개인정보 보호정책

버전: 2024년 8월

스위스 항공은 보안을 최우선으로 생각하며, 여기에는 고객의 개인 데이터의 보안도 포함됩니다. 본 개인정보 보호정책에서, 당사는 당사가 개인 데이터를 수집, 처리 및 사용하는 방법과 이유에 대해 안내합니다. 이 정보는 특히 다음을 대상으로 합니다.

• 당사 웹사이트 및 앱 사용자
• 승객
• 당사 서비스를 사용하거나 당사 서비스에 관심이 있을 수 있는 개인
• 당사 비즈니스 고객 및 파트너의 연락 담당자
• 당사에 문의하는 개인
• 뉴스레터, 맞춤형 제안, 기타 마케팅 커뮤니케이션 및 활동 수신자
• 리서치 캠페인, 고객 패널, 고객 만족도 및 의견 설문조사 참가자
• 이벤트 참가자
• 당사 위치 방문자

특정 데이터 처리에 대한 추가 정보(예: 당사의 ​쿠키 정책, ​Travel ID 개인정보 보호정책, ​스위스 월드 카고 개인정보 보호정책 등)가 제공된다는 점에 유의하시기 바랍니다. 또한 당사는 종종 당사가 고객의 개인 데이터를 수집하는 모든 위치에서 관련 정보를 제공합니다. 또한 승객의 개별 서비스에 대한 계약 조건, 특히 당사의 ​일반 운송 규정을 참조하시기 바랍니다.

이 개인정보 보호정책은 스위스 데이터 보호법 및 유럽연합의 일반 데이터 보호 규정(GDPR)을 기반으로 작성되었습니다. 이러한 법률 및/또는 기타 데이터 보호법의 적용 여부는 개별 사례에 따라 다릅니다.

승객이 다른 사람(예: 공동 예약을 위해 가족이나 친구)에 대한 데이터를 제공하는 경우, 당사는 고객이 그러한 권한을 가지고 있으며 해당 데이터가 정확한 것으로 간주합니다. 해당 개인에게 이 개인정보 보호정책에 대한 정보를 제공해 주시기 바랍니다.

1. ​데이터 컨트롤러
2. ​문의처
3. ​개인 데이터의 출처
4. ​처리의 주요 목적 및 법적 근거
5. ​특정 사용 사례, 그 목적, 법적 근거 및 추가 상세 정보
6. ​​일반 개인정보 보호법(GDPR)에 따른 법적 근거
7. ​데이터 공개
8. ​스위스 및 유럽 경제 지역 외부 국가로의 개인 데이터 이전
9. ​개인 데이터의 보유
10. ​프로파일링, 인공 지능 및 법적 효력이 있는 자동화된 의사 결정
11. 데이터 보안
12. ​개인 데이터에 관한 고객의 권리
13. ​개인정보 보호정책에 대한 변경

달리 명시되지 않는 한, 본 개인정보 보호정책에 설명된 데이터 컨트롤러는 다음과 같습니다.

Swiss International Air Lines AG
Malzgasse 15
CH-4052 Basel
Switzerland

웹사이트: ​www.swiss.com

(이하 ‘스위스 항공’ 또는 ‘당사’)

GDPR 제27조에 따른 당사의 EU 대표:

Swiss International Air Lines AG Frankfurt Branch
Cargo City Süd 558 c
D-60549 Frankfurt am Main
Germany.

제12절에 설명된 데이터 보호 권리를 행사하려면, 데이터 주체 권리에 대한 문의 양식을 사용하시기 바랍니다.

본 개인정보 보호정책과 관련하여 일반적인 질문이나 우려사항이 있는 경우, 다음 주소로 당사의 데이터 보호 책임자 및 팀에게 문의하실 수 있습니다.

Swiss International Air Lines AG
Data Protection Officer
ZRHS/CJ
PO Box
8058 Zurich Airport
Switzerland

dataprotection@swiss.com

개별 예약 또는 서비스에 대한 요청이나 피드백과 같이 데이터 보호와 관련이 없는 문의는 당사 데이터 보호 팀이 답변하거나 전달하지 않습니다. 당사 서비스 센터를 방문하여 적절한 문의 양식을 사용하거나 비즈니스 파트너를 대리하는 경우 스위스 항공 담당자에게 연락하십시오.

예를 들어, 고객이 당사에 데이터를 전송하거나 당사와 소통할 때 고객은 종종 개인 데이터를 직접 당사에 공개합니다. 대부분의 경우 개인 데이터 제공은 자발적으로 이루어지므로, 일반적으로 고객은 당사에 개인 데이터를 공개할 의무가 없습니다. 한편, 당사는 계약 관계를 처리하고 관련 의무를 이행하는 데 필요하거나 법률에 규정된 바에 따라 개인 데이터를 수집 및 처리해야 하며, 그렇지 않으면 당사는 해당 계약을 체결하거나 계속 이행할 수 없습니다. 예를 들어, 당사가 승객을 항공편 목적지까지 운송할 수 있도록 고객은 현지 또는 외국 당국에 전송할 의무가 있는 정보를 제공해야 합니다(제​4.4절 참조).

또한 당사는 고객이 항공편을 예약하거나 기타 혜택을 이용할 때 직접 또는 자동으로 고객의 개인 데이터를 수집할 수도 있습니다. 이는 고객의 기기, 거래 또는 행동에 대한 기술 데이터일 수 있습니다. 예를 들어, 당사는 예약 과정에서 수집한 데이터를 분석하고, 이를 바탕으로 고객의 개인적인 관심사, 선호도, 친밀도 및 습관에 대한 추정을 할 수 있습니다. 예를 들어, 이를 통해 당사는 고객의 개별적인 요구와 관심사에 맞게 혜택과 정보를 맞춤화할 수 있습니다(제​10절 참조).

