개인 정보 보호 정책
일반 규정
William Hill의 개인정보 보호정책은 대한민국 데이터 보호법 2018과 EU 일반 데이터보호규정(GDPR)을 기반으로 합니다. 본 정책은 William Hill plc와 그 자회사에서 수집하는 모든 개인정보에 적용됩니다. 데이터 처리의 법적 근거는 계약 이행, 법적 의무 준수, 정당한 이익 추구입니다. 정책 갱신은 분기별로 진행되며, 중대한 변경사항이 있을 경우 사전 고지됩니다. 데이터 보호 책임자는 런던 본사에 상주하며, 각 지역별 담당자가 지정되어 있습니다. 고객 동의 없이 제3자와 정보를 공유하지 않으며, 법적 요구사항 충족을 위한 경우는 예외로 합니다. 모든 개인정보는 대한민국과 EU 역내 서버에 저장됩니다.
정책에서 사용되는 기본 개념
개인정보는 식별된 또는 식별 가능한 자연인과 관련된 모든 정보를 의미합니다. 데이터 처리는 수집, 기록, 저장, 구성, 변경, 검색, 활용, 전송, 삭제 등을 포함합니다. 정보주체는 William Hill 서비스를 이용하는 모든 고객을 지칭합니다. 민감정보는 인종, 종교, 건강상태 등 특별한 보호가 필요한 정보를 의미합니다. 프로파일링은 자동화된 개인정보 처리를 통한 분석을 말합니다. 데이터 이전은 제3국이나 국제기구로의 개인정보 전송을 의미합니다. 가명화는 추가 정보 없이는 특정 개인을 식별할 수 없도록 처리하는 것을 말합니다. 암호화는 승인된 당사자만이 접근할 수 있도록 정보를 변환하는 과정입니다.
데이터 유형 | 보관 기간 |
계정 정보 | 계정 폐쇄 후 6년 |
거래 기록 | 최종 거래 후 5년 |
통신 내용 | 최종 연락 후 2년 |
로그인 기록 | 생성 후 1년 |
마케팅 동의 | 철회 시까지 |
운영자의 기본 권리와 의무
William Hill은 개인정보 처리에 관한 모든 결정권을 보유합니다. 정보보호 정책 준수 여부를 정기적으로 감사하고 문서화해야 합니다. 보안 사고 발생 시 72시간 이내에 관련 당국과 정보주체에게 통지해야 합니다. 직원들에게 정기적인 데이터 보호 교육을 제공해야 합니다. 데이터 처리 활동 기록을 유지하고 감독기관의 요청 시 제출해야 합니다. 정보주체의 권리 행사 요청에 한 달 이내에 응답해야 합니다. 데이터 보호 영향 평가를 실시하고 필요한 보호 조치를 이행해야 합니다. 제3자 처리자와의 계약에 적절한 보호 조항을 포함해야 합니다.
이해관계자의 기본 권리와 의무
정보주체는 자신의 개인정보 처리 현황에 대해 열람을 요청할 권리가 있습니다. 부정확한 정보에 대한 정정을 요구할 수 있으며, 처리 목적이 달성된 경우 삭제를 요청할 수 있습니다. 특정 상황에서 처리 제한이나 반대를 요청할 수 있는 권리를 보유합니다. 제공한 개인정보를 구조화된 형식으로 받아볼 수 있습니다. 자동화된 의사결정에 대해 인적 개입을 요청할 수 있습니다. 개인정보 이전 시 사전 동의가 필요하며, 동의를 철회할 권리가 있습니다. 감독기관에 민원을 제기할 수 있는 권리를 보장받습니다.
개인정보 처리 원칙
수집되는 모든 데이터는 명확한 법적 근거와 특정된 목적이 있어야 합니다. 개인정보는 최소한의 범위에서만 수집되며, 정확성이 유지되어야 합니다. 보관 기간은 목적 달성에 필요한 기간으로 제한됩니다. 처리 과정은 투명해야 하며, 정보주체가 이해할 수 있어야 합니다. 무결성과 기밀성 원칙에 따라 적절한 보안 조치가 적용됩니다. 책임성 원칙에 따라 규정 준수를 입증할 수 있어야 합니다. 국외 이전 시 적절한 보호 수준이 보장되어야 합니다.
