GDPR 개인정보 고지

ATPI GDPR 개인정보 처리방침

1. 본 GDPR 개인정보 처리방침의 목적

본 GDPR 개인정보 처리방침은 유럽 일반 데이터 보호 규정(GDPR) 제13조 및 제14조에 따라 개인 데이터 처리의 투명성과 관련하여 의무적으로 제공되어야 하는 정보를 제공합니다. 본 GDPR 개인정보 처리방침 내 특정 용어의 정의는 부록에 설명되어 있습니다.

영국에서는 2018년 일반 데이터 보호법(DPA2018)이 개인 데이터 처리에 적용됩니다. DPA2018 제2부는 GDPR을 인정하고 이에 부합합니다. 따라서 본 문서에서 GDPR의 요구사항은 별도로 명시되지 않는 한 EU, EEA 및 영국 내 데이터 처리를 포함하는 것으로 간주됩니다.

2. 개인 데이터의 데이터 컨트롤러

당사가 처리하는 개인 데이터의 데이터 컨트롤러는 ATPI의 고객사(데이터가 수집되는 자연인의 고용주이며, 이하 ‘데이터 주체’라 함)입니다. 데이터 컨트롤러는 직원의 개인 데이터를 ATPI에 전달하여 해당 직원의 업무와 관련된 여행을 관리하도록 합니다. ATPI는 데이터 컨트롤러와의 서면 계약에 따라 데이터 컨트롤러의 지시에 따라 데이터 처리자로서 해당 개인 데이터를 사용하여 데이터 주체의 여행 준비를 용이하게 합니다. 이러한 상황에서 ATPI가 수행하는 개인 데이터 처리의 ‘법적 근거’를 형성하는 것은 바로 이 계약입니다.

ATPI는 데이터 주체와 별도의 계약과 관련하여 데이터 주체로부터 직접 개인 데이터를 수집하는 경우에만 데이터 컨트롤러가 됩니다. ATPI는 또한 자체 직원에 관한 개인 데이터에 대해 데이터 컨트롤러 역할을 하며, 해당 데이터 주체와의 고용 계약에 따라 데이터를 처리합니다. 두 경우 모두 ATPI는 GDPR 제6조 1항 (b) (계약 이행) 및 DPA2018 제8조에 따라 개인 데이터를 처리합니다.

3. 귀하의 권리

데이터 주체로서 귀하는 GDPR에 따른 권리를 가집니다. 이러한 권리는 아래에서 확인할 수 있습니다. ATPI는 귀하의 개인 데이터 처리에 관한 귀하의 권리를 항상 전적으로 존중하며, 당사의 데이터 처리 방식에 대한 우려나 질문이 있거나 GDPR에 따른 권리를 행사하고자 하는 경우 연락할 담당자의 세부 정보를 아래에 제공했습니다.

4. 연락처 정보

ATPI 내 데이터 보호 책임자의 신원 및 연락처 정보는 다음과 같습니다.

Nikki Matthews, 법무 총괄
ATPI Ltd
The Royals
353 Altrincham Road
M22 4BJ
맨체스터
영국

5. 데이터 보호 원칙

ATPI는 개인 데이터의 수집 및 처리를 관리하기 위해 다음 원칙을 채택했습니다.

• 개인 데이터는 합법적이고 공정하며 투명한 방식으로 처리되어야 합니다.
• 수집되는 개인 데이터는 여행, 숙박 또는 기타 여행 관련 요구사항을 충족하는 데 특별히 필요한 데이터에 한정됩니다. 이러한 데이터는 데이터 주체로부터 직접 수집되거나 데이터 주체의 고용주를 통해 ATPI에 제공될 수 있습니다. 이러한 데이터는 해당 목적으로만 처리됩니다.
• 개인 데이터는 계약상의 요구사항을 충족하거나 당사 고객사에 통계를 제공하는 데 필요한 기간 동안만 보관됩니다.
• 개인 데이터는 수집 및/또는 처리되는 목적과 관련하여 적절하고, 관련성이 있으며, 필요한 범위로 제한되어야 합니다. 개인 데이터는 정확해야 하며, 필요한 경우 최신 상태로 유지되어야 합니다.
• 데이터 주체는 ATPI에 자신의 개인 데이터에 대한 접근, 정정 또는 삭제를 요청할 권리, 데이터 처리에 이의를 제기하거나 제한을 요청할 권리, 또는 데이터 이동권(data portability)을 가집니다. 각 경우에 이러한 요청은 위 섹션 3과 같이 서면으로 제출되어야 합니다. ATPI는 미국 JAMS 대체 분쟁 해결(ADR) 서비스에 등록되어 있으며, 데이터 주체는 자신과 ATPI 간에 해결할 수 없다고 판단되는 분쟁에 대해 JAMS에 연락할 수 있습니다.
• 데이터 주체는 자국 내 감독 기관(데이터 보호 기관)에 직접 불만을 제기할 권리가 있습니다. ATPI는 EU에서 전송된 데이터에 대한 당사 조직의 독립적인 구제 메커니즘(IRM)으로 EU 데이터 보호 기관(DPA)을 사용합니다.
• 개인 데이터는 위 섹션 2에서 설명된 법적 근거에 따라 처리되어야 하며, 데이터 주체의 기본권 및 자유가 우선하는 경우는 예외입니다. 데이터 주체가 처리에 대한 특정 추가 동의를 제공한 경우, 해당 동의는 언제든지 철회될 수 있습니다(그러나 이로 인해 여행 요구사항을 충족하지 못할 수 있습니다).
• ATPI는 어떠한 모니터링 또는 프로파일링 활동이나 프로세스를 위해 개인 데이터를 사용하지 않으며, 어떠한 자동화된 의사 결정 프로세스도 채택하지 않을 것입니다.

