GigaOM Radar Edge Platform Leader & Outperformer 2024 | 데이터 보호 부록 – (DPA)
본 데이터 처리 부록(“DPA”)은 Edgio, Inc., 그 계열사 및 자회사(“Edgio”)와 고객 간의 Edgio 서비스 약관(“계약”)에 통합되고 그 일부로 만들어집니다. 본 DPA의 조항이 본 계약의 조항과 상충되는 경우 본 DPA의 해당 조항이 통제됩니다.
1. 정의.
다음 용어는 본 DPA에서 사용되며 여기에 명시된 의미를 가집니다. 본 DPA에 사용되고 본 계약에 정의되지 않은 대문자로 표기된 용어는 본 계약에 명시된 의미를 가집니다.
1.1 “적절한 국가”는 EU 데이터 보호법 또는 영국의 관련 관할 당국(“영국”)에 따라 개인 데이터에 대한 적절한 수준의 보호를 제공하는 것으로 인정되는 국가 또는 지역을 의미합니다.
1.2 “관련 데이터 보호법”은 (i) EU 데이터 보호법을 포함하여 본 DPA에 따른 개인 데이터 처리에 적용되는 EEA 및 그 회원국의 법률 및 규정 (ii) 캘리포니아 소비자 보호법(“CCPA”) 및 캘리포니아 개인 정보 보호 권리 법(“CPRA”) (iii) 상기 내용을 이행하거나 보완하는 모든 법률 및 기타 적용 가능한 데이터 보호 또는 개인정보 보호법.
1.3 “고객 개인 데이터”는 소비자(고객의 “최종 사용자”)와 관련된 모든 개인 데이터를 의미하며 서비스 및 계약에 따른 Edgio의 기타 의무를 이행함에 있어 고객을 대신하여 Edgio 또는 그 하위 처리자에 의해 처리됩니다.
1.4 “EEA”는 유럽 경제 지역을 의미하며, 유럽 연합 회원국과 노르웨이, 아이슬란드 및 리히텐슈타인을 포함합니다.
1.5 “EU 보호법”은 (i) GDPR (ii) EU 전자 개인 정보 보호 지침 (지침 2002/58/EC), 개정된 지침 및 이 개정된 지침을 대체하는 모든 법률, (iii) 전술한 내용의 대체 또는 후속 규정에 따라 제정된 모든 국가 데이터 보호법 (iv) 해당되는 경우, 영국 데이터 보호법을 포함한 것으로 읽어야 합니다.
1.6 “GDPR”은 EU 일반 데이터 보호 규정(Regulation 2016/679)을 의미합니다.
1.7 본 DPA에 따른 개인 데이터 처리와 관련된 “표준 계약 조항”은 다음을 의미합니다. (a) 때때로 유럽위원회가 승인한 제3국에 설립된 처리업체로 개인 데이터를 전송하는 표준 조항. 현재 승인된 버전은 2021년 6월 4일 유럽 위원회의 결정 2021/914에 명시되어 있으며, https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32021D0914&from=EN 및 별첨 2(“EU 표준 계약 조항”)에 명시되어 있습니다. (b) 별첨 3에 명시된 EU 표준 계약 조항에 대한 영국 부록(“영국 부록”).
1.8 “영국 데이터 보호법”은 영국 GDPR 및 데이터 보호법 2018을 포함하여 영국에서 때때로 시행되는 데이터 보호, 개인 정보, 개인 정보 및 / 또는 전자 통신과 관련된 모든 관련 법률을 의미합니다.
1.9 “영국 GDPR”은 영국 일반 데이터 보호 규정을 의미하며, 유럽 연합 (탈퇴) 법 2018의 3 절에 따라 잉글랜드 및 웨일즈, 스코틀랜드 및 북 아일랜드의 법의 일부를 구성합니다.
1.10 “개인 데이터”는 Edgio가 서비스 계약에 따라 서비스를 수행함에 있어 액세스 할 수 있는 관련 데이터 보호법의 의미 내에서 “개인 데이터” 또는 “개인 정보”를 구성하는 모든 정보를 의미합니다.
1.11 “처리”, “처리”, “데이터 주체”, “관리자”, “비즈니스” “처리자”, “서비스 제공자”, “개인 데이터의 특별 범주”는 관련 데이터 보호법에 의해 부여된 의미를 가지며, 그러한 개념이 해당 법률에 존재하는 한 그러한 의미를 가집니다.
