Ready Korea Co Ltd/Ready Korea
데이터 처리 부속서
계약 당사자 고객
(‘데이터 컨트롤러’) 및
Ready Korea Co Ltd/Ready Korea
(‘데이터 프로세서’/‘Ready Korea’)
목차
이 부속서는 계약 당사자:
(1) 고객(‘데이터 컨트롤러’) 및
(2) Ready Korea(‘데이터 프로세서’), (각각 ‘당사자’, 총칭하여 ‘당사자들’). 배경:
1. 본 부속서는 데이터 컨트롤러로부터 데이터 프로세서에게 이전되어 처리를 위해 이전되거나, 데이터
컨트롤러의 권한에 따라 데이터 프로세서가 처리를 위해 접근하거나, 데이터 프로세서가 처리를 위해 데이터 컨트롤러를 대신하여 다른 경로로 수령하는 개인 데이터의 개인정보 보호 및 보안과 관련하여 적절한 안전장치를 보장하기 위해 체결되었습니다.
2. 본 부속서는 Ready Korea와 Ready Korea의 서비스를 제공받는 고객 간의 계약 또는 이용 약관(해당하는 경우)의 일부를 구성하며 그에 통합됩니다(‘서비스 계약’).
다음과 같이 합의합니다.
1.1. 본 부속서에서 대문자로 표기된 다음 용어는 다음과 같은 의미를 갖습니다.
‘계열사’ | 특정 법인을 지배하거나, 그에 지배되거나, 공통의 지배 하에 있는 다른 법인을 의미합니다. 본 정의의 목적상, 특정 법인과 관련하여 사용되는 ‘지배하다’(관련되는 의미 ‘지배되다’ 및 ‘공통의 지배 하에 있다’ 포함)란 의결권 있는 증권의 소유권, 계약 또는 그 외의 방식을 통해 해당 법인의 관리 또는 정책에 대한 지배적 영향력을 지시 혹은 행사할 수 있는 권한을 직간접적으로 소유함을 의미합니다. |
‘호주’ | 호주 연방 및 각 주와 특별구를 의미합니다. |
‘수임 계열사’ | (a) EEA 및/또는 그 회원국, 스위스 및/또는 영국의 데이터 보호 법률 및 규정의 적용을 받으며 (b) 서비스 계약에 따라 서비스를 사용할 수 있는 고객 계열사(들)를 의미합니다. |
‘CCPA’ | 캘리포니아 소비자 개인정보 보호법을 의미합니다. |
‘고객’ | 서비스 계약의 고객을 의미합니다. |
‘데이터 컨트롤러’ | 개인 데이터 처리의 목적과 수단을 결정하는 법인을 의미합니다. |
‘데이터 프로세서’ | 데이터 컨트롤러를 대신하여 개인 데이터를 처리하는 법인을 의미합니다. |
‘데이터 보호 법률 및 규정’ | EEA 및 그 회원국, 스위스, 영국, 호주, CCPA 및 기타 미국 및 주법과 같이 부속서에 따른 개인 데이터 처리에 적용되는 모든 국제, 국가, 주 및 현지 법률 및 규정을 포함한 모든 법률 및 규정을 의미합니다. |
‘데이터 주체’ | 개인 데이터의 주체인 식별되거나 식별 가능한 자연인을 의미합니다. |
‘EEA’ | 유럽경제지역을 의미합니다. |
‘EU’ | 유럽연합을 의미합니다. |
‘GDPR’ | 지침 95/46/EC의 폐지 및 개인 데이터 처리와 관련된 자연인의 보호와 그러한 데이터의 자유로운 이동에 관한 2016년 4월 27일자 유럽 의회 및 이사회 규정 (EU) 2016/679를 지칭합니다(일반 데이터 보호 규정). |
‘ICO UK 부속서’ | 2018년 영국 데이터 보호법 s119A에 따라 2022년 2월 2일 영국 정보 위원회가 발행하고 영국 의회에 제출한 부속서 B.1.0 템플릿 및 그 자체 강행 조항 제18절에 따라 수시로 개정된 내용을 의미합니다. |
‘지침’ | 데이터 컨트롤러가 데이터 프로세서에게 제출하고, 개인 데이터에 관한 특정 조치(비개인화, 차단, 삭제, 이용을 위한 공개 등 포함)를 수행하도록 데이터 프로세서에게 지시하는 서면 지침을 의미합니다. |
‘개인 데이터’ | 식별되거나 식별 가능한 자연인과 관련된 일체의 정보를 의미합니다. 식별 가능한 개인은 특히 이름, 신원 고유 번호, 위치 데이터, 온라인 식별자와 같은 식별 요소 또는 본인의 신체적, 생리적, 유전적, 정신적, 경제적, 문화적 또는 사회적 정체성에 특정한 하나 이상의 요소를 참조하여 직접 또는 간접적으로 식별될 수 있는 사람을 의미합니다. |
‘개인 데이터 침해’ | 이전, 저장 혹은 처리된 개인 데이터의 우발적이거나 불법적인 파기나 손실, 변경, 무단 공개 또는 무단 접근으로 이어지는 보안 위반을 의미합니다. |
‘처리’ | 자동화된 수단의 사용 여부와 관계없이 수집, 기록, 조직, 구조화, 저장, 조정 또는 변경, 검색, 조회, 사용, 이전이나 전파 또는 그 외 방식으로 이용에 제공, 정렬 또는 결합, 제한, 삭제 또는 파기 등 개인 데이터에 수행되는 단일 또는 일련의 작용을 의미합니다. |
‘별표’ | 본 부속서에 첨부되어 그 일부를 구성하는 각 별표(들)를 의미합니다. |
‘서비스’ | 본 부속서의 별표 1에 기술된 바를 포함하여, 서비스 계약과 관련하여 데이터 프로세서가 데이터 컨트롤러에게 제공하는 |
서비스와 관련되거나 그러한 서비스의 제공을 위하여 데이터 프로세서가 개인 데이터를 처리하는 것을 의미합니다. | |
‘표준 계약 조항’/’SCC’ | 유럽 의회 및 이사회의 규정(EU) 2016/679에 따라 개인 데이터의 제3국 이전에 관한 표준 계약 조항에 대한 2021년 6월 4일자 위원회 실행 결정 (EU) 2021/914에 따라 본 계약에 별표 4로 첨부된 데이터 컨트롤러 및 데이터 프로세서 간의 계약을 의미합니다. |
‘하위 프로세서’ | 데이터 프로세서(또는 데이터 프로세서의 다른 하위 프로세서)가 고용한 자로서, 데이터 프로세서(또는 데이터 프로세서의 다른 하위 프로세서)로부터 그 지침 및 서면 도급 계약 조건에 따라 데이터 컨트롤러를 대신하여 오직 그러한 개인 데이터를 처리할 의도로 개인 데이터를 수신할 것에 동의한 프로세서를 의미합니다. |
‘스위스’ | 스위스 연방을 의미합니다. |
‘영국’ | 대영제국 및 북아일랜드를 의미합니다. |
‘UK GDPR’ | 2018년 유럽연합(탈퇴)법(2018 C.16) 제3절에 의해 잉글랜드, 웨일즈, 스코틀랜드 및 북아일랜드 법의 일부가 된 GDPR을 의미합니다. |
‘U.S.’ | 미국을 의미합니다. |
Ready Korea | 서비스 계약 및 본 부속서의 당사자로서 서비스 계약에 의해 정해지는 법인을 의미하며, xxxx xxxxx xxx xxx 00xx 0x(우: 06561)에 소재한 Ready Korea Co Ltd입니다. |
1.2. 사용된 표제 및 섹션의 제목은 참조 및 편의를 위한 목적일 뿐, 본 부속서의 일부가 아니며, 본 부속서를 해석하는 데 사용할 수 없습니다.
1.3. 문맥상 달리 요구되지 않는 한, 단수를 나타내는 단어는 복수를 포함하고 그 반대도 마찬가지이며, 성별에 대한 언급은 다른 모든 성별을 포함하고, 사람에 대한 언급은 법인, 비법인 단체 및 파트너십을 포함하며, 각 경우에 별도의 법인격을 지니는지 여부를 불문합니다. ‘포함하다’ 또는 ‘포함하는’이라는 단어에 대한 언급은 제한이 없는 뜻으로 해석되어야 합니다.
1.4. 계약의 배경, 별표 및 조항에 대한 언급은 달리 명시되지 않는 한 본 부속서의 배경, 별표 및 조항에 대한 언급이며, 별표 내에서 한 단락에 대한 언급은 달리 명시되지 않는 한 해당 별표의 단락에 대한 언급입니다.
1.5. 본 부속서 내 법령, 법 조항 또는 법률에 대한 언급에는 수시로 개정, 연장 또는 재입법되는 법령, 법 조항 또는 법률에 대한 언급이 포함됩니다. ‘서면’이 언급된 경우, 달리 명시되지 않는 한, 팩스 및 글(이메일 등)의 비일시적인 형태의 시각적 복제도 포함됩니다.
2.1. 대상 주체, 성격 및 목적, 개인 데이터의 유형 및 영향을 받는 데이터 주체의 범주는 본 부속서의 별표 1에 명시되어 있습니다.
2.2. 본 부속서는 서비스와 관련하여 다음 항목들에 적용됩니다.
2.2.1. 본 부속서의 날짜 이후 데이터 컨트롤러에 의해 또는 데이터 컨트롤러를 대신하여 데이터 프로세서에게 이전된 모든 개인 데이터
2.2.2. 본 부속서의 날짜 이후 데이터 프로세서가 처리를 위해 데이터 컨트롤러의 권한에 따라 접근하는 모든 개인 데이터 및
2.2.3. 그 외 데이터 컨트롤러를 대신하여 처리를 위해 데이터 프로세서가 다른 경로로 수령한 모든 개인 데이터
데이터 프로세서는 본 부속서에 명시된 약정 사항에 따라 제2절을 근거로 하여 본 부속서가 적용되는 개인 데이터를 처리하는 데 동의하며, 특히 다음 사항에 동의합니다.
3.1. 본 부속서에 명시된 서비스 수행의 특정 목적 이외의 다른 목적으로 개인 데이터를 처리하지 않습니다. 데이터 프로세서는 또한 어떤 목적으로도 개인 데이터를 판매하거나 대여하지 않을 것에 동의합니다.
3.2. 오직 데이터 컨트롤러를 대신하여, 또한 본 부속서에 따라 데이터 컨트롤러의 지침을 항상 준수하여 개인 데이터를 처리합니다. 본 부속서 및 서비스 계약은 서비스 계약 체결 시 데이터 컨트롤러가 개인 데이터 처리를 위해 데이터 프로세서에게 교부하는 완전하고 최종적으로 문서화된 지침입니다. 추가 또는 대체 지침은 별도로 합의해야 합니다. 구두로 제공된 지침은 데이터 컨트롤러가 즉시 서면으로 확인해야 합니다. 데이터 프로세서가 어떤 이유로든 이를 준수할 수 없는 경우, 데이터 프로세서에게 적용되는 법률에 의해 공익상 중요한 사유로 통지가 금지되는 경우가 아닌 한, 데이터 컨트롤러에게 그러한 준수 불능을 즉시 통지할 것에 동의합니다. 데이터 프로세서가 데이터 컨트롤러의 지침을 준수하면 데이터 보호 법률 및 규정의 위반이 초래될 수 있다고 판단하는 경우, 데이터 프로세서는 지체 없이 데이터 컨트롤러에게 다음 사실을 통지해야 합니다.
3.3. 데이터 프로세서의 책임 영역 내에서 데이터 프로세서는 개인 데이터 보호의 특정 요건들이 준수될 수 있도록 내부 기업 조직을 구성해야 합니다. 데이터 프로세서는 데이터 컨트롤러를 대신하여 처리된 개인 데이터를 데이터 보호 법률 및 규정의 요구 사항에 따라 남용 및 손실로부터 적절히 보호하기 위해 적절한 기술적 및 조직적 조치를 취해야 합니다. 당사자들 간에 본 부속서의 체결 시점에 합의된 기술적 및 조직적 조치들에 대한 개요가 본 부속서에 별표 2로 첨부되었습니다. 데이터 프로세서는 이러한 조치들의 준수를 정기적으로 모니터링합니다. 데이터 프로세서는 데이터 컨트롤러의 개인 데이터를 남용 및 손실로부터 적절히 보호하기 위해 구현된 기술적 및 조직적 조치들을 변경할 수 있습니다. 단, 그러한 변경으로 인해 서비스 기간 동안 서비스의 전반적인 보안이 중대하게 저하되지 않는 경우에 한합니다.
