본 계약(아래 정의)에 대한정보 처리 부록("DPA")은 Dell 이 귀하("고객")에 제공하는 클라우드 서비스(클라우드 서비스 제공 계약에 의거하여 제공되는 서비스)("서비스 제공")에 관련 개인정보 보호법률이 규율하는 개인정보의 처리가 포함되고 Dell 이 개인정보처리자(“컨트롤러”)인 고객을 대신하여 수탁처리자(“프로세서”) 역할을 수행하는 경우에 적용된다. 본 DPA 는 Dell 이 컨트롤러인 경우에는 적용되지 않는다. 본 DPA 와...

정보 처리 부록

본 계약(아래 정의)에 대한정보 처리 부록("DPA")은 Dell 이 귀하("고객")에 제공하는 클라우드 서비스(클라우드 서비스 제공 계약에 의거하여 제공되는 서비스)("서비스 제공")에 관련 개인정보 보호법률이 규율하는 개인정보의 처리가 포함되고 Dell 이 개인정보처리자(“컨트롤러”)인 고객을 대신하여 수탁처리자(“프로세서”) 역할을 수행하는 경우에 적용된다. 본 DPA 는 Dell 이 컨트롤러인 경우에는 적용되지 않는다. 본 DPA 와 계약이 상충하는 경우에는 본 주제와 관련하여 본 DPA 가 우선한다.

1. 정의.

본 부록에서 정의되지 않은 용어는 계약(아래 정의)에 규정된 의미를 가진다. 본 DPA 에서 사용되는 용어는 다음과 같은 의미를 가진다.

1.1 "계약"은 클라우드 서비스 제공 계약을 의미한다.

1.2 "컨트롤러"는 단독으로 또는 제 3 자와 공동으로 개인 정보 처리의 목적 및 수단을 결정하는 주체인 개인정보처리자를 의미한다.

1.3 "GDPR"은 유럽연합의 일반 개인정보보호 규정(General Data Protection Regulation (EU)) 2016/679 를 의미한다.

1.4 "모델 조항"은 유럽 경제 연합(“EEA”)로부터 EEA 외의 국가(영국(“영국” 또는 “UK”) 포함)로의 전송과 관련하여 개인 정보를 전송하는 데 적용되는 표준 계약 조항(Standard Contractual Clauses) (결정 2021/914/EU)을 의미하며, 이는 수시로 개정되거나 대체될 수 있다. 또한 UK 로부터 UK GDPR 에 따른 적절한 결정이 적용되지 않는 국가로의 전송과 관련하여 개인 정보를 프로세서에게 전송하는 데 적용되는 표준 계약 조항(Standard Contractual Clauses) (결정 2010/87/EU)을 의미한다.

1.5 "개인 정보"는 식별되거나 식별 가능한 자연인과 관련하여 Dell 이 계약 이행 중에 처리하는 모든 정보를 의미한다.

1.6 “개인 정보 침해"는 본 DPA 에 따라 처리된 개인 정보의 우발적 또는 불법적인 파기, 손실, 변경, 무단 공개 또는 액세스를 유발하는 보안 위반을 의미한다.

1.7 "개인정보 보호법률"은 GDPR, UK GDPR, 캘리포니아 소비자 개인정보 보호법("CCPA"), 기타 유사한 법률 등, 본 계약의 당사자와 제공된 서비스 제공에 적용되는 모든 정보 보호 및 개인정보 보호법률을 통칭한다.

1.8 “처리”는 수집, 기록, 정리, 구조화, 저장, 수정 또는 변경, 검색, 조회, 사용, 전송에 의한 공개나 배포 또는 기타 방법에 의한 제공, 정렬 또는 조합, 제한, 삭제 또는 폐기 등, 자동화 수단에 의한 것 여부에 관계없이 개인 정보 또는 개인 정보 집합에 대해 수행되는 모든 작업 또는 작업 집합을 의미한다.

1.9 "프로세서"는 컨트롤러를 대리하여 개인 정보를 처리하는 주체인 개인정보 수탁처리자를 의미한다.

1.10 "하위 프로세서"(Subprocessor)는 Dell 이 서비스 제공을 위해 고용한 모든 개인정보 수탁처리자를 의미한다.

1.11 “UK GDPR”은 영국 현지법에 따라 영국이 유럽연합(EU)에서 탈회할때까지 유지되는 GDPR 을 의미하며, 수시로 개정될 수 있는 영국 정보 보호법 2018 (UK Data Protection Act 2018)과 함께 참조한다.

