개인정보 정책
고객님께 드리는 당사의 개인정보 보호 약속
당사 제품 및 서비스를 사용할 때, 고객님은 본인의 정보를 제공하여 당사를 신뢰해 주셨습니다. 당사는 이 관계가 매우 중요하다고 생각하여 다음과 같이 약속합니다.
- 당사는 무단 액세스로부터 데이터를 보호하고 안전한 데이터 전송을 보장하기 위해 항상 EU 데이터 보호 규칙 및 기타 해당 개인 정보 보호법에 따라 데이터를 처리합니다.
- 당사는 수집한 고객님의 데이터 사용 방식을 투명하게 공개합니다.
- 당사는 당사와 데이터를 공유함으로써 얻을 수 있는 혜택이 무엇인지 명확하게 설명하고, 고객님의 필요 및 선호도를 충족하기 위해 노력합니다.
- KLM 및 제휴 항공사 운영 전반에 걸쳐 이해하기 쉬운 언어로 이를 수행합니다.
- 당사는 고객님이 데이터를 관리할 수 있도록 지원하며 고객님의 피드백으로 지속해서 개선해 나갈 것입니다.
- 당사는 고객님의 데이터를 안전하게 보관합니다. 혹시라도 귀하의 데이터가 유출된 경우에는 최대한 빨리 유출을 차단하고 즉시 알려드리겠습니다.
- 조직 외부에 데이터를 공개해야 하는 경우, 당사 개인 정보 보호 정책에 이를 명시적으로 설명합니다. 당사는 귀하의 명시적 동의 없이 귀하의 개인 정보를 외부 기관에 공유, 판매 또는 제공하지 않습니다.
- 당사는 귀하의 데이터를 신뢰할 수 있으며 국제 인증(예: ISO-27001)을 위해 노력합니다.
개인 정보 보호 정책 소개
4.1. 개인 데이터를 사용하는 주요 목적 (A) 이용자에게 당사 서비스를 제공하기 위해 당사는 이용자의 예약 사항과 여행 및 구매를 처리하기 위해 2.1 (A)부터 (G)까지에 명시된 정보를 사용합니다. 예를 들어, 당사는 항공권 발급을 위해 이용자의 이름, 여권 번호 및 기타 식별 정보를 사용합니다. 당사는 이용자의 항공편 상태 변경 사항을 알리기 위해 이용자의 연락처 상세 정보를 사용합니다.
(G) 소란 행위를 일으키거나 서비스를 오용한 승객 i. i. KLM에서는 소란 행위를 일으키거나 서비스를 오용한 승객 명단을 관리합니다(위 2.1 (J)항 참조). 행동의 심각도에 따라 KLM에서는 (i) 3년의 기간 동안 기내 탑승에 대한 추가 조건을 적용하거나 (ii) (원칙적으로) 5년의 기간 동안 탑승을 거부할 수 있습니다. 악화되는 상황(예: 반복적인 과실)의 경우 KLM에서는 5년보다 더 긴 기간 동안 승객을 거부하도록 결정할 수 있습니다. 매우 심각한 경우에는 KLM에서 승객을 영구적으로 거부하도록 결정할 수도 있습니다. 어린이에 관한 특별 정보: 소란 행위를 일으킨 15세 미만의 어린이는 명단에 등록되지 않습니다. 15~16세 어린이의 경우 KLM에서는 최대 1년의 기간 동안 탑승에 대한 조건을 적용할 수도 있습니다. 승객은 명단에 기록되었다는 사실, 기록 사유, 취해진 안전 조치, 조치가 효력을 발휘하는 기간, 기재에 대한 불만 사항 또는 이의를 제기할 수 있는 부서에 대한 정보를 담은 개인적인 연락(가능한 경우 이메일)을 받게 됩니다. 이 데이터에 대한 접근 또는 수정에 관한 더 자세한 정보는 아래 8항 '이용자의 권리'에서 확인할 수 있습니다. ii. 불법 약물: KLM은 암스테르담 스키폴 공항에서 내린 탑승객 중 네덜란드 군경찰(Royal Netherlands Marechaussee)에 의해 불법 약물 소지가 발각된 탑승객의 이름을 네덜란드 정부로부터 수신합니다. KLM은 해당 탑승객에 대해 스키폴에서 출발하는 수리남, 아루바, 보네르, 세인트마틴 또는 퀴라소행 직항 항공편 및 이러한 국가에서 출발하는 암스테르담 스키폴 공항 직항 항공편과 관련한 일체의 운송 계약 체결을 3년간 거부할 수 있습니다. 이 데이터 확인 또는 수정 허가는 Royal Netherlands Marechaussee, PO Box 90615, 2509 LP The Hague, the Netherlands로 서면 요청서를 제출하여 요청할 수 있습니다. 아루바, 네덜란드령 안틸레스, 수리남 또는 베네수엘라에 거주하는 경우 여권 사본을 서면 요청서와 함께 동봉해야 합니다.
