CLOUD SOFTWARE GROUP 데이터 처리 부칙

CLOUD SOFTWARE GROUP 데이터 처리 부칙

버전: 2022년 9월 30일

1. 범위, xx 순위 및 당사자

본 데이터 처리 부칙("DPA")은 클라우스 서비스, xx xx 서비스 또는 컨설팅 서비스("서비스")를 제공할 때 고객을 xx하여 Cloud Software Group 및 해당 계열사의 개인 데이터 처리에 적용된다. 해당 서비스는 관련된 라이선스 및/또는 서비스 계약과 적용 가능한 서비스 xx(통칭하여 "계약")에 xx되어 있다. 계약과 이 DPA 의 xx이 xx하는 xx 이 DPA 의 xx이 xxx다. 이 DPA 와 EU 표준 계약 조항 및/또는 UK SCC 부칙(해당하는 xx)의 xx이 xx하는 xx EU 표준 계약 조항 및/또는 UK SCC 부칙(해당하는 xx)의 xx이 xxx다.

본 DPA 는 xx 사용자 고객("고객")과 Cloud Software Group Holdings, Inc. 계약 주체("Cloud Software Group", "당사") 간의 계약이며 참조를 위해 계약에 포함한다.

2. xx

"귀하"는 본 DPA 에 따라 지정된 xx 고객을 말한다.

"계열사"는 본 DPA 에 따른 개인 데이터 처리에서 당사를 도울 수 있는 Cloud Software Group Holdings, Inc.의 자회사(Citrix Systems, Inc. 및 TIBCO Software, Inc.포함)를 말한다.

"집계"는 해당하는 데이터 보호법이 적용되는 개인에 연결되거나 연결 가능하지 않도록 xx xx가 제거된 개인의 그룹 또는 xx와 관련된 xx를 말한다.

"해당하는 데이터 보호법"은 (i) EU General Data Protection Regulation 2016/679("GDPR")와 GDPR 을 xx하거나 xx하는 법률 또는 xx 및 (ii) xx 효력이 있고 본 계약에 따른 개인 데이터의 처리에 적용되는 효력을 가지게 되는 다른 모든 국제, 연방, 주, 지방 및 지역의 개인 xx xx 또는 데이터 xx 법률, 규칙, xx, 지침 및 정부 xx을 말한다.

"고객 콘텐츠"는 Cloud Software Group 이 서비스를 xx하기 위해 액세스 또는 xx하거나 저장 또는 처리를 위해 보내거나 업로드하는 모든 데이터를 말한다. 또한 xx에는 시스템 또는 네트워크 xx 및 제어 등의 xx과 관련된 전매 xx xx가 포함된다.

"유럽 xx 영역"은 본 DPA 의 목적에서 유럽 xx 지역, 스위스 및 영국을 말한다.

"2021 년 EU 표준 계약 조항" 또는 "2021 년 EU SCC"는 EU Commission Decision 2021/914/EU 또는 EU

집행위원회가 xx한 모든 xx 조항에 부속되는 계약 조항을 말한다.

"개인 데이터"는 서비스 xx과 xx하여 처리되고 고유한 개인을 직접 또는 간접적으로 식별할 수 있는 고객 콘텐츠, 특히 이름, 식별 번호, 위치 데이터, 온라인 식별자 또는 개인의 신체적, 생리적, xx적, 정신적, 경제적, 문화적 또는 사회적 xx과 관련된 xx 이상의 요소와 같은 식별자를 참조하여 식별할 수 있거나 해당하는 데이터 보호법에 따라 이러한 xx가 xx될 수 있는 고객 콘텐츠를 말한다.

"개인 데이터 침해"는 서비스 xx을 위해 전송, 저장 또는 xx 처리되는 개인 데이터의 우발적이거나 불법적인 파기, xx, xx, 무단 공개 또는 액세스로 이어지는 xx 침해에서 개인 데이터의 xx을 침해하는 것을 말한다.

