CLOUD SOFTWARE GROUP 데이터 처리 부칙

CLOUD SOFTWARE GROUP 데이터 처리 부칙

버전: 2022년 9월 30일

1. 범위, 우선 순위 및 당사자

본 데이터 처리 부칙("DPA")은 클라우스 서비스, 기술 지원 서비스 또는 컨설팅 서비스("서비스")를 제공할 때 고객을 대신하여 Cloud Software Group 및 해당 계열사의 개인 데이터 처리에 적용된다. 해당 서비스는 관련된 라이선스 및/또는 서비스 계약과 적용 가능한 서비스 주문(통칭하여 "계약")에 설명되어 있다. 계약과 이 DPA 의 약관이 상충하는 경우 이 DPA 의 약관이 우선한다. 이 DPA 와 EU 표준 계약 조항 및/또는 UK SCC 부칙(해당하는 경우)의 약관이 상충하는 경우 EU 표준 계약 조항 및/또는 UK SCC 부칙(해당하는 경우)의 약관이 우선한다.

본 DPA 는 최종 사용자 고객("고객")과 Cloud Software Group Holdings, Inc. 계약 주체("Cloud Software Group", "당사") 간의 계약이며 참조를 위해 계약에 포함한다.

2. 정의

"귀하"는 본 DPA 에 따라 지정된 최종 고객을 말한다.

"계열사"는 본 DPA 에 따른 개인 데이터 처리에서 당사를 도울 수 있는 Cloud Software Group Holdings, Inc.의 자회사(Citrix Systems, Inc. 및 TIBCO Software, Inc.포함)를 말한다.

"집계"는 해당하는 데이터 보호법이 적용되는 개인에 연결되거나 연결 가능하지 않도록 신원 정보가 제거된 개인의 그룹 또는 범주와 관련된 정보를 말한다.

"해당하는 데이터 보호법"은 (i) EU General Data Protection Regulation 2016/679("GDPR")와 GDPR 을 시행하거나 보완하는 법률 또는 규정 및 (ii) 현재 효력이 있고 본 계약에 따른 개인 데이터의 처리에 적용되는 효력을 가지게 되는 다른 모든 국제, 연방, 주, 지방 및 지역의 개인 정보 보호 또는 데이터 보호 법률, 규칙, 규정, 지침 및 정부 요건을 말한다.

"고객 콘텐츠"는 Cloud Software Group 이 서비스를 수행하기 위해 액세스 또는 수신하거나 저장 또는 처리를 위해 보내거나 업로드하는 모든 데이터를 말한다. 또한 여기에는 시스템 또는 네트워크 구성 및 제어 등의 환경과 관련된 전매 기술 정보가 포함된다.

"유럽 경제 영역"은 본 DPA 의 목적에서 유럽 경제 지역, 스위스 및 영국을 말한다.

"2021 년 EU 표준 계약 조항" 또는 "2021 년 EU SCC"는 EU Commission Decision 2021/914/EU 또는 EU

집행위원회가 승인한 모든 승계 조항에 부속되는 계약 조항을 말한다.

"개인 데이터"는 서비스 수행과 관련하여 처리되고 고유한 개인을 직접 또는 간접적으로 식별할 수 있는 고객 콘텐츠, 특히 이름, 식별 번호, 위치 데이터, 온라인 식별자 또는 개인의 신체적, 생리적, 유전적, 정신적, 경제적, 문화적 또는 사회적 신분과 관련된 하나 이상의 요소와 같은 식별자를 참조하여 식별할 수 있거나 해당하는 데이터 보호법에 따라 이러한 정보가 정의될 수 있는 고객 콘텐츠를 말한다.

"개인 데이터 침해"는 서비스 수행을 위해 전송, 저장 또는 달리 처리되는 개인 데이터의 우발적이거나 불법적인 파기, 손실, 변경, 무단 공개 또는 액세스로 이어지는 보안 침해에서 개인 데이터의 보안을 침해하는 것을 말한다.