(H) 당사 사업 운영 또는 규제 의무 준수 당사에서는 기록 유지 목적, 사기 예방 또는 대응이나 분쟁 해결 등 당사의 사업 운영을 위해 이용자의 개인 데이터를 수집, 사용 및 보유합니다. 사기 또는 당사 서비스 오용의 경우, 당사에서는 이용자의 개인 데이터를 당사 내부 사기 통제 및 경고 시스템에 입력할 수 있습니다. 그 결과, 이용자의 예약 내역이 철저한 조사 대상이 되어 특정 경우 거부 또는 취소되거나 당사 항공기에 이용자가 더 이상 탑승할 수 없거나 특정 조건에서만 탑승이 가능할 수 있습니다(위 4.1 (G) 참조). 당사는 또 법규 및 세금 의무 준수를 위해 이용자의 개인 데이터를 수집 및 사용할 수 있습니다. 4.2 특정 서비스, 앱, 이벤트, 콘테스트 또는 캠페인 당사에서는 특정 서비스, 앱, 이벤트, 콘테스트 또는 캠페인을 위해 본 개인 정보 보호 정책에 설명되지 않은 기타 목적으로 이용자의 개인 데이터를 사용할 수 있습니다. 당사는 이용자가 서비스, 앱, 이벤트, 콘테스트 또는 캠페인에 등록하거나 해당 앱을 다운로드할 때 이러한 목적을 통지해 드립니다. 4.3 법적 근거 당사에서는 법적 근거가 있는 경우에만 이용자의 개인 데이터를 수집하고 사용할 수 있습니다. 많은 경우, 당사에서는 이용자의 예약 수신, 항공편 또는 구매 처리, 이용자의 멤버십 실행이나 질문 답변을 위해 이용자의 개인 데이터가 필요합니다(위의 4.1 (A)~(B) 및 (F) 참조). 이러한 경우 개인 데이터 처리를 위한 법적 근거는 ‘계약 수행을 위해 필요함’이 됩니다. 이용자가 본인의 개인 데이터 수집 및 사용에 동의한 경우(이 동의는 언제든 철회 가능, 아래 8 “이용자의 권리” 참조), 당사에서는 이러한 동의에 근거해 이용자의 데이터를 수집 및 사용합니다. 일부 경우에 당사 또는 제삼자가 합법적 이익을 얻는 경우 당사에서 이용자의 개인 데이터를 사용할 수 있습니다. 당사는 항상 이용자의 이익, 타인 및 KLM의 이익 등 모든 이익을 면밀히 고려할 것입니다. 그러한 법적 근거에 따라, 당사에서는 가령 항공편 안전, 통계 연구조사 또는 직접 마케팅 목적이나 맞춤화된 할인 및 제안 제공을 위해 이용자의 데이터를 수집 및 사용합니다(자세한 정보는 위의 4.1 (C), (D), (E) 및 (G) 참조). 당사는 이민 절차 준수 등 이용자의 데이터를 수집 및 사용할 법적 의무가 있을 수 있습니다(4.1 (H) 참조). 이용자와 체결한 계약 이행 또는 법적 의무 준수를 위해 당사에 필요한 개인 정보의 제공을 이용자가 거부하는 경우, 당사는 이용자가 요청한 전체 서비스를 제공하지 못할 수도 있습니다. 따라서 이용자의 항공편을 취소해야 하거나 이용자가 요청한 추가 서비스를 제공하지 못할 수도 있습니다. 불완전하거나 부정확한 정보를 제공할 경우, 당사는 귀하의 탑승 또는 외국 영토 입국을 거부할 수 있습니다.