당사는 다른 루프트한자 그룹사로부터도 개인 데이터를 수신할 수도 있습니다. 자세한 내용은 제​4.7절을 참조하십시오. 또한 당사는 당사와 협력하는 회사, 당사와 소통하는 개인 또는 공공 출처와 같은 제3자로부터 고객 관련 정보를 수신할 수도 있습니다.

예를 들어, 당사는 다음과 같은 제3자로부터 고객에 관한 정보를 수신할 수 있습니다.

• 협력 파트너(예: Miles & More 또는 PartnerPlusBenefit과 같은 상용 고객 프로그램 파트너)
• 고객을 대신하여 행동하는 사람(가족, 법정 대리인)
• 고객이 이용하는 여행 서비스 제공업체
• 결제를 위한 은행, 보험사, 유통 파트너 및 기타 계약 파트너
• 온라인 서비스 제공업체(예: 인터넷 분석 서비스 제공업체)
• 수출 제한과 같은 법적 요건 준수를 위한 정보 서비스
• 공식 절차 및 사법 절차와 관련된 당국, 당사자 및 기타 제3자
• 공공 기관, 언론 또는 인터넷에서 제공하는 채권 추심 또는 상업 등기부와 같은 공공 등기부.

간단히 말해, 당사는 다음과 같은 목적으로 개인 데이터를 처리합니다.

• 계약 처리(예: 항공편 운항 및 기타 서비스 제공에 필요한 처리)(제​4.1절)
• 정보 및 마케팅(제​4.2절)
• 시장 조사 및 제품 개발(제​4.3절)
• 법적 요건 준수(제​4.4절)
• 보안(제​4.5절)
• 권리 보호(제​4.6절)
• 루프트한자 그룹 내 관리 및 지원(제​4.7절)
• 특정 사용 사례(제​5절에 설명되어 있음)

당사는 계약 관계의 개시, 관리 및 처리와 관련하여 개인 데이터를 처리합니다. 또한 계약 처리에는 합의된 서비스 맞춤화도 포함됩니다.

예를 들어, 다음과 같은 경우에 계약이 존재합니다.

• 항공편 또는 기타 서비스 예약
• 당사의 앱 또는 기타 온라인 서비스 사용
• Travel ID 사용
• 고객이 근무하는 회사를 위해 스위스 월드 카고 서비스를 예약하는 경우, 또는
• 고객 또는 고객이 근무하는 회사가 당사와 다른 계약을 체결한 경우.

승객의 경우, 당사는 운송 계약 및 각 서비스 계약을 이행하기 위해 고객이 항공편 및 기타 서비스를 예약할 때 제공한 데이터를 처리합니다. 필수적이고 자발적인 정보(예: 이름, 상용 고객 번호, 이메일 주소, 전화번호, 결제 정보, 여행 서류 등)는 예약 과정에서 표시되며 예약을 완료한 경우에만 저장됩니다. 당사 또는 당사 파트너가 추가 서비스를 제공할 수 있으며, 여기에는 사전 좌석 지정, 추가 수하물, 기내식 사전 주문, 좌석 승급 옵션(입찰 가격 좌석 승급 서비스 포함), 수하물 수취 및 체크인 서비스, 여행자 보험, 숙박, 렌터카, 패키지 상품 및 기타 서비스가 포함될 수 있습니다.

일반적으로 계약 처리의 목적은 계약 체결, 이행, 그리고 해당되는 경우 계약을 강제하기 위해 필요하거나 적절한 모든 것으로 구성됩니다.

예를 들어, 여기에는 다음과 같은 목적을 위한 처리가 포함됩니다.

• 고객과의 소통
• 고객 서비스 제공
• 마일리지 신청 또는 적립 등 상용 고객 프로그램(예: Miles & More, PartnerPlusBenefit) 관리
• IT 및 기타 리소스 운영 및 관리
• 결제 처리 및 일반 회계 관리
• 보유 의무를 준수하여 데이터 저장
• 콘테스트 또는 이와 유사한 캠페인의 수립, 통지 및 해당되는 경우 수상자 발표
• 계약에 따른 법적 청구권 주장(추심 소송, 법적 소송 등)
• 계약 해지 및 종료
• 기업 인수, 매각 및 합병과 같은 기업 거래 준비 및 체결

이러한 처리의 근거는 고객이 당사자인 계약의 이행 또는 계약 전 조치입니다(GDPR 제6조 (1)항 (b)호).

고객은 이메일, SMS, 메신저 서비스, 전화 등 원하는 커뮤니케이션 채널을 통해 당사, 루프트한자 그룹 계열사 또는 제휴사로부터 여행 관련 정보, 혜택, 선호도 조사, 고객 만족도 조사, 여행 관련 뉴스레터 등을 받을 수 있습니다.

이러한 메시지 및 혜택은 수신자가 메시지를 열었는지 또는 기타 전자 광고 커뮤니케이션과 상호작용했는지 여부를 확인할 수 있는 기술을 사용하여 개인 맞춤 설정을 할 수 있습니다. 자세한 내용은 ​쿠키 정책을 참조하십시오.

고객이 뉴스레터를 구독할 때와 같이 당사가 고객에게 동의를 요청하는 경우, 이러한 처리에 대한 법적 근거는 고객의 동의입니다(GDPR 제6조 (1)항 (a)호). 이러한 목적의 정보 처리에 대한 동의는 해당 커뮤니케이션의 해당 수신 거부 링크를 따라 언제든지 철회할 수 있으며, 향후 효력이 발생합니다.

