
4.1.2 개인 데이터는 명시적이고, 명확하며, 합법적이고, 정당한 목적으로만 수집되어야 하며, 해당 목적과 양립할 수 없는 방식으로 추가 처리되어서는 안 됩니다.
4.1.3 개인 데이터는 수집 및/또는 처리되는 목적과 관련하여 적절하고, 관련성이 있으며, 과도하지 않아야 합니다.
4.1.4 처리의 법적 근거가 적절하게 수립되지 않는 한 개인 데이터는 수집 또는 처리되어서는 안 됩니다.
4.2 적절한 물리적, 기술적 및 절차적 조치가 다음을 위해 취해져야 합니다:
4.2.1 개인 데이터의 무단 또는 불법적인 수집, 처리 및 전송을 방지 및/또는 식별하는 것; 그리고
4.2.2 개인 데이터의 우발적인 손실 또는 파괴, 또는 손상을 방지하는 것.
5. 제3자 전송
5.1 필요한 수준의 데이터 보호를 수립하고 유지하기 위한 합리적이고 적절한 조치가 취해지지 않는 한, 개인 데이터는 다른 법인, 국가 또는 지역으로 전송되어서는 안 됩니다.
5.2 개인 데이터는 데이터가 원래 수집된 목적과 일치하는 이유 또는 법률에 의해 승인된 다른 목적으로만 제3자에게 전달될 수 있습니다.
5.3 추가 처리를 위한 제3자에게의 모든 개인 데이터 전송은 서면 계약, 전송을 위한 법적 근거 또는 내부 데이터 전송을 위한 회사의 IGDTA에 따라야 합니다.
5.4 EU(및 영국) 개인 데이터는 해당 전송이 EU에 의해 적절한 수준의 데이터 보안을 갖춘 것으로 인정된 국가 또는 지역으로 이루어지거나, 미국 데이터 프라이버시 프레임워크에 따라 미국으로 이루어지는 경우를 제외하고는 유럽 경제 지역(EEA) 외부의 국가 또는 지역으로 전송되어서는 안 됩니다.
5.5 위 조항에 따라, 다음 중 어느 하나에 해당하는 경우 개인 데이터가 전송될 수 있습니다:
5.5.1 데이터 주체가 제안된 전송에 동의한 경우;
5.5.2 데이터 주체(개인적으로 또는 회사의 고객으로서 고용 회사를 통해)와 회사 간의 계약 이행에 전송이 필요한 경우;
5.5.3 데이터 주체의 이익을 위해 회사와 제3자 또는 데이터 주체의 고용주 간에 체결된 계약의 체결 또는 이행에 전송이 필요한 경우;
5.5.4 중요한 공익상의 이유로 전송이 필요하거나 법적으로 요구되는 경우, 또는 법적 청구의 설정, 행사 또는 방어를 위해;
5.5.5 법률에 의해 전송이 요구되는 경우;
5.5.6 데이터 주체의 중요한 이익을 보호하기 위해 전송이 필요한 경우.
6. 비준수 IT 시스템 방지
6.1 회사의 최고 정보 보안 책임자(CISO)는 모든 신규 또는 기존 기술이 개인 데이터의 개인정보 보호 및 보안에 미치는 영향을 평가하기 위한 절차를 수립해야 합니다.
6.2 DPO가 CISO로부터 어떠한 데이터 보호법 위반도 없을 것이라는 서면 확인을 받기 전까지는 어떠한 신규 시스템이나 기존 시스템의 신규 버전도 사용 가능하게 되어서는 안 됩니다.
7. 개인 데이터 출처
7.1 사업 목적의 성격상 다른 사람이나 법인으로부터 데이터 수집이 필요한 경우를 제외하고는 개인 데이터는 데이터 주체로부터만 수집되어야 합니다.
7.2 데이터 주체 외의 다른 사람으로부터 개인 데이터가 수집되는 경우, 데이터를 수집하는 사업부는 데이터 공급자로부터 개인 데이터의 처리 및 회사로의 전송에 대한 합법적인 근거가 있다는 서면 확인을 받아야 합니다.
8. 데이터 주체 권리
8.1 데이터 주체는 여기에 있는 형식으로 서면 요청을 함으로써 회사가 보유한 자신의 개인 데이터에 대한 정보를 얻을 권리가 있으며, 해당 요청은 기록될 것입니다.
8.2 회사는 위 요청에 대한 답변을 서면 요청일로부터 40일 이내에 제공해야 하며, 해당 데이터 보호법에서 요구하는 경우 더 짧은 기간 내에 제공해야 합니다.
8.3 데이터 주체는 자신에 대해 보유된 오류가 있거나, 오해의 소지가 있거나, 오래되었거나, 불완전한 개인 데이터를 회사가 수정하거나 보완하도록 요구할 권리가 있습니다.
