데이터 보호 정책
일반 정보
Sonova AG(등록 주소: Laubisrütistrasse 28, 8712 Stäfa, Switzerland)는 스위스 법률에 따라 데이터 컨트롤러로 통합되었으며 전 세계에 위치한 계열사와 함께 운영됩니다(총칭하여 “당사”).
당사가 일상 업무에서 개인 데이터를 처리하므로, 고객, 계약업체 및 파트너(이하 “대상”)에 대한 개인 데이터 사용에 관한 당사의 관행을 설명하기 위해 본 글로벌 개인정보 보호정책(이하 “정책”)을 작성하고 구현했습니다. 당사는 개인 정보 보호 및 개인 데이터의 존중에 특히 주의를 기울이고 해당 지역 법률에 따라 본 정책을 준수하기 위해 최선을 다합니다.
“개인 데이터”란 식별되거나 식별 가능한 자연인과 관련된 모든 정보를 의미합니다.
“처리”란 자동화된 수단인지 여부에 관계없이 개인 데이터 또는 개인 데이터 집합에 대해 수행되는 모든 수집, 기록, 구성, 구조화, 저장, 개조 또는 변경, 회수, 협의, 사용, 전송에 의한 공개, 보급 또는 기타 방식으로 이용 가능하게 하는 것, 정렬 또는 결합, 제한, 삭제 또는 파기 작업 또는 작업의 집합을 의미합니다.
정책 관련 법률
당사는 관련 데이터 보호법(이하 “관련 법률”)을 준수할 것을 약속합니다. 따라서, 당사가 설립된 국가에 따라, 개인 데이터 처리는 현지 관련 법률의 적용을 받습니다. 특정 요구 사항은 국가마다 다를 수 있지만, 당사는 특히 데이터 주체의 개인 정보에 대해 우려하고 있으며 본 정책은 당사가 약속하는 글로벌 지침을 구성합니다.
특히 당사는 해당되는 경우 다음 법률을 준수하기 위해 최선을 다합니다.
- 2016년 4월 27일 유럽 의회 및 이사회 규정(EU) 2016/679, 개인 데이터 처리 및 해당 데이터의 자유로운 이동에 관한 자연인 보호 및 지침 95/46/EC(일반 데이터 보호 규정) (이하 “GDPR”). GDPR 은 전문가에게 단일 법적 프레임워크를 제공하기 위해 유럽연합 지역에서 개인 데이터 처리와 관련된 규칙을 조화시키고 구성하는 것을 목표로 하며, 개인 정보 사용에 대한 사용자의 통제를 강화하는 것을 목적으로 합니다. 이 규정은 UE 시민 또는 거주자를 위한 개인 데이터 처리 및 UE 지역에서의 컨트롤러 또는 프로세서의 활동에 적용됩니다.
- 현재 기술에 적응하고 GDPR 및 기타 최근 유럽 규정에 맞추기 위해 2020 년에 수정된, 1992 년 6 월 19 일에 발효된 데이터 보호에 관한 스위스 법률 연방법(이하 “FADP”).
- 회사에서 개인 데이터를 처리하는 캘리포니아에 거주하는 소비자에게 더 많은 투명성을 제공하고 더 많은 권리를 보장하는 것을 목표로 하는 2018 년 캘리포니아 소비자 개인 정보 보호법(이하 “CCPA”).
- 의료 행위자와 비즈니스 파트너에 의한 건강 데이터의 전자 처리에 대한 미국 규칙을 정의하는 1996 년 건강 보험 이동성 및 책임법(이하 “HIPAA”).
수집하는 개인 데이터
당사는 다음과 같은 개인 정보를 처리할 수 있습니다.
- 신원 데이터: 성, 이름, 국적 및 생년월일
- 연락처 데이터: 우편 주소, 개인 전화번호, 개인 이메일 주소 및 긴급 연락처
- 사회 보장 참조 번호 및 보험 회사
- 재무 데이터: 결제 수단, 금융 기관, IBAN
- 사용자의 건강 관련 데이터 : 체중, 신장, 의학적 문제, 의사의 처방, 청력, 신체 활동 추적 정보(걸음수, 운동 강도, 운동 시간), 건강 데이터(심박수, 에너지 소모량, 혈압)
- 웹사이트에서의 사용자 행동과 관련된 데이터
- 고객이 구매한 제품과 관련된 데이터: 모델, 일련번호, 사용 데이터
- 제공된 서비스와 관련된 데이터
- 고객이 당사 제품 및 서비스에 대해 제공하는 피드백과 관련된 데이터: 댓글 및 메모
또한, 당사의 활동이 주로 보청기를 개선하기 위한 혁신적인 솔루션 제조에 중점을 두고 있기 때문에 민감한 개인 데이터, 특히 건강 데이터를 수집해야 할 수 있습니다. 데이터 주체가 거주하는 국가에 따라 이러한 민감한 개인 데이터는 특히 구현된 보안 및 기밀 유지 조치 측면에서 특별한 보호를 받을 수 있습니다.