"하청 처리자"는 계약에 따른 서비스 수행을 위해 개인 데이터의 처리를 돕는 데 관여하는 제 3 자를 말한다.

"UK SCC 부칙"은 영국 정보 위원회에서 발행한 EU 위원회 표준 계약 조항(vB1.0 또는 후속 버전)에 대한 국제 데이터 전송 부칙을 말한다.

본 DPA 에 사용되었으나 정의되지 않은 용어(예: "비즈니스 목적, 소비자, 제어자, 데이터 주체, 처리, 처리자")는 계약 또는 해당하는 데이터 보호법에 명시된 것과 동일한 의미를 가진다.

3. 데이터 제어자와 데이터 처리자의 역할

본 DPA 의 목적에서 고객은 Cloud Software Group 이 계약의 약관에 따라 서비스를 수행하는 과정에서 처리하는 개인 데이터의 데이터 제어자이다. 고객은 서비스 수행을 위해 당사에 개인 데이터를 제공하는 것을 통제하는 해당하는 데이터 보호법에 따른 제어자로서의 의무를 다할 책임이 있으며 이러한 의무는 동의를 구하거나, 고지를 제공하거나, 필요한 법적 기준 설정 및 감독 기관의 문의에 대한 신속한 응답을 포함하되 이에 국한되지 않는다. 계약에 명시되지 않은 한 고객은 계약과 본 DPA 에서 합의된 것을 초과하는 특정 데이터 보호 요구 사항을 시행하는 개인 데이터에 대한 액세스를 당사에 제공하지 않으며 서비스를 수행하는 데 필요한 개인 데이터로 당사의 액세스를 제한한다.

Cloud Software Group 은 이러한 개인 데이터에 있어서 데이터 처리자이자 서비스 공급자이다. 고객이 개인 데이터의 처리자 역할을 하는 경우는 예외이며 이 경우 당사는 하청 처리자이다. 고객의 개인 데이터는 독점적 자산이며 본 계약 조항에 따른 기밀 정보로 유지된다. Cloud Software Group 은 계약과 본 DPA 에 따른 개인 데이터의 처리에 적용되는 해당하는 데이터 보호법에 따른 의무를 다할 책임이 있다.

4. Cloud Software Group 의 처리 목적

6 항에 설명된 하청 처리자와 계열사를 포함하여 본 DPA 에 따른 권한을 수행하는 사람과 Cloud Software Group 은 계약에 명시된 서면 지침, 본 DPA 및 해당하는 데이터 보호법에 따라 서비스를

수행할 목적으로만 개인 데이터를 처리한다. 또한 당사는 Cloud Software Group 제품 및 서비스의 제공, 보안 및 개선을 위해 서비스의 일부로 개인 데이터를 집계할 수 있다.

당사는 법률에 의해 요구되지 않는 한 소환장, 사법 또는 행정 명령이나 기타 구속력 있는 기구("요구")에 부응하여 개인 데이터를 공개하지 않는다. 당사는 법률에 의해 금지되지 않는 한 요구를 즉시 고지하며 시의적절한 부응을 용이하게 하는 합당한 지원을 제공한다. 당사는 본 DPA 의 약관에 따라 개인 데이터를 보호하는 의무를 다하기 위해 비즈니스의 전부 또는 일부에 대한 예상 또는 실제 합병, 인수, 매각, 파산 또는 기타 구조 조정과 관련된 개인 데이터를 계열사에 제공할 수 있다.

5. 데이터 주체 및 개인 데이터의 범주

고객은 서비스 수행을 위해 당사에 액세스를 제공할 개인 데이터를 결정한다. 여기에는 다음 범주에 속하는 데이터 주체의 개인 데이터에 대한 처리가 포함될 수 있다.

• 직원 및 지원자

• 고객 및 최종 사용자

• 공급업체, 대리인 및 계약업체

개인 데이터의 처리에는 다음 범주의 개인 데이터도 포함될 수 있다.

