에어프랑스 개인정보 보호정책
개인정보 보호
에어프랑스는 고객이 에어프랑스의 서비스, 특히 에어프랑스 웹사이트 혹은 모바일 앱을 통해 제공하는 서비스를 이용할 때 고객의 개인정보를 수집하고 처리합니다. 본 개인정보 보호정책(‘정책’)은 특히 고객이 예약, 항공권 구매, 에어프랑스와 함께 여행, 에어프랑스 서비스 구매 혹은 사용, 에어프랑스 웹사이트 방문, 에어프랑스 모바일 앱 사용 시 혹은 사용 가능한 다양한 채널을 통해 에어프랑스와 상호작용할 때 에어프랑스가 처리하는 모든 데이터에 적용됩니다. 자신과 관련된 개인정보의 처리, 개인정보를 보호하기 위해 사용된 수단, 자신의 권리를 행사할 수 있는 방법에 대해 완전히 알 수 있도록 본 정책과 특히 에어프랑스 로열티 프로그램의 회원이신 경우 플라잉 블루 개인정보 보호정책과 같이 자신에게 적용될 수 있는 기타 모든 정책을 숙지하는 것이 중요합니다. 본 정책은 계약이 아니며, 어떠한 계약상의 의무도 발생하지 않습니다.
본 정책에서 ‘에어프랑스’는 프랑스국 45, rue de Paris, 95 747 Roissy CDG cedex에 본사가 있는 프랑스 항공사, AIR FRANCE사를 의미합니다. 자세한 내용은 에어프랑스 웹사이트의 전용 페이지를 참조하시기 바랍니다. ‘KLM’은 네덜란드 Amsterdamseweg 55, 1182 GP Amstelveen에 본사가 있는 네덜란드 항공사 Koninklijke Luchtvaart Maatschappij NV (KLM Royal Dutch Airlines 또는 KLM이란 이름으로도 운영됨)를 의미합니다. 자세한 내용은 KLM 웹사이트(www.klm.com)의 ‘KLM 정보’를 참조하시기 바랍니다. 에어프랑스와 KLM은 AIR FRANCE-KLM 그룹의 회사입니다. 에어프랑스는 KLM과 공동으로 플라잉 블루 및 BlueBiz 로열티 프로그램을 제공합니다. 프로그램 실행의 일환으로 에어프랑스와 KLM은 개인정보 처리에 대해 공동으로 책임을 지며, 각각의 책임은 합의에 의해 결정됩니다. 이 프로그램에 따른 고객의 개인정보 처리와 관련된 권리를 행사하려면 플라잉 블루 개인정보 보호정책 혹은 본 정책의 제9절 “권리 행사 방법”에 명시된 방법으로 에어프랑스 혹은 KLM의 데이터 보호 부서에 문의하실 수 있습니다. 에어프랑스는 고객의 권리 행사를 용이하게 하고 고객이 가질 수 있는 질문이나 불만을 처리하기 위해 KLM과 긴밀히 협력하고 있습니다. 플라잉 블루 프로그램과 관련된 개인정보 처리에 대한 정보는 플라잉 블루 웹사이트의 개인정보 보호정책 섹션에서, BlueBiz 프로그램과 관련된 개인정보 처리에 대한 정보는 본 정책과 KLM 개인정보 보호정책 섹션에서 찾을 수 있습니다.
