Contract

2019년 3월 31일부터 2019년 11월 20일까지 완료된 협약:

서증

데이터 프라이버시 협약

1. xx

1. 적정성 평가 “적정성 평가”란 개인xx 수령인(Recipient)이 있는 국가나 지역 또는 해당 국가나 지역의 수령인 xx가 “적절한” xx의 데이터 xx를 제공한다고 간주하는 유럽 집행위원회(European Commission)의 결정을 xx합니다.

2. 계열사 “계열사”란 xx 당사자를 통제하거나 xx 당사자에 의해 통제되거나 xx 당사자의 일반적인 통제하에 있는 주체를 xx합니다.

3. 데이터 프라이버시 위반 “데이터 프라이버시 위반”xx Seagate 개인 xx의 우발적 또는 불법적인 파괴, xx, xx, 무단 공개, 접근, 획득 또는 Seagate 개인 xx의 기타 무단 처리를 xx합니다.

4. 데이터 보호법 “데이터 보호법”xx (a) “GDPR”(일반 개인xx 보호법) 2016/679 및 “EU”(유럽연합) 또는 “EEA”(유럽 xx 지역) 회원국의 모든 적용 가능한 데이터 xx 법률 및 xx 및 (b) 개인 데이터의 처리 또는 xx를 규율하는 기타 관할권의 적용 가능한 법률 또는 xx을 xx합니다.

5. 데이터 주체 “데이터 주체”란 본 DPA(데이터 프라이버시 협약)에 따라 Seagate

개인 xx를 처리할 수 있는 식별된 또는 식별 가능한 자연인을 xx합니다.

6. Seagate 개인 xx “Seagate 개인 xx”란 Seagate에 의해 또는 Seagate를 위해 생성, xx 또는 제공된, 식별된 또는 식별 가능한 자연인과 관련된 xx로서, 공급업체가 접근, 획득, xx, 유지 또는 당사자 및/또는 그 계열사 간 계약과 xx하여 처리할 수 있는 xx를 xx합니다.

7. 데이터 처리 “데이터 처리”란 Seagate 개인 xx의 수집, xx, xx, 구조화, xx, xx, 접근, 공개, 배포, 복사, 전송, 저장, 삭제, 조절, 조합, 제한, xx, 검색, 컨설팅, 파기 또는 폐기 등을 포xxx 이에 국한되지 않는, 자동화된 방법의 여부와 xx없이 Seagate 개인 xx에 대해 xx된 모든 작업을 xx합니다.

8. 프라이버시 실드 “프라이버시 실드”란, 미국 상무부와 유럽위원회가 개발한 유럽연합-미국 프라이버시 실드 프레임워크 및 미국 상무부와 스위스가 개발한 스위스-미국 프라이버시 실드 프레임워크를 xx하며, xx에는 다음에서 찾아볼 수 있는 프라이버시 실드 원칙 및 보충 원칙이 포함됩니다: xxxxx://xxx.xxxxxxxxxxxxx.xxx/XX-XX-Xxxxxxxxx.

9. 민감 xx 다음 xx의 Seagate 개인 xx를 xx합니다: (i) 주민등록번호, 납세자 식별 번호, xx 번호, xx면허증 번호 또는 기타 정부 발행 신분증 번호,

(ii) 계좌 또는 xx xx에 접근할 수 있는 코드 또는 비밀번호를 포함 또는 포함하지 않은 xx카드 또는 체크카드 xx xx 또는 금융 계좌 번호, (iii) xx, 종교, 민족, 성생활 또는 성행위 또는 성적 xx, 의료 또는 xx xx, xx xx 또는 생체 xx, 생체 xx 템플릿, 정치적 또는 철학적 신념, 정당 또는 xxx합 xx, xxx회 xx 또는 범죄 xx과 같은 사법 데이터 또는 기타 사법 또는 xx 절차에 관한 xx.

10. 표준 조항 “표준 조항”xx 적절한 xx의 데이터 xx를 보장하지 않는 제삼국에 설립된 xx처리자(Processor)(집행위원회 결정 2010/87/EU 또는 후속 버전)에 개인 xx를 전송하기 위한, xx 조항이 삭제된 표준 계약 조항을 xx합니다.

11. 하도급 xx처리자(Sub-processor) “하도급 xx처리자”란 공급업체 또는 Seagate 개인 xx에 접근하거나 데이터를 xx하거나 처리하는 다른 하도급 xx처리자가 xxx 제삼자를 xx합니다.

12. 공급업체 직원 “공급업체 직원”xx 공급업체가 Seagate 개인 xx의 처리를 인가한 공급업체 피xxx, 계약자, 하도급 xx처리자 또는 대리인을 xx합니다.

13. “개인xx처리자(Controller)”, “xx처리자” 및 “감독 xx”이라는 용어는 GDPR에서 쓰인 용어와 동일한 xx를 가지며 그 동의어는 그에 따라 xx되어🅓 합니다.

14. “포함”이라는 단어는 제한 없는 포함을 xx하는 것으로 xx되며 동의어는 그에 따라 xx되어🅓 합니다.

2. 데이터 xx 및 xx

1. 당사자의 지위 당사자는 Seagate가 개인xx처리자이고 공급업체가 Seagate

개인 xx에 관한 xx처리자임을 xx하고 이에 xx합니다.

2. Seagate 개인 xx 비공개 공급업체는 xx의 섹션 2.5에 xx xx된 xx를 제외하고, Seagate의 사전 서면 xx 없이 어떤 xx에도 어떤 목적을 위해서든 Seagate 개인 xx를 제삼자에게 공개할 수 없습니다.

3. 데이터 처리 제한 공급업체는 당사자 및/또는 그 계열사 간의 계약 또는 Seagate의 서면 지침에 따라 Seagate에 필요한 서비스를 제공하기 위해 필요한 xx를 제외하고는 Seagate 개인 xx를 처리 또는 처리를 xxx서는 안 됩니다.

