데이터 보호 방침
1. 머리말 및 요약
1.1. 선 케미컬과 선 케미컬의 그룹사는 글로벌 데이터 보호 프로그램을 정립하여 개인정보 보호를 위한 관련 데이터 보호 및 개인정보 보호법 및 표준 준수를 지원하고, 데이터 보호 및 개인정보 보호를 위해 노력을 아끼지 않고 있다. 부록과 세부 방침을 포함하는 본 데이터 보호 방침(이하 “본 방침”으로 총칭함)은 기본 프레임워크를 제시하기 위한 것으로, 당사가 현지와 전 세계에서 규정을 준수하고 공정하며 합법적이고 투명하고 또한 안전한 방식으로 개인정보를 처리하는 데 필요한 일반적 요구 사항을 명시한다. 특정 주제에 관해서는 현지 정책 및 절차를 준용할 수 있다.
1.2. 본 방침은 관련 법률 및 규정, 특히 EU 데이터 보호 지침(예: 지침 95/46/EC 및 지침 2002/58/EC) 및 이를 시행하는 모든 국가 법률, 2018년 5월 25일부터 발효하는 일반 데이터 보호 규정 2016/679(“GDPR”)(지침 95/46/EC 및 각 국가 법률을 대체함)의 요건을 따른다(일부 경우에는 해당 요건 이상의 보호를 요구한다). 경우에 따라 현지 법률 및 규정이 본 방침보다 제한적일 수 있으며, 그 경우 해당 관할지역에서의 개인정보 처리 시 보다 제한적인 규칙을 따라야 한다. 본 방침과 현지 법률 및 규정이 일치하지 않는 경우, 본 방침보다 우선하는 규칙을 구체적으로 명시하는 현지 부칙을 공표할 수 있다. 관련 선 케미컬 법인은 본 방침과 해당 관할지역에 적용되는 특정 방침을 모두 준수해야 한다.
2. 정의
“컨트롤러(Controller)”는 단독으로, 또는 타인과 공동으로, 개인정보 처리의 목적과 수단을 결정하는 자연인 또는 법인, 공공 기관, 대행사 또는 기타 기관을 가리킨다.
“데이터 주체(Data Subject)”는 개인정보와 관련이 있으며 식별이 되어 있거나 식별이 가능한 자연인을 말한다. 데이터 주체의 예로는 (i) 임직원 및 그 가족, (ii) 임시직 근로자, (iii) 선 케미컬 입사를 희망하는 지원자, (iv) 공급업체 및 고객사의 임직원, (v) 당사 건물 방문객, (vi) 웹사이트 이용자 등을 들 수 있다.
“개인정보”는 식별되거나 식별 가능한 자연인(“데이터 주체”)과 관련된 모든 정보를 가리키며, 여기서 식별 가능한 자연인은 특히 성명, 식별번호, 위치정보, 온라인 식별자 등의 식별자, 또는 해당 자연인의 신체적, 생리적, 유전적, 정신적, 경제적, 문화적 또는 사회적 정체성을 고유하게 나타내는 하나 이상의 요소를 토대로 직간접적으로 식별할 수 있는 자연인을 말한다.
“개인정보 침해”란 전송, 저장 또는 기타 방식으로 처리한 개인정보의 우발적 또는 불법적 파기, 손실, 변경, 무단 공개 또는 접근을 초래하는 보안 위반 행위를 의미한다.
“처리”는 수집, 기록, 조직, 구조화, 저장, 각색 또는 변경, 검색, 상담, 사용, 전송, 배포 또는 그 외 방법에 의한 공개, 정렬 또는 조합, 제한, 삭제 또는 파기 등 개인정보 또는 개인정보 집합을 대상으로 시행하는 작업 일체 또는 일련의 작업을 의미하며, 이 경우 자동화 수단의 사용 여부는 무관하다.
“프로세서(Processor)”는 컨트롤러를 대신하여 개인정보를 처리하는 자연인 또는 법인, 공공 기관, 대행사 또는 기타 기관을 의미한다.
“특수 범주의 개인정보”는 인종 또는 민족, 정치적 견해, 종교 또는 철학적 신념, 노동조합 가입 여부, 자연인을 고유하게 식별하기 위한 유전자 정보 또는 생체 정보의 처리, 건강 관련 정보, 해당 자연인의 성생활 또는 성적 지향성에 관한 정보를 드러내는 개인정보를 의미한다. 형사 재판의 유죄 판결 여부 및 전과 사실과 관련된 개인정보 및 식별번호에 대해서는 이와 유사하거나 더 엄격한 규정을 적용할 수 있다.