5.1. 일반 당사는 다음과 같은 경우 이용자의 개인 정보를 제삼자와 공유할 수 있습니다. (A) 이용자의 예약 및 여행의 원활한 진행 당사가 이용자의 예약을 처리하고 여행 및 구매를 준비하기 위해서는 종종 이용자의 개인 정보를 당사 제휴 항공사, 공항 운영자 및 그 외에 여행 준비를 담당하는 사업자들과 공유해야 할 수 있습니다(위의 3.1 (B) “당사의 데이터 수집 방법” 참조). (B) 당사 bluebiz 기업 로열티 프로그램 자세한 정보는 “당사 소개” 및 3.1 (C)항 “당사의 데이터 수집 방법”을 참조하십시오. (C) 법인 계정 고용주의 법인 계정을 사용해 항공권을 예약한 경우 고용주는 항공권 가격, 여행 일자 및 목적지 등 특정 예약 세부 정보에 접근하게 됩니다. 고용주는 이용자의 개인 데이터 수집 및 사용 및 이에 관한 이용자 고지 방법에 대해 독립적인 책임을 집니다. (D) 지원 또는 추가 서비스 서비스를 제공하기 위해 당사에서는 IT 공급업체, 소셜 미디어 제공자, 마케팅 에이전시 및 심사 서비스 제공자 등 제삼자의 지원 또는 추가 서비스를 사용합니다. 이러한 외부업체들은 모두 이용자의 개인 데이터에 대해 적절한 안전 조치를 취해야 하며 당사의 지시에 따라서만 해당 데이터를 사용해야 합니다. 에어프랑스 KLM 그룹은 중앙집중식 데이터베이스 및 시스템을 사용해 사업을 운영합니다. 이러한 중앙 데이터베이스 및 시스템은 한 그룹사에서 다른 그룹사를 위해 호스팅하거나 관리할 수 있습니다. 또한, 효율성을 위해 특정 운영 기능을 한 그룹사에서 다른 그룹사를 위해 수행할 수 있습니다. 이는 당사 그룹 계열사가 이러한 목적으로 이용자의 개인 데이터에 액세스할 수 있음을 의미합니다. 당사의 그룹 계열사는 이용자의 개인 데이터를 관련 사업에 필요한 대로만, 그리고 본 개인 정보 보호 정책에 따라서만 사용할 수 있습니다. (E) 결제 서비스 이용자의 여행 및 구매에 대한 결제를 처리하기 위해 당사에서는 결제 서비스를 제공하는 제삼자와 협력할 수 있습니다. 많은 경우 이러한 결제 서비스 제공자는 사기 점검도 수행합니다. 이들은 이용자의 개인 데이터를 사용하는 방식에 관하여 자체 개인 정보 보호 정책을 운영합니다. (F) 소셜 미디어 플랫폼을 통한 맞춤 마케팅 자세한 내용은 “당사의 이용자 데이터 사용 목적” 아래 4.1 (E)항을 참조하십시오. (G) 이용자의 여행에 맞는 제휴사 서비스 제공 당사에서는 제휴사에서 이용자의 여행에 맞춤화된 서비스를 제공할 수 있도록 이용자의 맞춤화되지 않은 정보(목적지, 여행 일자 및 여행 기간)를 추가 서비스(예: 호텔 편의 제공, 차량 렌탈 서비스)를 제공하는 제휴사와 공유할 수 있습니다. 당사 제휴사들은 이용자의 개인 데이터를 사용하는 방식에 관하여 자체 개인 정보 보호 정책을 운영합니다. 5.2. 특정 서비스, 앱, 이벤트, 콘테스트 또는 캠페인 당사에서는 특정 서비스, 앱, 이벤트, 콘테스트 또는 캠페인을 위해 제휴사와 협력해 캠페인 또는 이벤트를 준비할 때, 또는 당사 서비스를 앱에 통합할 때 본 개인 정보 보호 정책에 설명하지 않은 제삼자와 이용자 데이터를 공유할 수 있습니다. 당사는 이용자가 서비스 또는 이벤트, 콘테스트 또는 캠페인에 등록하거나 앱을 다운로드할 때 그 사실을 통지합니다. 5.3. 트랜스아비아와의 데이터 교환
