JOHNSON CONTROLS 정보 처리 부칙 –
JOHNSON CONTROLS 정보 처리 부칙 –
프로세서로서의 JOHNSON CONTROLS
별표 및 부록을 포함한 본 정보 처리 부칙("DPA")은 개인정보의 처리와 관련하여 당사자들의 합의를 반영하기 위해 JCI 로부터의 고객의 서비스("서비스"로 식별되거나 관련 계약에서,
그리고 이하 "서비스"로 정의함)에 대한 계약 또는 Johnson Controls(이하 "JCI"라 함)과 고객 간의 기타 서면 또는 전자 계약("계약")을 구성한다.
본 문서에서 정의되지 않은 모든 대문자 용어는 계약서에 명시된 의미를 지닌다.
계약에 따라 서비스를 고객에게 제공하는 동안, JCI 는 고객을 대신하여 개인정보를 처리할 수 있으며, 당사자들은 모든 개인정보와 관련하여 합당하게, 신의성실의 원칙에 따라 행위하며 다음 조항을 준수할 것임에 동의한다.
본 DPA 의 적용 방식
본 DPA 는 계약서(해당 계약서의 모든 기존 정보 처리 부칙 포함)에 포함된 개인정보 처리와 관련하여 상충하는 조항을 대체한다.
1. 정의
"캐나다 개인정보보호법"이란 개인정보보호 및 전자문서법(Personal Information Protection and Electronic Documents Act) 및 그에 부대하는 규정, 그리고 해당하는 경우 개인정보보호법(Personal Information Protection Act)(Alberta), 개인정보보호법(Personal Information Protection Act)(B.C.), 민간 부문의 개인정보 보호와 관련된 법률 (Quebec), 정보기술을 위한 법적 프레임워크 확립을 위한 법률(Quebec)을 포함한 모든 관련 지방 법률 및 규정, 그리고 때때로 수정되는 이러한 법규에 대한 모든 규정을 의미한다.
"CCPA"란 캘리포니아 소비자 개인정보보호법(California Consumer Privacy Act), Cal. Civ. Code 1798.100 et seq., 및 해당 집행 규정을 의미한다.
"컨트롤러(Controller)"란 개인정보 처리의 목적 및 수단을 결정하는 실체를 의미한다. "고객"이란 계약서에 서명한 실체를 의미한다.
"정보보호 법률 및 규정"이란 유럽연합, 유럽경제지역 및 해당 회원국, 스위스, 영국, 캐나다, 미국과 해당 주, 중화인민민주공화국의 법률 및 규정을 포함한 모든 법률 및 규정을 의미하며, 계약서상의 개인정보 처리에 적용된다.
"정보주체"란 개인정보가 관련된 식별된 또는 식별 가능한 사람을 말한다.
"GDPR"이란 개인정보 처리와 관련된 자연인의 보호 및 이러한 정보의 자유로운 이동에 관한 2016 년 4 월 27 일의 유럽의회 및 이사회의 규정(EU) 2016/679 및 폐지 지침 95/46/EC (일반정보보호규정)을 의미한다.
"영국 GDPR: 영국의 유럽연합 (철회) 법률 2018 및 영국 데이터보호법 2018 에 따라 수정되고 영국("UK")의 법률에 포함된 GDPR 을 의미한다.
"개인정보"란 식별된 또는 식별 가능한 자연인과 관련된 모든 정보로, 이러한 정보는 고객이 또는 고객을 위해 서비스로 제출한 것이다.
"처리"란 자동 또는 수동 수단으로 개인정보에 대해 수행된 모든 조작 또는 일련의 조작으로, 여기에는 수집, 기록, 조직, 구조화, 보관, 적용 또는 변경, 검색, 조회, 사용, 그리고 전송이나 전파 또는 기타 방법으로 이용할 수 있게 하는 방식에 의한 공개, 정렬 또는 조합, 제한, 삭제 또는 파기 등이 포함된다.
"프로세서"란 컨트롤러를 대신하여 개인정보를 처리하는 실체로, 여기에는 CCPA 에서 정의하는 용어에 따라 해당하는 모든 "서비스 공급자"가 포함된다.
"보안 관행 문서"란 이 링크에서 이용 가능한 정보를 의미한다: xxxxx://xxx.xxxxxxxxxxxxxxx.xxx/-/xxxxx/xxx/xxxxx-xxxxxxxxx/xxxxxxx- controls-security-practices-rev-c.pdf
"JCI"란 계약서에서 당사자인 JCI 사업체를 의미한다.
"JCI 계열사"란 직간접적으로 JCI 를 소유 또는 지배하거나 JCI 에 의해 소유 또는 지배되거나, JCI 와의 공동 소유 또는 지배하에 있는 사업체를 의미한다. 본 문서상에서
사용하는 지배란, 사업체의 경영 또는 업무를 지시할 권한을 의미하며, 소유권이란 의결권 주식 또는 기타 상응하는 한 사업체의 의결권 이익의 오십퍼센트(50%)를 초과한 수익적 소유권을 의미한다.
"표준계약조항(SCC)"이란 적절한 수준의 정보 보호를 보장하지 않는 제 3 국 내 설립된 프로세서로의 개인정보 이전에 관한 표준계약조항에 관한 2010 년 2 월 5 일의 유럽위원회의 결정(C(2010)593)에 따라 별표 3 로 본 문서에 첨부된 계약서를 의미한다.
"하위 프로세서"란 JCI 가 고용한 모든 프로세서를 의미한다.
"감독당국"이란 GDPR 에 따라 유럽연합 회원국이 설립한 독립 공공 당국을 의미한다,
2. 개인정보의 처리
2.1 당사자들의 역할. 당사자들은 개인정보 처리와 관련하여 고객은 컨트롤러, JCI 는 프로세서이며, JCI 는 아래의 섹션 5 하위 프로세서에 명시된 요건에 따라 하위 프로세서를 고용함을 인정하고 동의한다.
2.2 고객의 개인정보 처리. 고객은 서비스의 사용에 있어 프로세서로서 JCI 의 사용에 대해 정보주체에게 고지를 제공하는 모든 관련 요건을 포함하여, 고객에게 적용되는 정보보호 법률 및 규정의 요건에 따라 개인정보를 처리해야 한다. 의혹을 불식하기 위하여, 개인정보 처리에 관한 고객의 지침은 정보보호 법률 및 규정을 준수해야 한다. 고객은 개인정보의 정확성, 품질, 적법성, 그리고 요구되는 모든 동의의 획득을 포함하여 고객이 개인정보를 획득한 수단에 대한 전적인 책임을 진다. 고객은 고객에 의한 서비스의 사용이 CCPA 에 따라 적용되는 한, 판매 또는 기타 개인정보의 공개를 거부한 모든 정보주체의 권리를 범하지 않을 것임을 특별히 인정한다.
2.3 JCI 의 개인정보 처리. JCI 는 고객을 대신하여, 그리고 문서화된 지침에 따라서만 다음의 목적을 위해 개인정보를 처리한다: (i) 계약서에 따른 처리, (ii) 서비스의 이용, (iii) 고객이 제공하며, 계약서의 조항과 일관된 기타 문서화된 타당한 지침(예: 이메일을 통한 지침)을 준수하기 위한 처리. JCI 는 관련법을 위반하는 고객의 문서화된 지침에 따라 고객을 대신하여 개인정보를 처리하지 않는다
2.4 처리 세부사항. JCI 에 의한 개인정보 처리의 대상은 계약서에 따른 서비스의 수행이다. 처리에 걸리는 시간, 처리의 특성 및 목적, 개인정보의 유형 및 본 DPA 에 따라 처리되는 정보주체의 범주는 본 DPA 에 첨부된 별표 2(처리의 세부정보)에 추가적으로 명시되어 있다.
3. 정보주체의 권리 및 협력
정보주체 요청. JCI 는 고객의 타당한 요청에 따라, 그리고 관련법상 제약에 따라 JCI 는 각각이 정보주체 요청에 해당하는 정보주체의 열람권, 정정권, 처리 제한권, 삭제권(잊힐 권리), 정보 이동권, 처리 반대권 또는 자동화된 의사결정의 대상이 되지 않을 권리를 행사하겠다는 요청을 정보주체로부터 받는 경우 즉시 고객에게 고지한다. 처리의 특성을 고려하여, JCI 는 정보보호 법률 및 규정에 따라 정보주체 요청에 응할 고객의 의무를 충족하기 위해 가능한 경우 적합한 기술적 및 조직적 조치에 의해 고객을 지원한다. 또한 고객이 서비스의 이용에 있어 정보주체 요청을 처리할 능력이 없는 한, JCI 는 고객의 요청에 따라 JCI 가 행위를 수행함에 있어 법적으로 허용되고, 정보보호 법률 및 규정에 따라 이러한 정보주체 요청에 대해 응할 필요가 있는 한 고객을 지원하기 위해 상업적으로 합당한 노력을 제공한다. 법적으로 허용되는 한 고객은 JCI 가 이러한 지원을 제공함으로써 발생하는 모든 비용을 부담한다.
협력: 고객의 서면 요청에 따라, JCI 는 정보보호 법률 및 규정에 따라 고객의 의무를 충족하거나, 규제당국의 모든 질의, 조사 또는 감사에 대해 고객이 응하는 것을 지원하는 데 있어 필요한 합당한 협력 및 지원을 고객에게 지원한다. 법적으로 허용되는 한 고객은 JCI 가 이러한 협력 및 지원을 제공함으로써 발생하는 모든 비용을 부담한다.
4. JCI 직원
4.1 기밀 유지. JCI 는 개인정보 처리에 참여하는 직원이 개인정보의 기밀적 특성에 알도록 하고, 자신의 책임에 대해 적절한 교육을 받도록 하며, 서면 기밀유지협약에 서명하도록 한다. JCI 는 이러한 기밀유지 의무가 직원의 참여가 종료된 후에도 이러한 기밀유지 의무를 보장한다.
4.2 신뢰성. JCI 는 개인정보 처리에 참여하는 JCI 직원의 신뢰성을 보장하기 위한 상업적으로 합당한 조치를 취한다.