3.4. 데이터 컨트롤러의 개인 데이터 처리를 위탁받은 개인들은 기밀유지를 약속했거나 적절한 법적 기밀유지의 의무를 집니다.
3.5. 데이터 프로세서의 파트너, 임원, 이사, 직원, 회계사, 변호사, 독립 계약자, 임시 직원, 계열사, 대리인 또는 데이터 프로세서에 의해 수시로 고용, 선임되거나 이들을 위해 업무 또는 행동하는 기타 대리인으로서 그러한 개인 데이터에 선의로 접근할 필요가 있는 자(총칭하여 ‘대리인’) 및 개인 데이터 처리에 관여하고 제3.3절에 언급된 의무의 적용을 받는 하위 프로세서에 공개하는 경우와 데이터 프로세서, 그 대리인 또는 하위 프로세서에게 적용되는 법률이나 규정에서 공개가 요구되는 경우를 제외하고 데이터 컨트롤러의 명시적인 사전 서면 동의 없이 개인, 기업이나 회사 등에 직간접적으로 개인 데이터를 누설하지 않을 것에 동의합니다.
3.6. 데이터 컨트롤러에게 다음 사항에 대해 지체 없이 서면으로 통지할 것입니다.
3.6.1. 개인 데이터의 침해. 이러한 통지는 처리의 성격과 데이터 프로세서가 이용할 수 있는 정보를 고려하여 데이터 컨트롤러가 데이터 보호 법률 및 규정에 따른 자체 통지 의무를 준수하도록 합리적으로 지원하는 데 필요한 정보를 포함해야 합니다. 관련 정보를 동시에 제공할 수 없는 한, 데이터 프로세서는 추가적인 과도한 지연 없이 단계별로 정보를 제공할 수 있습니다.
3.6.2. 데이터 컨트롤러가 서면으로 달리 승인하지 않은 한, 데이터 주체로부터 직접 받은 요청이 있는 경우 그에 응답하지 아니하고 이를 통지합니다.
3.7. 처리의 성격과 데이터 컨트롤러의 비용을 고려하여, 합리적으로 가능한 한 데이터 보호 법률 및 규정에 정해진 데이터 주체의 권리를 행사하기 위한 요청에 대응해야 할 데이터 컨트롤러의 의무를 이행하기 위한 적절한 기술적 및 조직적 조치를 통해 데이터 컨트롤러를 합리적으로 지원합니다.
3.8. 본 부속서에 명시된 의무의 준수를 입증하고 데이터 컨트롤러 또는7조에 명시된 바대로 데이터 컨트롤러가 권한을 부여한 다른 감사인이 수행하는 조사를 포함하여 감사를 허용하고 그에 기여하는데 합리적으로 필요한 모든 정보를 데이터 컨트롤러의 비용으로 데이터 컨트롤러에게 제공합니다.
3.9. 하위 프로세서가 수행하는 처리 서비스는 제0조를 준수하여 수행되어야 합니다.
3.10. 데이터 프로세서는 데이터 보호 법률 및 규정에서 요구하는 범위 내에서 데이터 보호 책임자를 임명했습니다. 데이터 프로세서는 데이터 컨트롤러의 요청에 따라 임명된 사람의 연락처 정보를 제공할 것입니다.
3.11. 처리의 성격과 데이터 프로세서가 이용할 수 있는 정보를 고려하여 데이터 컨트롤러가 데이터 보호 영향 평가 및 감독 당국과의 사전 협의를 수행할 의무를 준수하도록 데이터 컨트롤러를 데이터 컨트롤러의 비용으로 합리적으로 지원합니다.
데이터 컨트롤러는 자신이 혹은 자신의 대리인이 데이터 프로세서에게 행한 개인 데이터의 공개가 데이터 주체의 동의 하에 또는 그 외 합법적인 방식으로 이루어져야 함에 동의하고 이를 보증합니다.
본 부속서는 당사자들의 본 부속서가 통합된 서비스 계약이 발효되는 시점에 효력을 발생합니다. 본 부속서는 (a) 서비스와 관련된 데이터 프로세서의 의무 종료 또는 만료와 (b) 데이터 프로세서에 의한 개인 데이터 처리 종료 중 나중에 도래하는 시점에 자동으로 종료됩니다. 본 부속서가 종료되면, 관련 법률에 의해서 개인 데이터의 저장이 요구되지 않는 한, 데이터 프로세서는 데이터 컨트롤러를 대신하여 처리한 모든 개인 데이터를 데이터 컨트롤러의 선택에 따라 데이터 컨트롤러에게 반환하거나 삭제해야 합니다. 데이터 컨트롤러의 요청 시, 데이터 프로세서는 그러한 의무의 준수를 서면으로 확인해야 합니다.
당사자들은 서비스 계약에 명시된 책임의 제한은 본 부속서의 조항 위반 또는 데이터 프로세서 또는 하위 프로세서의 데이터 보호 법률 및 규정 미준수로 인해 발생할 수 있는 모든 손해에 적용된다는 데 동의합니다. 본 조항의 어떠한 내용도 책임 제한의 특정 예외를 포함하여 책임과 관련된 서비스 계약의 나머지 조건에 영향을 미치지 않습니다.
8.1. 데이터 컨트롤러는 본 조항을 통하여 데이터 프로세서에 의한 하위 프로세서의 고용에 동의하며 전반적으로 승인하는 바입니다. 현재, 그리고 서비스의 선택에 따라, 데이터 프로세서는 별표 3에 명시된 하위 프로세서(들)를 고용하고 있으며, 데이터 컨트롤러는 본 조를 통하여 이를 승인하는 바입니다.
8.2. 데이터 프로세서는 서비스 제공과 관련하여 새로운 하위 프로세서가 개인 데이터를 처리하도록 승인하기 전에 새로운 하위 프로세서에 관하여 통지해야 합니다. 데이터 프로세서의 새로운 하위 프로세서 사용에 반대할 권리를 행사하기 위해 데이터 컨트롤러는 데이터 프로세서의 통지를 받은 후 십(10)일 이내에 데이터 프로세서에게 즉시 서면으로 통지해야 합니다. 데이터 컨트롤러가 새로운 하위 프로세서에 대해 이의를 제기하고 이의가 정당하게 입증되고 불합리하지 않은 경우, 데이터 프로세서는 데이터
컨트롤러에게 서비스 변경을 제공하거나 데이터 컨트롤러에게 불합리한 부담을 주지 않고 이의 대상인 새로운 하위 프로세서에 의한 개인 데이터 처리를 회피할 수 있도록 데이터 컨트롤러의 설정 또는 서비스 사용에 상업적으로 합리적인 변경을 권고하기 위해 합리적인 노력을 기울여야 합니다. 데이터 프로세서가 삼십(30)일을 초과하지 않는 범위에서 합리적인 기간 내에 이러한 변경을 제공할 수 없는 경우, 데이터 컨트롤러는 데이터 프로세서에게 서면 통지를 제공하여 이의의 대상인 새로운 하위 프로세서를 이용하지 않고서는 데이터 프로세서가 제공할 수 없는 서비스의 해당 부분(들)을 해지할 수 있습니다.
8.3. 하위 프로세서에 의한 이러한 처리는 본 부속서에 비해 동등하거나 더 제한적인 서면 계약에 따라 이루어져야 합니다. 이러한 서면 계약은 하위 프로세서에게 서면 계약에 명시된 서비스를 제공하기 위해서만 개인 데이터를 처리하고, 자신의 목적을 위해 개인 데이터를 처리하지 않도록 요구합니다.
8.4. 하위 프로세서에 의한 처리는 본 부속서에 따른 데이터 프로세서의 의무나 책임을 면제하지 않으며, 데이터 프로세서는 서비스 계약에 의한 제한 하에 각 하위 프로세서의 작업 및 활동에 대해 데이터 컨트롤러에게 전적인 책임을 집니다.
당사자들은 서비스 계약을 체결함으로써, 데이터 컨트롤러는 자신이 위임한 계열사의 이름으로 (관련 서비스 계약에 따라 그러한 계열사가 수임된 경우) 그를 대신하여 본 부속서를 체결하며, 그리함으로써 서비스 계약 및 본 제9조의 적용 하에 데이터 프로세서와 그러한 각 수임 계열사 간에 별도의 부속서가 확립된다는 사실을 인정하고 그에 동의합니다. 각 수임 계열사는 본 부속서 및 적용되는 범위 내에서 서비스 계약에 따른 의무에 구속될 것에 동의합니다. 수임 계열사의 모든 서비스에 대한 접근 및 그 이용은 서비스 계약 약정 사항들을 준수해야 하며, 수임 계열사에 의한 서비스 계약 약정 사항의 위반은 데이터 컨트롤러에 의한 위반으로 간주됩니다. 데이터 컨트롤러는 자신이 수임 계열사의 이름으로 그를 대신하여 본 부속서를 체결하도록 수임 계열사로부터 적법하게 위임받았음을 진술 및 보증합니다.
10.1. 데이터 프로세서가 서비스 계약에 따라 서비스를 제공하는 과정에서, 데이터 컨트롤러 또는 수임 계열사로부터 미국에 소재한 데이터 프로세서 및 그 하위 프로세서로 개인 데이터를 이전해야 할 경우가 있을 것입니다.
10.2. 제10.1조에 언급된 데이터 이전의 목적상, SSC는 본 부속서의 내재적인 한 부분을 구성하고 SCC의 이행을 위한 운영 조항들을 포함하는 제10.3~10.17조에 추가로 명시된 대로 아래 항목에 적용됩니다.
(a) 데이터 컨트롤러 및
(b) 데이터 컨트롤러의 수임 계열사
단, 위 실체들 중 하나가 EU, EEA 및/또는 그 회원국, 스위스 및/또는 영국의 데이터 보호 법률 및 규정의 적용 대상인 경우에 그러합니다. SCC, ICO UK 부속서 및 본 제10조의 목적상, 위 실체들은 개별적으로 또는 집합적으로 ‘데이터 전달자’인 반면, Ready Korea는 ‘데이터 수취자’입니다.
10.3. SCC 제8.1조 (a)항 및 제8.8조의 목적상, 본 부속서 및 서비스 계약의 제3조는 서비스 계약 체결 시점에 데이터 전달자가 Ready Korea에게 개인 데이터 처리를 지시하는 완전하고 최종적으로 문서화한 지침이며, 서비스 이행을 위해 EU/EEA 외부에 위치한 하위 프로세서를 포함하는 제3자에 대하여 추후에 이전하는 경우를 포함합니다. 추가 또는 대체 지침은 본 부속서 및 서비스 계약의 조건과 일치해야 합니다.
10.4. SCC 제8.5조 및 제16조 (d)항의 목적상, 당사자들은 개인 데이터 삭제 증명서는 서면 요청 시에만 Ready Korea가 데이터 전달자에게 제공한다는 데 동의합니다.
10.5. SCC 제8.6조 (a)항의 목적상, 데이터 전달자는 SCC의 부록 II에 명시된 기술적 및 조직적 조치들이 각 요구사항을 충족하는지 여부에 대해 독립적인 결정을 내릴 전적인 책임이 있습니다. 데이터 전달자는 서비스 계약 체결 시, 개인 데이터 처리의 최신의 기술 수준, 구현 비용, 성격, 범위, 맥락, 목적, 개인에 대한 위험 등을 고려했을 때, Ready Korea가 취한 기술적, 조직적 조치들이 개인 데이터와 관련된 위험에 적절한 수준의 보안을 제공한다는 데 동의합니다.
10.6. SCC 제8.9조 (a)~(c)항의 목적상, Ready Korea는 본 부속서의 제3.7조에 따라 데이터 전달자의 정보 요청을 처리합니다.
10.7. SCC 제8.9조 (c)~(e)항의 목적상, 모든 감사는 본 부속서의 제7조에 따라 실시합니다.
10.8. SCC 제9.a조의 목적상, 다음 사항이 적용됩니다.
10.8.1. Ready Korea는 본 부속서의 제8조에 따라 하위 프로세서의 고용을 허용하는 데이터 전달자의 일반적인 승인을 받았습니다. 현재 하위 프로세서 목록은 본 부속서에 별표 3으로 첨부되어 있습니다. Ready Korea는 본 부속서의 제8조에 명시된 절차에 따라 하위 프로세서에 대한 모든 변경 사항을 데이터 전달자에게 알려야 합니다.
