클라이언트 규정 준수 데이터 전송 정책

언어 선택:

유럽 연합 일반 데이터 보호 규정 및 데이터 전송 부록

본 데이터 처리 부록(이하 “부록”)은 Guidepoint Global, LLC와 고객 간의 현재 계약(이하 “계약” 또는 “계약”이라고 함)의 일부이며 이를 수정합니다. 본 부록은 730 Third Avenue, New York, NY 10017에 주 사무소를 둔 Guidepoint Global, LLC(이하 “처리자” 및/또는 “데이터 수입자”)와 고객(이하 “관리자” 및/또는 “데이터 수출자”) 간에 체결되며, 고객은 부록의 내용을 인지하고 이에 대해 이의를 제기하지 않기로 결정함으로써 부록의 당사자로 간주됩니다. 본 부록은 계약 날짜 또는 2018년 5월 25일 중 더 늦은 날짜(이하 “발효일”)를 기준으로 작성되고 체결됩니다. 컨트롤러 및 프로세서는 본 계약에서 개별적으로 “당사자”로 지칭되기도 하고 집합적으로 “당사자들”로 지칭되기도 합니다.

본 부록의 목적상, 달리 명시되지 않는 한, 본 문서의 대문자로 표시된 용어는 유럽 연합 일반 데이터 보호 규정(“GDPR”) 또는 제3국에 설립된 데이터 처리자로의 개인 데이터 전송에 대한 표준 계약 조항에 사용된 정의와 동일한 의미를 가지며, 이는 “전송에 대한 표준 계약 조항에 대한 2010년 2월 5일 유럽연합 집행위원회 결정 2010/87/EC”의 부록에 포함되어 있습니다. 제3국에 설립된 처리자에 대한 개인 데이터”(“표준 계약 조항” 또는 “조항”은 부록 1로 첨부됨).

이 부록은 유럽 연합의 데이터 주체로부터 수집되거나 데이터 주체가 제공하는 개인 데이터에 적용됩니다. 이 부록은 EU에서 처리되는 모든 개인 데이터에도 관련 부분에 적용됩니다.

리 사이틀

반면

본 계약에 따른 처리자의 서비스 제공에 따라, 처리자는 본 계약의 부록 1에 자세히 설명된 대로 GDPR에 의해 정의된 개인 데이터를 포함할 수 있는 특정 데이터 파일의 보관을 받거나 저장, 처리 또는 액세스할 수 있습니다. 그리고

반면

양 당사자는 GDPR에 따라 데이터 주체의 개인 정보 보호와 관련하여 적절한 보호 장치가 마련되어 있는지 확인하고자 하며, 따라서 본 계약에 명시된 약관에 따라 계약을 수정하고자 합니다. 그리고

반면

유럽 데이터 보호법은 EU/EEA 국가의 데이터 수출자가 비 EU/EEA 국가로의 개인 데이터 전송에 대해 적절한 보호를 제공할 것을 요구하며, 이러한 보호는 데이터 수입자가 2004년 12월 27일 위원회 결정 2004/915/EC(수시로 수정 또는 교체됨)에 따라 제3국으로의 개인 데이터 전송에 대한 표준 계약 조항을 체결하도록 요구함으로써 강화될 수 있습니다.

그러므로, 이제,

본 계약에 포함된 상호 약속 및 규약, 그리고 이에 따른 수령 및 충분성이 인정되는 기타 선량하고 가치 있는 대가를 고려하여, 양 당사자는 다음과 같이 동의합니다.

계약 개정

1. 약관의 개정

  • 1.1 개정. 이에 따라 양 당사자는 본 계약에 이 부록을 추가하여 계약을 수정한다는 데 동의합니다.
  • 1.2 부록의 효력. 본 계약에 의해 구체적으로 수정되지 않은 서비스 계약의 모든 조항은 완전한 효력을 유지합니다. 본 부록의 조항과 서비스 계약의 조항 사이에 화해할 수 없는 충돌이 있는 경우, 본 부록의 조항이 우선합니다. 본 부록의 조항이 무효가 되거나 무효가 되는 경우, 본 부록의 다른 조항의 유효성은 본 계약에 의해 영향을 받지 않으며, 본 조항의 각 조항 및 조항은 법률이 허용하는 최대한의 범위 내에서 유효하고 집행됩니다.
  • 1.3 추가 개정. 본 조항의 조항을 포함한 본 계약의 조항은 개정, 수정 또는 보충될 수 없으며, 각 당사자의 권한을 부여받은 대리인의 사전 서면 동의 없이는 본 계약 조항의 이탈에 대한 포기 또는 동의를 제공할 수 없습니다. 고의적이든 아니든 일방 당사자가 본 계약에 따른 불이행, 허위 진술 또는 보증 또는 계약 위반에 대한 포기는 이전 또는 이후의 불이행, 허위 진술 또는 본 계약에 따른 보증 또는 계약 위반으로 확장되는 것으로 간주되거나 이전 또는 이후의 그러한 사건으로 인해 발생하는 모든 권리에 어떤 식으로든 영향을 미치는 것으로 간주되지 않습니다.