당사가 동의를 구하지 않고 정보 제공 및 마케팅 활동을 위해 개인 데이터를 처리하는 경우, 당사는 개별 사례에 따라 당사의 정당한 이익이 해당 처리의 충분한 법적 근거를 형성한다는 결론을 내렸습니다(GDPR 제6조 (1)항 (f)호).

당사는 당사의 서비스 사용 데이터를 분석하는 등 당사의 서비스를 개선하기 위해 개인 데이터를 처리합니다. 이러한 처리의 근거는 당사의 정당한 이익입니다(GDPR 제6조 (1)항 (f)호).

고객은 당사 고객 패널에 등록하여 당사 제품 및 서비스와 관련된 특정 주제에 대한 의견을 제시할 수 있습니다. 고객 패널의 회원은 간단한 온라인 설문조사, 포커스 그룹, 제품 테스트, 심층 인터뷰 등의 시장 조사 프로젝트에 참여할 수 있도록 정기적으로 이메일을 통해 초대됩니다. 주소, 나이, 성별, 국적, 직업적 배경, 여행 행동 및 습관 등 회원이 제공한 정보는 회원에게 적합한 설문조사를 식별하는 데 사용됩니다. 시장 조사 프로젝트를 통해 수집된 정보는 익명화된 형태로 분석됩니다. 자세한 내용은 ​Lufthansa Group BetaLab 웹사이트에서 확인할 수 있습니다.

고객 패널 및 기타 설문조사와 관련된 처리의 근거는 고객의 동의입니다(GDPR 제6조 (1)항 (a)호).

당사는 법적 의무를 준수하고 위반 행위를 방지 및 감지하기 위해 개인 데이터를 처리합니다. 당사의 의무는 스위스 법률과 정부 간 협약 또는 전 세계 다른 국가의 법률 및 규정, 그리고 자율 규제, 업계 및 기타 표준, 당사 자체의 기업 거버넌스 또는 공식 지침에서 유래할 수 있습니다.

특히 승객 운송과 관련하여, 당사는 법적인 요구에 따라 여행 일정에 포함된 국가의 당국에 정해진 개인 데이터를 수집하고 공개해야 할 수 있습니다. 여기에는 다음과 같은 개인 데이터가 포함될 수 있습니다.

• 고급 승객 정보(API 데이터): 특정 정부 당국이 입국 및 출국을 위해 요구하는 승객에 대한 기본 정보. 여기에는 승객의 이름, 생년월일, 성별, 국적, 여행 서류 데이터 및 이메일 주소가 포함됩니다. API 데이터에는 항공편 정보(예: 항공편 번호, 도착 및 출발 시간)와 같은 기타 데이터도 포함됩니다.
• 승객 예약 정보(PNR 데이터): 운송에 필요한 정보 및 데이터(예: 예약 코드, 이름, 이메일 주소, 항공편 정보, 결제 정보 및 여행 동반자 상세 정보) 외에, 특히 고객(예: 상용 고객 정보 또는 특별 요청) 또는 제3자(예: 여행사)가 전송한 정보 등 운송과 관련된 추가 데이터.
• 특정 예방 접종 상태와 같은 건강 데이터
• 어린이가 혼자 여행하거나 부모 중 한 명과만 여행하는 경우 어린이 여행 허가

이 정보는 법률, 보안, 규제 및 관리상의 이유로 필요하며, 여기에는 다음과 같은 목적이 포함될 수 있습니다.

• 국경 통제
• 출입국 절차
• 조직 범죄 및 국제 범죄, 테러 및 기타 심각한 범죄 예방
• 공중 보건 목적(예: 전염병 또는 유행병 퇴치를 위한 당국의 명령)
• 관련 법률에 따른 기타 합법적인 목적

일반적으로 이러한 데이터는 출발 및/또는 도착 국가의 당국에서 요구하기 때문에 형사 기소, 사법, 보건 또는 기타 행정 당국과 같은 관련 스위스 및 외국 당국에 공개해야 합니다. 예를 들어, 미국 국경 관리 당국(미국 세관 및 국경 보호국)은 스위스-미국 간 항공편을 예약할 때 API 및 특정 PNR 데이터를 수신합니다. 미국은 데이터 사용과 관련하여 유럽 연합과 동일한 보장을 스위스에 제공했으며, 테러 및 국경을 넘나드는 기타 심각한 범죄 행위를 막기 위한 목적으로만 정보를 사용할 것입니다.

또한 스위스 항공은 범죄, 경범죄 또는 행정 위법 행위를 방지 또는 기소하기 위해 공개를 요구하거나 행정 의무를 이행하기 위해 필요한 경우 스위스에 고객의 개인 데이터를 공개하고, 특정 상황에서 외국의 검찰 당국, 사법 또는 행정 당국에 고객의 개인 데이터를 공개할 의무가 있습니다.

당국에 대한 데이터 전송은 스위스 및 외국 법률을 준수하고 위에서 언급한 목적을 뒷받침하려는 당사의 정당한 이익을 기반으로 합니다(GDPR 제6조 (1)항 (c)호 및 (f)호). 처리가 특수한 범주의 개인 데이터(예: 건강 데이터)와 관련된 경우, 법적 근거는 GDPR 제9조 (2)항 (a)호, (g)호 또는 (i)호 및 제10조입니다.

당사는 보안 목적, 즉 고객의 보안과 당사의 보안을 위해 개인 데이터를 처리합니다. 이러한 목적을 위한 처리의 예는 다음과 같습니다.