4. xx xx 프로그램 공급업체는 xx, 기밀성 또는 무결성에 대해 xx되는 위협 또는 위험(무단 접근, 수집, xx, 복사, xx, 처분 또는 공개, 무단, 불법 또는 우발적인 xx, 파괴, 획득 또는 xx 또는 기타 xx되지 않은 xx의 처리)으로부터 Seagate 개인 xx를 xx할 수 있는 적절한 행정적, 기술적, 물리적 안전장치가 포함된 포괄적인 서면 xx xx 프로그램을 xx, 유지, 모니터링하고 필요한 xx 업데이트합니다(“xx xx 프로그램”). xx xx 프로그램은 별표 2에 첨부된 xx 표준에 열거된 조치를 포함합니다.

5. 하도급 xx처리자에 xx 제한 사항 공급업체는 본 섹션 2.5에 명시된 조건에 따라 Seagate에 xx 서비스 xx에 필요한 xx Seagate 개인 xx를 하도급 xx처리자에게 공개할 수 있습니다. 공급업체는 Seagate 개인 xx를 공개할 하도급 xx처리자 목록을 유지 관리해🅓 하며 Seagate가 요청할 xx 해당 목록을 Seagate에 제공합니다. 공급업체는 본 DPA의 발효일 xx 공급업체의 하도급 xx처리자 목록을 Seagate에 제공합니다. 공급업체는 data.protection.contracts@seagate.com을 통해 하도급 xx처리자를 목록에 추가하기 전 영업일 xx 최소 30일 이내에 Seagate에 이를 알려🅓 합니다. Seagate가 통지 접수 후 30영업일 이내에 하도급 xx처리자 xx에 이의를 xx하지 않는 xx 하도급 xx처리자는 xx된 것으로 간주합니다. Seagate가 Seagate 개인 xx에 접근할 수 있는 하도급 xx처리자에 이의를 xx하는 xx 공급업체는 하도급 xx처리자에게 Seagate 개인 xx를 공개하지 않아🅓 합니다. 어느 당사자라도 하도급 xx처리자가 처리 중인 Seagate 개인 xx와 관련된 위험을 방지할 수 있는 적절한 xx을 충분히 제공하지 못하다는 점을 발견한 xx, Seagate는 단독 xx으로 해당 하도급 xx처리자를 목록에서

삭제할 수 있습니다. Seagate가 공급업체에 이의를 xx하거나 삭제할 xx, 공급업체는 해당 하도급 xx처리자를 대체할 수 있도록 합당한 시간을 제공받게 됩니다. 공급업체가 이의 xx를 받은 하도급 xx처리자에게 Seagate 개인 xx를 공개하지 않고서는 서비스를 제공할 수 없을 xx, Seagate는 공급업체에 xx xx 또는 법적 책임 없이 당사자 및/또는 그 계열사 간 해당 계약을 xx할 수 있습니다.

6. 하도급 xx처리자의 xx xx 및 위반 공급업체가 하도급 xx처리자를 xx한다고 해서 공급업체의 DPA 또는 해당 데이터 보호법 xx xx가 감소하지는 않습니다. 공급업체는 하도급 xx처리자에 의한 서비스 이행, 데이터 프라이버시 위반 및 본 DPA 및 해당 데이터 보호법 위반과 xx하여 공급업체가 위반한 것과 xx하게 Seagate에 xx 책임을 부담합니다.

7. 공급업체 직원 및 하도급 xx처리자의 xx 공급업체는 Seagate 개인 xx에 접근하는 모든 개인 또는 하도급 xx처리자가 최소 본 DPA에 명시된 제한 조항에 따라 서면으로 된 개인xx xx정책 및 데이터 xx xx을 xxxxx 해🅓 합니다. 공급업체는 모든 개인xx 및 데이터 xx xx가 Seagate의 데이터 처리 종료 후에도 지속된다는 사실을 확실히 해🅓 합니다. 해당 xx는 영구적으로 또는 최소한 공급업체가 모든 Seagate 개인 xx를 삭제, 파기하고 xx 불가 xx임을 인증할 때까지 지속됩니다.

8. 제한적 접근 권한 공급업체는 당사자 및/또는 그 계열사 간 계약 또는 Seagate의 서면 지침에 따른 xx를 이행하기 위해 공급업체에 접근 권한을 xx하고, (a) 데이터 xx 및 xx xx에 xx 교육을 xxx고, (b) Seagate의 데이터 처리 중 및 처리 후 Seagate가 xx하는 것 이상으로 제한적인 데이터 기밀 xx 사항 xx에 xx한 공급업체 직원 또는 하도급 xx처리자로 Seagate 개인 xx 접근을 제한해🅓 합니다.

9. xx 또는 불만 사항 고지 법으로 xx되어 있지 않는 한, 공급업체는 다음을 비롯하여 Seagate 개인 xx 처리와 관련된 xx 또는 불만 사항을 xx한 xx, 영업일 xx 2일 이내로 data.protection.officer@seagate.com을 통해 Seagate에 통지해🅓 합니다:

1. 데이터 가용성, 접근, xx, 삭제 또는 제한에 xx 데이터 주체의 xx 및 이와 유사한 xx, 또는

2. 데이터 처리가 데이터 주체의 권리를 위반한다는 불만 또는 주장

10. 공급업체의 xx 공급업체는 Seagate가 명시적으로 xxx지 않는 한, 섹션 2.9에 따라 어떤 xxxx 불만 사항에 대해서도 xx해서는 안 됩니다. 공급업체는 xx된 xx 또는 불만 사항과 xx하여 취하는 조치에 대해 Seagate와 협력해🅓 합니다. 법으로 xx되어 있지 않는 한, 공급업체는 xx 또는 불만 사항에 xx하는 데 있어 Seagate를 xx하기 위한 적절한 처리 절차(기술적 및 조직적 조치 포함)를 이행하기 위해 노력해🅓 합니다.