2. 데이터 처리

  • 2.1 컨트롤러 지침. 프로세서는 컨트롤러를 대신하고 컨트롤러의 이익을 위해, 그리고 컨트롤러의 문서화된 지침에 따라서만 컨트롤러의 개인 데이터를 처리해야 합니다. 양 당사자는 해당 서비스 수준 계약 또는 이에 상응하는 문서를 포함한 계약이 프로세서에 대한 관리자의 서면 지침을 구성한다는 데 명시적으로 동의하고 규정합니다. 모든 추가 처리 지침은 양 당사자가 서면으로 상호 동의해야 합니다. 처리자는 처리자의 의견에 따라 지시가 관련 법률을 위반하는 경우 즉시 관리자에게 알려야 합니다.
  • 2.2 처리자에게 이전할 수 있는 권한. 관리자는 컨트롤러가 필요한 경우 동의를 포함하여 모든 개인 데이터 및 컨트롤러의 서비스 액세스 또는 사용과 관련된 기타 데이터 또는 정보를 프로세서에게 합법적으로 전송할 수 있는 권한과 권리를 가지고 있음을 진술하고 보증합니다.
  • 2.3 관련 법률 준수 컨트롤러는 (i) GDPR을 포함하되 이에 국한되지 않는 개인 데이터의 개인 정보 보호, 기밀 유지 및/또는 보안과 관련하여 현재 시행 중이고 효력이 발생하는 적용 가능한 국제, 연방, 주, 지방 및 현지 법률, 규칙, 규정, 지침 및 정부 요구 사항을 준수할 것임을 진술하고 보증합니다. (ii) 개인 정보 보호, 데이터 보호, 기밀성 또는 정보 보안에 관한 해당 산업 표준(“PCI DSS”)을 포함하되 이에 국한되지 않는 해당 산업 표준; (iii) 개인 데이터의 개인 정보 보호, 기밀 유지 및/또는 보안 또는 프로세서가 관리자에게 서면으로 관리자에게 제공하는 해당 개인 정보 보호 정책, 진술 또는 통지와 관련하여 현재 유효하고 효력이 발생하는 프로세서의 서면 요구 사항의 해당 조항(통칭하여 “관련 법률“).

3. 하위 처리자

  • 3.1 하위 처리자의 참여. 관리자는 (a) 처리자가 서비스 제공과 관련하여 처리자에 의해 통제되거나, 처리자를 통제하거나, 처리자와 공동으로 통제하는 법인(이하 “계열사”)을 보유할 수 있음을 명시적으로 인정하고 동의합니다. (b) 처리자와 처리자의 계열사는 각각 서비스 제공과 관련하여 다른 제3자 처리자(총칭하여 “하위 처리자“)를 고용할 수 있습니다.
  • 3.2 하위 처리자의 의무. 모든 하위 처리자는 처리자가 보유하고 있는 서비스를 제공하는 데 필요한 경우에만 개인 데이터를 처리할 수 있으며, 이러한 하위 처리자는 다른 목적으로 개인 데이터를 처리할 수 없습니다. 이러한 하위 처리자는 본 계약에 명시된 것과 동일한 데이터 보호 의무를 포함하는 서면 계약에 따라 서비스를 제공합니다. 프로세서는 계약에 달리 명시된 경우를 제외하고 본 부록의 조건에 따라 각 하위 프로세서의 서비스를 직접 수행하는 경우 프로세서가 책임을 지는 것과 동일한 범위 내에서 하위 프로세서의 행위 및 누락에 대해 컨트롤러에게 책임을 집니다.
  • 3.3 하위 처리자 목록. 관리자의 요청에 따라 처리자는 해당 하위 처리자의 신원과 함께 각 서비스에 대한 최신 하위 처리자 목록(“하위 처리자 목록“)을 관리자에게 제공해야 합니다.

4. 기밀 유지

  • 4.1 기밀 유지. 프로세서는 컨트롤러의 개인 데이터를 기밀로 취급합니다. 처리자는 관리자의 개인 데이터 처리에 관여하는 직원이 개인 데이터의 기밀 특성에 대해 알리고, 자신의 책임에 대한 적절한 교육을 받고, 기밀 유지 의무를 준수하고, 해당 개인이 처리자와의 계약이 종료된 후에도 그러한 의무가 계속 유지되도록 보장합니다.

5. 보안

  • 5.1 보안 조치. 프로세서는 부록 2에 자세히 명시된 바와 같이 컨트롤러 개인 데이터의 보안, 기밀성, 무결성 및 가용성을 보호하기 위해 적절한 기술적 및 조직적 조치를 구현해야 합니다.
  • 5.2 데이터 침해 알림. 프로세서는 이러한 데이터 침해를 인지한 후 컨트롤러의 개인 데이터에 대한 우발적 또는 불법적인 파괴, 손실, 변경, 무단 공개 또는 액세스로 이어지는 보안 위반(“데이터 침해”)에 대해 컨트롤러에게 즉시 알려야 합니다. 데이터 침해에 대한 통지(있는 경우)는 양 당사자가 합의한 수단을 통해 컨트롤러가 지정한 연락처로 전달됩니다. 이러한 통지를 위해 정확한 연락처 정보를 유지하는 것은 전적으로 컨트롤러의 책임입니다.