개인정보 보호는 에어프랑스의 주요 관심사 중 하나이며, 에어프랑스가 서비스 사용을 통해 제공하고자 하는 경험의 중심에 있습니다. 에어프랑스는 고객, 잠재 고객, 웹사이트 혹은 모바일 앱 사용자 및 에어프랑스의 데이터 처리와 관련된 모든 데이터 주체의 개인정보에 대해 최고 수준의 보호를 보장할 것을 약속합니다. 에어프랑스는 모든 개인정보 처리에 적용되는 규정, 특히 1978년 1월 6일의 ‘정보 처리 축적 및 자유’에 관한 프랑스 법률의 개정된 규정과 유럽연합 일반개인정보보호법(EU 2016/679 규정 혹은 GDPR)을 준수할 것을 약속합니다. 에어프랑스는 특히 다음과 같은 원칙을 준수할 것을 약속합니다. · 개인정보는 합법적이고 공정하며 투명한 방식으로 처리할 것(합법성, 공정성, 투명성). · 개인정보는 지정된 명시적이고 합법적인 목적으로만 수집하고, 추후 이 목적에 맞지 않는 방식으로 처리하지 않을 것(목적 제한)). · 개인정보는 적절하고 관련성 있는 방식으로 보관하고 처리 목적에 비추어 필요한 것으로 제한할 것(데이터 최소화)). · 개인정보는 정확하고 최신 상태를 유지해야 하며, 데이터 처리 목적에 비추어 부정확한 데이터는 삭제 혹은 업데이트할 수 있도록 모든 조치를 취할 것(정확성)). 에어프랑스는 직원들의 인식을 제고하고 조직 내에서 이러한 규칙을 준수하도록 적절한 내부 절차를 실행할 것을 약속합니다. 에어프랑스는 또한 개인정보 처리 작업의 설계 단계에서부터 적절한 보안 수준을 보장하고 개인정보를 보호하기 위해 기술적 및 조직적 차원에서 적절한 조치를 취할 것을 약속합니다. 마지막으로, 에어프랑스는 하청업체에도 계약을 통해 동일한 수준으로 개인정보를 보호할 것을 요구합니다. 에어프랑스는 이러한 규칙이 제대로 지켜지고 있는지 감시하기 위해 프랑스의 개인정보 보호기관인 국가정보처리자유위원회(CNIL)의 주요 연락 담당자로 데이터 보호 책임자(DPO)를 임명했습니다. 운송계약을 이행하는 동안 발생하여 항공편의 안전이나 보안을 훼손할 수 있는 모든 사태는 정보를 기록하고 제소할 수 있으며, 3년 동안 에어프랑스가 운항하는 항공편에서 운송이 금지될 수 있습니다.
6.1. 일반 사항 에어프랑스는 서비스 제공을 보장하고 많은 국가에서 펼쳐온 활동을 토대로 모든 목적지에 대해 동일한 경험을 제공하기 위해 내부 및 외부 당사자와 고객의 개인정보를 공유해야 합니다. 에어프랑스 내에서 고객의 데이터는 승무원, 고객 만족 센터 직원, 영업 부서, 운영 직원, IT 부서 등 정식으로 자격을 갖춘 직원에 의해 처리됩니다. 에어프랑스는 또한 제6.2항에 설명된 목적을 위해 KLM을 포함한 그룹 소속 회사, 제휴 항공사, 여행사, 결제 서비스 제공업체, 서비스 제공업체, 하청업체 등과 같은 제3자에게 고객의 데이터를 전송할 수 있습니다. 이와 관련하여 에어프랑스는 모든 하청업체에 관련 규정과 본 정책에 따라 처리되는 개인정보에 대해 엄격한 기밀 및 보호 조치를 취할 것을 요구합니다. 6.2 제3자와 데이터 공유 에어프랑스는 다음과 같은 목적을 위해 고객의 개인정보를 제3자에게 전송하거나 함께 공유할 수 있습니다. a) 원활한 예약 및 여행 실현을 위하여 에어프랑스는 고객의 구매, 예약 혹은 여행 준비를 관리하기 위해 에어프랑스를 대신하여 이 정보를 처리하거나 에어프랑스를 도와 전 세계에 서비스를 제공하는 제3자뿐만 아니라 공항 관리공단, 예약 시스템 공급업체(GDS 혹은 기타 기술) 혹은 여행사와 같이 여행 실현에 관련된 기타 회사와 고객의 개인정보를 공유할 수 있습니다. 자세한 내용은 이러한 제3자의 개인정보 보호정책을 참조하시기 바랍니다. 