11. xx 공개 xx 법으로 xx되어 있지 않는 한, 공급업체는 Seagate 개인 xx 공개를 xx하거나 xx xx을 주장하는 문서(구두 문의, 질문서, 법적 xx을 위한 xx 또는 문서 xx, 소환장, 민간 조사 xx사, 기타 유사한 xx 또는 처리. “공개 xx”으로 통칭)를 xx하는 xx 즉시 이를 Seagate에 알려🅓 합니다. 공개 xx이 법적 구속력이 없는 xx 공급업체는 xx하지 않습니다. 공개 xx이 법적 구속력이 있는 xx, 공급업체는 준거법에 의해 xx되어 있지 않는 한 적어도 xx하기 48시간 전에 이를 Seagate에 통지하여 Seagate가 공개를 방지 또는 제한할 권한을 행사할 수 있도록 해🅓 합니다. 공급업체는 xx 공개를 방지 및 제한하고 Seagate 개인 xx의 기밀성을 xxx기 위해 합당한 노력을 xx🅓 합니다. 공급업체는 적절한 xx xxxx Seagate 개인 xx의 기밀성 유지를 위한 보장을 받는 데 협력하는 등, 공개 xx에 xx 조치와 xx하여 Seagate와 협력해🅓 합니다.

12. 협조 공급업체는 다음과 xx하여 데이터 보호법에 따른 xx를 이행하는 데 있어 Seagate에게 협조해🅓 합니다: (a) 등록 및 통지, (b) 책임, (c) Seagate 개인 xx xx성 보장, (d) 개인 xx 및 데이터 xx의 xx에 xx 평가 및 감독 xx의 xx xx 이행.

13. xx 조사 참여 공급업체는 감독 xx의 조사에 대해 공급업체 또는 공급업체의 하도급 xx처리자가 처리하는 Seagate 개인 xx와 관련된 범위까지 Seagate를 xx하고 xx해🅓 합니다.

14. 위반 또는 이행 불능의 가능성에 xx 통지 공급업체는 다음과 같은 xx 즉시

Seagate에 통지해🅓 합니다.

1. Seagate 개인 xx 처리와 xx하여 공급업체가 Seagate로 받은 지시가 준거법을 위반한다고 믿을 만한 이유가 있는 xx

2. 본 DPA 또는 데이터 보호법에 따른 xx를 xx하기 어려우며 합당한 시간 내에 이러한 이행 불능 xx를 해결할 수 없다고 믿을 만한 이유가 있는 xx

3. 본 DPA에 따른 xx를 이행하기 어렵xx 만들 수 있는 xx 또는 준거법의 xx이 있음을 알게 된 xx

15. xx xx에 xx 유예 또는 xx Seagate는 준거법, 본 DPA 또는 개인 xx 또는 데이터 xx와 관련된 당사자 및/또는 그 계열사 간 해당 계약의 잠재적 위반 또는 불응을 xxx기 위해 공급업체 또는 하도급 xx처리자의 Seagate 개인 xx 처리를 중단할 수 있습니다. 공급업체는 위반 또는 이행 불능 가능성을 xx하기 위해 Seagate의 xx 처리 xx에 협조해🅓 합니다. 조정할 수 없을 xx, Seagate는 공급업체에 xx xx 또는 법적 책임 없이 당사자 및/또는 그 계열사 간 해당 계약을 xx할 수 있습니다.

3. 데이터 전송

1. 유럽xx지역 표준 조항 공급업체가 EEA 내에서 받은 개인 xx를 적정성 평가의 적용을 받지 않는 EEA 외부 개인xx 수령인에게 전송하는 xx, 공급업체는 별도로 제공되는 표준 조항을 적용해🅓 합니다. 해당되는 xx 공급업체는 하도급 xx처리자도 표준 조항을 이행하는지 확인해🅓 합니다.

2. 프라이버시 실드 인증 공급업체가 프라이버시 실드 인증을 받은 xx에는 당사자 및/또는 그 계열사 간 계약 기간 xx 프라이버시 실드 인증 xx를 유지해🅓 합니다. 공급업체는 xx 공개 전에 하도급 xx처리자와 적절한 향후 전송 계약을 체결해🅓 합니다. 공급업체가 프라이버시 실드에 따라 xx되는 xx의 xx를 제공할 xx를 더 이상 xx할 수 없다고 판단하는 xx에는 즉시 이를 Seagate에 서면으로 알리고 프라이버시 실드 인증과 관련된 모든 Seagate 개인 xx를 반환하거나 파기해🅓 합니다.

3. 기타 사법 xx 해당되는 xx, 공급업체는 별표 1에 첨부된 특정 관할 구역의 xx을 xx해🅓 합니다.

4. xx xx 및 책임

1. xx xx 공급업체는 공급업체 및 하도급 xx처리자가 Seagate 개인 xx 처리에 있어 준거법, 자체 xx 프레임 워크 및 공급업체 및 하도급 xx처리자에 적용되는 계약 xx을 xx하는지 확인해🅓 합니다. 공급업체는 공급업체와 하도급 xx처리자의 xx을 매년 검토하여 본 DPA와 모든 준거법을 xx하는지 확인해🅓 합니다. 공급업체는 본 DPA에 명시된 데이터 xx 및 xx 조건을 xx하는지 입증하라는 Seagate의 xx이 있는 xx 자체적으로 xx을 부담하여 이에 협조해🅓 합니다.