10.8.2. Ready Korea가 서비스 제공과 관련하여 하위 프로세서와 SCC 모듈 3(데이터 프로세서들 간 개인 데이터 이전을 규율)을 체결하는 경우, 데이터 전달자는 본 조항을 통하여 Ready Korea 및 그 계열사에게 서비스 제공에 관여하는 하위 프로세서에 의한 추가적인 다른 하위 프로세서의 고용에 대하여 데이터 전달자를 대신하여 승인할 수 있는 권한 및 그러한 하위 프로세서의 추가 또는 교체에 대한 의사 결정과 승인 권한을 부여합니다.
10.9. SCC 제11조의 목적상, 그리고 본 부속서의 제3.6.2조에 따라, Ready Korea는 불만사항을 처리할 권한이 있는 연락 담당자를 자신의 웹사이트상에서 데이터 주체에게 고지해야 합니다. Ready Korea는 서비스 제공과 관련하여 개인 데이터와 관련하여 데이터 주체로부터 불만 또는 분쟁을 접수하는 경우 데이터 전달자에게 이를 통지하고, 데이터 전달자에게 불만 또는 분쟁을 지체 없이 전달해야 합니다. Ready Korea는 각 개별 사례에서 데이터 전달자와 달리 합의한 바가 없는 한, 요청을 처리할 더 이상의 의무가 없습니다.
10.10. SCC 제12조의 목적상, 다음 사항이 적용됩니다.
10.10.1. SCC 제12조 (a)항에 따른 Ready Korea의 책임은 서비스 계약의 제한 사항을 따릅니다.
10.10.2.SCC 제12조 (b)항에 따른 Ready Korea의 책임은 데이터 프로세서에게 특별히 지시된 GDPR에 따른 의무를 준수하지 않았거나 GDPR 제82(2)조에 명시된 데이터 전달자의 합법적인 지침을 벗어나거나 그에 반하는 행동을 한 경우, 자신이 행한 처리로 인한 손해로 제한됩니다.
10.10.3. Ready Korea는 GDPR 제82(3)조에 따라 손해를 야기한 사건에 대해 어떤 식으로든 책임이 없음을 증명하는 경우 본 부속서의 제10.10.2조에 따라 책임이 면제됩니다.
10.11. SCC 제13조의 목적상, 다음 사항이 적용됩니다.
10.11.1. 데이터 전달자가 EU 회원국 내에 설립된 경우, 데이터 전달자가 데이터 이전과 관련하여 GDPR을 준수하도록 보장할 책임이 있는 감독 당국이 관할 데이터 보호 감독 당국으로 기능해야 합니다.
10.11.2. 데이터 전달자가 EU 회원국에서 설립되지 않았지만 제3(2)조에 따라 GDPR의 적용 지역 범위에 속하고 GDPR 제27(1)조에 따라 대리인을 임명한 경우, GDPR 제27(1)조의 의미에 해당하는 대리인이 설립된 EU 회원국의 감독 당국이 관할 데이터 보호 감독 당국으로 기능해야 합니다.
10.11.3. 데이터 전달자가 EU 회원국에서 설립되지 않았지만 제3(2)조에 따라 GDPR이 적용되는 지역 범위에 속하되, GDPR 제27(2)조에 따라 대리인을 지명할 필요가 없는 경우, 함부르크 데이터 보호 및 정보 자유 위원회가 관할 데이터 보호 감독 당국으로 기능해야 합니다.
10.12. SCC 제15(1)조 (a)항의 목적상, 다음 사항이 적용됩니다.
10.12.1. 데이터 수취자는 자신에게 다음 중 하나의 사건이 발생한 경우, 데이터 주체(들)가 아닌 (오직) 데이터 전달자에게 통지해야 합니다.
(a) SCC에 따라 이전된 개인 데이터의 공개에 대하여 목적지 국가의 법에 따라 사법 당국을 포함한 공공 당국의 법적 구속력이 있는 요청을 수신한 경우, 또는
(b) SCC에 따라 이전된 개인 데이터에 대한 목적지 국가의 법률에 근거한 공공 당국의 직접적인 접근이 있음을 알게 된 경우
10.12.2. 데이터 전달자는 필요에 따라 데이터 주체(들)에게 즉시 통지할 단독 책임이 있습니다.
10.13. SCC 제17조의 목적상 준거법은 서비스 계약에 적용되는 법률입니다. 서비스 계약이 EU 회원국 법률의 적용을 받지 않는 경우, SCC는 독일 법률의 적용을 받습니다.
10.14. SCC 제18조 (b)항의 목적상, 독일 법원은 SCC로 인해 발생하는 모든 분쟁을 해결할 전속 관할권을 갖습니다.
10.15. SCC의 부속서는 다음과 같이 작성해야 합니다.
(a) 본 부속서 별표1의 제1절의 내용은 SCC에 대한 부록 I.A를 구성합니다.
(b) 본 부속서 별표1의 제2절의 내용은 SCC에 대한 부록 I.B를 구성합니다.
(c) 본 부속서 별표1의 제3절의 내용은 SCC에 대한 부록 I.C를 구성합니다.
(d) 본 부속서 별표 2의 내용은 SCC에 대한 부록 II를 구성합니다.
(e) 본 부속서 별표 3의 내용은 SCC에 대한 부록 III을 구성합니다.
10.16. 스위스의 데이터 보호 법률 및 규정이 적용되는 개인 데이터를 이전하는 경우, 당사자들은 아래에 보다 상세하게 명시된 바대로 본 부속서의 제10.3~10.15조에 따라 SCC가 그러한 이전에 적용된다는 데 동의합니다.
(a) SCC 내에서 GDPR, EU 또는 EU 회원국 법률에 대한 일반적 및 구체적 언급은 스위스의 데이터 보호 법률 및 규정의 해당 언급과 동일한 의미를 갖습니다.
(b) SCC 제13조의 목적상, 데이터 전달자가 스위스에 설립되거나 다른 근거로 스위스의 데이터 보호 법률 및 규정의 지역적 범위에 속하는 경우, 관련 데이터 이전이 스위스의 데이터 보호 법률 및 규정에 의해(서도) 규율되는 한, 스위스 연방 데이터 보호 및 정보 위원회가 관할 데이터 보호 감독 당국으로서 기능합니다.
(c) SCC 제18조 (b)항의 목적상, 스위스 법원은 본 절에 명시된 대로 SCC로 인해 발생하는 모든 분쟁을 해결할 전속 관할권을 갖습니다.
(d) SCC 제18조 (c)항의 목적상, ‘회원국’이라는 용어는 스위스 내의 데이터 주체들이 그들의 습관적 거주지(즉, 스위스)에서 그들의 권리를 주장할 가능성으로부터 배제되는 방식으로 해석되어서는 안 됩니다.
(e) SCC는 또한 식별되어 있거나 식별 가능한 법적 실체와 관련된 정보가 스위스의 데이터 보호 법률 및 규정에 따라 개인 데이터와 유사하게 보호되는 경우 해당 법률이 개정되어 더 이상 법적 실체에 적용되지 않을 때까지 그러한 정보의 이전에 관해서도 적용됩니다.
10.17. 영국 GDPR이 적용되는 개인 데이터의 이전이 발생하는 경우, 당사자들은 본 조항에 의하여 본 부속서의 필수적인 부분을 구성하는 ICO UK 부속서 및 그 대체 파트 2 강행 조항을 체결합니다. 당사자들은 본 부속서의 제10.3~10.15조에 따라, 또한 ICO UK 부속서의 강행 조항에 의해 개정된 바에 따라 그러한 이전에 SCC가 적용된다는 데 동의합니다. ICO UK 부속서의 제17절에 따라, 당사자들은 ICO UK 부속서 파트 1의 정보를 다음 형식으로 본 부속서에 보다 상세히 명시된 바에 따라 제공하는 데 동의합니다.
(a) ICO UK 부속서의 파트 1에서 ‘시작일’은 본 부속서의 제10.18조에 명시된 바에 따라 데이터 컨트롤러가 별표1을 체결하는 날짜입니다.
(b) ICO UK 부속서의 파트 1의 목적상 ‘당사자들’은 본 부속서의 제10.2조와 완료 및 체결된 별표 1의 제1.1절 및 제1.2절에 보다 상세히 명시된 바에 따른 데이터 수취자로서 Ready Korea와 데이터 전달자로서 데이터 컨트롤러 및 그 수임 계열사입니다.
(c) ICO UK 부속서 파트1의 목적상 ‘주요 연락처’는 완료 및 체결된 별표 1의 제1.1절 및 제1.2절에 명시된 사람입니다.
(d) ICO UK 부속서 파트 1의 목적상 ‘부속서 SCC’는 본 부속서의 제10.3~10.15조에 명시된
SCC입니다.
(e) ICO UK 부속서 파트 1의 목적상 ‘부속서 정보’는 본 부속서의 제10.15조에 명시된 바대로 별표1~별표3에 포함된 정보입니다.
(f) ICO UK 부속서 파트 1의 목적상 데이터 수취자는 ICO UK 부속서의 제19절에 명시된 조건에 따라 ICO UK 부속서를 종료할 수 있습니다.
10.18. 데이터 컨트롤러가 서명하는 즉시 구속될 의도로 Ready Korea가 별표1의 제1절에 사전 서명했습니다. 데이터 컨트롤러가 자신의 이름으로, 또한 자신이 승인한 수임 계열사의 이름으로 그러한 계열사를 대신하여 별표 1의 제1.1절을 작성하고 서명하는 것은 본 제10조에 명시된 바대로 SCC 및 적용되는 범위에서 ICO UK 부속서의 서명 및 수락을 구성하는 것으로 간주됩니다. 데이터 컨트롤러가 수임 계열사의 이름으로 그러한 계열사를 대신하여 SCC 및 적용되는 경우 ICO UK 부속서를 체결함으로써, 그러한 수임 계열사들은 본 부속서의 조항들 및 본 제10조의 적용 하에 본 부속서 별표 1에 따른 추가적인 데이터 전달자로서 SCC 및 적용되는 범위에서 ICO UK 부속서의 당사자가 됩니다(그러한 계열사들이 해당 서비스 계약에 따라 승인된 경우). 각 수임 계열사는 본 제10조에 명시된 바대로 SCC 및 적용되는 범위에서 ICO UK 부속서에 따른 의무에 구속될 것에 동의합니다. 수임 계열사에 의한 모든 서비스의
접근 및 이용은 본 제10조에 명시된 바 대로 SCC 및 적용되는 범위에서 ICO UK 부속서에서 정한 조건들을 준수해야 하며, 수임 계열사에 의한 SCC 및 적용되는 범위에서 ICO UK 부속서에서 정한 조건들의 위반은 데이터 컨트롤러에 의한 위반으로 간주됩니다.
10.19. 데이터 컨트롤러는 본 제10조에 명시된 바와 같이, 자신의 수임 계열사의 이름으로 수임 계열사를 대신하여 SCC 및 적용되는 범위에서 ICO UK 부속서를 체결하도록 자신의 수임 계열사에 의해 정식으로 위임받았음을 진술 및 보증합니다.
10.20. 데이터 컨트롤러는 작성이 완료되고 서명된 데이터 처리 계약을 수령한 후 십(10)일 이내에 그에 서명하여 반환해야 합니다.
11.1. 본 부속서의 개정 또는 추가는 서면으로 이루어져야 효력을 발휘할 수 있습니다. 이는 본 서면 양식 요건의 개정에도 적용됩니다. 본 조항의 서면 양식 요건에는 팩스 또는 일체의 비일시적인 형태의 시각적 단어 복제(예: 이메일)가 포함되지 않습니다.
11.2. 본 부속서의 어느 조항이 무효이거나 무효가 된 경우에도 이는 나머지 조건의 유효성에 영향을 미치지 않습니다. 이러한 경우 당사자들은 무효 조항과 상업적으로 가장 가까운 법적으로 유효한 결과를 달성하는 조건을 설정하기 위하여 협조할 의무가 있습니다. 이는 부속서의 누락 부분의 보완에 따라 적용됩니다.
11.3. 법적 조항으로 인해 또는 사법 또는 규제 결정에 따라 발생하는 일체의 데이터 프로세서 의무는 본 부속서의 영향을 받지 않습니다.
11.4. 본 부속서는 서비스 계약에 포함된 데이터 컨트롤러의 개인 데이터 처리와 관련된 일체의 유사하거나 추가적인 권리를 대체하지 않습니다. 본 부속서와 서비스 계약 간에 상충 또는 불일치가 있는 경우, 본 부속서가 우선합니다.
11.5. 본 부속서와 SCC 간에 상충 또는 불일치가 있는 경우, SCC가 우선합니다.
