뉴스레터에 가입하시면 첫 주문 시 10% 할인을 받으실 수 있습니다
흠집 흠집
검색
로그인
검색
검색
내 가방
내 가방
내 가방
검색
Close

서문

당사의 기업 데이터 보호 정책은 고객, 잠재 고객, 비즈니스 파트너 및 직원과 관련된 개인 데이터 처리에 대한 엄격한 요구 사항을 명시합니다. 이 정책은 유럽 데이터 보호 지침(GDPR)의 요구 사항을 충족하며 국내외 데이터 보호 법률 원칙 준수를 보장합니다.

이 정책은 당사에 적용되는 데이터 보호 및 보안 기준을 설정하고 그룹사 간 정보 공유를 규제합니다. 우리는 투명성, 데이터 절약, 데이터 보안을 포함한 7가지 데이터 보호 원칙을 가이드라인으로 정립했습니다.

우리 관리자와 직원들은 정책을 준수하고 현지 데이터 보호법을 준수할 의무가 있습니다.

기업 데이터 보호 책임자로서 Dents의 데이터 보호 규칙과 원칙이 준수되도록 하는 것이 제 의무입니다 준수됩니다.

로버트 옌톱

회장

23/5/18

목차

I. 데이터 보호 정책의 목적

II. 데이터 보호 정책의 범위

III. 국가 법률의 적용

IV. 개인 데이터 처리 원칙

1. 공정성과 합법성

2. 특정 목적에 대한 제한

3. 투명성

4. 데이터 축소 및 데이터 경제

5. 삭제

6. 사실 정확성; 최신 데이터

7. 기밀 유지 및 데이터 보안

V. 데이터 처리의 신뢰성

1. 고객 및 파트너 데이터

1.1 계약 관계를 위한 데이터 처리

1.2 광고 목적을 위한 데이터 처리

1.3 데이터 처리에 대한 동의

1.4 법적 승인에 따른 데이터 처리

1.5 정당한 이익에 따른 데이터 처리

1.6 고도로 민감한 데이터 처리

1.7 자동화된 개별 결정

1.8 사용자 데이터 및 인터넷

2. 직원 데이터

2.1 고용 관계를 위한 데이터 처리

2.2 법적 허가에 따른 데이터 처리

2.3 데이터 처리에 대한 동의

2.4 정당한 이익에 따른 데이터 처리

2.5 고도로 민감한 데이터 처리

2.6 자동화된 결정

2.7 통신 및 인터넷

VI. 개인 데이터 전송

VII. 계약에 따른 데이터 처리

VIII. 정보 주체의 권리

IX. 처리의 기밀성

X. 보안 처리

XI. 데이터 보호 통제

XII. 데이터 보호 사고

XIII. 책임 및 제재

  1. I. 데이터 보호 정책의 목표

사회적 책임의 일환으로, Dewhurst Dent 그룹(그룹)은 데이터 보호 법규 준수를 약속합니다. 이 데이터 보호 정책은 전 세계적으로 그룹에 적용됩니다. 그리고 전 세계적으로 인정받는 기본 데이터 보호 원칙에 기반합니다. 데이터 보호 보장은 신뢰할 수 있는 비즈니스 관계와 그룹 내 모든 회사가 매력적인 고용주로서의 명성을 유지하는 기반입니다.

데이터 보호 정책은 국경 간 데이터 전송을 위한 필수 프레임워크 조건 중 하나를 제공합니다.

그룹 회사 간 데이터 전송을 보장합니다. 이는 적절한 수준의 데이터 보호를 보장합니다.

GDPR 및 국가 법률이 규정한 국경 간 데이터 전송에 관한 규정을 포함하며, 아직 적절한 데이터 보호법이 없는 국가에도 적용됩니다.

  1. II. 데이터 보호 정책의 범위

이 데이터 보호 정책은 그룹의 모든 회사 및 부서, 즉 Dents, Gaby, Dents Australia Pty, Corgi Hosiery Ltd, D.Charles Astle (Auctioneers) 및 Hersil Fabrics에 적용됩니다.

데이터 보호 정책은 개인 데이터 처리 전반에 적용됩니다.

  1. III. 국가 법률의 적용

이 데이터 보호 정책은 국제적으로 인정된 데이터 개인정보 보호 원칙으로 구성됩니다.