4.3 접근의 제한. JCI 는 계약서에 따라 개인정보에 대한 JCI 의 접근이 서비스를 수행하는 직원으로만 한정되도록 한다.
4.4 개인정보보호책임자. 법률상의 의무인 경우, JCI 는 개인정보보호책임자를 지명해 왔다. 해당 지명자는 xxxxxxx@xxx.xxx 을 통해 연락할 수 있다.
5. 하위 프로세서
5.1 하위 프로세서의 지명. 고객은 (a) JCI 의 계열사가 하위 프로세서로 보유될 수 있다는 것, (b) JCI 및 JCI 의 계열사가 서비스의 제공과 관련하여 각기 제 3 자 하위 프로세서를 고용할 수 있음을 인정하고 이에 동의한다. JCI 또는 JCI 계열사는 하위 프로세서가 제공하는 서비스의 특성에 해당하는 한 개인정보의 보호와 관련하여 본 계약서상의 의무에 비해 그 보호 수준이 더 낮지 않은 개인정보 보호 의무를 포함한 서면 계약을 각 하위 프로세서와 함께 체결할 것이다.
5.2 현 하위 프로세서의 목록 및 신규 하위 프로세서의 알림. 고객으로부터의 서면 요청이 있을 때, JCI 는 서비스를 위한 현재 하위 프로세서 목록을 고객이 이용할 수 있도록 한다. 이러한 하위 프로세서 목록에는 하위 프로세서의 신원 및 하위 프로세서가 소재하는 국가가 포함된다. 새로운 하위 프로세서를 추가하는 경우 이메일 및 기타 전자적 수단 등의 합당한 수단을 통해 JCI 가 고객에게 그 내용을 통지한다.
5.3Objection 하위 프로세서의 반대권. 합당하게 행위하는 고객이 신규 하위 프로세서가 개인정보의 보호에 수용할 수 없는 리스크를 발생시키는 경우라고 판단하는 경우, 고객은 JCI 가 고객에게 신규 하위 프로세서에 대해 통지한 후 10 업무일 이내에 즉각적으로 JCI 에 통지함으로써 JCI 의 이러한 새로운 하위 프로세서의 사용을 반대할 수 있다. 앞서 명시한 내용을 근거로 고객이 신규 하위 프로세서에 반대하는 경우, JCI 는 고객에게 부당한 부담을 지우지 않고 반대를 받은 신규 하위 프로세서에 의한 개인정보 처리를 방지하기 위해 서비스 내 변경사항을 고객에게 마련하기 위해 합당한 노력을 기울이거나 고객의 구성 또는 서비스의 사용에 대한 상업적으로 합당한 변경을 권장한다. JCI 가 30 일을 초과하지 않아야 하는 합당한 기간 내에 이러한 변경사항을 마련할 수 없는 경우, 고객은 JCI 에 서면 고지를 제공함으로써 반대를 받은 신규 프로세서를 사용하지 않고 JCI 가 제공할 수 없는 이러한 서비스와 관련된 해당 계약만을 종료할 수 있다.
5.4 의무. JCI 는 계약서에서 달리 명시되지 않은 한, 각 하위 프로세서의 서비스 수행이 직접적으로 본 DPA 의 조건하에 있는 경우 JCI 가 책임을 부담하는 동일한 정도까지 JCI 의 하위 프로세서의 행위 및 태만에 대해 책임을 진다.
6. 보안
6.1 개인정보 보호를 위한 통제조치. JCI 는 보안 관행 문서에 명시된 바와 같이 개인정보의 보안, 기밀 및 무결성의 보호(개인정보의 무단 또는 적법하지 않은 처리와, 우발적인 또는 적법하지 않은 파기, 손실 또는 변경 또는 손상, 무단 제공 또는 이용의 방지를 포함)를 위한 적절한 기술적, 물리적, 조직적 조치를 유지한다. JCI 는 보안 관행 문서를 업데이트할 권리를 유지하나 전체적 조치 수준을 감소시키지 않는다.
7. 개인정보 사고 관리 및 통지
JCI 는 보안 사고 관리 규정 및 절차를 유지하고, JCI 가 인지하게 되었으며 고객을 대신하여 JCI 또는 하위 프로세서가 전송, 보관 또는 처리한 개인정보에 대한 우발적인 또는 적법하지 않은 파기, 손실, 변경, 무단 제공, 사용 또는 이용("개인정보 사고")에 대해 인지하게 되면 가능한 이른 시일 내에 고객에게 통지해야 한다. JCI 는 이러한 개인정보 사고의 원인을 식별하고, 구제책이 JCI 의 합당한 통제 내에 있는 한, 이러한 개인정보 사고의 원인을 해결하기 위해 필요하고 합당하다고 JCI 가 간주하는 조치들을 취하기 위한 합당한 노력을 기울인다. JCI 는 정보보호 법률 및 규정에 따라 개인정보 사고와 관련하여 고객에게 적용 가능한 모든 보고, 기록 및 통지 의무를 준수하기 위해 고객이 요청하는 모든 정보는 물론 관련 규제당국 및 영향을 받는 정보주체로부터의 모든 질의에 답하기 위해 고객이 합당하게 요청하는 여하한의 정보를 포함하여, 고객이 합당하게 요청하는 모든 개인정보 사고 관련 정보를 가능한 이른 시일 내에 제공한다. 본 문서상의 의무는 고객 또는 고객의 정보주체가 초래한 사고에는 적용되지 않는다.
8. 개인정보의 반환 및 삭제
JCI 는 개인정보(일상적 백업 작업 중 저장되는 전자 사본을 제외한 보유 중인 모든 형태의 정보)를 고객에게 반환하고, JCI 의 법률 자문이 JCI 기록용으로 보관용 사본 한 부를 보유하는 것을 요건으로 하여, 관련법상 허용되는 한에서 고객과 JCI 간 계약에 따라 개인정보를 삭제한다. JCI 는 고객 개인정보의 일부 또는 모두를 보유하도록 JCI 가 관련법 또는 정부나 규제기관의 명령의 요구를 받는 한, 고객 개인정보를 삭제할 필요가 없다. JCI 가 앞선 내용에 명시된대로 고객 개인정보를 보유할 필요가 있는 경우, JCI 는 법적으로 허용되는 한에서 이러한 요건에 대해 고객에게 통지한다.
9. 책임의 한계
계약, 불법행위에 따른 것이든 또는 여하한의 기타 책임의 이론에 따른 것이든, 본 DPA 로부터 발생하거나 이와 관련되며, 각 당사자가 지는 책임의 총합은 계약서 중 책임의 한계 섹션의 적용을 받으며, 이러한 섹션에서의 언급되는 한 당사자의 책임이란 계약서 및 모든 DPA 일체에 따른 해당 당사자 및 해당 당사자의 계열사의 책임의 총합을 의미한다.
의혹의 불식을 위해, 계약서 및 모든 DPA 로부터 발생하거나 이와 관련된 고객으로부터의 모든 클레임에 대한 JCI 및 JCI 의 계열사의 책임 총합은 고객에 의한 것을 포함하여 계약서 및 본 계약서에서 확정된 모든 DPA 에 따른 모든 클레임에 대한 총계에 적용되며, 특히 이러한 모든 DPA 에 대한 계약적 당사자인 고객에게 개별적으로 및 각기 적용되는 것으로 이해되어서는 안 된다.
법률상 금지된 경우를 제외하고, 계약에 책임의 한계 섹션이 포함되지 않는 한, Johnson Controls 는 어떤 경우에도 계약의 위반, 불법행위(태만을 포함)에서 발생하거나 이와 관련된 경우 본 DPA 에서 발생하거나 이와 관련된 책임을 합하지 않으며, 또는 클레임의 원인이 된 사건으로부터 12 개월 전의 계약에 따라 JCI 에 지불된 금액 총액을 초과하지 않는다.
10. 유럽 특정 조항
10.1 GDPR. JCI 는 JCI 서비스의 제공에 직접 적용되는 GDPR 및 UK GDPR 에 따라 개인정보를 처리한다.
10.2 정보 보호 영향 평가. 고객의 요청에 따라, JCI 는 GDPR, 그리고 적용 가능한 경우 UK GDPR 에 따라 고객이 관련 정보에 대한 접근 권한을 보유하지 않는 한, 그리고 이러한 정보를 JCI 가 이용할 수 있는 한 고객의 서비스 사용과 관련된 정보 보호 영향 평가를 수행해야 하는 고객의 의무를 충족하기 위해 필요한 합당한 협력과 지원을 제공한다. JCI 는 GDPR 및 UK GDPR 에 따라 요구되는 한, 본 DPA 의 섹션 10.2 에 관련된 과제를 수행하기 위해 고객이 감독당국과의 협력 또는 사전 협의시 이에 합당한 지원을 제공한다.
10.3 정보 이전의 이전 메커니즘. 별표 1 의 추가 조건에 따라, JCI 는 정보보호 법률 및 규정이 정보 이전에 적용되는 한, 유럽연합, 유럽경제지역 및 해당 회원국, 스위스, 영국으로부터 이러한 영토의 정보보호 법률 및 규정의 의미 내에서 적합한 정보보호 수준을 보장하지 않는 국가로의 개인정보 이전에 대해 적용되는 아래 나열된 이전 메커니즘을 이용할 수 있도록 조처한다:
1. 본 DPA 의 별표 3 에 명시된 표준계약조항
11. 캐나다 개인정보보호법이 적용될 때의 추가 조항
11.1 캐나다 개인정보보호법이 적용되는 상황에서, JCI 는 캐나다 개인정보보호법에 따라 개인정보를 처리한다.
11.2 섹션 2.2 의 일반성을 제한하지 않고, 고객 및 정보주체의 캐나다 소재 여부와 관계 없이 캐나다 개인정보보호법이 적용되는 상황에서, 고객은 모든 고지를 제공하고 캐나다 개인정보보호법에 따라 필요한 모든 동의를 확보한다. 또한 필요한 경우, 고객은 정보주체에게 정보주체의 개인정보가 캐나다 외부로 전송 및 보관될 수 있고 다른 국가 내 법원, 법집행당국 및 국가 당국이 이용할 수 있다는 점을 통지하고, 고객은 JCI 를 위해 고객 및 정보주체가 소재한 캐나다 외부 또는 캐나다 주 외부로 개인정보를 이전하기 위해 캐나다 개인정보보호법이 요구하는 모든 동의를 확보한다.