• 이름, 성, 생일 및 집 주소와 같은 직접적인 신분 정보

• 전화 번호, 휴대폰 번호, 전자 메일 주소, 우편 주소 및 팩스 번호와 같은 통신 데이터

• 연령, 생일, 결혼 상태, 배우자 또는 동거인과 자녀 수 및 자녀 이름과 같은 가족 및 기타 개인 신상 정보

• 고용주, 회사 주소, 회사 전자 메일 및 전화 번호, 직함 및 직무, 연봉, 관리자, 고용 ID,

시스템 사용자 이름 및 암호, 실적 정보와 이력서 데이터와 같은 고용 정보

• 금융, 구매한 제품 또는 서비스, 장치 식별자, 온라인 프로필/동작 및 IP 주소와 같은 기타 데이터

• 제품 또는 서비스의 제공과 관련하여 고객이 당사에 액세스를 제공한 기타 개인 데이터

6. 하청 처리

본 DPA 의 약관에 따라 고객은 개인 데이터의 처리에 있어서 하청 처리자 및 계열사와 연계할 권한을 당사에 부여한다. 이러한 하청 처리자와 계열사는 계약 및 본 DPA 에서 Cloud Software Group 에 요구하는 데이터 보호 수준 이상을 제공할 것을 요구하는 서면 계약으로 구속되며, 그러한 조치 이행 확인을 위해 고안된 상업상 합리적인 조치를 시행한다. 고객은 당사에 하청 처리자에 대해 감사를 시행하거나 하청 처리자의 운영과 관련된 기존의 타사 감사 보고서를 입수하여 이러한 요구 사항의 준수를 확인할 것을 요청할 수 있다. 또한 고객은 서비스 제공에 관여하는 하청 처리자 또는 계열사와

함께 당사가 마련한 데이터 보호 약관의 복사본을 요청할 수 있다. 계약, 본 DPA 및 해당하는 데이터 보호법의 요구 사항에 대한 이러한 하청 처리자 및 계열사의 규정 준수 확인 책임은 항상 당사에 있다.

하청 처리자 및 계열사의 목록과 목록 업데이트를 고지받는 메커니즘은 xxxxx://xxx.xxxxxx.xxx/xxx/xxxxxxxxx/xxxxxxxxxxxx-xxxx.xxxx 에서 확인할 수 있다. 개인 데이터에 대한 액세스 권한을 새 하청 처리자에게 부여하기 최소 14 일 전에 당사는 하청 처리자 및 계열사의 목록을 업데이트한다. Cloud Software Group 이 처리자(하청 처리자가 아님)인 경우 다음 약관이 적용된다.

• 이러한 하청 처리자 또는 계열사가 개인 데이터를 보호할 수 없는 경우 이러한 불능과 관련된

합당한 근거에 따라 귀하가 새 하청 처리자 또는 계열사를 승인하지 않는 경우 귀하는 고지 기간이 종료되기 전에 비승인의 근거를 설명하는 서면 종료 고지를 제공하여 영향을 받는 서비스에 대한 모든 구독을 위약금 없이 종료할 수 있다.

• 영향을 받는 서비스가 제품군의 일부인 경우(또는 유사한 서비스의 단일 구매인 경우) 이러한 모든 종료는 전체 제품에 적용된다.

• 이러한 종료 후에도 고객은 구매 주문 또는 ELA 리셀러 및/또는 Cloud Software Group 과의 다른 계약상 의무에 따라 요구되는 모든 지불을 이행할 의무가 있으며 ELA 리셀러 및/또는 Cloud Software Group 에 환불 또는 지불 반환을 요구할 수 없다.

