본 데이터 보호 정책은 Capital Markets Elite Group (UK) Limited("회사")가 고객, 공급업체, 직원, 근로자 및 기타 제3자("데이터 주체")의 개인 데이터를 처리하는 방법을 명시합니다. 당사는 데이터 주체와 관련된 모든 개인 데이터 및 당사의 상업적 목적을 위해 비즈니스에 사용되는 개인 데이터의 데이터 컨트롤러입니다.
본 정책은 해당 데이터가 저장된 매체 또는 과거 또는 현재의 직원, 근로자, 고객, 고객 또는 공급업체 연락처, 주주, 웹사이트 사용자 또는 기타 데이터 주체와 관련된 것인지 여부에 관계없이 회사가 처리하는 모든 개인 데이터(데이터 주체를 식별하는 모든 정보 또는 해당 데이터에서 직접 또는 간접적으로 식별할 수 있거나 당사가 보유하고 있거나 합리적으로 접근할 수 있는 다른 식별자와 결합된 데이터 주체와 관련된 모든 정보)에 적용됩니다.
이 정책은 모든 직원, 근로자, 계약자, 대행사 직원, 컨설턴트, 이사, 회원 등에게 적용됩니다.
귀하는 회사를 대신하여 개인 데이터를 처리할 때 이 정책을 읽고 이해하며 준수해야 하며, 요구 사항에 대한 교육에 참석해야 합니다. 이 정책은 회사가 관련 법률을 준수하기 위해 귀하에게 기대하는 바를 명시합니다. 이 정책을 준수하는 것은 의무 사항입니다. 이 정책을 위반할 경우 징계 조치를 받을 수 있습니다.
이 정책은 내부 문서이며 규정 준수 관리자의 사전 승인 없이는 제3자, 고객 또는 규제 기관과 공유할 수 없습니다.
본 정책은 고용 계약이나 서비스 계약의 일부를 구성하지 않으며, 사전 통지 없이 언제든지 수정할 수 있습니다.
본 정책은 회사가 사업을 운영하는 국가의 해당 국가 데이터 개인정보 보호법 및 규정보다 우선하지 않습니다.
범위
당사는 개인 데이터를 정확하고 합법적으로 처리하는 것이 조직에 대한 신뢰를 유지하고 성공적인 비즈니스 운영을 위한 기반이 된다는 점을 잘 알고 있습니다. 개인 데이터의 기밀성과 무결성을 보호하는 것은 당사가 항상 심각하게 받아들이는 중요한 책임입니다. 회사는 GDPR의 규정을 준수하지 않을 경우 잠재적인 벌금에 노출될 수 있습니다.
모든 경영진은 본 정책을 준수할 책임이 있으며, 이를 보장하기 위해 적절한 관행, 프로세스, 통제 및 교육을 시행해야 합니다.
본 정책의 운영 또는 일반 개인정보 보호 규정 또는 기타 데이터 보호법("GDPR")에 대해 궁금한 점이 있거나 본 정책이 준수되지 않거나 준수되지 않았다고 우려되는 경우 규정 준수 관리자에게 문의하시기 바랍니다. 특히 다음과 같은 상황에서는 항상 규정 준수 관리자에게 연락해야 합니다:
- 개인 데이터 처리에 의존하는 합법적인 근거(회사가 사용하는 합법적인 이익 포함)가 확실하지 않은 경우(아래 합법성 및 공정성 섹션 참조);
- 동의에 의존해야 하거나 명시적인 동의를 수집해야 하는 경우;
- 개인정보 처리방침 초안을 작성해야 하는 경우(아래 투명성 섹션 참조);
- 개인 데이터 침해가 발생한 경우(아래 개인 데이터 침해 신고하기 섹션 참조);
- 데이터 주체가 행사하는 권리를 처리하는 데 도움이 필요한 경우(
데이터 주체의 권리 및 요청 섹션 참조); - 데이터 보호 영향 평가("DPIA")가 필요할 수 있는 중대한 신규 또는 변경 처리 활동을 수행하거나(아래 설계에 의한 개인정보 보호 및 DPIA 섹션 참조) 수집 목적과 다른 목적으로 개인 데이터를 사용할 계획이 있는 경우 언제든지 문의하세요;
- 직접 마케팅 활동을 수행할 때 관련 법률을 준수하는 데 도움이 필요한 경우(아래 직접 마케팅 섹션 참조)
개인 데이터 보호 원칙
당사는 본 정책에 명시된 GDPR에 명시된 개인 데이터 처리와 관련된 원칙을 준수합니다. 당사는 이러한 원칙을 준수할 책임이 있으며 이를 입증할 수 있어야 합니다.
