GDPR 고객 개인정보 부록

1. 소개

본 GDPR 개인정보 처리방침 부록은 Foley & Lardner LLP 고객 개인정보 처리방침의 정보를 보완하며 유럽 경제 지역에 위치한 고객 및 관련 단체에 적용됩니다.  

본 GDPR 고객 개인정보 부록("GDPR 고객개인정보 부록")은 Foley & Lardner LLP 고객 개인정보 고지에 포함된 정보를 보완하며 유럽경제지역, 영국 또는 스위스에 위치한 모든 고객 및 관련 법인에게만 적용됩니다. 당사는 유럽경제지역, 영국 또는 스위스 회원국의 일반 개인정보 보호 규정(2016/679) 및 앞서 언급한 모든 시행법(총칭하여 "GDPR")을 준수하기 위해 본 GDPR 고객 개인정보 보호 부록을 채택하며, GDPR 또는 당사의 고객 개인정보 보호 고지에 정의된 모든 용어는 본 GDPR 고객 개인정보 보호 부록에서 사용될 때 동일한 의미를 갖습니다. 본 GDPR 고객 개인정보 부록은 당사의 고객 개인정보 처리방침에 모순되는 내용보다 우선합니다. 

2. 데이터 관리자, 데이터 보호 책임자 및 대리인

폴리와 당사의 고객은 사안과 관련하여 폴리에 제공된 개인 데이터에 대한 독립적인 데이터 관리자입니다. Foley는 유럽 연합에 데이터 보호 책임자와 대리인을 임명했습니다. 

Foley와 그 고객은 당사가 처리하는 개인 데이터의 독립적인 데이터 컨트롤러입니다. Foley는 일반 데이터 보호 규정에 따라 유럽 연합에 데이터 보호 책임자 및 대리인을 임명했습니다. Foley, 데이터 보호 책임자 또는 대리인은 본 GDPR 고객 개인정보 보호 부록의 "연락처 정보" 섹션에 명시된 방식으로 연락할 수 있습니다. 

3. 고객 및 관련 단체에 대해 당사가 수집하는 정보 및 수집 방법

Foley가 고객 및 관련 단체에 대해 수집하는 개인 데이터는 당사의 개인정보 취급방침에 설명되어 있습니다.

당사가 고객 및 관련 단체에 대해 수집하는 개인정보와 수집 방법은 당사의 개인정보 처리방침에 설명되어 있습니다. 당사가 고객으로부터 수집하는 개인정보는 당사 서비스 계약을 체결하기 위해 필요할 수 있습니다. 고객 또는 관련 법인에 대한 개인 데이터를 제공하지 않을 경우, 해당 사안에 대한 대리권을 고객에게 제공하는 Foley의 능력에 영향을 미칠 수 있습니다.

4. 고객 및 관련 단체의 개인 데이터 처리에 대한 법적 근거

당사는 당사의 정당한 이익(개인의 권리와 자유와 균형을 이루는 경우)을 위한 처리, 고객과의 계약에 따른 의무 이행, 법률에서 요구하는 바에 따른 처리, 고객 또는 관련 단체의 동의 등 개인 데이터 처리에 대한 합법적인 근거가 있습니다. 

고객 및 관련 단체의 개인정보 처리는 GDPR에 따라 허용되는 경우에만 합법적으로 이루어집니다. 당사는 각 처리 활동에 대해 합법적인 근거를 가지고 있습니다(아래에 설명된 예외가 적용되는 경우 제외):

• 동의. 당사의 고객 또는 관련 단체 당사의 고객 또는 관련 단체는 당사에 개인정보를 제공할 때 당사의 고객 개인정보 고지 및 본 GDPR 고객 개인정보 부록에 설명된 대로 당사가 해당 개인정보를 수집, 사용 및 공유하는 데 동의합니다.
  