11.3 고객은 JCI 에 연락하여 최대 1 년에 한 번 개인정보의 보호와 관련된 절차에 대한 감사를 요청할 수 있다. 고객은 이러한 모든 감사에 대해 지출한 모든 때에, 요청에 따라 고객에게 제공되는 JCI 의 당시 시점의 전문 서비스 요율로 JCI 에 보상한다. 이러한 모든 감사를 시작하기 전에, 고객과 JCI 는 고객이 부담해야 하는 보상에 더하여 감사의 범위, 시점, 기간에 대해 상호 합의한다. 모든 보상 요율은 JCI 가 지출하는 리소스를 고려하여 합당해야 한다. 고객은 감사 진행 중 발견된 모든 미준수와 관련된 정보를 JCI 에 즉시 통지해야 한다
12. 무효성 및 가분성.
관할 재판소가 이러한 조건의 조항이 무효함 또는 시행 불가능함을 확인하는 경우, 이러한 조항의 무효성 또는 시행 불가능성은 이러한 조건의 조항에 영향을 주지 않는다. 관련법상 허용되는 경우, 당사자들은 무효한 조항 대신, 당사자들이 부분적 무효성을 고려에 넣었다면 동의했을 것과 가장 가까운 조항에 법적으로 구속력이 있는 조항이 적용된다는 것에 동의한다.
별표의 목록
별표 1: 유럽 정보 이전의 이전 메커니즘 별표 2: 처리 세부사항
별표 3: 표준계약조항
별표 4: 표준계약조항의 영국 부칙
별표 1 - 유럽 정보 이전의 이전 메커니즘
1. SCC 서비스에 관한 추가 조건
1.1. 표준계약조항의 적용을 받는 고객 본 별표 1 에 명시된 표준계약조항 및 추가 조건은 유럽연합, 유럽경제지역 및 해당 회원국, 스위스 및 영국의 정보보호 법률 및 규정의 적용을 받는 고객에게 적용된다. 표준계약조항 및 본 섹션 1 의 목적상, 전술한 사업체는 정보 수출자로 간주된다.
1.2. 영국 GDPR 의 적용을 받는 이전: 본 DPA 에 따른 개인정보의 이전이 영국 GDPR 의 적용을 받는 경우, 별표 4 또한 적용된다.
1.3.지침. 본 DPA 및 계약은 개인정보의 처리를 위한 계약의 서명 시점에 JCI 에 대한 완전한 최종적인 문서화된 고객의 지침이다. 모든 추가 또는 대체 지침은 별도로 합의를 거쳐야 한다. 표준계약조항의 조항 8.1(a)의 목적상, 다음 사항은 개인정보를 처리하도록 하는 고객의 지침으로 간주된다: (a) 계약서에 따른 처리, (b) 서비스의 이용, (c) 고객이 제공하며, 계약서의 조항과 일관된 기타 타당한 문서화된 지침(예: 이메일을 통한 지침)을 준수하기 위한 처리. JCI 는 관련법을 위반하는 고객의 문서화된 지침에 따라 고객을 대신하여 개인정보를 처리하지 않는다.
1.4. 신규 하위 프로세서의 지명 및 현 하위 프로세서의 목록. 표준계약조항의 조항 9(a)에 따라, 고객은 (a) JCI 의 계열사가 하위 프로세서로 보유될 수 있다는 것, (b) JCI 및 JCI 의 계열사가 SCC 서비스의 제공과 관련하여 각기 제 3 자 하위 프로세서를 고용할 수 있음을 인정하고 이에 명시적으로 동의한다. JCI 는 본 DPA 의 섹션 5.2 에 따라 하위 프로세서의 현재 목록을 고객에게 제공한다.
1.5. 신규 하위 프로세서의 통지 및 신규 하위 프로세서의 반대권. 표준계약조항의 조항 9(a)에 따라, 고객은 DPA 의 5.2 절 및 5.3 절에 설명된대로 JCI 가 신규 하위 프로세서를 고용할 수 있음을 인정하고 이에 명시적으로 동의한다.
1.6.하위 프로세서 계약서의 사본. 당사자들은 표준계약조항의 조항 9(c)에 따라 JCI 가 고객에게 제공해야 하는 하위 프로세서 계약서의 사본에 있는 모든 상업 정보 또는 표준계약조항이나 이와 동등한 조항과 무관한 조항을 JCI 가 사전에 제거할 수 있다는
것과, 이러한 사본이 고객의 요청이 있을 경우에만 JCI 가 자유 재량에 따라 판단하는 방식으로 제공된다는 것에 동의한다.
1.7.향후 이전: 표준계약조항의 조항 8.8 이 적용되는 경우, 고객은 적합한 모듈이 집행위 이행 결정안 (EU) 2021/914 에 부속된 유럽연합 표준계약조항의 모듈 3(프로세서에서 프로세서로의 이전)이라는 것을 이해하고 이에 동의한다.
1.8. 감사 및 증명서. 당사자들은 표준계약조항의 조항 8.9(c)-(e)에 설명된 감사가 다음과 같은 세부 항목에 따라 수행됨에 동의한다:
고객은 JCI 에 연락하여 개인정보의 보호와 관련된 절차에 대한 감사를 요청할 수 있다. 고객은 이러한 모든 현장 감사에 대해 지출한 모든 때에, 요청에 따라 고객에게 제공되는 JCI 의 당시 시점의 전문 서비스 요율로 JCI 에 보상한다. 이러한 모든 현장 감사를 시작하기 전에, 고객과 JCI 는 고객이 부담해야 하는 보상에 더하여 감사의 범위, 시점, 기간에 대해 상호 합의한다. 모든 보상 요율은 JCI 가 지출하는 리소스를 고려하여 합당해야 한다. 고객은 감사 진행 중 발견된 모든 미준수와 관련된 정보를 JCI 에 즉시 통지해야 한다.
1.9. 삭제 증명서. 당사자들은 고객의 요청이 있는 경우에만 JCI 가 표준계약조항의 조항
8.5 에 설명된 개인정보의 삭제 증명서를 제공함에 동의한다.
1.10. 충돌. 본 DPA 및 해당 별표( 표준계약조항 미포함) 및 별표 3 표준계약조항 간 충돌이 발생하는 경우, 표준계약조항이 우선한다.
별표 2 - 처리 세부사항
처리의 특성 및 목적
JCI 는 계약서에 따라, 그리고 서비스의 사용에 있어 고객이 추가로 지시하는대로 서비스를 수행하기 위해 필요에 따라 개인정보를 처리한다.
처리 기간
JCI 는 서면으로 합의하는 경우를 제외하고는 계약 기간 동안 개인정보를 처리한다.
정보주체의 범주
정보주체는 서비스의 사용을 통해 고객이 결정 및 통제하며, 서비스에 따라 정보주체의 다양한 범주를 포함할 수 있다.
개인정보의 유형
고객은 개인정보를 서비스에 제출할 수 있으며, 그 범위는 고객이 단독 재량에 따라 결정하고 통제한다.
별표 3 - 표준계약조항
모듈 2 - 컨트롤러에서 프로세서로의 정보 이전
I 절
조항 1
목적 및 범위
(a) 본 표준계약조항의 목적은 개인정보의 처리와 관련된 자연인의 보호에 관한 및 개인정보의 제 3 국 이전에 대해 개인정보의 자유 이동에 관한 2016 년 4 월 27 일의 유럽의회 및 이사회의 규정 (EU) 2016/679(일반 정보 보호 규정)의 요건[1]을 준수하도록 보장하는 것이다.
(b) 당사자들:
(i) 부속서 I.A 에 나열되어 있으며, 개인정보를 이전하는 자연인 또는 법인, 당국, 기구 또는 기타 단체(이하 '실체')(이하 '정보 수출자')
(ii) 부속서 I.A 에 나열되어 있으며, 다른 실체를 통해 직간접적으로 정보 수출자로부터 개인정보를 수신하는 제 3 국 내 실체 및 표준계약약관의 당사자(이하 각각 '정보 수입자')
는 본 표준계약조항(이하 '계약조항')에 에 동의하였다.
(c) 계약조항은 부속서 I.B 에 명시된 개인정보의 이전과 관련하여 적용된다.
(d) 본 문서상 언급되는 부속서를 포함한 계약조항의 부록은 계약조항에 포함된다.
조항 2
계약조항의 효과 및 불변성
(a) 계약조항은 적절한 모듈을 선택하거나 부록 내 정보를 추가 또는 업데이트하려는 경우를 제외하고, 수정되지 않은 것을 전제로 하여, 규정 (EU) 2016/679 의 46(1)조 및 46(2)(c)조에 따라, 그리고 규정 (EU) 2016/679 의 28(7)조에 따른 컨트롤러에서 프로세서로의 및 프로세서에서 프로세서로의 개인정보 이전, 표준계약조항과 관련하여 집행 가능한 정보주체 권리 및 유효한 법적 구제책을 포함한 적절한 안전장치를 명시한다. 이는 계약조항에 직간접적으로 모순되지 않거나 정보주체의 기본권 또는 자유를 침해하지 않는 것을 전제로, 당사자들이 계약조항에서 정한 표준계약조항을 보다 넓은 범위의 계약에 포함하거나 기타 조항이나 추가 안전장치를 추가하는 것을 방지하지 않는다.
(b) 계약조항은 정보 수출자가 규정 (EU) 2016/679 에 따라 그 적용 대상이 되는 의무를 침해하지 않는다.