2. 데이터 처리
2.1 범위 및 역할 본 계약에 명시된 상호 의무를 고려하여, 본 DPA는 Edgio가 본 계약에 따른 서비스와 관련하여 관련 데이터 보호법의 적용을 받는 고객 개인 데이터를 처리하는 범위까지 적용됩니다. 이러한 맥락에서 고객과 Edgio는 다음 사항을 인정하고 동의합니다. (a) Edgio는 관련 데이터 보호법에 따라 처리자이고 고객은 컨트롤러입니다. (b) Edgio는 고객 또는 최종 사용자가 서비스에 저장하는 개인 데이터의 단순한 도관 역할을 합니다. Edgio와 고객은 관련 데이터 보호법에 따라 개인 데이터 처리에 관한 관련 데이터 보호법을 준수해야 합니다.
2.2 처리 지침.
(a) 고객 지침. Edgio는 서비스 제공 수단으로서 본 DPA에 명시된 고객의 문서화된 지침에 따라 또는 당사자 간에 서면으로 상호 합의된 방식으로 고객 개인 데이터를 처리합니다. Edgio가 관련 데이터 보호법에 따라 고객이 지시한 것과 다른 방식으로 고객 개인 데이터를 처리하도록 요구되는 경우, 법률에 의해 금지되지 않는 한 그러한 처리가 발생하기 전에 고객에게 통지합니다.
(i) 본 DPA 하에서 고객 개인 데이터를 처리하는 목적은 본 계약에 따라 고객이 수시로 개시하는 서비스 제공이며, 여기에는 송장 및 지불 처리, 고객 최종 사용자 및/또는 하위 프로세서 계정 유지, 고객, 최종 사용자 및/또는 하위 프로세서 계정 유지, 서비스 사용 측정 및/또는 분석, 서비스 및/또는 웹 사이트의 사기 또는 남용 방지 또는 탐지, 서비스 유지 및/또는 업데이트 및/또는 보조 프로세서가 다른 서비스 제공 또는 Edgio의 기술적 기능을 수행하도록 하는 작업이 포함됩니다.
(ii) Edgio는 (a) 고객 개인 데이터를 “판매”(CCPA에 정의) 또는 “공유”(CPRA에 정의) (b) 서비스 계약에 따라 서비스를 제공하는 특정 목적 이외의 다른 목적으로 고객 개인 데이터를 보유, 사용 또는 공개하는 행위(서비스 제공 이외의 상업적 목적으로 고객 개인 데이터를 보유, 사용 또는 공개하는 행위 포함) (c) 서비스를 제공하기 위해 필요한 경우 또는 당사자 간의 직접적인 비즈니스 관계 외의 다른 사람에게 고객 개인 데이터를 보유, 사용 또는 공개하는 행위
(iii) 고객은 (1) 처리 지침이 모든 관련 데이터 보호법을 준수하고 (2) 모든 개인 데이터의 처리 및 전송에 대해 법적으로 요구되는 모든 통지, 동의 및 허가를 획득하고 유지한다는 사실을 진술하고 보증합니다. 고객은 처리의 성격을 고려하여 Edgio가 고객의 지침이 관련 데이터 보호법을 위반하는지 여부를 판단할 수 있는 위치에 있지 않음을 인정합니다.
(b) 기밀 유지. Edgio는 개인 데이터에 접근할 수 있는 직원 및 제3자에게 적절한 계약상의 의무를 부과하여, 그러한 직원 및 제3자가 그러한 개인 데이터에 대한 기밀 유지 의무에 구속되고 이를 인지하도록 합니다.
(c) Edgio 보안 조치. Edgio는 우발적 또는 불법적인 파기, 우발적 손실, 변경, 무단 공개 또는 액세스 및 기타 불법적인 형태의 처리로부터 개인 데이터를 보호하기 위해 별첨 1 파트 C에 명시된 기술적 및 조직적 조치를 이행하고 유지해 왔습니다. Edgio는 이러한 기술 및 조직적 조치를 수시로 업데이트하거나 수정할 수 있으며, 이러한 업데이트 또는 수정으로 인해 서비스의 전반적인 보안이 저하되지 않습니다. 고객은 본 섹션 2.(c)(Edgio 보안 조치)에 명시된 바와 같이 Edgio가 구현하고 유지하는 기술 및 조직적 조치(최첨단 기술, 구현 비용, 개인 데이터 처리의 특성, 범위, 맥락 및 목적 및 최종 사용자에 대한 위험을 고려하여)가 개인 데이터와 관련하여 위험에 적합한 수준의 보안을 제공한다는 것을 인정하고 동의합니다. 서비스를 사용할 때 고객은 Edgio의 에지 서버에 개인 데이터를 캐시하거나 저장하기 위해 서비스 사용을 구성해서는 안 된다는 점을 인정합니다.