• 적법한 이익. 당사는 당사의 정당한 이익 또는 고객, 관련 법인 또는 기타 제3자의 정당한 이익을 위해 필요한 경우 개인 데이터를 처리합니다. 이러한 정당한 이익은 고객 및 관련 단체의 이익과 권리 및 자유와 균형을 이루며, 영향을 받는 개인의 이익이나 권리 및 자유가 이러한 정당한 이익보다 더 큰 경우 당사는 개인정보를 처리하지 않습니다. 당사의 정당한 이익은 다음과 같습니다: Foley와 고객 및 기타 관련 법인 간의 커뮤니케이션 촉진, 당사의 법률 수수료 청구 및 징수, 고객 기밀 유지 관련 규칙을 포함한 관련 규칙 준수, 고객에게 법률 서비스 제공;
  
• 계약에 따라 고객에 대한 당사의 의무를 이행하기 위해. 당사는 법률 서비스 제공을 위한 고객과의 계약에 따라 고객에 대한 당사의 의무를 이행하기 위해 고객의 개인 데이터를 처리합니다;
  
• 법률에서 요구하는 경우. 또한 당사는 법률에 의해 요구되거나 허용되는 경우, 정부 검사, 감사 및 정부 또는 기타 공공 기관의 기타 유효한 요청을 준수하기 위해, 소환장 및 기타 유사한 증거 개시 요청과 같은 법적 절차에 대응하기 위해, 또는 당사의 이익을 보호하거나 당사의 법적 권리 및 구제책을 추구하기 위해 필요한 경우(예: 사기 또는 기타 범죄 및 불법 행위를 예방 또는 탐지하고 소송을 방어하며 불만 또는 청구를 관리하는 데 필요한 경우) 개인 데이터를 처리할 수 있습니다. 또한 당사는 고객 기밀 유지와 관련된 규칙을 포함하여 해당 규칙을 준수하기 위해 필요한 경우 개인 데이터를 처리할 수 있습니다. 

5. 특별 정보 카테고리

당사는 고객의 법적 청구권을 설정, 행사 또는 방어하거나 고객에게 법률 서비스를 제공하기 위해 필요한 경우 민감한 것으로 간주되는 일부 개인 데이터를 처리할 수 있습니다.

개인의 인종 또는 민족, 정치적 견해, 종교적 또는 철학적 신념, 노동조합 가입 여부를 드러내는 개인 데이터, 개인의 건강에 관한 개인 데이터, 개인의 성생활 또는 성적 취향 또는 범죄 전과 기록에 관한 데이터 등 Foley가 처리하는 일부 개인 데이터는 민감한 정보로 간주될 수 있습니다. Foley는 고객의 법적 청구권을 확립, 행사 또는 방어하고 해당 사안과 관련된 법률 서비스를 수행하기 위해 필요한 범위 내에서만 또는 관련 법률에 따라 달리 규정된 경우에만 이러한 정보를 처리합니다.  

6. 자동화된 의사 결정

당사는 일반적으로 자동화된 의사 결정 프로세스에 개인 데이터를 사용하지 않습니다.

Foley는 개인에 관한 법적 효과를 발생시키거나 이와 유사하게 개인에게 중대한 영향을 미칠 수 있는 프로파일링을 포함한 자동화된 의사 결정 프로세스에 개인 데이터를 사용하지 않습니다.

7. 고객 및 관련 단체의 정보에 대한 권리 및 정보 접근 및 수정 권한

고객 및 관련 단체는 개인정보에 액세스 및 업데이트하고, 개인정보 사용 방법을 제한하고, 특정 개인정보를 다른 컨트롤러로 이전하고, 언제든지 고객 또는 관련 단체의 동의를 철회할 수 있는 권리, 고객 또는 관련 단체에 대한 특정 개인정보를 삭제하도록 당사에 요청할 수 있는 권리 등 GDPR에 따른 특정 권리를 보유할 수 있습니다. 단, 고객 및 관련 단체의 권리는 당사가 법적 특권을 주장하는 경우를 포함하여 당사의 대리인 역할로 인해 제한될 수 있습니다. 또한 고객 및 관련 단체는 당사의 개인정보 처리에 대해 감독 기관에 불만을 제기할 권리가 있습니다. 

GDPR은 당사의 고객 및 관련 단체에 당사의 개인정보 처리와 관련하여 특정 권리를 부여할 수 있습니다. 그러나 변호사로서의 역할에서 이러한 권리는 법적 특권 주장이 적용되거나 형사 범죄의 예방, 조사, 적발 또는 기소 또는 형사 처벌의 집행을 위해 준수할 수 없는 경우 전체 또는 일부가 제한될 수 있습니다. 이러한 권리는 또한 일부 관할권에서는 당사의 기밀 유지 의무로 인해 제한될 수 있습니다. 이러한 제한에 따라 다음 권리 중 일부 또는 전부가 관련 법률에 따라 제한될 수 있습니다:

• 액세스 및 업데이트. 고객 및 관련 단체는 아래의 연락처 정보로 당사에 연락하거나 당사가 보유한 고객 또는 관련 단체에 관한 개인정보의 변경 또는 오류에 대해 고객의 관계 파트너에게 연락하여 해당 개인정보가 완전하고 정확하며 가능한 한 최신 상태인지 확인함으로써 각자의 개인정보를 검토 및 변경할 수 있습니다. 또한 당사는 법률 또는 법적 요건을 위반하거나 정보가 부정확하다고 판단되는 경우 고객 또는 관계사의 요청을 수용하지 못할 수도 있습니다.
  