개인 데이터 보호 원칙
개인 데이터는 데이터 주체와 관련하여 적법하고 공정하며 투명한 방식으로 처리되어야 합니다.
사용자는 지정된 목적을 위해서만 공정하고 합법적으로 개인 데이터를 수집, 처리 및 공유할 수 있습니다. GDPR은 개인 데이터와 관련된 당사의 행위를 지정된 합법적인 목적으로 제한합니다. 이러한 제한은 처리를 막기 위한 것이 아니라 데이터 주체에게 부정적인 영향을 미치지 않고 공정하게 개인 데이터를 처리하도록 보장하기 위한 것입니다.
- GDPR은 특정 목적을 위한 처리를 허용하며, 그 중 일부는 아래에 명시되어 있습니다:
- 데이터 주체가 동의한 경우;
- 데이터 주체와의 계약 이행을 위해 처리가 필요한 경우;
- 법적 준수 의무를 이행하기 위해..;
- 데이터 주체의 중요한 이익을 보호하기 위한 것입니다;
- 처리가 정보 주체의 이익이나 기본적 권리 및 자유를 침해하지 않는 범위에서 당사의 정당한 이익을 추구하기 위한 목적. 정당한 이익을 위해 개인정보를 처리하는 목적은 해당 개인정보 처리방침에 명시되어 있어야 합니다.
각 처리 활동에 대해 의존하는 법적 근거를 식별하고 문서화해야 합니다.
동의
데이터 컨트롤러는 동의를 포함하여 GDPR에 명시된 하나 이상의 합법적인 근거에 의해서만 개인 데이터를 처리해야 합니다.
데이터 주체가 개인 데이터 처리에 대해 진술 또는 적극적인 행동으로 명확하게 동의를 표시하면 개인 데이터 처리에 동의하는 것으로 간주합니다. 동의에는 적극적인 행동이 필요하므로 침묵, 미리 체크한 상자 또는 비활성 상태만으로는 충분하지 않습니다. 다른 사안을 다루는 문서에서 동의가 이루어진 경우 동의는 다른 사안과 분리하여 보관해야 합니다.
데이터 주체는 언제든지 처리에 대한 동의를 쉽게 철회할 수 있어야 하며, 철회는 즉시 존중되어야 합니다. 데이터 주체가 처음 동의할 때 공개하지 않은 다른 호환되지 않는 목적으로 개인 데이터를 처리하려는 경우 동의를 다시 받아야 할 수 있습니다.
다른 법적 처리 근거에 의존할 수 없는 한, 민감한 개인 데이터 처리, 자동화된 의사 결정 및 국가 간 데이터 전송에는 일반적으로 명시적 동의가 필요합니다.
일반적으로 대부분의 민감한 데이터 유형을 처리하기 위해 다른 법적 근거(명시적 동의가 필요하지 않음)에 의존하게 됩니다. 명시적 동의(서면)가 필요한 경우, 명시적 동의를 얻기 위해 데이터 주체에게 동의 통지를 발행해야 합니다.
귀하는 회사가 동의 요건을 준수했음을 입증할 수 있도록 동의를 캡처한 증거를 확보하고 모든 동의 기록을 보관해야 합니다.
투명성(데이터 주체에게 알리기)
GDPR은 정보처리자가 정보주체로부터 직접 수집한 정보인지 아니면 다른 곳에서 수집한 정보인지에 따라 상세하고 구체적인 정보를 정보주체에게 제공하도록 요구합니다. 이러한 정보는 데이터 주체가 쉽게 이해할 수 있도록 간결하고 투명하며 이해하기 쉽고 접근하기 쉬우며 명확하고 평이한 언어로 작성된 적절한 개인정보 처리방침을 통해 제공되어야 합니다.
