개인정보 처리방침
I. 진술 및 목적
관련 법률은 개인 데이터 처리와 관련하여 여러 가지 의무를 부과하고 있습니다. Superior Essex Group은 개인의 프라이버시를 존중하며, 개인 데이터 처리와 관련된 사업 관행에서 관련 법률이 부여하는 법적 기준을 준수하기 위해 최선을 다합니다.
당사는 관련 법률에 명시된 주요 데이터 보호 원칙과 핵심 요구 사항을 준수할 책임이 있으며, 이를 준수하기 위해 최선을 다합니다.
본 정책은 당사가 따르는 주요 데이터 보호 원칙을 설명하며 개인의 프라이버시 존중 및 개인 데이터 보호에 대한 당사의 접근 방식을 반영합니다.
II. 범위
본 정책은 EU의 모든 Superior Essex Group 사업장뿐 아니라 EU 지역에서 전송된 개인 데이터를 수신하거나 관련 법률의 적용 범위에 해당하는 다른 모든 Superior Essex Group 사업장에도 적용됩니다.
개인 데이터는 해당 정책 및 관련 법률에 따라 처리되어야 합니다.
본 정책은 본 정책의 섹션 XIII에 명시된 Superior Essex Group의 다른 정책과 함께 확인해야 합니다. Superior Essex Group은 본 정책 또는 관련 법률을 준수하기 위해 필요한 추가 정책, 절차 또는 관행을 시행할 수 있습니다.
데이터 보호는 모든 Superior Essex Group 직원과 사업부의 공동 책임이며, 모든 직원과 사업부는 본 정책에 명시된 원칙과 요구 사항을 숙지하고 준수해야 합니다.
III. 정의
- “계열사”는 해당 엔터티에 의해 부분적으로 또는 전적으로 통제되거나, 해당 엔터티를 통제하거나, 해당 엔터티와 공동으로 지배하는 모든 엔터티를 의미합니다.
- “관련 법률”은 GDPR 및 EEA 국가에서 GDPR을 시행하는 모든 국내법을 의미합니다.
- “자동화된 의사결정”이란 데이터 주체에 대한 법적 효력이 발생하며 프로파일링을 포함하여 개인 데이터의 자동 처리만을 기반으로 의사결정을 내리는 프로세스를 의미합니다.
- "관리자"는 단독으로 또는 타인과 공동으로 개인 데이터 처리의 목적과 수단을 결정하는 자연인, 법인, 공공 기관, 기관 또는 기타 단체를 의미합니다.
- “데이터 주체”는 개인 데이터와 관련하여 식별된 자연인 또는 식별 가능한 자연인을 의미합니다. 식별 가능한 개인이란 이름, 식별 번호, 위치 데이터, 온라인 식별자와 같은 식별자 또는 해당 자연인의 신체적, 생리적, 유전적, 정신적, 경제적, 문화적 또는 사회적 정체성에 대해 하나 이상의 특정한 요소를 참조하여 직접적 또는 간접적으로 식별할 수 있는 자를 의미합니다.
- "EEA"는 유럽경제지역을 의미하며, 여기에는 모든 EU 회원국과 아이슬란드, 리히텐슈타인, 노르웨이가 포함됩니다.
- “발효일”은 2018년 5월 25일을 의미합니다.
- “직원”이란 정규직 직원, 시간제 직원, 임시직 직원, 복직 직원, 재고용 직원, 퇴직 및 전직 직원, 인턴 및 수습 직원을 의미합니다.
- “설립”이란 안정적 조직을 통해 효과적이고 실질적인 활동을 수행하는 것을 의미하며, 해당 구조의 법적 형태(지사 또는 법인격을 가진 자회사 등)는 중요하지 않습니다.
- "EU"는 유럽 연합을 의미합니다.