11.6. SCC와 ICO UK 부속서 간에 상충 또는 불일치가 있는 경우, ICO UK 부속서가 우선합니다. 단, SCC의 모순되거나 상충되는 조건이 데이터 주체를 더 잘 보호하는 경우(및 그 한도까지)는 예외이며, 이 경우 해당 조건은 ICO UK 부속서보다 우선합니다.
11.7. 본 부속서는 당사자들 간의 서비스 계약에 적용되는 동일한 법에 의해 규율됩니다. 단, SCC는 SCC의 제17조 및 본 부속서의 제10.13조에 따라 적용 가능한 법에 의해 규율되며, ICO UK 부속서의 제15(m)절과 관련하여 본 부속서의 UK GDPR 제10.17조에 의해 규율되는 데이터 이전은 예외로 합니다.
별표 목록:
별표 1: 처리에 관한 설명
별표 2: 기술적 및 조직적 조치에 대한 설명 별표 3: 하위 프로세서
별표 4: 표준 계약 조항
서명 페이지
Ready Korea를 대신하여 체결: |
수임 서명인의 서명 Andrew Cartledge |
수임 서명인의 이름(정자체) 이사 |
직책(정자체) |
서명일 |
본 문서에 대한 고객측 서명인의 선언
본 문서에 서명함으로써, 고객의 각 수임 서명인, 이사 또는 회사 서기는 본 문서를 읽었으며, 본 문서에 서명하고 본 문서의 조건에 고객을 구속시킬 수 있는 전적인 능력과 권한을 개별적으로(단일 서명인의 경우) 또는 공동으로(두 서명인의 경우) 가진 고객의 적법하게 수권된 대리인임을 진술하고 보증합니다.
서명인 (고객) 서명: | ||
첫 번째 또는 유일한 수임 서명인/이사: | 두 번째 수임 서명인/이사(필요한 경우): | |
서명 | 서명 | |
이름(정자체) | 이름(정자체) | |
직책(정자체) | 직책(정자체) | |
서명일 | 서명일 |
별표 1: 처리에 관한 설명
1. 당사자 목록
1.1. 데이터 전달자(들)
서비스 계약에 정의된 고객 및 그 수임 계열사. (공식 등록 번호/회사 번호/유사 식별자 포함):
본 조항에 따라 이전된 데이터와 관련된 활동: 서비스 계약에 따른 서비스 이행 및 본 부속서에 추가로 기술된 바에 따른 서비스 이행.
역할(컨트롤러/프로세서): 본 부속서의 별표 4에 명시된 표준 계약 조항의 목적상, 고객 및/또는 그 수임 계열사는 데이터 컨트롤러 역할을 합니다.
1.2. 데이터 수취자(들) 이름: Ready Korea
담당자 이름, 직위 및 연락처 상세정보: privacyofficer@wisetechglobal.com
본 조항에 따라 이전된 데이터와 관련된 활동: 서비스 계약에 따른 서비스 이행 및 본 부속서에 추가로 기술된 바에 따른 서비스 이행.
역할(컨트롤러/프로세서): 본 부속서의 별표 4에 명시된 표준 계약 조항의 목적상 Ready Korea는 데이터 프로세서 역할을 합니다.
2. 처리에 관한 설명
2.1. 개인정보가 이전되는 데이터 주체의 범주
이전된 개인 데이터는 다음 범주의 데이터 주체와 관련이 있습니다.
• 고객
• 잠재 고객
• 가입자
• 직원
• 공급 업체
• 수임 대리인
• 연락 담당자
2.2. 이전된 개인 데이터의 범주
이전된 개인 데이터는 다음 범주의 데이터와 관련이 있습니다.
• 개인 마스터 데이터(주요 개인 데이터)
• 연락처 데이터
• 주요 계약 데이터(계약/법적 관계, 계약 또는 제품 이해관계)
• 고객 내역
• 계약 청구 및 결제 데이터
• 공개된 정보(신용 참조 기관과 같은 제3자 또는 공공 디렉토리에서 공개된 정보
2.3. 이전된 민감한 데이터(해당되는 경우) 및 데이터의 성격과 관련된 위험을 완전히 고려한 적용 제한 또는 보호 조치*
없음
2.4. 이전 빈도(예: 데이터가 일회성 또는 연속으로 이전되는지 여부) 데이터는 지속적으로 이전됩니다.
2.5. 처리의 성격 및 목적
당사자들 간의 유지 및 라이선스 계약, 제품 및 서비스 계약과 그 부속서에 명시된 바에 따름
2.6. 개인 데이터가 보존되는 기간, 또는 그렇게 할 수 없는 경우 그러한 기간을 결정하는 데 사용되는 기준
해당 현지 법률 또는 규정에 의해 대체 기간이 요구되지 않는 한, 1) 유지 및 라이선스 계약과 제품 및 서비스 계약 종료의 결과로 해당 데이터베이스(들)의 예정된 철거 시점과 2) 데이터 전달자가 데이터 수취자에게 데이터 전달자(들)가 더 이상 데이터의 보존을 요구하지 않는다는 서면 확인을 제공한 시점 중 먼저 도래하는 시점
2.7. (하위) 프로세서로 이전: 처리의 주제, 성격 및 기간
당사자들 간의 유지 및 라이선스 계약, 제품 및 서비스 계약과 그 부속서에 명시된 바에 따름
3. 관할 감독 당국
SCC 제13조에 따라 관할 감독 당국을 확인하려면, ICO UK 부속서의 제15(k)절과 관련하여 본 부속서의 제10.17조, 본 부속서의 제10.11항 및 본 부속서의 제10.16(b)조를 참조하십시오.
EU/EEA의 최신 데이터 보호 감독 당국 목록과 연락처 정보는 https://edpb.europa.eu/about- edpb/about-edpb/members_en에서 확인할 수 있습니다. 영국 데이터 보호 감독 당국은 https://ico.org.uk/global/contact-us/에, 스위스 데이터 보호 감독 당국은 https://www.edoeb.admin.ch/edoeb/en/home/the-fdpic/contact.html에 표시된 연락처로 연락할 수 있습니다.
* 예를 들어 엄격한 목적 제한, 접근 제한(전문 교육을 받은 직원만 접근), 데이터 접근 기록 관리, 향후 이전 제한 또는 추가적인 보안 조치 등이 있습니다.
별표 2: 기술적 및 조직적 조치에 대한 설명
데이터 수취자가 구현한 기술적 및 조직적 보안 조치에 대한 설명:
기밀 유지(GDPR 제32(1)조 lit. (b)항)
• 물리적 접근 제어
자기 카드 또는 칩 카드, 열쇠, 전자 도어 오프너, 시설 보안 서비스 및/또는 출입 보안 직원, 경보 시스템, 비디오/CCTV 시스템과 같은 데이터 처리 시설에 대한 무단 접근 금지
• 전자 접근 제어
데이터 처리 및 데이터 저장 시스템의 무단 사용 금지, 예: (보안) 암호, 자동 차단/잠금 메커니즘, 2단계 인증, 데이터 캐리어/저장 매체의 암호화
• 내부 접근 제어(데이터 접근 및 수정을 위한 사용자 권한에 대한 허용)
시스템 내 데이터의 무단 읽기, 복사, 변경 또는 삭제 금지. 예: 권한 인증 개념, 필요 기반의 접근 권한, 시스템 액세스 이벤트의 로깅
• 격리 관리
여러 고객 지원, 샌드박스 등 다양한 목적으로 수집되는 데이터의 격리된 처리
• 가명화(GDPR 제32(1)조 a항, GDPR 제25(1)조)
추가 정보의 도움 없이는 특정 데이터 주체와 관련되는 것이 불가능한 방법/방식으로 개인 데이터 처리. 단, 이러한 추가 정보는 별도로 저장되고 그에 대해 적절한 기술적 및 조직적 조치가 적용되어야 함.
무결성(GDPR 제32(1)조 lit. (b)항)
• 데이터 이전 제어
전자 이전 또는 이전을 통한 데이터의 무단 읽기, 복사, 변경 또는 삭제 금지. 예: 암호화, 가상 사설 네트워크(VPN), 전자 서명
• 데이터 입력 제어
개인 데이터가 데이터 처리 시스템에 입력되는지 여부와 누가 입력하였는지, 변경 혹은 삭제되었는지 검증. 예: 로깅, 문서 관리
가용성 및 복원력(GDPR 제32(1)조 lit. (b)항)
• 가용성 제어
우발적이거나 고의적인 파괴 또는 손실 방지, 예: 백업 전략(온라인/오프라인. 현장/현장 외), 무정전 전원 공급 장치(UPS), 바이러스 보호, 방화벽, 보고 절차 및 비상 계획
• 빠른 복구(GDPR 제32(1)조 lit. (c)항).
정기 검사, 평가 및 평가 절차(GDPR 제32(1)조 lit. (d)항, GDPR 제25(1)조)
• 데이터 보호 관리
• 사고 대응 관리
• 설계 및 기본 설정에 의한 데이터 보호(GDPR 제25(1)조)
• 명령 또는 계약 제어
• GDPR 제28조에 따라 고객으로부터의 관련 지침 없이 제3자 데이터 처리 금지. 예: 명확하고 의문없는 계약상 합의, 공식화된 주문 관리, 서비스 제공자 선정에 대한 엄격한 통제, 사전 평가 의무, 감독 관리를 위한 후속 점검.
보안 조치
1. 데이터 수취자/하위 프로세서는 업계 표준에 따라 보안 프로그램을 구현하였으며 이를 유지해야 합니다.
2. 보다 구체적으로, 데이터 수취자/하위 프로세서의 보안 프로그램에는 다음 항목들이 포함되어야 합니다. 처리 영역의 접근 통제
데이터 수취자/하위 프로세서는 개인 데이터가 처리되거나 사용되는 데이터 처리 장비(즉, 전화, 데이터베이스, 애플리케이션 서버 및 관련 하드웨어)에 권한없는 자가 접근하는 것을 방지하기 위해 적절한 조치를 이행합니다.
• 보안 구역 설정
• 접근 경로의 보호 및 제한
• 각 문서를 포함하여 직원 및 제3자에 대한 접근 권한 설정
• 개인 데이터가 호스팅되는 데이터 센터에 대한 모든 액세스는 기록, 모니터링 및 추적됩니다.
• 개인 데이터가 호스팅되는 데이터 센터는 보안 경보 시스템 및 기타 적절한 보안 조치에 의해 보호됩니다.
데이터 처리 시스템에 대한 접근 통제
데이터 수취자/하위 프로세서는 다음을 포함하여 권한이 없는 자가 데이터 처리 시스템을 사용하지 못하도록 적절한 조치를 취합니다.
• 적절한 암호화 기술 사용
• 데이터 수취자/하위 프로세서 및 처리 시스템에 대한 단말기 및/또는 단말기 사용자의 식별
• 유휴 상태인 경우 사용자 터미널의 자동 임시 잠금, 다시 열기 위해 아이디 및 암호 필요
• 여러 개의 잘못된 암호를 입력할 때 사용자 ID의 자동 임시 잠금, 이벤트 로그 파일, 침입 시도(경고) 모니터링
• 데이터 콘텐츠에 대한 모든 액세스는 기록, 모니터링 및 추적됩니다.
데이터 처리 시스템의 특정 영역을 사용하기 위한 접근 통제
데이터 수취자/하위 프로세서는 데이터 처리 시스템을 사용할 자격이 있는 사람이 해당 액세스 허가(승인)가 적용되는 범위 내에서만 데이터에 액세스할 수 있으며 승인 없이 개인 데이터를 읽거나, 복사하거나, 수정하거나 제거할 수 없음을 약속합니다. 이는 다음을 포함한 다양한 조치를 통해 달성해야 합니다.
• 개인 데이터에 대한 각 직원의 액세스 권한과 관련된 직원 정책 및 교육
• 개인 데이터를 삭제, 추가 또는 수정하는 개인에 대한 모니터링 기능
• 차별화된 액세스 권한 및 역할의 할당을 포함하여 승인된 사람에게만 데이터 공개
• 적절한 암호화 기술 사용
• 파일 관리, 데이터 파기 관리 및 문서화 가용성 제어
데이터 수취자/하위 프로세서는 개인 데이터가 우발적인 파괴 또는 손실로부터 보호되도록 다음 항목들을 포함하는 적절한 조치를 이행합니다.
