Contract

별첨 1: 표준 계약 조항

I 절

조항 1

목적 및 범위

a. 본 표준 계약 조항의 목적은 제3 국가로의 개인 데이터 전송을 위한 개인 데이터 처리와 해당 데이터 이동과 관련된 자연인 보호에 대한 2016년 4월 27일에 제정된 유럽 연합 의회와 자문 위원회의 규정(EU) 2016/679의 요구 사항(일반 데이터 보호 규정)을 준수하기 위한 것입니다.

b. 당사자:

i. 부속서 I.A 에 명시된 바와 같이 자연인 또는 법인, 정부 기관, 대행사 또는 개인 데이터를 전송하는 다른 단체(이하 '개체')(이하 각각 '데이터 수출자'), 그리고

ii. 부속서 I.A 에 명시된 바와 같이 본 조항의 당사자인 다른 개체를 통해 직접 또는 간접적으로 데이터 수출자로부터 개인 데이터를 수신하는 제3 국가의 개체(이하 각각 '데이터 수입자')

본 표준 계약 조항(이하 '조항')에 동의했습니다.

c. 본 조항은 부속서 I.B 에 명시된 개인 데이터 전송과 관련하여 적용됩니다.

d. 여기에 언급된 부속서를 포함하는 본 조항에 대한 부록은 본 조항의 필수적인 부분을 구성합니다.

조항 2

조항의 효력 및 불변성

a. 본 조항은 규정(EU) 2016/679의 46조 (1)항 및 46조 (2)항 (c)호에 따른 시행 가능한 데이터 주체 권리 및 효과적인 법적 구제 조치를 포함한 적절한 보호 조치와, 컨트롤러에서 처리자로 및/또는 처리자에서 처리자로의 데이터 전송과 관련하여 적절한 모듈을 선택하거나 부록의 정보를 추가 또는 업데이트하는 경우를 제외하고 수정되지 않는 한 규정(EU) 2016/679의 28조 (7)항에 따른 표준 계약 조항을 명시하고 있습니다. 이는 당사자가 본 조항에 규정된 표준 계약 조항을 보다 광범위한 계약에 포함하거나 다른 조항 또는 추가 보호 조치를 추가하는 데 방해가 되지 않습니다. 단, 본 조항과 직접 또는 간접적으로 상충되거나 데이터 주체의 기본권 또는 자유를 침해하지 않는 경우에 한합니다.

b. 본 조항은 규정(EU) 2016/679에 따라 데이터 수출자에게 적용되는 의무를 침해하지 않습니다.

조항 3

제3자 수혜자

a. 데이터 주체는 제3자 수혜자로서 데이터 수출자 및/또는 데이터 수입자를 상대로 본 조항을 적용 및 시행할 수 있습니다. 단, 다음은 예외입니다.

i. 조항 1, 조항 2, 조항 3, 조항 6, 조항 7.

ii. 조항 8 – 조항 8.1(b), 8.9(a), (c), (d) 및 (e).

iii. 조항 9 – 조항 9(a), (c), (d) 및 (e).

iv. 조항 12 – 조항 12(a), (d) 및 (f).

v. 조항 13.

vi. 조항 15.1(c), (d) 및 (e).

vii. 조항 16(e).

viii. 조항 18 – 조항 18(a) 및 (b).

b. (a)항은 규정 (EU) 2016/679에 따른 데이터 주체의 권리를 침해하지 않습니다.

조항 4

해석

a. 본 조항이 규정(EU) 2016/679에 정의된 용어를 사용하는 경우, 해당 용어는 해당 규정과 동일한 의미를 갖습니다.

b. 본 조항은 규정(EU) 2016/679의 조항을 고려하여 읽고 해석해야 합니다.

c. 본 조항은 규정(EU) 2016/679에 규정된 권리 및 의무와 충돌하는 방식으로 해석되어서는 안 됩니다.

조항 5

계층

본 조항과 당사자 간 관련 계약 조항 간에 상충되는 경우, 본 조항이 합의되거나 이후에 체결된 당시에 존재하는 본 조항이 우선합니다.

조항 6

전송에 대한 설명

전송에 대한 세부 사항, 특히 전송되는 개인 데이터의 범주 및 개인 데이터가 전송되는 목적은 부속서 I.B.에 명시되어 있습니다.

