개인 정보 보호 고지문

개인 정보 보호 고지문

마지막 업데이트: 2023년 2월

데이터 관리자로서의 Iron Mountain 회사

미국에 소재한 Iron Mountain Information Management, LLC 및 그 자회사(이하 "Iron Mountain" 또는 "당사")는 귀하의 개인 정보 보호를 중요하게 생각합니다. 이 개인 정보 보호 고지문은 당사가 데이터 관리자 역할을 할 때 Iron Mountain이 고객, 잠재 고객, 공급업체, 비즈니스 파트너 및 웹사이트 방문자를 식별하는 정보(이하 "개인 데이터")를 수집, 사용 및 공유하는 방법을 설명합니다. 데이터 관리자는 개인 데이터를 사용(처리)하는 이유와 방법을 결정하는 주체입니다.

Iron Mountain의글로벌 기준 및 현지 규정

이 개인 정보 보호 고지문은 당사의 글로벌 개인 정보 보호 기준을 명시합니다.

Iron Mountain의 글로벌 기준과 별개로, 당사는 적용 가능한 모든 관련 현지 개인 정보 보호법을 준수합니다. 따라서 당사는 사업장이 위치한 지역에 따라 일반 데이터 보호 규정 2016/679(EU GDPR, EU General Data Protection Regulation), 당사가 사업을 영위하는 EEA(European Economic Area) 국가에서 적용되는 데이터 보호법, 영국 일반 데이터 보호 규정(UK GDPR, UK General Data Protection Regulation) 및 영국 데이터 보호법(UK Data Protection Act) 2018, 캘리포니아 소비자 개인 정보 보호법 2018(CCPA, California Consumer Privacy Act), 브라질 일반 정보 보호법 2020(LGPD, Lei Geral de Proteção de Dados), 중국 개인정보 보호법 2021(PIPL, Personal Information Protection Law) 및 싱가포르 개인 데이터 보호법(Singapore Personal Data Protection Act) 2012를 준수합니다.

국가별 보조 기준 및 현지 개인 정보 보호 고지문

특정 Iron Mountain 자회사는 해당 국가별 개인 정보 보호 정책(일반적으로 개인 데이터 수집 시 현지 Iron Mountain 자회사가 귀하에게 제공)의 공개를 요구하는 현지 데이터 보호법을 준수할 의무가 있을 수 있습니다. 국가별 보조 기준은 다음에서 확인할 수 있습니다.

이 개인 정보 보호 고지문의 번역본은 해당 국가 웹사이트를 참조하시기 바랍니다. 예를 들어 이 문서의 독일어 버전은 당사의 독일어 웹사이트에서 확인할 수 있습니다.

개인 데이터의 처리에 관한 법적 근거

당사는 개인 정보 보호와 데이터 보호를 염두에 두고 비즈니스를 운영합니다. 당사는 개인 데이터의 처리가 합법적인 근거를 지니며 해당 개인 정보 보호법을 준수하도록 보장합니다. 대부분의 경우 당사는 다음과 같은 법적 근거에 따라 개인 데이터를 수집하고 사용합니다.

  • 계약 이행: 고객, 공급업체, 비즈니스 파트너 또는 기타 이해관계자와의 계약 체결 및 이행을 위해 개인 데이터의 처리가 필요한 경우
  • 동의: 당사가 개인 데이터의 처리에 대해 귀하의 동의를 얻은 경우(예: 당사의 제품 또는 서비스에 대한 마케팅 커뮤니케이션을 제공하거나, 쿠키를 통해 당사의 웹사이트에서 귀하의 활동을 추적하여 고객 경험을 개선하려는 경우)
  • 합법적 이익: 당사가 합법적인 비즈니스 목적을 달성하고자 하는 경우(예: 사용자의 지리적 위치와 관련된 웹사이트 콘텐츠 표시 또는 기타 맞춤 설정). 당사는 합법적 이익이 비례적이고 당사의 비즈니스 목표와 귀하의 개인 정보 보호 권리 간에 적절한 균형을 보장하는 경우에만 합법적 이익에 의존합니다.
  • 관련 법률 준수: 당사가 관련 법률 또는 규제 의무를 준수하기 위해 개인 데이터의 처리가 필요한 경우(예: 당사가 공공기관 및 세무 당국과 개인 데이터를 공유해야 하는 경우).