• 인프라 중복
• 백업은 대체 사이트에 저장되며 기본 시스템에 장애가 발생할 경우 복원할 수 있습니다. 이전 제어
데이터 수취자/하위 프로세서는 데이터 이전 중 또는 데이터 미디어 이전 중에 승인되지 않은 당사자가 개인 데이터를 읽거나, 복사하거나, 변경하거나, 삭제하지 못하도록 적절한 조치를 취합니다. 이는 다음 항목들을 포함한 다양한 조치를 통해 달성됩니다.
• 적절한 방화벽, VPN 및 암호화 기술을 사용하여 데이터가 이동하는 게이트웨이와 파이프라인을 보호합니다.
• 가능한 한 모든 데이터 이전이 기록, 모니터링 및 추적됩니다. 입력 제어
데이터 수취자/하위 프로세서는 다음 항목들을 포함한 적절한 입력 제어 조치를 구현합니다.
• 데이터의 입력, 읽기, 변경 및 삭제에 대한 승인 정책
• 승인된 직원의 인증
• 메모리에 입력되는 데이터뿐만 아니라 저장된 데이터의 읽기, 변경 및 삭제를 위한 보호 조치
• 고유한 인증 자격 증명 또는 코드(암호)의 활용
• 데이터 처리 시설(컴퓨터 하드웨어 및 관련 장비를 수용하는 방)에 대한 출입을 잠금 상태로 유지
• 상당 기간 동안 사용되지 않은 사용자 세션의 자동 로그오프
• 데이터 수취자/하위 프로세서의 입력 조직 내 입력 승인에 대한 확립된 증거
• 전자 기입에 의한 기록.
처리의 다양한 목적별 구분
데이터 수취자/하위 프로세서는 다양한 목적으로 수집된 데이터가 구분되어 처리될 수 있도록 다음 항목들을 포함하는 적절한 조치를 구현합니다.
• 데이터에 대한 액세스는 적절한 사용자를 위한 애플리케이션 보안을 통해 구분됩니다.
• 데이터 수취자/하위 프로세서의 데이터베이스 내의 모듈은 어떤 데이터가 어떤 목적으로 사용되는지, 즉 기능 및 기능별로 구분합니다.
• 데이터베이스 수준에서 데이터는 개별 데이터베이스에만 액세스하는 자격 증명과 함께 각 고객에 대해 분리된 데이터베이스에 저장됩니다.
• 인터페이스, 배치 프로세스 및 보고서는 특정 목적 및 기능만을 위해 설계되었으므로 특정 목적을 위해 수집된 데이터는 분리해서 처리됩니다.
문서
데이터 수취자/하위 프로세서는 감사 및 증거 보존을 위해 기술적 및 조직적 조치들에 대한 문서를 보관합니다. 데이터 수취자/하위 프로세서는 자신들이 고용한 사람들 및 관련 근무지의 다른 사람들이 본 별표 2에 명시된 기술적 및 조직적 조치를 인지하고 준수하도록 합리적인 조치를 취해야 합니다.
모니터링
데이터 수취자/하위 프로세서는 데이터 수취자/하위 프로세서의 시스템 관리자에 대한 접근 제한을 모니터링하고 이들이 수신된 지침에 따라 행동하도록 보장하기 위해 적절한 조치를 이행해야 합니다. 이는 다음 항목들을 포함한 다양한 조치를 통해 달성됩니다.
• 시스템 관리자의 개별 임명
• 인프라에 시스템 관리자의 액세스 로그를 등록하고 최소 6개월 동안 안전하고 정확하며 수정되지 않은 상태로 유지하기 위한 적절한 조치 채택
• 할당된 작업, 데이터 수취자/하위 프로세서가 받은 지침 및 관련 법률의 준수를 평가하기 위한 시스템 관리자의 활동에 대한 연례 감사
• 시스템 관리자의 아이디 세부 정보(예: 이름, 성, 기능 또는 조직 영역) 및 할당된 작업의 업데이트된 목록을 유지하고 요청 시 이를 데이터 전달자에게 즉시 제공
별표 3: 하위 프로세서
데이터 컨트롤러는 Ready Korea가 소속된 WiseTech Global Limited 기업 그룹을 통해 다음과 같은 하위 프로세서의 사용을 승인했습니다.
회사 | 주소 | 서비스 설명 | 처리 기간 |
아래 내부 하위 프로세서 데이터 센터(들) 표에 나열된 데이터 수취자의 계열사들 | 아래 내부 하위 프로세서 데이터 센터(들) 표 참조 | 데이터 센터 | 유지 및 라이선스 계약과 제품 및 서비스 계약 기간 동안 그리고 데이터 전달자의 데이터베이스의 완전 해체 시까지 |
Microsoft Ireland Operations Limited Microsoft Pty Ltd | C/o Microsoft Operations Pte Ltd Dept. 551, Volume Licensing, 82 Cecil Street, #13-01 Frasers Tower, Singapore 069547 Singapore 1 Epping Road, North Ryde NSW 2113, Australia | Exchange - 이메일 SharePoint – 협업 도구 Microsoft Teams – 협업 도구 Defender ATP – 위협 보호 Azure - IaaS, PaaS, SaaS | 유지 및 라이선스 계약과 제품 및 서비스 계약 기간 동안 그리고 데이터 전달자의 데이터베이스의 완전 해체 시까지 |
Proofpoint Inc. | 892 Ross Drive, Sunnyvale, CA 94085, USA | 이메일 필터링/검역처리 | 유지 및 라이선스 계약과 제품 및 서비스 계약 기간 동안 그리고 데이터 전달자의 데이터베이스의 완전 해체 시까지. 단, 특정 이메일의 보존 기간은 각 검역처리된 이메일을 수령한 후 2주입니다. |
Iron Mountain Australian Group Pty ltd | Australia Headquarters 465 Plummer St, Port Melbourne VIC 3207 | 현장 외 저장 | 유지 및 라이선스 계약과 제품 및 서비스 계약 기간 동안 및 이후 필요한 보존 기간이 만료될 때까지 |
Aryaka Networks, Inc. | 1800 Gateway Drive, Suite 200, San Mateo, CA 94404, USA | 공용 인터넷을 통한 네트워크 가속화 서비스 | 유지 및 라이선스 계약과 제품 및 서비스 계약 기간 동안 그리고 데이터 전달자의 데이터베이스의 완전 해체 시까지 |
내부 하위 프로세서
회사 이름 | 국가 | 주소 |
WiseTech Global Limited | 호주 | Unit 3a, 72 O’Riordan Street, Alexandria NSW, Australia |
WiseTech Global (US) Inc. | 미국 | 1051 East Woodfield Road, Schaumburg IL 60173, USA |
CargoWise GmbH | 독일 | c/o Softship GmbH, Notkestraße 13-15, 22607, Hamburg, Germany, Germany |
별표 4: 표준 계약 조항
(모듈 2: 컨트롤러에서 프로세서로 이전)
제1절
제1조
목적 및 범위
(a) 본 표준 계약 조항의 목적은 개인 데이터 처리와 관련된 자연인의 보호 및 개인 데이터의 제3국으로의 이전을 위한 데이터의 자유로운 이동(일반 데이터 보호 규정)에 관한 2016년 4월 27일자 유럽 의회 및 이사회 규정(EU) 2016/679의 요건이 준수되도록 하는 것입니다.
(b) 당사자들:
i. 부록 I.A에 열거된 개인 데이터를 이전하는 자연인 또는 법인(들), 공공 당국/들, 기관/들 또는 기타 단체/들(이하 ‘법인’)(이하 각 ‘데이터 전달자’) 및
ii. 데이터 전달자로부터 직접 또는 본 조항의 당사자인 다른 실체를 통해 간접적으로 개인 데이터를 수취하는 제3국의 실체로서 부록 I.A에 명시된 자(이하 각 ‘데이터 수취자’)는
본 표준 계약 조항(이하 ‘본 표준 조항’)에 합의했습니다.
(c) 본 표준 조항은 부록 I.B에 명시된 개인 데이터의 이전과 관련하여 적용됩니다.
(d) 언급된 부록을 포함하는 본 표준 조항의 부속서는 본 표준 조항의 필수적인 부분을 구성합니다.
제2조
본 표준 조항의 효과 및 불변성
(a) 본 표준 조항은 규정(EU) 2016/679의 제46(1)조 및 제46(2)조 (c)항에 따라, 또한 컨트롤러에서 프로세서 및/또는 프로세서에서 프로세서로의 데이터 이전과 관련하여 변경되지 않은 (적절한 모듈을 선택하거나 부속서 내 정보를 추가하거나 업데이트하기 위한 경우는 제외) 규정(EU) 2016/679의 제28(7)조에 따른 표준 계약 조항을 준수하여, 집행 가능한 데이터 주체의 권리 및 효과적인 법적 구제 수단을 포함하여 적절한 보호 조치를 규정합니다. 이는 당사자들이 본 표준 조항에 명시된 표준 계약 조항들을 보다 광범위한 계약에 포함시키고/거나 다른 조항 또는 보호조치를 추가하는 것을 금지하지 않습니다. 단, 그러한 조항들이 본 표준 조항에 직접 또는 간접적으로 모순되거나 데이터 주체의 기본 권리 또는 자유를 침해하지 않는 경우에 한합니다.
(b) 본 표준 조항은 데이터 전달자가 규정(EU) 2016/679에 따라 부담해야 하는 의무에 영향을 미치지 않습니다.
제3조
제3자 수혜자
(a) 데이터 주체는 제3자 수혜자로서 데이터 전달자 및/또는 데이터 수취자를 상대로 본 표준 조항을 원용하거나 집행할 수 있습니다. 단, 다음 경우는 예외입니다.
i. 제1조, 제2조, 제3조, 제6조, 제7조
ii. 제8.1조 (b), 8.9(a), (c), (d) 및 (e)항
iii. 제9조 (a), (c), (d) 및 (e)항
iv. 제12조 (a), (d) 및 (f)항
v. 제13조
vi. 제15.1조 (c), (d) 및 (e)항
vii. 제16조 (e)항
viii. 제18조 (a) 및 (b)항.
(b) (a)항은 규정(EU) 2016/679에 따른 데이터 주체의 권리를 침해하지 않습니다.
제4조 해석
(a) 본 표준 조항에서 규정(EU) 2016/679에 정의된 용어를 사용하는 경우, 해당 용어는 위 규정에서와 동일한 의미를 갖습니다.
(b) 본 표준 조항은 규정(EU) 2016/679의 조항들에 비추어 읽고 해석해야 합니다.
(c) 본 표준 조항은 규정(EU) 2016/679에서 정한 권리 및 의무와 상충하는 방식으로 해석하지 못합니다.
제5조 우선순위
본 표준 조항들과 본 표준 조항들이 합의되거나 체결된 시점에 존재하는 당사자들 간의 관련 계약 조항들 간에 상충이 발생하는 경우, 본 표준 조항들이 우선합니다.
제6조
이전에 대한 설명
이전의 세부 사항, 특히 이전된 개인 데이터의 범주 및 이전의 목적(들)은 부록 I.B에 명시되어 있습니다.
제7조 - 선택 사항 도킹 조항
(의도적으로 공란으로 남겨둠.)
제II절 – 당사자들의 의무
제8조
데이터 보호 안전
데이터 전달자는 데이터 수취자가 적절한 기술적 및 조직적 조치를 이행하여 본 조항에 따른 의무를 이행할 수 있는지 확인하기 위해 합리적인 노력을 기울였음을 보증합니다.
8.1. 지침
(a) 데이터 수취자는 오직 데이터 전달자의 문서화된 지침에 따라 개인 데이터를 처리해야 합니다. 데이터 전달자는 계약 기간 동안 이러한 지침을 제공할 수 있습니다.
(b) 데이터 수취자는 이러한 지침을 따를 수 없는 경우 데이터 전달자에게 즉시 알려야 합니다.
8.2. 목적 제한
데이터 수취자는 데이터 전달자의 추가 지시가 없는 한, 부록 I.B에 명시된 특정 이전 목적(들)을 위해서만 개인 데이터를 처리해야 합니다.
8.3. 투명성
요청 시, 데이터 전달자는 당사자들이 작성한 부속서를 포함하여 본 표준 조항의 사본을 데이터 주체가 무료로 이용할 수 있도록 해야 합니다. 부록 II에 설명된 조치 및 개인 데이터를 포함하여 사업 기밀 또는 기타 기밀 정보를 보호하기 위해 필요한 범위 내에서, 데이터 전달자는 사본을 공유하기 전에 본 표준 조항의 부속서 본문 일부를 수정할 수 있지만, 데이터 주체가 그 내용을 이해하거나 권리를 행사할 수 없는 경우 의미 있는 요약을 제공해야 합니다. 요청 시, 당사자들은 편집된 정보를 공개하지 않고 가능한 한 편집 사유를 데이터 주체에게 제공해야 합니다. 본 표준 조항은 규정(EU) 2016/679의 제13조 및 제14조에 따른 데이터 전달자의 의무에 영향을 미치지 않습니다.