조항 7

도킹 조항

a. 본 조항의 당사자가 아닌 개체는 당사자의 합의에 따라 언제든지 부록을 작성하고 부속서 I.A 에 서명하여 데이터 수출자 또는 데이터 수입자로서 본 조항에 동의할 수 있습니다.

b. 부록을 작성하고 부속서 I.A 에 서명하면 동의하는 개체는 본 조항의 당사자가 되며 부속서 I.A 의 지정에 따라 데이터 수출자 또는 데이터 수입자의 권리와 의무를 갖습니다.

c. 동의하는 개체는 당사자가 되기 전 기간부터 당사자가 될 때까지는 본 조항에 따라 발생하는 권리나 의무를 갖지 않습니다.

II 절 – 당사자의 의무

조항 8

데이터 보호 조치

데이터 수출자는 데이터 수입자가 적절한 기술 및 조직 조치를 이행함으로써 본 조항에 따른 의무를 충족할 수 있는지 판단하기 위해 합리적인 노력을 기울였음을 보증합니다.

8.1 지침

a. 데이터 수입자는 데이터 수출자의 문서화된 지침에 따라서만 개인 데이터를 처리해야 합니다. 데이터 수출자는 계약 기간 동안 이러한 지침을 제공 할 수 있습니다.

b. 데이터 수입자는 이러한 지침을 따를 수 없는 경우 데이터 수출자에게 즉시 알려야 합니다.

8.2 목적 제한

데이터 수입자는 데이터 수출자의 추가 지침이 없는 한 부속서 I. B 에 명시된 전송의 특정 목적만을 위해 개인 데이터를 처리해야 합니다.

8.3 투명성

요청이 있을 경우 데이터 수출자는 당사자가 작성한 부록을 포함하여 본 조항의 사본을 데이터 주체에게 무료로 제공해야 합니다. 부속서 II 에 기술된 조치 및 개인 데이터를 포함한 영업 비밀 또는 기타 기밀 정보를 보호하는 데 필요한 범위 내에서 데이터 수출자는 사본을 공유하기 전에 본 조항에 대한 부록의 텍스트 일부를 수정할 수 있습니다. 다만, 데이터 주체가 그 내용을 이해하지 못하거나 자신의 권리를 행사할 수 없는 경우에는 의미 있는 요약을 제공해야 합니다. 요청이 있을 경우 당사자는 수정된 정보를 공개하지 않고 가능한 범위 내에서 데이터 주체에게 수정 이유를 제공해야 합니다. 본 조항은 규정(EU) 2016/679의 13조 및 14조에 따른 데이터 수출자의 의무를 침해하지 않습니다.

8.4 정확성

데이터 수입자는 수신한 개인 데이터가 부정확하거나 오래되었다는 사실을 알게 되는 경우, 지체 없이 데이터 수출자에게 알려야 합니다. 이 경우 데이터 수입자는 데이터 수출자와 협업하여 데이터를 삭제하거나 수정해야 합니다.

8.5 데이터의 처리 및 삭제 또는 반환 기간

데이터 수입자에 의한 처리는 부속서 I.B 에 명시된 기간 동안만 이루어져야 합니다. 처리 서비스의 제공이 종료된 후, 데이터 수입자는 데이터 수출자의 선택에 따라 데이터 수출자를 대신하여 처리된 모든 개인 데이터를 삭제하고 데이터 수출자에게 그렇게 했음을 증명하거나 데이터 수출자를 대신하여 처리된 모든 개인 데이터를 데이터 수출자에게 반환하고 기존 사본을 삭제해야 합니다. 데이터가 삭제되거나 반환될 때까지 데이터 수입자는 이 조항을 계속 준수해야 합니다. 데이터 수입자에게 적용되는 현지 법률이 개인 데이터의 반환 또는 삭제를 금지하는 경우, 데이터 수입자는 본 조항을 계속 준수할 것이며 해당 현지 법률에서 요구하는 범위 내에서 해당 기간 동안만 개인 데이터를 처리할 것임을

보증합니다. 이는 조항 14, 특히 조항 14(a)에 따른 요구 사항에 부합하지 않은 법률 또는 관행의 대상이거나 대상이 되었다고 판단할 만한 이유가 있을 경우 계약 기간 동안 데이터 수출자에게 알려야 한다는 조항 14(e)에 따른 데이터 수입자에 대한 요구 사항에 부정적인 영향을 미치지 않습니다.