고객의 예약 및 여정에 포함된 항공편에 따라 일부 항공편을 운항하는 다른 항공사와도 고객의 데이터를 공유할 수 있습니다. 에어프랑스가 속한 그룹의 항공사일 수도 있고 스카이팀 회원사를 포함한 외부 제휴업체일 수도 있습니다. 이 공유는 여행을 실현하는 데 필요할 뿐만 아니라 전체 여정에 대해 서비스의 연속성 및 ‘상용 고객’ 등급에 대한 인정을 보장하거나, 특히 예기치 못한 악천후 발생 시 예약 관리를 용이하게 하거나, 얼라이언스의 모든 항공편 운항에 대해 안전과 보안을 보장할 수 있습니다. 그룹에 속한 회사와 제휴 항공사에 대한 자세한 내용은 에어프랑스 웹사이트(corporate.airfrance.com)를 참조하시기 바랍니다. 제4절 “개인정보 수집 방법”의 b)항도 참조하시기 바랍니다. b) 운영 지원 및 서비스 제공 에어프랑스는 서비스 제공을 위해 특정 IT 서비스 제공업체, 소셜 네트워크 제공업체, 마케팅 대행사 혹은 외부 사기 탐지 및 예방 서비스와 같은 다른 유형의 제3자도 사용합니다. 에어프랑스의 모든 하청업체와 마찬가지로 이 제3자도 고객의 개인정보를 적절히 보호하고 관련 규정 및 본 정책의 지침에 따라서만 처리해야 합니다. 에어프랑스-KLM 그룹 내에서 데이터 처리는 그룹의 한 회사가 그룹의 다른 회사를 대신하여 호스팅과 관리를 담당하는 중앙집중식 데이터베이스 및 시스템에 의해 이루어집니다. 또한 여행 관련 서비스 외에도 효율성을 위해 그룹의 한 회사가 다른 회사를 위해 특정 운영 및 상업적 기능을 수행할 수 있습니다. 이는 그룹의 회사가 데이터를 처리하는 과정에서 고객의 개인정보에 액세스할 수 있음을 의미합니다. 그룹의 회사들은 이러한 활동과 본 정책에 따라서만 고객의 개인정보를 처리할 수 있습니다. c) 로열티 프로그램 및 관련 혜택 관리 자세한 내용은 제1절 “회사 소개”와 제4절 “개인정보 수집 방법”의 c)항을 참조하시기 바랍니다. d) 온라인 서비스 및 모바일 앱 개선 자세한 내용은 제5절 “개인정보를 사용하는 목적”의 c)항을 참조하시기 바랍니다. e) 기업 고객 계정 및 출장 정책 관리 고용주의 비즈니스 계정을 사용하여 항공편을 예약하는 경우, 고용주는 항공권 요금, 여행일자 및 목적지와 같은 특정 예약 정보에 액세스할 수 있습니다. 고용주는 개인정보를 처리하는 방식에 대해 책임이 있습니다. f) 결제 및 환불 처리 에어프랑스는 고객의 구매 및 예약에 대한 결제 및 환불을 처리하기 위해 은행, 금융기관 혹은 결제 서비스 제공업체와 같은 제3자에게 특정 데이터를 전송할 수 있습니다. 대부분의 경우, 결제 서비스 제공업체에서 사기 방지 검사도 수행합니다. 이러한 제3자는 개인정보를 사용하는 방식에 적용되는 자체 개인정보 보호정책을 가지고 있습니다. g) 소셜 네트워크 플랫폼을 통한 맞춤형 마케팅 자세한 내용은 제5절 “개인정보를 사용하는 목적”의 c)항을 참조하시기 바랍니다. h) 제휴업체가 고객에게 서비스를 제공하고 고객의 요구에 맞게 조정할 수 있도록 하기 위해 에어프랑스는 에어프랑스를 통해 액세스할 수 있는 서비스 혹은 제품(예: 다른 항공사의 항공편, 호텔 숙박 혹은 렌터카)을 제공하는 제3자에게 고객의 정보를 전달할 수 있습니다. 에어프랑스는 또한 개인화되지 않은 특정 정보(예: 목적지, 여행 날짜 및 기간)를 이 제휴업체와 공유하여 고객에게 맞게 서비스를 조정하여 개선하도록 할 수 있습니다. 이 경우, 정보 교환은 신뢰할 수 있는 제3자를 통해 이루어집니다. 