개인 데이터의 수집 및 사용

귀하와 Iron Mountain의 관계와 관련 법률 및 규정에 따라 당사는 다음과 같이 개인 데이터를 수집하고 사용할 수 있습니다.

  • 비즈니스 연락처 세부 정보(고객, 잠재 고객, 공급업체): 비즈니스 연락처 정보(: 비즈니스 연락처, 직장 주소, 전화번호), 고객 및 공급업체 대리인의 개인 데이터(: 이름, 연락처 세부 정보), 구조화된 데이터(: 독점 데이터), 기술 정보(: 고객 포털, 사용자 ID 및 비밀번호, 액세스 로그)를처리하는 주요 목적은 계약 협상 및 이행, 규정 준수, 비즈니스 개발 및 관계, 청구 관리, 관리, 회계, 서비스 개선, 고객에게 서비스 제공 등입니다.
  • 감사, 조사, 실사 개인 데이터(고객, 공급업체): 이름, 연락처 세부 정보(: 주소, 전화번호, 이메일 주소), 직책/직무, 세금 번호, 은행 계좌 정보 그리고 공급업체 또는 고객 관계와 관련된 기타 정보를 처리하는 주요 목적은 감사, 조사, 운영 보안, 규정 준수, 실사 심사, 청구 관리, 소송 목적 등입니다.
  • 온라인 개인 데이터 수집(웹사이트 방문자): Iron Mountain 웹사이트를 통해 수집된 정보(예: 연락처 정보, 로그인 자격증명, 온라인 댓글) 그리고 온라인 포럼 및 설문조사 등을 통해 수집된 피드백)를 처리하는 주요 목적은 당사 웹사이트의 효율적 사용, 그러한 웹사이트의 기능 최적화, 온라인 포럼에서 고객/잠재 고객 및 공급업체와의 소통, 고객 만족도 실시 및 평가 등입니다.
  • 기술을 통한 개인 데이터 수집(웹사이트 방문자): Iron Mountain 웹사이트는 다양한 쿠키 또는 그와 유사한 기술을 사용합니다. 쿠키는 귀하가 방문하는 웹사이트가 귀하의 장치에 저장하는 작은 텍스트 파일입니다. 이러한 파일을 통해 Iron Mountain 웹사이트는 사용자의 관심사에 맞는 콘텐츠를 제공하고 기타 기능을 활성화하여 사용자 경험을 개선할 수 있습니다. 귀하는 다양한 도구를 사용하여 쿠키 또는 그와 유사한 기술로 수집한 데이터를 관리할 수 있습니다. 필요한 경우 Iron Mountain은 사용자의 동의가 있을 때만 쿠키를 사용합니다. 예를 들어 맞춤형 콘텐츠를 제공하는 쿠키가 이에 해당합니다. Iron Mountain 웹사이트에서는 쿠키 배너 또는 브라우저 설정을 통해 일부 쿠키를 관리할 수 있습니다.
  • 어린이 개인 데이터: 당사는 인터넷 사용 시 어린이의 안전에 대해 우려하고 있으며, 미성년자(16세 미만의 어린이, 또는 관련 법률에서 정의하는 기타 연령)로부터 의도적으로 개인 데이터를 수집하지 않습니다.
  • 직접 마케팅(고객, 잠재 고객): 당사는 귀하의 비즈니스 연락처 정보(예: 이메일)를 사용하여 귀하가 관심을 가질 것으로 판단되는 당사의 제품 및 서비스에 대한 정보를 제공할 수 있습니다. 이를 위해 당사는 귀하와 귀하가 근무하는 회사에 당사의 서비스 및 제품에 대한 관련 정보와 적절한 제안을 제공하고 귀하와의 개인적인 커뮤니케이션을 개선하기 위한 목적으로 귀하가 근무하는 회사 또는 당사와의 소통에 대한 비즈니스 관련 정보가 포함된 개인 프로필을 생성할 수도 있습니다. Iron Mountain은 귀하가 사전에 수신에 동의(이하 "수신 동의")한 경우 또는 귀하가 수신을 거부할 때까지만 그러한 커뮤니케이션(예: 이메일 및 또는 전화 연락)을 귀하에게 제공합니다. 마케팅 커뮤니케이션에 대한 동의 철회 또는 수신 거부: 마케팅 커뮤니케이션을 수신하고 있지만더 이상 수신을 원치 않는 경우 동의 철회 또는 수신 거부는 언제든지 여기에서 할 수 있습니다.