8.4. 정확도
데이터 수취자가 자신이 수취한 개인 데이터가 부정확하거나 변경 전의 것임을 알게 되는 경우, 지체 없이 데이터 전달자에게 알려야 합니다. 이 경우 데이터 수취자는 데이터 전달자와 협력하여 데이터를 삭제하거나 수정해야 합니다.
8.5. 데이터 처리 및 삭제 또는 반환 기간
데이터 수취자에 의한 처리는 오직 부록 I.B에 명시된 기간 내에 실행되어야 합니다. 처리 서비스 제공이 종료된 후 데이터 수취자는 데이터 전달자의 선택에 따라 데이터 전달자를 대신하여 처리한 모든 개인 데이터를 삭제하고 데이터 전달자에게 삭제 사실을 증명하거나 데이터 전달자를 대신하여 처리한 모든 개인 데이터를 데이터 전달자에게 반환하고 기존 사본들을 삭제해야 합니다. 데이터가 삭제되거나 반환될 때까지 데이터 수취자는 계속해서 본 표준 조항의 준수를 보장해야 합니다. 개인 데이터의 반환 또는 삭제를 금지하는 데이터 수취자에게 현지 법률이 적용되는 경우, 데이터 수취자는 본 표준 조항의 준수를 계속 보장하고 현지 법률에 따라 요구되는 기간 및 범위에 한하여 이를 처리할 것임을 보증합니다. 이는 제14조, 특히 데이터 수취자가 계약 기간 동안 자신이 제14조 (a)항에 따른 요구 사항과 양립할 수 없는 법이나 관행의 적용 대상이거나 그러한 대상이 되었다고 믿을 만한 이유가 있는 경우, 제14조 (e)항에 따라 데이터 전달자에게 통지해야 하는 의무에 영향을 미치지 않습니다.
8.6. 처리의 보안
(a) 데이터 수취자 및 데이터 이전 중의 데이터 전달자는 우발적 또는 불법적 파기, 손실, 변경, 무단 공개 또는 데이터에 대한 무단 접근으로 이어지는 보안 침해(이하 ‘개인 데이터 침해’)에 대한 보호를 포함하여 데이터의 보안을 보장하기 위한 적절한 기술적 및 조직적 조치를 이행해야 합니다. 적절한 보안 수준을 평가할 때, 당사자들은 최신 기술, 구현 비용, 처리의 성격, 범위, 맥락 및 목적(들), 데이터 주체의 처리와 관련된 위험을 충분히 고려해야 합니다. 당사자들은 데이터 이전 도중을 포함하여 특히 암호화 또는 가명화를 활용할 것을 고려해야 합니다(처리 목적이 그러한 방식으로 이행될 수 있는 경우). 가명화의 경우, 개인 데이터를 특정 데이터 주체에게 귀속시키기 위한 추가 정보는 가능한 경우 데이터 전달자의 독점적인 통제 하에 있어야 합니다. 본 항에 따른 의무를 준수함에 있어 데이터 수취자는 최소한 부록 II에 명시된 기술적 및 조직적 조치를 이행해야 합니다. 데이터 수취자는 이러한 조치가 적절한 수준의 보안을 지속적으로 제공하는지 확인하기 위해 정기적인 점검을 수행해야 합니다.
(b) 데이터 수취자는 계약 이행, 관리 및 모니터링에 엄격하게 필요한 범위 내에서만 자신의 직원들에게 개인 데이터에 대한 접근을 허용해야 합니다. 또한 개인 데이터를 처리할 권한이 있는 사람에게 기밀 유지를 약속하게 하거나 적절한 법적 기밀 유지 의무를 부담하도록 해야 합니다.
(c) 본 표준 조항에 따라 데이터 수취자가 처리하는 개인 데이터에 관한 개인 데이터 침해가 발생하는 경우, 데이터 수취자는 그 악영향을 완화하기 위한 조치를 포함하여 침해를 해결하기 위한 적절한 조치를 취해야 합니다. 데이터 수취자는 또한 위반 사실을 알게 된 후 과도한 지체 없이 데이터 전달자에게 통지해야 합니다. 이러한 통지에는 더 많은 정보를 얻을 수 있는 연락 담당자의 세부 정보, 위반의 성격에 대한 설명(가능한 경우, 데이터 주체 및 관련 개인 데이터 기록의 범주 및 대략적인 수 포함), 가능한 결과, 위반에 대처하기 위해 취해지거나 제안된 조치, 그리고 적절한 경우 가능한 부작용을 완화하기 위한 조치 등을 기재해야 합니다. 모든 정보를 동시에 제공할 수 없는 경우, 최초 통지는 당시 이용 가능한 정보를 포함해야 하며, 추가 정보는 추후 이용 가능하게 되면 과도한 지체 없이 제공해야 합니다.
(d) 데이터 수취자는 데이터 전달자가 규정(EU) 2016/679에 따른 의무를 준수할 수 있도록 데이터 전달자에게 협력하고 지원해야 하며, 특히 데이터 수취자가 이용할 수 있는 정보 및 처리의 성격을 고려하여 관할 감독 당국 및 영향을 받는 데이터 주체에게 통지해야 합니다.
8.7. 민감한 데이터
데이터의 이전에 인종 또는 민족적 기원, 정치적 견해, 종교적 또는 철학적 신념, 노동 조합 가입 여부, 자연인을 고유하게 식별할 목적으로 하는 유전자 데이터 또는 생체 데이터, 건강 또는 개인의 성생활 또는 성적 지향에 관한 데이터, 또는 형사 유죄 판결 및 범죄와 관련된 데이터(이하 ‘민감한 데이터’) 등을 드러내는 개인 데이터가 관련된 경우, 데이터 수취자는 부록 I.B에 기술된 특정 제한 및/또는 추가 안전 장치를 적용해야 합니다.
8.8. 제3자 이전
데이터 수취자는 데이터 전달자의 문서화된 지침에 따라서만 개인 데이터를 제3자에게 공개해야 합니다. 또한, 제3자가 적절한 모듈에 따라 본 조항의 구속을 받거나 이에 동의하는 경우, 또는 다음과 같은 경우에만 유럽연합 외부에 소재한 제3자에게 데이터를 공개할 수 있습니다(데이터 수취자와 동일한 국가에 소재하거나 다른 제3국에 소재한 경우, 이하 ‘제3자 이전’).
i. 제3자 이전이 제3자 이전을 다루는 규정(EU) 2016/679의 제45조에 따른 적절성 결정으로부터 혜택을 받는 국가로 이전되는 경우
ii. 제3자가 달리 문제의 처리와 관련하여 (EU) 2016/679의 제46조 또는 제47조에 따라 적절한 보호 조치를 보장하는 경우
iii. 특정 행정, 규제 또는 사법 절차의 맥락에서 법적 청구의 확립, 행사 또는 방어를 위해 제3자 이전이 필요한 경우, 또는
iv. 데이터 주체 또는 다른 자연인의 중요한 이익을 보호하기 위해 제3자 이전이 필요한 경우.
제3자 이전은 데이터 수취자가 본 표준 조항에 따른 기타 모든 보호 조치, 특히 목적에 관한 제한을 준수해야 합니다.
8.9. 문서 및 준수
(a) 데이터 수취자는 본 표준 조항에 따른 처리와 관련된 데이터 전달자의 문의를 신속하고 적절하게 처리해야 합니다.
(b) 당사자들은 본 표준 조항의 준수를 입증할 수 있어야 합니다. 특히 데이터 수취자는 데이터 전달자를 대신하여 수행되는 처리 활동에 대한 적절한 문서를 기록 및 보존해야 합니다.
(c) 데이터 수취자는 본 표준 조항에 명시된 의무의 준수를 입증하는 데 필요한 모든 정보를 데이터 전달자에게 공개해야 하고, 데이터 전달자의 요청에 따라 합리적인 간격으로 또는 비준수의 징후가 있는 경우 본 표준 조항이 적용되는 처리 활동의 감사를 허용하고 그에 기여해야 합니다. 데이터 전달자는 검토 또는 감사를 결정할 때 데이터 수취자가 보유한 관련 인증을 고려할 수 있습니다.
(d) 데이터 전달자는 자체적으로 감사를 실시하거나 독립 감사인을 위임할 수 있습니다. 감사에는 데이터 수취자의 사업장 또는 물리적 시설에서의 검사가 포함될 수 있으며, 적절한 경우 합리적인 통지를 통해 실시해야 합니다.
(e) 당사자들은 요청 시 감사 결과를 포함하여 (b) 및 (c)항에 언급된 정보를 관할 감독 당국에 공개해야 합니다.
제9조
하위 프로세서의 사용
(a) 데이터 수취자는 합의된 목록의 하위 프로세서(들)의 고용에 대한 데이터 전달자의 일반적인 승인을 받았습니다. 데이터 수취자는 최소한 십(10)일 전에 하위 프로세서의 추가 또는 교체를 통해 위 목록에 대한 의도한 변경 사항을 데이터 전달자에게 서면으로 구체적으로 알려야 하며, 이에 따라 데이터 전달자에게 하위 프로세서(들)의 고용 전에 이러한 변경 사항에 대해 이의를 제기할 수 있는 충분한 시간을 제공해야 합니다. 데이터 수취자는 데이터 전달자가 이의를 제기할 권리를 행사할 수 있도록 필요한 정보를 데이터 전달자에게 제공해야 합니다.
(b) 데이터 수취자가 특정 처리 활동을 수행하기 위해 하위 프로세서를 고용하는 경우(데이터 전달자를 대신하여), 데이터 주체를 위한 제3자 수익권 관련을 포함하여 본 표준 조항에 따라
데이터 수취자를 구속하는 동일한 데이터 보호 의무를 실질적으로 규정하는 서면 계약을 통해서 고용해야 합니다. 당사자들은 데이터 수취자가 본 표준 조항을 준수함으로써 제8.8조에 따른 의무를 이행하는 것임에 동의합니다. 데이터 수취자는 하위 프로세서가 본 표준 조항에 따라 데이터 수취자에게 적용되는 의무를 준수하도록 해야 합니다.
(c) 데이터 수취자는 데이터 전달자의 요청에 따라 그러한 하위 프로세서 계약 및 그 후속 변경 사항의 사본을 데이터 전달자에게 제공해야 합니다. 개인 데이터를 포함하여 사업 기밀 또는 기타 기밀 정보를 보호하는 데 필요한 범위 내에서 데이터 수취자는 사본을 공유하기 전에 그러한 계약의 문구를 수정할 수 있습니다.
(d) 데이터 수취자는 하위 프로세서에 의한 데이터 수취자와의 계약에 따른 의무 이행에 대해 데이터 전달자에게 전적인 책임을 져야 합니다. 데이터 수취자는 하위 프로세서가 해당 계약에 따른 의무를 이행하지 못한 경우 데이터 전달자에게 통지해야 합니다.
(e) 데이터 수취자는 데이터 수취자가 실제로 사라졌거나 법적으로 소멸하였거나 지급 불능 상태가 된 경우, 데이터 전달자가 하위 프로세서 계약을 해지하고 하위 프로세서에게 개인 데이터를 삭제 또는 반환하도록 지시할 권리를 갖게 되는 제3자 수익자 조항에 하위 프로세서와 합의해야 합니다.
제10조
데이터 주체의 권리
(a) 데이터 수취자는 데이터 주체로부터 받은 모든 요청을 데이터 전달자에게 즉시 통지해야 합니다. 데이터 전달자가 허용하지 않는 한, 해당 요청 자체에 응답해서는 안 됩니다.
(b) 데이터 수취자는 규정(EU) 2016/679에 따른 권리 행사를 위한 데이터 주체들의 요청에 대응해야 할 의무를 이행하도록 데이터 전달자를 지원해야 합니다. 이와 관련하여, 당사자들은 지원이 제공되는 처리의 성격 및 필요한 지원의 범위와 정도를 고려하여 부록 II에 적절한 기술적 및 조직적 조치를 명시해야 합니다.
(c) 데이터 수취자는 (a) 및 (b)항에 따른 의무를 이행함에 있어 데이터 전달자의 지침을 준수해야 합니다.