기존 국가 법률을 대체하지 않고 보완합니다. 이는 국가 데이터 개인정보 보호법을 보완합니다.

관련 국가 법률이 이 데이터 보호 정책과 충돌할 경우 우선합니다.

정책 또는 이 정책보다 더 엄격한 요구 사항이 있는 경우 해당 정책이 우선합니다. 이 데이터 보호 정책의 내용은

해당 국가 법률이 없더라도 준수해야 합니다. 보고 사항

국가 법률에 따른 데이터 처리 요건을 준수해야 합니다.

그룹 내 각 회사는 본 데이터 보호 정책 및 법적 의무 준수에 책임이 있습니다. 모든 직원은 개인 데이터를 처리할 때 본 정책 및 관련 정책을 읽고 이해하며 준수해야 하며, 위반 시 징계 조치가 있을 수 있습니다.

  1. IV. 개인 데이터 처리 원칙

1. 공정성과 합법성

개인 데이터를 처리할 때, 데이터 주체의 개별 권리가 보호되어야 합니다.

개인 데이터는 합법적이고 공정한 방식으로 수집 및 처리되어야 합니다. 데이터 보호 법률은 본 정책에 명시된 특정 목적을 위한 처리를 허용합니다. 데이터 주체는 회사의 직원 개인정보 보호 고지에서 확인할 수 있는 개인 데이터 처리 목적에 대해 통지받게 됩니다.

2. 특정하고 명확하며 합법적인 목적에의 제한

개인 데이터는 명확하고 구체적이며 합법적인 목적을 위해서만 처리될 수 있으며, 해당 목적과 양립할 수 없는 방식으로 처리되지 않습니다. 목적 변경은 제한적으로만 가능하며 근거가 필요합니다.


3. 투명성

데이터 주체는 자신의 데이터가 어떻게 처리되는지 통지받아야 합니다. [직원들은 자신의 데이터가 어떻게 처리되는지 알리는 개인정보 보호 고지를 받게 됩니다.] 정보는 간결하고 투명하며 쉽게 접근 가능하고 명확하고 평이한 언어로 제공됩니다.

일반적으로 개인 데이터는 해당 개인으로부터 직접 수집됩니다. 데이터가 수집될 때, 데이터 주체는 다음 사항을 인지하거나 통지받아야 합니다:

» 데이터 관리자 신원

» 데이터 처리 목적

» 데이터가 전송될 수 있는 제3자 또는 제3자 범주

개인 데이터는 간접적으로도 수집될 수 있습니다(예: 제3자 또는 공개적으로 이용 가능한 출처로부터). 데이터 주체는 데이터 수집/수신 후 가능한 한 빨리 위의 정보를 통지받게 됩니다.

4. 데이터 축소 및 데이터 경제

개인 데이터는 처리 목적과 관련하여 적절하고 관련성이 있으며 필요한 범위로 제한되어야 합니다. 개인 데이터를 처리하기 전에, 해당 목적을 달성하기 위해 개인 데이터 처리가 필요한지 그리고 어느 정도까지 필요한지 판단해야 합니다.

목적이 허용되고 관련 비용이 추구하는 목표에 비례하는 경우, 익명화되거나 통계적인 데이터를 사용해야 합니다. 개인 데이터는 국가 법률에 의해 요구되거나 허용되지 않는 한, 잠재적인 미래 목적을 위해 사전에 수집 및 저장할 수 없습니다.

5. 삭제

개인 데이터가 더 이상 필요하지 않은 경우 회사의 데이터 보존 지침 및 정책에 따라 삭제됩니다. 데이터 주체는 데이터가 저장되는 기간과 그 기간이 어떻게 결정되는지 개인정보 처리방침에서 안내받게 됩니다.

제3자는 해당되는 경우 더 이상 필요하지 않은 데이터를 삭제하도록 요구받아야 합니다.

6. 사실 정확성; 최신 데이터

보유 중인 개인 데이터는 정확해야 하며, 필요한 경우 최신 상태로 유지되어야 합니다. 부정확하거나 불완전한 데이터는 삭제, 수정, 보완 또는 업데이트되도록 적절한 조치를 취해야 합니다.

