개인정보 처리방침
I. STATEMENT AND PURPOSE
관련 법률은 개인 데이터 처리와 관련하여 다양한 의무를 규정하고 있습니다. Superior Essex Group은 개인의 프라이버시를 존중하며, 개인 데이터 처리와 관련된 사업 관행에서 해당 법률이 요구하는 법적 기준을 준수하기 위해 최선을 다하고 있습니다.
당사는 법률에 명시된 주요 데이터 보호 원칙과 핵심 요구 사항을 이행할 책임이 있으며, 이를 충실히 준수하고자 노력합니다.
본 정책은 당사가 따르는 주요 데이터 보호 원칙을 명확히 설명하고, 개인 프라이버시 존중 및 데이터 보호에 대한 당사의 접근 방식을 반영합니다.
II. 범위
본 정책은 EU의 모든 Superior Essex Group 사업장뿐 아니라 EU 지역에서 전송된 개인 데이터를 수신하거나 관련 법률의 적용 범위에 해당하는 다른 모든 Superior Essex Group 사업장에도 적용됩니다.
개인 데이터는 본 정책 및 관련 법률에 따라 처리되어야 합니다.
본 정책은 섹션 XIII에 명시된 Superior Essex Group의 기타 정책과 함께 검토되어야 하며, Superior Essex Group은 본 정책 또는 관련 법률의 준수를 보장하기 위해 필요한 경우 별도의 정책, 절차 또는 운영 지침을 추가로 도입할 수 있습니다.
개인정보 보호는 Superior Essex Group 전 직원과 모든 사업 부문의 공동 책임입니다. 따라서, 모든 직원은 본 정책에 명시된 원칙과 요건을 숙지하고 이를 성실히 이행해야 합니다.
III. 정의
- "계열사"란 해당 법인이 직접적 또는 간접적으로 통제하거나, 그 통제를 받거나, 공동으로 통제하는 모든 법인을 의미합니다.
- "관련 법률"은 GDPR 및 유럽경제지역(EEA) 각국에서 GDPR을 이행하기 위해 제정된 국내법을 포함합니다.
- "자동화된 의사결정"이란 개인 데이터의 자동 처리만을 기반으로, 데이터 주체에게 법적 효력을 미치거나 유사한 중대한 영향을 주는 결정을 의미하며, 프로파일링을 포함할 수 있습니다.
- "관리자"란 단독으로 또는 타인과 공동으로 개인 데이터 처리의 목적과 수단을 결정하는 자연인 또는 법인, 공공기관, 기관 또는 기타 단체를 말합니다.
- "데이터 주체"란 개인 데이터와 관련된 식별된 자연인 또는 식별 가능한 자연인을 의미합니다. 식별 가능한 자연인이란 이름, 식별 번호, 위치 정보, 온라인 식별자 또는 해당 자연인의 신체적, 생리적, 유전적, 정신적, 경제적, 문화적 또는 사회적 정체성과 관련된 하나 이상의 요소를 통해 직접 또는 간접적으로 식별될 수 있는 사람을 말합니다.
- "EEA"는 유럽경제지역을 의미하며, 유럽연합(EU) 회원국과 아이슬란드, 리히텐슈타인, 노르웨이를 포함합니다.
- "발효일"은 2018년 5월 25일을 의미합니다.
- "직원"이란 정규직, 시간제, 임시직, 복직자, 재고용자, 퇴직자, 전직자, 인턴 및 수습 직원을 포함합니다.
- "설립"이란 조직적으로 안정적인 방식으로 실질적이고 지속적인 활동이 이루어지는 형태를 의미하며, 법적 구조(예: 지사, 법인 등)는 이에 영향을 미치지 않습니다.
- "EU"는 유럽 연합을 의미합니다.
- "GDPR"은 유럽 의회 및 이사회가 2016년 4월 27일 제정한 Regulation (EU) 2016/679를 의미하며, 개인 데이터 보호 및 자유로운 이동에 관한 규정을 포함하고, 기존의 Directive 95/46/EC를 대체합니다.
- "개인 데이터"는 데이터 주체와 관련된 모든 정보를 의미하며, 특수 카테고리 개인 데이터도 포함됩니다.
- "정책"은 본 일반 개인정보 처리방침을 의미합니다.
- "개인정보 보호 책임자"는 본 정책의 섹션 XII에 따라 지정된 책임자를 의미합니다.