• IT 보안 조치
• 물리적 액세스 제어
• 범죄 행위의 탐지 및 기소를 위한 특정 건물의 영상 감시 및 녹화물의 평가
• 도난, 사기 및 오용 방지를 위한 조치
• 의심스러운 행동 패턴과 사기 활동을 탐지하기 위한 분석
• “난폭한 승객”에 대한 비행 금지 조치 시행 “난폭한 승객”이란 다른 승객이나 승무원에게 부적절하고 공격적이거나 폭력적인 행동을 보이거나 항공기를 손상시키는 승객을 말합니다.
• 루프트한자 그룹 내 데이터 교환 및 다른 항공사와의 데이터 교환을 통해 사기 사례와 “난폭한 승객” 사례 문서화, 분석 및 예방
• 당국 및 보험 회사에 대한 피해, 부상 및 범죄 행위와 관련된 데이터 공개

이러한 데이터 처리의 근거는 당사의 정당한 이익입니다(GDPR 제6조 (1)항 (f)호).

당사는 당사의 청구를 확립하고 집행하며 타인의 청구에 대해 스스로를 방어할 수 있는 위치에 있기를 원합니다. 당사의 청구에는 직원, 당사와 관련된 회사 및 비즈니스 파트너의 청구가 포함될 수 있습니다. 예를 들어, 당사는 법정 안팎에서, 그리고 전 세계 당국을 상대로 사법적으로 청구를 집행하거나 청구로부터 당사를 방어하기 위한 권리 보호를 위해 개인 데이터를 처리합니다.

이러한 데이터 처리의 법적 근거는 당사의 권리 보호에 대한 당사의 정당한 이익입니다(GDPR 제6조 (1)항 (f)호).

루프트한자 그룹은 효율성을 개선하고 경쟁력을 유지하기 위해 루프트한자 그룹사 전체 또는 여러 그룹사에 서비스를 제공하는 프로세스를 유지 및 구현합니다. 따라서 스위스 항공과 기타 루프트한자 그룹사는 본 개인정보 보호정책에 따라 서로의 데이터 처리 활동을 지원하기 위해 개인 데이터를 공유할 수 있습니다(제​7.1절 참조).

공동 관리 및 지원의 예는 다음과 같습니다.

• ​Travel ID
• 여러 루프트한자 그룹사에서 사용하는 시스템을 포함한 IT 관리
• 여러 루프트한자 그룹사에서 사용하는 데이터의 중앙 저장 및 관리
• 트레이닝 및 교육
• 기업 인수, 매각 및 합병과 같은 기업 거래의 검토 또는 실행
• 다른 루프트한자 그룹사와 관련된 문의 사항 전달
• 공동 사기 방지 조치(제​5.4절 참조)
• ‘난폭한 승객’에 대한 데이터 공유(제​4.5절 참조)
• 루프트한자 그룹 내부 프로세스 전반의 검토 및 개선

이러한 데이터 처리의 법적 근거는 루프트한자 그룹 내 효율적인 관리 및 지원에 대한 당사의 정당한 이익입니다(GDPR 제6조 (1)항 (f)호).

당사는 고객이 당사 웹사이트를 방문할 때 브라우저가 자동으로 당사에 전송하는 정보를 수집합니다. 여기에는 다음과 같은 데이터가 포함될 수 있습니다.

• 사용자 장치의 인터넷 프로토콜 주소(IP 주소)
• 인터넷 서비스 제공업체
• 사용 중인 운영 체제, 브라우저 유형 및 브라우저 버전
• 서버 요청 날짜 및 시간
• 접속한 웹사이트
• 참조자 URL(이전에 방문한 웹사이트)

위에서 설명한 대로 자동으로 수집된 데이터는 연결 설정, 안정성 및 중단 없는 시스템 보안 보장, 서비스 개선 및 통계 목적 등 당사 웹사이트의 적절한 기능을 위해 처리됩니다.

데이터 처리의 법적 근거는 이러한 목적에 대한 당사의 정당한 이익입니다(GDPR 제6조 (1)항 (f)호).

또한 당사 웹사이트에서 당사는 분석 및 마케팅과 같은 추가적인 목적을 위해 소위 쿠키 및 이와 유사한 기술을 사용하여 개인 데이터를 처리합니다. 자세한 내용은 당사 ​쿠키 정책을 참조하세요.

고객이 스위스 항공 매거진 웹사이트(URL: https://www.swiss.com/magazine 및 하위 페이지)를 방문할 때, 당사는 제3자의 비맞춤형 광고의 올바른 표시, 성과 측정, 보안 보장, 사기 행위 방지 및 오류 수정을 위해 제​5.1절에 언급된 데이터를 처리합니다.

현재 당사는 이 처리를 위해 IAB 유럽 TCF 2 인증을 받은 서비스 제공업체인 Goldbach neXT AG(주소: Seestrasse 23, 8700 Küsnacht ZH, Switzerland)를 이용합니다(당사 서비스 제공업체 관련 제​​7.2절 참조).

데이터는 언급된 목적을 달성하는 데 더 이상 필요하지 않은 즉시, 즉 늦어도 30일이 지나면 삭제됩니다.

데이터 처리의 법적 근거는 앞서 언급된 목적에 대한 당사의 정당한 이익입니다(GDPR 제6조 (1)항 (f)호). 광고 맞춤화에는 사용자의 동의가 필요합니다(당사의 ​쿠키 정책 참조).

신용 조회는 당사가 결제 거래에서 발생하는 문제를 방지하는 데 도움이 됩니다. 이는 중장기적으로 가격에도 영향을 미칠 수 있는 재무적 위험으로부터 당사를 보호합니다. 계좌 결제의 경우와 같이 당사가 각각의 결제를 동시에 받지 않고 당사 서비스를 제공하는 경우 신용 조회가 필요할 수 있습니다. 신용 조회 없이 다른 결제 옵션을 사용할 수 있습니다.