7. 기밀 유지 및 데이터 보안

개인 데이터는 기밀로 취급되어야 합니다. 개인 차원에서 기밀로 다루어져야 하며, 무단 접근, 불법 처리 또는 배포뿐만 아니라 우발적 손실, 손상, 수정 또는 파괴를 방지하기 위해 적절한 조직적 및 기술적 조치로 보호되어야 합니다. 당사는 규모, 범위, 자원 및 확인된 위험에 적합한 보호 조치를 마련하고 정기적으로 평가 및 테스트합니다. 의심되는 개인 데이터 침해에 대응하는 절차를 마련했으며, 법적으로 요구되는 경우 데이터 주체 또는 관련 규제 기관에 통지할 것입니다.

개인 데이터는 당사의 요구 정책 및 절차를 준수하고 데이터 보안을 유지하기 위한 적절한 조치를 취하는 데 동의하는 제3자 서비스 제공자에게만 이전됩니다. 적절한 보호 조치가 마련되지 않은 경우 개인 데이터는 다른 국가로 이전되지 않습니다.

  1. V. 데이터 처리의 신뢰성

개인 데이터의 수집, 처리 및 사용은 다음 법적 근거에 의해서만 허용됩니다.

개인 데이터를 수집, 처리 및 사용하는 목적이 원래 목적에서 변경되는 경우에도 이러한 법적 근거 중 하나가 필요합니다.

1. 고객 및 파트너 데이터

1.1 계약 관계를 위한 데이터 처리

관련 잠재 고객, 고객 및 파트너의 개인 데이터는 계약을 체결, 실행 및 종료하기 위해 처리될 수 있습니다. 여기에는 계약 목적과 관련된 경우 계약에 따른 파트너에 대한 자문 서비스도 포함됩니다. 계약 이전 – 계약 시작 단계에서 – 개인 데이터는 입찰서 또는 구매 주문서를 준비하거나 계약 체결과 관련된 잠재 고객의 기타 요청을 이행하기 위해 처리될 수 있습니다. 잠재 고객이 제공한 정보를 사용하여 계약 준비 과정 중에 연락할 수 있습니다. 잠재 고객이 요청한 모든 제한 사항은 준수되어야 합니다.

1.2 광고 목적을 위한 데이터 처리

데이터 주체가 그룹 회사에 연락하여 정보 요청(예: 제품에 대한 정보 자료 수령 요청)을 하는 경우, 이 요청을 충족하기 위한 데이터 처리가 허용됩니다.

고객 충성도 또는 광고 조치는 추가적인 법적 요구 사항의 적용을 받습니다. 개인 데이터는 원래 수집된 목적과 일치하는 경우에 한해 광고 목적이나 시장 및 여론 조사에 사용할 수 있습니다. 데이터 주체는 자신의 데이터가 광고 목적으로 사용되는 것에 대해 알려야 합니다. 데이터가 광고 목적으로만 수집되는 경우, 데이터 주체의 제공은 자발적입니다. 데이터 주체에게 이 목적을 위한 데이터 제공이 자발적임을 알려야 합니다. 데이터 주체와 소통할 때는 광고 목적으로 데이터를 처리하는 데 동의를 받아야 합니다. 동의를 받을 때는 정기 우편, 이메일, 전화 등 가능한 연락 수단 중에서 선택할 수 있도록 해야 합니다(동의, V.1.3 참조). 데이터 주체가 광고 목적으로 자신의 데이터 사용을 거부하는 경우, 해당 데이터는 더 이상 광고 목적으로 사용할 수 없으며, 광고 목적 사용에서 차단되어야 합니다. 광고 목적으로 데이터 사용에 관한 특정 국가의 기타 제한 사항도 준수해야 합니다.

1.3 데이터 처리에 대한 동의

데이터는 데이터 주체의 동의에 따라 처리될 수 있습니다. 동의를 제공하기 전에, 데이터 주체는 본 개인정보 보호 정책 IV.3.에 따라 정보를 제공받아야 합니다. 동의 선언은 문서화를 위해 서면 또는 전자적으로 받아야 합니다. 전화 통화와 같은 일부 상황에서는 구두로 동의를 제공할 수 있습니다. 동의 제공은 문서화되어야 합니다.

1.4 법적 승인에 따른 데이터 처리

개인 데이터 처리는 국가 법률이 요청, 요구 또는 허용하는 경우에도 허용됩니다. 데이터 처리의 유형과 범위는 법적으로 승인된 데이터 처리 활동에 필요해야 하며, 관련 법적 규정을 준수해야 합니다.