- “프로파일링”이란 자연인과 관련된 특정 개인적 측면을 평가하기 위해 개인 데이터를 사용하는 모든 형태의 자동화된 개인 데이터 처리를 의미하며, 특히 자연인의 업무 성과, 경제적 상황, 건강, 개인적 선호도, 관심사, 신뢰성, 행동, 위치 또는 이동과 관련된 측면을 분석하거나 예측하기 위한 경우를 의미합니다.
- “처리”란 개인 데이터 또는 개인 데이터 집합에 대해 수행되는 모든 작업 또는 일련의 작업을 의미하며, 자동 수단의 사용 여부와 상상관없이 수집, 기록, 조직, 구조화, 저장, 조정 또는 변경, 검색, 참조, 사용, 전송, 유포 또는 기타 방법을 통한 공개, 정렬 또는 조합, 제한, 삭제 또는 파기가 이에 해당합니다.
- "개인 데이터 침해"란 보안 위반으로 인해 엔터티의 시스템에서 전송, 저장 또는 처리되는 개인 데이터가 우발적 또는 불법적으로 파기, 손실, 변경, 무단 공개되거나 그에 대한 액세스가 발생하는 것을 의미합니다.
- "특수 카테고리 개인 데이터"에는 인종 또는 민족적 출신, 정치적 견해, 종교적 또는 철학적 신념, 노동조합 가입 여부, 유전적 데이터, 자연인을 고유하게 식별하기 위한 목적으로 처리된 생체 인식 데이터, 건강 관련 데이터 또는 자연인의 성생활 또는 성적 지향에 관한 데이터가 포함됩니다.
- “Superior Essex Group”, “당사”, “당사의”, “우리”는 델라웨어주 법인 Superior Essex Inc.(Corporation Service Company, 251 Little Falls Drive, Wilmington, DE 19808), 델라웨어주 법인 Essex Solutions Inc.(Corporation Service Company, 251 Little Falls Drive, Wilmington, DE 19808), 델라웨어주 법인 Superior Solutions Global Inc.(Corporation Service Company, 251 Little Falls Drive, Wilmington, DE 19808), 델라웨어주 법인 Essex Brownell Inc.(Corporation Service Company, 251 Little Falls Drive, Wilmington, DE 19808), 델라웨어주 법인 Superior Essex International Inc.(Corporation Service Company, 251 Little Falls Drive, Wilmington, DE 19808) 및 그 계열사를 의미합니다.
IV. 주요 데이터 보호 원칙
당사는 개인 데이터를 처리함에 있어 다음과 같은 핵심 원칙을 적용합니다.
- 당사는 데이터 주체와 관련된 개인 데이터를 합법적이고 공정하며 투명한 방식으로 처리합니다(이하 "합법성, 공정성 및 투명성 원칙").
- 당사는 구체적이고 명시적이며 합법적인 목적에 한하여 개인 데이터를 수집하고, 해당 목적과 양립할 수 없는 방식으로 처리하지 않습니다(이하 "목적 제한 원칙").
- 당사는 처리 목적에 부합하도록 개인 데이터가 적절하고 관련성 있으며 필요한 범위 내에서만 처리되도록 보장합니다(이하 "데이터 최소화 원칙").
- 당사는 개인 데이터의 정확성과, 필요한 경우 최신성을 유지하도록 하며, 처리 목적에 비추어 부정확한 정보는 가능한 한 신속하게 삭제하거나 수정되도록 합리적인 조치를 취합니다(이하 "정확성 원칙").
- 당사는 개인 데이터를 처리 목적을 달성하는 데 필요한 기간을 초과하여 보관하지 않으며, 데이터 주체를 식별할 수 있는 형태로 장기 보관하지 않습니다(이하 "보관 제한 원칙").
- 당사는 데이터 주체의 권리에 따라 개인 데이터를 처리합니다(이하 "데이터 주체의 권리").
- 당사는 개인 데이터를 처리하는 과정에서 적절한 기술적, 조직적, 보안 조치를 마련하여 무단 또는 불법적인 처리, 우발적인 손실, 파기 또는 손상으로부터 보호합니다(이하 "진실성, 기밀성 및 보안 원칙").
A. 목적 제한 원칙
당사는 사업 운영 과정에서 다양한 목적을 위해 여러 유형의 데이터 주체로부터 다양한 종류의 개인 데이터를 수집하고 처리합니다. 당사는 이러한 목적을 구체적이고 명시적이며 합법적으로 사전에 식별하고, 이를 당사의 처리 활동 기록에 문서화합니다(섹션 VIII 참조). 법적 예외가 적용되지 않는 한, 당사는 개인 데이터를 수집하는 시점 또는 그에 가까운 시점에 해당 목적을 데이터 주체에게 알립니다(다음 하위 섹션 B 참조).