"하청 처리자"는 계약에 따른 서비스 xx을 위해 개인 데이터의 처리를 돕는 데 관여하는 제 3 자를 말한다.

"UK SCC 부칙"은 영국 xx 위원회에서 발행한 EU 위원회 표준 계약 조항(vB1.0 또는 후속 버전)에 xx 국제 데이터 전송 부칙을 말한다.

본 DPA 에 xx되었으나 xx되지 않은 용어(예: "비즈니스 목적, 소비자, 제어자, 데이터 주체, 처리, 처리자")는 계약 또는 해당하는 데이터 보호법에 명시된 것과 동일한 xx를 가진다.

3. 데이터 제어자와 데이터 처리자의 역할

본 DPA 의 목적에서 고객은 Cloud Software Group 이 계약의 xx에 따라 서비스를 xx하는 xx에서 처리하는 개인 데이터의 데이터 제어자이다. 고객은 서비스 xx을 위해 당사에 개인 데이터를 제공하는 것을 통제하는 해당하는 데이터 보호법에 따른 제어자로서의 xx를 다할 책임이 있으며 이러한 xx는 xx를 구하거나, 고지를 제공하거나, 필요한 법적 xx xx 및 감독 xx의 문의에 xx 신속한 응답을 포함하되 이에 국한되지 않는다. 계약에 명시되지 않은 한 고객은 계약과 본 DPA 에서 합의된 것을 초과하는 특정 데이터 xx xx 사항을 xx하는 개인 데이터에 xx 액세스를 당사에 제공하지 않으며 서비스를 xx하는 데 필요한 개인 데이터로 당사의 액세스를 제한한다.

Cloud Software Group 은 이러한 개인 데이터에 있어서 데이터 처리자xx 서비스 공급자이다. 고객이 개인 데이터의 처리자 역할을 하는 xx는 예외이며 이 xx 당사는 하청 처리자이다. 고객의 개인 데이터는 독점적 자산이며 본 계약 조항에 따른 기밀 xx로 유지된다. Cloud Software Group 은 계약과 본 DPA 에 따른 개인 데이터의 처리에 적용되는 해당하는 데이터 보호법에 따른 xx를 다할 책임이 있다.

4. Cloud Software Group 의 처리 목적

6 항에 xx된 하청 처리자와 계열사를 포함하여 본 DPA 에 따른 권한을 xx하는 사람과 Cloud Software Group 은 계약에 명시된 서면 지침, 본 DPA 및 해당하는 데이터 보호법에 따라 서비스를

xx할 목적으로만 개인 데이터를 처리한다. 또한 당사는 Cloud Software Group 제품 및 서비스의 제공, xx 및 개선을 위해 서비스의 일부로 개인 데이터를 집계할 수 있다.

당사는 법률에 의해 xx되지 않는 한 소환장, 사법 또는 xx xxxx 기타 구속력 있는 xx("xx")에 부응하여 개인 데이터를 공개하지 않는다. 당사는 법률에 의해 xx되지 않는 한 xx를 즉시 xxx며 시의적절한 부응을 용이하게 하는 합당한 xx을 제공한다. 당사는 본 DPA 의 xx에 따라 개인 데이터를 xx하는 xx를 다하기 위해 비즈니스의 전부 또는 일부에 xx xx 또는 실제 합병, xx, xx, 파산 또는 기타 구조 xx과 관련된 개인 데이터를 계열사에 제공할 수 있다.

5. 데이터 주체 및 개인 데이터의 xx

고객은 서비스 xx을 위해 당사에 액세스를 제공할 개인 데이터를 결정한다. xx에는 다음 xx에 속하는 데이터 주체의 개인 데이터에 xx 처리가 포함될 수 있다.

• 직원 및 지원자

• 고객 및 xx 사용자

• 공급업체, 대리인 및 계약업체

개인 데이터의 처리에는 다음 xx의 개인 데이터도 포함될 수 있다.