인사 또는 고용 목적을 포함하여 데이터 주체로부터 직접 개인 데이터를 수집할 때마다 당사는 데이터 주체가 처음 개인 데이터를 제공할 때 제시해야 하는 개인정보처리자의 신원, 해당 개인 데이터의 사용, 처리, 공개, 보호 및 보유 방법과 이유 등 GDPR에서 요구하는 모든 정보를 개인정보처리자에게 제공해야 합니다(개인정보보호 고지를 통해 제공).
제3자 또는 공개적으로 이용 가능한 출처를 통해 간접적으로 개인 데이터를 수집하는 경우, 데이터를 수집/수신한 후 가능한 한 빨리 GDPR에서 요구하는 모든 정보를 데이터 주체에게 제공해야 합니다. 또한 해당 개인정보가 GDPR에 따라 제3자에 의해 수집되었는지, 그리고 해당 개인정보에 대한 당사의 처리 제안을 고려한 근거에 따라 수집되었는지 확인해야 합니다.
목적 제한
개인 데이터는 구체적이고 명시적이며 합법적인 목적으로만 수집해야 합니다. 이러한 목적에 부합하지 않는 방식으로 추가 처리되어서는 안 됩니다.
데이터 주체에게 새로운 목적을 알리고 필요한 경우 동의를 받지 않는 한, 개인정보를 처음 수집할 때 공개했던 목적과 다르거나 호환되지 않는 새로운 목적으로 개인정보를 사용할 수 없습니다.
데이터 최소화
개인 데이터는 적절하고 관련성이 있어야 하며 처리 목적과 관련하여 필요한 범위로 제한되어야 합니다.
직무 수행에 필요한 경우에만 개인 데이터를 처리할 수 있습니다. 직무와 무관한 어떠한 이유로도 개인 데이터를 처리할 수 없습니다.
직무 수행에 필요한 개인 데이터만 수집할 수 있습니다. 과도한 데이터를 수집하지 마세요. 수집하는 모든 개인 데이터가 의도한 목적에 적절하고 관련성이 있는지 확인합니다.
귀하는 특정 목적을 위해 개인 데이터가 더 이상 필요하지 않은 경우 회사의 데이터 보존 지침에 따라 해당 데이터를 삭제하거나 익명화해야 합니다.
정확성
개인 데이터는 정확해야 하며 필요한 경우 최신 상태로 유지해야 합니다. 부정확한 경우 지체 없이 수정하거나 삭제해야 합니다.
귀하는 당사가 사용 및 보유하는 개인 데이터가 정확하고 완전하며 최신 상태로 유지되고 수집 목적과 관련이 있는지 확인해야 합니다. 귀하는 수집 시점과 그 이후에도 정기적으로 개인 데이터의 정확성을 확인해야 합니다. 회원님은 부정확하거나 오래된 개인 데이터를 파기하거나 수정하기 위해 모든 합리적인 조치를 취해야 합니다.
저장 용량 제한
개인 데이터는 데이터 처리 목적에 필요한 기간보다 더 오래 식별 가능한 형태로 보관되어서는 안 됩니다.
귀하는 법률, 회계 또는 보고 요건을 충족하기 위한 목적을 포함하여 합법적인 비즈니스 목적 또는 원래 수집한 목적에 필요한 기간보다 더 오랫동안 데이터 주체를 식별할 수 있는 형태로 개인 데이터를 보관해서는 안 됩니다.
회사는 법률에서 최소한의 기간 동안 데이터를 보관하도록 요구하지 않는 한, 보유 목적에 따라 합리적인 시간이 지나면 개인 데이터를 삭제하도록 보존 정책 및 절차를 유지합니다.
귀하는 회사의 모든 해당 기록 보존 일정 및 정책에 따라 더 이상 필요하지 않은 모든 개인 데이터를 파기하거나 시스템에서 삭제하기 위해 모든 합리적인 조치를 취해야 합니다. 여기에는 해당되는 경우 제3자에게 해당 데이터를 삭제하도록 요청하는 것도 포함됩니다.
귀하는 해당 개인정보 처리방침에서 데이터 주체가 데이터 저장 기간과 그 기간이 어떻게 결정되는지 알 수 있도록 해야 합니다.