2. 처리 xx xx 공급업체는 공급업체 xx 및 데이터 xx 책임자, xx된 데이터 처리 xx의 xx, 국외 데이터 전송 xx xx, 처리된 데이터와 xx하여 xx된 xx 조치의 개괄적 xx, Seagate 개인 xx 하도급 xx처리자 각각의 이름, 연락처 및 데이터 처리 xx xx, 해당되는 xx 하도급 xx처리자 xx 및 데이터 xx 책임자에 관한 xx xx xx을 최신 xx로 유지합니다. xx이 있을 xx, 공급업체는 해당 xx의 과거 및 xx 사본을 Seagate에 제공합니다.

3. 감사 공급업체는 서면 xx에 따라 본 DPA xx를 입증하기 위한 모든 xx를 Seagate에 제공하고 Seagate 개인 xx 처리와 xx하여 Seagate 또는 Seagate가 위임한 독립적인 제삼자 감사 업체의 현장 검사를 포함한 감사를 xxx고 이에 협조해🅓 합니다. 독립적인 제삼자 감사 업체는 당사자와 비공개 협약을 체결해🅓 합니다. 공급업체는 합당한 시간 내에 xx 비준수를 해결해🅓 합니다. 이를 해결할 수 없는 xx, Seagate는 공급업체에 xx xx 또는 법적 책임 없이 당사자 및/또는 그 계열사 간 해당 계약을 xx할 수 있습니다.

5. 데이터 프라이버시 위반 후 공급업체의 책임

1. 데이터 프라이버시 위반 통지 공급업체는 데이터 프라이버시 위반 가능성을 처음 알게된 후 24시간 내에 알려지거나 xx스러운 xx 위반에 대해 서면으로 Seagate에 통지하고 즉시 다음과 같은 조치를 취해🅓 합니다.

1. data.protection.officer@seagate.com을 통해 데이터 프라이버시 위반에 대해 Seagate에 통지

2. 데이터 프라이버시 위반 사건을 조사하거나 조사에 필요한 도움을 제공

3. Seagate에 xx 데이터 주체의 xx, 위치 및 대략적인 수 및 Seagate 개인 xx xx의 xx, 위치 및 대략적인 수를 포xxx 이에 국한되지 않는 데이터 프라이버시 위반에 관한 세부 xx를 제공하고 데이터 프라이버시 위반에 관한 추가 xx가 있을 xx 즉시 Seagate에 xx xx 제공

4. 데이터 프라이버시 위반 사건의 xx을 xx하기 위해 상업적으로 합리적인 모든 단계를 취하거나 이를 위해 Seagate를 도움

5. Seagate의 xx 여부에 따라 구제 계획을 xx하고 xx적절하게 적합한 xx 조치를 취할 수 있도록 데이터 프라이버시 위반 및 Seagate 개인 xx xx 취약성의 해결을 모니터링

2. 제지 및 해결 공급업체는 데이터 프라이버시 위반을 즉시 제지 및 해결하고 추가적인 데이터 프라이버시 위반을 방지해🅓 합니다. 공급업체는 데이터 프라이버시 위반을 제지 및 해결하기 위해 해당 데이터 보호법 및 산업 표준을 xx하기 위한 모든 조치를 취해🅓 합니다.

3. 커뮤니케이션 공급업체는 Seagate의 사전 xx 없이는 Seagate임을 식별하거나 식별할 가능성이 있거나 Seagate의 xx을 xx시키는 xx으로 데이터 프라이버시 위반과 관련된 커뮤니케이션을 해서는 안 됩니다.

4. 증거 보존 공급업체는 사고 대응책을 유지 관리해🅓 합니다. 데이터 프라이버시 위반을 발견한 xx, 공급업체는 위반과 관련된 증거를 보존하고 공급업체의 사고 대응책에 따라 명확한 xx 체계를 유지해🅓 합니다.

5. 협조 공급업체는 Seagate 개인 xx의 xx, 공개, xx 및 유지 xx와 관련된 Seagate의 권리를 xx하기 위해 Seagate가 xx하는 xx, 조사 또는 기타 조치에 있어 Seagate에게 협조해🅓 합니다. 공급업체는 데이터 프라이버시 위반에 xx xx, 구제 또는 조사 및/또는 잠재적 손해의 xx를 위해 Seagate 및/또는 Seagate의 xx 대리인이 요청한 합당한 xx 및 협력을 제공할 것을 xx합니다. 이에는 Seagate가 xx을 받는 데이터 주체, xx xx 또는 제삼자에게 보내는 것이 적절하다고 판단한 모든 통지 및/또는 Seagate가 xx을 받는 데이터 주체에 제공하는 것이 적절하다고 판단하는 xx 보고 서비스 제공이 포함됩니다. 공급업체는 조사, xx 및 통지를 포함하되 이에 국한되지 않는, 공급업체 데이터 프라이버시 위반과 관련된 Seagate의 합당한 xx에 xx 책임을 부담합니다.

6. SEAGATE 개인 xx의 반환 및 안전한 삭제

1. 데이터 무결성 공급업체는 다음을 비롯하여 데이터 무결성을 xxx기 위한 Seagate의 모든 지침을 xx해🅓 합니다: (a) 공급업체가 유지 xxxxx 서비스 제공에는 더이상 필요하지 않은 Seagate 개인 xx의 처분, (b) 공급업체가 Seagate를 xx하여 만든 Seagate 개인 xx가 xx하고 최신 xxxx 확인,

(c) Seagate의 xx에 따라 모든 해당 법률에 의거하여 Seagate가 모든 Seagate

개인 xx에 접근할 수 있도록 허용.