“계좌 구매” 결제 옵션을 사용하기 위해, 당사는 고객의 개인 데이터(예: 성명, 주소, 생년월일, 이메일 주소 및 휴대폰 번호, 미결제 금액, 사용한 통화 및 예약 데이터) 및 고객의 스위스 항공 웹사이트 방문 사용 데이터(예: 고객이 방문한 웹사이트의 시작, 종료 및 범위, IP 주소 및 클릭 경로에 대한 정보)를 처리할 수 있습니다. 사기 행위가 의심되는 경우, 당사는 평가와 근거 증거를 확인합니다. 신청이 거부되면 알림을 보내드립니다.

처리 목적에는 이 결제 옵션의 제공, 신원 및 신용도 조회(여기에는 신용 기관과 같은 다른 제3자로부터 조회를 받는 것도 포함될 수 있음), 위험 관리(사기 및 남용 행위 방지, 추가 제3자 회사의 참여 포함) 등입니다.

현재 당사는 이용 약관에 따라 제3자 회사(예: ​Powerpay by MF Group AG)를 통해 “계좌 구매” 서비스를 이용할 수 있는 옵션을 제공합니다. 고객이 이 서비스를 이용하는 경우, 서비스 제공업체는 자체 개인정보 보호정책에 따라 독립적인 컨트롤러로서 고객의 개인 데이터를 처리합니다.

고객과의 계약을 이행하는 데 필요한 당사 또는 제3자의 처리(예: 고객이 수락한 이용 약관)는 GDPR 제6조 (1)항 (b)호에 근거합니다. 위에 언급된 목적을 위한 기타 모든 처리는 당사의 정당한 이익에 근거합니다(GDPR 제6조 (1)항 (f)호).

당사는 사기 및 기타 부적절한 사용을 방지하기 위해 결제 거래를 확인할 수 있습니다. 이를 위해, 당사는 내부 및 외부 정보 출처를 모두 활용합니다. 이러한 목적으로, 당사는 뚜렷하고 식별 가능한 기술적 특징도 확인합니다. 사기 행위가 의심되고/되거나 감지되는 경우, 당사는 다른 루프트한자 그룹사와 관련 정보(개인 데이터 포함)를 공유할 수 있으며, 해당 그룹사는 자체 목적을 위해 해당 데이터를 확인할 수도 있습니다(제​4.7절 및 제​7.1절 참조).

이러한 데이터 처리의 근거는 사기 방지 조치에 대한 당사의 정당한 이익입니다(GDPR 제6조 (1)항 (f)호).

특정 공항의 일부 항공편에서 생체인식 서비스 운영사에 등록하여 탑승권이나 스마트폰 없이도 생체인식 신원확인 시스템(안면 인식)의 혜택을 이용할 수 있습니다.

생체인식 프로필 등록 및 생체인식 식별에 필요한 개인 데이터를 처리하기 위해 GDPR에 정의된 데이터 컨트롤러는 해당 서비스 운영사입니다. 다음 운영사의 생체인식 서비스를 이용할 수 있습니다.

• 스타 얼라이언스

당사에서 책임지는 처리

• 온라인 체크인 범위 내에서 디지털 탑승권을 수령한 경우, 당사는 요청 시(즉, 고객이 해당 선택을 하는 경우) 고객이 선택한 생체인식 서비스 운영사에 디지털 탑승권을 전달합니다.
• 당사가 공항에서 운영하는 이용 지점/기기(예: 탑승구)에 해당 카메라가 장착된 경우, 당사는 고객의 간단한 동영상 시퀀스를 녹화합니다. 이로부터 정해진 수의 생체인식 사진을 추출하여 본인 확인을 목적으로 생체인식 신원확인 서비스 운영사로 전송합니다.

수신자 범주

• EU 내에 위치한 IT 서비스 공급업체(프로세서)
• 생체인식 서비스 공급업체(컨트롤러)

데이터 저장 기간

신원확인 프로세스가 완료되거나 고객의 데이터가 전송되는 즉시 고객의 데이터는 이용 지점/기기에서 삭제됩니다.

처리의 법적 근거

고객의 데이터는 GDPR 제6조 (1)항 (a)호 및 제9조 (a)호에 따라 고객의 동의에 근거하여 처리되며, 이는 고객이 등록 중에 각 생체인식 신원확인 서비스 운영사에 제공한 동의입니다. 생체인식 데이터 사용에 대한 고객의 동의는 언제든지 해당 운영사를 통해 철회할 수 있습니다. 고객의 개인 데이터 처리 및 동의 철회에 대한 자세한 내용은 해당 운영사의 개인정보 보호정책을 참조하시기 바랍니다.

• 스타 얼라이언스

셀프 서비스를 이용하거나 일반 정보를 요청하거나 향후 목적지에 대해 알아보려면 웹사이트의 채팅 서비스 또는 지정된 메신저 서비스를 통해 문의할 수 있습니다. 문의 요구 사항이나 복잡성에 따라 실시간 채팅을 통해 서비스 상담원이 답변해드릴 수도 있습니다.

당사는 항공권 재예약 또는 환불 등 고객이 당사의 서비스를 이용하거나 여행 관련 상품 및 서비스에 관한 문의에 답변하기 위해 해당 목적에 필요한 개인 데이터(예: 예약 번호)를 요청합니다.

Travel ID 프로필을 등록한 경우 해당 프로필에 저장된 정보를 바탕으로 개인 맞춤형 서비스를 제공할 수 있습니다(예: 예약 선택 표시). Travel ID 사용과 관련한 고객의 데이터 처리에 대한 자세한 내용은 Travel ID 개인정보 보호정책에서 확인할 수 있습니다.

당사는 WhatsApp Ireland Ltd(주소: 4 Grand Canal Square, Grand Canal Harbour, Ireland)와 데이터 처리 계약을 체결하여 WhatsApp을 통해 문의를 접수합니다. WhatsApp은 통신 시 종단 간 암호화를 사용하므로 채팅에서 공개된 정보는 WhatsApp에 표시되지 않습니다. WhatsApp 사용 시 개인 데이터 처리에 대한 자세한 내용은 WhatsApp 개인정보 보호정책에서 확인할 수 있습니다.