8.6 처리의 보안

a. 데이터 수입자 및 전송 중 데이터 수출자는 우발적 또는 불법 파기, 손실, 개조, 미승인 공개 또는 해당 데이터 액세스(이하 '개인 데이터 위반')로 이어지는 보안 침해에 대한 보호를 포함하여 데이터의 보안을 보장하기 위한 적절한 기술 및 조직 조치를 이행해야 합니다. 적절한 보안 수준을 평가할 때 당사자는 최신 상태, 이행 비용, 처리의 본질, 범위, 맥락 및 목적과 데이터 주체의 처리와 관련된 위험을 적절히 고려해야 합니다. 당사자는 특히 이러한 방식으로 처리 목적을 달성할 수 있는 경우 전송 중을 포함하여 암호화 또는 가명화를 사용하는 것을 고려해야 합니다. 가명화의 경우, 개인 데이터를 특정 데이터 주체에게 귀속시키기 위한 추가 정보는 가능한 경우 데이터 수출자의 배타적 통제 하에 유지해야 합니다. 본 항에 따른 의무를 준수하기 위해 데이터 수입자는 최소한 부속서 II 에 명시된 기술 및 조직 조치를 이행해야 한다. 데이터 수입자는 이러한 조치가 적절한 수준의 보안을 지속적으로 제공하는지 확인하기 위해 정기적인 점검을 수행해야 합니다.

b. 데이터 수입자는 계약의 이행, 관리 및 모니터링을 위해 엄격하게 필요한 범위 내에서만 개인 데이터에 대한 액세스 권한을 소속 직원에게 부여해야 합니다. 이는 개인 데이터를 처리할 수 있도록 승인된 사람이 스스로 기밀을 유지하거나 기밀 유지의 적절한 법적 의무를 따를 수 있도록 합니다.

c. 본 조항에 따라 데이터 수입자가 처리하는 개인 데이터와 관련하여 개인 데이터 위반이 발생하는 경우, 데이터 수입자는 부정적인 영향을 완화하기 위한 조치를 포함하여 해당 위반을 해결하기 위한 적절한 조치를 취해야 합니다. 또한 데이터 수입자는 위반 사실을 알게 된 후 지체 없이 데이터 수출자에게 알려야 합니다. 이러한 고지에는 더 많은 정보를 얻을 수 있는 담당자에 대한 세부 정보, 위반의 본질에 대한 설명(가능한 경우 관련 데이터 주체 및 개인 데이터 레코드의 범주와 대략적인 수 포함), 위반으로 인해 발생 가능한 결과 및 해당하는 경우 위반으로 인해 발생할 수 있는 부정적인 영향을 완화하기 위한 조치를 포함하여 위반을 해결하기 위해 취했거나 제안된 조치가 포함되어야 합니다. 모든 정보를 동시에 제공할 수 없는 경우, 최초 고지에는 당시 이용 가능한 정보가 포함되어야 하며, 추가 정보가 입수되는 대로 지체 없이 제공해야 합니다.

d. 데이터 수입자는 데이터 수출자가 규정(EU) 2016/679에 따른 의무를 준수할 수 있도록, 특히 처리의 본질과 데이터 수입자가 이용할 수 있는 정보를 고려하여 관할 감독 기관 및 영향을 받는 데이터 주체에 알릴 수 있도록 데이터 수출자와 협업하고 지원해야 합니다.

8.7 민감한 데이터

전송에는 인종 또는 민족, 정치적 견해, 종교적 또는 철학적 신념, 노동조합 회원 여부를 드러내는 개인 데이터, 자연인을 고유하게 식별하기 위한 목적의 유전자 데이터 또는 생체

인식 데이터, 건강이나 개인의 성생활 또는 성적 지향에 관한 데이터, 형사상 유죄 판결 및 범죄와 관련된 데이터(이하 '민감한 데이터')가 포함됩니다. 데이터 수입자는 부속서 I.B 에 기술된 특정 제한 및/또는 추가 보호 조치를 적용해야 합니다.

8.8 추후 전송

데이터 수입자는 데이터 수출자의 문서화된 지침에 따라서만 개인 데이터를 제3자에게 공개해야 합니다. 또한, 데이터는 제3자가 해당 모듈에 따라 본 조항을 준수하거나 준수하는 데 동의하는 경우 또는 다음에 해당하는 경우 유럽 연합 외부(데이터 수입자와 동일한 국가 또는 다른 제3 국가)에 위치하는 제3자에게만 공개할 수 있습니다(이하 '추후 전송'):

i. 추후 전송이 추후 전송에 적용되는 규정(EU) 2016/679의 45조에 따른 적정성 결정의 혜택을 받는 국가로 이루어지는 경우,

ii. 제3자가 해당 처리와 관련하여 규정(EU) 2016/679의 46조 또는 47조에 따라 적절한 보호 조치를 취하는 경우,

iii. 추후 전송이 특정 행정, 규제 또는 사법 절차의 맥락에서 법적 소송의 성립, 행사 또는 방어를 위해 필요한 경우, 또는

iv. 추후 전송이 데이터 주체 또는 다른 자연인의 중대한 이익을 보호하기 위해 필요한 경우.