당사는 다음 소스에서 개인 데이터를 수집합니다.

  • 고객 및 잠재 고객(법인 및 개인)
  • 고객의 대리자 및 대리인(예: 계약 관리 목적으로 회사를 대리하는 개인)
  • Iron Mountain 웹사이트 방문자
  • 제3자(Iron Mountain의 공급업체)
  • Iron Mountain 회사, 계열사
  • 세무 당국, 법원, 행정 당국 등을 비롯한 공공 집행 당국
  • 관련 법률 및 규정에서 허용하는 범위 내에서 공개적으로 이용 가능한 소스(전문 소셜 미디어, 공식 등록부 등).

데이터 처리자로서의 개인 데이터 수집

당사는 데이터 처리자로서 고객의 개인 데이터를 처리할 때 그러한 개인 데이터의 내용이나 출처를 검토하지 않습니다. 당사는 고객을 대신하여 고객의 지시에 따라서만 그러한 개인 데이터를 수집, 저장 및 처리할 수 있습니다. 이러한 방식으로 당사의 서비스를 이용하는 고객은 데이터 관리자이며, 그러한 정보의 수집 및 사용에 필요한 동의와 허가를 얻고 개인 정보 보호 고지문을 제공할 책임이 있습니다.

당사는 개인 데이터를 내부적으로(Iron Mountain 회사 그룹 내에) 및 외부적으로(당사의 공급업체, 고문, Iron Mountain의 비즈니스 파트너 등의 제3자에) 공유할 수 있습니다. 관련 법률 및 규정에 따라 당사는 이 섹션에 설명된 방식으로 개인 데이터를 공유 및/또는 공개할 수 있습니다.

내부 공유: Iron Mountain은 미국 매사추세츠주 보스턴에 본사를 두지만, 전 세계에서 비즈니스를 운영하고 있습니다. 따라서 당사는 개인 정보 보호를 염두에 두고 비즈니스 목표를 달성하기 위해 이 고지문에 따라, 그리고 이 고지문에 설명된 대로 개인 데이터를 다른 Iron Mountain 자회사와 공유할 수 있습니다.

외부 공유: 또한 당사는 다음과 같은 제3자와 개인 데이터를 공유할 수 있습니다.

  • Iron Mountain 공급업체: Iron Mountain에 서비스를 제공하려면 개인 데이터를 처리해야 할 수 있습니다(예: 고객 관계 관리 도구 또는 일반 IT 지원 제공, 마케팅 자료 배포 등). 이 경우 이러한 업체는 당사를 위한 서비스 제공을 목적으로 그리고 Iron Mountain의 지시에 따라 개인 데이터를 수신하고 처리할 수 있습니다.
  • 매각, 합병, 비즈니스 양도 또는 사업부 분할을 위해 기타 제3: 여기에는 실사 심사 목적도 포함되며, 이 경우 Iron Mountain의 컨설턴트 또는 재무 감사자에게 개인 데이터를 공개해야 할 수도 있습니다.
  • 공공기관: 또한 당사는 법적 의무에 따라 귀하의 허락 없이도 개인 데이터를 공개할 수 있습니다. 이러한 공개에는 (a) 공공기관, 규제 당국, 법 집행 당국의 합법적인 요청에 대응하고, (b) Iron Mountain의 권리와 재산을 보호하기 위한 목적이 포함됩니다.

Iron Mountain 데이터 공유 기준

당사는귀하의 동의 없이 개인 데이터를 공유하지 않습니다. 단, 다음의 경우는 예외입니다. (a) Iron Mountain의 합법적인 비즈니스 목적을 달성하기 위한 경우(예: 공급업체가 제공하는 서비스 이용), (b) 공공기관의 승인된 요청에 대응하는 경우, (c) 관련 법률 및 규정을 준수하기 위한 경우, (d) Iron Mountain의 권리와 재산을 이행/보호하는 경우, 또는 (e) 관련 법률에 따라 허용되는 경우와 각 경우에 따라 당사 직원 그리고 Iron Mountain 재산을 사용하는 기타 개인의 권리를 보호하기 위한 경우. 당사는 절대로 개인 데이터를 판매하지 않습니다.