개인 데이터 처리의 목적
다음 법적 근거는 당사가 개인 데이터 처리를 수행하는 근거가 됩니다. 데이터 주체의 거주지 및 관련 준거법에 따라 다른 법적 근거가 사용될 수 있습니다.
첫째, 개인 데이터의 처리의 일부는 데이터 주체의 동의에 의거해 수행할 수 있습니다. 이 목적을 위한 개인 데이터 처리에는 다음이 포함될 수 있습니다.
- 당사가 제공하는 제품 및 서비스에 대한 뉴스레터 및 정보 발송 등의 마케팅 목적
- 당사 웹사이트의 성능을 개선하기 위한 목적
- 귀하에게 조언하고 상호작용하기 위한 목적: 계정 생성 목적, 연락처 양식을 통해 당사에 연락하기 위한 목적, Sonova 가 사용자에게 응답하도록 하기 위한 목적, 온라인 청력 테스트를 수행할 목적 또한, 당사가 수행하는 개인 데이터의 처리는 데이터 주체와의 계약 또는 사전 계약 조치의 실행에 의거해 수행할 수도 있습니다. 이 목적을 위한 개인 데이터 처리에는 다음이 포함될 수 있습니다.
- 데이터 주체에 대한 계약상의 의무 이행
- 고객에게 제품 구매 후 A/S 제공
- 사회 보장/보험 처리
- 클레임 관리
당사는 특히 당사 제품 및 서비스, 고객 경험, 내부 프로세스를 개선하기 위한 당사의 정당한 이익에 따라 개인 데이터를 처리할 수도 있습니다. 이 목적을 위한 개인 데이터 처리에는 다음이 포함될 수 있습니다.
- 통계/사용 분석 수행
- 내부 관리 기능 수행
- 고객 요청 처리
- 사기 행위 방지 및 보안 개선
- 데이터 주체와의 관계 관리
- 당사제품 및 서비스의 관련성 평가
당사는 법적 요구 사항에 대응하기 위해 개인 데이터를 처리할 수도 있습니다. 법적 요구 사항에 따른 처리는 관련 법률에 따라 다릅니다.
개인 데이터의 보유
앞서 언급한 목적을 위해 개인 데이터는 필요 이상으로 보유되지 않습니다. 즉, 개인 데이터 처리 목적이 달성되는 즉시 개인 데이터가 삭제됩니다. 다만, 당사는 관련 법률을 준수하거나 당사의 권리를 보호하거나 행사할 필요가 있는 경우 해당 데이터 보호법에 의해 허용되는 범위 내에서 개인 데이터를 더 오래 보유할 수 있습니다.
보유 기간이 끝나면 당사는 관련 법률을 준수하기 위해 제한된 기간 동안 제한된 액세스 권한으로 개인 데이터를 보유해야 할 수도 있습니다.
이러한 보유 기간은 데이터 주체가 거주하는 국가와 관련 법률에 따라 달라질 수 있습니다.
개인 데이터의 공개
당사는 귀하의 동의 또는 기타 관련 법적 근거에 의거해 개인 데이터를 다음 제 3 자와 공유할 수 있습니다.
- 자회사 및 계열사 등 당사 그룹의 기타 회사
- 기술 지원, 마케팅 목적 또는 기타 유형의 서비스 제공과 같이 당사를 대리하여 서비스를 제공하는 신뢰할 수 있는 비즈니스 파트너
- 고객, 계약업체 및 파트너의 권리 또는 당사 또는 타인의 권리, 재산 또는 안전을 보호하고 당사의 보안을 유지하기 위해 요청되거나 승인된 서비스를 제공하는 데 필요한 경우, 서비스 또는 관련 법률, 법원 또는 기타 정부 규정으로 인해 그렇게 해야 하는 경우, 또는 법적 또는 범죄 수사 또는 법적 절차를 지원하기 위해 그러한 공개가 별도로 필요한 경우 정부 기관 및 공공 기관
관련 법률에 의거해, 당사는 개인 데이터가 당사의 지침에 따라, 그리고 본 정책 및 기타 적절한 기밀 유지 및 보안 조치를 준수하여 처리되도록 보장하기 위해 일부 제 3 자와 계약을 이행합니다.
개인 데이터의 전송
상기 언급한 당사가 개인 데이터를 공개할 수 있는 계열사 및 자회사, 그리고 비즈니스 파트너 및 공공 기관과 같은 제 3자는 데이터 보호법이 데이터 주체가 있는 국가와 다를 수 있는 국가를 포함하여 데이터 주체의 거주지 국가 외부에 위치할 수 있습니다.
개인 데이터가 유럽연합/유럽경제지역 내에서 처리되고 개인 데이터가 유럽연합 집행위원회에 따라 적절한 수준의 보호를 제공하는 것으로 간주되지 않는 국가의 제 3 자에게 공개되는 경우 당사는 다음을 보장합니다.