항공사는 항공편의 안전을 보장할 의무가 있습니다. 이러한 목적에 따라 KLM에서는 일부 (필요한) 안전 조치를 시행합니다. 예를 들어 KLM은 지상 또는 기내에서 소란 행위를 일으킨 승객 명단을 관리합니다(위 2.1. (J) 및 4.2 (G) 참조). 이 명단에 따라 KLM에서는 (i) 3년의 기간 동안 기내 탑승에 대한 추가 조건을 적용하거나 (ii) 일정 기간 동안 탑승을 거부할 수 있습니다. KLM의 자회사인 트랜스아비아에서는 유사한 명단을 관리합니다. KLM과 트랜스아비아에서는 내부 안전 조치의 범위를 확대하기 위해 탑승을 거부해야 한다는 결정을 내린 승객의 개인 데이터를 교환합니다(위 4.1. (G) 참조). KLM의 거부 대상이 된 이용자는 이제 트랜스아비아 항공편(반대도 적용 가능)에서도 거부 대상이 됩니다. 소란 행위를 일으켰으며 이로 인해 명단에 기재된 경우, 소란 행위를 일으킨 해당 항공사로부터 이에 대한 개인적인 연락을 받을 수 있습니다.
5.4 정부 기관 (A) 일반 당사는 이용자가 다른 국가로 여행하기 전에 이용자의 개인 데이터를 수집하고 이용자의 여정에 있는 국가의 정부 기관과 이를 공유하도록 법적으로 요구받을 수 있습니다. 예를 들어, 당사는 출입국 관리, 이민 절차, 국가 입국이나 대테러 또는 기타 중범죄 확인 목적으로 이용자의 그러한 기관과 이용자의 개인 식별 데이터와 예약 및 여행 정보를 수집하고 공유할 것을 법적으로 요구받을 수 있습니다(아래 5.4 (B) 참조). 또한 당사는 공중 보건 목적으로 법규에 따라 이용자의 여정에 있는 국가의 정부 기관과 이용자의 건강 데이터를 공유해야 할 수 있습니다(위의 2.1 (D) 참조). (B) PNR 및 API 데이터 i. 일반: EU 규정 2016/679 및 2004/82와 해당 현지법 및 규정에 따라, 당사는 다양한 국가의 승객 정보 유닛(PIU)을 포함해 PNR 및 API 세부 정보를 정부 기관에 넘겨야 합니다. API(Advance Passenger Information, 사전 승객 정보)는 이용자의 항공편 및 여권 세부 사항에 관한 정보입니다. PNR(Passenger Name Record, 승객 이름 기록)은 항공편 정보, 예약 내의 승객 및 결제 정보 등 이용자의 예약에 관한 모든 정보입니다. 당사는 모든 항공편에 대해 이러한 PNR 세부 정보를 네덜란드 PIU(Pi-NL)에 전달합니다. 그렇게 해야 할 경우, 당사는 네덜란드 이외 국가의 당국에 API 및 PNR 상세 정보도 역시 전달합니다. ii. 국가 상세: - 프랑스: 프랑스 국토보안법(French Homeland Security Code) L 237 -7조에 따라, KLM은 법령 번호 2014-1095(2014년 9월 26일 자)(2018년 8월 3일 자 법령 번호 2018/714로 개정)에 규정된 조건에 따라 그러한 목적으로 이용자의 예약 사항, 체크인 및 탑승 데이터(API/PNR)를 프랑스 국립 공공 서비스 및 유관 당국에 이전해야 할 수 있습니다. 5.5. 제삼자 웹사이트 당사 웹사이트 및 모바일 앱에는 제삼자 웹사이트로 연결되는 링크들이 포함되어 있습니다. 이러한 링크를 클릭하면 당사 웹사이트나 모바일 앱에서 나가게 됩니다. 본 개인 정보 정책은 제삼자 웹사이트에는 적용되지 않습니다. 이들의 개인 데이터 취급 방법에 관한 자세한 사항은 해당 업체의 개인 정보 정책 및/또는 쿠키 정책(제공되는 경우)을 참고하시기 바랍니다.