추후 전송은 데이터 수입자가 본 조항에 따른 다른 모든 보호 조치, 특히 목적 제한을 준수해야 합니다.

8.9 문서화 및 규정 준수

a. 데이터 수입자는 본 조항에 따른 처리와 관련된 데이터 수출자의 문의를 신속하고 적절하게 처리해야 합니다.

b. 당사자는 본 조항을 준수하고 있음을 입증할 수 있어야 합니다. 특히 데이터 수입자는 데이터 수출자를 대신하여 수행되는 처리 활동에 대한 적절한 문서를 보관해야 합니다.

c. 데이터 수입자는 본 조항에 명시된 의무를 준수한다는 것을 입증하는 데 필요한 모든 정보를 데이터 수출자에게 제공하고, 데이터 수출자의 요청에 따라 합리적인 간격으로 또는 규정 미준수 징후가 있는 경우 본 조항이 적용되는 처리 활동에 대한 감사를 허용하고 이에 기여해야 합니다. 검토 또는 감사를 결정할 때 데이터 수출자는 데이터 수입자가 보유한 관련 인증을 고려할 수 있습니다.

d. 데이터 수출자는 자체적으로 감사를 수행하거나 독립적인 감사자에게 권한을 부여할 수 있습니다. 감사는 데이터 수입자의 사업장 또는 물리적 시설에서의 검사를 포함할 수 있으며, 해당하는 경우 합당한 고지를 통해 수행해야 합니다.

e. 당사자는 감사 결과를 포함하여 (b)항 및 (c)항에 언급된 정보를 요청 시 관할 감독 기관에 제공해야 합니다.

조항 9

하위 처리자의 이용

a. 데이터 수입자는 합의된 목록에서 하위 처리자의 참여에 대한 데이터 수출자의 일반 인증을 받습니다. 데이터 수입자는 하위 처리자의 추가 또는 교체를 통해 해당 목록을 변경하려는 경우 최소 15일 전에 데이터 수출자에게 서면으로 구체적으로 알려야 하며, 이를 통해 데이터 수출자에게 하위 처리자를 참여시키기 전에 그러한 변경을 거부할 수 있는 충분한 시간을 제공해야 합니다. 데이터 수입자는 데이터 수출자가 거부할 권리를 행사할 수 있도록 필요한 정보를 데이터 수출자에게 제공해야 합니다.

b. 데이터 수입자가 (데이터 수출자를 대신하여) 특정 처리 활동을 수행할 하위 처리자를 고용하는 경우, 데이터 주체에 대한 제3자 수혜자 권리를 포함하여 본 조항에 따라 데이터 수입자를 구속하는 의무와 동일한 데이터 보호 의무를 실질적으로 규정하는 서면 계약을 통해 이를 수행해야 합니다. 당사자는 이 조항을 준수함으로써 데이터 수입자가 조항 8.8에 따른 의무를 이행한다는 데 동의합니다. 데이터 수입자는 하위 처리자가 본 조항에 따라 데이터 수입자에게 적용되는 의무를 준수하도록 보장해야 합니다.

c. 데이터 수입자는 데이터 수출자의 요청에 따라 해당 하위 처리자 계약서의 사본 및 데이터 수출자에 대한 후속 개정을 제공해야 합니다. 개인 데이터를 포함한 영업 비밀 또는 기타 기밀 정보를 보호하는 데 필요한 범위 내에서 데이터 수입자는 사본을 공유하기 전에 계약서의 텍스트를 수정할 수 있습니다.

d. 데이터 수입자는 데이터 수출자가 데이터 수입자와의 계약에 따라 하위 처리자의 의무를 이행하는 것에 대해 전적으로 책임을 져야 합니다. 데이터 수입자는 하위 처리자가 해당 계약에 따른 의무를 이행하지 못할 경우 데이터 수출자에게 알려야 합니다.

e. 데이터 수입자는 데이터 수입자가 사실상 사라지거나 법적으로 존재하지 않거나 지불 불능 상태가 되는 경우 데이터 수출자가 하위 처리자와의 계약을 종료하고 하위 처리자에게 개인 데이터를 삭제 또는 반환하도록 지시할 권리를 갖는 제3자 수혜자 조항에 동의해야 합니다.