개인 데이터는 전 세계의 다른 Iron Mountain 회사 및 자회사, 제3자에게 전송되거나 액세스될 수 있습니다. 수신자는 발송국의 관점에서 개인 데이터에 대해 적절한 수준의 보호를 제공하지 않는 국가에 위치할 수 있습니다.

당사는 전송되는 개인 데이터가 발송국의 해당 데이터 보호법에서 요구하는 바에 따라 적절하게 보호되도록 보장합니다. 개인 데이터를 전송하는 동안 당사는 일반적으로 다음 중 하나 이상을 사용합니다.

  • 적용 가능하고 관련이 있는 개인 데이터의 국제 전송에 대한 표준계약 조항(Standard Contractual Clauses, "SCC")(예: EU/UK/스위스 개인 데이터를 미국, 인도 등의 국가로 전송하는 경우). 적절한 보호 조치에 대한 자세한 정보를 받거나 검토를 위해 SCC 사본을 받고 싶은 경우 global.privacy@ironmountain.com으로 당사에 문의하시기 바랍니다.
  • 관련 법률이 요구하는 경우 당사는 개인 데이터 전송에 대한 귀하의 동의를 요청합니다.
  • Iron Mountain은 회사 그룹 내에서 개인 데이터의 전송 및 처리에 관한 회사 간 계약을 이행하여 개인 데이터의 내부 전송을 지원합니다.
  • Iron Mountain은 EU-미국 및 스위스-미국 Privacy Shield 프레임워크의 원칙을 준수하지만, EU 법률에 따라 Iron Mountain은 개인 데이터 전송의 법적 근거로서 EU-미국 프라이버시 쉴드 프레임워크에 더 이상 의존하지 않습니다.

당사는 이 고지문에 설명된 바와 같이 수집 목적에 합리적으로 필요한 기간 동안 개인 데이터를 보관합니다. 당사는 법률, 규제, 세금 또는 회계 요건에서 요구하는 경우와 같이 일부 상황에서는 개인 데이터를 더 오랫동안 보관할 수 있습니다. 특정 상황에서 당사는 불만 사항이나 이의가 제기될 경우, 또는 귀하의 개인 데이터 또는 거래와 관련하여 소송이 제기될 가능성이 있다고 합리적으로 판단되는 경우 당사와의 거래에 대한 정확한 기록을 확보하기 위해 개인 데이터를 더 오랫동안 보관할 수 있습니다.

당사가 당사의 제품 및 서비스에 대한 마케팅 정보를 제공하기 위해 개인 데이터를 확보한 경우 귀하가 그러한 정보를 수신하기로 마음을 바꾸지 않는 한 개인 데이터는 당사에서 보관하며, 법에서 요구하는 경우 당사의 커뮤니케이션 이후 귀하가 당사의 제품 및 서비스에 관심을 보이지 않으면(즉 비활성 상태이면) 개인 데이터를 더 일찍 삭제하여 향후 마케팅 목적으로 귀하에게 연락하지 않도록 합니다. 당사는 당사가 보관하는 기록에 적용하는 데이터 보존 고지문을 유지합니다. 개인 데이터가 더 이상 필요하지 않은 경우 당사는 전자 파일을 지우고 물리적 기록물을 파쇄하여 삭제하거나 귀하를 더 이상 식별할 수 없는 방식으로 익명화합니다. Iron Mountain에는 보존 규정을 준수하기 위한 전용 내부 정책이 마련되어 있습니다.

당사는 항상 최고의 보안 기준에 따라 개인 데이터를 보호합니다. 당사는 개인 데이터를 분실 또는 무단 사용, 액세스 또는 공개로부터 보호하기 위해 항상 적절한 기술적, 조직적 및 관리적 조치를 적용합니다. 당사가 취하는 조치에는 직원 및 서비스 제공업체에 기밀 유지 요건을 부과하고, 수집 목적을 위해 더 이상 필요하지 않은 경우 개인 데이터를 파기하거나 영구적으로 익명화하는 것 등이 포함됩니다. 당사는 항상 최신 시장 표준 규범(예: ISO(International Organization for Standardization) 규범)을 확인하고, 개인 데이터 보호와 관련된 위험에 적합한 보안 조치를 최신 상태로 유지합니다.