6.1. 보안 (A) 당사의 약속 당사는 이용자 개인 데이터의 보안과 기밀을 보장하는 것을 우선으로 생각합니다. 이용자 개인 데이터의 성격과 처리 위험성을 고려해, 당사는 적합한 수준의 보안을 보장하고 특히 이러한 데이터에 대한 돌발적 혹은 불법적 파손, 손실, 변조, 공개, 침해 또는 무단 접근을 방지할 수 있도록 해당 법 조항(특히 일반 데이터 보호 규정(Data Protection Regulation, GDPR) 32조)에서 요구하는 모든 적절한 기술적 및 조직적 조치를 마련하였습니다. (B) 당사의 보안 조치 i. 은행 거래: 당사는 PCI 보안 표준 의회(PCI Security Standards, PCI SSC)에서 발행한 결제 카드 산업 데이터 보안 표준(Data Security Standard for the Payment Card Industry, PCI DSS 표준)을 준수해야 합니다. 이 표준은 지급 수단의 사기성 사용을 줄이기 위해 카드 소지자 정보에 대한 통제력을 높이기 위해 마련되었습니다. 은행 카드 데이터를 처리하게 되어 있는 모든 KLM 서비스 제공자는 이 PCI DSS 표준을 준수해야 합니다. 당사는 인터넷상의 신원 도용을 퇴치하기 위해 노력합니다. 이러한 이유에서, 당사는 가령 이용자가 은행 카드를 분실 또는 도난당한 경우 이용자 보호를 위해 고안된 사기성 결제 감지 기기를 사용합니다. ii. 조직적 조치: 당사는 당사 직원들의 인식과 책임 의식 강화를 위해 다양한 조직적 조치를 이행하고 유지 중입니다. 당사는 모범 관행 및 안전 표준에 대한 의식을 함양하고 그 공유를 촉진하기 위해 고안된 각종 프로그램을 마련해 두고 있습니다. 이러한 맥락에서, 정보 보안 도전 과제 및 개인 정보 보호에 관한 다양하고 방대한 문서 모음을 당사 직원들에게 제공해 왔습니다. iii. 기술적 조치: 당사는 이용자의 개인 데이터를 호스팅 및 처리하는 내부 서버에의 물리적, 논리적인 접근을 엄격히 통제합니다. 당사는 사이버 범죄 위험성을 방지 및 제한하기 위해 최첨단 하드웨어 기기(Firewall, IDS, DLP 등)를 비롯해 아키텍처(TLS 1.2와 같은 보안 프로토콜 포함) 등으로 당사 네트워크를 보호합니다. (C) 당사 보안 시스템의 진화 적합한 수준의 보안을 유지하기 위해, 당사는 모범 관행(특히 ISO 27000 표준군)을 기반으로 내부 프로세스를 마련해 두고 있습니다. 당사는 가능한 최고 수준의 보호를 보장하기 위해 전담 전문가들을 고용하고 있습니다. 이 점에서, 당사는 NCSC(National Cyber Security Centre, 국립 사이버 보안 센터)와 특별한 관계를 유지하고 있습니다.