1.5 정당한 이익에 따른 데이터 처리

개인 데이터는 그룹의 정당한 이익을 위해 필요한 경우에도 처리할 수 있습니다. 정당한 이익은 일반적으로 법적 성격(예: 미수금 징수) 또는 상업적 성격(예: 계약 위반 방지)을 가집니다. 개별 사례에서 데이터 주체의 이익이 보호받을 가치가 있고, 이 이익이 우선하는 증거가 있는 경우에는 정당한 이익을 목적으로 개인 데이터를 처리할 수 없습니다. 데이터를 처리하기 전에 보호받을 가치가 있는 이익이 있는지 판단해야 합니다.

1.6 고도로 민감한 데이터 처리

고도로 민감한 개인 데이터는 법률에서 요구하거나 데이터 주체가 명시적으로 동의한 경우에만 처리할 수 있습니다. 이 데이터는 또한 데이터 주체와 관련된 법적 청구권을 주장, 행사 또는 방어하는 데 필수적인 경우에도 처리할 수 있습니다. 고도로 민감한 데이터를 처리할 계획이 있는 경우, 해당 회사의 회장 또는 CEO(데이터 보호 책임자임)에게 사전에 알려야 합니다.

1.7 자동화된 개별 결정

신용도 등 특정 측면을 평가하기 위해 사용되는 개인 데이터의 자동 처리 결과가 부정적인 법적 결과를 초래하거나 데이터 주체에게 중대한 불이익을 줄 수 있는 결정의 유일한 근거가 될 수 없습니다. 데이터 주체는 자동화된 개별 결정의 사실과 결과 및 이에 대응할 수 있는 가능성에 대해 알려야 합니다. 잘못된 결정을 방지하기 위해 직원에 의한 테스트 및 타당성 검사가 이루어져야 합니다.

1.8 사용자 데이터 및 인터넷

개인 데이터가 웹사이트나 앱에서 수집, 처리 및 사용되는 경우, 데이터 주체에게 개인정보 처리방침과 해당되는 경우 쿠키 정보에 대해 알려야 합니다. 개인정보 처리방침과 쿠키 정보는 쉽게 식별할 수 있고 직접 접근 가능하며 데이터 주체가 일관되게 이용할 수 있도록 통합되어야 합니다. 웹사이트 및 앱 사용 평가를 위해 사용 프로필(추적)이 생성되는 경우, 데이터 주체에게 개인정보 처리방침에서 항상 이에 대해 알려야 합니다. 개인 추적은 국가 법률에 의해 허용되거나 데이터 주체의 동의가 있을 때만 수행할 수 있습니다. 추적이 가명(pseudonym)을 사용하는 경우, 데이터 주체는 개인정보 처리방침에서 옵트아웃할 기회를 제공받아야 합니다. 웹사이트나 앱이 등록 사용자 전용 영역에서 개인 데이터에 접근할 수 있는 경우, 데이터 주체의 식별 및 인증은 접근 시 충분한 보호를 제공해야 합니다.

2. 직원 데이터

2.1 고용 관계를 위한 데이터 처리

고용 관계에서는 고용 계약을 이행하는 데 필요할 경우 개인 데이터를 처리할 수 있으며, 여기에는 고용을 시작, 수행 및 종료하는 것이 포함됩니다. 고용 관계를 시작할 때 지원자의 개인 데이터를 처리할 수 있습니다. 후보자가 거부된 경우, 지원자가 향후 선발 절차를 위해 데이터를 보관하는 데 동의하지 않는 한 그의/그녀의 데이터는 6개월 이내에 삭제되어야 합니다.

기존의 고용 관계에서는 고용 계약을 이행하기 위한 목적으로 데이터 처리가 필요할 수 있지만, 아래에 명시된 바와 같이 처리에 대한 다른 합법적인 근거가 있을 수도 있습니다. 지원 절차 중에 제3자로부터 지원자에 대한 정보를 수집해야 하는 경우에는 해당 국가 법률의 요구 사항을 준수해야 합니다. 의심스러운 경우에는 데이터 주체의 동의를 받아야 합니다. 고용 관계와 관련된 개인 데이터를 처리하기 위한 대체 법적 근거가 있을 수 있습니다. 여기에는 법적 요구 사항, 직원의 동의 또는 회사의 정당한 이익이 포함될 수 있습니다.