7. 개인 데이터의 해외 전송

서비스에 따라 고객과 Cloud Software Group 은 개인 데이터의 저장 위치를 합의할 수 있다. 전술한 사항에도 불구하고, 당사는 서비스를 수행하는 데 필요한 경우 개인 데이터를 미국 및/또는 다른 제 3 국으로 전송할 수 있으며 고객은 서비스를 제공하는 데 필요한 개인 데이터를 처리하기 위해 이러한 모든 전송을 수행할 것을 Cloud Software Group 에 명한다. 당사는 이러한 개인 데이터의 저장 또는 처리 위치에 관계없이 본 DPA 의 요구 사항을 따른다.

해당 처리가 (i) 고객과 유럽 경제 지역 내에 위치한 Cloud Software Group, 계열사 또는 하청 처리자 간에 또는 (ii) 다른 해당하는 데이터 보호법의 적용을 받는 Cloud Software Group, 계열사 또는 하청 처리자에 대한 개인 데이터의 해외 전송에 해당하는 경우, 이러한 전송에는 본 DPA 및 해당하는 데이터 보호법에 명시된 데이터 보호 약관이 적용된다.

(i) 유럽 집행위원회 또는 영국 정보위원회에서 충분한 수준의 데이터 보호가 제공되지 않는 것으로 간주한 관할권 및 (ii) 이러한 개인 데이터의 해외 전송에 대한 다른 법적 기준이 없는 관할권에 있는 Cloud Software Group, 계열사 또는 하청 처리자에 해당하는 유럽 경제 영역의 데이터 보호법에 따라 개인 데이터의 해외 전송이 처리에 포함되는 경우 이러한 전송에는 2021 년 EU 표준 계약 조항 및/또는 UK SCC 부칙(해당하는 경우) 또는 해당하는 데이터 보호법에 따라 제공되는 다른 유효한 전송 메커니즘이 적용된다. 해외 전송의 경우:

• 2021 년 EU SCC 가 적용되는 경우 양 당사자는 수정되지 않은 형태의 2021 년 SCC 를 참조로 포함한다(해당하는 경우 고객이 제어자이고 Cloud Software Group 이 처리자인 모듈 2 또는 고객과 Cloud Software Group 이 모두 처리자인 모듈 3).

• UK SCC 부칙이 적용되는 경우 양 당사자는 수정되지 않은 형태의 UK SCC 를 참조로 포함한다.

Citrix 서비스에 대한 2021 년 EU SCC 와 UK SCC 부칙은 Citrix 트러스트 센터(xxxxx://xxx.xxxxxx.xxx/xx-xx/xxxxx/xxxxx-xxxxxx/xxxxxxxxxx.xxxx)xx 사용할 수 있으며 고객의 위치와 관계없이 고객과 Citrix Systems, Inc. 간의 계약이어야 한다. TIBCO 서비스에 대한 2021 년 EU SCC 와 UK SCC 부칙은 TIBCO 웹 사이트( xxxxx://xxxxx.xxxxx.xxx/#xxxx-xxxxxxxxxx- terms)에서 확인할 수 있다. 이러한 목적을 위해 고객은 고객 및 고객의 주체를 대표하여 데이터를 내보내는 당사자 역할을 하며 Citrix 또는 TIBCO(해당하는 경우)는 해당 계열사를 대표하여 데이터를 가져오는 당사자 역할을 한다. 2021 년 EU SCC 의 7 절의 목적에서 모든 가입 주체는 해당하는 권리를 귀하를 통해 행사한다. 고객은 Citrix 트러스트 센터 또는 TIBCOhttps://xxxxx.xxxxx.xxx/#xxxx- processing-terms 에서 사용할 수 있는 Citrix 의 2021 년 EU SCC 및 UK SCC 부칙을 공식적으로 행사할 수 있다.

8. 데이터 주체의 요청

당사는 해당하는 데이터 보호법에 따른 하나 이상의 권리를 행사하고자 하는 데이터 주체의 요청을 이행할 수 있는 권한과 데이터 주체의 개인 데이터를 데이터 처리자로서의 당사의 역할에 따라 고객에게 제공한다. 당사는 고객의 부응을 지원하기에 합당한 지원을 제공한다.