- “GDPR”은 2016년 4월 27일 유럽 의회와 이사회에서 제정한 Regulation (EU) 2016/679로, 개인 데이터 처리와 관련하여 자연인의 보호 및 해당 데이터의 자유로운 이동에 관한 규정을 포함하며, Directive 95/46/EC(일반 데이터 보호 규정)을 폐지합니다.
- “개인 데이터”는 데이터 주체와 관련된 모든 정보를 의미합니다. 개인 데이터에는 특수 카테고리의 개인 데이터가 포함됩니다.
- “정책”은 본 일반 개인정보 처리방침을 의미합니다.
- “개인정보 보호 책임자”는 아래의 섹션 XII에 의거하여 지정된 사람을 의미합니다.
- “프로파일링”이란 자연인과 관련된 특정 개인적 측면을 평가하기 위해, 특히 자연인의 업무 성과, 경제적 상황, 건강, 개인적 선호도, 관심사, 신뢰성, 행동, 위치 또는 이동과 관련된 측면을 분석하거나 예측하기 위해 개인 데이터를 사용하는 모든 형태의 자동화된 개인 데이터 처리를 의미합니다.
- “처리”란 개인 데이터 또는 개인 데이터 집합에 대해 수행되는 모든 작업 또는 일련의 작업을 의미하며, 자동화된 수단의 사용 여부에 관계없이 수집, 기록, 조직, 구조화, 저장, 조정 또는 변경, 검색, 참조, 사용, 전송, 유포 또는 기타 방법으로 공개, 정렬 또는 조합, 제한, 삭제 또는 파기가 이에 해당합니다.
- “개인 데이터 침해”란 보안 위반으로 인해 엔터티의 시스템에서 전송, 저장 또는 처리되는 개인 데이터가 우발적 또는 불법적으로 파기, 손실, 변경, 무단 공개되거나 그에 대한 액세스가 발생하는 것을 의미합니다.
- “특수 카테고리 개인 데이터”에는 인종 또는 민족적 출신, 정치적 견해, 종교적 또는 철학적 신념, 노동조합 가입 여부, 유전적 데이터, 자연인을 고유하게 식별하기 위한 목적으로 처리된 생체 인식 데이터, 건강 관련 데이터 또는 자연인의 성생활 또는 성적 지향에 관한 데이터가 포함됩니다.
- "Superior Essex Group", "당사", "당사의", "우리"는 델라웨어주 법인 Superior Essex Inc.(Corporation Service Company, 251 Little Falls Drive, Wilmington, DE 19808), 미시간주 법인 Essex Solutions Inc.(CSC-Lawyers Incorporating Service (Company)), 델라웨어주 법인 Superior Essex International Inc.(601 Abbot Road, East Lansing, MI 48823) 및 그 계열사를 의미합니다.
IV. 주요 데이터 보호 원칙
개인 데이터를 처리함에 있어 당사는 다음과 같은 주요 데이터 보호 원칙을 적용합니다.
- 당사는 데이터 주체와 관련하여 합법적이고 공정하며 투명한 방식으로 개인 데이터를 처리합니다(이하 "합법성, 공정성 및 투명성 원칙").
- 당사는 구체적이고 명시적이며 합법적인 목적에 한하여 개인 데이터를 수집하며, 해당 목적과 양립할 수 없는 방식으로 처리하지 않습니다(이하 “목적 제한 원칙”).
- 당사는 개인 데이터가 적합하고 관련성이 있으며 처리 목적에 필요한 범위로 제한되도록 보장합니다(이하 “데이터 최소화 원칙”).
- 당사는 개인 데이터의 정확성과 필요한 경우 최신성을 유지하도록 보장하며, 처리 목적에 비추어 부정확한 개인 데이터를 지체 없이 삭제 또는 수정하기 위해 모든 합리적인 단계를 취합니다(이하 "정확성 원칙").
- 당사는 개인 데이터를 처리 목적에 필요한 기간을 초과하여 보관하지 않으며, 데이터 주체를 식별할 수 있는 형태로 보관하지 않습니다(이하 “보관 제한 원칙”).