2.2 법적 의무에 따른 데이터 처리

개인 직원 데이터 처리는 국가 법률이 요청, 요구 또는 허용하는 경우에도 허용됩니다. 데이터 처리의 유형과 범위는 법적으로 허가된 데이터 처리 활동에 필요해야 하며, 관련 법적 규정을 준수해야 합니다.

2.3 데이터 처리에 대한 동의

직원 데이터는 해당 직원의 동의에 따라 처리할 수 있습니다. 동의 선언은 자발적으로 제출되어야 하며, 비자발적 동의는 무효입니다. 동의 선언은 문서화를 위해 서면 또는 전자적으로 받아야 합니다. 특정 상황에서는 구두로 동의를 받을 수 있으며, 이 경우 적절히 문서화해야 합니다.

직원은 명확한 진술이나 긍정적 행동으로 처리에 동의함을 표시하면 개인 데이터 처리에 동의한 것으로 간주됩니다. 동의가 다른 사항을 다루는 문서에 포함된 경우, 동의는 그 다른 사항과 분리되어야 합니다. 직원은 언제든지 쉽게 동의를 철회할 수 있어야 합니다.

다른 법적 근거가 없는 한, 특별 범주의 데이터 처리는 명시적 동의가 필요합니다(아래 2.5항 참조). 일반적으로 회사는 다른 법적 근거에 의존하며 특별 범주 데이터 처리를 위해 명시적 동의를 요구하지 않습니다.

2.4 정당한 이익에 따른 데이터 처리

개인 데이터는 그룹 또는 제3자의 정당한 이익을 위한 목적상 필요할 경우에도 처리할 수 있습니다. 정당한 이익은 일반적으로 법적(예: 법적 청구 제기, 집행 또는 방어), 재정적(예: 기업 평가) 또는 기타 성격(예: 개인 또는 타인의 생명 유지에 필수적이거나 공익을 위한 업무 수행에 필수적임)을 가집니다.

개인 데이터는 개별 사례에서 데이터 주체의 이익 또는 개인 데이터 보호가 필요한 기본권 및 자유가 정당한 이익보다 우선하는 경우, 정당한 이익에 근거하여 처리할 수 없습니다. 의존하는 정당한 이익은 해당 개인정보 처리방침에 명시됩니다. 또한, 국가법에 따른 추가 요건(예: 직원 대표의 공동 결정권 및 데이터 주체의 정보 권리)을 고려해야 합니다.

2.5 고도로 민감한 데이터 처리

고도로 민감한 개인 데이터는 특정 조건 하에서만 처리될 수 있습니다. 고도로 민감한 데이터는 인종 및 민족 출신, 정치적 견해, 종교적 또는 철학적 신념, 노동조합 가입, 유전 데이터, 생체 인식 데이터, 건강 데이터 및 데이터 주체의 성생활 및 성적 지향에 관한 데이터입니다. 국가법에 따라 추가 데이터 범주가 고도로 민감한 것으로 간주되거나 데이터 범주의 내용이 다르게 채워질 수 있습니다. 또한, 범죄 유죄 판결 및 범죄와 관련된 데이터는 국가법에 따라 특별한 요건 하에서만 처리될 수 있습니다. 처리는 국가법에 명시적으로 허용되거나 규정되어야 합니다. 추가로, 고용법 영역에서 책임 당국이 권리와 의무를 이행하기 위해 필요할 경우 처리가 허용될 수 있습니다. 직원도 처리에 대해 명시적으로 동의할 수 있습니다. 고도로 민감한 데이터를 처리할 계획이 있는 경우, 사전에 데이터 보호 관리자를 통지해야 합니다.