보안 무결성 및 기밀 유지
개인 데이터 보호
개인 데이터는 무단 또는 불법 처리와 우발적인 손실, 파괴 또는 손상에 대비하여 적절한 기술적 및 조직적 조치를 통해 보호되어야 합니다.
당사는 당사의 규모, 범위 및 사업, 가용 자원, 당사가 소유하거나 타인을 대신하여 관리하는 개인 데이터의 양, 식별된 위험(해당되는 경우 암호화 및 가명화 사용 포함)에 적합한 안전장치를 개발, 구현 및 유지합니다. 당사는 개인정보 처리의 보안을 보장하기 위해 이러한 안전장치의 효과를 정기적으로 평가하고 테스트합니다. 귀하는 당사가 보유한 개인 데이터를 보호할 책임이 있습니다. 귀하는 개인 데이터의 불법 또는 무단 처리와 개인 데이터의 우발적 손실 또는 손상에 대비하여 합리적이고 적절한 보안 조치를 구현해야 합니다. 귀하는 다음을 수행해야 합니다.
민감한 개인 데이터를 분실 및 무단 액세스, 사용 또는 공개로부터 보호하는 데 각별한 주의를 기울입니다.
회원님은 수집 시점부터 파기 시점까지 모든 개인 데이터의 보안을 유지하기 위해 당사가 마련한 모든 절차와 기술을 준수해야 합니다. 귀하는 필요한 정책과 절차를 준수하는 데 동의하고 요청에 따라 적절한 조치를 취하는 데 동의하는 타사 서비스 제공업체에만 개인 데이터를 전송할 수 있습니다.
회원님은 다음과 같이 정의된 개인 데이터의 기밀성, 무결성 및 가용성을 보호하여 데이터 보안을 유지해야 합니다:
- 기밀성이란 개인 데이터를 알아야 할 필요가 있고 사용 권한이 있는 사람만 해당 데이터에 액세스할 수 있다는 의미입니다.
- 무결성이란 개인 데이터가 정확하고 처리 목적에 적합하다는 것을 의미합니다.
- 가용성이란 승인된 사용자가 승인된 목적을 위해 필요할 때 개인 데이터에 액세스할 수 있음을 의미합니다.
귀하는 개인 데이터를 보호하기 위해 GDPR 및 관련 표준에 따라 당사가 구현하고 유지하는 관리적, 물리적, 기술적 보호 조치를 준수해야 하며 이를 우회하려고 시도해서는 안 됩니다.
개인 데이터 유출 신고하기
GDPR에 따르면 데이터 관리자는 개인 데이터 침해가 발생하면 해당 규제 기관과 경우에 따라 데이터 주체에게 통지해야 합니다.
"개인 데이터 침해"란 개인 데이터의 보안, 기밀성, 무결성 또는 가용성 또는 당사 또는 타사 서비스 제공업체가 이를 보호하기 위해 마련한 물리적, 기술적, 관리적 또는 조직적 안전장치를 손상시키는 모든 행위 또는 누락을 의미합니다. 개인 데이터의 손실 또는 무단 액세스, 공개 또는 취득은 개인 데이터 침해에 해당합니다.
당사는 개인정보 침해가 의심되는 경우 이를 처리하기 위한 절차를 마련했으며, 법적으로 요구되는 경우 데이터 주체 또는 해당 규제 기관에 통지합니다.
개인 데이터 유출이 발생한 것을 알았거나 의심되는 경우 직접 문제를 조사하려고 시도하지 마세요. 즉시 규정 준수 관리자에게 개인 데이터 침해에 대해 문의하세요. 잠재적인 개인 데이터 유출과 관련된 모든 증거를 보존해야 합니다.
전송 제한
GDPR은 개인에게 제공되는 데이터 보호 수준이 훼손되지 않도록 하기 위해 유럽경제지역(EEA) 외부 국가로의 데이터 전송을 제한하고 있습니다. 한 국가에서 발생한 개인 데이터를 국경을 넘어 다른 국가로 전송, 전송, 조회 또는 액세스할 때 해당 데이터를 전송하는 것입니다.