- 당사는 데이터 주체의 권리에 따라 개인 데이터를 처리합니다(이하 "데이터 주체의 권리").
- 당사는 개인 데이터의 처리 시 해당 데이터를 보호하기 위해 적절한 기술적, 조직적 및 보안 조치를 마련하며, 이는 무단 또는 불법 처리 및 우발적 손실, 파괴 또는 손상으로부터의 보호를 포함합니다(이하 "진실성, 기밀성 및 보안 원칙").
A. 목적 제한 원칙
당사는 사업 운영 과정에서 다양한 목적으로 여러 카테고리의 데이터 주체로부터 다양한 유형의 개인 데이터를 수집하고 처리합니다. 당사는 구체적이고 명시적이며 합법적인 목적을 사전에 식별하고 이를 당사의 처리 활동 기록에 문서화합니다(섹션 VIII 참조). 관련 예외가 적용되지 않는 한, 당사는 개인 데이터의 최초 수집 시점 또는 가능한 빠른 시점에 이러한 목적을 데이터 주체에게 알립니다(다음 하위 섹션 B 참조).
관련 법률에서 허용하지 않는 한 당사는 특정 목적을 위해 수집한 개인 데이터를 양립할 수 없는 다른 목적으로 처리하지 않습니다.
최초에 식별된 목적과 다른 목적으로 개인 데이터를 처리하고자 하는 경우 처리 활동을 시작하기 전에 개인정보 보호 책임자에게 문의하시기 바랍니다.
B. 적법성, 공정성 및 투명성 원칙
1. 적법성 및 공정성
개인 데이터의 처리는 관련 법률에 의해 허용되는 경우에 한하여 합법적입니다.
- 당사는 관련 법률에서 허용하는 법적 근거에 따라 적합한 경우에 한하여 개인 데이터를 처리합니다. 개인 데이터 처리에 있어 당사가 가장 일반적으로 의존하는 법적 근거는 다음과 같습니다.
- 데이터 주체가 당사자인 계약을 이행할 필요성;
- 당사에 적용되는 EU의 법적 의무를 준수할 필요성
- 데이터 관리자로서 당사 또는 제3자가 추구하는 정당한 이익의 목적을 위한 필요성
- 데이터 주체의 동의
- 당사는 처리 대상 특수 카테고리의 개인 데이터 양을 최소화하는 것을 목표로 합니다. 당사는 관련 법률에 따라 허용되는 경우에 한하여 특수 카테고리의 개인 데이터를 처리합니다(예: 법적 의무가 있거나 데이터 주체의 명시적 동의가 있는 경우).
- 당사는 적절한 법적 근거를 사전에 식별하고 이를 처리 활동 기록에 문서화합니다(하기 섹션 VIII 참조).
- 관련 관리자인 Superior Essex Group 엔터티(들)의 식별 및 연락처 정보
- 당사가 처리하는 개인 데이터의 카테고리
- 당사가 개인 데이터를 처리하는 목적 및 이를 위한 법적 근거
- 개인 데이터 공개 대상
- EEA 외부로 개인 데이터를 전송하는지 여부(전송 대상 국가 및 사용된 전송 메커니즘 포함);
- 당사가 개인 데이터를 보관하는 기간(또는 불가능한 경우, 해당 기간을 결정하는 데 사용한 기준);
- 데이터 주체가 자신의 개인 데이터 처리와 관련하여 행사할 수 있는 권리
- 개인 데이터 제공이 법적 요구 사항인지, 계약상 요구 사항인지, 또는 계약 체결에 필요한 요구 사항인지 여부, 데이터 주체가 개인 데이터를 제공할 의무가 있는지 여부, 해당 데이터를 제공하지 않을 경우 발생할 수 있는 결과에 대한 정보
- 프로파일링을 포함하여 자동화된 의사결정의 존재, GDPR에서 요구하는 경우 관련 논리에 대한 유의미한 정보, 데이터 주체에 있어 해당 데이터 처리의 중요성 및 예상되는 결과에 대한 정보
C. 데이터 최소화 원칙
당사는 당사가 처리하는 모든 개인 데이터가 목적에 맞게 적절하고 관련성이 있으며 필요한 범위로 제한될 수 있도록 합리적인 기술적 및 조직적 조치를 취합니다.