6. 컨트롤러에 대한 지원

  • 6.1 데이터 주체의 권리. 가능한 경우, 처리자는 처리의 특성을 고려하여 GDPR, 12-23항에 명시된 데이터 주체의 권리 행사 요청에 응답해야 하는 관리자의 의무를 이행하기 위해 관리자에게 상업적으로 합당한 지원을 제공합니다.
  • 6.2 보안 및 데이터 보호 영향 평가. 처리자는 GDPR, 32조(처리 보안) 및 36조(사전 협의)에 따라 처리자의 의무를 이행하기 위해 처리 및 처리자가 사용할 수 있는 정보의 특성과 관련하여 적절하고 실현 가능한 경우 관리자에게 상업적으로 합당한 지원을 제공합니다.
  • 6.3 감사 및 검사.시스템 보안 또는 처리자의 운영과 관련된 데이터 파일의 무결성과 관련된 제약 조건에 따라 처리자는 GDPR 28항에 명시된 의무를 준수함을 입증하는 데 필요한 정보를 컨트롤러에게 제공해야 합니다. 처리자는 컨트롤러 또는 컨트롤러가 위임한 다른 감사인이 수행하는 검사를 포함한 감사를 허용하고 이에 기여해야 합니다. 관리자는 이러한 현장 감사를 위해 소비된 모든 시간에 대해 처리자의 당시 전문 서비스 요율로 처리자에게 배상해야 하며, 이는 요청 시 관리자에게 제공됩니다. 이러한 현장 감사를 시작하기 전에 처리자와 관리자는 감사의 범위, 시기 및 기간과 관리자가 책임져야 하는 상환 비율에 대해 상호 합의해야 합니다. 양 당사자는 상호 이익이 되는 시간에 감사 일정을 잡기 위해 성실하게 노력해야 하며, 처리자의 사업 운영에 불합리한 중단을 피하기 위해 노력해야 합니다. 모든 상환 비율은 처리자가 소비한 리소스를 고려하여 합리적이어야 합니다. 양 당사자가 서면으로 달리 합의하지 않는 한, 관리자는 본 조항에 따라 수행된 처리자의 감사 수행과 관련된 비용을 부담해야 합니다. 관리자는 서비스 또는 본 계약과 관련된 감사 과정에서 발견된 모든 규정 위반에 대한 정보를 처리자에게 즉시 통지해야 합니다.

7. 데이터 전송

  • 7.1 미국으로 전송.
    관리자는 서비스의 일부 또는 전부가 유럽 연합에서 개인 데이터에 대한 부적절한 법적 보호를 제공하는 것으로 간주하는 관할권인 미국 내에서 제공 및/또는 호스팅될 수 있음을 명시적으로 인정합니다. 관리자는 프로세서가 서비스를 제공하고 계약에 따른 의무를 이행하기 위해 컨트롤러의 개인 데이터를 미국으로 전송하는 데 명시적으로 동의합니다. 이러한 전송은 부록 1(표준 계약 조항)을 포함한 본 계약에 따라 수행됩니다.

8. 개인 데이터 삭제

  • 8.1 관리자 개인 데이터의 삭제 또는 반환. 법률에서 달리 요구하지 않는 한, 또는 법적 위험을 적절하게 완화하기 위해 또는 서면 지침에 대한 관리자의 의도를 기념하기 위해 해당 업계 모범 사례에서 허용하지 않는 한, 프로세서는 (i) 처리와 관련된 서비스 제공의 종료, 또는 (ii) 컨트롤러의 적법한 경우, 서면 요청.
  • 8.2 인증.양 당사자는 부록 1(표준 계약 조항)의 12(1)항에 설명된 개인 데이터의 삭제 인증이 관리자의 요청에 따라 법률이 허용하는 바에 따라 처리자가 관리자에게 제공한다는 데 동의합니다.

9. 면책

  • 9.1 배상. 관리자는 처리자와 그 계열사 및 이들 각각의 현재, 미래 및 전직 임원, 직원, 이사, 대리인, 승계인 및 양수인(총칭하여 “처리자 피배상자”)을 처리자의 선택에 따라 처리자 피면책자가 입을 수 있는 모든 손실(아래에 정의됨)에 대해 방어하는 데 동의합니다. (i) 이 부록의 위반; (ii) 본 부록에 명시된 의무와 관련하여 컨트롤러 또는 그 직원의 과실, 중과실, 악의, 사기 행위 또는 누락, 또는 고의적 또는 고의적 위법 행위. 본 부록의 목적상, “손실”은 모든 판결, 합의, 판정, 손해, 손실, 요금, 책임, 위약금, 이자 청구(세금 및 이와 관련하여 직접 발생한 모든 관련 이자 및 위약금 포함) 및 모든 관련 합리적인 비용, 지출 및 기타 요금(모든 합리적인 변호사 수임료 및 조사, 소송, 청문회, 절차의 합리적인 내부 및 외부 비용 포함)을 의미합니다. 문서 및 데이터 생성 및 발견, 합의, 판결, 판정, 이자 및 벌금).