조항 10

데이터 주체 권리

a. 데이터 수입자는 데이터 주체로부터 받은 모든 요청을 데이터 수출자에게 즉시 알려야 합니다. 데이터 수출자로부터 승인을 받지 않은 경우 해당 요청에 직접 응답하지 않아야 합니다.

b. 데이터 수입자는 데이터 수출자가 규정(EU) 2016/679에 따라 데이터 주체의 권리 행사에 대한 요청에 응답할 의무를 이행할 수 있도록 지원해야 합니다. 이와 관련하여, 당사자는 지원이 제공되는 처리의 본질과 필요한 지원의 범위 및 정도를 고려하여 적절한 기술 및 조직 조치를 부속서 II 에 명시해야 합니다.

c. (a) 및 (b)항에 따른 의무를 이행할 때 데이터 수입자는 데이터 수출자의 지침을 준수해야 합니다.

조항 11

교정

a. 데이터 수입자는 불만 사항을 처리할 권한이 있는 담당자를 개별 고지 또는 웹사이트를 통해 투명하고 쉽게 접근 가능한 형식으로 데이터 주체에게 알려야 합니다. 데이터 주체로부터 받은 불만 사항을 즉시 처리해야 합니다.

b. 본 조항의 준수와 관련하여 데이터 주체와 당사자 간에 분쟁이 발생하는 경우, 해당 당사자는 적절한 시간 내에 문제를 우호적으로 해결하기 위해 최선을 다해야 합니다. 당사자는 이러한 분쟁에 대해 서로에게 알리고 적절한 경우 이를 해결하기 위해 협업해야 합니다.

c. 데이터 주체가 조항 3에 따라 제3자 수혜자 권리를 적용하는 경우, 데이터 수입자는 데이터 주체의 결정을 수락하여 다음과 같은 조치를 취해야 합니다.

i. 거주지 또는 근무지가 있는 회원국의 감독 기관 또는 조항 13에 따른 관할 감독 기관에 불만을 제기합니다.

ii. 조항 18의 의미 내에서 분쟁을 관할 법원에 회부합니다.

d. 당사자는 규정(EU) 2016/679의 80조 (1)항에 명시된 조건에 따라 비영리 단체, 조직 또는 협회가 데이터 주체를 대리할 수 있음을 인정합니다.

e. 데이터 수입자는 해당 EU 또는 회원국 법률에 따라 구속력이 있는 결정을 준수해야 합니다.

f. 데이터 수입자는 데이터 주체의 선택이 준거법에 따라 구제 조치를 모색할 수 있는 실체적 및 절차적 권리를 침해하지 않는다는 데 동의합니다.

조항 12

책임

a. 각 당사자는 본 조항의 위반으로 인해 상대방에게 발생하는 모든 손상에 대해 상대방에 대한 법적 책임을 집니다.

b. 데이터 수입자는 데이터 주체에 대한 법적 책임을 지며, 데이터 주체는 데이터 수입자 또는 하위 처리자가 본 조항에 따른 제3자 수혜자 권리를 침해하여 데이터 주체에 야기하는 중요하거나 중요하지 않은 손상에 대해 보상을 받을 권리가 있습니다.

c. (b)항에도 불구하고 데이터 수출자는 데이터 주체에 대한 법적 책임을 지며, 데이터 주체는 데이터 수출자 또는 데이터 수입자(또는 하위 처리자)가 본 조항에 따른 제3자 수혜자 권리를 침해하여 데이터 주체에 야기하는 중요하거나 중요하지 않은 손상에 대해 보상을 받을 권리가 있습니다. 이는 해당하는 경우 데이터 수출자의 책임을 침해하지 않으며, 데이터 수출자가 컨트롤러를 대리하는 처리자인 경우 규정(EU) 2016/679 또는 규정(EU) 2018/1725에 따른 컨트롤러의 책임을 침해하지 않습니다.

d. 데이터 수출자가 (c)항에 따라 데이터 수입자(또는 하위 처리자)에 의해 발생하는 손상에 대한 법적 책임을 지는 경우, 당사자는 해당 손상에 대한 데이터 수입자의 책임에 상응하는 보상의 일부를 데이터 수입자에게 청구할 권리가 있다는 데 동의합니다.

e. 둘 이상의 당사자가 본 조항의 위반으로 인해 데이터 주체에게 발생하는 손상에 대해 책임이 있는 경우, 모든 책임 있는 당사자는 공동으로 그리고 개별적으로 법적 책임을 지며, 데이터 주체는 이러한 당사자 중 하나를 상대로 법정에서 소송을 제기할 권리가 있습니다.

f. 한 당사자가 (e)항에 따라 법적 책임을 지는 경우, 당사자는 해당 손상에 대한 상대방의 책임에 상응하는 보상의 일부를 상대방에게 청구할 권리가 있다는 데 동의합니다.

g. 데이터 수입자는 자신의 책임을 회피하기 위해 하위 처리자의 행위를 적용할 수 없습니다.