고객의 개인 데이터는 일반적으로 유럽연합 내에서 처리됩니다.

탑승 후 또는 출입문을 닫기 전에 승객 수를 집계하면 항공기 탑승 인원을 정확히 파악할 수 있습니다. 이는 항공 안전을 증진하고 수하물을 올바르게 취급할 수 있도록 도와 안전에도 도움이 됩니다. 그 시점까지는 승무원이 수작업으로 집계합니다. 집계에 오류가 발생하면 비행 지연으로 이어지고, 이를 발견하지 못할 경우 안전에 영향을 미칠 수 있습니다(예: 이륙 집계). 스위스 항공은 집계 절차 자동화로 오류를 최소화하여 안전성을 높이고 탑승 절차를 개선하고자 합니다.

이를 위해 스위스 항공은 서비스 제공업체인 VION AI GmbH(독일)의 인공지능(AI) 모델을 활용하고 있으며, 신원 확인 없이 항공기에 탑승하는 승객을 승무원과 구별할 수 있도록 훈련되어 있습니다. 이를 통해 승객과 기내 수하물을 안정적으로 자동 집계할 수 있습니다.

항공편에서 인공지능을 사용하여 승객 수를 집계하는 경우 항공기 출입문에 이에 관한 안내문을 게시합니다. 집계를 목적으로 탑승객을 촬영한 영상은 집계가 완료된 후 바로 삭제하거나 익명으로 처리합니다. 촬영한 영상을 인공지능 모델을 훈련하는 데 사용하는 경우(일부 항공편에만 해당) 훈련을 마친 후 바로, 그리고 늦어도 촬영 후 6주 이내에 삭제하거나 익명으로 처리합니다.

종합적으로, 승객과 수하물을 자동으로 집계하는 것이 다음에 도움이 됩니다.

• 보안 강화
• 자동화를 통한 탑승 절차 개선, 그리고
• 이러한 목적으로 AI 모델 훈련.

자동화 처리로 항공편 안전을 보장해야 하는 당사의 법적 의무 외에도 이에 대한 법적 근거는 항공편 안전을 강화하고 탑승 절차를 개선하는 당사의 정당한 이익입니다(GDPR 제6조 (1)항 (f)호).

관련 법률에 따라, 데이터 처리는 관련 법률에서 특별히 이를 허용하는 경우에만 허용됩니다. 이는 스위스 데이터 보호법에는 적용되지 않지만 GDPR에 따라 적용됩니다. 위의 각 목적에 명시되지 않은 경우, 고객의 개인 데이터 처리는 다음 법적 근거 중 하나를 기반으로 합니다.

• 뉴스레터, 마케팅 쿠키 등 당사가 요청하는 경우 고객의 동의 (GDPR 제6조 (1)항 (a)호)
• 고객과의 계약 이행 또는 계약 전 조치(예: 당사 또는 당사 파트너 중 하나와의 예약과 관련하여)(GDPR 제6조 (1)항 (b)호)
• 법적 의무 준수(예: EU 지침 2004/82/EC 및 스위스 연방 외국인 및 통합에 관한 법 제104조 이하에 따라 관할 당국에 API 데이터를 전달해야 할 항공 운송업체로서 당사의 의무)(GDPR 제6조 (1)항 (c)호)
• 당사 자체의 이익 및 제3자의 이익(예: 고객 만족도 향상, 광고 및 마케팅 활동 수행 등)을 포함한 정당한 이익; 웹사이트, 앱 및 기타 시스템 개발을 포함한 비즈니스 운영의 보호 및 조직화; 승객, 고객, 직원 및 기타 개인은 물론 루프트한자 그룹의 데이터, 기밀 및 자산을 보호; 위험 관리; 회사, 회사의 일부 또는 기타 자산의 매각 및 매수; 법적 권리 및 청구의 집행 또는 방어, 스위스 및 외국 법률과 내부 규칙 및 규정 준수(GDPR 제6조 (1)항 (f)호).

스위스 항공은 루프트한자 그룹 소속입니다. 루프트한자 그룹 및 그 계열사가 제공하는 자세한 정보 및 보고서는 ​루프트한자 그룹사 프로필에서 확인할 수 있습니다. 스위스 항공은 고객에 대한 계약 의무 이행, 예약 요청에 대한 답변 또는 고객 서비스 제공을 위해 루프트한자 그룹 내에서 개인 데이터를 공개할 수 있습니다. 공개는 그룹 내 관리 또는 관련 그룹사 및 자체 처리 목적에 대한 지원을 용이하게 하는 데 기여할 수 있습니다(제​4.7절 참조).

당사는 종종 데이터 보호법에 따라 다른 루프트한자 그룹사와 공동 컨트롤러로서 협력합니다(예: 고객이 ​Travel ID 사용 시). 또한 당사는 종종 다른 루프트한자 그룹사를 서비스 제공업체로 고용합니다(아래 제​7.2절 참조).

당사가 다른 회사의 서비스를 이용하는 경우, 당사는 고객의 개인 데이터를 다른 회사에 공개할 수 있습니다. 일반적으로 이러한 서비스 제공업체는 소위 “프로세서”로서 당사를 대신하여 개인 데이터를 처리합니다. 당사의 프로세서는 당사의 지침에 따라서만 개인 데이터를 처리하고 데이터 보안을 보장하기 위해 적절한 조치를 취할 의무가 있습니다. 특정 서비스 제공업체는 공동 컨트롤러(예: 제​5.6절에 설명된 Meta)이거나 독립 컨트롤러(예: 제​​5.3절에 설명된 “계좌 결제” 서비스 제공업체)이기도 합니다.