10. 기타 사항

  • 10.1 부본. 이 부록은 사본으로 작성될 수 있으며, 각 사본은 원본으로 간주되며 모두 함께 하나의 동일한 문서를 구성합니다.
  • 10.2 기간 및 종료.
    해지에 대한 모든 통지는 서면으로 이루어져야 하며 계약서에 명시된 해지 절차를 준수해야 합니다. 양 당사자가 서면으로 달리 합의하지 않는 한, 이 부록은 계약이 만료될 때까지 유효합니다.
  • 10.3 약관의 존속. 기밀 유지 의무를 포함하되 이에 국한되지 않는 본 부록의 종료 또는 만료 이후에도 본질적으로 계속되는 양 당사자의 권리와 의무는 본 부록의 종료 또는 만료 후에도 존속합니다.
  • 10.4 완전 합의. 본 부록(계약에 통합되고 계약의 필수적인 부분을 구성함)은 당사자 간의 완전한 합의 및 이해를 구성하고, 본 부록의 특정 주제에 대한 이전 및 현재의 모든 구두 및 서면 협상, 합의 및 이해(있는 경우)를 대체하며, 이 부록은 서면 계약에 의하지 않고는 수정할 수 없습니다. 각 당사자의 권한을 위임받은 대리인이 서명합니다.
  • 10.5 분리 가능성. 본 부록의 조항이 관할권에서 무효, 불법 또는 집행 불가능한 경우, 해당 조항은 해당 관할권과 관련하여 나머지 조항의 유효성, 적법성 및 집행 가능성에 영향을 미치지 않고 그러한 무효, 불법 또는 집행 불능의 범위 내에서 효력을 상실합니다. 그리고 특정 관할권에서 특정 조항의 무효가 다른 관할권에서 해당 조항을 무효화하지 않습니다.

부록 1

표준 계약 조항(처리자)

GDPR 및 Directive 95/46/EC의 26(2)항에 따라 적절한 수준의 데이터 보호를 보장하지 않는 제3국에 설립된 처리자에게 개인 데이터를 전송하는 경우, 본 계약에 명시된 데이터 수입업자 및 데이터 수출업자는 각각 “당사자”입니다. “당사자들”은 데이터 수출자가 부록 1에 명시된 개인 데이터의 데이터 수입자에게 전송하기 위해 개인 정보 보호 및 개인의 기본권 및 자유 보호와 관련하여 적절한 보호 조치를 취하기 위해 다음 계약 조항(이하 조항)에 동의했습니다.

조항 1

정의

조항의 목적상: (a) ‘개인 데이터’, ‘특수 범주의 데이터’, ‘처리/처리’, ‘관리자’, ‘처리자’, ‘데이터 주체’ 및 ‘감독 기관’은 개인 데이터 처리와 관련된 개인 보호 및 해당 데이터의 자유로운 이동에 관한 유럽 의회 및 이사회의 지침 95/46/EC와 동일한 의미를 갖습니다. (b) ‘데이터 수출자’는 개인 데이터를 전송하는 관리자를 의미합니다. (c) ‘데이터 수입자’는 데이터 수출업자의 지시 및 조항의 조건에 따라 전송 후 데이터 수출업자를 대신하여 처리하려는 개인 데이터를 데이터 수출업자로부터 수신하는 데 동의하고, 지침 95/46/EC의 25(1)조의 의미 내에서 적절한 보호를 보장하는 제3국의 시스템의 적용을 받지 않는 처리자를 의미합니다. (d) ‘하위 처리자’는 데이터 수입자 또는 데이터 수입자의 다른 모든 하위 처리자가 고용한 모든 처리자를 의미하며, 데이터 수입자 또는 데이터 수입자의 다른 모든 하위 처리자로부터, 데이터 수출업자의 지시에 따라 전송 후 데이터 수출자를 대신하여 수행되는 처리 활동만을 위한 개인 데이터를 수신하는 데 동의합니다. 조항의 조건 및 서면 하도급 계약의 조건; (e) ‘관련 데이터 보호법’은 개인의 기본적 권리와 자유, 특히 데이터 수출자가 설립된 회원국의 데이터 컨트롤러에게 적용되는 개인 데이터 처리와 관련된 개인 정보 보호권을 보호하는 법률을 의미합니다. (f) ‘기술적 및 조직적 보안 조치’는 우발적 또는 불법적 파괴 또는 우발적 손실, 변경, 무단 공개 또는 액세스, 특히 처리가 네트워크를 통한 데이터 전송과 관련된 경우 및 기타 모든 불법적인 형태의 처리로부터 개인 데이터를 보호하기 위한 조치를 의미합니다.