• 제한. 고객 및 관련 단체는 특정 상황에서 당사가 자신의 개인정보를 처리하는 것을 제한할 권리가 있습니다. 특히, 고객 및 관련 단체는 고객 또는 관련 단체가 그 정확성에 이의를 제기하는 경우, 고객 또는 관련 단체의 개인정보 처리가 불법으로 판단되는 경우, 해당 고객 또는 관련 단체의 개인정보가 더 이상 처리할 필요가 없지만 법에서 허용하는 대로 보관하고 있는 경우 당사에 그 사용을 제한하도록 요청할 수 있습니다.
  
• 이동성. 고객 또는 관련 단체의 동의에 따라 Foley에 제공된 개인정보가 처리되고 당사가 자동화된 수단을 통해 처리하는 경우, 고객 및 관련 단체는 해당 개인정보의 전부 또는 일부를 구조화되고 일반적으로 사용되며 기계가 읽을 수 있는 형식으로 사본 또는 액세스 권한을 제공하도록 당사에 요청할 권리가 있습니다. 또한 고객 및 관련 단체는 기술적으로 가능한 경우 당사가 해당 개인정보를 다른 컨트롤러로 전송하도록 요청할 권리가 있습니다.
  
• 동의 철회. 당사의 고객 또는 관련 단체 개인 데이터 처리가 해당 고객의 동의를 기반으로 하는 경우, 해당 고객은 폴리와의 계약을 해지함으로써 동의를 철회할 권리를 가질 수 있습니다. 그러나 동의를 철회하더라도 철회 전 고객 또는 관련 법인의 동의에 근거한 처리의 적법성에는 영향을 미치지 않으며, 고객 또는 관련 법인의 개인 데이터 처리에 대한 다른 합법적 근거에 근거한 당사의 계속되는 처리의 적법성에는 영향을 미치지 않습니다.
  
• 잊혀질 권리. 고객은 관련 법률에 정의된 상황에서 모든 고객 및 해당 관련 단체의 개인 데이터를 삭제하도록 당사에 요청할 권리를 가질 수 있습니다. 당사는 해당 사안에 대한 당사의 고객 대리권을 해지하는 경우를 제외하고는 고객 및 관련 단체의 개인 데이터를 삭제할 수 없으며, 관련 법률에 따라 그러한 대리권을 해지하는 것이 허용되는 경우에만 해당 대리권을 해지합니다. 당사는 정보 삭제로 인해 정보가 부정확해지거나 로펌이 고객 및 관련 법인 정보를 보유해야 하는 의무(이해 상충 목적 및 재무 기록 요건 등)를 포함하여 법률 또는 법적 요건을 위반할 수 있다고 판단되는 경우 정보 삭제 요청을 수용하지 않을 수 있습니다. 또한 당사는 회사의 법적 청구권 설정, 행사 또는 방어를 위해 필요한 경우 귀하의 개인정보를 보유할 수 있습니다. 그 외의 모든 경우, 당사는 본 정책에 명시된 대로 고객 및 해당 관련 법인의 개인정보를 보유합니다. 또한 일부 데이터는 이전 백업에 남아 있을 수 있으므로 당사는 고객 및 해당 관계사의 개인정보를 완전히 삭제할 수 없습니다. 이러한 데이터는 당사의 문서 보존 및 정보 거버넌스 정책에 명시된 기간 동안 보존됩니다.
  
• 불만 제기. 고객 및 관련 단체는 거주 국가, 근무 국가 또는 해당 데이터 보호법에 따른 자신의 권리가 침해되었다고 생각하는 국가의 해당 감독 기관에 불만을 제기할 권리가 있습니다. 그러나 그렇게 하기 전에 당사는 고객 및 관련 단체가 당사에 직접 연락하여 개인정보와 관련된 우려 사항을 해결하기 위해 당사와 직접 협력할 수 있는 기회를 제공할 것을 요청합니다.
  