2. Seagate 개인 xx의 반환 및 삭제 (a) Seagate의 xx이 있거나 (b) Seagate의 지시에 따라 Seagate 개인 xx 처리와 관련된 당사자 및/또는 그 계열사 간 본 계약이 만료 또는 조기 종료되는 xx 중 먼저 발생하는 사건의 시점에, 공급업체는 Seagate가 xx 바와 같이 xx 판독 및 xx xx이 가능한 xx으로 모든 Seagate 개인 xx를 내보내거나 Seagate 또는 제삼자 xx 대리인이 이같은 xx를 내보낼 수 있는 권한을 제공하고, 하도급 xx처리자에게도 그렇게 xxx 지시해🅓 합니다. 공급업체는 Seagate가 별도의 xx을 부담하지 않고 Seagate 데이터에 완전히 접근하고 내보내는 데 필요하다고 Seagate에서 정하는 기간 xx Seagate 개인 xx를 유지 관리해🅓 합니다. 각 당사자는 Seagate 개인 xx를 마이그레이션할 담당자를 xx하고 시의적절하고 원활한 전송을 위해 xxx실의 원칙으로 신속하고 근면하게 작업해🅓 합니다. Seagate가 (a) Seagate 개인 xx의 올바른 xx 및 이전 확인 또는 (b) 공급업체에 Seagate 개인 xx의 이전 취소 통지 후 90일 이내에 공급업체 및 하도급 xx처리자는 모든 Seagate 개인 xx를 안전하게 파기하고, Seagate의 작업 공간 식별자를 연결 xx하고, 새로운 데이터로 덮어쓰거나, 그렇지 않으면 xx된 데이터 삭제 방법을 xx하여 Seagate 개인 xx를 파기해🅓 합니다.

3. Seagate 개인 xx 파기 공급업체가 Seagate 개인 xx가 포함된 종이, 전자적 또는 기타 xx을 처분하는 xx, 공급업체는 (Seagate 개인 xx의 민감성을 고려하여) 다음과 같은 모든 합당한 조치를 취하여 Seagate 개인 xx를 파기합니다: (a) 파쇄, (b) xx 소거 및 삭제, (c) 디가우징(degaussing), 또는 (d) 기타 방법으로 읽기 불가, 재구성 불가, 해독 불가 xx로 Seagate 개인 xx xx. 공급업체가 Seagate 개인 xx 사본이 들어 있는 드라이브 xx을 중단하거나 이를 폐기하는 xx에는 NIST 800-88 Revision 1에 따라 드라이브를 안전하게 파쇄하거나 파기하여 Seagate 개인 xx를 읽을 수 없이 폐기 되도록 처리해🅓 합니다. 공급업체는 드라이브를 파쇄하거나 파기했으며 Seagate 개인 xx를 읽거나 불러 오거나 xx 재구성할 수 없게 되었음을 서면으로 확인해🅓 합니다.

4. 보존에 xx 통지 공급업체가 본 DPA에 따라 허용된 기간이 지나도 Seagate 개인 xx를 xx할 법적 xx가 있는 xx에는 그러한 xx에 대해 서면으로 Seagate에 알려🅓 하며, 법정 보존 기간이 끝난 후에는 xxx 빨리 Seagate 개인 xx를 반환 또는 파기해🅓 합니다. 본 DPA는 공급업체가 Seagate 개인 xx에 xx xx, 통제 또는 접근을 중단할 때까지 xx합니다.

5. 문서 공급업체는 본 DPA와 관련된 Seagate 개인 xx의 보존 또는 처분에 xx xx을 문서화해🅓 합니다. Seagate의 xx이 있을 xx, 공급업체는 보존 문서 및 본 DPA에 따라 Seagate 개인 xx가 안전하게 파기되었다는 서면 증서를 제공해🅓 합니다.

7. 기타

1. xx 본 DPA는 (i) 당사자 간 다른 유효한 계약이 없고 (ii) 공급업체가 Seagate

개인 xx에 xx xx, 통제 또는 접근을 중단할 때까지 xx합니다.

2. xx 순위 본 DPA와 당사자 및/또는 그 계열사 간 계약 xx에 불일치가 있는 xx, 다른 계약이 xxx는 별표 3(xx 표준)에 관한 불일치를 제외하고는 본 DPA의 조항이 xx합니다. 본 DPA는 표준 조항을 제한하거나 제약하지 않으며, 단지 이를 xx하는 것으로 간주하여🅓 합니다.

3. 업데이트 당사자는 해당 법률 및 xx을 xx하기 위해 필요에 따라 xx 서면 합의를 통해 본 DPA를 업데이트할 수 있도록 합리적인 xx으로 협력합니다.

4. xx의 수혜자 Seagate의 계열사는 본 DPA xx에 따른 xx의 수혜자로서, 본 계약의 xxx처럼 본 DPA의 조건을 이행할 수 있습니다. 또한 Seagate는 계열사가 별도로 공급업체에 대해 법적 조치를 취xxx 하지 않고 계열사를 xx하여 본 DPA 조항을 이행할 수 있습니다.

5. 감독 xx에 DPA 공개 Seagate는 본 DPA의 요약본 또는 사본을 감독 xx에 제공할 수 있습니다.

6. xx 계약 xx 본 DPA의 조항이 효과가 없거나 또는 xx하지 않은 xx, 이는 나머지 조항에 xx을 미치지 않습니다. 당사자는 효과가 없거나 xx하지 않은 조항을 효과가 없거나 xx하지 않은 조항의 목적을 반영하는 합법적인 조항으로 대체해🅓 합니다. 필요한 조항이 누락된 xx, 당사자는 xxx실의 원칙으로 적절한 조항을 xxx🅓 합니다.

7. 상대방 본 DPA는 전자 xx으로 xx될 수 있으며, 해당 전자 xx은 증거 목적을 xx 원본으로 취급되어🅓 합니다. 본 DPA는 둘 이상의 상대방이 xx할 수 있고, 어느 쪽도 양쪽 당사자의 xx xx를 포함할 필요가 없으며, 각각의 xx은 원본으로 간주하고, 모든 xxx xx의 동일한 법률 문서를 xx합니다.