조항 13

감독

a. 데이터 전송과 관련하여 데이터 수출자가 규정(EU) 2016/679를 준수하도록 보장할 책임이 있는 감독 기관은 부속서 I.C 에 명시된 바와 같이 관할 감독 기관의 역할을 합니다.

데이터 수출자가 EU 회원국에 설립되지 않았지만 규정(EU) 2016/679의 3조 (2)항에 따라 규정(EU) 2016/679의 적용 범위에 속하고 규정(EU) 2016/679의 27조 (1)항에 따라 대표자를 지정한 경우: 규정(EU) 2016/679의 27조 (1)항의 의미에 해당하는 대표자가 설립된 회원국의 감독 기관은 부속서 I.C 에 명시된 바와 같이 관할 감독 기관의 역할을 합니다.

데이터 수출자가 EU 회원국에 설립되지 않았지만 규정(EU) 2016/679의 27조 (2)항에 따라 대표자를 지정하지 않고 규정(EU) 2016/679의 3조 (2)항에 따라 규정(EU) 2016/679의 적용 범위에 속하는 경우: 상품 또는 서비스의 제공과 관련하여 본 조항에 따라 개인 데이터가 전송되거나 동작이 모니터링되는 데이터 주체가 위치하는 회원국 중 하나의 감독 기관은 부속서 I.C 에 명시된 바와 같이 관할 감독 기관의 역할을 합니다.

b. 데이터 수입자는 본 조항의 준수를 보장하기 위한 모든 절차에서 관할 감독 기관의 관할권에 복종하고 관할 감독 기관과 협업하는 데 동의합니다. 특히 데이터 수입자는 문의에 응답하고 감사에 제출하며 구제 조치 및 보상 조치를 포함하여 감독 기관이 채택한 조치를 준수하는 데 동의합니다. 필요한 조치가 취해졌다는 서면 확인을 감독 기관에 제공해야 합니다.

III 절 – 정부 기관의 액세스 시 현지 법률 및 의무

조항 14

조항 준수에 영향을 미치는 현지 법률 및 관행

a. 당사자는 개인 데이터를 공개하기 위한 요구 사항 또는 정부 기관의 액세스를 승인하는 조치를 포함하여 데이터 수입자의 개인 데이터 처리에 적용되는 제3 대상 국가의 법률 및 관행이 데이터 수입자가 본 조항에 따른 의무를 이행하는 데 방해가 된다고 믿을 이유가 없음을 보증합니다. 이는 기본권과 자유의 본질을 존중하고 민주주의 사회에서 규정(EU) 2016/679의 23조 (1)항에 열거된 목적 중 하나를 보호하기 위해 필요하고 비례적인 것을 초과하지 않는 법률 및 관행이 본 조항과 상충되지 않는다는 이해를 기반으로 합니다.

b. 당사자는 (a)항의 보증을 제공할 때 특히 다음 요소를 충분히 고려했음을 선언합니다.

i. 처리 체인의 길이, 관련된 행위자의 수 및 사용된 전송 채널을 포함한 전송의 특정 상황; 의도된 추후 전송; 받는 사람의 유형; 처리 목적; 전송된 개인 데이터의 범주 및 형식; 전송이 이루어지는 경제 부문; 전송된 데이터의 저장 위치;

ii. 전송의 특정 상황과 적용 가능한 제한 및 보호 조치를 고려하여 정부 기관에 데이터를 공개하거나 해당 기관의 액세스를 승인하는 등 제3 대상 국가의 법률 및 관행;

iii. 전송 중 및 대상 국가의 개인 데이터 처리에 적용되는 조치를 포함하여 본 조항에 따른 보호 조치를 보완하기 위해 마련된 모든 관련 계약, 기술 또는 조직 보호 조치.

c. 데이터 수입자는 (b)항에 따른 평가를 수행할 때 데이터 수출자에게 관련 정보를 제공하기 위해 최선을 다했음을 보증하며, 본 조항을 준수하기 위해 데이터 수출자와 계속 협업할 것에 동의합니다.

d. 당사자는 (b)항에 따른 평가를 문서화하고 요청 시 관할 감독 기관에 제공하는 데 동의합니다.

e. 데이터 수입자는 본 조항에 동의한 후 계약 기간 동안 제3 국가 법률의 변경 또는 (a)항의 요구 사항에 부합하지 않는 실제 법률의 적용을 나타내는 조치(예: 공개 요청)를 따르는 것을 포함하여 (a)항의 요구 사항에 부합하지 않는 법률 또는 관행의 적용을 받고 있거나 받게 되었다고 판단할 만한 이유가 있는 경우 이를 즉시 데이터 수출자에게 알리는 데 동의합니다.

