사생활 및 개인정보 보호
미쉐린은 개인정보 보호가 모든 이해 관계자들과의 관계에 대한 자신감을 제고하는 데 매우 중요하다고 확신합니다. 그룹은 활동에 필요한 데이터만 수집하고 처리할 것을 약속합니다.
정의 및 현황
개인정보는 자연인을 직간접적으로 식별하는 정보입니다.
개인정보는 다음을 포함합니다
- 개인에 대한 직접적인 식별 정보, 사진 또는 호적(성, 이름 등).
- 간접적인 식별 정보: 고유 식별 번호(자동차 번호판, 미쉐린 사번, 휴대전화 번호 등) 또는 여러 정보의 조합(성별, 연령, 직업, 거주도시 등).
모든 개인정보는 보호 대상입니다.
사생활 및 개인정보 보호 규정 수는 최근 몇 년 사이 전 세계적으로 급격히 증가했습니다. 많은 국가에서는 개인정보 규정을 미준수할 경우 매우 중대한 금융 제재 (빈번한 언론 보도)를 비롯해 형사 제재에 의해서도 처벌합니다.
근본 원칙
직원, 고객, 공급업체, 주주, 파트너 또는 협력업체의 개인정보는 법규 및 개인정보 보호 관련 그룹 지침에 따라 처리되어야 합니다.
그룹은 활동에 필요한 데이터만 수집하고 처리할 것을 약속합니다.
법률에 의해 필요하거나 허용되지 않는 한, 어떠한 개인정보도 제3자에게 전달해서는 안 됩니다.
또한 미쉐린은 정보 보호가 주요 경쟁 자산이며 모든 이해 관계자들과의 신뢰 관계를 제고하는 수단이라고 확신합니다.
개인정보 보호는 모든 사람이 함께 할 때 비로소 보장됩니다.
내가 해야 하는 일
- 추구하는 목표에 필요한 개인정보만을 수집하고 취급하며, 이 목표가 합법적이고 명확하게 정의되어 있는지 확인합니다.
- 개인정보 수집 및 사용이 관련자에게 제공되는 정보를 준수하는지 확인합니다. 필요한 경우, 정보 수집 및 사용 대상자의 동의를 얻습니다.
- 자유 입력란에는 관련성 있고 적절하며 과도하지 않은 정보만 작성합니다. 해당 정보를 제공하는 당사자의 입장에서 이러한 정보를 공유하는 것이 불편하지 않을지 자문해봅니다.
- 부정확하거나 불완전한 정보를 파기하거나 수정하고, 정보에 대한 개인의 권리를 존중합니다.
- 합법적 필요성이 있는 승인된 내부 수취인에게만 개인정보를 전송합니다.
- 법적 의무가 있거나 그룹과 관련 협의 계약을 체결한 회사에 한해 개인정보를 외부 전송합니다.
- 타국 또는 국제 송금 관련 데이터 권한을 부여받은 경우 그룹 내에서 적용되는 모든 약정을 읽고 준수합니다. 관련 문서는 인트라넷에서 액세스할 수 있습니다(예: 회사에 대한 구속력 있는 규칙).
- 개인정보의 보안과 기밀을 유지합니다(예: 문서 전송 시 파일 암호화 관련 그룹 보안 규칙 준수).
- 정보 유출(데이터 분실, 승인 받지 않은 액세스, 무단 공개 등) 시 적용되는 절차에 따라 미쉐린 CERT(Computer Emergency Response Team - IT 보안 사고 관리 담당팀)에 알립니다.
- 보유 업무 기능 중 개인정보 취급 기능이 필요한 경우 정기 교육에 참여합니다.
내가 하지 말아야 하는 일
- 데이터 주체가 인지하지 못하는 사이 개인정보를 수집하는 행위.
- 소위 ‘민감한’ 정보(건강 상태, 성적 지향, 정치적 의견, 종교적 신념, 인종 또는 민족)를 해당 인물의 동의 없이 수집하는 행위(법적으로 요구될 때만 가능).
- 법무 부서와 상의하지 않고 다른 국가에 거주하는 사람에게 개인정보 접근권을 주는 행위.
- 추구하는 목적을 위해 개인정보를 필요 이상으로 오래 보관하는 행위.
실제 사례 1
영업팀의 일원인 귀하는 고객과 긴밀한 관계를 맺고 싶습니다. 그룹의 고객 관계 관리 도구에 고객 개인 생활과 관련된 세부 정보를 입력하고 싶습니다. 이렇게 되면 귀하가 부재 시 귀하의 대체 근무자가 해당 정보에 접근할 수 있게 됩니다. 이는 허용된 관행일까요?
아니요. 업무 분야와 관련된 사실적 정보만 수집할 수 있습니다. 또한 민감한 특정 정보(건강 상태, 종교 등) 수집은 엄격히 금지되어 있습니다. 고객이 개인정보 접근을 요청할 수 있다는 점을 기억하십시오.
실제 사례 2
직장에서 동료가 사고를 당했습니다. 귀하는 모든 생산 사이트에 피드백을 제공하고 싶습니다. 그래서 동료의 이름, 직책, 사고 사이트, 부상 및 사고 관련 상세 정보 등을 제공합니다. 동료의 이름만을 언급했으므로 규정을 준수하는 행위일까요?
다음 질문에 답해보아야 합니다.
- 1. 정당한 목적을 추진 중입니까?
- 네. 이러한 피드백을 통해 직원의 안전을 제고하고자 합니다.
- 2. 모든 정보를 반드시 전달해야 합니까?
- 아니요. 사이트, 직급, 이름은 사고 보고에 필요하지 않습니다.
- 개인정보를 익명화할 때는 다음을 항상 자문해야 합니다. “제공된 정보로 해당 인물을 식별할 수 있는가?” 이 경우 직원의 이름 직급, 산업 사이트명 등은 해당 직원을 식별하는 데 충분한 정보입니다.