- 특히 권한 있는 감독 기관의 승인 요청이 필요한 경우 관련 법률을 준수하기 위한 적절한 절차의 구현
- 해당 전송을 관리하고 관련 법률에 따라 필요하고 적절한 수준의 보호를 보장하기 위한 적절한 조직적, 기술적 및 법적 보호 장치의 구현
- 필요한 경우, 유럽연합 집행위원회가 채택한 표준 계약 조항의 이행
- 필요한 경우, 이전 상황을 평가하고 제 3국의 법률을 검토한 후 전송된 개인 데이터의 보호를 위해 필요한 경우 데이터 전송 적정성 평가를 완료하는 등의 보완 조치 이행
개인 데이터가 유럽 연합/유럽 경제 지역 내에서 처리되지 않고 개인 데이터가 데이터 주체의 관할권 외부에 있는 제 3 자에게 공개되는 경우 당사는 법적 수단을 구현함으로써 적절한 조치를 이행하여 개인 데이터를 보호하기 위한 적절한 보호 장치가 마련되어 있는지 확인합니다. 이러한 법적 수단은 국가 및 관련 법률에 따라 다를 수 있습니다.
개인 데이터의 보안
당사는 보안 사고 또는 무단 공개, 보다 일반적으로는, 개인 데이터 침해로부터 개인 데이터를 보호하기 위해 관련 법률에 의거해 다양한 보안 조치를 구현합니다. 이러한 보안 조치는 적절한 산업 보안 표준으로 인식되며, 특히 액세스 제어, 비밀번호, 암호화 및 정기적인 보안 평가를 포함합니다.
개인 데이터 침해가 발생하고, 특히, 보안 침해로 인해 우발적 또는 불법적으로 전송, 저장 또는 처리된 개인 데이터에 대한 파괴, 손실, 변경, 무단 공개 또는 액세스가 발생하는 경우 당사는 다음과 같은 적절한 조치를 취할 것입니다.
- 개인 데이터 침해로 인해, 특히 영향을 받는 사람들의 권리와 자유에 대한 위험을 초래할 가능성이 있는지 여부를 확인하기 위한 조사 및 분석
- 분석 결과 영향을 받는 사람들의 권리와 자유에 위험이 있음이 밝혀지는 경우, 당사는 관할 당국에 이를 알리고 위험이 높은 경우 영향을 받는 사람들에게도 이를 알립니다
- 개인 데이터 침해를 수정하고 완화하는 데 필요한 조치를 가능한 한 빨리 구현
- 추적 가능성을 보장하기 위해 개인 데이터 침해 문서화
개인 데이터 침해가 발생한 경우의 적절한 조치와 절차는 침해가 발생한 국가, 침해 유형 및 관련 준거법에 따라 다를 수 있습니다.
개인 데이터와 관련된 개인 정보 보호 권리
이는 관련 준거법에 따라 다를 수 있으므로, 데이터 주체는 동의에 따라 액세스, 수정, 개인 데이터 삭제, 처리 제한, 처리 거부, 데이터 이동 요청, 정보 제공, 개인 데이터 처리에 대한 동의 철회를 요청할 권리 등의 개인 데이터와 관련된 권리를 보유합니다. 데이터 주체는 그러한 처리가 우려되는 경우, 자동화된 개별 의사결정에 반대할 수도 있습니다.
또한, 일부 관할권에서는 사후에 개인 데이터의 보유, 통신 및 삭제와 관련된 지침을 제공할 수 있습니다. 이러한 권리의 행사는 절대적이지 않으며 관련 법률에서 제공하는 제한 사항의 적용을 받습니다.
데이터 주체는 본인의 개인 데이터 처리가 관련 법률을 위반한다고 생각하는 경우, 현지 감독 기관 또는 관할 규제 기관에 불만을 제기할 권리를 보유합니다.
데이터 주체는 이러한 개인 정보 보호 권리를 행사하기 위해 아래 “문의 방법” 섹션에 설명된 대로 당사에 연락할 수 있습니다. 당사는 요청에 응답하기 위해 신원 증명을 요청할 수 있습니다. 귀하의 요청(거부 또는 제한)을 충족할 수 없는 경우, 당사는 해당 결정을 서면으로 제공합니다.
본 정책의 업데이트
필요한 경우, 신규 또는 타 개인정보 보호방침을 반영하기 위해 때때로 본 정책을 업데이트해야 할 수 있습니다. 이 경우, 당사는 이 페이지에 본 정책의 업데이트된 버전을 게시합니다. 정책의 개정본은 발효일 이후에 수집된 데이터에만 적용됩니다. 이 페이지에서 당사의 개인정보 보호방침에 대한 최신 정보를 정기적으로 검토할 것을 권장합니다.
문의 방법
본 정책에 대한 질문, 의견 또는 우려 사항이 있거나, 개인 데이터와 관련하여 관련 법률에서 허용하는 개인 정보 보호 권리를 행사하려면 주소 Sonova AG, Laubisruetistrasse 28, 8712 Stäfa, Switzerland 또는 privacy@sonova.com 으로 당사의 데이터 보호 담당자에게 문의하십시오.
발효일: 2022 년 2 월