f. (e)항에 따른 고지 후 또는 데이터 수출자가 본 조항에 따른 의무를 더 이상 이행할 수 없다고 판단할 만한 이유가 있는 경우, 데이터 수출자는 데이터 수출자 및/또는 데이터 수입자가 상황을 해결하기 위해 채택해야 하는 적절한 조치(예: 보안 및 기밀성을 보장하기 위한 기술 또는 조직 조치)를 신속하게 파악해야 합니다. 데이터 수출자는 그러한 전송에 대한 적절한 보호 조치를 보장할 수 없다고 판단되거나 관할 감독 기관의 지시가 있을 경우 데이터 전송을 일시 중단해야 합니다. 이 경우, 데이터 수출자는 본 조항에 따른 개인 데이터 처리와 관련이 있는 한 계약을 종료할 권리가 있습니다. 계약에 셋 이상의 당사자가 관련된 경우, 데이터 수출자는 당사자가 달리

합의하지 않는 한 관련 당사자에 대해서만 이 종료 권한을 행사할 수 있습니다. 본 조항에 따라 계약이 종료되는 경우, 조항 16(d) 및 (e)가 적용됩니다.

조항 15

정부 기관의 액세스 시 데이터 수입자의 의무

15.1 알림

a. 데이터 수입자는 다음과 같은 경우 데이터 수출자 및 가능한 경우 데이터 주체에게 즉시(필요한 경우 데이터 수출자의 도움을 받아) 알릴 것에 동의합니다.

i. 본 조항에 따라 전송된 개인 데이터의 공개에 대해 대상 국가의 법률에 따라 사법 기관을 포함한 정부 기관으로부터 법적 구속력이 있는 요청을 받는 경우; 이러한 알림에는 요청된 개인 데이터, 요청 기관, 요청의 법적 근거 및 제공된 응답에 대한 정보가 포함되어야 합니다.

ii. 대상 국가의 법률에 따라 본 조항에 따라 전송된 개인 데이터에 대한 정부 당국의 직접 액세스를 알게 되는 경우; 이러한 알림에는 수입자에게 제공되는 모든 정보가 포함됩니다.

b. 데이터 수입자가 대상 국가의 법률에 따라 데이터 수출자 및/또는 데이터 주체에게 알리는 것이 금지된 경우, 데이터 수입자는 가능한 빨리 가능한 많은 정보를 전달하기 위해 금지 권리를 포기하기 위해 최선을 다할 것에 동의합니다. 데이터 수입자는 데이터 수출자의 요청에 따라 이를 입증할 수 있도록 최선의 노력을 문서화하는 데 동의합니다.

c. 대상 국가의 법률에 따라 허용되는 경우, 데이터 수입자는 데이터 수출자에게 계약 기간 동안 정기적으로 수신된 요청에 대해 가능한 많은 관련 정보(특히 요청 수, 요청된 데이터 유형, 요청 기관, 요청에 이의를 제기했는지 여부 및 그러한 이의 제기의 결과 등)를 제공하는 데 동의합니다.

d. 데이터 수입자는 계약 기간 동안 (a)~(c)항에 따라 정보를 보존하고 요청 시 관할 감독 기관에 해당 정보를 제공하는 데 동의합니다.

e. (a)~(c)항은 조항 14(e) 및 조항 16에 따른 데이터 수입자의 의무를 침해하지 않고 이러한 조항을 준수할 수 없는 경우 즉시 데이터 수출자에게 알려야 합니다.

15.2 적법성 검토 및 데이터 최소화

a. 데이터 수입자는 공개 요청의 적법성, 특히 공개 요청이 요청하는 정부 기관에 부여된 권한 내에 있는지 검토하고, 신중한 평가를 거친 후 해당 요청이 대상 국가의 법률, 국제법상 적용 가능한 의무 및 국제 예양 원칙에 따라 불법이라고 판단할 합리적인 근거가 있다고 결론을 내리는 경우 요청에 이의를 제기하는 데 동의합니다. 데이터 수입자는 동일한 조건 하에서 이의를 제기할 수 있는 가능성을 모색해야 합니다. 요청에 이의를 제기하는 경우, 데이터 수입자는 관할 사법 기관이 본안에 따라 결정을 내릴 때까지 해당 요청의 효력을 일시 중단하기 위한 임시 조치를 모색해야 합니다. 해당 절차적 규칙에 따라 요구될 때까지 요청된 개인 데이터를 공개하지 않아야 합니다. 이러한 요구 사항은 조항 14(e)에 따른 데이터 수입자의 의무를 침해하지 않습니다.