조항 3
제 3 수익자
(a) 정보주체는 다음과 같은 예외를 제외하고는 정보 수출자 및 정보 수입자에 맞서 제 3 자 수혜자로서 계약조항을 원용하고 집행할 수 있다:
(i) 조항 1, 조항 2, 조항 3, 조항 6, 조항 7
(ii) 조항 8 – 모듈 1: 조항 8.5 (e) 및 조항 8.9(b), 모듈 2: 조항 8.1(b), 8.9(a), (c), (d), (e), 모듈 3: 조항 8.1(a), (c), (d) 및 조항 8.9(a), (c), (d), (e), (f), (g), 모듈 4: 조항 8.1 (e) 및 조항 8.3(b)
(ii) 조항 9 – 모듈 2: 조항 9(a), (c), (d), (e), 모듈 3: 조항 9(a), (c), (d), (e) (iv) 조항 12 – 모듈 1: 조항 12(a) 및 (d), 모듈 2 및 3: 조항 12(a), (d), (f)
(v) 조항 13
(vi) 조항 15.1(c), (d), (e)
(vii) 조항 16(e)
(viii) 조항 18 – 모듈 1, 2, 3: 조항 18(a), (b), 모듈 4: 조항 18.
(b) (a)항은 규정 (EU) 2016/679 에 따라 정보주체의 권리를 침해하지 않는다.
조항 4
해석
(a) 계약조항이 규정 (EU) 2016/679 에 정의된 조건을 사용할 때, 이러한 조건은 규정 내 조건과 동일한 의미를 지닌다.
(b) 계약조항은 규정 (EU) 2016/679 의 조항에 따라 읽고 해석해야 한다.
(c) 계약조항은 규정 (EU) 2016/679 에 명문화된 권리 및 의무와 충돌하는 방식으로 해석해서는 안 된다.
조항 5
위계
계약조항과, 계약조항이 합의되거나 이후 합의된 시점에 존재한 당사자들 간 관련 계약의 조항이 충돌하는 경우, 계약조항이 우선한다.
조항 6
이전의 설명
개인정보 이전의 세부사항, 그리고 특히 이전되는 개인정보의 범주, 개인정보가 이전되는 목적은 부속서 I.B 에 명시되어 있다.
조항 7 – 선택조항
도킹 조항
(a) 계약조항의 당사자가 아닌 실체는 당사자들 간 합의가 있는 경우 어느 때이고 부록을 작성하고 부속서 I.A 에 서명함으로써 정보 수출자 또는 정보 수입자로 계약조항에 참여할 수 있다.
(b) 해당 주체가 부록을 작성하고 부속서 I.A 에 서명하고 나면, 참여 실체는 계약조항의 당사자가 되고 부속서 I.A 의 지정에 따라 정보 수출자 또는 정보 수입자의 권리 및 의무를 지닌다.
(c) 참여 실체는 당사자가 되기 전 기간으로부터 발생하는 본 계약상의 권리 또는 의무를 지니지 않는다.
II 절 – 당사자들의 의무
조항 8
정보 보호 안전장치
정보 수출자는 적절한 기술적 및 조직 수준의 조치의 실행을 통해 정보 수출자가 계약조항에 따르는 의무를 충족할 수 있음을 판단하기 위한 합당한 노력을 기울였음을 보증한다.
8.1 지침
(a)정보 수입자는 정보 수출자의 문서화된 지침에 따라서만 개인정보를 처리한다. 정보 수출자는 계약 기간 전체에 걸쳐 이러한 지침을 제공할 수 있다.
(b) 정보 수출자는 이러한 지침을 준수할 수 없는 경우 정보 수출자에게 즉시 알린다.
8.2 목적 제한
정보 수입자는 정보 수출자로부터의 추가적 지침이 없는 한 부속서 I.B 에 명시된대로 개인정보 이전의 특정 목적을 위해서만 개인정보를 처리한다.
8.3 투명성
요청이 있을 경우, 정보 수출자는 당사자들이 작성한 부록을 포함한 이러한 조항의 사본을 생성하여 정보주체에게 무료로 제공한다. 영업 비밀 또는 부속서 II 에 설명된 조치 및 개인정보를 포함한 기타 기밀 정보를 보호하기 위해 필요한 한, 정보 수출자는 사본을 공유하기 전에 이러한 조항의 부록의 문구 일부를 삭제할 수 있으나, 정보주체가 다른 방식으로는 콘텐츠를 이해하거나 자신의 권리를 이해할 수 없는 경우 의미 있는 요약을 제공해야 한다. 요청에 따라, 당사자들은 삭제된 정보를 드러내지 않고 가능한 정도까지 삭제의 이유를 정보주체에게 제공해야 한다. 이 조항은 규정 (EU) 2016/679 의 13 조 및 14 조에 따른 정보 수출자의 의무를 침해하지 않는다.
8.4 정확성
개인정보가 부정확하거나 오래된 것임을 정보 수입자가 인지한 경우, 정보 수입자는 부당한 지연 없이 정보 수출자에게 알려야 한다. 이 경우, 정보 수입자는 정보 수출자와 협력하여 정보를 삭제 또는 수정한다.
8.5 정보의 처리 기간 및 삭제 또는 반환
처리 기간 및 삭제 또는 반환
정보 수입자에 의한 처리는 부속서 I.B 에 명시된 기간 동안 이루어져야 한다. 처리 서비스의 제공이 종료되면, 정보 수입자는 정보 수출자의 선택에 따라 정보 수출자를 대신하여 모든 처리된 개인정보를 삭제하고 이를 수행했음을 정보 수출자에게 증명하거나, 정보 수출자를 대신하여 처리한 모든 개인정보를 정보 수출자에게 반환하고 기존 사본을 삭제한다. 정보가 삭제되거나 반환될 때까지, 정보 수입자는 계약조항과의 준수성을 계속적으로 보장해야 한다. 정보 수입자에게 적용되는 현지법이 개인정보의 반환 또는 삭제를 금하는 경우, 정보 수입자는 계약조항의 준수성을 계속적으로 보장하고 현지법에서 요구되는 기간과 정도까지만 개인정보를 처리한다. 이는 조항 14, 특히 정보 수입자가 조항 14(a)에 따른 요건과 합치하지 않는 법률 또는 관행의 적용 대상이거나 적용 대상이 되었다고 정보 수입자가 믿을 만한 이유가 있는 경우 계약 기간 전체에 걸쳐 조항 14(e)에 따라 정보 수출자에게 통지해야 하는 요건을 침해하지 않는다.
8.6 처리의 보안
(a) 정보 수입자는, 그리고 전송 중에는 정보 수출자 또한 적절한 기술적 및 조직적 조치를 실행하여 정보의 우연한 또는 불법적 파기, 손실, 변경, 무단 공개 또는 정보의 이용(이하 개인정보 침해)으로 이어지는 보안 침해로부터의 보호를 포함한 정보의 보안을 보증한다. 적절한 보안 수준을 평가함에 있어, 당사자들은 최신 기술력, 실행 비용, 처리의 특성, 범위, 상황, 목적, 그리고 정보주체를 위한 처리와 관련된 리스크를 적절히 고려해야 한다. 당사자들은 처리의 목적이 충족될 수 있다면 특히 암호화 또는 익명화를 이용하는 것을 고려해야 한다. 익명화의 경우, 개인정보로 특정 정보주체를 식별할 수 있게 해주는 추가 정보는 가능한 경우 정보 수출자의 배타적인 통제하에 있어야 한다. 이 항에 따른 의무를 준수함에 있어, 정보 수입자는 적어도 부속서 II 에 명시된 기술적 및 조직적 조치를 실행해야 한다. 정보 수입자는 이러한 조치가 적합한 보안 수준을 계속 제공하는지 확인하기 위해 정기적 확인을 수행한다.
(b) 정보 수입자는 계약의 이행, 관리, 모니터링을 위해 엄격하게 필요한 정도만큼만 직원 구성원에게 접근 권한을 부여한다. 정보 수입자는 개인정보를 처리할 권한을 부여받은 사람이 직접 기밀 준수를 약속했거나, 기밀 준수에 대한 적절한 법정 의무가 적용되는 상태에 있도록 보장해야 한다.
(c) 계약조항에 따라 정보 수입자가 처리한 개인정보와 관련하여 데이터 침해가 발생하는 경우, 정보 수입자는 부작용을 완화하기 위한 조치를 포함하여 침해를 처리하기 위한 적합한 조치를 취한다. 정보 수입자는 또한 침해에 대해 인지한 후, 부당한 지연 없이 정보 수출자에게 통지한다. 이러한 통지에는 더 많은 정보를 획득할 수 있는 연락 창구의 세부정보, 침해 특성의 설명(범주, 정보주체의 대략적인 수, 관련된 개인정보 기록 포함), 침해에 따른 가능성 있는 결과, 적절한 경우 가능한 부작용을 완화하기 위한 조치를 포함하여 침해를 처리하기 위해 취했거나 제안된 조치가 포함되어야 한다. 모든 정보를 한 번에 제공하는 것이 가능하지 않은 경우, 최초 통지에는 입수 가능한 정보가 포함되어야 하며, 추가로 확보된 정보는 부당한 지연 없이 이어서 제공되어야 한다.
(d) 정보 수입자는 정보 수출자와 협력하고 지원하여 정보 수출자가 규정 (EU) 2016/679 에 따라, 특히 처리의 특성 및 정보 수입자가 이용할 수 있는 정보를 고려하여 관할 감독 당국 및 영향을 받는 정보주체에게 통지해야 할 의무를 준수해야 한다.
8.7 민감한 정보
인종적 또는 민족적 기원, 정치적 의견, 종교적 또는 철학적 신념 또는 노동조합 자격을 드러내는 개인정보, 유전정보, 또는 자연인을 고유하게 식별하기 위한 목적의 생체정보, 건강 또는 개인의 성생활 또는 성적지향과 관련된 정보, 또는 형사 유죄 판결, 형사상 범죄와 관련된 정보(이하 민감정보’)를 이전하는 경우, 정보 수입자는 부속서 I.B 에 설명된 특정 제한 및 추가 안전장치를 적용해야 한다.