제2항

전송의 세부 사항

전송에 대한 세부 정보, 특히 해당되는 경우 개인 데이터의 특수 범주는 조항의 필수적인 부분을 구성하는 부록 1에 명시되어 있습니다.

제3항

제3자 수혜자 조항

1. 데이터 주체는 제3자 수혜자로서 데이터 수출자에 대해 본 조항, 조항 4(b)에서 (i), 조항 5(a)에서 (e) 및 (g)에서 (j), 조항 6(1) 및 (2), 조항 7, 조항 8(2) 및 조항 9에서 12를 집행할 수 있습니다. 2. 데이터 주체는 데이터 수출업자가 실제로 사라졌거나 법적으로 더 이상 존재하지 않는 경우, 승계 주체가 계약 또는 법률의 운용에 의해 데이터 수출업자의 모든 법적 의무를 인수하지 않는 한 데이터 수입자에 대해 본 조항, 조항 5(a)에서 (e) 및 (g), 조항 6, 조항 7, 조항 8(2) 및 조항 9 내지 12를 집행할 수 있습니다. 그 결과 데이터 수출자의 권리와 의무를 가지게 되며, 이 경우 데이터 주체는 해당 엔터티에 대해 이를 집행할 수 있습니다. 3. 데이터 주체는 데이터 수출업자와 데이터 수입업자가 모두 실질적으로 소멸하거나 법률상 존재하지 않거나 지급 불능 상태가 된 경우, 승계 주체가 계약 또는 법률 운용에 의해 데이터 수출업자의 모든 법적 의무를 인수하지 않는 한, 하위 처리자에 대해 본 조항, 조항 5(a)에서 (e) 및 (g), 조항 6, 조항 7, 조항 8(2) 및 조항 9 – 12를 하위 프로세서에 대해 집행할 수 있습니다 그 결과 데이터 수출자의 권리와 의무를 가지게 되며, 이 경우 데이터 주체는 해당 엔터티에 대해 이를 집행할 수 있습니다. 하위 처리자의 이러한 제3자 책임은 조항에 따른 자체 처리 작업으로 제한됩니다. 4. 당사자는 데이터 주체가 명시적으로 원하고 국내법에서 허용하는 경우 데이터 주체가 협회 또는 기타 기관에 의해 대표되는 것에 반대하지 않습니다.

조항 4

데이터 수출자의 의무

데이터 수출자는 (a) 전송 자체를 포함한 개인 데이터의 처리가 해당 데이터 보호법의 관련 조항에 따라 수행되어 왔으며 앞으로도 계속 수행될 것이며(해당되는 경우 데이터 수출업자가 설립된 회원국의 관련 당국에 통지됨) 해당 국가의 관련 조항을 위반하지 않는다는 점에 동의하고 보증합니다. (b) 개인 데이터 처리 서비스 기간 동안 데이터 수입업자에게 데이터 수출업자를 대신하여 해당 데이터 보호법 및 조항에 따라서만 전송된 개인 데이터를 처리하도록 지시합니다. (c) 데이터 수입자가 본 계약의 부록 2에 명시된 기술적 및 조직적 보안 조치와 관련하여 충분한 보증을 제공할 것입니다. (d) 해당 데이터 보호법의 요구 사항을 평가한 후, 보안 조치가 우발적 또는 불법적인 파괴 또는 우발적 손실, 변경, 무단 공개 또는 액세스, 특히 처리가 네트워크를 통한 데이터 전송과 관련된 경우 및 기타 모든 불법적인 형태의 처리에 대해 개인 데이터를 보호하는 데 적절합니다. 그리고 이러한 조치는 최첨단 기술 및 구현 비용과 관련하여 보호해야 할 데이터의 특성 및 처리로 인해 발생하는 위험에 적합한 보안 수준을 보장합니다. (e) 보안 조치의 준수를 보장할 것입니다. (f) 전송에 특수 범주의 데이터가 포함되는 경우, 데이터 주체는 해당 데이터가 Directive 95/46/EC의 의미 내에서 적절한 보호를 제공하지 않는 제3국으로 전송될 수 있다는 사실을 전송 전에 또는 가능한 한 빨리 통지받았거나 통지받을 것입니다. (g) 5(b)항 및 8(3)항에 따라 데이터 수입업자 또는 하위 처리자로부터 받은 통지를 데이터 보호 감독 기관에 전달하기 위해, 데이터 수출업자가 전송을 계속하거나 중단을 해제하기로 결정한 경우, (h) 부록 2를 제외한 조항의 사본, 보안 조치에 대한 요약 설명, 조항 또는 계약서에 상업적 정보가 포함되어 있지 않는 한, 조항에 따라 이루어져야 하는 하위 처리 서비스에 대한 계약 사본 요청 시 데이터 주체가 사용할 수 있도록 하기 위해, 이 경우 해당 상업 정보를 제거할 수 있습니다. (i) 하위 처리의 경우, 개인 데이터에 대해 최소한 동일한 수준의 보호를 제공하는 하위 처리자가 조항에 따라 데이터 수입자와 동일한 수준의 보호 및 데이터 주체의 권리를 제공하는 하위 처리자에 의해 처리 활동이 수행됩니다. (j) 4(a)항부터 (i)항까지의 준수를 보장할 것입니다.