고도로 민감한 데이터는 다음과 같은 상황에서 처리될 수 있습니다:

  • 데이터 주체의 명시적 동의가 있는 경우
  • 처리가 고용, 사회 보장 또는 사회 보호와 관련하여 법률에 의해 데이터 관리자 또는 데이터 주체에게 부과된 의무 또는 권리를 수행하거나 행사하기 위해 필요하며, 고용주가 적절한 정책 문서와 추가 보호 조치를 갖추고 있는 경우
  • 처리가 개인 또는 다른 사람의 생명 보호를 위해 필요하며 개인이 동의를 할 수 없는 경우
  • 처리가 개인이 공개한 개인 데이터와 관련된 경우
  • 처리가 법적 청구권을 설정, 행사 또는 방어하기 위해 필요한 경우
  • 처리가 중대한 공익을 위한 경우로서, 고용주가 적절한 정책 문서와 추가 보호 조치를 갖추고 있는 경우. 여기에는 평등한 대우 촉진을 위한 데이터 처리도 포함될 수 있습니다.
  • 처리가 개인의 작업 능력 평가를 위해 필요하거나 의료 전문가와의 접촉에 따른 경우, 그리고 비밀 유지 보호 조치가 적용되는 경우

2.6 자동화된 결정

고용 관계의 일부로서 개인 데이터가 자동으로 처리되고 특정 개인 정보가 평가되는 경우(예: 인사 선발 또는 역량 프로필 평가의 일부로서), 이 자동 처리는 영향을 받는 직원에게 부정적인 결과나 중대한 영향을 미치는 결정의 유일한 근거가 될 수 없습니다. 잘못된 결정을 피하기 위해 자동화된 프로세스는 자연인이 상황의 내용을 평가하도록 보장해야 하며, 이 평가가 결정의 근거가 되어야 합니다. 데이터 주체는 또한 자동 처리의 사실과 결과 및 대응 가능성에 대해 통지받아야 합니다. 회사는 자동화된 의사결정 사용을 계획하지 않지만, 입장이 변경될 경우 직원에게 서면으로 통지할 것입니다.

2.7 통신 및 인터넷

전화 장비, 이메일 주소, 인트라넷 및 인터넷과 내부 소셜 네트워크는 주로 업무 관련 과제를 위해 회사에서 제공합니다. 이들은 도구이자 회사 자원입니다. 적용 가능한 법률 규정 및 내부 회사 정책 내에서 사용할 수 있습니다. 사적 용도로 허가된 사용 시에는 통신 비밀법 및 관련 국가 통신법을 준수해야 합니다. 전화 및 이메일 통신이나 인트라넷/인터넷 사용에 대한 일반적인 모니터링은 없습니다. IT 인프라 또는 개별 사용자를 대상으로 한 공격에 대응하기 위해 그룹 회사 네트워크 연결에 대해 기술적으로 유해한 콘텐츠를 차단하거나 공격 패턴을 분석하는 보호 조치를 시행할 수 있습니다. 보안상의 이유로 전화 장비, 이메일 주소, 인트라넷/인터넷 및 내부 소셜 네트워크 사용은 일시적으로 기록될 수 있습니다. 특정 개인에 대한 이 데이터 평가는 법률 또는 그룹 정책 위반 의심 시에만 이루어질 수 있습니다. 관련 국가 법률은 그룹 규정과 동일하게 준수되어야 합니다.

  1. VI. 개인 데이터 전송

개인 데이터의 그룹 내외 수신자에 대한 전송은 섹션 V에 따른 개인 데이터 처리 승인 요건의 적용을 받습니다. 특정 보호 조치 및 계약적 합의가 마련되지 않는 한 개인 데이터는 제3자와 공유되지 않습니다. 데이터 수신자는 정의된 목적과 당사의 지침에 따라 데이터만 사용하도록 요구받아야 합니다.

데이터가 EU 외 국가를 포함한 제3국의 그룹 외 수신자에게 전송되는 경우, 해당 국가에 이 데이터 보호 정책에 명시된 보호 수준과 동등한 개인 데이터 보호 수준이 확보되도록 보장합니다. 제3자가 그룹 회사에 데이터를 전송하는 경우, 데이터가 의도된 목적에 맞게 사용되도록 해야 합니다.

  1. VII. 계약 데이터 처리

대리 데이터 처리는 제공자가 개인 데이터를 처리하도록 고용된 경우를 의미하며,

관련 업무 프로세스에 대한 책임이 할당되는 경우. 이러한 경우, 계약이 체결됩니다.

외부 제공자 및 회사 간에 위탁 데이터 처리 계약이 체결되어야 합니다.

그룹 내에서. 고객은 데이터 처리의 올바른 수행에 대해 전적인 책임을 유지합니다. 제공자는 고객의 지침에 따라서만 개인정보를 처리할 수 있습니다. 주문을 발행할 때 다음 요구사항을 준수해야 하며, 주문 부서는 이를 충족하는지 확인해야 합니다.