• 이름, 성, 생일 및 집 주소와 같은 직접적인 xx xx

• 전화 번호, 휴대폰 번호, 전자 메일 주소, 우편 주소 및 팩스 번호와 같은 통신 데이터

• xx, 생일, 결혼 xx, xxx 또는 동거인과 자녀 수 및 자녀 이름과 같은 가족 및 기타 개인 xx xx

• xxx, 회사 주소, 회사 전자 메일 및 전화 번호, 직함 및 직무, xx, 관리자, xx ID,

시스템 사용자 이름 및 암호, 실적 xx와 이력서 데이터와 같은 xx xx

• 금융, 구매한 제품 또는 서비스, 장치 식별자, 온라인 프로필/동작 및 IP 주소와 같은 기타 데이터

• 제품 또는 서비스의 제공과 xx하여 고객이 당사에 액세스를 제공한 기타 개인 데이터

6. 하청 처리

본 DPA 의 xx에 따라 고객은 개인 데이터의 처리에 있어서 하청 처리자 및 계열사와 xx할 권한을 당사에 부여한다. 이러한 하청 처리자와 계열사는 계약 및 본 DPA 에서 Cloud Software Group 에 xx하는 데이터 xx xx 이상을 제공할 것을 xx하는 서면 계약으로 구속되며, 그러한 조치 이행 확인을 위해 고안된 xx상 합리적인 조치를 xx한다. 고객은 당사에 하청 처리자에 대해 감사를 xx하거나 하청 처리자의 xx과 관련된 기존의 타사 감사 보고서를 입수하여 이러한 xx 사항의 xx를 확인할 것을 요청할 수 있다. 또한 고객은 서비스 제공에 관여하는 하청 처리자 또는 계열사와

함께 당사가 마련한 데이터 xx xx의 복사본을 요청할 수 있다. 계약, 본 DPA 및 해당하는 데이터 보호법의 xx 사항에 xx 이러한 하청 처리자 및 계열사의 xx xx 확인 책임은 xx 당사에 있다.

하청 처리자 및 계열사의 목록과 목록 업데이트를 고지받는 메커니즘은 xxxxx://xxx.xxxxxx.xxx/xxx/xxxxxxxxx/xxxxxxxxxxxx-xxxx.xxxx 에서 확인할 수 있다. 개인 데이터에 xx 액세스 권한을 새 하청 처리자에게 부여하기 최소 14 일 전에 당사는 하청 처리자 및 계열사의 목록을 업데이트한다. Cloud Software Group 이 처리자(하청 처리자가 아님)인 xx 다음 xx이 적용된다.

• 이러한 하청 처리자 또는 계열사가 개인 데이터를 xx할 수 없는 xx 이러한 불능과 관련된

합당한 근거에 따라 귀하가 새 하청 처리자 또는 계열사를 xx하지 않는 xx 귀하는 고지 기간이 종료되기 전에 비xx의 근거를 xxx는 서면 종료 고지를 제공하여 xx을 받는 서비스에 xx 모든 구독을 위약금 없이 종료할 수 있다.

• xx을 받는 서비스가 제품군의 일부인 xx(또는 유사한 서비스의 단일 구매인 xx) 이러한 모든 종료는 전체 제품에 적용된다.

• 이러한 종료 후에도 고객은 구매 xx 또는 ELA 리셀러 및/또는 Cloud Software Group 과의 다른 계약상 xx에 따라 xx되는 모든 지불을 이행할 xx가 있으며 ELA 리셀러 및/또는 Cloud Software Group 에 환불 또는 지불 반환을 요구할 수 없다.