예로는 다음 영역의 서비스가 있습니다.

• 여행 기술
• 광고 및 마케팅 서비스(예: 메시지 및 정보 전달)
• 기업 관리 서비스(예: 회계 또는 자산 관리)
• 결제 서비스
• IT 서비스(예: 데이터 스토리지(호스팅), 클라우드 서비스, 이메일 뉴스레터 전송, 데이터 분석 및 개선)
• 자문 서비스(예: 세무사, 변호사 및 경영 컨설턴트의 서비스).

개별적인 경우, 예를 들어 당사는 고객이 동의했거나 당사가 그러한 정보를 공유할 법적 의무 또는 권한이 있는 경우, 다른 제3자의 자체 목적을 위해 다른 제3자에게 개인 데이터를 공개할 수 있습니다. 이러한 경우, 데이터 수신자는 데이터 보호법에 따라 독립적인 데이터 컨트롤러이며 일반적으로 자체 개인정보 보호정책을 제공합니다.

이러한 경우의 예로는 다음과 같은 경우가 있습니다.

• 스위스 및 해외의 법원 및 당국에 대한 개인 데이터 공개(제​​4.4절의 예 참조)
• 법원 또는 행정 명령을 준수하거나 법적 권리 또는 청구를 집행 또는 방어하기 위해, 또는 기타 법적 근거에 따라 그러한 처리가 필요하다고 판단되는 경우 개인 데이터의 처리. (당사는 소송에 관련된 다른 당사자에게 고객의 개인 데이터를 공개할 수도 있음)
• 추심 대행사와 같은 다른 회사로 청구 이전
• 기업 인수, 매각 및 합병과 같은 기업 거래의 검토 또는 실행

당사 웹사이트 및 앱에 도구를 통합한 제3자 제공업체의 독립적인 데이터 수집에 관한 당사의 ​쿠키 정책을 참조하시기 바랍니다.

전 세계를 운항하는 항공사로서, 당사는 본 개인정보 보호정책에 따라 사용 사례를 기준으로 고객의 개인 데이터를 전 세계 국가로 이전합니다. 해당 국가에는 스위스 또는 EEA와 같은 수준으로 고객의 개인 데이터를 보호하는 법률이 없을 수 있습니다. 당사가 고객의 개인 데이터를 해당 국가로 이전하는 경우, 당사는 적절한 방식으로 고객의 개인 데이터를 보호할 것입니다.

예를 들어, 적절한 데이터 보호를 보장하는 한 가지 방법은 필요한 수준의 데이터 보호를 보장하는 제3국의 개인 데이터 수신자와 데이터 이전 계약을 체결하는 것입니다. 여기에는 표준 계약 조항으로 알려진 유럽연합 집행위원회와 스위스 연방 데이터 보호 및 정보 위원회에 의해 승인, 발행 또는 인정을 받은 계약이 포함됩니다. 당사가 일반적으로 사용하는 데이터 전송 계약의 예는 ​유럽연합 집행위원회 웹사이트에서 확인할 수 있습니다. 이러한 계약은 법적 보호가 미약하거나 누락된 측면을 부분적으로 보완할 수는 있지만 모든 위험을 완전히 배제할 수는 없습니다(예: 해외의 정부 접근). 예외적인 경우, 해외에서의 법적 절차와 관련하여 동의에 근거하거나 계약 이행을 위해 이전이 필요한 경우 등 적절한 보호 조치가 없는 국가로의 이전이 허용될 수도 있습니다.

당사는 다음과 같은 기간 동안 고객의 개인 데이터를 보유합니다.

• 처리 목적 및 양립 가능한 목적을 위해 필요한 기간 동안; 계약의 경우 일반적으로 최소한 계약 관계를 유지하는 기간 동안
• 법적 보유 요건이 적용되는 기간 동안. 예를 들어, 특정 데이터에는 10년의 보유 기간이 적용됩니다.
• 저장에 대한 정당한 이익이 있는 기간 동안. 특히, 청구를 집행하거나 방어하기 위해, 보관 목적으로, 또는 IT 보안을 보장하기 위해 개인 데이터가 필요한 경우가 여기에 해당될 수 있습니다.

당사의 정당한 이익에 근거한 보유 기간의 구체적인 예는 다음과 같습니다.

• 일반적으로 당사는 계약 만료 후 10년 동안 계약 데이터를 보유하며, 이 기간 동안 청구가 발생할 수 있습니다(소멸 시효).
  
• 예를 들어, 비디오 감시 녹화 또는 특정 온라인 프로세스의 기록(로그 데이터)과 같은 기타 데이터에는 일반적으로 더 짧은 보유 기간이 적용됩니다.
• 특정 공항의 경우, 당사는 해당 공항에서 출발하는 승객의 여행 서류를 확인했다는 증거를 정기적으로 당국에 제출해야 하기 때문에 일반적으로 14일 동안 여행 서류의 사본을 보유합니다.
• 제​​5절 및 기타 개인정보 보호정책에 언급된 기타 보유 기간.

“프로파일링”이란 개인의 관심사, 선호도, 친밀도, 습관 분석 또는 행동 가능성 예측 등 개인적 측면을 분석하거나 예측하기 위해 개인 데이터를 자동으로 처리하는 것을 말합니다. 프로파일링은 업계 전반에서 일반적인 절차입니다. 프로파일링은 제​​4절 및 제​5절에 언급된 특정 목적을 위해 당사를 지원하며 앞서 언급된 법적 근거를 기반으로 합니다. 예를 들어, 프로파일링은 다음과 같은 용도로 당사에 도움이 됩니다.