D. 정확성 원칙
당사는 처리하는 모든 개인 데이터의 정확성과 최신성을 유지하기 위해 합리적인 기술적 및 조직적 조치를 취합니다. 당사는 수집 시점 및 그 이후 정기적으로 개인 데이터의 정확성을 확인합니다. 부정확하거나 오래된 개인 데이터를 파기하거나 수정하기 위해 모든 합리적인 조치를 취합니다.
E. 보관 제한 원칙
당사는 수집 목적을 위해 필요한 기간 또는 관련 법률 또는 Superior Essex Group 기록 보존 정책에 의해 요구되거나 허용된 기간을 초과하여 개인 데이터를 보유하지 않도록 합리적인 기술적 및 조직적 조치를 취합니다. 당사는 더 이상 필요하지 않은 모든 개인 데이터를 안전하게 파기하거나 시스템 및 기록에서 삭제하기 위해 모든 합리적인 조치를 취합니다.
F. 데이터 주체의 권리
당사는 특히 다음과 같은 권리를 비롯하여 관련 법률에 따라 데이터 주체에게 부여된 권리를 존중합니다.
- 액세스 권한: 데이터 주체는 당사의 책임이 있는 자신의 개인 데이터에 대한 정보를 요청하고 해당 데이터의 사본을 요청할 수 있습니다.
- 정정할 권리: 데이터 주체는 부정확한 개인 데이터를 정정하고 불완전한 데이터를 보완하도록 요청할 수 있습니다.
- 삭제할 권리: 데이터 주체는 데이터가 부정확하거나 당사가 추구하는 목적에 부합하지 않는 방식으로 처리된 경우 개인 데이터의 삭제를 요청할 수 있습니다.
- 데이터 이동 권리: 당사가 데이터 주체와의 계약에 근거하여 또는 데이터 주체의 동의에 따라 개인 데이터를 처리하는 경우, 데이터 주체는 자신의 개인 데이터를 구조화되고 일반적으로 사용되며 기계 판독이 가능한 형식으로 수신하도록 요청할 수 있으며, 기술적으로 가능한 경우 해당 데이터를 제3자에게 전송하도록 당사에 요청할 수 있습니다.
- 제한할 권리: 데이터 주체는 자신의 개인 데이터 처리를 제한하도록 요청할 수 있습니다.
- 이의를 제기할 권리: 정보 주체는 자신의 개인 데이터 처리에 대해 이의를 제기하거나 반대할 수 있습니다.
- 불만을 제기할 권리: 데이터 주체는 자신의 거주지, 근무지 또는 침해가 의심되는 장소에 위치한 EU 관할 감독 기관에 불만을 제기할 수 있습니다.
- 동의를 거부하거나 철회할 권리: 데이터 주체는 개인 데이터 처리에 대한 동의를 거부할 수 있으며, 언제든지 불이익 없이 동의를 철회할 수 있습니다.
- 자동화된 처리만을 기반으로 하는 의사결정의 대상이 되지 않을 권리: 데이터 주체는 자동화된 처리(즉, 자동화된 의사결정)만을 기반으로 하는 의사결정의 대상이 되지 않을 권리를 가집니다. 이는 해당인에게 법적 효력을 발생시키거나 유사하게 중요한 영향을 미치는 프로파일링을 포함하며, GDPR에서 규정하는 예외가 적용됩니다.