다음 조건 중 하나에 해당하는 경우에만 EEA 외부로 개인 데이터를 전송할 수 있습니다:
- 유럽위원회는 당사가 개인 데이터를 이전하는 국가가 데이터 주체의 권리와 자유에 대한 적절한 수준의 보호를 보장한다는 결정을 내렸습니다;
- 구속력 있는 기업 규칙(BCR), 유럽연합 집행위원회에서 승인한 표준 계약 조항, 승인된 행동 강령 또는 인증 메커니즘과 같은 적절한 안전장치가 마련되어 있으며, 그 사본은 규정 준수 관리자로부터 얻을 수 있습니다;
- 데이터 주체가 잠재적 위험에 대한 통지를 받은 후 제안된 이전에 명시적으로 동의한 경우, 또는
- 당사와 데이터 주체 간의 계약 이행, 공익적 이유, 법적 청구의 설정, 행사 또는 방어, 데이터 주체가 신체적 또는 법적으로 동의할 수 없는 경우 데이터 주체의 중대한 이익을 보호하기 위해, 그리고 일부 제한된 경우 당사의 정당한 이익을 위해 등 GDPR에 명시된 기타 사유 중 하나를 위해 전송이 필요한 경우.
데이터 주체의 권리 및 요청
데이터 주체는 당사가 자신의 개인 데이터를 처리하는 방식과 관련하여 권리를 갖습니다. 여기에는 다음과 같은 권리가 포함됩니다:
- 언제든지 처리에 대한 동의를 철회할 수 있습니다;
- 데이터 컨트롤러의 처리 활동에 대한 특정 정보를 수신합니다;
- 당사가 보유한 개인 데이터에 대한 액세스를 요청할 수 있습니다;
- 직접 마케팅 목적으로 개인 데이터를 사용하는 것을 금지합니다;
- 수집 또는 처리 목적과 관련하여 더 이상 필요하지 않거나 부정확한 데이터를 수정하거나 불완전한 데이터를 완성하기 위해 개인 데이터를 삭제해 달라고 요청할 수 있습니다;
- 특정 상황에서 처리를 제한할 수 있습니다;
- 당사의 정당한 이익 또는 공공의 이익에 근거하여 정당화된 처리에 이의를 제기할 수 있습니다;
- 개인 데이터가 EEA 외부로 전송되는 계약의 사본을 요청할 수 있습니다;
- 프로파일링을 포함한 자동화된 처리만을 기반으로 한 결정에 반대합니다;
- 데이터 주체 또는 다른 사람에게 피해나 고통을 줄 수 있는 처리를 방지합니다;
- 자신의 권리와 자유에 대한 높은 위험을 초래할 수 있는 개인 데이터 침해에 대해 통지받아야 합니다;
- 감독 기관에 불만을 제기할 수 있습니다.
- 제한된 상황에서 자신의 개인 데이터를 구조화되고 일반적으로 사용되며 기계가 읽을 수 있는 형식으로 제3자에게 전송하도록 받거나 요청할 수 있습니다.
위에 나열된 권리에 따라 데이터를 요청하는 개인의 신원을 확인해야 합니다(제3자가 적절한 승인 없이 개인 데이터를 공개하도록 설득하지 못하도록 해야 합니다).
데이터 주체 요청을 받으면 즉시 규정 준수 관리자에게 전달해야 합니다.
책임감
데이터 컨트롤러는 데이터 보호 원칙을 준수하기 위해 적절한 기술적 및 조직적 조치를 효과적인 방식으로 구현해야 합니다. 데이터 컨트롤러는 데이터 보호 원칙을 준수할 책임이 있으며 이를 입증할 수 있어야 합니다.
회사는 다음을 포함하여 GDPR 준수를 보장하고 문서화하기 위한 적절한 자원과 통제 장치를 마련해야 합니다:
- 데이터 프라이버시를 책임지는 임원을 임명합니다;
- 개인 데이터를 처리할 때 설계에 의한 개인정보 보호를 구현하고, 처리 시 데이터 주체의 권리와 자유에 대한 위험이 높은 경우 데이터 보호 영향 평가(DPIA)를 완료합니다;
- 본 정책, 관련 문서 또는 개인정보 처리방침을 포함한 내부 문서에 데이터 보호를 통합합니다;
- GDPR, 내부 정책 및 절차, 데이터 주체의 권리, 동의, 법적 근거, DPIA 및 개인 데이터 침해 등 데이터 보호 문제에 대해 정기적으로 교육합니다. 회사는 고용하고 관여하는 모든 직원의 교육 참석 기록을 유지해야 합니다.