관련 법률에서 허용하지 않는 경우, 당사는 당초의 목적과 양립하지 않는 다른 목적을 위해 개인 데이터를 처리하지 않습니다.
처음에 식별한 목적과 다른 목적으로 데이터를 처리하려는 경우, 처리 활동을 시작하기 전에 개인정보 보호 책임자에게 문의해야 합니다.
B. 적법성, 공정성 및 투명성 원칙
1. 적법성 및 공정성
개인 데이터는 관련 법률이 허용하는 경우에 한해 합법적으로 처리됩니다.
- 당사는 법적 근거가 있는 경우에만 개인 데이터를 처리하며, 이는 관련 법률이 정한 조건을 충족해야 합니다. 당사가 개인 데이터를 처리할 때 가장 일반적으로 근거로 삼는 법적 기준은 다음과 같습니다.
- 데이터 주체가 당사자에 해당하는 계약의 이행 필요성
- 당사에 적용되는 EU 법률상 의무의 이행 필요성
- 데이터 관리자로서 당사 또는 제3자의 정당한 이익을 실현하기 위한 필요성
- 데이터 주체의 동의
- 당사는 특수 카테고리에 속하는 개인 데이터를 가능한 한 최소한으로 처리하는 것을 원칙으로 하며, 법률이 허용하는 경우에만 해당 데이터를 처리합니다(예: 법적 의무가 있거나 데이터 주체가 명시적으로 동의한 경우).
- 적절한 법적 근거는 사전에 식별되며, 처리 활동 기록에 이를 문서화합니다(하기 섹션 VIII 참조).
- 관련 관리자에 해당하는 Superior Essex Group 엔터티(들)의 이름 및 연락처 정보
- 당사가 처리하는 개인 데이터의 범주
- 개인 데이터를 처리하는 목적과 그에 대한 법적 근거
- 개인 데이터 공개 대상
- 개인 데이터가 EEA 외부로 이전되는지 여부(이전 대상 국가 및 사용된 전송 메커니즘 포함)
- 개인 데이터의 보관 기간(또는 이를 특정할 수 없는 경우, 해당 기간을 결정하는 기준)
- 데이터 주체가 자신의 개인 데이터 처리와 관련하여 행사할 수 있는 권리
- 개인 데이터 제공이 법적 요구 사항인지, 계약상 요구 사항인지 또는 계약 체결을 위한 필수 조건인지 여부, 데이터 주체가 해당 데이터를 제공해야 할 의무가 있는지 여부, 그리고 이를 제공하지 않을 경우 발생할 수 있는 결과에 대한 정보
- 프로파일링을 포함한 자동화된 의사결정이 존재하는 경우, GDPR에서 요구하는 바에 따라 관련 논리에 대한 유의미한 정보와 함께 해당 처리의 중요성과 데이터 주체에게 미치는 예상 결과에 대한 정보
C. 데이터 최소화 원칙
당사는 처리하는 모든 개인 데이터가 그 목적에 부합하도록 적절하고 관련성 있으며 필요한 범위 내에서만 처리되도록, 합리적인 기술적 및 조직적 조치를 취합니다.
D. 정확성 원칙
당사는 처리되는 모든 개인 데이터의 정확성과 최신성이 유지되도록 합리적인 기술적 및 조직적 조치를 마련합니다. 수집 시점뿐 아니라 이후에도 정기적으로 데이터의 정확성을 점검하며, 부정확하거나 오래된 데이터는 신속히 삭제하거나 수정하기 위해 모든 합리적인 조치를 취합니다.
E. 보관 제한 원칙
당사는 개인 데이터를 수집 목적 달성에 필요한 기간 동안 또는 관련 법률 및 Superior Essex Group의 기록 보존 정책에서 요구하거나 허용하는 기간 내에서만 보관하도록 합리적인 기술적 및 조직적 조치를 취합니다. 필요하지 않게 된 개인 데이터는 시스템과 기록에서 안전하게 삭제되거나 폐기될 수 있도록 모든 합리적인 조치를 실행합니다.
F. 데이터 주체의 권리
당사는 관련 법률에 따라 데이터 주체에게 보장된 권리를 존중하며, 특히 다음과 같은 권리를 포함합니다:
- 액세스 권한: 데이터 주체는 자신과 관련된 개인 데이터에 대한 정보를 요청하고, 해당 데이터의 사본을 요청할 수 있습니다.
- 정정할 권리: 데이터 주체는 부정확한 개인 데이터의 정정을 요구하거나, 불완전한 정보를 보완하도록 요청할 수 있습니다.