에어프랑스 제휴업체도 개인정보를 사용하는 방식에 적용되는 자체 개인정보 보호정책을 가지고 있습니다. 6.3 특정 서비스, 앱, 이벤트, 캠페인 혹은 콘테스트 에어프랑스는 일반적인 서비스 외에도 고객 경험을 향상시키기 위해 특정 서비스, 앱, 이벤트, 캠페인, 게임 혹은 경품 행사를 제공하는 경우 본 정책에 설명된 것과 다른 제3자와 고객의 데이터를 공유할 수 있습니다(예: 제휴업체와 함께 캠페인 혹은 이벤트를 조직하거나 제휴업체의 서비스를 에어프랑스 앱에 통합하는 경우). 이 경우, 고객이 앱을 다운로드하거나 서비스, 이벤트, 캠페인 혹은 경품 행사에 해당 양식을 사용하여 등록할 때 해당 규정과 특정 개인정보 보호정책에 따라 이 데이터 처리와 관련된 정보를 고객에게 전달할 수 있습니다. 6.4. 공공기관 다른 모든 항공사와 마찬가지로 에어프랑스는 프랑스 및 국제 법률과 규정에 따라 국경 통제, 이민 절차, 입국 절차, 테러 방지 혹은 기타 모든 중대 범죄 방지를 위해 신원 확인 데이터(예: 여권 관련 정보)와 예약 및 여행 정보를 수집하여 프랑스 혹은 출발지 혹은 도착지 공공기관과 공유해야 할 법적 의무가 있을 수 있습니다. 1978년 1월 6일의 정보처리 축적 및 자유에 관한 법률 제78-17호의 개정된 규정 및 프랑스 국가안전보장법전 제L.232-7조에 따라, 에어프랑스가 운항하는 프랑스발 비유럽연합 회원국행 혹은 비유럽연합 회원국발 프랑스행 항공편과 관련하여 에어프랑스는 다음 데이터가 처리 방법에 따라 그리고 2014년 9월 26일자 법령 제2014-1095호에 명시된 목적을 위해 승객정보단(PIU)에 전송될 수 있음을 알려드립니다. 사전 승객 정보(Advanced Passenger information, API): 체크인 시 수집된 신원 확인 데이터 및 여행 관련 데이터, 승객 이름 기록(Passenger Name Record, PNR): 승객정보단(PIU)에 자동으로 전송되는 예약 데이터. 승객정보단(Passenger Information Unit, PIU)은 항공사, 여행사, 항공기의 전체 혹은 일부를 전세낸 투어 오퍼레이터가 전송하는 항공 승객 데이터를 수집하는 프랑스 행정부의 서비스입니다. 자세한 내용은 API-PNR 프랑스 웹사이트를 참조하시기 바랍니다: PNR 데이터 사용에 대한 2016년 4월 27일자 유럽연합 지침 제2016/681호의 적용과 관련하여 이 정보를 수집하는 기타 유럽연합 회원국의 목록은 다음 링크를 참조하십시오: https://ec.europa.eu/home-affairs/news/list-member-states-applying-pnr-directive-intra-eu-flights_en 에어프랑스는 또한 공중 보건 목적을 위해 여행 경로에 있는 국가의 공공기관과 일부 고객 데이터를 법적으로 공유해야 할 수 있습니다(위의 제3.1.d절 참조) 경우에 따라, 해당 정보의 공개가 시행 중인 법률, 규정 혹은 법적 절차(예: 소환장 혹은 법원 명령)에 의해 요구되고, 소송에서 에어프랑스와 제3자의 권리를 보호 혹은 방어하거나 공중 보건 및 안전 분야에서 공익상의 이유로 필요한 경우, 에어프랑스는 공공기관, 경찰관, 법원 혹은 기타 승인된 제3자에게 일부 데이터를 전송해야 할 수도 있습니다. 6.5. 제3자 웹사이트 에어프랑스 웹사이트와 모바일 앱에는 제3자 웹사이트에 대한 링크가 포함되어 있습니다. 이 링크를 클릭하면 에어프랑스 웹사이트와 모바일 앱을 벗어나게 됩니다. 본 개인정보 보호정책은 제3자의 웹사이트에 적용되지 않습니다. 이러한 제3자가 개인정보를 처리하는 방법에 대한 자세한 내용은 해당 개인정보 보호정책 및/혹은 쿠키 관리 정책을 참조하시기 바랍니다.