• 지속적인 당사 서비스 개선 및 개인의 요구에 따른 맞춤화(제​4.3절)
• 고객의 요구에 맞춰 당사의 콘텐츠 및 혜택 제시(제​4.2절)
• 고객에게 관련성이 높은 광고 및 혜택 표시(제​​4.2절)
• 고객에게 보다 나은 서비스 지원(제​4.1절 및 제​5.6절)
• 신용 평가 실시(제​5.3절 및 제​5.4절)

“인공 지능”(AI)에 대해 국제적으로 공인된 정의는 아직 존재하지 않습니다. 새로운 모든 기술과 마찬가지로, 스위스 항공은 이러한 기술을 책임감 있는 방식으로 사용하기 위해 최선을 다하고 있습니다. 예를 들어, 당사는 안면 인식 없이 부정확한 집계를 방지하기 위해 항공기 탑승 승객과 승무원 및 지상 직원을 구분하는 AI를 테스트하고 있습니다. 고객이 해당 승객 수에 포함되는 경우 자세한 내용을 확인할 수 있습니다.

당사는 고객에게 이에 대해 별도로 알리지 않는 한 자동화된 처리만을 기반으로 하고 고객에게 법적 결과를 초래하거나 이와 유사한 방식으로 고객에게 중대한 영향을 미치는 어떠한 결정도 내리지 않습니다. 그 다음 고객에게는 고객이 직접 결정을 검토할 수 있는 옵션이 주어집니다.

당사는 고객의 개인 데이터를 보호하고, 무단 또는 불법 처리 활동으로부터 고객을 보호하며, 분실, 의도하지 않은 변경, 부주의한 공개 또는 무단 액세스의 위험에 대응하기 위해 적절한 기술적 및 조직적 보안 조치를 취합니다. 한편, 모든 기업과 마찬가지로 당사는 데이터 보안 침해를 완전히 배제할 수 없으며, 일부 잔존하는 위험은 피하기 어렵습니다.

기술적 성격의 보안 조치에는 데이터의 암호화 및 가명화, 기록 보관, 액세스 제한, 데이터 백업 저장 등이 포함됩니다. 조직적 성격의 보안 조치에는 당사 직원 교육, 기밀 유지 계약 및 감사가 포함됩니다. 또한 당사는 프로세서에게 적절한 기술적 및 조직적 보안 조치를 취하도록 요구합니다(제​7.2절 참조).

특히 당사가 정당한 이익에 근거하여 고객의 개인 데이터를 처리하고 기타 해당 요건이 충족되는 경우 고객은 데이터 처리에 대해 이의를 제기할 수 있는 권리가 있습니다. 또한 고객은 언제든지 직접 광고(예: 광고 이메일)와 관련된 데이터 처리를 거부할 수 있습니다. 이는 직접 광고와 관련된 범위 내에서 프로파일링에도 적용됩니다.

해당 조건이 충족되고 적용되는 법적 예외 사항이 없는 경우, 고객에게는 다음과 같은 권리도 주어집니다.

• 당사가 저장한 고객의 개인 데이터에 대한 정보를 요청할 권리
• 부정확하거나 불완전한 개인 데이터를 수정할 권리
• 고객의 개인 데이터에 대한 삭제 또는 익명화를 요청할 권리
• 고객의 개인 데이터 처리를 제한하도록 요청할 권리
• 구조화되고 일반적으로 사용되며 기계가 읽을 수 있는 형식으로 특정 개인 데이터를 수신할 권리
• 처리가 동의에 기반하는 한, 향후 효력을 갖는 동의를 철회할 수 있는 권리

신원이 의심되거나, 타인을 보호하거나, 보호할 가치가 있는 이익을 보호하거나, 법적 의무를 준수하기 위해 필요한 경우 등 개별 사안에 따라 이러한 권리가 제한되거나 배제될 수 있습니다. 고객이 특정 권리를 행사하는 데 비용이 발생하는 경우, 당사는 사전에 이에 대해 고객에게 고지합니다.

일반적으로 이러한 권리를 행사하려면 고객이 본인의 신원을 증명해야 합니다(고객의 신원이 분명하지 않거나 다른 방법으로 신원을 확인할 수 없는 경우 여권 또는 신분증 사본으로 증명해야 함).

고객은 다음과 같은 방법으로 이러한 권리를 행사할 수 있습니다.

• 고객의 요청과 관련된 사용자 계정 또는 앱 방문 예를 들어, 고객의 ​Travel ID 프로필에서, 고객은 언제든지 대부분의 마스터 데이터의 현재 상태를 직접 확인하고, 동의를 철회하고, Travel ID 프로필을 삭제할 수 있습니다.
• 뉴스레터 및 기타 광고 이메일의 수신 거부(일반적으로 이메일 마지막에 게시함)
• ​데이터 주체의 권리에 대한 문의 양식 이용. 첫 번째 답변을 받기까지 최대 30일이 소요될 수 있다는 점에 유의하시기 바랍니다.

당사는 데이터 처리와 관련하여 고객 여러분이 가질 수 있는 우려 사항을 해소할 기회를 주신 것에 감사드립니다. 한편, 고객은 관할 감독 당국에 자유롭게 불만을 제기할 수 있습니다.

개별 예약 또는 서비스에 대한 요청이나 피드백과 같이 데이터 보호와 관련이 없는 문의는 당사 데이터 보호 팀이 답변하거나 전달하지 않습니다. 당사 ​서비스 센터를 방문하여 적절한 문의 양식을 사용하거나 비즈니스 파트너를 대리하는 경우 스위스 항공 담당자에게 연락하십시오.

본 개인정보 보호정책은 사전 통지 없이 수시로 변경될 수 있습니다. 당사 웹사이트에 게시된 최신 버전이 적용됩니다.