8.8 제 3 자 이전
정보 수입자는 정보 수출자의 문서화된 지침에 따라서만 제 3 자에게 개인정보를 공개한다. 또한, 해당 정보는 유럽연합 외부([2])(정보 수입자와 같은 국가 또는 기타 제 3 국 내, 이하
제 3 자 이전)에 소재한 제 3 자에게만 공개될 수 있지만, 이는 제 3 자가 계약조항의 구속을 받고 있거나 구속을 받을 것임에 동의하거나, 또는 다음과 같은 경우에 한한다:
(i) 제 3 자 이전이 제 3 자 이전에 관한 규정 (EU) 2016/679 의 45 조에 따른 적합성 결정의 수혜 국가로 이루어지는 경우
(ii) 제 3 자가 해당 처리와 관련하여 규정 (EU) 2016/679 의 46 조 또는 47 조에 따른 적합한 안전장치를 보장하는 경우
(iii) 제 3 자 이전이 특정 행정, 규제 또는 사법 절차의 맥락에서 법적 청구의 수립, 행사 또는 변호에 필요한 경우
(iv) 제 3 자 이전이 정보주체 또는 여타 자연인의 중요한 이익을 보호하기 위해 필요한 경우.
모든 제 3 자 이전의 경우, 정보 수입자는 특히 목적 제한을 포함하여 계약조항의 기타 모든 안전장치을 준수해야 한다.
8.9 문서화 및 규정준수
(a) 정보 수입자는 계약조항에 따라 처리와 관련된 정보 수출자의 질의사항을 즉각적이고도 적절히 다룬다.
(b) 당사자들은 본 조약을 준수함을 입증할 수 있어야 한다. 특히 정보 수입자는 정보 수출자를 대신하여 수행하는 처리 활동에 관한 적절한 문서를 유지해야 한다.
(c) 정보 수입자는 계약조항에 명시된 의무를 준수함을 입증하기 위해 필요한 모든 정보를 정보 수출자에게 제공하고, 정보 수출자의 요청에 따라, 합당한 간격으로 또는 미준수의 징후가 있는 경우 계약조항에서 다루는 처리 활동의 감사를 허용하고 이에 기여해야 한다. 심사 또는 감사를 결정함에 있어, 정보 수출자는 정보 수입자가 보유한 관련 증명서를 고려에 넣을 수 있다.
(d) 정보 수출자는 그 자체로 감사를 수행할 수도 있고, 독립 감사자를 위임할 수도 있다. 감사는 정보 수입자의 부지 또는 물리적 시설에서의 점검을 포함할 수 있으며, 적절한 경우, 합당한 고지와 함께 수행해야 한다.
(e) 당사자들은 감사의 결과를 포함하여, 요청이 있을 경우 (b) 및 (c)항에서 언급된 해당 정보를 관할 감독당국에 제공한다.
조항 9
하위 프로세서의 사용
정보 수입자는 합의된 목록의 하위 프로세서를 고용하기 위한 정보 수출자의 일반적 인허를 보유한다. 정보 수입자는 적어도 10 업무일 전에 하위 프로세서의 추가 또는 교체를 통한 해당 목록의 모든 의도된 변경에 대해 서면으로 정보 수출자에게 명시적으로 알림으로써, 정보 수출자가 하위 프로세서을 고용하기 전에 이러한 변경에 대해 반대할 수 있는 충분한 시간을 제공한다. 정보 수입자는 정보 수출자가 반대할 권리를 행사할 수 있도록 하기 위해 필요한 정보를 정보 수출자에게 제공해야 한다.
(b) 정보 수입자가 하위 프로세서를 고용하여 (정보 수출자를 대신하여) 특정 처리 활동을 수행하도록 하는 경우. 정보주체를 위한 제 3 자 수익권 측면을 포함하여 계약조항에 정보 수입자를 구속하는 것과 동일한 개인정보보호 의무를 실질적으로 지우는 서면 계약을 체결해야 한다.([1][1]) 당사자들은 정보 수입자가 이 조항을 준수함으로써 조항 8.8 에 따른 자신의 의무를 충족한다는 점에 동의한다. 정보 수입자는 계약조항에 따라 정보 수입자에게 적용되는 의무를 하위 프로세서가 준수하도록 해야 한다.
(c) 정보 수입자는 정보 수출자의 요청에 따라 이러한 하위 프로세서 계약서 및 정보 수출자에 대한 후속 개정안의 사본을 제공한다. 정보 수입자는 사본을 공유하기 전에 사업 비밀 또는 개인정보를 포함한 기타 기밀 정보를 보호하기 위해 필요한 정도만큼 계약서의 문구를 삭제할 수 있다.
(d) 정보 수입자는 정보 수출자가 정보 수입자에 따른 하위 프로세서의 의무를 수행하도록 하는 것에 전적인 책임을 진다. 정보 수입자는 하위 프로세서가 해당 계약상의 의무를 충족하지 못한 경우, 이에 대해 정보 수출자에게 통지한다.
(e) 정보 수입자는 정보 수출자가 사실상 사라지거나, 법률상 소멸하거나 또는 파산하는 경우 정보 수출자가 하위 프로세서 계약을 종료하고 하위 프로세서가 개인정보를 삭제 또는 반환하도록 할 권리를 보유한다는 내용의 제 3 자 수익자 조항에 대해 하위 프로세서와 합의해야 한다.
조항 10
정보주체의 권리
(a)정보 수입자는 정보주체로부터 받은 모든 요청에 대해 정보 수출자에게 즉시 통지한다. 정보 수입자는 정보 수출자가 허가한 경우가 아닌 한 해당 요청에 직접 응해서는 안 된다.
(b) 정보 수입자는 규정 (EU) 2016/679 에 따라 정보주체가 자신의 권리를 행사하고자 하는 요청에 정보 수출자가 응해야 하는 의무를 충족할 수 있도록 정보 수출자를 지원한다. 이와 관련하여, 당사자들은 지원이 제공되도록 하는 처리의 특성, 그리고 필요한 지원의 범위 및 정도를 고려하여 부속서 II 에 적절한 기술적 및 조직적 조치를 명시해야 한다.
(c) (a) 및 (b)항에 따른 의무를 충족하기 위하여, 정보 수입자는 정보 수출자의 지침을 준수해야 한다.
조항 11
배상
(a) 정보 수입자는 개별 고지를 통해 또는 웹사이트 상에서 투명하고 쉽게 이용할 수 있는 형식으로 불만사항을 처리할 권한을 부여받은 연락 담당을 정보주체에게 알려야 한다. 정보 수입자는 정보주체로부터 받은 모든 불만사항을 즉시 처리해야 한다.
(b) 계약조항의 준수와 관련하여 정보주체와 어느 한 당사자 간 분쟁이 발생한 경우, 해당 당사자는 늦지 않게 문제를 우호적으로 해결하기 위해 최선의 노력을 기울여야 한다. 당사자들은 이러한 분쟁과 관련하여 상호 간에 계속 정보를 주고받아야 하며, 적절한 경우 분쟁을 해결하기 위해 협력해야 한다.
(c) 정보주체가 조항 3 에 따라 제 3 자 수익권을 원용하는 경우, 정보 수입자는 다음을 수행하려는 정보주체의 결정을 수용해야 한다:
(i) 조항 13 에 의거하여 정보주체가 상주하거나 일하는 회원국 내 감독당국 또는 관할 감독당국에 불만을 제기함
(ii) 조항 18 에 규정된 관할법원에 분쟁을 회부함.
(d) 당사자들은 규정 (EU) 2016/679 의 80(1)조에 명시된 조건에 따라 비영리 단체, 조직 또는 협회가 정보주체를 대변할 수 있음을 인정한다.
(e) 정보 수입자는 관련 유럽연합 또는 회원국 법률에 따라 구속력이 있는 결정을 준수해야 한다.
(f) 정보 수입자는 정보주체가 내리는 결정이, 관련법에 따라 구제책을 구하기 위한 실질적이고 절차적인 권리를 침해하지 않음에 동의한다.
조항 12
법적책임
(a) 각 당사자는 계약조항의 위반에 의해 다른 당사자(들)에 초래한 모든 피해에 대해 다른 당사자(들)에 대한 책임을 진다.
(b) 정보 수입자는 정보주체에 대해 책임을 지고, 계약조항에 따른 제 3 자 수익권을 위반함으로써 정보 수입자 또는 그 하위 프로세서가 정보주체에 초래한 재산상 또는 비재산상 손해에 대해 정보주체는 배상을 받을 권한이 있다.
(c) (b)항에도 불구하고, 정보 수출자는 정보주체에 대해 책임을 지고, 계약조항에 따른 제 3 자 수익권을 위반함으로써 정보 수출자 또는 정보 수입자(또는 그 하위 프로세서)가 정보주체에 초래한 재산상 또는 비재산상 손해에 대해 정보주체는 배상을 받을 권한이 있다. 이는 정보 수출자의 책임, 그리고 정보 수출자가 컨트롤러를 대행하는 프로세서인 경우 규정 (EU) 2016/679 또는 규정 (EU) 2018/1725 중 해당하는 규정에 따른 컨트롤러의 책임을 침해하지 않는다.
(d) 당사자들은 정보 수입자(또는 해당 하위 프로세서)가 초래한 손해에 대해 정보 수출자가 (c)항에 따라 책임을 지게 되는 경우, 정보 수출자가 손해에 대한 정보 수입자의 책임에 해당하는 배상의 해당 부분에 대해 정보 수입자에게 청구할 권한을 보유함에 동의한다.
(e) 계약조항을 위반한 결과로 정보주체에 초래한 손해에 대해 둘 이상의 당사자가 책임이 있는 경우, 모든 책임 있는 당사자는 공동으로 및 각기 책임을 지며 정보주체는 이러한 당사자들 중 어느 하나에든 법정 소송을 제기할 권한을 보유한다.
(f) 당사자들은 한 당사자가 (e)항에 따라 책임을 지는 경우, 해당 당사자는 손해에 대한 다른 당사자의 책임에 해당하는 배상의 부분에 대해 다른 당사자에게 청구할 권한을 보유한다.
(g) 정보 수입자는 자신의 법적책임을 회피할 목적으로 하위 프로세서의 행동을 문제삼을 수 없다.
조항 13
감독
(a)정보 수출자가 유럽연합 회원국에 설립된 경우:] 부속서 I.C 에 명시된 바와 같이 정보 이전에 관한 규정 (EU) 2016/679 에 대한 정보 수출자의 준수를 보장할 책임이 있는 감독당국은 관할 감독당국이 된다.