- 구현된 개인정보 보호 조치를 정기적으로 테스트하고, 테스트 결과를 사용하여 규정 준수 개선 노력을 입증하는 등 규정 준수 여부를 평가하기 위한 정기적인 검토 및 감사를 실시합니다.
기록 보관
GDPR에 따라 모든 데이터 처리 활동에 대한 완전하고 정확한 기록을 보관해야 합니다.
데이터 주체의 동의 및 동의 획득 절차에 대한 기록을 포함하여 당사의 처리를 반영하는 정확한 기업 기록을 보관하고 유지해야 합니다.
이러한 기록에는 최소한 데이터 컨트롤러의 이름과 연락처, 개인 데이터 유형에 대한 명확한 설명, 데이터 주체 유형, 처리 활동, 처리 목적, 개인 데이터의 제3자 수신자, 개인 데이터 저장 위치, 개인 데이터 전송, 개인 데이터의 보존 기간, 보안 조치에 대한 설명이 포함되어야 합니다. 이러한 기록을 작성하려면 위에 명시된 세부 사항과 함께 적절한 데이터 흐름을 포함하는 데이터 맵을 작성해야 합니다.
교육 및 감사
당사는 귀하가 데이터 개인정보 보호법을 준수할 수 있도록 적절한 교육을 받았는지 확인해야 합니다. 또한 정기적으로 시스템과 프로세스를 테스트하여 규정 준수 여부를 평가해야 합니다.
귀하는 모든 필수 데이터 개인정보 보호 관련 교육을 받아야 하며, 귀하의 팀도 유사한 필수 교육을 받도록 해야 합니다.
귀하는 귀하가 통제하는 모든 시스템과 프로세스를 정기적으로 검토하여 본 정책을 준수하는지 확인하고 개인정보의 적절한 사용과 보호를 보장하기 위한 적절한 거버넌스 통제 및 리소스가 마련되어 있는지 확인해야 합니다.
설계에 의한 개인정보 보호 및 dpias
당사는 개인정보 보호 원칙을 준수하기 위해 개인 데이터를 처리할 때 적절한 기술적 및 조직적 조치(가명화 등)를 효과적인 방식으로 구현하여 개인정보 보호 설계 조치를 구현해야 합니다.
다음을 고려하여 개인 데이터를 처리하는 모든 프로그램/시스템/프로세스에 어떤 개인정보 보호 설계 조치를 구현할 수 있는지 평가해야 합니다:
- 최첨단 기술;
- 구현 비용
- 처리의 성격, 범위, 맥락 및 목적; 그리고
- 처리로 인해 제기되는 정보 주체의 권리와 자유에 대한 다양한 가능성 및 심각성의 위험성
데이터 컨트롤러는 고위험 처리와 관련하여 DPIA도 수행해야 합니다.
다음을 포함하여 개인 데이터 처리와 관련된 주요 시스템 또는 비즈니스 변경 프로그램을 구현할 때는 DPIA를 실시하고 그 결과를 규정준수 관리자와 논의해야 합니다:
- 새로운 기술(프로그램, 시스템 또는 프로세스)의 사용 또는 변화하는 기술(프로그램, 시스템 또는 프로세스)의 사용;
- 프로파일링 및 자동 결합 의사 결정을 포함한 자동화된 처리;
- 민감한 데이터의 대규모 처리
- 공개적으로 접근 가능한 영역에 대한 대규모의 체계적인 모니터링.
DPIA에는 다음이 포함되어야 합니다.
- 처리, 처리 목적 및 적절한 경우 데이터 관리자의 정당한 이해관계에 대한 설명;
- 처리의 목적과 관련하여 처리의 필요성 및 비례성에 대한 평가;
- 개인에 대한 위험 평가
- 위험 완화 조치를 취하고 규정 준수를 입증해야 합니다.