• 고객 및 관련 단체의 권리 행사 방법. 위에 설명된 제한 사항에 따라, 고객 및 관련 단체는 연락처 정보에 나열된 방법 중 하나를 통해 당사에 연락하여 상기 권리를 행사할 수 있습니다. 고객 또는 관련 단체가 상기 권리를 행사하기 위해 당사에 연락하는 경우, 당사는 신원 확인을 위해 추가 정보를 요청할 수 있습니다. 당사는 고객 또는 관련 법인이 신원 확인을 위한 충분한 정보를 제공하지 않거나 법적 특권 주장 또는 당사의 업무상 비밀유지 의무 또는 기타 이에 준하는 의무를 포함하여 당사의 법적 및 사업상 요구사항을 충족하지 못한 경우, 관련 법률에 따라 허용되는 경우 해당 요청을 제한하거나 거부할 권리를 보유합니다. 고객 또는 관련 단체가 근거가 없거나 반복적이거나 과도한 요청을 하는 경우(당사의 합리적 재량에 따라 결정됨), 해당 법률에서 정한 최대 한도에 따라 수수료가 부과될 수 있음을 유의하시기 바랍니다.

8. 미국 내 개인 데이터 처리에 대한 동의

당사는 고객 및 관련 단체의 개인정보를 미국을 포함하여 해당 국가의 외부에서 처리할 수 있습니다. 당사는 법적으로 허용되는 경우와 고객 및 관련 단체의 개인정보를 보호하기 위한 적절한 안전장치를 마련한 경우에만 이를 수행합니다. 

고객 또는 관련 법인이 유럽경제지역("EEA")에 위치한 경우, 당사는 고객에게 법률 서비스를 제공하기 위해 고객 및 관련 법인의 개인정보를 미국을 포함한 EEA 외부로 전송 및 저장할 수 있습니다. 따라서 고객 및 관련 법인의 개인정보는 고객 및 관련 법인의 개인정보에 대해 동등한 수준의 보호를 제공하지 않거나 제공하지 않는 국가를 포함하여 고객이 거주하거나 소재하는 국가 외부로 전송될 수 있습니다. 고객 및 관련 단체의 정보는 미국에서 처리 및 저장될 수 있으며 미국 연방, 주 및 지방 정부, 법원 또는 법 집행기관 또는 규제기관은 미국 법률을 통해 해당 정보를 공개받을 수 있습니다. 당사의 법률 서비스를 이용함으로써 고객은 위의 내용을 읽고 이해했으며, 이에 따라 미국을 포함하여 고객 또는 관련 법인이 거주하거나 위치한 국가 외부에서 개인 데이터를 저장 및 처리하는 데 동의하고 필요한 모든 동의를 얻었으며 그러한 개인 데이터를 Foley에 제공하는 데 필요한 모든 권리를 보유함을 진술합니다. 

고객 및 관련 법인의 개인 데이터는 해당 데이터 보호법에 따라 요구되거나 허용되는 경우에만, 그리고 개인 데이터를 보호하기 위한 적절한 안전장치가 마련되어 있는 경우에만 Foley가 다른 국가로 전송합니다. 고객 및 관련 단체의 개인 데이터를 제3자에게 전송할 때 당사의 고객 개인정보 고지 및 본 GDPR 고객 개인정보 부록에 따라 처리되도록 하기 위해, Foley는 적절하고 필요한 경우, 유럽위원회가 채택한 표준 계약 조항("표준 계약 조항")을 포함하는 Foley와 다른 모든 데이터 수신자 간의 데이터 보호 계약을 사용합니다(해당 시에는 "표준 계약 조항"). 유럽위원회는 표준 계약 조항에 따른 개인정보 전송이 당사의 고객 및 관련 단체의 개인정보를 적절한 수준으로 보호할 수 있지만, 사안별로 추가 조치를 통해 보완해야 할 수 있다고 판단했습니다. 표준 계약 조항은 당사가 적절하고 필요하다고 판단하는 경우 이러한 방식으로 보완되었습니다. 이러한 표준 계약 조항에 따라 당사의 고객 및 관련 단체는 해당 데이터가 제3국으로 전송되지 않은 경우와 동일한 권리를 갖지만, 이러한 권리는 관련 법률 또는 직업적 책임 규정에서 허용하는 변호사로서의 당사의 역할로 인해 때때로 제한될 수 있습니다. 고객 및 관련 단체는 아래 연락처 정보를 통해 당사에 연락하여 데이터 보호 계약의 사본을 요청할 수 있습니다. 