에어프랑스는 본 정책의 제5절에 설명된 대로 데이터를 처리하는 데 필요한 기간 이상으로 고객의 개인정보를 보관하지 않을 것을 약속합니다. 이 보관 기간은 데이터의 처리 목적에 따라 설정되며, 특히 특정 범주의 데이터에 대해 정확한 보존 기간을 강제하는 해당 법률 조항, 프랑스 데이터 보호 기관인 국가정보처리자유위원회(CNIL)의 특정 처리 범주에 대한 제한 기간 및 권장 사항을 고려합니다.
10.1 에어프랑스가 드리는 약속 고객이 제공하는 개인정보의 보안과 기밀성을 보장하는 것은 에어프랑스의 최우선 과제입니다. 따라서 에어프랑스는 해당 법률 조항(특히 GDPR 제32조)에 따라 고객이 제공하는 개인정보의 성격과 범위, 맥락 그리고 개인정보를 처리하는 과정에서 제기되는 위험을 고려하여 개인정보의 보안을 유지하고, 특히 개인정보에 대한 우발적 혹은 불법적인 파괴, 손실, 변조, 공개, 침입 혹은 무단 액세스를 방지하기 위해 기술적 및 조직적 차원에서 필요한 모든 조치를 취하고 있습니다. 10.2 에어프랑스의 보안 조치 은행 거래 에어프랑스는 PCI 보안 표준 협의회(‘PCI SSC’)에서 제정한 결제 카드 산업을 위한 데이터 보안 표준((‘PCI DSS 표준’)을 준수해야 합니다. 이 표준은 결제 수단의 부정 사용을 줄이기 위해 카드 소유자의 정보에 대한 통제를 강화하기 위해 만들어졌습니다. 신용카드 데이터를 처리해야 하는 모든 에어프랑스 서비스 제공업체는 PCI DSS 표준을 준수해야 합니다. 에어프랑스는 인터넷에서 이루어지는 신원 도용을 방지하기 위해 최선을 다하고 있습니다. 이 때문에 에어프랑스는 신용카드 결제에 대해 사기 적발 시스템을 사용합니다. 이 시스템은 신용카드를 분실하거나 도난당한 경우 소유자를 보호하기 위한 것입니다. 개인정보 보호 에어프랑스는 고객이 에어프랑스에 제공하는 개인정보의 보안을 매우 중요하게 여기고 있으며, 이에 따라 에어프랑스 직원의 인식과 책임감을 높이기 위해 조직 차원에서 다양한 조치를 취하고 있습니다. 회사 내 전용 프로그램은 이러한 인식과 모범 사례 및 보안 표준의 공유를 보장합니다. 이러한 맥락에서 정보 보안 및 개인정보 보호에 대한 많은 문서가 제공됩니다. 에어프랑스는 또한 고객이 에어프랑스에 제공하는 개인정보와 그 처리에 따른 위험의 성격에 적절한 기술적 조치를 취하고 있습니다. 따라서 에어프랑스는 고객의 개인정보를 호스팅하거나 처리하는 내부 서버에 대한 물리적 및 논리적 액세스를 엄격하게 통제합니다. 에어프랑스는 사이버 멀웨어의 위험을 방지하고 제한하기 위해 최첨단 하드웨어 장치(방화벽, IDS, DLP 등) 및 아키텍처(보안 TLS 1.2 프로토콜 포함)로 네트워크를 보호합니다. 보안 시스템의 진화 에어프랑스는 모범 사례에 따른 보안 수준을 유지하기 위해 ISO 27000 표준을 비롯한 최상의 표준에 기반을 둔 내부 프로세스를 갖추고 있습니다. 에어프랑스는 최고 수준의 보호를 보장하기 위해 전담 전문가에게 의존합니다. 에어프랑스는 특히 국가정보시스템보안국(Agence Nationale de Sécurité des Systèmes d’Information, ANSSI)과 특수한 관계를 유지하고 사이버 보안 분야에서 프랑스를 대표하는 기관의 지원을 받고 있습니다. 10.3 자신을 보호하는 방법 개인정보의 보안과 기밀성은 각자의 모범 사례 실천에 달려 있습니다. 