“선 케미컬”은 선 케미컬 그룹 코퍼라티에프 U.A(Sun Chemical Group Coöperatief U.A)와 각 계열사를 총칭하는 말이다. “선 케미컬 법인”은 선 케미컬의 개별 계열사를 의미한다. “선 케미컬 지역”은 선 케미컬의 지정 지역을 말한다.
선 케미컬 그룹 코퍼라티에프 U.A, 선 케미컬 법인, 관련 현지 EU 선 케미컬 법인은 EU 선 케미컬 법인 활동과 관련하여 개인정보 처리의 컨트롤러가 된다.
3. 중앙 집중식 및 현지 처리
3.1. 선 케미컬 법인은 각 법인의 목적 달성을 위해 일부 개인정보를 현지에서 처리한다. 그러나 글로벌 조직으로서 당사는 비즈니스 활동의 효율성을 달성하기 위해 전 세계의 여러 시설에 위치한 특정 또는 중앙 집중식 데이터베이스 및 시스템에서 데이터 주체에 대한 정보를 처리하거나 통합할 수 있다. 해당 개인정보는 선 케미컬이 직접 호스팅하거나 선 케미컬을 대리하여 호스팅하는 기타 시스템 및 데이터베이스와 공유한다. 그러나 선 케미컬 및 기타 시스템과 데이터베이스는 관련 법률, 본 방침, 추가 방침(해당하는 범위 내에서), 선 케미컬 법인에 적용하는 특정 현지 방침(해당 현지 법률의 요구에 따라 필요할 수 있음)을 준수하며 해당 개인정보의 수집, 수신, 사용, 공유 또는 기타 방식에 의한 처리를 시행할 것이다.
4. 컨트롤러 및 개인정보 보호 관련 연락처
4.1. 선 케미컬 법인은 개인정보 처리의 컨트롤러를 담당한다. 특정 지역 및 글로벌 처리 활동의 경우, 선 케미컬 법인, 선 케미컬 지역, 선 케미컬 글로벌이 개인정보 처리의 컨트롤러가 된다.
4.2. 문의 사항이 있거나, 이의를 제기하고 권리를 행사하고자 하는 경우, 데이터 주체는 해당 지역의 개인정보 보호 관련 연락처에 연락할 수 있다. 선 케미컬은 문의 사항에 답변하고, 데이터 주체의 이의 제기에 관하여 조사하며, 합리적인 기간 내에 응답할 수 있도록 신의성실의 원칙하에 최선의 노력을 기울일 것이다. 선 케미컬은 공정하고 공평하며 편견 없는 방식으로 각 이의 사항을 처리한다. 또한 데이터 주체는 이의를 제기했다는 이유로 직간접적으로 불이익을 받지 않는다.
5. 개인정보 보호 원칙
5.1. 선 케미컬과 선 케미컬을 대리하는 자는 신규 시스템이나 프로젝트의 일부로 개인정보의 수집, 사용, 보유, 공개 또는 기타 방식에 의한 처리를 시행하기 전에 항시 다음의 데이터 보호 원칙에 따라 행동하고 개인정보 보호 시의 위험을 고려해야 한다.
a. 적법성, 공정성 및 투명성: 선 케미컬은 합법적인 근거에 의해서만 개인정보를 처리하고, 공정하게 행동하며, 데이터 주체에게 개인정보 처리에 관한 정보를 제공한다.
b. 목적 제한: 선 케미컬은 구체적이고 명시적이며 합법적인 목적과 관련이 있고 필요한 개인정보만을 수집하며, 수집 목적에 부합하는 방식으로만 개인정보를 처리한다.
c. 목적 비례성/정보 최소화: 선 케미컬은 처리 목적에 적합하고 관련성이 있으며 과도하지 않고 필요한 만큼의 개인정보만을 처리한다.
d. 정확성: 선 케미컬은 처리 목적에 필요한 만큼 개인정보의 정확성, 완전성, 최신 상태를 유지한다.
e. 책임: 선 케미컬은 본 데이터 보호 원칙을 준수하여 개인정보를 처리했음을 입증할 수 있도록 적절한 조치를 시행한다.
f. 보안: 선 케미컬은 적절한 기술상 또는 조직상의 조치를 적용하여 무단 또는 불법 처리, 우발적 손실, 파기 또는 손상을 방지하는 등 개인정보의 적절한 보안을 보장하는 방식으로 개인정보를 처리해야 한다.