8. xx 본 DPA의 xx은 참조용이며 본 계약의 xx에 xx을 미치지 않습니다.

별표 1

특정 관할 지역에 xx 데이터 프라이버시 xx사항 다음과 같은 xx사항은 지정된 관할 지역에 적용됩니다.

1. 오스트레일리아

1. 적용 가능성 본 섹션 1의 조항은 (a) 공급업체가 호주에 위치한 Seagate 계열사로부터 Seagate 개인 xx를 받거나 이에 접근하는 xx, 또는 (b) Seagate가 공급업체에 Seagate 개인 xx가 이러한 xx 사항을 xx해🅓 함을 통지하는 xx 적용됩니다.

2. 전문가 또는 무역 협회의 xx 자격 “민감 xx”에는 전문가 협회 또는 무역 협회의 xx 자격에 xx 개인 xx도 포함됩니다.

3. 호주 개인 xx xx 정책 공급업체는 Seagate 개인 xx 취급 시, 또는 본 DPA에 따라 서비스 제공 시, 호주 개인 xx xx 정책을 포함하여 개인 xx 보호법 1988(Cth)에 따라 해당 xx를 xx해🅓 합니다.

4. xx 목적을 위한 xx 또는 공개 통지 공급업체가 법 집행 xx이 xx하거나 집행 xx을 xx하여 xx하는 한 가지 이상의 집행 xx을 위해 개인 xx를 xx 또는 공개하는 xx, 법으로 xx되어 있지 않는 한 공급업체는 그러한 xx 및 공개에 대한 서면 xx을 xxx고 xx 사본을 신속히 Seagate에 제공해🅓 합니다.

5. 호주 정부 xx 식별 데이터 개인 xx에 호주 정부 xx 식별 데이터가 포함된 xx, 공급업체는 (a) Seagate가 명시적으로 지시하지 않는 한 개인에 xx 호주 정부 xx 식별 데이터를 개인의 식별 데이터로 xx하지 않아🅓 하며, (b) 개인의 xx을 확인하는 데 합당하게 필요하거나 Seagate가 그렇게 xxx 지시하지 않는 한 호주 정부 xx 식별 데이터를 xx 또는 공개할 수 없습니다.

6. 개인 xx 수집 Seagate의 공급업체에 xx 지침에 따라 Seagate를 xx하여 공급업체가 개인 xx를 수집해🅓 하는 xx, 공급업체는 (i) 데이터 주체의 개인 xx 수집과 xx하여 데이터 주체에게 제공되어🅓 하는 모든 xx 및 (ii) 직접 마케팅 목적으로 xx되는 사전 xx와 xx하여 반드시 (a) Seagate의 지침을 참조해🅓 하며 (b) 민감 xx를 수집하지 않으며 데이터 주체의 xx 없이 xx를 수집하지 말아🅓 합니다.

7. 호주 정부와의 공급 계약 Seagate가 호주의 연방, 주 또는 자치령 단위 정부 xx과 계약한 서비스 제공업체이고 해당 정부 xx과의 계약으로 인해 Seagate가 추가적인 데이터 xx xx를 xx해🅓 하는 xx, Seagate는 해당 호주 법률에 따라 필요한 xx 공급업체에 동등한 xx를 부과합니다. Seagate 및 공급업체는 이러한 xx를 반영하기 위해 필요한 xx, 추가 계약을 체결하는 것에 xx합니다.

2. 일본

1. 적용 가능성 본 섹션 2의 조항은 공급업체가 일본에 위치한 Seagate 계열사로부터 Seagate 개인 xx를 받거나 이러한 xx에 접근하는 xx 적용됩니다.

2. 공급업체 직원 공급업체는 DPA를 xx하여 공급업체 직원을 감독할 책임이 있습니다.

3. xx xx 수단 공급업체는 후생xxx(“MHLW”)의 xx xx 지침에 명시된 바에 따라 xx xx와 관련된 Seagate 개인 xx를 xx해🅓 합니다.

4. xx을 통해 알게된 개인 xx 공급업체는 피xxx가 자신의 xx을 통해 알게 된 Seagate 개인 xx를 누설하거나 xxx지 못xxx 해🅓 합니다.

5. 전송 또는 공개 전 xx 공급업체는 하도급 xx처리자를 포함한 DPA의 당사자가 아닌 제삼자(모든 계열사 포함)에게 주민등록번호 및 납세자 식별 번호를 공개 또는 전송하기 전에 Seagate의 사전 서면 xx를 받아🅓 합니다.

6. 목적 xx 후 반환 또는 파기 공급업체는 개인 xx를 수집한 목적을 xx한 후에는 xx하고 있는 Seagate 개인 xx의 처리를 중단하고 반환 또는 파기해🅓 합니다.

7. 백업 목적 공급업체는 백업 목적인 xx를 제외하고 Seagate 개인 xx를 복사 또는 xx할 수 없습니다.

3. 대xxx

1. 적용 가능성 본 섹션 3의 조항은 공급업체가 대xxx에 위치한 Seagate

계열사로부터 Seagate 개인 정보를 받거나 이에 접근하는 경우 적용됩니다.

2. 제한적 접근 권한 공급업체는 처리 목적을 위해 합당하게 정보에의 접근을 필요로 하는 공급업체 직원에게만 개인 정보에 대한 접근을 허용해🅓 합니다.

3. 필수 보안 조치 공급업체는 다음을 포함한 보안 조치를 수립하고 유지 관리해🅓 합니다.