9. 민감(특수 범주) 데이터
9.1 민감한 개인 데이터는 다음의 경우를 제외하고는 처리되어서는 안 됩니다:
9.1.1 해당 처리가 법률에 의해 특별히 승인되거나 요구되는 경우.
9.1.2 데이터 주체가 명시적이고 명확하게 동의하는 경우.
9.1.3 데이터 주체가 물리적으로 또는 법적으로 동의할 수 없지만, 처리가 데이터 주체의 중요한 이익을 보호하기 위해 필요한 경우. 이 예외는 예를 들어 응급 의료가 필요한 경우에 적용될 수 있습니다.
9.1.4 형사 범죄와 관련된 데이터는 법무 부서에 의해서만 또는 법무 부서의 통제 하에 처리될 수 있습니다.
10. 데이터 품질 보증
10.1 개인 데이터는 허용된 사용에 필요한 기간 동안만 보관되어야 합니다. 회사는 데이터 삭제에 대한 해당 기간을 결정하는 데이터 보존 정책을 수립했습니다.
10.2 개인 데이터는 그 저장이 데이터 보호법을 위반하거나, 회사에서 해당 데이터에 대한 지식이 더 이상 필요하지 않거나, 데이터 주체의 요청이 있는 경우 삭제되어야 합니다.
11. 그룹 내 처리
11.1 회사가 처리 활동을 지원하기 위해 다른 그룹 회사에 의존하는 경우, 회사는 양 당사자가 데이터 관리자로 간주될 수 있으므로 데이터에 대한 책임이 명확하게 식별되도록 보장하기 위해 해당 다른 그룹 회사와 EU 표준 계약 조항을 기반으로 하는 데이터 전송 계약을 체결할 것입니다.
11.2 다른 그룹 회사가 해외에 위치한 경우, 처리에 관련된 그룹 회사들은 각각 데이터 수출자 및 데이터 수입자로 알려질 것이며, 비록 처리 과정에 둘 이상의 데이터 수입자가 관여할 수 있습니다.
12. 제3자 처리자.
12.1 마찬가지로, 회사가 처리 활동을 지원하기 위해 제3자에게 의존하는 경우, 회사는 충분한 보안 조치를 제공하고 해당 조치 준수를 보장하기 위한 합리적인 조치를 취하는 데이터 처리자를 선택할 것이며, 미국 내의 제3자의 경우, 그들이 미국 데이터 프라이버시 프레임워크(이전 명칭: 프라이버시 실드)에도 등록되어 있는지 확인합니다.
13. 제3자 처리자를 위한 서면 계약.
13.1 회사는 각 데이터 처리자와 데이터 보호법 및 현지 법규에 따라 회사에 부과되는 보안 요구사항을 준수하도록 요구하는 서면 계약을 체결해야 합니다.
14. 제3자 데이터 처리자 감사.
14.1 회사의 내부 데이터 감사 과정의 일환으로, 회사는 제3자 데이터 처리자에 의한 처리에 대해 정기적인 점검을 수행해야 하며, 특히 데이터 인계 절차, 특히 보안 조치와 관련하여 점검해야 합니다.
15. 비준수에 대한 잠재적 제재에 대한 이사, 관리자 및 임원 통지
15.1 DPO는 회사의 이사, 관리자 및 기타 임원에게 다음을 통지해야 합니다:
15.1.1 관련 데이터 보호법을 준수하지 않을 경우 벌금, 징역 및 손해 배상 판결을 포함한 형사 및 민사 책임이 발생할 수 있습니다; 그리고
15.1.2 회사가 그들의 동의 또는 묵인 하에 위반 행위를 저지르거나 그들의 태만에 기인하는 경우 개인적으로 책임을 질 수 있습니다.
16. 데이터 보안
16.1 회사는 데이터 보안 관리 정책을 시행했으며, 이에 따라 데이터의 성격과 인간의 행동 또는 물리적, 자연적 환경으로 인해 노출되는 위험을 고려하여 개인 데이터의 변경, 손실, 손상, 무단 처리 또는 접근 방지를 포함한 보안을 보장하기 위한 물리적, 기술적 및 조직적 조치를 채택해야 합니다. 이러한 조치들은 데이터 보안 관리 정책 내에 문서화될 것이며, 이 정책은 최소한 매년 또는 보안 조치에 대한 중대한 변경 사항을 반영하기 위해 필요할 때 검토될 것입니다.
16.2 적절한 보안 조치에는 다음의 모든 사항이 포함되어야 합니다:
16.2.1 개인 데이터가 저장된 데이터 처리 시스템에 무단 접근하는 것을 방지하는 것.