6. 통지, 동의 및 데이터 주체의 권리
6.1. 데이터 주체 또는 제삼자로부터 개인정보를 수집하는 경우, 선 케미컬은 GDPR 제12조~제14조에 따라 데이터 주체에게 개인정보 보호 고지를 제시해야 한다. 해당 고지는 상황과 사례에 따라 포함하는 정보가 달라질 수 있다.
6.2. 선 케미컬은 데이터 주체에게 본인의 개인정보에 적절하게 접근할 수 있는 권한을 부여하고, 데이터 주체가 개인정보를 수정, 삭제, 제한 또는 이전할 수 있는 권리를 행사할 수 있도록 지원해야 한다.
7. 기밀성, 데이터 보안 및 침해 통지
7.1. 선 케미컬은 무단 또는 불법 처리, 우발적 손실, 파기 또는 손상의 방지 등 개인정보의 보안을 적절한 수준으로 보장할 수 있도록 적절한 기술상 및 조직상의 조치를 시행한다.
7.2. 개인정보 침해가 발생하는 경우, 선 케미컬은 해당 취지를 적절한 감독기관에 통지해야 하며, 가능한 경우 인지 시점에서 72시간 이내에 통지한다. 해당 통지를 부당하게 지체해서는 안 된다. 또한 선 케미컬은 개인정보 유출로 인해 개인정보가 위험해질 가능성이 높은 경우 개인정보가 유출되었을 수 있는 데이터 주체에게도 개인정보 유출 사실을 통지할 수 있다.
8. 데이터 보존
8.1. 선 케미컬은 처리 목적에 필요한 기간 또는 관련 법률에 따라 요구되는 기간 중 더 긴 기간 동안에 한하여 데이터 주체를 식별할 수 있는 형태로 개인정보를 보유한다. 선 케미컬은 더 이상 필요하지 않은 개인정보를 안전한 방식으로 관련 법률에 따라 폐기하거나 가능한 한 익명화 또는 비식별화된 형태로만 보유한다. 단, (i) 법적 청구 또는 소송에서 당사를 방어하기 위한 경우, (ii) 그 이상의 기간 동안 해당 정보를 보관 또는 보존해야 하는 (법적 또는 계약상의) 의무가 있는 경우, 또는 (iii) 공익, 과학적 또는 역사적 연구 또는 통계를 목적으로만 보관하고자 개인정보를 처리하는 경우(이 경우 적절한 기술상 및 조직상의 조치를 이행하는 것을 전제 조건으로 한다)에는 예외로 한다.
9. 제삼자에 대한 개인정보 전송
9.1. 선 케미컬은 적절한 상황에서만 제삼자에게 개인정보를 제공하고, 데이터 주체에게 이를 알리며, 개인정보를 보호하기 위한 조치를 취한다.
9.2. 선 케미컬은 (a) 이전자의 관할지역 법률에 따라 정보를 이전하고, (b) 수취인의 관할지역에서 적절한 수준의 보호가 이루어지거나 개인정보를 보호하기 위한 보안 수단을 수취인이 적절하게 마련하였음을 이전자가 확인한 경우에 한하여, 유럽연합(EU), 유럽경제지역(EEA) 또는 스위스 외부로 개인정보를 이전할 것이다(회사 간 이전, 사내 이전, 그 밖의 이전을 포함한다). 이전자는 상기 적절성을 평가할 책임이 있으며, 필요한 경우 수취인에게 이전자의 방침 및 관할지역에 따른 보호 조치와 유사한 보호 조치를 채택하도록 요구할 수 있다.
10. 변경 사항
10.1. 관련 법률에 의거하여 선 케미컬은 자사 재량으로 언제든지 본 방침을 수정, 개정 또는 보완할 수 있다. 데이터 주체는 본 방침을 주기적으로 열람하여 변경 사항을 확인하는 것이 바람직하다. 관련 법률이 허용하는 최대한도 내에서, 선 케미컬을 본인 개인정보의 컨트롤러 및/또는 프로세서로서 허용하는 데이터 주체는 본 방침의 최신판을 법적으로 준수하는 것에 동의한다.
11. 개인정보 관련 문의를 위한 연락처 정보
현지 방침
현지 개인정보 보호 방침이 있는 경우, 해당 방침은 본 방침을 보완하는 구실을 한다. 현지 개인정보 보호 방침이 본 방침과 상충하는 경우, 해당 국가/지역의 직원은 해당 국면에 있어서 현지 방침을 우선시한다. 본 방침의 조항이 특정 국가/지역의 법률에 위배되거나 위배될 가능성이 있는 경우, 해당 조항은 해당 국가/지역 직원에게는 적용되지 않으며, 나머지 조항은 유효성을 유지한다.