7. 개인 데이터의 해외 전송

서비스에 따라 고객과 Cloud Software Group 은 개인 데이터의 저장 위치를 합의할 수 있다. 전술한 사항에도 불구하고, 당사는 서비스를 xx하는 데 필요한 xx 개인 데이터를 미국 및/또는 다른 제 3 국으로 전송할 수 있으며 고객은 서비스를 제공하는 데 필요한 개인 데이터를 처리하기 위해 이러한 모든 전송을 xx할 것을 Cloud Software Group 에 명한다. 당사는 이러한 개인 데이터의 저장 또는 처리 위치에 xx없이 본 DPA 의 xx 사항을 따른다.

해당 처리가 (i) 고객과 유럽 xx 지역 내에 위치한 Cloud Software Group, 계열사 또는 하청 처리자 간에 또는 (ii) 다른 해당하는 데이터 보호법의 적용을 받는 Cloud Software Group, 계열사 또는 하청 처리자에 xx 개인 데이터의 해외 전송에 해당하는 xx, 이러한 전송에는 본 DPA 및 해당하는 데이터 보호법에 명시된 데이터 xx xx이 적용된다.

(i) 유럽 집행위원회 또는 영국 xx위원회에서 충분한 xx의 데이터 xx가 제공되지 않는 것으로 간주한 관할권 및 (ii) 이러한 개인 데이터의 해외 전송에 xx 다른 법적 xx이 없는 관할권에 있는 Cloud Software Group, 계열사 또는 하청 처리자에 해당하는 유럽 xx 영역의 데이터 보호법에 따라 개인 데이터의 해외 xxx 처리에 포함되는 xx 이러한 전송에는 2021 년 EU 표준 계약 조항 및/또는 UK SCC 부칙(해당하는 xx) 또는 해당하는 데이터 보호법에 따라 제공되는 다른 유효한 전송 메커니즘이 적용된다. 해외 전송의 xx:

• 2021 년 EU SCC 가 적용되는 xx 양 당사자는 xx되지 않은 xx의 2021 년 SCC 를 참조로 포함한다(해당하는 xx 고객이 제어자이고 Cloud Software Group 이 처리자인 모듈 2 또는 고객과 Cloud Software Group 이 xx 처리자인 모듈 3).

• UK SCC 부칙이 적용되는 xx 양 당사자는 xx되지 않은 xx의 UK SCC 를 참조로 포함한다.

Citrix 서비스에 대한 2021 년 EU SCC 와 UK SCC 부칙은 Citrix 트러스트 센터(xxxxx://xxx.xxxxxx.xxx/xx-xx/xxxxx/xxxxx-xxxxxx/xxxxxxxxxx.xxxx)xx 사용할 수 있으며 고객의 위치와 xx없이 고객과 Citrix Systems, Inc. 간의 계약이어야 한다. TIBCO 서비스에 xx 2021 년 EU SCC 와 UK SCC 부칙은 TIBCO 웹 사이트( xxxxx://xxxxx.xxxxx.xxx/#xxxx-xxxxxxxxxx- terms)에서 확인할 수 있다. 이러한 목적을 위해 고객은 고객 및 고객의 주체를 xx하여 데이터를 내보내는 당사자 역할을 하며 Citrix 또는 TIBCO(해당하는 xx)는 해당 계열사를 xx하여 데이터를 가져오는 당사자 역할을 한다. 2021 년 EU SCC 의 7 절의 목적에서 모든 가입 주체는 해당하는 권리를 귀하를 통해 행사한다. 고객은 Citrix 트러스트 센터 또는 TIBCOhttps://xxxxx.xxxxx.xxx/#xxxx- processing-terms 에서 사용할 수 있는 Citrix 의 2021 년 EU SCC 및 UK SCC 부칙을 공식적으로 행사할 수 있다.

8. 데이터 주체의 xx

당사는 해당하는 데이터 보호법에 따른 xx 이상의 권리를 행사하고자 하는 데이터 주체의 xx을 이행할 수 있는 권한과 데이터 주체의 개인 데이터를 데이터 처리자로서의 당사의 역할에 따라 고객에게 제공한다. 당사는 고객의 부응을 xx하기에 합당한 xx을 제공한다.