16.2.2 데이터 처리 시스템을 사용할 권한이 있는 사람이 자신의 필요 및 권한 이상으로 데이터에 접근하는 것을 방지하는 것.
16.2.3 전송 중 전자 전송 과정 또는 데이터 캐리어에 저장된 개인 데이터가 무단으로 읽히거나, 복사되거나, 수정되거나, 제거될 수 없도록 보장하는 것.
16.2.4 개인 데이터가 원치 않는 파괴 또는 손실로부터 보호되도록 보장하는 것.
16.2.5 다른 목적으로 수집된 데이터가 분리하여 처리될 수 있고 처리될 것임을 보장하는 것.
16.2.6 데이터가 데이터 보존 정책에 명시된 기간보다 오래 보관되지 않도록 보장하는 것, 제3자에게 전송된 데이터가 반환되거나 파기되도록 요구하는 것을 포함하여.
17. 준수 측정.
17.1 DPO는 모든 사업부를 대상으로 개인정보 보호 준수 감사 일정을 수립하고 이행해야 합니다. DPO는 사업부와 협력하여 식별된 모든 결함을 고정된 합리적인 기간 내에 시정하기 위한 계획과 일정을 수립해야 합니다.
17.2 각 회사 사업부는 매년 데이터 수집, 데이터 처리 및 데이터 보안 관행을 검토하고, “관련 파일링 시스템”을 구성하는 수동 시스템에 보관된 데이터를 포함하여 사업부가 수집하는 개인 데이터가 무엇인지 결정해야 합니다.
17.3 이 연례 검토에서 수집된 정보는 DPO에게 검토 및 적절한 조치를 위해 전달되어야 하며, 다음을 포함하되 이에 국한되지 않습니다:
17.3.1 본 정책 및 해당 법률 준수를 개선하기 위한 정책 및 절차 개선 권고를 하는 것.
17.3.2 현지 데이터 보호 당국 내에서 자체 인증 준수 요건을 충족하고, 회사의 자체 정책을 준수하는 것.
18. 이행.
18.1 본 정책은 회사의 웹사이트를 통해 직원 및 기타 관계자에게 제공될 것입니다.
18.2 본 정책은 언제든지 개정될 수 있지만, 최소한 매년 회사에 의해 개정될 수 있습니다. 중요한 개정 사항에 대한 통지는 회사 준수 시스템을 통해 직원에게, 그리고 회사의 웹사이트를 통해 다른 관계자에게 제공되어야 합니다.
Nikki Matthews
법무 자문위원 겸 데이터 보호 책임자
2024년 12월
부록 A
용어집
동의: 동의는 “데이터 주체가 자신과 관련된 개인 데이터 처리에 동의함을 나타내는, 자유롭게 주어진 특정하고 정보에 입각한 의사 표시”를 의미합니다.
그럼에도 불구하고, 동의는 여러 가지 방법으로 얻을 수 있습니다. 여기에는 고용 계약서의 조항, 신청서 또는 구매 양식 회신 시의 확인란, 그리고 개인 데이터가 입력되는 온라인 양식의 클릭란이 포함될 수 있습니다.
대부분의 유럽 연합 국가에서 민감한 개인 데이터 처리에 대한 동의는 명확하고 분명해야 합니다. 이는 일반적으로 특정하고 적극적인 형태의 동의가 필요하다는 것을 의미합니다. 이 요구사항은 EU 외부에서는 덜 명확하게 여겨지기도 합니다.
데이터: 본 데이터 보호 정책에서 사용되는 데이터(첫 글자가 대문자이든 아니든)는 다음 중 하나에 해당하는 정보를 의미합니다:
- 해당 목적을 위해 주어진 지시에 따라 자동으로 작동하는 장비를 통해 처리되는 것;
- 그러한 장비를 통해 처리될 의도로 기록되는 것;
- 관련 파일링 시스템의 일부로 기록되거나 관련 파일링 시스템의 일부를 구성할 의도로 기록되는 것;
- 위 사항 중 어느 것에도 해당하지 않지만, 개인을 다루는 쉽게 접근 가능한 기록의 일부를 구성하는 것.
따라서 데이터는 컴퓨터 또는 자동화 장비에 의한 모든 디지털 데이터, 전화 녹음, 그리고 관련 파일링 시스템의 일부인 모든 수동 정보를 포함합니다.
데이터 관리자: 데이터 관리자는 (단독으로 또는 다른 사람들과 함께) 개인 데이터가 처리되는 목적과 방식을 결정하는 사람입니다. 일반적으로 대부분의 경우 회사가 데이터 관리자가 됩니다.
데이터 수출자;
데이터 수출자는 개인 데이터를 해외로 전송하는 데이터 관리자 또는 데이터 처리자를 의미합니다.