  1. 제공자는 필요한 기술적 및 조직적 보호 조치를 충족할 수 있는 능력을 기준으로 선택해야 합니다.
  2. 주문은 서면으로 이루어져야 합니다. 데이터 처리에 관한 지침과 고객 및 제공자의 책임이 문서화되어야 합니다.
  3. 데이터 보호 관리자가 제공하는 데이터 보호에 관한 계약 기준을 고려해야 합니다.
  4. 데이터 처리가 시작되기 전에, 고객은 제공자가 의무를 준수할 것임을 확신해야 합니다. 제공자는 데이터 보안 요구사항 준수를 문서화할 수 있습니다.

특히 적절한 인증서를 제시함으로써. 데이터 처리 위험에 따라 계약 기간 동안 정기적으로 검토를 반복해야 합니다.

  1. 데이터와 관련하여 비밀 유지 의무가 있는 직원 및 기타 인원만 사용합니다.
  2. GDPR에 따라 고용주에게 부과된 것과 동등한 보안 의무를 준수합니다.
  3. 고용주가 공유한 개인정보와 관련된 위반 사항을 고용주에게 통지합니다.
  4. 고용주의 사전 허가 없이 하위 처리자를 지정하지 않습니다.
    1. 국경 간 계약 데이터 처리의 경우, 개인정보를 해외로 공개하는 데 관련된 국가 요구사항을 충족해야 합니다. 특히, 유럽 경제 지역(EEA)에서 온 개인정보는 제공자가 본 데이터 보호 정책과 동등한 데이터 보호 기준을 갖추었음을 증명할 수 있는 경우에만 제3국에서 처리할 수 있습니다. 적절한 도구는 다음과 같을 수 있습니다:
      1. 제3국에서의 계약 데이터 처리에 관한 EU 표준 계약 조항에 대해 제공자 및 모든 하청업체와 합의함.
      2. 충분한 데이터 보호 수준을 제공하기 위해 EU에서 인증한 인증 시스템에 제공자가 참여함.
      3. 책임 있는 데이터 보호 감독 당국에 의해 적절한 수준의 데이터 보호를 생성하기 위한 제공자의 구속력 있는 기업 규칙에 대한 승인.

  1. VIII. 데이터 주체의 권리

모든 데이터 주체는 다음과 같은 권리를 가집니다;

  1. 데이터 주체는 본인과 관련된 어떤 개인정보가 저장되어 있는지, 데이터가 어떻게 수집되었는지, 그리고 어떤 목적으로 사용되는지에 대한 정보를 요청할 수 있습니다. 추가 권리가 있는 경우

고용 관계에 관한 고용주의 문서(예: 인사 파일)를 열람할 수 있습니다.

관련 고용법은 영향을 받지 않습니다.

  1. 개인 데이터가 제3자에게 전송되는 경우, 신원에 관한 정보가 제공되어야 합니다.

수신자 또는 수신자 범주에 관한 정보.

  1. 개인 데이터가 부정확하거나 불완전한 경우, 데이터 주체는 수정할 것을 요청할 수 있습니다.

또는 보완됩니다.

  1. 데이터 주체는 광고 또는 시장/여론 조사 목적으로 자신의 데이터 처리에 반대할 수 있습니다. 해당 데이터는 이러한 용도로부터 차단되어야 합니다.
  2. 데이터 주체는 처리에 법적 근거가 없거나 법적 근거가 소멸된 경우 자신의 데이터를 삭제할 것을 요청할 수 있습니다. 데이터 처리 목적이 소멸되었거나 다른 이유로 더 이상 적용되지 않는 경우에도 동일하게 적용됩니다. 기존 보존 기간과 보호할 만한 상충하는 이익을 준수해야 합니다.
  3. 데이터 주체는 일반적으로 정당한 이익(또는 제3자의 이익)을 근거로 처리되는 경우, 자신의 특정 상황 때문에 이 근거에 대해 처리에 반대할 권리가 있습니다. 특정 개인 상황으로 인해 데이터 주체의 이익 보호가 데이터 관리자 이익보다 우선하는 경우 이를 고려해야 합니다. 법적 조항이 데이터를 처리하도록 요구하거나 법적 청구의 수립, 행사 또는 방어에 처리가 필요한 경우에는 적용되지 않습니다.
  4. 데이터 주체는 자신의 개인 정보 처리 제한을 요청할 수 있습니다. 이는 예를 들어 고용주가 정보의 정확성이나 처리 사유를 확인하도록 요청할 때 개인 정보 처리 중단을 요청할 수 있게 합니다.
  5. 데이터 주체는 특정 상황에서 자신의 개인 정보를 다른 당사자에게 이전할 것을 요청할 수 있습니다.