제11조
교정
(a) 데이터 수취자는 불만 처리를 위해 위임된 연락 담당자에 관하여 개별 통지 또는 웹 사이트 상에서 투명하고 쉽게 접근할 수 있는 형식으로 데이터 주체에게 알려야 합니다. 또한 데이터 주체로부터 접수한 모든 불만을 즉시 처리해야 합니다.
(b) 본 조항의 준수와 관련하여 데이터 주체와 당사자 중 한 당사자 간에 분쟁이 발생하는 경우, 해당 당사자는 문제를 적시에 우호적으로 해결하기 위해 최선의 노력을 다해야 합니다. 당사자들은 이러한 분쟁에 대해 서로 정보를 제공하고, 적절한 경우 이를 해결하는 데 협력합니다.
(c) 데이터 주체가 제3조에 따라 제3자 수익권을 행사하고자 하는 경우, 데이터 수취자는 다음과 같은 데이터 주체의 결정을 수락해야 합니다.
v. 제13조에 따라 자신의 거주지 또는 근무지 회원국의 감독 당국 또는 관할 감독 당국에 불만을 제기하는 행위
vi. 분쟁을 제18조의 의미 내에서 관할 법원에 회부하는 행위
(d) 당사자들은 규정(EU) 2016/679의 제80(1)조에 명시된 조건에 따라 데이터 주체가 비영리 단체, 조직 또는 협회에 의해 대표될 수 있음을 인정합니다.
(e) 데이터 수취자는 관련 EU 또는 회원국 법률에 따라 구속력을 갖는 결정을 준수해야 합니다.
(f) 데이터 수취자는 데이터 주체의 선택이 해당 법률에 따라 구제를 추구할 수 있는 데이터 주체의 실질적 권리와 절차적의 권리를 침해하지 않을 것임에 동의합니다.
제12조
책임
(a) 각 당사자는 자신에 의한 본 표준 조항의 위반으로 인해 상대방에게 야기된 손해에 대해 상대방에게 책임을 져야 합니다.
(b) 데이터 수취자는 데이터 주체에 대한 책임이 있으며, 데이터 주체는 데이터 수취자 또는 그 하위 프로세서가 본 표준 조항에 따른 제3자 수익자 권리를 침해하여 데이터 주체에게 야기한 중대하거나 경미한 모든 손해에 대해 보상을 받을 권리가 있습니다.
(c) (b)항에도 불구하고, 데이터 전달자는 데이터 주체에 대한 책임이 있으며, 데이터 주체는 데이터 전달자 또는 데이터 수취자(또는 그 하위 프로세서)가 본 표준 조항에 따른 제3자 수혜자 권리를 침해하여 데이터 주체에게 야기한 중대하거나 경미한 모든 손해에 대해 보상을 받을 권리가 있습니다. 이는 데이터 전달자의 책임 및 데이터 전달자가 컨트롤러를 대신하여 기능하는 프로세서인 경우 적용에 따라 규정(EU) 2016/679 또는 규정(EU) 2018/1725에 의한 컨트롤러의 책임에 영향을 미치지 않습니다.
(d) 당사자들은 데이터 전달자가 제(c)항에 따라 데이터 수취자(또는 그 하위 프로세서)에 의해 야기된 손해에 대해 책임을 지는 경우, 데이터 전달자는 데이터 수취자에게 손해에 대한 데이터 수취자의 책임에 상응하는 보상의 부분을 청구할 권리가 있다는 데 동의합니다.
(e) 복수의 당사자가 본 표준 조항의 위반으로 인해 데이터 주체에게 야기된 손해에 대해 책임을 지는 경우, 모든 책임 당사자는 연대하여 책임을 지며 데이터 주체는 이러한 당사자들 중 누구를 상대로 하든지 법원에 소송을 제기할 권리가 있습니다.
(f) 당사자들은 한 당사자가 (e)항에 따라 책임을 지는 경우, 상대방으로부터 손해에 대한 자신의 책임에 상응하는 보상의 부분에 대해 구상권을 행사할 수 있음에 동의합니다.
(g) 데이터 수취자는 자신의 책임을 회피하기 위해 하위 프로세서의 행위를 항변으로 원용할 수 없습니다.
제13조 관리 감독
(a) [데이터 전달자가 EU 회원국에 설립된 경우:] 데이터 전달자가 부록 I.C에 명시된 데이터 이전과
관련하여 규정(EU) 2016/679를 준수하도록 관리할 책임이 있는 감독 당국이 관할 감독 당국으로 활동해야 합니다.
[데이터 전달자가 EU 회원국에 설립되지 않았으나, 규정(EU) 2016/679의 제3(2)조에 따라 동 규정의 적용 지역 범위에 속하고 규정(EU) 2016/679의 제27(1)조에 따라 대리인을 임명한 경우:] 부록 I.C에 명시된 바와 같이 규정(EU) 2016/679의 제27(1)조의 의미에 해당하는 대리인이 설립된 회원국의 감독 당국이 관할 감독 당국으로 기능해야 합니다.
[데이터 전달자가 EU 회원국에 설립되지 않았으나, 규정(EU) 2016/679의 제3(2)조에 따라 동 규정의 적용 지역 범위에 속하고 규정(EU) 2016/679의 제27(2)조에 따라 대리인을 임명할 필요가 없는 경우:] 부록 I.C에 명시된 바와 같이 자신에게 제공되는 상품 또는 서비스 제공과 관련하여 본 표준 조항에 따라 자신의 개인 데이터가 이전되는 데이터 주체, 혹은 자신의 행동이 모니터링되는 회원국들 중 하나의 감독 당국이 관할 감독 당국으로 기능해야 합니다.
(b) 데이터 수취자는 본 표준 조항의 준수를 보장하기 위한 모든 절차에서 관할 감독 당국의 관할에 복종하고 협력하는 데 동의합니다. 특히, 데이터 수취자는 질의에 응답하고, 감사에 응하며, 구제 및 보상 조치를 포함하여 감독 당국이 채택한 조치를 준수할 것에 동의합니다. 또한 감독당국에 필요한 행위가 이행되었다는 서면확인서를 제공해야 합니다.
제III절 – 공공 당국의 접근 시 현지 법률 및 의무
제14조
표준 조항의 준수에 영향을 미치는 현지 법률 및 관행
(a) 당사자들은 데이터 수취자가 개인 데이터를 처리하는 데 적용되는 제3의 목적지 국가의 법률 및 관행이 개인 데이터를 공개해야 하는 의무 또는 공공 당국의 접근을 허가하는 조치 등을 포함하여 데이터 수취자가 본 표준 조항에 따른 의무를 이행함에 있어 저해 요인이 된다고 믿을 만한 이유가 없다는 것을 보증합니다. 이는 기본권과 자유의 본질을 존중하고, 규정(EU) 2016/679의 제23(1)조에 열거된 목표 중 하나를 보호하기 위해 민주 사회에서 필요한 부분과 비례적인 정도를 초과하지 않는 법률과 관행은 본 표준 조항과 상충되지 않는다는 사실의 이해에 기반하는 것입니다.
(b) 당사자들은 제(a)항의 보증을 제공할 때, 특히 다음과 같은 요소들을 충분히 고려했음을 선언합니다.
i. 처리 연속 과정의 길이, 관련된 행위자 및 사용된 이전 경로의 수, 향후 제3자 이전 의도, 수취자의 유형, 처리 목적, 이전된 개인 데이터의 범주 및 형식, 이전이 발생하는 경제 부문, 이전된 데이터의 저장 위치 등을 포함하여 이전에 관련된 특정 상황들
ii. 데이터 이전에 관련된 특정 상황에서 공공 당국에 데이터를 공개해야 하거나 해당 당국의 접근을 허용하는 등 제3의 목적지 국가의 법률 및 관행과 적용되는 제한 및 보호 조치12
iii. 데이터 이전 중에 적용되거나 목적지 국가의 개인 데이터 처리에 적용되는 조치를 포함하여 본 표준 조항에 따른 보호 조치를 보완하기 위해 마련된 모든 관련 계약상, 기술적 또는 조직적 보호 조치
(c) 데이터 수취자는 (b)항에 따른 평가를 수행할 때 데이터 전달자에게 관련 정보를 제공하기 위해 최선의 노력을 기울였음을 보증하며, 데이터 전달자가 본 표준 조항을 준수하도록 하기 위해 계속해서 협력할 것에 동의합니다.
(d) 당사자들은 (b)항에 따라 평가를 문서화하고 요청 시 관할 감독 당국에 이를 제공하는 데 동의합니다.
(e) 데이터 수취자는 본 포준 조항에 동의한 후 계약 기간 동안 제3국 법률의 변경 또는 제(a)항의 요구 사항에 부합하지 않는 현행 법률의 적용을 나타내는 조치(예: 공개 요청)를 따라야 하는 상황을 포함하여 자신이 제(a)항의 요구 사항에 부합하지 않는 법률 또는 관행의 적용 대상이거나 적용 대상이 되었다고 믿을 만한 이유가 있는 경우 데이터 전달자에게 즉시 통지하는 데 동의합니다.
(f) (e)항에 따른 통지 후 또는 데이터 전달자가 데이터 수취자가 더 이상 본 표준 조항에 따른 의무를 이행할 수 없다고 믿을 만한 이유가 있는 경우, 데이터 전달자는 상황에 대처하기 위해 데이터 전달자 및/또는 데이터 수취자가 채택할 적절한 조치(예: 보안 및 기밀성을 보장하기 위한 기술적 또는 조직적 조치)를 즉시 강구해야 합니다. 데이터 전달자는 데이터 이전을 위한 적절한 안전장치를 보장할 수 없다고 간주하거나 관할 감독 당국의 지시가 있는 경우 데이터 이전을 중단해야 합니다. 이 경우 데이터 전달자는 본 표준 조항에 따른 개인 데이터 처리에 관계되는 한에서 계약을 종료할 권리가 있습니다. 계약 당사자가 세 명 이상인 경우, 당사자들이 달리 합의하지 않는 한 데이터 전달자는 관련 당사자에 대해서만 이러한 해지권을 행사할 수 있습니다. 본 표준 조항에 따라 계약이 종료되는 경우, 제16조 (d)항 및 (e)항이 적용됩니다.
제15조
공공 당국의 접근 시 데이터 수취자의 의무
15.1. 통지
(a) 데이터 수취자는 다음과 같은 경우 데이터 전달자와 가능한 경우 데이터 주체에게 즉시(데이터 전달자의 도움을 받아 필요한 경우) 통지하는 데 동의합니다.
i. 본 표준 조항에 따라 이전된 개인 데이터의 공개에 대하여 목적지 국가의 사법 당국을 포함한 공공 당국의 법적 구속력이 있는 요청을 받은 경우. 이러한 통지에는 요청된 개인
데이터, 요청 당국, 요청의 법적 근거 및 제공된 응답에 대한 정보를 기재해야 합니다.
ii. 목적지 국가의 법률에 기하여 본 표준 조항에 따라 이전된 개인 데이터에 대하여 공공 당국이 직접 접근하였음을 알게 된 경우. 이러한 통지에는 수취자가 알고 있는 모든 정보를 기재해야 합니다.
(b) 데이터 수취자가 목적지 국가의 법률에 따라 데이터 전달자 및/또는 데이터 주체에게 통지하는 것이 금지되는 경우, 데이터 수취자는 가능한 한 많은 정보를 전달할 목적으로 가능한 한 빨리 금지에 대한 면제를 받기 위해 최선의 노력을 다하는 데 동의합니다. 데이터 수취자는 데이터 전달자의 요청에 따라 제시할 수 있도록 자신의 최선의 노력을 문서화하는 데 동의합니다.
(c) 목적지 국가의 법률에 따라 허용되는 경우, 데이터 수취자는 계약 기간 동안 정기적으로 데이터 전달자에게 수신된 요청에 대해 가능한 한 많은 관련 정보(특히 요청 수, 요청된 데이터 유형, 요청 당국, 요청에 대한 이의 제기 여부 및 그 결과 등)를 제공하는 데 동의합니다.
(d) 데이터 수취자는 계약 기간 동안 (a)~(c)항에 따라 정보를 보존하고 요청 시 관할 감독 당국에 이를 제공하는 데 동의합니다.
(e) (a)~(c)항은 제14조 (e)항 및 제16조에 따라 데이터 수취자가 본 표준 조항을 준수할 수 없는 경우 즉시 데이터 전달자에게 알려야 하는 의무에 영향을 미치지 않습니다.