관련 법률에 따라 당사는 기한 내에 유효한 데이터 주체의 요청에 응답해야 합니다. 데이터 주체의 모든 요청은 즉시 개인정보 보호 책임자에게 전달되어야 합니다(섹션 XII 참조).
G. 진실성, 기밀성 및 보안 원칙
당사가 처리하는 개인 데이터를 보호하기 위해 당사는 무단 또는 불법적 개인 데이터 처리 및 우발적인 손실, 파괴 또는 손상으로부터 개인 데이터를 보호하기 위한 합리적인 기술적 및 조직적 조치를 취합니다.
이러한 조치에는 적절한 경우 다음이 포함됩니다.
- 개인 데이터의 가명화 및 암호화
- 처리 시스템 및 서비스의 기밀성, 진실성, 가용성 및 복원성을 지속적으로 보장할 수 있는 능력
- 물리적 또는 기술적 사고 발생 시 적시에 개인 데이터의 가용성 및 접근성을 복원할 수 있는 능력
- 처리의 보안을 보장하기 위한 기술적 및 조직적 조치의 효과를 정기적으로 테스트, 평가 및 검토하는 프로세스
V. 설계 및 기본 설정에 의한 데이터 보호
당사는 처리 수단을 결정하는 시점과 처리 시점에 본 정책의 섹션 III에 명시된 주요 데이터 보호 원칙을 효과적으로 구현하기 위해, 그리고 관련 법률의 요구 사항을 충족하기 위해 필요한 안전 장치를 처리 과정에 통합하기 위해 설계된 가명화와 같은 적절한 기술적 및 조직적 조치를 구현함에 있어 합리적인 노력을 기울입니다.
당사는 기본적으로 특정 처리 목적에 필요한 개인 데이터만 처리되도록 적절한 기술적 및 조직적 조치를 구현하기 위해 합당한 단계를 수행합니다.
당사가 수행하는 일부 처리 작업은 개인정보 보호 및 개인의 권리와 자유에 위험을 초래할 수 있으며, 관련 법률에 따라 필요한 경우 당사는 데이터 보호 영향 평가를 실시하여 예상되는 처리 작업이 개인 데이터 보호에 미치는 영향, 목적과 관련된 처리 작업의 필요성 및 비례성, 관련 개인의 권리와 자유에 대한 위험, 그리고 위험을 해결하기 위해 예상되는 조치를 평가합니다.
VI. 개인 데이터 공개 관행
당사는 정당한 목적을 가지고 업무 수행을 위해 개인 데이터에 대한 액세스를 필요로 하는 사람에게만 액세스를 허용하기 위해 합당한 예방 조치를 취하며, 해당되는 경우 적절한 보호 조치를 적용합니다.
A. 그룹 내
Superior Essex Group 내부에서 개인 데이터를 공유할 경우 본 정책의 섹션 IV에 제시된 주요 데이터 보호 원칙을 준수하기 위해 합리적인 조치를 취합니다. 이러한 목적을 위해 당사는 글로벌 그룹 내 데이터 처리 및 전송 계약을 체결했습니다.
B. 제3의 당사자
당사가 제3자와 개인 데이터를 공유할 때 당사는 적절한 경우 실사를 수행하고 적절한 계약 또는 기타 보호 장치를 마련하기 위한 합리적 조치를 취합니다. 여기에는 개인 데이터의 진실성, 가용성 및 기밀성의 보호를 보장하는 조항이 포함됩니다.
VII. 국제 데이터 전송 관행
개인 데이터를 다른 국가 또는 지역으로 전송할 경우 당사는 데이터 전송 국가에서 적용되는 개인 데이터 보호 조치가 전송 대상 개인 데이터에 적용되도록 하고, 전송이 관련 법률에 따라 이루어지도록 합리적인 조치를 취합니다.