- 삭제할 권리: 부정확하거나 목적에 부합하지 않게 처리된 개인 데이터에 대해, 데이터 주체는 삭제를 요청할 수 있습니다.
- 데이터 이동 권리: 당사가 계약 이행 또는 동의를 근거로 데이터를 처리하는 경우, 데이터 주체는 해당 개인 데이터를 구조화되고 통상적으로 사용되며 기계가 판독할 수 있는 형식으로 수신할 수 있도록 요청하거나, 기술적으로 가능한 경우 이를 제3자에게 전송하도록 요청할 수 있습니다.
- 처리 제한 권리: 데이터 주체는 자신의 개인 데이터 처리를 제한해달라고 요청할 수 있습니다.
- 이의 제기 권리: 데이터 주체는 자신의 개인 데이터 처리에 대해 이의를 제기할 수 있습니다.
- 불만 제기 권리: 데이터 주체는 거주지, 근무지 또는 침해가 의심되는 장소에 있는 EU 감독 기관에 불만을 제기할 수 있습니다.
- 동의 거부 및 철회 권리: 데이터 주체는 데이터 처리에 대한 동의를 거부하거나, 언제든지 불이익 없이 철회할 수 있습니다.
- 자동화된 의사결정에 대한 거부 권리: 데이터 주체는 자동화된 처리(예: 프로파일링)에 기반한 의사결정의 대상이 되는 것을 거부할 수 있습니다. 이는 법적 효력이 발생하거나 유사하게 중대한 영향을 미치는 경우에 해당하며, GDPR에서 명시한 예외가 적용됩니다.
관련 법률에 따라 당사는 유효한 데이터 주체의 요청에 대해 정해진 기한 내에 응답해야 합니다. 모든 요청은 즉시 개인정보 보호 책임자에게 전달되어야 합니다(섹션 XII 참조).
G. 진실성, 기밀성 및 보안 원칙
당사는 무단 또는 불법적인 개인 데이터 처리, 우발적 손실, 파괴 또는 손상으로부터 개인 데이터를 보호하기 위해, 합리적인 기술적 및 조직적 조치를 취합니다.
필요에 따라 다음과 같은 조치들이 포함됩니다:
- 개인 데이터의 가명화 및 암호화
- 처리 시스템 및 서비스의 기밀성, 무결성, 가용성 및 복원력 지속 보장
- 물리적 또는 기술적 사고 발생 시 신속하게 데이터의 가용성과 접근성을 복구할 수 있는 역량
- 처리의 보안을 보장하기 위한 기술적 및 조직적 조치의 효과를 정기적으로 테스트, 평가 및 검토하는 프로세스
V. 설계 및 기본 설정에 의한 데이터 보호
당사는 처리 수단을 결정하는 단계와 실제 처리 단계에서, 섹션 III에 명시된 주요 데이터 보호 원칙과 관련 법률의 요구 사항을 충족하기 위한 적절한 기술적 및 조직적 조치를 효과적으로 구현할 수 있도록 합리적인 노력을 기울입니다. 예를 들어, 처리 과정에 가명화와 같은 보호 장치를 통합합니다.
또한 당사는 기본 설정상 특정 목적에 필요한 최소한의 개인 데이터만 처리되도록 기술적 및 조직적 조치를 구현하기 위해 적절한 단계를 취합니다.
당사가 수행하는 일부 처리 작업은 개인정보 보호와 개인의 권리 및 자유에 잠재적인 위험을 초래할 수 있으며, 관련 법률이 요구하는 경우 당사는 데이터 보호 영향 평가를 실시합니다. 이 평가는 해당 처리 작업이 개인 데이터 보호에 미치는 잠재적 영향, 목적 대비 처리의 필요성과 비례성, 개인의 권리 및 자유에 대한 위험 요소, 그리고 그 위험을 완화하기 위한 계획된 조치 등을 포함합니다.
VI. 개인 데이터 공개 관행
당사는 개인 데이터에 접근할 필요가 있는 자에 한해, 정당한 목적 하에 접근을 허용하며, 그에 앞서 합리적인 예방 조치를 취하고 필요 시 적절한 보호 조치를 적용합니다.
A. 그룹 내부
Superior Essex Group 내에서 개인 데이터를 공유할 경우, 본 정책의 섹션 IV에 명시된 주요 데이터 보호 원칙을 준수하기 위해 합리적인 조치를 취합니다. 이를 위해 당사는 그룹 전반에 걸친 글로벌 데이터 처리 및 전송 계약을 체결하였습니다.