당사가 고객의 데이터 주체로부터 해당하는 데이터 보호법에 따른 xx 이상의 권리를 행사하기 위한 xx을 직접 받는 xx 법률에 의해 xx되지 않는 한 데이터 주체를 고객에게 전송한다.

9. xx

당사는 개인 데이터의 xx 또는 우발적/불법적 파기, xx, xx, 무단 공개 또는 액세스로부터 개인 데이터를 xxxxx 설계된 적절한 xx, xx 및 조직적 xx을 xxx고 유지한다. 이러한 xx xx은 xxxxx://xxx.xxxxxx.xxx/xxx/xxxxxxxxx/xxxxxx-xxxxxxxx-xxxxxxxx-xxxxxxx.xxxx 에 제공된 Cloud Software Group 서비스 xx 별첨에 명시되어 있다. 당사는 xx xx을 지속적으로 xx 및 개선하며, 또한 xx에 xx된 제어를 수정할 권리를 가진다. 모든 xx은 해당하는 서비스 기간의 xx xx을 xx하지 않는다.

당사의 직원은 적절한 기밀 유지 계약으로 구속되며 정기적인 데이터 xx 교육을 받고, 회사 개인 xx xx와 xx 정책 및 절차를 xx해야 한다.

10. 개인 데이터 침해

당사는 당사의 xx, xx 또는 제어하에 있는 개인 데이터가 관련된 개인 데이터 침해를 xx하는 즉시 고객에게 이를 고지한다. 이러한 고지에는 최소한 다음이 포함된다. (i) 가능한 xx 관련된 데이터 주체의 xx 및 대략적인 수와 관련된 개인 데이터 레코드의 xx 및 대략적인 수를 포함하여 개인 데이터 침해의 본질을 xx한다. (ii) 데이터 xx 책임자의 이름과 연락처 세부 xx 또는 추가 xx를 얻을 수 있는 다른 연락처를 제공한다. (iii) 해당하는 xx 가능한 부작용을 xx하는 조치를 포함하여 개인 데이터 침해를 해결하기 위해 xx되거나 xx이 xx된 조치를 xx한다. 고객은 개인 및/또는 감독 xx에 xx 모든 공개 xx 또는 필요한 고지의 xx을 당사와 공동으로 작성한다.

11. 귀하의 지침과 xx 및 xx 제공

고객은 개인 데이터의 처리와 xx하여 해당하는 데이터 보호법에 따른 데이터 제어자와 데이터 처리자로서의 xx를 이행하는 데 고객과 Cloud Software Group 에 필요한 추가 지침을 당사에 제공할 수 있다. 당사는 고객의 지침을 추가 xx 없이 xx하며 지침을 xx하는 xx에서 계약에 따른 서비스 범위에 포함된 것 이상의 xx이 발생하는 xx 양 당사자는 선의의 협상을 통해 추가 xx을 결정하는 데 xx한다. 당사는 고객의 지침이 해당하는 데이터 보호법과 일치하지 않는 것으로 판단되는 xx 고객에게 즉시 알리며 이 xx 당사는 개인 데이터에 xx 고객의 처리를 독립적으로 조사하거나 확인할 xx가 없다.

당사는 고객이 해당하는 개인 데이터 보호법에 따른 xx를 xx하는 데 필요한 합당한 xx를 제공한다. EU GDPR(General Data Protection Regulation)에 따라 적절한 데이터 xx 조치를 xxx고, 데이터 xx xx 평가를 xx하고, 감독 xx에 자문을 구하며(처리의 본질과 당사에 제공되는 xx를 고려하여), 본 DPA 에 추가로 명시된 xx를 이행하는 것이 포함된다.