당사는 귀하의 데이터 주체/소비자 권리를 존중하며, 관련 개인 정보 보호법에 규정된 대로 귀하는 다음에 관한 권리를 행사할 수 있습니다.

  1. 개인 데이터에 대한 액세스 및 사본 수령 – 당사는 권한이 없는 사람에게 개인 데이터가 공개되는 것을 방지하기 위해 먼저 귀하의 신원을 확인해야 할 수 있으며, 귀하의 개인 데이터에 대한 액세스 권한 또는개인 데이터 사본을 제공할 때 다른 개인의 개인 정보 보호 권리도 존중합니다.
  2. 개인 데이터 수정 또는 삭제 – 데이터가 부정확하거나 불완전한 경우
  3. 개인 데이터 처리 제한 – 예를 들어 귀하가 개인 데이터의 처리에 관해 의문을 제기하는 경우 당사는 귀하의 요청이 확인될 때까지 처리를 제한합니다.
  4. 개인 데이터 삭제 또는 익명화(GDPR "잊힐 권리"를 따름) - 예외(예: 법률에서 허용)가 발생하지 않는 경우에 한함
  5. 소위 "데이터 이동성" 보장 - 귀하의 요청 시 Iron Mountain은 개인 데이터 처리가 귀하의 동의 또는 계약 이행에 기반하는 경우 개인 데이터를 다른 조직/회사로"전송"할 수 있습니다.
  6. 개인 데이터 처리에 대한 이의 제기 - 예를 들어 당사가 당사의 합법적 이익에 따라 또는 직접 마케팅 목적으로 개인 데이터를 처리하고 그러한 처리가 자동화된 수단에 의해 수행되는 경우
  7. 관할권 외부로의 전송에 적용되는 개인 정보 보호 조치의 사본을 받을 권리(예: SCC 사본)
  8. 현지 감독 당국에 불만 사항 제기: 데이터 보호 당국(예: 영국의 ICO(Information Commissioner's Office))
  9. 개인 데이터 처리에 대한 동의를 철회할 권리(단, 철회 이전의 동의에 근거한 개인 데이터 처리의 적법성에는 영향을 미치지 않음)

법적 및 기타 허용되는 고려 사항에 따라 당사는 가능한 한 빠른 시일 내에(어떠한 경우에도 법에서 요구하는 기간 내에) 귀하의 요청에 응답하며, 귀하의 요청을 이행하기 위해 추가 정보가 필요한 경우 귀하에게 알리기 위해 모든 합리적인 노력을 기울입니다. 때에 따라 개인 데이터의 액세스 또는 관리에 관한 귀하의 권한은 관련 법률이 요구하거나 허용하는 바에 따라 제한될 수 있습니다. 당사는 요청된 개인 데이터를 귀하에게 공개하기 전에 귀하의 신원 확인 및 보안을 위해 추가 정보를 요청할 수 있습니다. 또한 당사는 귀하의 요청이 명백한 근거가 없거나 과도한 경우 법이 허용하는 테두리 내에서 수수료를 부과할 수 있습니다.

개인 정보 보호와 관련하여 우려, 불만 또는 질문 사항이 있는 경우 아래 연락처로 당사에 문의하시기 바랍니다.

글로벌 개인 정보 보호 및 규정 준수팀
글로벌 개인 정보 보호 담당자
Iron Mountain 데이터 보호 담당자
global.privacy@ironmountain.com

지역과 국가를 선택하면 여기(Crozier 법인은 여기)에서 현지 자회사의 이름과 연락처 정보를 모두 확인할 수 있습니다. 당사는 귀하의 불만 사항이 적시에 적절한 방식으로 해결하기 위해 노력하며 귀하의 요청과 불만 사항을 기밀로 취급합니다. 당사의 담당자는 귀하의 불만 사항을 접수한 후 귀하의 요청에 대한 해결 기한이 명시된 현지 규정이 있는지 확인하고 합리적인 시간 내에 귀하에게 연락합니다.

당사는 이 개인 정보 보호 고지문의 개정 버전을 언제든지 게시할 수 있으며, 그 경우 이 문서에 명시된 개정 날짜를 통해 업데이트합니다. 각 Iron Mountain 웹사이트의 개인 정보 보호 고지문/정책 링크를 통해 이 개인 정보 보호 고지문의 최신 버전으로 쉽게 이동할 수 있습니다.