2. 개인 정보의 처리.

2.1 양 당사자의 역할.

Dell 은 컨트롤러인 고객을 대리하는 프로세서로서 계약에 따라 개인 정보를 처리할 수 있다.

2.2 지침.

Dell 은 고객의 서면화된 지침에 따라 개인 정보를 처리해야 한다. 고객은 본 DPA, 계약 및 후속 작업 기술서(SOW) 또는 서비스 주문서와 고객 또는 고객의 승인된 사용자가 요구한 구성 방식(configuration)이 개인 정보 처리와 관련하여 고객이 Dell 에게 제공하는 완전한 지침을 구성한다는 데 동의한다. 모든 추가 또는 대체 지침은 양 당사자들이 서면으로 합의하여야 하며, 이때 서면 합의는 해당 지침의 준수에 관련하여 발생할 수 있는 비용에 관한 합의를 포함하여야 한다. Dell 은 고객 지침이 해당 법률을 준수하는지 결정해야 할 책임이 없다. 그러나 고객 지침이 해당 개인정보 보호법률을 침해한다고 판단되는 경우에 Dell 은 이를 합리적으로 가능한 한 신속하게 고객에게 통지해야 하며, 이러한 법률 위반 지침을 준수할 의무를 지지 않는다. Dell 또는 하위프로세서는 Dell 및/또는 하위프로세서의 조치 또는 과실로 인해 발생하는 고객 또는 제 3 자가 제기한 청구에 대해 고객의 지시를 준수함으로써 발생한 한도 내에서 책임을 지지 않는다.

2.3 처리 세부 사항.

처리의 주제, 기간, 성격 및 목적, 개인 정보 및 정보 주체의 유형 등에 대한 세부사항이 계약 및 별첨 1 에 규정되어 있다.

2.4 규정 준수.

고객과 Dell 은 서비스와 관련하여 처리되는 개인 정보에 적용되는 개인정보 보호법률에 따른 각각의 의무를 준수할 것에 동의한다. 고객은 개인 정보를 Dell 에게 공개, 전송 또는 기타의 방식으로 제공하기 전에 개인 정보 처리의 적법성에 관한 개인정보 보호법률 규정을 준수해야 할 전적인 책임이 있다.

3. 하위 프로세서(Subprocessors).

3.1 하위 프로세서의 사용.

Dell 은 고객의 일반적이거나 구체적인 서면 동의를 얻어서 하위 프로세서를 사용할 수 있다. 고객은 Dell 이 서비스 제공와 관련하여 개인 정보를 처리하기 위해 하위 프로세서를 선임 및 사용할 수 있다는 데 동의한다. 다만 Dell 은 (i) 해당 하위 프로세서가 제공할 서비스에 관련된 의무사항을 규정하고, (ii) 본 DPA 에 따라 Dell 에 부과되는 권리 및/또는 의무와 실질적으로 유사한 의무를 부과하는 서면 계약을 해당 하위 프로세서와 체결해야 한다. 하위 프로세서는 제 3 자 또는 Dell 회사 그룹의 한 회사일 수 있다. 하위 프로세서가 위에 규정된 정보 보호 의무를 이행하지 못한 경우에 Dell 은 해당 하위 프로세서의 의무를 이행해야 할 책임을 고객에 대해 진다.

3.2 하위 프로세서 목록.

Dell 이 서비스 제공을 지원하기 위해 고용하는 하위 프로세서의 목록은 Dell 이 xxx.xxxx.xxx/xxxxxxxxxxxxx 에 게시한다.

4. 보안.

4.1 기술적 및 조직적 보안 조치.

Dell 은 업계 표준, 비용, 처리의 성격, 범위, 맥락 및 목적, Dell 시스템의 개인 정보 처리와 관련된 기타 관련 상황을 고려하여 개인 정보 처리와 관련된 처리 시스템 및 서비스 제공의 보안, 기밀성, 무결성, 가용성 및

복원력이 해당 개인 정보 처리에 수반된 위험에 비례하도록 적절한 기술적 및 조직적 보안 조치를 이행해야 한다. 고객은 계약에 규정된 기술적 및 조직적 보안 조치가 개인정보를 보호하여 이 조항의 요건을 충족할 수 있는 적절한 보안 수준을 제공하고 있다는 것에 동의한다. Dell 은 주기적으로 (i) 안전 장치, 통제 조치, 시스템 및 절차의 유효성을 테스트 및 모니터링하고, (ii) 개인 정보의 보안, 기밀성 및 안정성에 발생할 수 있다고 합리적으로 예측 가능한 내외부 위험을 파악해야 한다. 고객은 고객이 제공하거나 관리하는 서비스 및 제품의 개인정보 보호 및 보안 조치를 이행, 구성 및 유지해야 할 책임이 있다.