개인정보 처리 조건
법적 처리 근거는 다음과 같습니다:
- 계약 이행 필요성
- 법적 의무 준수
- 정당한 이익 추구
- 명시적 동의
- 중요한 이익 보호
개인정보 수집, 저장, 전송 절차
데이터 수집은 웹사이트, 모바일 앱, 고객센터를 통해 이루어집니다. 저장된 정보는 암호화되어 접근이 제한된 서버에 보관됩니다. 데이터 전송 시 SSL/TLS 프로토콜이 사용되며, 로그가 기록됩니다. 백업은 일간, 주간, 월간 단위로 수행되며, 이중화 저장됩니다. 데이터 복구 절차는 문서화되어 있으며, 정기적으로 테스트됩니다. 접근 권한은 업무 필요성에 따라 차등 부여됩니다. 제3자 전송은 데이터 처리 계약에 따라 수행됩니다. 시스템 로그는 2년간 보관됩니다.
보안 조치 | 적용 수준 |
데이터 암호화 | AES-256 |
접근 통제 | 다중 인증 |
네트워크 보안 | IPS/IDS |
물리적 보안 | 생체인증 |
감사 로깅 | 실시간 |
개인정보 기밀성
모든 직원은 기밀유지 계약에 서명해야 합니다. 접근 권한은 정기적으로 검토되고 업데이트됩니다. 데이터 유출 방지를 위한 DLP 솔루션이 구현되어 있습니다. 민감정보는 추가적인 암호화 계층으로 보호됩니다. 원격 접속은 VPN을 통해서만 가능합니다. 모바일 기기 사용은 MDM 정책을 따릅니다. 문서 폐기는 보안 절차에 따라 수행됩니다. 보안 사고는 즉시 보고되고 조사됩니다.
최종 규정 및 책임
본 정책의 위반은 대한민국 도박위원회 규정에 따라 엄격히 처리됩니다. William Hill은 개인정보 보호 정책 준수를 위해 연간 1,000만 파운드 이상을 투자합니다. 정책 해석에 관한 분쟁은 대한민국법을 준거법으로 합니다. 고객 개인정보 관련 손해배상 책임보험이 가입되어 있습니다. 정책 변경 시 최소 30일 전에 고객에게 통지됩니다. 본 정책은 모든 지역 사무소에 동일하게 적용됩니다. 연례 감사를 통해 정책 준수 여부가 검증됩니다. 정책 관련 문의는 [email protected]으로 접수됩니다.
데이터 보안 인프라
데이터센터는 Tier 4 수준의 보안 인증을 보유하고 있습니다. 네트워크 보안은 다층 방화벽과 침입탐지시스템으로 보호됩니다. 실시간 모니터링 시스템이 24시간 운영되고 있습니다. 보안 업데이트는 취약점 발견 즉시 적용됩니다. 백업 데이터는 지리적으로 분산된 위치에 저장됩니다. 재해복구 계획은 분기별로 테스트됩니다. 보안 이벤트는 SIEM 시스템으로 통합 관리됩니다. 외부 보안 감사가 연 2회 실시됩니다.
국제 데이터 전송 규정
EEA 외 지역으로의 데이터 이전은 표준계약조항에 따라 진행됩니다. 데이터 이전 국가의 보호 수준을 정기적으로 평가합니다. 국제 파트너사는 William Hill의 데이터 보호 기준을 준수해야 합니다. 클라우드 서비스 이용 시 데이터 위치가 명확히 특정됩니다. 국가간 데이터 이동은 암호화된 채널을 통해 이루어집니다. 현지 데이터 보호법과의 충돌 여부를 지속적으로 모니터링합니다. 국제 데이터 전송 기록이 유지됩니다. 필요시 현지 감독기관과 협력합니다.
직원 교육 및 인식 프로그램
모든 직원은 입사 시 데이터 보호 교육을 이수해야 합니다. 부서별 특화된 데이터 보호 교육이 제공됩니다. 분기별로 보안 인식 캠페인이 실시됩니다. 교육 이수 현황은 인사평가에 반영됩니다. 보안 사고 대응 훈련이 정기적으로 실시됩니다. 내부 정책 위반 시 징계 절차가 적용됩니다. 우수 사례는 사내에 공유되고 포상됩니다. 교육 프로그램은 최신 위협에 맞춰 업데이트됩니다.
제3자 위험 관리
모든 외부 계약업체는 보안 평가를 거쳐야 합니다. 계약에는 상세한 데이터 보호 조항이 포함됩니다. 제3자의 보안 통제는 정기적으로 감사됩니다. 보안 사고 발생 시 즉각적인 보고 체계가 구축되어 있습니다. 서비스 종료 시 데이터 반환 또는 폐기 절차가 명확합니다. 하청업체 사용 시 사전 승인이 필요합니다. 계약업체 직원도 당사의 보안 정책을 준수해야 합니다. 위험 평가는 연간 단위로 갱신됩니다.