1. 개인 정보의 안전한 취급을 위한 내부 절차

2. 방화벽, 바이러스 방지 및 맬웨어 방지 소프트웨어와 같은 기술적 보안 조치

3. 잠금과 같은 물리적인 접근 제한 조치

4. 접근 로그 또는 처리 기록의 변경이나 위조를 방지하기 위한 조치

5. 개인정보 보호법(PIPA), PIPA 시행 규정, 정보통신망법상 정보 이용 및 보호에 관한 법(PICNU), PICNU 시행 규정(“PICNU 규정”), 신용정보 이용 및 보호에 관한 법(UPCIA) 또는 해당되는 경우 기타 대한민국 법에서 요구하는 개인 정보 암호화와 같이 개인 정보를 안전하게 저장 및 전송하기 위한 조치

4. 특수 식별 데이터의 암호화 공급업체는 다음과 같은 경우 거주자 등록 번호, 운전면허번호 및 여권 번호를 암호화해🅓 합니다.

1. 정보통신망을 통해 전송할 때

2. 휴대용 저장 매체 또는 주변 기기에 저장할 때

3. 외부 컴퓨터 네트워크 또는 비무장 지대 또는 개인 컴퓨터 또는 모바일 기기에 저장할 때

4. 공급업체의 시스템이 Seagate가 지정한 위험 기준을 충족하지 못하여 공급업체의 내부 네트워크에 저장할 때

5. 비밀번호 및 생체 인식 데이터의 암호화 공급업체는 어떤 형식으로든 저장된 모든 비밀번호와 생체 인식 데이터를 암호화해🅓 합니다.

6. 공개 전의 정보 Seagate 개인 정보를 제삼의 데이터 처리자에게 공개하거나 전송하기 전에, 공급업체는 Seagate에 합리적인 시일 내 사전에 이를 알려🅓 합니다. Seagate의 요청이 있는 경우, 공급업체는 다음 정보를 제공합니다:

(a) 하도급할 처리 작업, (b) 제삼의 데이터 처리자에 대한 신원 정보, (c) (a) 또는

(b)에 대한 모든 변동 사항.

7. 교육 공급업체는 Seagate 개인 정보 처리 중 Seagate 개인 정보의 도난, 유출, 변조 또는 손상을 방지할 수 있도록 Seagate가 공급업체에 제공하기로 선별한 교육에 참여합니다.

4. 대만

1. 적용 가능성 본 섹션 4의 조항은 공급업체가 대만에 위치한 Seagate

계열사로부터 Seagate 개인 정보를 받거나 이에 접근하는 경우 적용됩니다.

2. 하도급 수탁처리자 DPA의 섹션 2.4에도 불구하고, 공급업체는 Seagate의 명시적인 서면 동의 없이 Seagate 개인 정보를 공개 또는 전송, 또는 하도급 수탁처리자에 Seagate 개인 정보에 대한 접근을 허용하지 않습니다.

3. 처리 시간 제한 공급업체는, 상호가 별도로 기간에 대해 합의하지 않는 한, 처리 목적을 달성하는 데 필요한 기간 동안에만 개인 정보를 처리해🅓 합니다.

4. 접근 기록 보존 공급업체는 무단 접근 사례를 정기적으로 검토하는 데 필요한 기간 동안만 접근 기록을 보존해🅓 합니다.

별표 2

보안 표준

본 별표는 공급업체가 취할 최소 보안 조치를 나타냅니다. 당사자 간 협의에서 공급업체의 보다 높은 수준 또는 더 광범한 보안 조치가 요구되면 공급업체는 해당 조건을 준수합니다. 공급업체는공급업체에 접근 권한이 주어진 Seagate 개인 정보 및 기타 산업 표준에 따른 데이터를 보호하기 위해 고안된 다양한 정책, 표준 및 절차(예: NIST 사이버보안 프레임워크 및 ISO 27001 또는 27002)를 유지 관리하고 시행해🅓 합니다.

1. 정보 보안 정책 및 표준 공급업체는 Seagate 개인 정보에 접근할 수 있는 직원 및 모든 하도급자, 공급업체 또는 대리인에 대해 다음과 같은 목적으로 고안된 보안 요건을 구현해🅓 합니다.

1. 인가되지 않은 자의 Seagate 개인 정보 처리 시스템 접근 권한 획득 방지(물리적 접근 제어)

2. Seagate 개인 정보 처리 시스템 무단 사용 방지(논리적 접근 제어)

3. Seagate 개인 정보 처리 시스템 사용이 승인된 자는 승인된 접근 권한에 따라서만 Seagate 개인 정보에 대해 접근할 수 있고, 처리 또는 사용 중 및 저장 후 Seagate 개인 정보가 승인 없이 읽기, 복사, 수정 또는 삭제가 불가능하도록 함(데이터 접근 제어)

4. Seagate 개인 정보가 승인 없이 전자적 전송, 이동 또는 저장 중 읽기, 복사, 수정 또는 삭제가 불가능하며, 데이터 전송 시설을 통해 Seagate 개인 정보를 전송하려는 대상 엔티티의 설정 및 확인이 가능하도록 함(데이터 전송 제어)

5. Seagate 개인 정보 처리에 Seagate 개인 정보가 입력, 수정, 전송, 삭제되었는지, 또한 누구에 의해 그렇게 되었는지를 문서화 하기 위한 감사 추적 설정(엔트리 제어)

6. 지침에 따라 Seagate 개인 정보 처리(지침 제어)

7. Seagate 개인 정보의 우발적 파기 또는 손실 방지(가용성 제어)

8. 다양한 목적으로 수집된 Seagate 개인 정보 별도 처리(분리 제어)

공급업체는 정기적으로 위험 평가 및 검토를 실시하고, Seagate 개인 정보의 보안성, 기밀성 또는 무결성에 합당하게 영향을 미칠 수 있는 공급업체의 비즈니스 관행에 중대한 변경 사항이 있을 때마다 또는 최소 1년에 한 번 정보 보안 관행을 수정합니다. 단, Seagate 개인 정보의 기밀성, 유효성 또는 무결성을 약화시키거나 손상시키는 방식으로 정보 보안 관행을 수정하지는 않습니다.