당사가 고객의 데이터 주체로부터 해당하는 데이터 보호법에 따른 하나 이상의 권리를 행사하기 위한 요청을 직접 받는 경우 법률에 의해 금지되지 않는 한 데이터 주체를 고객에게 전송한다.

9. 보안

당사는 개인 데이터의 남용 또는 우발적/불법적 파기, 손실, 변경, 무단 공개 또는 액세스로부터 개인 데이터를 보호하도록 설계된 적절한 행정, 기술 및 조직적 관행을 구현하고 유지한다. 이러한 보안 관행은 xxxxx://xxx.xxxxxx.xxx/xxx/xxxxxxxxx/xxxxxx-xxxxxxxx-xxxxxxxx-xxxxxxx.xxxx 에 제공된 Cloud Software Group 서비스 보안 별첨에 명시되어 있다. 당사는 보안 관행을 지속적으로 강화 및 개선하며, 또한 여기에 설명된 제어를 수정할 권리를 가진다. 모든 수정은 해당하는 서비스 기간의 보안 수준을 약화하지 않는다.

당사의 직원은 적절한 기밀 유지 계약으로 구속되며 정기적인 데이터 보호 교육을 받고, 회사 개인 정보 보호와 보안 정책 및 절차를 준수해야 한다.

10. 개인 데이터 침해

당사는 당사의 소유, 관리 또는 제어하에 있는 개인 데이터가 관련된 개인 데이터 침해를 인지하는 즉시 고객에게 이를 고지한다. 이러한 고지에는 최소한 다음이 포함된다. (i) 가능한 경우 관련된 데이터 주체의 범주 및 대략적인 수와 관련된 개인 데이터 레코드의 범주 및 대략적인 수를 포함하여 개인 데이터 침해의 본질을 설명한다. (ii) 데이터 보호 책임자의 이름과 연락처 세부 정보 또는 추가 정보를 얻을 수 있는 다른 연락처를 제공한다. (iii) 해당하는 경우 가능한 부작용을 완화하는 조치를 포함하여 개인 데이터 침해를 해결하기 위해 수행되거나 수행이 제안된 조치를 설명한다. 고객은 개인 및/또는 감독 기관에 대한 모든 공개 진술 또는 필요한 고지의 내용을 당사와 공동으로 작성한다.

11. 귀하의 지침과 정보 및 지원 제공

고객은 개인 데이터의 처리와 관련하여 해당하는 데이터 보호법에 따른 데이터 제어자와 데이터 처리자로서의 의무를 이행하는 데 고객과 Cloud Software Group 에 필요한 추가 지침을 당사에 제공할 수 있다. 당사는 고객의 지침을 추가 비용 없이 준수하며 지침을 준수하는 과정에서 계약에 따른 서비스 범위에 포함된 것 이상의 비용이 발생하는 경우 양 당사자는 선의의 협상을 통해 추가 비용을 결정하는 데 동의한다. 당사는 고객의 지침이 해당하는 데이터 보호법과 일치하지 않는 것으로 판단되는 경우 고객에게 즉시 알리며 이 경우 당사는 개인 데이터에 대한 고객의 처리를 독립적으로 조사하거나 확인할 의무가 없다.

당사는 고객이 해당하는 개인 데이터 보호법에 따른 의무를 준수하는 데 필요한 합당한 정보를 제공한다. EU GDPR(General Data Protection Regulation)에 따라 적절한 데이터 보안 조치를 구현하고, 데이터 보호 영향 평가를 시행하고, 감독 기관에 자문을 구하며(처리의 본질과 당사에 제공되는 정보를 고려하여), 본 DPA 에 추가로 명시된 의무를 이행하는 것이 포함된다.