자동화된 처리(프로파일링 포함) 및 자동화된 의사 결정(adm)
일반적으로 ADM은 개인에게 법적 또는 이와 유사한 중대한 영향을 미치는 결정이 아닌 한 금지됩니다:
- 데이터 주체가 명시적으로 동의했습니다;
- 처리가 법에 의해 승인된 경우, 또는
- 계약의 이행 또는 체결을 위해 처리가 필요한 경우.
특정 유형의 민감한 데이터를 처리하는 경우 (b) 또는 (c)의 근거는 허용되지 않지만 사기 방지와 같은 상당한 공익을 위해 필요한 경우(덜 침입적인 수단을 사용할 수 없는 경우)에는 이러한 민감한 데이터를 처리할 수 있습니다.
자동화된 처리(프로파일링 포함)에만 근거하여 결정을 내리려면 정보주체와 처음 소통할 때 이의를 제기할 수 있는 권리가 있음을 정보주체에게 알려야 합니다. 이 권리를 명시적으로 알리고 다른 정보와 분리하여 명확하게 제시해야 합니다. 또한 데이터 주체의 권리와 자유 및 정당한 이익을 보호하기 위한 적절한 조치를 취해야 합니다.
또한 당사는 데이터 주체에게 의사 결정 또는 프로파일링에 관련된 논리, 중요성 및 예상되는 결과를 알리고 데이터 주체에게 인적 개입을 요청하거나 자신의 관점을 표현하거나 결정에 이의를 제기할 수 있는 권리를 부여해야 합니다.
자동화된 처리(프로파일링 포함) 또는 ADM 활동을 수행하기 전에 반드시 DPIA를 수행해야 합니다.
직접 마케팅
당사는 고객에게 마케팅할 때 특정 규칙 및 개인정보 보호법의 적용을 받습니다.
예를 들어, 이메일, 문자 또는 자동 전화와 같은 전자 다이렉트 마케팅에는 데이터 주체의 사전 동의가 필요합니다. '소프트 옵트인'으로 알려진 기존 고객에 대한 제한적 예외를 통해 조직은 해당 고객에게 판매 과정에서 연락처 정보를 획득하고 유사한 제품 또는 서비스를 마케팅하고 있으며, 처음 세부 정보를 수집할 때와 이후의 모든 메시지에서 해당 고객에게 마케팅을 거부할 기회를 제공한 경우 마케팅 문자나 이메일을 보낼 수 있습니다.
직접 마케팅을 거부할 권리는 다른 정보와 명확하게 구분할 수 있도록 이해하기 쉬운 방식으로 데이터 주체에게 명시적으로 제공해야 합니다.
직접 마케팅에 대한 데이터 주체의 이의 제기는 즉시 존중되어야 합니다. 고객이 언제든지 수신을 거부하는 경우 가능한 한 빨리 고객의 세부 정보를 억제해야 합니다. 비활성화에는 향후 마케팅 기본 설정이 존중될 수 있도록 충분한 정보만 보유하는 것이 포함됩니다.
개인 데이터 공유
일반적으로 당사는 특정 안전장치와 계약상의 조치가 마련되지 않은 한 개인정보를 제3자와 공유할 수 없습니다.
수신자가 해당 정보를 알아야 할 업무상 필요성이 있고 해당 전송이 해당 국가 간 전송 제한을 준수하는 경우에만 당사가 보유한 개인 데이터를 당사 그룹(당사의 자회사 및 자회사와 최종 지주회사 포함)의 다른 직원, 대리인 또는 대리인과 공유할 수 있습니다.
당사가 보유한 개인 데이터는 다음과 같은 경우에만 서비스 제공업체와 같은 제3자와 공유할 수 있습니다:
- 계약된 서비스를 제공하기 위해 해당 정보를 알아야 할 필요성이 있는 경우;
- 개인 데이터 공유는 데이터 주체에게 제공된 개인정보 처리방침을 준수하며, 필요한 경우 데이터 주체의 동의를 얻었습니다;
- 제3자가 필요한 데이터 보안 표준, 정책 및 절차를 준수하고 적절한 보안 조치를 취하는 데 동의했습니다;
- 해당 전송이 적용되는 모든 국가 간 전송 제한을 준수하며,
GDPR이 승인한 제3자 조항이 포함된 서면 계약서를 완전히 체결한 경우.