정보 수출자가 유럽연합 회원국에 설립되지 않았으나, 3(2)조에 따라 규정 (EU) 2016/679 의 지역적 적용 범위 내에 속하고, 규정 (EU) 2016/679 의 27(1)조에 따라 대표자를 지명한 경우:] 부속서 I.C 에 명시된대로 규정 (EU) 2016/679 의 27(1)조에 따라 대표자를 정한 회원국의 감독당국은 관할 감독당국이 된다.
정보 수출자가 유럽연합 회원국에 설립되지 않았으나, 3(2)조에 따라 규정 (EU) 2016/679 의 지역적 적용 범위 내에 속하지만, 규정 (EU) 2016/679 의 27(2)조에 따라 대표자를 지명할 필요가 없는 경우:] 부속서 I.C 에 명시된대로 정보주체에 대한 상품 및 서비스 제공과 관련하여 계약조항에 따라 그 개인정보가 이전되거나 행동에 대해 모니터링을 받는 정보주체가 소재한 회원국 중 하나의 감독당국은 관할 감독당국이 된다.
(b) 정보 수입자는 관할 감독당국의 관할권을 따르고 계약조항의 준수를 보장하는 것을 목적으로 하는 모든 절차에 있어 관할 감독당국과 협력하는 것에 동의한다. 특히 정보 수입자는 질의에 응답하고, 감사에 응하며, 구제 및 배상 조치를 포함하여 감독당국이 채택한 조치를 준수한다. 정보 수입자는 필수 조치를 취했다는 서면 확인을 감독당국에 제공한다.
III 절 - 당국에 의한 개인정보 접근시 현지법 및 의무
조항 14
계약조항의 준수에 영향을 주는 현지법 및 관행
(a) 당사자들은 개인정보 또는 조치를 공개하여 당국에 의한 개인정보 접근을 허가하는 모든 요건을 포함하여, 정보 수입자에 의한 개인정보의 처리에 적용되는 대상 제 3 국 내 법률 및 관행이 계약조항에 따른 정보 수입자가 그 의무를 충족하지 못하게 한다고 믿을 이유가 없음을 보장한다. 이는 기본권 및 자유의 본질을 존중하며, 규정 (EU)
2016/679 의 23(1)조에 열거된 목적 중 하나를 보호하기 위해 민주적 사회 내 필수적이고 비례하는 조치를 초과하지 않는 법률과 관행이 계약조항과 상충하지 않는다는 이해에 기반한다.
(b) 당사자들은 (a)항의 보증을 제공함에 있어, 특히 다음과 같은 요소를 적절히 고려했음을 선언한다:
(i) 처리 사슬의 길이, 관련자의 수, 사용하는 전송 채널. 의도된 제 3 자 이전. 수신인 유형. 처리의 목적. 이전되는 개인정보의 범주 및 형식. 이전이 발생하는 경제 부문. 이전되는 정보의 보관 위치
(ii) 당국으로의 정보 제공을 요구하거나 이러한 당국의 접근을 허용하는 것을 포함하여 이전의 특정 상황이라는 측면에서 타당한 대상 제 3 국의 법률 및 관행, 그리고 적용 가능한 제한 및 안전장치([1]);
(iii) 전송 중에, 그리고 대상국의 개인정보의 처리에 대해 적용되는 조치를 포함하여 본 계약조항에 따라 안전장치를 보완하기 위해 취한 모든 타당한 계약적, 기술적 또는 조직적 안전장치
(c) 정보 수입자는 (b)항에 따라 평가를 수행함에 있어, 정보 수출자에게 적절한 정보를 제공하기 위해 xx의 노력을 했음을 보장하고, 계약조항의 준수를 보장함에 있어 정보 수출자와 계속하여 협력할 것임에 동의한다.
(d) 당사자들은 (b)항에 따라 평가를 문서화하고 요청에 따라 관할 감독당국에 이를 제공할 것에 동의한다.
(e) 정보 수입자는 계약조항에 동의한 후, 그리고 계약 기간 동안, (a)항의 요건에 합치하지 않는 관행에 이러한 법률의 적용을 명시한 제 3 국 법률의 변경 또는 조치(공개 요청 등)를 따르는 것을 포함하여, 정보 수입자가 (a)항에 따른 요건과 합치하지 않는 법률 또는 관행의 적용을 받거나 받게 되었다고 믿을만한 이유가 있는 경우 즉시 정보 수출자에게 통지하는 것에 동의한다.
(f) (e)항에 따른 통지 이후, 또는 정보 수출자가 계약조항에 따른 의무를 더 이상 충족할 수 없데 되었다고 정보 수입자가 믿을만한 이유가 있는 경우, 정보 수출자는 정보 수출자가 채택할, 또는 정보 수입자가 상황을 처리할 수 있도록 하는 적절한 조치(예: 보안 및 기밀유지를 보장하기 위한 기술적 또는 조직적 조치)를 즉시 식별해야 한다. 정보 수출자는 정보 수출자가 이러한 이전에 대해 보장할 수 있는 적절한 안전장치가 없다고 고려하거나, 관할 감독당국이 유예하도록 지시하는 경우 정보 이전을 유예해야 한다. 이 경우, 정보 수출자는 계약조항에 따른 개인정보의 처리와 관련된 한, 계약을 해지할 권한이 있다. 계약에 둘 이상의 당사자가 관련된 경우, 정보 수출자는 당사자들이 달리 합의하지 않은 한 관련 당사자와 관련해서만 이와 같은 해지 권리를 행사할 수 있다. 이 조항에 따라 계약이 종료되는 경우, 조항 16(d) 및 (e)가 적용된다.
조항 15
당국에 의한 개인정보 접근시 정보 수입자의 의무
15.1 통지
(a) 정보 수입자는 다음과 같은 경우 정보 수출자, 그리고 가능하다면 정보주체에게 (필요시 정보 수출자의 도움을 받아) 즉시 통지한다는 것에 동의한다:
(i) 본 계약조항에 따라 이전된 개인정보의 제공을 위해 대상국의 법률에 따라 사법당국을 포함한 당국으로부터 법적 구속력이 있는 요청을 받음. 이러한 통지는 요청된 개인정보, 요청 당국, 요청의 법적 근거, 제공된 응답과 관련된 정보를 포함해야 함
(ii) 대상국의 법률과 관련하여 본 계약조항에 따라 이전된 개인정보에 대해 당국의 직접적 접근을 인지하게 됨. 이러한 통지는 수입자에게 이용 가능한 모든 정보를 포함해야 함.
(b) 정보 수입자가 대상국의 법률상 정보 수출자 또는 정보주체에게 통지하는 것이 금지된 경우, 정보 수입자는 가능한 빨리, 가능한 많은 정보를 전달할 목적으로 금지의 포기를 획득하기 위해 최선을 다하여 노력할 것임에 동의한다. 정보 수입자는 정보 수출자의 요청이 있을 경우 제시할 수 있도록 최선의 노력을 문서화할 것임에 동의한다.
(c) 대상국의 법률상 허용되는 경우, 정보 수입자는 계약 기간 동안 정기적인 간격에 따라 정보 수출자에게 접수한 요청(특히, 많은 요청, 요청된 정보의 유형, 요청하는 당국, 요청에 대한 이의제기가 있었는지 여부 및 이러한 이의제기의 결과 등)에 따라 가능한 많은 적절한 정보를 제공하는 것에 동의한다.
(d) 정보 수입자는 계약 기간 동안 (a) ~ (c)항에 따라 정보를 보존하는 것에 동의하며 요청이 있는 경우 해당 정보를 관할 감독당국에 제공한다.
(e) (a) ~ (c)항은 계약조항을 준수할 수 없는 경우 즉시 정보 수출자에게 알리는 조항 14(e) 및 조항 16 에 따른 정보 수입자의 의무를 침해하지 않는다.
15.2 합법성의 검토 및 정보 최소화
(a) 정보 수입자는 정보 제공 요청의 적법성, 그리고 특히 이러한 적법성이 요청하는 당국에 부여된 권한에 속하는지 검토하고, 요청이 대상국의 법률,그리고 신중한 평가 후 국제법상의 관련 의무 및 국제적 예양의 원칙에 대해 숙고할 타당한 근거가 있다고 결론을 내리는 경우 해당 요청에 이의를 제기하는 것에 동의한다. 정보 수입자는 동일한 조건에 따라 항소 가능성을 모색한다. 요청에 이의를 제기할 때, 정보 수입자는 관할 사법당국이 본안을 결정할 때까지 요청의 효력을 유예하기 위해 중간 조치를 모색한다. 정보 수입자는 관련 절차법에서 요구되지 않는 한 요청된 개인정보를 공개하지 않는다. 이러한 요건은 조항 14(e)에 따라 정보 수입자의 의무를 침해하지 않는다.
(b) 정보 수입자는 대상국의 법률에 따라 허용 가능한 범위 내에서 자신의 법률 평가 및 정보 제공 요청에 대한 모든 이의 제기를 문서화하고, 정보 수출자에게 해당 문서를 제공한다. 정보 수입자는 또한 요청이 있을 경우 관할 감독당국에도 해당 문서를 제공해야 한다.
(c) 정보 수입자는 요청에 대한 합당한 해석에 기반하여 정보 제공 요청에 응할 때 허용 가능한 정보의 최소량을 제공함에 동의한다.
IV 절 – 최종 조항
조항 16
조항의 미준수 및 종료
(a) 정보 수입자는 어떤 이유에서든 계약조항을 준수할 수 없는 경우 정보 수출자에게 즉시 알려야 한다.
(b) 정보 수입자가 계약조항을 위반하거나 계약조항을 준수하지 못하는 경우, 정보 수출자는 준수가 다시금 보장되거나 계약이 종료될 때까지 정보 수입자에 대한 개인정보의 이전을 유예해야 한다. 이는 조항 14(f)를 침해하지 않는다.