6. 제3자 이전

데이터 주체의 여행 준비를 이행하기 위해서는 대부분의 경우 제3자(항공사, 호텔, 렌터카 회사, 비자 또는 여권 회사 등이 포함되나 이에 국한되지 않음)를 통해 개인 데이터를 처리해야 합니다. 개인 데이터는 여행 준비 이행에 필요한 경우에만 제3자 회사로 이전되거나 제3자 회사에 의해 처리됩니다.

개인 데이터는 유럽 경제 지역(EEA) 또는 영국 외의 국가 또는 지역으로 이전되지 않으며, 단, EU가 적절한 수준의 데이터 보안을 갖춘 것으로 인정한 국가 또는 지역으로 이전되는 경우, 또는 데이터 주체의 동의를 얻어 이전되는 경우, 또는 고객과의 계약 관계와 관련하여 ATPI의 정당한 이익을 충족하기 위해 이전되는 경우는 예외입니다.

모든 내부 그룹 개인 데이터 이전은 유럽 데이터 보호 기관이 인정한 표준 계약 조항을 기반으로 하는 회사 내부 데이터 이전 계약(IGDTA)에 따른 서면 합의의 적용을 받습니다.

부록 – 위에서 언급된 특정 용어의 정의:

개인 데이터:
(GDPR 제4조): ‘개인 데이터’란 식별되거나 식별 가능한 자연인(‘데이터 주체’)과 관련된 모든 정보를 의미합니다. 식별 가능한 자연인이란 이름, 식별 번호, 위치 데이터, 온라인 식별자 또는 해당 자연인의 신체적, 생리적, 유전적, 정신적, 경제적, 문화적 또는 사회적 정체성에 특정한 하나 이상의 요소를 참조하여 직간접적으로 식별될 수 있는 사람을 말합니다.

처리:

(GDPR 제4조): 개인 데이터 또는 개인 데이터 세트에 대해 수행되는 모든 작업 또는 일련의 작업을 의미하며, 자동화된 수단에 의하든 아니든 관계없이 수집, 기록, 조직화, 구조화, 저장, 개작 또는 변경, 검색, 상담, 사용, 전송에 의한 공개, 보급 또는 기타 방법으로 제공, 정렬 또는 결합, 삭제 또는 파기를 포함합니다.

처리 법적 근거:
(GDPR 제6조): 개인 데이터가 처리될 때마다 다음 중 하나 이상이 적용되어야 합니다.

1. 동의: 개인이 특정 목적을 위해 자신의 개인 데이터 처리에 명확한 동의를 제공한 경우.
2. 계약: 처리가 계약 준수를 위해 필요한 경우.
3. 법적 의무: 처리가 법률 준수를 위해 필요한 경우(계약상 의무는 제외).
4. 생명 유지에 필수적인 이익: 처리가 누군가의 생명을 보호하기 위해 필요한 경우.
5. 공공 업무: 처리가 공익을 위한 업무 수행에 필요하며, 해당 업무 또는 기능이 법률에 명확한 근거를 가지는 경우.
6. 정당한 이익: 처리가 데이터 컨트롤러의 정당한 이익을 위해 필요한 경우, 단, 해당 정당한 이익보다 개인의 개인 데이터를 보호해야 할 더 타당한 이유가 있는 경우는 예외입니다.

데이터 컨트롤러:
(GDPR 제4조): 개인 데이터 처리의 목적과 수단을 결정하는 개인 또는 회사를 의미합니다.

데이터 처리자:
(GDPR 제4조): 컨트롤러를 대신하여 개인 데이터를 처리하는 자연인 또는 법인, 공공 기관, 대행사 또는 기타 모든 단체를 의미합니다.

데이터 주체 권리:
(GDPR 제3장) 각 데이터 주체는 여덟 가지 권리를 가집니다. 이는 다음과 같습니다.

1. 고지받을 권리; 이는 귀하의 개인 데이터를 처리하는 모든 사람이 무엇을, 왜 처리하는지, 그리고 데이터가 누구에게 전달될 수 있는지를 명확히 해야 함을 의미합니다.
2. 접근권; 이는 데이터 컨트롤러가 귀하에 대해 보유하고 있는 데이터를 확인할 권리입니다.
3. 정정권; 보유된 데이터가 어떤 식으로든 부정확한 경우 귀하의 데이터를 수정하거나 변경할 권리입니다.
4. 삭제권; 특정 상황에서 귀하는 자신의 개인 데이터 삭제를 요청할 수 있습니다. 이는 ‘잊힐 권리’라고도 불립니다. 이는 개인 데이터가 수집 목적에 더 이상 필요하지 않거나, 해당 데이터 처리에 대한 귀하의 동의가 철회되었거나, 개인 데이터가 불법적으로 처리된 경우에 적용됩니다.
5. 처리 제한권; 이는 분쟁이나 법적 사건이 해결되어야 하거나 데이터가 수정되는 경우와 같이 개인 데이터 처리의 일시적인 중단을 요청할 권리를 데이터 주체에게 부여합니다.
6. 데이터 이동권; 데이터 주체는 자신에 의해 데이터 컨트롤러에게 직접 제공된 모든 데이터를 구조화되고 일반적으로 사용되며 기계 판독 가능한 형식으로 제공해 줄 것을 요청할 권리가 있습니다.
7. 이의 제기권; 데이터 주체는 프로파일링, 자동화 및 직접 마케팅을 포함하여 데이터가 수집된 주요 목적과 일치하지 않는 추가 데이터 처리에 이의를 제기할 권리가 있습니다.
8. 자동화된 의사 결정 및 프로파일링에 관한 권리; 데이터 주체는 전적으로 자동화된 처리에 기반한 결정의 대상이 되지 않을 권리가 있습니다.