12. 개인 데이터의 반환 및 삭제

당사는 서비스 제공이 끝난 후 모든 개인 데이터를 검색할 수 있는 xx를 고객에게 반환하거나 제공하며 기존 복사본을 삭제한다. 클라우드 서비스와 xx하여 고객은 계약 종료 후 30 일간 고객의 개인 데이터를 다운로드할 수 있으며 xx xx에 다운로드 액세스 권한 및 지침을 문의해야 한다. 서비스 제공이 끝난 후 30 일 내에 고객이 이 목적으로 xx xx에 문의하지 않은 xx 당사는 (i) 정상적으로 삭제된 백업 및 (ii) 해당하는 법률에 따라 보존된 개인 데이터를 제외하고 고객의 액세스 xx이 경과하는 즉시 개인 데이터를 삭제한다. (i) 또는 (ii)의 xx 당사는 이러한 데이터가 삭제되기 전까지 본 DPA 의 관련된 조항을 계속해서 xx한다. xx 시 삭제 xx에 xx 서면 확인서를 제공xxx 한다.

13. 감사

위의 11 항에 따라 고객이 Cloud Software Group 에 xx를 요청할 때 이러한 xx이 해당하는 데이터 보호법에 따른 고객의 xx를 충족하지 않는 xx 고객은 연간 최대 1 회 또는 해당하는 데이터 보호법이 xx하는 대로 고객의 개인 데이터에 xx 당사의 처리에 대해 감사를 xx할 수 있다. 감사를 xx하려면 상세한 감사 계획 제안서를 3 주 전에 당사에 제공해야 하며 당사는 고객과 성실히 협력하여 xx 서면 계획에 합의한다. 이러한 모든 감사는 고객의 사비로 xx 업무 시간 내에 당사 비즈니스에 xx 중단 없이 당사의 xx 규칙 및 xx 사항에 따라 xx되어야 한다. 모든 감사 이전에 당사는 고객의 감사 xx를 충족하기 위해 합당하게 xx된 xx와 관련된 증거를 고객에게 제공할 것을 약속하며 고객은 모든 독립 감사를 시작하기 전에 이 xx를 검토할 것을 약속한다. xx된 감사 범위에 자격이 있는 외부 xx에 의해 12 개월 안에 당사에 발급된 감사 보고서가 포함되는 xx 양 당사자는 고객의 감사 범위를 적절히 축소하는 데 xx한다.

고객은 당사와 계약한 외부 감사 xx을 사용할 수 있으며 이는 합당하지 않은 이유로 거부되지 않는다. 외부 감사 이전에 이러한 감사 xx은 당사와 적절한 기밀 유지 계약을 체결해야 한다. 외부 xx이 해당하는 데이터 xx 법률에 따라 당사를 직접 감사할 수 있는 감독 기관인 xx 당사는 해당하는 법률에 따라 xx을 통해 이 감독 xx에 합당한 xx을 제공한다.

고객은 해당하는 데이터 보호법에 의해 xx되지 않는 한 xx 보고서의 복사본을 당사에 제공하고, 감사 결과를 계약 xx(또는 고객과 Cloud Software Group 이 체결한 기밀 유지 계약)에 따라 기밀 xx로 취급하며, 계약, 본 DPA 및 해당하는 데이터 보호법에 xx Citrix 의 xx xx를 평가하는 목적으로만 xx한다.

14. 데이터 xx 책임자

다음 담당자에게 문의할 수 있다. 수취인: Cloud Software Group Systems, Inc. 글로벌 데이터 xx 책임자, 주소: Cloud Software Group Systems, Inc. 000 Xxxxxxxx Xxxxxx, Xxxxxxxxxx XX 00000 XXX. 귀하가 데이터 xx 책임자를 xx한 xx 이들의 연락처 xx를 서비스 xx에 포함할 수 있다.

15. 기간

본 DPA 는 고객의 서비스 구입시 적용된다. 계약의 종료는 본 DPA 에 따른 각 당사자의 xx를 면제하지 않는다.