(c) 정보 수출자는 계약조항에 따른 개인정보의 처리와 관련된 한, 다음과 같은 경우 계약을 해지할 권한이 있다:
(i) 정보 수출자가 (b)항에 따라 정보 수출자에게 개인정보의 이전을 유예했으며 본 계약조항의 준수가 합당한 시간 내에, 그리고 어떠한 경유이든 유예 1 달 내에 복원되지 않은 경우
(ii) 정보 수입자가 본 계약조항의 중대한 또는 지속적인 위반 상태에 있는 경우
(iii) 정보 수입자가 본 계약조항의 의무와 관련하여 관할법원 또는 감독당국의 구속력 있는 결정을 준수하지 않은 경우.
이러한 경우, 정보 수입자는 이러한 미준수에 대해 관할 감독당국에 알려야 한다. 계약에 둘 이상의 당사자가 관련된 경우, 정보 수출자는 당사자들이 달리 합의하지 않은 한 관련 당사자와 관련해서만 이와 같은 해지 권리를 행사할 수 있다.
(d) (c)항에 따라 계약의 종료 전에 이전된 개인정보는 정보 수출자의 선택에 따라 즉시 정보 수출자에게 반환하거나 그 전체를 삭제해야 한다. 이 원칙은 모든 정보 사본에 동일하게 적용된다. 정보 수입자는 정보의 삭제를 정보 수출자에게 증명해야 한다. 정보가 삭제되거나 반환될 때까지, 정보 수입자는 계약조항과의 준수성을 계속적으로 보장해야 한다. 정보 수입자에게 적용되는 현지법이 이전된 개인정보의 반환 또는 삭제를 금하는 경우, 정보 수입자는 계약조항의 준수성을 계속적으로 보장하고 현지법에서 요구되는 기간과 정도까지만 개인정보를 처리한다.
(e) 각 당사자는 (i) 유럽위원회가 계약조항이 적용되는 규정 (EU) 2016/679 의 조항 45(3)에 따른 결정을 채택하는 경우, 또는 (ii) 규정 (EU) 2016/679 가 개인정보가 이전되는 국가의 법률 체계의 일부가 되는 경우 계약조항의 구속을 받게 될 자신의 동의를 철회할 수 있다. 이는 규정 (EU) 2016/679 에 따라 해당 처리에 적용되는 기타 의무를 침해하지 않는다.
조항 17
준거법
본 조항은 정보 수출자가 설립된 유럽연합 회원국 법률의 적용을 받는다. 이러한 법률이 제 3 자 수익권을 허용하지 않는 경우, 제 3 자 수익권을 허용하는 다른 유럽연합 회원국 법률의 적용을 받는다. 당사자들은 이 법률이 아일랜드 공화국 법률임에 동의한다.
조항 18
법원 및 관할권의 선택
(a) 계약조항에서 발생하는 모든 분쟁은 유럽연합 회원국의 법원에 의해 해결되어야 한다.
(b) 당사자들은 이러한 법원이 정보 수출자가 설립된 유럽연합 회원국의 법원이어야 함에 동의한다.
(c) 정보주체는 또한 상주하는 회원국 내 법원에 정보 수출자 및 정보 수입자에 대해 제소할 수 있다.
(d) 당사자들은 이러한 법원의 관할권의 결정을 따를 것임에 동의한다.
각주
(1)정보 수출자가 컨트롤러로서 유럽연합 기관 또는 단체를 대행하여 규정 (EU) 2016/679 의 적용을 받는 프로세서인 경우, 규정 (EU) 2016/679 의 적용을 받지 않는 기타 프로세서(하위 처리)를 고용할 때 계약조항에 의거함으로써 또한, 규정 (EU) 2018/1725 의 29(3)조에 따라 본 계약서에 명시된 조항 및 개인정보보호 의무 또는 기타 컨트롤러와 프로세서 간 법적 조치가 합치하는 한, 유럽연합 기관, 단체, 사무소, 기구에 의한 개인정보 처리와 관련된 자연인의 보호에 관한 및 이러한 데이터의 자유로운 이동에 관한 2018 년 10 월 23 일의 유럽의회 및 이사회의 규정 (EU) 2018/1725 의 29(4)조 및 폐지 규정 (EC) 45/2001 호 및 결정 1247/2002/EC 호(2018 년 11 월 21 일의 OJ L 295, 39 페이지)의 준수를 보증한다. 이는 특별히 컨트롤러 및 프로세서가 결정 […]에 포함된 표준계약조항에 의거하는 경우에 해당한다.
(2) 유럽경제지역에 관한 협정(EEA 협정)에 따라 유럽연합의 내부 시장은 3 개 EEA 국가인 아이슬란드, 리히텐슈타인, 노르웨이로 연장된다. 규정 (EU) 2016/679 를 포함한 유럽연합 개인정보보호법은 EEA 협정에서 다루어지고 해당 문서의 부속서 XI 에 포함되었다. 따라서 정보 수입자가 EEA 내 소재한 제 3 자에게 정보를 공개하는 경우는 계약조항의 목적을 위한 제 3 자 이전에 해당하지 않는다.
(3)이 요건은 조항 7 에 따라 적절한 모듈상 계약조항의 적용을 받는 하위 프로세서에 의해 충족될 수 있다.
(4)계약조항의 준수에 관한 이러한 법률 및 관행의 영향과 관련하여, 전체 평가의 일부로서 다양한 요소를 고려할 수 있다. 이러한 요소에는 당국으로부터의 정보 제공 요청의 이전 사례, 또는 대표성을 띌 수 있는 정도의 충분한 기간 동안 이러한 요청이 없었다는 내용의 적절하고 문서화된 실제 경험이 포함될 수 있다. 이는 특히 실사에 따라 지속적으로 작성되며, 고위 경영진 레벨에서 인증된 내부 기록 또는 기타 문서이며, 단 이 정보가 제 3 자와 합법적으로 공유될 수 있는 경우에 한한다. 정보 수입자가 계약조항을 준수하지 못하게 될 이유가 없다는 결론을 내리기 위해 이 실제 경험에 의거하는 경우, 이러한 경험은 여타 적절하고 객관적인 요소로 지원을 받아야 하고, 이 결론을 지원하기 위해 신뢰성 및 대표성 측면에서 이러한 요소 일체가 충분한 정도인지 당사자들은 신중히 고려해야 한다. 특히 당사자들은 자신의 실제 경험이 입증된 것이며, 동일 산업 부문 내 요청의 존재 또는 부재에 관한 공개적으로 입수할 수 있거나 이용 가능하고 신뢰할 수 있는 정보 및 판례법과 같은 실제의 법 적용, 그리고 독립 감독 기구에 의한 보고서와 상충하지 않는지를 고려해야 한다.
부록
참고 설명:
당사자들 각각의 역할을 정보 수출자 및 정보 수입자로 결정하기 위해, 각 정보 이전 또는 정보 이전의 범주에 해당하는 정보를 명확하게 구분할 수 있어야 한다. 이러한 경우에도 이 투명성을 한 부록을 통해 달성할 수 있는 경우, 각 정보 이전/정보 이전의 범주 및 계약적 관계에 대한 별도의 부록을 반드시 작성 및 서명할 필요는 없다. 하지만 충분한 명확성을 보장할 필요가 있는 경우, 별도의 부록을 이용해야 한다.
부속서 I
A. 당사자들의 목록
정보 수출자: [정보 수출자, 그리고 적용 가능한 경우, 정보 수출자의 정보보호책임자 및 유럽연합 내 대표자의 의 신원 및 연락처 정보
성명: 정보 수출자는 본 문서에서 고객으로 식별되는 법적 실체이다. _
주소:
담당자의 성명, 직위, 연락처 정보:
계약조항에 따라 이전되는 정보와 관련된 활동:
[정보 이전과 관련된 활동을 간략하게 기재]
서명 및 날짜:
역할(컨트롤러):
2. …
정보 수입자: [정보 보호 책임이 있는 담당자를 포함한 정보 수입자의 신원 및 연락처 정보]
성명: _ 정보 수입자는 고객에게 서비스를 제공하는 것으로 계약서에 식별된 법적 실체이다._
주소:
담당자의 성명, 직위, 연락처 정보:
계약조항에 따라 이전되는 정보와 관련된 활동:
서명 및 날짜:
역할(프로세서):
2. …
B. 이전의 설명
개인정보가 이전되는 정보주체의 범주
정보주체는 단독 재량으로 정보 수출자(고객)가 결정 및 통제하며, 서비스에 따라 정보주체의 다양한 범주를 포함할 수 있다.
이전되는 개인정보의 범주
정보 수출자는 개인정보를 서비스에 제출할 수 있으며, 그 범위는 정보 수출자가 단독 재량에 따라 결정하고 통제한다.
이전된 민감한 정보(적용 가능한 경우), 그리고 엄격한 용도 한도, 이용 제한(전문 교육을 받은 직원만의 이용 등), 정보 이용 기록 유지, 제 3 자 이전을 위한 제한 또는 추가 보안 조치와 같이 데이터의 특성 및 관련된 위험을 완전히 고려하는 적용된 제한사항 또는 안전장치.
이전되는 개인정보의 범주정보 수출자는 개인정보를 서비스에 제출할 수 있으며, 그 범위는 정보 수출자가 단독 재량에 따라 결정하고 통제한다.
정보 이전의 빈도(예: 정보가 일회성으로 또는 지속적으로 이전되는가의 여부).
정보 이전은 계약서상 정보 수입자가 수행하는 서비스에 따라 지속적 또는 일회성으로 발생할 수 있다.…
처리의 특성
정보 수입자는 계약서에 따라, 그리고 서비스의 사용에 있어 정보 수출자가 추가로 지시하는대로 서비스를 수행하기 위해 필요에 따라 개인정보를 처리한다.
정보 이전 및 추가 처리의 목적
정보 수입자는 계약서에 따라, 그리고 서비스의 사용에 있어 정보 수출자가 추가로 지시하는대로 서비스를 수행하기 위해 필요에 따라 개인정보를 처리한다. …
개인정보를 보유하는 기간 또는 이러한 개인정보의 보유가 가능하지 않은 경우, 해당 기간을 결정하는 데 사용되는 기준
정보 수입자는 서면으로 합의하는 경우를 제외하고는 계약 기간 동안 개인정보를 처리한다.