예약 시 파일 번호가 제공됩니다. 이 예약 번호는 항상 기밀로 유지되어야 합니다. 다른 승객에게 이를 공개하면 에어프랑스 혹은 여행을 조직하는 데 참여하는 제3자(예: 여행사 혹은 온라인 검색 및 예약 사이트)의 시스템을 통해 고객의 예약 정보에 액세스할 수 있습니다. 다른 사람과 함께 여행하는 경우 동일한 예약으로 개인정보가 공개되는 것을 원하지 않으면 따로 예약하는 것이 좋습니다. 에어프랑스 서비스에 액세스하는 데 사용하는 암호를 제3자에게 알리지 말고, 특히 공용 기기를 이용하여 인터넷에 접속하는 경우에는 작업을 마칠 때 자신의 프로필과 소셜 미디어 계정(특히 계정이 연결된 경우)에서 반드시 로그아웃하고 브라우저 창을 닫아야 합니다. 그러면 다른 사용자가 고객의 개인정보에 액세스할 수 없습니다. 연결된 해킹의 위험을 방지하려면 사용하는 모든 온라인 서비스에 대해 서로 다른 암호를 사용하는 것이 좋습니다. 에어프랑스 서비스에서 관리하지 않는 플랫폼에서 ID를 도난당한 경우 에어프랑스는 책임을 지지 않습니다. 또한 에어프랑스에서 발행한, 개인정보가 포함된 모든 문서(탑승권, 항공권 번호 등) 혹은 여행과 관련된 기타 모든 정보를 제3자에게 알리거나 소셜 네트워크에 게시하지 않는 것이 좋습니다. 이 경우, 고객은 특히 제3자가 관리하는 소셜 네트워크에 적용되는 이용약관, 정보 보안 관행 및 개인정보 보호정책을 읽고 이해할 책임이 있으며, 에어프랑스는 해당 플랫폼에서 정보가 처리, 저장 혹은 공개되는 방식에 대해 책임을 지지 않는다는 것을 이해합니다. IT 보안 모범 사례에 대한 자세한 내용은 IT 보안 포털을 참조하시기 바랍니다. 에어프랑스 웹사이트, 모바일 사이트 혹은 모바일 앱에서 액세스할 수 있는 특정 서비스에 대한 이용약관에는 개인정보 보안에 관한 보다 정확한 조건이 포함될 수 있습니다. 10.4 보안 사고 관리 제로 리스크란 존재하지 않으며, 보안 측면에서 표준으로 인정된 모든 조치를 취하더라도 예기치 않은 일이 발생할 수 있습니다. 따라서 에어프랑스는 최상의 조건에서 보안 사고를 관리할 수 있는 구체적인 절차와 자원을 갖추고 있습니다. 에어프랑스는 또한 개인정보 침해 가능성을 평가하고, 규정에 명시된 기한 내에 이를 관할 당국에 통보하고, 이러한 침해가 중대한 위험을 초래하고 사생활에 영향을 미칠 수 있을 때 이를 알리기 위한 구체적인 절차를 수립했습니다. 보안 시설의 작동과 배치된 절차 및 장치의 적절성을 확인하기 위해 정기적으로 훈련을 실시합니다.
본 정책 혹은 에어프랑스가 고객의 데이터를 처리하는 방식에 대해 기타 궁금하신 사항이 있는 경우 다음 주소로 에어프랑스 개인정보 보호 담당 부서에 문의하시기 바랍니다: mail.data.protection@airfrance.fr.
이 버전은 2021년 5월 15일부터 적용되며, 2021년 3월 1일 버전을 대체합니다. 에어프랑스는 본 정책을 주기적으로 변경할 권리를 보유합니다. 모든 변경 사항은 에어프랑스 웹사이트에 게시됩니다. 정기적으로, 특히 에어프랑스에 새로운 항공편을 예약하실 때 참조하시기 바랍니다.