9. 데이터 보존 기간

당사는 내부 문서 보존 정책에 따라 고객 및 관련 단체의 개인정보를 보관합니다. 별도의 지시가 없는 한, 당사는 사안과 관련된 모든 정보를 해당 사안이 종료된 후 최소 10년 동안 보관할 수 있습니다. 당사는 또한 고객 및 관련 단체의 정보를 더 오랜 기간 동안 보관할 수도 있습니다:

• 백업 및 재해 복구 시스템에서 사용할 수 있습니다;
• 당사 또는 당사 고객의 법적 이익을 보호하기 위해 필요한 기간 동안; 그리고
• 기타 법적 요건 또는 직업 행동 규범에 따른 의무를 준수하기 위해.

당사는 해당 사안에서 고객을 대리하는 기간을 포함하여 당사의 내부 문서 보존 정책에 따라 고객 및 관련 법인의 개인 데이터를 보관합니다. 또한 당사는 해당 사안이 종료된 후 최소 10년 동안 개인 데이터를 보유할 수 있습니다. 이 기간 이후에도 당사는 고객 및 관련 법인의 개인정보 및 기타 정보를 보유할 수 있습니다:

• 법적 요건을 준수하는 데 필요한 기간 동안만 사용할 수 있습니다; 
  
• 백업 및 재해 복구 정책과 절차에 따라 백업 및 재해 복구 시스템에 저장합니다;
  
• 당사 또는 당사 고객의 법적 이익을 보호하거나 기타 당사의 법적 권리 및 구제책을 추구하는 데 필요한 기간 동안 보관합니다; 
  
• 직업 행동 규범에 따른 의무를 준수하기 위한 노력
  
• 고객 및 관련 단체를 더 이상 식별할 수 없도록 집계되거나 기타 방식으로 익명 처리된 데이터의 경우 무기한으로 보관됩니다.

10. 본 GDPR 고객 개인정보 부록의 변경 사항

Foley & Lardner LLP는 당사의 재량에 따라 언제든지 고객 개인정보 취급방침에 설명된 대로 본 GDPR 고객 개인정보 부록을 수정할 수 있는 권리를 보유합니다. 당사는 본 GDPR 고객 개인정보 보호 부록()을 변경할 경우 이 웹페이지에 업데이트된 고지를 게시하고 고지의 효력 발생일을 업데이트할 것입니다. 변경 사항이 게시된 후에도 고객이 당사의 법률 서비스를 계속 사용하면 해당 변경 사항을 수락하는 것으로 간주합니다.

11. 연락처 정보

고객 및 관련 단체는 아래 연락처 정보를 통해 당사의 데이터 보호 책임자에게 연락할 수 있습니다. 고객 또는 관련 단체가 당사에 연락하고자 하는 경우 아래 연락처 정보를 통해 당사와 당사의 대리인 모두에게 연락해야 합니다. 

고객 또는 관련 단체가 당사의 개인정보 처리에 대해 궁금한 점이 있거나 관련 법률에 따라 개인정보와 관련된 요청이 있는 경우, 아래 연락처 정보로 개인정보 보호 책임자 또는 데이터 보호 담당자에게 문의하시기 바랍니다. 고객 또는 관련 단체가 당사의 고객 개인정보 처리방침, 본 GDPR 고객 개인정보 부록과 관련하여 질문, 우려, 불만 또는 제안 사항이 있거나 기타 문의 사항이 있는 경우 아래 연락처 정보로 당사(또는 당사의 데이터 보호 사무소) 및 유럽 연합 내 당사의 대리인에게 연락하시기 바랍니다. 

Foley(컨트롤러)에 문의
Foley & Lardner LLP
주소: 법률 고문실/개인정보 보호 책임자
321 N. Clark Street, Suite 2800
Chicago, IL 60654
미국
+1 (833) 701-1071
[email protected] [email protected]

데이터 보호 담당자에게 문의
조셉 에드먼슨
폴리 앤 라드너 LLP
777 E. Wisconsin Avenue
밀워키, WI 53202-5306
미국
+1 (414) 271-2400
[email protected] [email protected]