데이터 수입자;
데이터 수입자는 본 정책 및 관련 데이터 전송 계약 조건에 따라 데이터 수출자로부터 개인 데이터를 추가 처리하기 위해 수신하는 데 동의하는 데이터 관리자 또는 데이터 처리자를 의미합니다.
데이터 처리자: 데이터 처리자는 데이터 관리자의 직원이 아닌 자로서, 데이터 관리자를 대신하여 데이터를 처리하는 모든 사람을 의미합니다. 회사는 데이터 관리자와의 계약 조건에 따라 데이터 처리자로 정의되는 경우 데이터 처리자가 될 수 있습니다.
데이터 보호 당국: 데이터 및 개인정보 보호를 담당하는 기관입니다. 이 당국은 공공 및 사적 이익 모두에서 정보 권리를 옹호하기 위해 설립되었습니다.
데이터 보호법: 2018년 데이터 보호법 및 일반 데이터 보호 규정(EU 규정 2016/679); ATPI가 운영되는 국가 내 EU 외부의 모든 데이터 보호 법규; 그리고 2003년 전자 통신(EC 지침) 규정 및 그 개정안.
데이터 보안: 관리자와 처리자가 설계 및 기본적으로 데이터 보호 원칙을 준수하고, 최신 기술, 구현 비용, 처리의 성격, 범위, 맥락 및 목적을 고려하여 개인의 권리와 자유에 대한 위험에 적절한 수준의 보안을 보장하기 위해 구현해야 하는 조치.
데이터 주체: 데이터 주체는 데이터가 지칭하는 사람을 의미합니다. 데이터 주체에는 고객 및 웹 사용자, 연락처/이메일 목록 또는 마케팅 데이터베이스에 있는 개인, 직원, 계약자 및 공급업체가 포함됩니다.
EU-미국 프라이버시 실드: 상업적 목적을 위한 대서양 횡단 데이터 보호 교환을 가능하게 하기 위해 미국 상무부와 유럽 위원회가 구축한 프레임워크입니다. EU-미국 프라이버시 실드는 EU 및 미국 기업이 EU에서 미국으로 개인 데이터를 전송할 때 데이터 보호 요구사항을 준수할 수 있도록 합니다.
개인 데이터: 개인 데이터는 해당 데이터 또는 해당 데이터와 데이터 관리자 또는 데이터 처리자가 보유하고 있거나 보유하게 될 가능성이 있는 다른 정보로부터 식별될 수 있는 살아있는 개인과 관련된 데이터를 의미합니다. 개인 데이터에는 익명화되거나, 인코딩되거나, 식별자가 제거된 정보, 또는 다른 비공개 개인 정보와 결합되지 않는 한 공개적으로 이용 가능한 정보는 포함되지 않습니다.
처리: 처리는 데이터를 얻거나, 기록하거나, 보유하거나, 데이터에 대한 모든 작업 또는 일련의 작업을 수행하는 것을 포함하여 데이터와 관련된 광범위한 작업을 포괄하며, 다음을 포함합니다:
- 조직, 적응 또는 변경;
- 전송, 보급 또는 기타 방법으로 공개; 그리고
- 정렬, 결합, 차단, 삭제 또는 파기.
‘처리된’은 그에 따라 해석되어야 합니다.
관련 파일링 시스템: 관련 파일링 시스템은 수동 또는 전자 파일로 보관되든, 개인을 참조하거나 개인과 관련된 기준을 참조하여 특정 개인과 관련된 정보에 쉽게 접근할 수 있도록 구조화된, 개인과 관련된 모든 정보 집합을 의미합니다.
따라서 식별 가능한 살아있는 개인과 관련된 모든 디지털 데이터베이스 및/또는 조직화된 수동 파일은 데이터 보호 법률 및 규정의 범위에 속하며, 반면 순수한 통계 또는 금융 정보 데이터베이스(식별 가능한 살아있는 개인과 직간접적으로 관련될 수 없는)는 그렇지 않습니다.
민감 데이터: 민감 데이터는 데이터 주체에 대한 다음 정보를 포함하는 개인 데이터를 의미합니다:
- 인종 또는 민족적 출신;
- 종교적 신념 또는 유사한 성격의 기타 신념;
- 정치적 견해;
- 신체적 또는 정신적 건강 또는 상태;
- 성적 이력 또는 지향;
- 노동조합 가입 여부;
- 범죄의 실행 또는 혐의, 그리고 관련 법원 절차.
기술: 기술은 데이터 수집 또는 처리를 위한 모든 수단을 광범위하게 해석해야 하며, 여기에는 컴퓨터 및 네트워크, 통신 시스템, 비디오 및 오디오 녹음 장치, 생체 인식 장치, 폐쇄회로 텔레비전 등이 제한 없이 포함됩니다.