  1. IX. 처리의 비밀 유지

개인 데이터는 비밀 유지 대상입니다. 직원에 의한 무단 수집, 처리 또는 사용은 금지됩니다. 직원이 정당한 업무의 일환으로 승인받지 않은 데이터 처리는 무단 처리로 간주됩니다. “알 필요성” 원칙이 적용됩니다. 직원은 해당 업무의 유형과 범위에 적합한 경우에만 개인 정보에 접근할 수 있습니다. 이를 위해 역할과 책임의 세심한 분리 및 구현이 필요합니다. 직원은 개인 데이터를 사적 또는 상업적 목적으로 사용하거나 무단자에게 공개하거나 다른 방식으로 제공하는 것이 금지됩니다. 감독자는 고용 관계 시작 시 직원에게 데이터 비밀 유지 의무에 대해 알려야 합니다. 이 의무는 고용 종료 후에도 계속 유효합니다.

  1. X. 처리 보안

개인정보는 무단 접근, 불법 처리 또는 공개뿐만 아니라 우발적 손실, 변경 또는 파괴로부터 보호되어야 합니다. 이는 데이터가 전자적으로 처리되든 종이 형태로 처리되든 관계없이 적용됩니다. 특히 새로운 IT 시스템과 같은 새로운 데이터 처리 방법 도입 전에 개인정보 보호를 위한 기술적 및 조직적 조치를 정의하고 구현해야 합니다. 이러한 조치는 최신 기술 수준, 처리 위험, 그리고 정보 분류 절차에 의해 결정된 데이터 보호 필요성에 기반해야 합니다. 특히 책임 부서는 데이터 보호 관리자와 상담할 수 있습니다.

  1. XI. 데이터 보호 점검

데이터 보호 정책 및 적용 가능한 데이터 보호 법규 준수 법률 준수 여부는 정기적으로 점검됩니다.. 데이터 보호 점검 결과는 데이터 보호 관리자에게 보고되어야 합니다.

  1. XII. 데이터 보호 사고

모든 직원은 이 데이터 보호 정책 또는 개인정보 보호에 관한 기타 규정 위반 사례(데이터 보호 사고)를 즉시 상사 또는 데이터 보호 관리자에게 보고해야 합니다. 기능 또는 부서 책임자는 데이터 보호 사고에 대해 책임 있는 데이터 보호 관리자에게 즉시 통보해야 합니다.

다음의 경우에

» 개인정보의 제3자에 대한 부적절한 전송,

» 제3자의 개인정보 부적절한 접근, 또는

» 개인정보 손실

필요한 회사 보고서(정보 보안 사고 관리)를 작성해야 합니다.

국가 법률에 따른 보고 의무를 준수할 수 있도록 즉시.

  1. XIII. 책임과 제재

그룹 회사의 집행 기관은 자신들의 책임 영역 내에서 데이터 처리에 대한 책임이 있습니다. 따라서 데이터 보호에 관한 법적 요구사항과 데이터 보호 정책에 포함된 요구사항(예: 국가 보고 의무)을 준수하도록 보장해야 합니다. 경영진은 모든 데이터 처리가 데이터 보호에 따라 수행되도록 조직적, 인사적, 기술적 조치가 마련되도록 책임을 집니다. 이러한 요구사항 준수는 관련 직원들의 책임입니다. 공식 기관이 데이터 보호 점검을 수행할 경우, 데이터 보호 관리자는 즉시 통보받아야 합니다. 개인정보의 부적절한 처리 또는 데이터 보호법 위반은 많은 국가에서 형사 처벌 대상이 될 수 있으며 손해 배상 청구로 이어질 수 있습니다. 개별 직원이 책임지는 위반 행위는 고용법상 제재를 초래할 수 있습니다.