12. 개인 데이터의 반환 및 삭제

당사는 서비스 제공이 끝난 후 모든 개인 데이터를 검색할 수 있는 기회를 고객에게 반환하거나 제공하며 기존 복사본을 삭제한다. 클라우드 서비스와 관련하여 고객은 계약 종료 후 30 일간 고객의 개인 데이터를 다운로드할 수 있으며 기술 지원에 다운로드 액세스 권한 및 지침을 문의해야 한다. 서비스 제공이 끝난 후 30 일 내에 고객이 이 목적으로 기술 지원에 문의하지 않은 경우 당사는 (i) 정상적으로 삭제된 백업 및 (ii) 해당하는 법률에 따라 보존된 개인 데이터를 제외하고 고객의 액세스 기한이 경과하는 즉시 개인 데이터를 삭제한다. (i) 또는 (ii)의 경우 당사는 이러한 데이터가 삭제되기 전까지 본 DPA 의 관련된 조항을 계속해서 준수한다. 요청 시 삭제 항목에 대한 서면 확인서를 제공하도록 한다.

13. 감사

위의 11 항에 따라 고객이 Cloud Software Group 에 정보를 요청할 때 이러한 요청이 해당하는 데이터 보호법에 따른 고객의 의무를 충족하지 않는 경우 고객은 연간 최대 1 회 또는 해당하는 데이터 보호법이 요구하는 대로 고객의 개인 데이터에 대한 당사의 처리에 대해 감사를 시행할 수 있다. 감사를 요청하려면 상세한 감사 계획 제안서를 3 주 전에 당사에 제공해야 하며 당사는 고객과 성실히 협력하여 최종 서면 계획에 합의한다. 이러한 모든 감사는 고객의 사비로 정상 업무 시간 내에 당사 비즈니스에 대한 중단 없이 당사의 보안 규칙 및 요구 사항에 따라 시행되어야 한다. 모든 감사 이전에 당사는 고객의 감사 의무를 충족하기 위해 합당하게 요청된 정보와 관련된 증거를 고객에게 제공할 것을 약속하며 고객은 모든 독립 감사를 시작하기 전에 이 정보를 검토할 것을 약속한다. 요청된 감사 범위에 자격이 있는 외부 기관에 의해 12 개월 안에 당사에 발급된 감사 보고서가 포함되는 경우 양 당사자는 고객의 감사 범위를 적절히 축소하는 데 동의한다.

고객은 당사와 계약한 외부 감사 기관을 사용할 수 있으며 이는 합당하지 않은 이유로 거부되지 않는다. 외부 감사 이전에 이러한 감사 기관은 당사와 적절한 기밀 유지 계약을 체결해야 한다. 외부 기관이 해당하는 데이터 보호 법률에 따라 당사를 직접 감사할 수 있는 감독 기관인 경우 당사는 해당하는 법률에 따라 조정을 통해 이 감독 기관에 합당한 지원을 제공한다.

고객은 해당하는 데이터 보호법에 의해 금지되지 않는 한 최종 보고서의 복사본을 당사에 제공하고, 감사 결과를 계약 약관(또는 고객과 Cloud Software Group 이 체결한 기밀 유지 계약)에 따라 기밀 정보로 취급하며, 계약, 본 DPA 및 해당하는 데이터 보호법에 대한 Citrix 의 규정 준수를 평가하는 목적으로만 사용한다.

14. 데이터 보호 책임자

다음 담당자에게 문의할 수 있다. 수취인: Cloud Software Group Systems, Inc. 글로벌 데이터 보호 책임자, 주소: Cloud Software Group Systems, Inc. 000 Xxxxxxxx Xxxxxx, Xxxxxxxxxx XX 00000 XXX. 귀하가 데이터 보호 책임자를 지명한 경우 이들의 연락처 정보를 서비스 주문에 포함할 수 있다.

15. 기간

본 DPA 는 고객의 서비스 구입시 적용된다. 계약의 종료는 본 DPA 에 따른 각 당사자의 의무를 면제하지 않는다.