2. 물리적 보안 공급업체는 Seagate 개인 정보를 사용 또는 저장하는 정보 시스템이 있는 모든 공급업체 사이트에서 상업적으로 합당한 보안 시스템을 유지 관리해🅓 합니다. 공급업체는 해당 Seagate 개인 정보에 대한 접근을 합리적으로 적절하게 제한합니다.

3. 조직 보안

1. 미디어를 폐기하거나 재사용할 경우 인벤토리에서 회수하기 전에 저장된 Seagate 개인 정보를 차후에 불러올 수 없도록 하는 절차를 구현해🅓 합니다. 미디어가 유지 관리 작업을 위해 파일이 위치한 구내를 벗어날 경우, Seagate 개인 정보를 부적절하게 불러올 수 없도록 하는 절차를 구현해🅓 합니다.

2. 공급업체는 민감 정보 자산을 분류하고 보안 책임을 명확히 하며 직원의 보안 의식을 고취할 수 있도록 하는 보안 정책 및 절차를 구현해🅓 합니다.

3. 모든 Seagate 개인 정보 보안 사고는 적절한 사고 대응 절차에 따라 관리되어🅓 합니다.

4. 공급업체는 산업 표준 암호화 도구를 사용하여 모든 전송 및 유휴 중인 민감 정보를 암호화해🅓 합니다.

4. 네트워크 보안성 공급업체는 상용 장비 및 방화벽, 침입 탐지 및 방지 시스템, 접근 제어 목록 및 라우팅 프로토콜을 포함한 산업 표준 기술을 사용하여 네트워크 보안을 유지해🅓 합니다.

5. 접근 제어

1. 공급업체는 Seagate 개인 정보에 대한 접근 권한을 요구하는 공급업체 직원 수를 최소한으로 제한하는 것을 포함하나 이에 국한되지 않는 적절한 접근 제어를 유지해🅓 합니다.

1. 인가된 직원만 Seagate 개인 정보를 사용 또는 저장하는 정보 시스템에 대한 접근 권한을 부여, 수정 또는 취소할 수 있습니다. 공급업체는 Seagate가 요청할 경우 제출해🅓 하는 접근 기록을 적절하게 유지 관리해🅓 합니다.

2. 사용자 관리 절차는 사용자의 역할 및 권한과 접근 부여, 변경 및 종료 방법을 정의하고, 임무를 적절히 분리하고 로깅/모니터링 요구 사항 및 메커니즘을 정의해🅓 합니다.

3. 공급업체의 모든 직원은 고유한 사용자 ID를 할당받아🅓 합니다.

4. 접근 권한은 “최소 권한” 방식을 준수하여 구현되어🅓 합니다.

5. 공급업체는 비밀번호를 생성하고 보호하기 위해 상업적으로 합당한 전자식/물리적 보안을 구현해🅓 합니다.

6. 바이러스 및 맬웨어 통제 공급업체는 시스템에 최신 안티 바이러스 및 맬웨어 방지 소프트웨어를 설치하고 유지 관리해🅓 하며, 예상되는 위협 또는 위험으로부터 Seagate 개인 정보를 보호하고 Seagate 개인 정보 사용에 대한 무단 접근 또는 사용을 방지하기 위해 맬웨어 모니터링 및 시스템 스캔을 예약 설정해 두어🅓 합니다.

7. 직원 공급업체는 직원에게 Seagate 개인 정보에 대한 접근 권한을 제공하기 전에 공급업체의 정보 보안 프로그램을 준수할 것을 요구해🅓 합니다. 공급업체는 직원에게 보안 의무에 관한 보안 의식 고취 프로그램을 시행해🅓 합니다. 본 프로그램에는 데이터 분류 의무, 물리적 보안 통제, 보안 관행, 보안 사고 보고에 관한 교육이 포함됩니다. 공급업체는 직원의 역할과 책임을 명확히 정의합니다. 적합한 고용 조건으로 직원 고용 전 심사를 실시합니다. 공급업체 직원은 수립된 보안 정책 및 절차를 엄격히 따라🅓 합니다. 직원이 데이터 프라이버시 위반을 저지른 경우 징계 절차를 적용해🅓 합니다.

8. 비즈니스 연속성 공급업체는 적절한 백업 및 재해 복구 및 비즈니스 재개 계획을 수행합니다. 공급업체는 비즈니스 연속성 계획 및 위험 평가를 정기적으로 검토합니다. 비즈니스 연속성 계획은 최신 상태를 유지하고 효과적으로 수행될 수 있도록 정기적으로 검사 및 업데이트됩니다.

9. 주요 보안 관리자 공급업체는 지정된 주요 보안 관리자를 Seagate에 알려🅓 합니다. 보안 관리자는 공급업체의 정보 보안 프로그램 및 본 DPA에 명시된 공급업체의 의무 이행을 관리 및 조정할 책임이 있습니다.

10. 감사 Seagate는 본 DPA의 섹션 4.4 “감사”에 따라 본 별표 2에 명시된 바와 같이 공급업체 약정을 감사할 권리를 보유합니다.

11. 위반 공급업체가 본 DPA를 위반한 것으로 판단되면 공급업체는 부당한 지연 없이 어떠한 경우라도 30일 이내에 그러한 위반 사항을 수정해🅓 합니다. 알려진 또는 의심되는 데이터 프라이버시 위반은 본 DPA의 섹션 5 “데이터 프라이버시 위반 후 공급업체의 책임”의 적용을 받습니다.