4.2 기술 진보.

정보 보안 조치는 기술적으로 진보 및 발전될 수 있으며, Dell 은 이에 따라 이러한 조치를 수정할 수 있다. 다만 수정 작업으로 인하여 계약에 따라 제공되는 서비스 제공의 전체 보안 수준이 저하되어서는 안 된다.

4.3 정보 접근.

Dell 은 개인정보에 접근할 수 있도록 허가된 사람이 (i) 비밀 유지를 서약하거나 적절한 법적 비밀 유지 의무의 적용을 받게 하고, (ii) 해당 법률에 규정된 경우를 제외하고는 Dell 의 서면화된 지침에 따라서만 개인정보에 액세스할 수 있도록 보장해야 한다.

5. 개인정보 침해.

Dell 은 계약에 따라 제공하는 서비스 제공와 관련하여 개인정보 침해를 알게 된 경우에 이를 과도한 지연 없이 고객에게 통지할 것이며, 가능한 경우, 고객이 개인정보 침해로 인한 부정적인 영향을 경감하는 데에 도움이 될 수 있는 적절한 지원 활동을 수행하기 위한 합리적인 노력을 할 것이다.

6. 해외 전송.

Dell 은 서비스 제공과 관련하여 또는 통상적인 업무 과정 중에 개인정보를 전 세계 계열사 및/또는 하위 프로세서에게 전송할 수 있는 권한이 있다. 이러한 전송 시, Dell 은본 계약에 따라 내지는 본 계약과 관련하여 전송되는 개인정보를 보호하기 위해 적절한 보호 조치가 취해지도록 해야 한다. 서비스 제공 중에 개인정보를 유럽 경제 지역("EEA") 또는 영국으로부터 (개인정보 보호법률에 따른 적절성 결정이 적용되지 않는) EEA 또는 영국 이외의 국가로 전송하는 경우에 Dell 은 모델 조항을 사용할 것이며, 그 밖에 해당 개인정보 보호법률에 따른 적절한 추가 조치 내지는 기타 적절한 정보 전송 방식을 취할 것에 동의한다.

7. 개인 정보 삭제.

종료 사유를 불문하고 서비스 제공이종료되는 경우, 양 당사자는 계약에 규정된 정보 삭제 절차를 따를 것에 동의한다.

8. 협력.

8.1 정보 주체의 요청.

Dell 은 개인정보 보호법률에 따른 정보 주체의 요청이 있을 경우에 이를 즉시 고객에 통지해야 한다. 이러한 요청에 응해야 할 책임은 고객에게 있으며, Dell 은 고객이 서비스 제공의 사용 시에 해당 개인정보에 액세스할 수 없는 경우에도 정보 주체의 요청에 응할 수 있도록 합리적인 지원을 제공할 것이다. Dell 은 이러한 지원과 관련하여 발생하는 비용이 명목비의 수준을 벗어나는 경우에 이를 고객에 청구할 수 있는 권리가 있다.

8.2 제 3 자의 요청.

Dell 이 소환장, 법원 명령, 정부기관 조치 또는 기타 법률상의 요청 또는 규제기관의 요청에 따라 고객의 개인 정보를 공개해야 하는 경우, 해당 법률에서 금지하는 경우를 제외하고는, 관련 통지 및 정보 공개 요청서의 사본을 가능한 한 신속하게 고객에 제공해야 한다. 고객이 요청하는 경우에 Dell 은 공개 요구에 대한 이의 제기를 위한 합리적인 조치들을 취할 수 있으며, 이 때 관련 비용은 고객의 부담으로한다.

8.3 개인정보 보호의 영향 평가 및 사전 협의.

개인정보 보호법률에서 요구하는 경우에 Dell 은 고객에게 Dell 의 개인정보 처리에 관련된 정보 보호의 영향 평가 및/또는 감독 기관과의 필요한 사전 협의를 수행하는 데 필요한 적절한 지원을 제공해야 한다. Dell 은 이러한 지원 제공에 발생한 합리적인 비용을 고객에 청구할 권리가 있다.