조항 5

데이터 수입자의 의무

데이터 수입자는 (a) 데이터 수출업자를 대신하여 해당 지침 및 조항에 따라서만 개인 데이터를 처리한다는 데 동의하고 보증합니다. 어떤 이유로든 이러한 규정을 준수할 수 없는 경우, 데이터 수출업자에게 이를 준수할 수 없음을 즉시 알리는 데 동의하며, 이 경우 데이터 수출업자는 데이터 전송을 일시 중단하거나 계약을 해지할 수 있습니다. (b) 해당 법률이 데이터 수출자로부터 받은 지침과 계약에 따른 의무를 이행하는 데 방해가 된다고 믿을 이유가 없으며, 본 법률이 변경되는 경우 조항에 의해 제공되는 보증 및 의무에 상당한 부정적인 영향을 미칠 가능성이 있습니다. 데이터 수출업자는 변경 사항을 인지하는 즉시 데이터 수출업자에게 통지하며, 이 경우 데이터 수출업자는 데이터 전송을 일시 중단하거나 계약을 해지할 수 있습니다. (c) 전송된 개인 데이터를 처리하기 전에 부록 2에 명시된 기술적 및 조직적 보안 조치를 구현했습니다. (d) (i) 형법에 따른 법 집행 조사의 기밀 유지 금지와 같이 달리 금지되지 않는 한 법 집행 기관에 의한 개인 데이터 공개에 대한 법적 구속력이 있는 요청, (ii) 우발적 또는 무단 액세스, (iii) 해당 요청에 응답하지 않고 데이터 주체로부터 직접 받은 모든 요청에 대해 데이터 수출자에게 즉시 통지합니다. 달리 승인되지 않는 한; (e) 데이터 수출자의 전송에 따른 개인 데이터 처리와 관련된 데이터 수출자의 모든 문의를 신속하고 적절하게 처리하고, 전송된 데이터 처리와 관련하여 감독 기관의 조언을 준수합니다. (f) 조항이 적용되는 처리 활동에 대한 감사를 위해 데이터 수출업자의 요청에 따라 데이터 수출업자 또는 독립적인 구성원으로 구성되고 데이터 수출업자가 선정한 기밀 유지 의무에 구속되는 필수 전문 자격을 보유한 검사 기관이 수행해야 합니다. 해당되는 경우, 감독 당국과 합의하여; (g) 조항 또는 계약에 상업적 정보가 포함되어 있지 않는 한, 조항 또는 하도처리를 위한 기존 계약을 요청 시 데이터 주체가 사용할 수 있도록 하기 위해, 이 경우 해당 상업적 정보를 제거할 수 있습니다. 단, 데이터 주체가 데이터 수출자로부터 사본을 얻을 수 없는 경우 보안 조치에 대한 요약 설명으로 대체되는 부록 2를 제외하고; (h) 하위 처리의 경우, 사전에 데이터 수출자에게 알리고 사전 서면 동의를 얻었어야 합니다. (i) 하위 처리자에 의한 처리 서비스가 제11항에 따라 수행될 것입니다. (j) 조항에 따라 체결한 하위 처리자 계약의 사본을 데이터 수출자에게 즉시 보냅니다.

제6항

책임

1. 양 당사자는 당사자 또는 하위 처리자가 3항 또는 11항에 언급된 의무를 위반하여 손해를 입은 데이터 주체가 데이터 수출자로부터 입은 손해에 대한 보상을 받을 자격이 있음에 동의합니다. 2. 데이터 수출업자가 실질적으로 소멸 또는 법률상 더 이상 존재하지 않거나 지급 불능 상태가 되어 데이터 수입업자 또는 그의 하위 처리자가 3항 또는 11항에 언급된 의무를 위반하여 데이터 수출업자를 상대로 제1항에 따라 손해배상 청구를 제기할 수 없는 경우, 데이터 수입자는 승계 주체가 법률의 운행 계약에 따라 데이터 수출자의 모든 법적 의무를 인수하지 않는 한, 데이터 주체가 데이터 수출업자인 것처럼 데이터 수입자에 대해 청구를 제기할 수 있다는 데 동의합니다. 데이터 수입자는 자신의 책임을 회피하기 위해 하위 처리자의 의무 위반에 의존할 수 없습니다. 3. 데이터 수출업자와 데이터 수입업자가 모두 사실적으로 사라졌거나 법률상 더 이상 존재하지 않거나 지급 불능 상태가 되어 하위 처리자가 3항 또는 11항에 언급된 의무를 위반하여 데이터 주체가 1항 및 2항에 언급된 데이터 수출자 또는 데이터 수입업자를 상대로 청구를 제기할 수 없는 경우, 하위 처리자는 승계 주체가 계약 또는 법률의 운용에 따라 데이터 수출자 또는 데이터 수입자의 모든 법적 의무를 인수하지 않는 한, 데이터 주체가 데이터 수출자 또는 데이터 수입자인 것처럼 조항에 따른 자체 처리 작업과 관련하여 데이터 하위 처리자에 대해 청구를 제기할 수 있음에 동의합니다. 이 경우 데이터 주체는 해당 법인에 대해 권리를 행사할 수 있습니다. 하위 처리자의 책임은 조항에 따른 자체 처리 작업으로 제한됩니다.