B. 제3의 당사자
당사가 제3자와 개인 데이터를 공유할 경우, 당사는 적절한 경우 실사를 실시하고, 적절한 계약 또는 기타 보호 장치를 마련하기 위한 합리적인 조치를 취합니다. 이러한 계약에는 개인 데이터의 진실성, 가용성 및 기밀성을 보호하기 위한 조항이 포함되어야 합니다.
VII. 국제 데이터 전송 관행
개인 데이터를 다른 국가 또는 지역으로 전송할 경우, 당사는 전송 대상 국가에서도 해당 데이터가 적절히 보호될 수 있도록 하고, 전송이 관련 법률에 부합하도록 합리적인 조치를 취합니다.
A. 그룹 내부
EEA 외부에 위치한 Superior Essex Group 엔터티로의 데이터 전송 시 당사는 유럽연합 집행위원회에서 승인한 표준 계약 조항에 기반한 글로벌 데이터 처리 및 전송 계약을 따릅니다. 필요에 따라 전송은 EU 표준 계약 조항과 같은 대체 데이터 전송 메커니즘이나, 법적으로 허용되는 예외 사항에 근거하여 진행될 수 있습니다.
B. 제3의 당사자
EEA 외부의 제3자에게 데이터를 전송하는 경우, 해당 국가가 적절한 수준의 보호를 제공하거나, EU-미국 개인정보 보호 조치 등 수용 가능한 전송 메커니즘을 사용하는 경우에만 허용됩니다. 이에는 EU 표준 계약 조항, 구속력 있는 기업 규칙, 승인된 행동 강령 및 인증, 또는 법적으로 허용되는 예외적 상황이 포함됩니다.
VIII. 처리 기록
당사는 관련 법률에 따라 모든 처리 활동에 대한 최신 기록을 유지합니다. 해당 기록에는 최소한 다음 정보가 포함되어야 합니다:
- 관리자의 이름 및 연락처
- 처리 목적 및 해당 법적 근거
- 데이터 주체의 카테고리와 개인 데이터의 유형 설명
- 개인 데이터가 공개되었거나 공개될 수 있는 수신자(제3국 또는 국제 조직 포함)의 범주
- 국제 전송이 발생한 경우, 전송 메커니즘 및 대상 국가/조직
- 다양한 카테고리의 데이터 삭제에 대한 예상 시점
- 데이터를 보호하기 위한 기술적 및 조직적 보안 조치의 일반적 설명
IX. 교육
당사는 직원들에게 당사의 데이터 보호 정책과 절차에 대해 교육을 실시합니다.
X. 감사
당사는 본 정책 및 관련 정책의 준수 여부를 자가 평가하고 내부 감사할 수 있는 체계를 마련하여, 발견된 비준수 사항을 완화하고 시정할 수 있도록 합니다.
XI. 질문 및 불만 사항
본 정책과 관련하여 궁금한 점이 있는 경우 개인정보 보호 책임자에게 문의하실 수 있습니다.
또한, 본 정책을 위반했다고 판단되는 경우, 데이터 주체를 포함한 모든 사람은 개인정보 보호 책임자에게 이의를 제기할 수 있습니다.
본 개인정보 처리방침에 관한 질문, 우려 사항 또는 의견이 있을 경우 [email protected] 으로 이메일을 보내시거나, 770.657.6485로 전화해 주십시오. 서면 의견을 보내고자 하는 경우, 아래 주소로 보내주시면 됩니다. (주소: Superior Essex Legal Department, 5770 Powers Ferry Road, Suite 400, Atlanta, GA 30327)
XII. 데이터 보호 네트워크
당사는 사업부, 기능 그룹 및 지역 전반에 걸쳐 고위 경영진 수준에서 관련 법률 준수 책임을 부여합니다. 본 정책, 기타 데이터 보호 정책 또는 관련 법률과 관련된 요청, 질문 또는 불만 사항은 글로벌 인사 담당 부사장에게 적절히 전달될 수 있습니다. 글로벌 인사 담당 부사장은 해당 요청, 질문 또는 불만 사항과 관련해 Superior Essex Group의 개인정보 보호 책임자와 논의할 수 있습니다.
XIII. 관련 정책, 표준, 가이드라인 및 참조
관련 정책, 표준, 가이드라인 및 참고 자료는 인트라넷을 통해 확인하실 수 있습니다.
XIV. 규정 미준수
XV. 본 정책의 변경
당사는 관련 법률, 당사의 내부 관행 및 절차, 또는 감독 기관의 요구 사항 변경에 따라 본 정책을 필요 시 수정할 권리를 보유합니다.