(하위) 프로세서로의 이전의 경우에는 또한 개인정보 처리의 대상, 특성, 기간을 명시할 것
AsDPA 의 조항 5.1 에 명시된대로, 정보 수출자는 서비스의 제공과 관련하여 JCI 계열사 또는 기타 제 3 자를 하위 프로세서로 지명할 수 있다. 하위 프로세서가 수행하는 처리의 대상, 특성, 기간은 서비스의 특성에 따르며, 이러한 세부사항은 DPA 의 조항 5.2 에 따라 정보 수출자에게 통지된다.…
C. 관할 감독당국
조항 13 에 따라 관할 감독당국을 식별할 것
부속서 II
기술적 및 조직적 조치를 포함하여 정보의 보안을 보장하기 위한 기술적 및 조직적 조치
참고 설명:
기술적 및 조직적 조치는 특수 (그리고 비일반) 용어로 설명되어야 한다. 부록의 첫 페이지에 있는 일반 의견, 특히 각 이전/여러 이전으로 구성된 세트에 적용되는 조치가 어떤 것인지 명시할 필요에 대해서도 참조할 것.
정보 수입자는 xxxxx://xxx.xxxxxxxxxxxxxxx.xxx/-/xxxxx/xxx/xxxxx-xxxxxxxxx/xxxxxxx- controls-security-practices-rev-c.pdf 에 설명된대로 또는 정보 수입자가 합당하게 제공한 개인정보의 보안 보호, 기밀유지 및 무결성을 위한 운영적, 물리적, 기술적 안전장치를 유지한다.
가능한 조치의 예:
• 개인정보의 익명화 및 암호화 조치
• 시스템 및 서비스의 처리의 지속적인 기밀성, 무결성, 이용 가능성, 회복 탄력성을 보장하기 위한 조치
• 물리적 또는 기술적 사고가 발생한 경우 적시에 개인정보에 대한 이용 가능성 및 접근을 복원하는 능력을 보장하기 위한 조치
• 처리의 보안을 보장하기 위해 기술적 및 조직적 조치의 효과성을 정기적으로 검사 및 평가 및 사정하기 위한 절차
• 사용자 식별 및 권한 허용을 위한 조치
• 전송 중 정보의 보호를 위한 조치
• 보관 중 정보의 보호를 위한 조치
• 개인정보가 처리되는 위치의 물리적 보안을 보장하기 위한 조치
• 이벤트 기록을 보장하기 위한 조치
• 기본값 구성을 포함한 시스템 구성을 보장하기 위한 조치
• 내부 IT 및 IT 보안 거버넌스 및 관리를 위한 조치
• 처리 및 제품의 인증/보증을 위한 조치
• 정보 최소화를 보장하기 위한 조치
• 정보 품질을 보장하기 위한 조치
• 정보 보존 제한을 보장하기 위한 조치
• 설명 책임을 보장하기 위한 조치
• 정보 이식성을 허용하고 삭제를 보장하기 위한 조치
(하위) 프로세서로의 이전의 경우, 또한 (하위) 프로세서가 컨트롤러에에게, 프로세서에서 하위 프로세서로의 이전의 경우, 정보 수출자에게 지원을 제공할 수 있도록 취할 특정 기술적 및 운영적 조치를 설명할 것
별표 4- 표준계약조항의 영국 부칙
2018 년 S119A(1) 정보보호법에 따라 정보 위원장이 발포할 표준정보보호 조항
유럽위원회 표준계약조항의 영국 부칙
본 부칙의 날짜:
1. 표준계약조항의 날짜: [날짜 삽입.] 본 부칙의 발효일:
보기 중 하나를 선택하고 나머지는 삭제할 것:
본 DPA(본 "계약조항")에 명시된대로 유럽위원회 표준계약조항과 동일한 날짜.
배경:
2. 정보 위원장은 본 부칙이 컨트롤러에서 프로세서로 및 프로세서에서 프로세서로의 정보 이전과 관련하여, 그리고 영국 GDPR 의 조항 46 에 의거하여 제 3 국 또는 국제 조직으로의 개인정보 이전의 목적을 위해 본 부칙이 적절한 안전장치를 제공하는 것을 고려한다
본 부칙의 해석
3. 본 부칙이 부속서 조항에 정의된 용어를 사용하는 경우, 이러한 용어는 부속서 조항과 동일한 의미를 지닌다. 또한, 다음 용어에는 다음과 같은 의미가 있다:
본 부칙 | 본 DPA 의 별표 3 에 명시된 표준계약조항의 본 부칙. |
계약조항 | 2021 년 6 월 4 일의 위원회 집행 결정 (EU) 2021/914 의 부속서에 명시되어 있고, 본 DPA 의 별표 3 에 명시된 표준계약조항. |
영국 정보보호법 | 영국 GDPR 및 정보보호법 2018 을 포함하여 영국에서 때때로 시행 중인 정보 보호, 개인정보의 처리, 프라이버시 및 전자 커뮤니케이션과 관련된 모든 법률. |
영국 GDPR | 영국 일반정보보호규정(United Kingdom General Data Protection Regulation)이며, 2018 년 유럽연합(철회) 법의 3 절에 의해 영국과 웨일즈, 스코틀랜드 및 북아일랜드의 법률의 일부를 구성함. |
영국 | 그레이트 브리튼 및 북아일랜드 연합 왕국 |
4. 이 부록은 영국 정보보호법의 규정을 근거로 읽고 해석하며, 또한 GDPR 제 46 조에서 요구하는 적절한 안전조치를 제공하는 취지를 충족한 것으로 한다.
5. 본 부록은 영국 정보보호법에서 규정한 권리 및 의무와 상충되는 방식으로 해석해서는 안 된다.
6. 법률(또는 특정 법률 조항)에 대한 인용은 시간이 지남에 따라 법률(또는 특정 조항)이 변경될 수 있음을 의미한다. 여기에는 본 부록이 체결된 후 해당 법률(또는 특정 조항)이 통합, 재제정 및 대체된 경우가 포함된다.
위계
7. 이 부록과 당사자들 간의 조항이나 기타 관련 계약서 간에 충돌 또는 불일치가 있는 경우, 본 부록이 합의하거나 체결된 당시에 존재하는 정보주체를 최대한 보호하는 조항이 우선한다.
조항의 포함
8. 본 부칙은 필요한 범위 내에서 수정할 필요가 있는 것으로 간주되는 조항을 포함하며, 이에 따라 조항은 다음과 같은 기능을 지닌다:
a. 정보 이전 시 영국 정보보호법이 정보 수출자의 처리에 적용되는 범위 내에서, 정보 수출자가 정보 수입자에게 정보를 이전할 수 있도록 함
b. 영국 GDPR 법의 조항 46 에 따라 정보 이전에 대해 적합한 안전 장치를 제공함.
9. 위의 섹션 7 에서 요구되며, 다음 등을 포함한 개정사항:
a. "계약조항"을 언급하는 경우, 계약조항을 포함한 본 부칙을 의미한다
b. 조항 6 이전의 설명은 다음으로 대체된다:
"정보 이전의 세부사항 및 특히 이전되는 개인정보의 유형, 그리고 정보가 이전되는 목적은 해당 이전이 이루어질 때 영국 정보보호법이 적용되는 부속서 I.B 에 명시된 내용이다."
c. "규정 (EU) 2016/679"에 대한 참조 또는 "해당 규정"은 "영국 정보보호법"으로 대체되고" 규정 (EU) 2016/679"의 특정 조항에 대한 참조는 영국 정보보호법의 상응하는 조항 또는 절로 대체된다. 특히:
d. 규정 (EU) 2018/1725 에 대한 참조가 삭제된다.
e. "연합", "유럽연합" 및 "유럽연합 회원국"은 모두 "영국"으로 대체된다
f. 조항 13(a) 및 부속서 II 의 C 부는 사용되지 않는다. "관할 감독당국"이란 정보 위원장이다
g. 조항 17 은 "본 계약조항은 영국 및 웨일즈 법률의 적용을 받는다"는 문장으로 대체된다.
h. 조항 18 은 다음의 문장으로 대체된다:
"계약조항에서 발생하는 모든 분쟁은 영국 및 웨일즈의 법원에 의해 해결되어야 한다. 또한 정보주체는 영국 내 어떤 국가의 법원에든 정보 수출자 및 정보 수입자에 대해 제소할 수 있다. 당사자들은 이러한 법원의 관할권의 결정을 따를 것임에 동의한다."
i. 표준계약조항의 각주는 부칙의 일부를 구성하지 않는다.
본 부칙의 개정
10. 당사자들은 스코틀랜드 또는 북아일랜드의 법률 및 법원에 회부하기 위해 조항 17 및 18 을 변경하는 것에 동의할 수 있다.
11. 당사자들은 이전에 대해 Art 46 영국 GDPR 에서 요구되는 적절한 안전장치를 본 부칙이 유지하는 것을 전제로 표준계약조항을 포함하고 상기 7 절에 따라 이를 변경함으로써 본 부칙을 수정할 수 있다.
본 부칙의 체결
12. 당사자들은 당사자들에게 어떤 방식으로든 법적 구속력을 발생시키고 정보주체가 표준계약조항에 명시된 자신의 권리를 행사토록 하는 부칙(표준계약조항 포함)을 체결할 수 있다. 이러한 체결은 다음과 같은 방식으로 이루어진다:
a. 본 부칙을 표준계약조항에 추가하고 부속서 1A 의 서명 위에 다음을 포함함으로써:
"서명함으로써 당사자들은 날짜를 명시한 유럽위원회 표준계약조항의 영국 부칙에 의해 구속됨에 동의한다:", 그리고 날짜를 추가(모든 이전이 부칙에 따른 것일 경우)
"서명함으로써 당사자들은 또한 날짜를 명시한 유럽위원회 표준계약조항의 영국 부칙에 의해 구속됨에 동의한다", 그리고 날짜를 추가(계약조항 및 부칙 모두에 따른 이전이 존재하는 경우)
(또는 동일한 효력을 지니는 문구), 그리고 계약조항을 체결함
b. 본 부칙에 따라 계약조항을 수정하고, 이러한 수정 계약조항을 체결함으로써.