(D) 이용자 본인 보호 방법 개인 데이터의 보안과 기밀성은 모든 이의 모범적 실천에 의해 좌우됩니다. 예약 시, 이용자는 파일 레퍼런스를 다수 전송받게 됩니다. 이러한 예약 레퍼런스는 항상 기밀로 유지해야 합니다. 이를 다른 승객에게 공개하면 이들이 당사 시스템이나 여행 이행과 관련된 제삼자(예: 여행사 또는 온라인 조사 및 예약 사이트) 시스템을 통해 이용자의 예약 정보에 접근할 수 있습니다. 다른 사람들과 함께 여행하면서 이용자의 개인 정보가 이들에게 공개되기를 원치 않는 경우, 따로 예약하는 것을 권장합니다. 당사는 또 당사 서비스에 접속하기 위해 사용하는 비밀번호를 제삼자에게 공개하지 않고, 본인 프로필과 소셜 계정에서 시스템적으로 로그아웃하고(특히 연결된 계정의 경우), 특히 공용 컴퓨터에서 인터넷에 접속할 때에는 세션 후에는 브라우저 창을 닫도록 권고합니다. 이는 다른 사용자가 이용자 개인 데이터에 접근하는 것을 방지합니다. 해킹 시도를 방지하기 위해, 사용하는 온라인 서비스마다 다른 비밀번호를 사용하는 것을 권장합니다. 당사는 당사가 관리하지 않는 플랫폼에서 이용자 데이터 도난에 대해 책임이 없습니다. 또한, 당사는 이용자 개인 데이터(탑승권, 티켓 번호 등)나 여행과 관련된 기타 정보가 포함된 KLM 발행 문서를 제삼자에게 배포하거나 이를 소셜 네트워크에 게시하지 않기를 강력히 권장합니다. 이러한 문서를 소셜 미디어에 게시할 때는, 이용자가 해당 제삼자 소셜 네트워크에 적용되는 사용에 대한 일반 조건, 정보 보안 관행 및 개인 정보 보호 정책을 살피고 이해할 책임이 있습니다. 당사는 이러한 플랫폼에서 데이터 처리, 저장 및 공개 방식에 대해 책임이 없습니다. 당사 IT 보안 조치에 대해 자세히 알아보시려면, 당사 IT 보안 포털을 참조하시기 바랍니다. (E) 보안 사고 관리 ‘제로 리스크(절대적 안전성)’라는 것은 있을 수 없으며 당사에서 적절하다고 간주되는 모든 보아 조치를 이행하여도, 예상 밖의 일들이 일어날 수 있습니다. 당사는 가능한 최선의 조건에서 보안 사고를 관리하기 위해 구체적인 절차와 리소스를 갖추고 있습니다. 당사는 또한 이용자의 개인 데이터에 대한 돌발적 혹은 불법적 파손, 손실, 변조, 공개, 무단 침해 또는 무단 접근으로 이어질 수 있는 가능한 보안 침입을 평가해 해당 법에서 규정한 기간 이내에 유관 감독 당국에 알리고 침입이 이용자의 권리와 자유에 대해 고도의 위험을 제기하는 경우 이를 이용자에게 경고하기 위한 구체적인 절차도 수립하였습니다. 보안 설치물의 기능과 배치된 절차 및 기기의 타당성을 검증하기 위한 테스트도 주기적으로 실시합니다. 6.2. 보관
당사는 이용자의 개인 데이터를 필요한 기간 이상 보관하지 않습니다. 이용자의 개인 정보 보관 기간은 그러한 정보의 처리 목적 및 해당 규제 보유 기간에 따릅니다.
9.1. 본 개인 정보 보호 정책은 2022년 9월 15일에 발효되며 2020년 8월 20일자의 이전 개인 정보 보호 정책을 대체합니다. 본 개인 정보 보호 정책은 수시로 수정됩니다. 변경 사항이 적용되는 경우 이용자에게 이를 통지합니다.