조항 7

중재 및 관할권

1. 데이터 수입자는 데이터 주체가 데이터 주체를 상대로 제3자 수혜자 권리를 행사하거나 조항에 따른 손해 배상을 청구하는 경우 데이터 주체의 결정을 수락한다는 데 동의합니다.

  • (a) 분쟁을 독립적인 사람 또는 해당되는 경우 감독 기관에 의한 조정에 회부합니다.
  • (b) 데이터 수출자가 설립된 회원국의 법원에 분쟁을 회부합니다.

2. 양 당사자는 데이터 주체가 내린 선택이 국내 또는 국제법의 다른 조항에 따라 구제책을 모색할 수 있는 실질적 또는 절차적 권리를 침해하지 않는다는 데 동의합니다.

제8항

감독 당국과의 협력

1. 데이터 수출자는 감독 기관이 요청하거나 해당 데이터 보호법에 따라 그러한 예치가 필요한 경우 감독 기관에 본 계약의 사본을 보관하는 데 동의합니다. 2. 양 당사자는 감독 기관이 관련 데이터 보호법에 따라 데이터 수출자에 대한 감사에 적용되는 것과 동일한 범위 및 동일한 조건의 적용을 받는 데이터 수입자 및 모든 하위 처리자에 대한 감사를 수행할 권리가 있음에 동의합니다. 3. 데이터 수입자는 제2항에 따라 데이터 수입자 또는 하위 처리자에 대한 감사 수행을 방해하는 하위 처리자에게 적용되는 법률의 존재 여부를 데이터 수출업자에게 즉시 알려야 합니다. 이러한 경우 데이터 수출자는 5(b)항에 명시된 조치를 취할 수 있습니다.

조항 9

준거법

이 조항은 데이터 수출자가 설립된 회원국의 법률에 의해 규율됩니다.

제10항

계약의 변경

양 당사자는 조항을 변경하거나 수정하지 않을 것을 약속합니다. 이는 당사자가 조항과 모순되지 않는 한 필요한 경우 비즈니스 관련 문제에 대한 조항을 추가하는 것을 배제하지 않습니다.

제11항

하위 처리

1. 데이터 수입업자는 데이터 수출업자의 사전 서면 동의 없이 조항에 따라 데이터 수출업자를 대신하여 수행된 처리 작업을 하도급할 수 없습니다. 데이터 수입업자가 데이터 수출업자의 동의를 얻어 조항에 따른 의무를 하도급하는 경우, 제1항에 따라 데이터 수입업자에게 부과되는 것과 동일한 의무를 하위 처리자에게 부과하는 하위 처리자와의 서면 계약을 통해서만 하도급을 주어야 합니다. 하위 처리자가 이러한 서면 계약에 따른 데이터 보호 의무를 이행하지 못하는 경우, 데이터 수입자는 해당 계약에 따른 하위 처리자의 의무 이행에 대해 데이터 수출자에게 전적인 책임을 집니다. 2. 데이터 수입자와 하위 처리자 간의 사전 서면 계약은 데이터 주체가 데이터 수출자 또는 데이터 수입자가 실제로 사라졌거나 법률상 더 이상 존재하지 않거나 지급 불능 상태가 되어 데이터 수출자 또는 데이터 수입자를 상대로 6항 1항에 언급된 보상 청구를 제기할 수 없는 경우에 대해 제3항에 명시된 제3자 수혜자 조항을 제공해야 합니다. 승계 법인은 계약 또는 법률의 운용에 따라 데이터 수출자 또는 데이터 수입자의 모든 법적 의무를 인수합니다. 하위 처리자의 이러한 제3자 책임은 조항에 따른 자체 처리 작업으로 제한됩니다. 3. 제1항에 언급된 계약의 하청처리에 대한 데이터 보호 측면과 관련된 조항은 데이터 수출자가 설립된 회원국의 법률에 의해 규율됩니다. 4. 데이터 수출자는 조항에 따라 체결되고 조항 5(j)에 따라 데이터 수입자가 통지한 하위 처리 계약 목록을 보관해야 하며, 이는 최소 1년에 한 번 업데이트되어야 합니다. 이 목록은 데이터 수출자의 데이터 보호 감독 기관에서 사용할 수 있어야 합니다.
1 이 요구 사항은 본 결정에 따라 데이터 수출자와 데이터 수입자 간에 체결된 계약에 공동 서명하는 하위 처리자에 의해 충족될 수 있습니다.