9. 컴플라이언스 증명.

Dell 은 고객의 감사(audit) 요청 시에 Dell 조직의 보안 관행 및 태세와 관련하여 표준화된 정보 수집("SIG") 설문지("보안 설문지")를 제출할 것에 동의한다. 보안 설문지 양식은 Dell 정책 및 표준을 기준으로 매년 검토해야 하며, NIST 800-53r4, NIST CSF 1.1, CIS Top 20 또는 ISO 27001 과 같이 해당되는 현행 미국 및 국제 규제 및 개인정보 보호 표준을 반영하여 업데이트된다.

보안 설문지, 관련 문서 및/또는 Dell 이 고객에게 일반적으로 제공하는 기타 컴플라이언스 정보의 제공에도 불구하고, 표준 계약 조항(Standard Contractual Clauses) 또는 관련 개인정보 보호법률에 따른 고객의 감사 요건이 적절히 충족될 수 없는 경우에는 Dell 은 고객의 추가 감사 지침에 대해 신속하게 응답할 것이다.

감사를 개시하기 전, 고객과 Dell 은 감사의 범위, 시기, 기간, 통제 및 증거 요청, 감사 비용 등에 대해 상호 합의해야 한다. Dell 은 이와 같은 합의 요건을 이유로 감사의 이행을 불합리하게 지연시킬 수 없다. Dell 은 감사를 수행하는 데 필요한 범위 내에서 Dell 의 개인정보 처리에 관련된 처리 시스템, 시설 및 근거 문서를 제공해야 한다. 이러한 감사는 독립적이고 공인된 제 3 자 감사 법인이 수행하며, Dell 에 대한 적절한 사전 통지를 제공한 후, 정규 근무 시간 중에 수행되어야 하며, 적절한 비밀 유지 절차를 준수하며 이루어져야 한다. 고객이나 감사인은 Dell 의 다른 고객들이 제출한 정보 또는 서비스 제공과 관련없는 Dell 시스템 또는 시설에 접근 또는 출입할 수 없다. 고객은, Dell 이 수행한 기타 용역의 수수료 지급과 별도로, Dell 이 이러한 감사를 위해 투입한 모든 시간에 대한 합리적인 범위 내의 비용 및 경비 등, 이러한 감사와 관련하여 발생한 모든 비용 및 경비를 부담할 책임이 있다. 고객의 감사 결과 생성된 감사 보고서에서 주요 위반 사항이 발견된 경우, 고객은 상기 감사 보고서를 Dell 과 공유해야 하며, Dell 은 모든 주요 위반 사항을 즉시 시정해야 한다.

10. CCPA.

Dell 이 CCPA 의 범위 내에 속하는 개인정보를 처리하는 경우에는 고객을 대리하여 개인정보를 처리해야 하며, 개인정보를 DPA 에 규정되고 CCPA 에 따라 허용된 목적 이외의 목적으로 보유, 사용 또는 공개하지 않아야 한다. Dell 은 어떤 경우에도 개인정보를 판매할 수 없다.

별첨 1

정보 처리 설명

1. 처리의 주제 및 기간.

처리의 목적 및 기간은 계약에 따른다.

2. 처리 목적.

개인정보는 서비스 제공 목적에 따라 적절한 방식으로 그리고 선택한 서비스 제공의 수준 및 지원 옵션을 준수하면서 처리된다. 계약과 해당 서비스 설명서 및 작업 기술서는 세부 사항 및 가능한 추가 서비스에 적용된다.

3. 처리의 성격.

처리된 개인정보의 성격은 해당 서비스 제공 설명서 및 작업 기술서에 따른다.

4. 정보 주체의 범주.

정보 주체는 고객의 최종 사용자, 직원, 계약자, 공급업체 및 서비스 제공에 관련된 기타 제 3 자를 포함한다.

5. 개인정보의 유형.

고객이 제출할 수 있는 개인정보의 유형은 관련 서비스 설명서 및 작업 기술서에 규정된다. Dell 은 달리 명시된 경우를 제외하고는 특별한 범주의 정보를 처리하지 않으며, 고객은 특별한 범주의 정보, 개인 건강 정보 또는 기타 유사한 성격의 개인정보를 제공하지 않아야 한다.