15.2. 합법성 및 데이터 최소화 검토
(a) 데이터 수취자는 공개 요청의 적법성, 특히 공개 요청이 요청 공공 당국에 부여된 권한 내에 있는지 여부를 검토하고, 신중한 평가 후 요청이 목적지 국가의 법률, 국제법 및 국제 예양의 원칙에 따른 해당 의무에 따라 불법이라고 간주할 만한 합리적인 근거가 있다고 결론지을 경우 요청에 이의를 제기하는 데 동의합니다. 데이터 수취자는 위 조건 하에서 항소 가능성을 추진해야 합니다. 데이터 수취자는 요청에 이의를 제기하는 경우, 관할 사법 당국이 본안 판결을 내릴 때까지 요청의 효과를 일시 중지할 수 있는 임시 조치를 모색해야 합니다. 또한 요청된 개인 데이터는 해당 절차 규칙에 따라 공개해야 할 때까지 이를 공개하지 못합니다. 이러한 의무 사항은 제14조 (e)항에 따른 데이터 수취자의 의무에 영향을 미치지 않습니다.
(b) 데이터 수취자는 법적 평가와 공개 요청에 대한 모든 이의 제기를 문서화하고, 목적지 국가의 법률에서 허용하는 범위 내에서 데이터 전달자에게 문서를 공개할 것에 동의합니다. 또한 요청 시 관할 감독 당국에 이를 공개해야 합니다.
(c) 데이터 수취자는 공개 요청에 응답할 때 요청에 대한 합리적인 해석에 기초하여 허용되는 최소한의 정보만을 제공할 것에 동의합니다.
제IV절 – 최종 조항
제16조
표준 조항의 준수 불이행 및 종료
(a) 데이터 수취자는 어떤 이유로든 본 표준 조항을 준수할 수 없는 경우 데이터 전달자에게 즉시 알려야 합니다.
(b) 데이터 수취자가 본 표준 조항을 위반하거나 본 표준 조항을 준수할 수 없는 경우, 데이터 전달자는 준수가 재차 보장되거나 계약이 종료될 때까지 데이터 수취자에 대한 개인 데이터의 이전을 중지해야 합니다. 이는 제14조 (f)항을 침해하지 않습니다.
(c) 데이터 전달자는 다음 중 하나에 해당하는 경우, 본 표준 조항에 따른 개인 데이터 처리에 관계되는 부분의 계약을 종료할 권리가 있습니다.
i. 데이터 전달자가 (b)항에 따라 데이터 수취자에게 개인 데이터 이전을 중지했으며, 본 표준 조항의 준수가 합리적인 시간 내에, 단 어떠한 경우에도 중지 후 1개월 이내에 복원되지 않는 경우
ii. 데이터 수취자가 본 표준 조항을 실질적으로 혹은 지속적으로 위반한 경우
iii. 데이터 수취자가 본 표준 조항에 따른 의무와 관련하여 관할 법원 또는 감독 당국의 구속력 있는 결정을 준수하지 않는 경우
이러한 경우 데이터 수취자는 관할 감독 당국에 그 미준수 사실을 알려야 합니다. 계약 당사자가 세 명 이상인 경우, 데이터 전달자는 당사자들이 달리 합의하지 않는 한 관련 당사자에 대해서만 이러한 해지권을 행사할 수 있습니다.
(d) (c)항에 따라 계약 종료 전에 이전된 개인 데이터는 데이터 전달자의 선택에 따라 데이터 전달자에게 즉시 반환하거나 완전히 삭제해야 합니다. 이는 데이터의 모든 사본에도 동일하게 적용됩니다. 데이터 수취자는 데이터 전달자에게 데이터 삭제를 인증해야 합니다. 데이터가 삭제되거나 반환될 때까지 데이터 수취자는 계속해서 본 표준 조항의 준수를 보장해야 합니다. 이전된 개인 데이터의 반환 또는 삭제를 금지하는 현지 법률이 데이터 수취자에게 적용되는 경우, 데이터 수취자는 본 표준 조항의 준수를 계속 보장하고 해당 현지 법률에 따라 요구되는 한도와 기간에 따라 데이터를 처리할 것임을 보증합니다.
(e) 각 당사자는 (i) 유럽위원회가 규정(EU) 2016/679의 제45(3)조에 따라 본 표준 조항이 적용되는 개인 데이터의 이전을 다루는 결정을 채택하거나, (ii) 규정(EU) 2016/679가 개인 데이터가 이전되는 목적지 국가의 법적 프레임워크의 일부가 되는 경우 본 표준 조항에 구속되는 계약을 해제할 수 있습니다. 이는 규정(EU) 2016/679에 따라 해당 처리에 적용되는 다른 의무에 영향을 미치지 않습니다.
제17조 준거법
본 표준 조항은 EU 회원국 중 한 국가의 법률에 의해 규율되지만, 단 해당 법률이 제3자 수혜자 권리를 허용하는 경우에 한합니다. 당사자들은 이 법이 독일 함부르크의 법률이라는 데 동의합니다.
제18조
법정지 및 관할권 선택
(a) 본 표준 조항으로 인해 발생하는 모든 분쟁은 EU 회원국 중 한 국가의 법원에서 해결되어야 합니다.
(b) 당사자들은 이것이 독일 함부르크의 법원이 되어야 한다는 데 동의합니다.
(c) 데이터 주체는 또한 자신이 습관적으로 거주하는 회원국의 법원에 데이터 전달자 및/또는 데이터 수취자를 상대로 법적 절차를 제기할 수 있습니다.
(d) 당사자들은 이러한 법원의 관할권에 복종하는 데 동의합니다.
1 데이터 전달자가 컨트롤러로서 유럽연합의 기관 혹은 기구를 대신하여 규정(EU) 2016/679의 적용을 받는 프로세서인 경우, 규정(EU) 2016/679가 적용되지 않는 다른 프로세서를 고용할 때(하위 처리) 본 표준 조항에 의존하는 것은 본 표준 조항과 규정(EU) 2018/1725의 제29(3)조에 따른 컨트롤러와 프로세서 간 계약 혹은 기타 법률에 명시된 데이터 보호 의무가 양립되는 범위 내에서 유럽연합 기관의 개인 데이터 처리와 관련하여 유럽연합의 기관, 기구, 사무실 및 관청에 의한 개인 데이터 처리에 관한 자연인의 보호 및 그러한 데이터의 자유로운 이동에 관련되는 2018년 10월 23일자 유럽 의회 및 이사회 규정(EU) 2018/1725의 제29(4)조 및 폐지 규정(EC) No 45/2001 및 결정 No 1247/2002/EC(OJ L 295, 21.11.2018, p. 39)의 준수를 보장합니다. 이는 특히 컨트롤러와 프로세서가 결정 2021/915에 포함된 표준 계약 조항에 의존하는 경우에 현저하게 적용됩니다.
2 이를 위해서는 규정 (EU) 2016/679의 계약의 배경 제26호에 따라 개인이 더 이상 누구에 의해서도 식별될 수 없고 이 처리가 되돌릴 수 없는 방식으로 데이터를 익명화해야 합니다.
3 유럽경제지역 협약(EEA 협약)은 유럽연합의 내부 시장을 EEA 3개 국가인 아이슬란드, 리히텐슈타인 및 노르웨이로 확장하도록 규정하고 있습니다. 규정(EU) 2016/679를 포함한 EU 데이터 보호 법률은 EEA 계약의 적용을 받으며 그에 부속된 부록 XI에 통합되었습니다. 따라서 데이터 수취자가 EEA에 위치한 제3자에게 공개하는 것은 본 표준 조항의 목적상 제3자 이전에 해당되지 않습니다.
4 유럽경제지역 협약(EEA 협약)은 유럽연합의 내부 시장을 EEA 3개 국가인 아이슬란드, 리히텐슈타인 및 노르웨이로 확장하도록 규정하고 있습니다. 규정(EU) 2016/679를 포함한 EU 데이터 보호 법률은 EEA 계약의 적용을 받으며 그에 부속된 부록 XI에 통합되었습니다. 따라서 데이터 수취자가 EEA에 위치한 제3자에게 공개하는 것은 본 표준 조항의 목적상 제3자 이전에 해당되지 않습니다.
5 규정(EU) 2016/679의 제28(4)조를 참조하시고, 컨트롤러가 EU 기관 또는 기구인 경우 규정(EU) 2018/1725의 제29(4)조를 참조하십시오.
6 유럽경제지역 협약(EEA 협약)은 유럽연합의 내부 시장을 EEA 3개 국가인 아이슬란드, 리히텐슈타인 및 노르웨이로 확장하도록 규정하고 있습니다. 규정(EU) 2016/679를 포함한 EU 데이터 보호 법률은 EEA 계약의 적용을 받으며 그에 부속된 부록 XI에 통합되었습니다. 따라서 데이터 수취자가 EEA에 위치한 제3자에게 공개하는 것은 본 표준 조항의 목적상 제3자 이전에 해당되지 않습니다.
7 여기에는 인종 또는 민족적 기원, 정치적 견해, 종교적 또는 철학적 신념, 노동 조합 가입 여부, 자연인을 고유하게 식별할 목적으로 하는 유전자 데이터 또는 생체 데이터, 건강 또는 개인의 성생활 또는 성적 지향에 관한 데이터, 또는 형사 유죄 판결 또는 범죄와 관련된 데이터를 드러내는 개인 데이터가 이전 및 추가적인 처리와 관련된 것인지 여부가 포함됩니다.
8 이 요건은 제7조에 따라 적절한 모듈 하에 본 표준 조항에 동의하는 하위 프로세서에 의해 충족될 수 있습니다.
9 이 요건은 제7조에 따라 적절한 모듈 하에 본 표준 조항에 동의하는 하위 프로세서에 의해 충족될 수 있습니다.
10 이 기간은 요청의 복잡성과 횟수를 고려하여 필요한 범위 내에서 최대 2개월 더 연장될 수 있습니다. 데이터 수취자는 데이터 주체에게 그러한 연장을 정확하고 신속하게 통지해야 합니다.
11 데이터 수취자는 중재 판정 집행에 관한 뉴욕 협약을 비준한 국가에 설립된 경우에만 중재 기구를 통해 독립적인 분쟁 해결을 제공할 수 있습니다.
12 이러한 법률 및 관행이 본 표준 조항의 준수에 미치는 영향과 관련하여, 전반적인 평가를 위해 다양한 요소들이 고려될 수 있습니다. 이러한 요소로서 대표성이 있을 만큼 충분한 기간에 걸쳐, 공공 당국으로부터의 공개 요청이나 그러한 요청의 부재에 관한 이전 사건의 적절하고 문서화된 실무 경험이 포함될 수 있습니다. 이는 특히 실사를 거쳐 지속적으로 작성되고 고위 경영진 수준에서 인증을 부여한 내부 기록 또는 기타 문서를 의미하되 단, 제3자와 합법적으로 공유할 수 있는 정보여야 합니다. 데이터 수취자가 본 표준 조항을 준수하는 것이 금지되지 않을 것이라는 결론을 내리기 위해 이러한 실무 경험에 의존하는 경우, 관련성이 있는 객관적 요소에 의해 뒷받침되어야 하며, 당사자들은 이러한 요소가 신뢰성 및 대표성이란 관점에서 이러한 결론을 뒷받침하기에 충분한 가중치를 갖는지 여부를 신중하게 고려해야 합니다. 특히, 당사자들은 자신들의 실무 경험이 확인되고 동일한 부문 내 요청의 존재 또는 부재에 관한 공개적으로 이용 가능하거나 달리 접근 가능한 신뢰할 수 있는 정보 및/또는 판례나 독립 감독 기구의 보고서와 같은 실제 법률 적용과 모순되지 않는지 고려해야 합니다.
부속서
안내문
각 데이터 이전 또는 이전의 범주에 적용되는 정보를 명확히 구별하고, 이와 관련하여 당사자들의 데이터 전달자(들) 및/또는 데이터 수취자(들)로서의 각 역할(들)을 결정하는 것이 가능해야 합니다. 이는 반드시 각 이전/이전 범주 및/또는 계약 관계에 대한 별도의 부속서를 작성하고 서명할 것을 요구하지 않으며, 이 투명성은 하나의 부속서를 통해 [달성될] 수 있습니다. 그러나, 충분한 명확성을 보장하기 위해 필요한 경우, 별도의 부속서를 사용해야 합니다.
부록 I
(본 부속서의 별표 1을 참조하십시오.)
부록 II – 데이터 보안을 보장하기 위한 기술적 및 조직적 조치를 포함한 기술적 및 조직적 조치
(본 부속서의 별표 2를 참조하십시오.)
부록 III – 하위 프로세서 목록
(본 부속서의 별표 3을 참조하십시오.)
* * *