제12항

개인정보 처리 서비스 종료 후의 의무

1. 양 당사자는 데이터 처리 서비스 제공이 종료될 때 데이터 수입업자 및 하위 처리자는 데이터 수출업자의 선택에 따라 전송된 모든 개인 데이터와 그 사본을 데이터 수출업자에게 반환하거나 모든 개인 데이터를 파기하고 데이터 수출업자에게 그렇게 했음을 증명해야 한다는 데 동의합니다. 데이터 수입자에게 부과된 법률이 전송된 개인 데이터의 전부 또는 일부를 반환하거나 파기하는 것을 금지하지 않는 한. 이 경우 데이터 수입자는 전송된 개인 데이터의 기밀성을 보장하고 전송된 개인 데이터를 더 이상 적극적으로 처리하지 않을 것임을 보증합니다. 2. 데이터 수입자 및 하위 처리자는 데이터 수출자 및/또는 감독 기관의 요청에 따라 1항에 언급된 조치에 대한 감사를 위해 데이터 처리 시설을 제출할 것임을 보증합니다.

표준 계약 조항의 부록 1

이 부록은 조항의 일부를 구성하며 당사자가 작성하고 서명해야 합니다.

회원국은 자국의 절차에 따라 이 부록에 포함되어야 할 추가적인 필요한 정보를 완성하거나 지정할 수 있다.

데이터 내보내기

데이터 내보내기는 다음과 같습니다(전송과 관련된 활동을 간략하게 명시하십시오).

본 계약에 명시된 관리자(데이터 수출자)는 본 계약에 따라 데이터 수입자의 글로벌 전문 네트워크에서 주제 전문가로부터 컨설팅 서비스를 받을 목적으로 데이터 수입자의 서비스를 유지했습니다.

데이터 임포터

데이터 수입자는 다음과 같습니다(전송과 관련된 활동을 간략하게 명시하십시오).

Guidepoint는 데이터 가져오기입니다. 본 계약에 명시된 관리자(데이터 수출자)는 본 계약에 따라 데이터 수입자의 글로벌 전문 네트워크에서 주제 전문가로부터 컨설팅 서비스를 받을 목적으로 데이터 수입자의 서비스를 유지했습니다.

데이터 주체

전송되는 개인 데이터는 다음 범주의 데이터 주체와 관련이 있습니다.

  • 종업원(자영업자 포함)
  • 최종 사용자
  • 독립 계약자
  • 투자자
  • 소유자
  • 사업체와 관련된 기타 관련 개인

데이터 범주

전송되는 개인 데이터는 다음 범주의 데이터와 관련이 있습니다.

  • 이름
  • 이메일 주소
  • 주소/우편 주소
  • 전화번호
  • IP 주소
  • 브라우저 쿠키
  • 디바이스 ID
  • 컨트롤러 또는 데이터 주체의 재량에 따라 제공되는 기타 정보
  • 사업을 운영하고 관리자에게 서비스 및 지원을 제공하는 데 필요한 기타 정보
  • 개인 데이터에 연결된 관련 정보

데이터의 특수 범주(해당하는 경우)

전송되는 개인 데이터는 다음과 같은 특수 범주의 데이터와 관련이 있습니다.

없음.

처리 작업

전송되는 개인 데이터는 다음과 같은 기본 처리 활동의 적용을 받습니다.

나열된 데이터 주체와 관련하여 제공된 데이터는 프로세서가 다양한 비즈니스 관련 목적을 위한 커뮤니케이션 참여, 법률 준수(GDPR 준수 및 서면 지침 기념 포함) 및 계약 범위 내에서 기타 관련성 있고 예상되는 비즈니스 사용을 포함하여 일반적인 과정에서 컨트롤러에게 서비스 및 지원을 제공할 수 있도록 하는 데 사용됩니다.

표준 계약 조항에 대한 부록 2

이 부록은 조항의 일부를 구성하며 당사자가 작성하고 서명해야 합니다.

조항 4(d) 및 5(c)항(또는 첨부된 문서/법률)에 따라 데이터 수입자가 구현한 기술적 및 조직적 보안 조치에 대한 설명:

  • 문서화된 보안 정책 또는 계획
  • 재해 복구 계획
  • 인시던트 대응 계획
  • 네트워크 세그멘테이션
  • 방화벽
  • 침입 방지 장치
  • 전송 중 암호화
  • 안티바이러스 보호
  • 비밀번호 프로그램
  • 역할 기반 액세스Role-based access
  • 중요한 시스템 및 중요한 시스템에 연결된 다른 시스템의 정기적인 패치 및 업데이트
  • 사용자 교육
  • 직원 핸드북
  • Anti-Spam 컨트롤
  • 안전한 코딩 방법