b. 데이터 수입자는 공개 요청에 대한 법적 평가 및 모든 이의 제기를 문서화하고 대상 국가의 법률에 따라 허용되는 범위 내에서 데이터 수출자가 해당 문서를 이용할 수 있도록 하는 데 동의합니다. 또한 요청 시 관할 감독 기관에 제공해야 합니다.

c. 데이터 수입자는 공개 요청에 대한 합리적인 해석을 기반으로 공개 요청에 응답할 때 허용되는 최소한의 정보를 제공하는데 동의합니다.

IV 절 – 최종 조항

조항 16

조항 미준수 및 종료

a. 데이터 수입자는 어떠한 이유로든 본 조항을 준수할 수 없는 경우 데이터 수출자에게 즉시 알려야 합니다.

b. 데이터 수입자가 본 조항을 위반하거나 본 조항을 준수할 수 없는 경우, 데이터 수출자는 규정 준수가 다시 보장되거나 계약이 종료될 때까지 데이터 수입자로의 개인 데이터 전송을 일시 중단해야 합니다. 이는 조항 14(f)를 침해하지 않습니다.

c. 데이터 수출자는 다음에 해당하는 경우 본 조항에 따른 개인 데이터 처리와 관련이 있는 한 계약을 종료할 권리가 있습니다.

i. 데이터 수출자가 (b)항에 따라 데이터 수입자로의 개인 데이터 전송을 일시 중단했고 합당한 시간 내에 그리고 어떠한 경우에도 일시 중단 후 1개월 이내에 이러한 조항의 준수가 회복되지 않는 경우;

ii. 데이터 수입자가 본 조항을 실질적으로 또는 지속적으로 위반하는 경우; 또는

iii. 데이터 수입자가 본 조항에 따른 의무와 관련하여 관할 법원 또는 감독 기관의 구속력이 있는 결정을 준수하지 않는 경우.

이 경우, 관할 감독 기관에 그러한 규정 미준수를 알려야 합니다. 계약에 셋 이상의 당사자가 관련된 경우, 데이터 수출자는 당사자가 달리 합의하지 않는 한 해당 당사자에 대해서만 이 종료 권한을 행사할 수 있습니다.

d. (c)항에 따라 계약이 종료되기 전에 전송된 개인 데이터는 데이터 수출자의 선택에 따라 즉시 데이터 수출자에게 반환하거나 완전히 삭제해야 합니다. 데이터 사본에 대해서도 동일하게 적용됩니다. 데이터 수입자는 데이터 수출자에게 데이터 삭제를 증명해야 합니다. 데이터가 삭제되거나 반환될 때까지 데이터 수입자는 이 조항을 계속 준수해야 합니다. 데이터 수입자에게 적용되는 현지 법률이 전송된 개인 데이터의 반환 또는 삭제를 금지하는 경우, 데이터 수입자는 본 조항을 계속 준수할 것이며 해당 현지 법률에서 요구하는 범위 내에서 해당 기간 동안만 개인 데이터를 처리할 것임을 보증합니다.

e. 두 당사자 중 하나는 (i) 유럽집행위원회가 본 조항이 적용되는 개인 데이터의 전송에 적용되는 규정(EU) 2016/679의 45조 (3)항에 따른 결정을 채택하는 경우 또는 (ii) 규정(EU) 2016/679가 개인 데이터가 전송되는 국가의 법적 프레임워크의 일부가 되는 경우 본 조항을 준수하는 계약을 취소할 수 있습니다. 이는 규정(EU) 2016/679에 따라 해당 처리에 적용되는 다른 의무를 침해하지 않습니다.

조항 17

준거법

EU 회원국 중 한 곳의 법률에서 제3자 수혜자 권리를 허용하는 경우 본 조항에는 해당 법률이 적용됩니다. 당사자는 이 법률이 독일 연방 공화국의 법률이라는 데에 동의합니다.

조항 18

포럼 및 관할권 선택

a. 이 조항에서 발생하는 모든 분쟁은 EU 회원국의 법원의 판결을 받습니다.

b. 당사자는 이 법원이 독일 연방 공화국 베를린 법원이라는 데에 동의합니다.

c. 또한 데이터 주체는 거주지가 있는 회원국의 법원에 데이터 수출자 및/또는 데이터 수입자를 상대로 법적 소송을 제기할 수 있습니다.

d. 당사자는 이러한 법원의 관할권에 복종하는 데 동의합니다.