A. 그룹 내
당사는 EEA 외부에 설립된 Superior Essex Group 엔터티에 대한 개인 데이터 전송 시 유럽 연합 집행위원회의 표준 계약 조항에 기반하여 체결한 글로벌 그룹 내 데이터 처리 및 전송 계약을 따릅니다. 경우에 따라 데이터 전송은 EU 표준 계약 조항과 같은 대체 데이터 전송 메커니즘을 사용하거나 허용되는 법적 예외 사항에 근거하여 이루어질 수 있습니다.
B. 제3의 당사자
EEA 외부에 설립된 제3자에 대한 데이터 전송은 해당 제3국이 적절한 수준의 보호를 보장하거나, EU-미국 개인정보 보호 조치와 같은 수용 가능한 데이터 전송 메커니즘을 사용하는 경우에만 가능합니다. 여기에는 자체 인증된 미국 조직으로의 전송, 유럽위원회의 표준 계약 조항, 구속력 있는 기업 규칙, 승인된 행동 강령 및 인증 또는 허용되는 법적 면제에 근거한 예외적인 상황이 포함됩니다.
VIII. 처리 기록
당사는 관련 법률에 따라 모든 처리 활동의 최신 기록을 보관합니다. 이 기록에 포함되어야 하는 최소 사항은 다음과 같습니다.
- 관리자의 이름 및 연락처 정보
- 처리 목적과 법적 근거
- 데이터 주체의 카테고리 및 개인 데이터의 카테고리 설명
- 제3국 또는 국제 조직의 수신자를 포함하여 개인 데이터가 공개되었거나 공개될 수신자 카테고리
- 개인 데이터의 국제 전송에 사용된 전송 메커니즘 및 전송된 국가/국제 조직
- 다양한 카테고리의 개인 데이터 삭제를 위한 예상 시간 제한
- 개인 데이터를 보호하기 위한 기술적 및 조직적 보안 조치에 대한 일반적 설명
IX. 교육
당사는 직원들에게 당사의 데이터 보호 정책 및 절차에 대해 교육합니다.
X. 감사
당사는 본 정책 및 관련 정책에 대한 준수 여부를 자가 평가하고 감사하는 절차를 구축하고 유지하여 비준수 사항을 완화하고 시정할 수 있도록 합니다.
XI. 질문 및 불만 사항
본 정책과 관련하여 질문이 있을 경우 개인정보 보호 책임자에게 문의하실 수 있습니다.
본 정책의 위반이 발생했다고 생각하는 데이터 주체를 포함하여 모든 사람은 개인정보 보호 책임자에게 이의를 제기할 수 있습니다.
본 개인정보 처리방침에 대한 질문, 우려 사항 또는 의견이 있을 경우 [email protected] 으로 이메일을 보내시거나 770.657.6485로 문의해 주십시오. 서면 의견을 보내실 수도 있습니다(주소: Superior Essex Legal Department, 5770 Powers Ferry Road, Suite 400, Atlanta, GA 30327).
XII. 데이터 보호 네트워크
당사는 사업부, 기능 그룹 및 지역 전반에 걸쳐 고위 경영진 수준에서 관련 법률 준수에 대한 책임을 할당합니다. 본 정책, 관련 데이터 보호 정책 또는 관련 법률에 관한 모든 요청, 질문 또는 불만 사항은 글로벌 인사 담당 부사장에게 적절하게 전달할 수 있습니다. 글로벌 인사 담당 부사장은 요청, 질문 또는 불만 사항과 관련하여 Superior Essex Group 엔터티의 개인정보 보호 책임자와 논의할 수 있습니다.
XIII. 관련 정책, 표준, 가이드라인 및 참조
관련 정책, 표준, 가이드라인 및 참조 자료는 인트라넷을 통해 제공됩니다.
XIV. 규정 미준수
XV. 본 정책의 변경
당사는 법률, 당사의 관행 및 절차, 또는 감독 당국의 요구 사항의 변경 사항을 반영하기 위해 필요에 따라 본 정책을 수정할 권리를 보유합니다.