(d) 고객 보안 의무. 고객은 섹션 2.(c)(Edgio 보안 조치) 및 섹션 6(데이터 침해 통지)에 따른 Edgio의 의무를 침해하지 않고 고객이 (1) 개인 데이터와 관련된 위험에 적절한 보안 수준을 보장하기 위해 서비스를 적절히 사용하는 것(예: 암호화 선택 및 사용), (2) 고객 인증 자격 증명, 시스템 및 장치를 보호하는 것은 고객 또는 고객의 모든 최종 사용자를 위해 책임 있는 서비스를 사용하는 모든 공급업체의 제한을 인정하지 않고, 고객 인증 자격 증명을 사용하는 것을 포함해 고객의 모든 공급업체에 대한 책임이 있음을 인정하는 것에 동의합니다.
(e) 데이터의 특별 범주. 고객은 인종 또는 민족, 정치적 견해, 종교적 또는 철학적 신념 또는 노동조합 회원권, 유전자 데이터, 자연인을 고유하게 식별하기 위한 목적으로 생체 데이터, 건강에 관한 데이터 또는 자연인의 성생활이나 성적 취향에 관한 데이터 또는 자연인의 범죄 혐의나 범죄와 관련된 데이터 등 다음과 같은 사항을 공개하거나 포함하는 개인 데이터를 어떠한 방식으로든 최종 사용자가 Edgio에 직접 또는 간접적으로 전송 또는 제공하도록 허용해서는 안 됩니다.
3. 데이터 주체의 권리
3.1 서비스 및 처리의 성격을 고려하여, 고객은 Edgio가 서비스의 일부로서 고객에게 특정 통제, 특징 및 기능을 제공한다는 것을 인정하며, 고객은 반환 또는 삭제 요청을 포함하여 데이터 주체의 요청과 관련된 해당 데이터 보호법에 따른 의무와 관련하여 이를 사용하도록 선택할 수 있습니다.
3.2 고객은 다음과 같은 목적으로 서비스를 적절히 구성할 책임이 있습니다. (a) 개인 데이터는 고객이 서비스를 받는 데 필요한 범위까지만 수집, 전송 및 사용됩니다. (b) 개인정보는 고객이 서비스를 받는 데 필요한 최단 기간 동안 보관됩니다. (c) 고객이 서비스에서 보유한 기간보다 더 긴 기간 동안 개인 데이터를 보존하고자 할 경우 고객은 API 또는 유사한 기술을 사용하여 로그 파일 요청을 설정합니다.
3.3 서비스의 통제, 특징 및/또는 기능에 고객이 개인 데이터를 삭제할 수 있는 옵션이 포함되지 않는 경우, Edgio는 서비스 및 처리의 성격과 Edgio의 데이터 보존 관행을 고려하여 이것이 가능하다고 판단한 경우, 그리고 관련 데이터 보호법이 Edgio에게 개인 데이터를 보유하도록 요구하지 않는 한, 그러한 삭제를 촉진하기 위한 고객의 합당한 요청을 준수합니다. Edgio는 본 3.3항에 따른 데이터 삭제에 대해 수수료(Edgio의 합리적인 비용에 따라)를 부과할 수 있습니다. Edgio는 이러한 데이터 삭제 전에 고객에게 해당 수수료에 대한 세부 정보를 제공합니다. 고객은 계약이 종료되면 계정에서 개인 데이터를 제거해야 할 의무를 인정하며, 고객이 제거하지 않은 개인 데이터는 일반적인 비즈니스 프로세스 과정에서 Edgio 시스템에서 삭제됩니다.
4. 하위 처리
4.1 고객이 일반 권한을 부여하는 경우: (a) Edgio가 Edgio 계열사를 하위 프로세서로 지명하는 경우; 그리고 (b) Edgio 및 Edgio 계열사가 마케팅, 비즈니스, 엔지니어링 또는 고객 지원 제공업체를 포함하되 이에 국한되지 않는 제3자 서비스 제공업체를 오직 서비스 제공을 지원하기 위해 필요한 경우에 한하여 하위 프로세서로 지명하는 행위.
4.2 고객은 Edgio가 다음 URL을 통해 하위 프로세서 목록을 유지 관리한다는 것을 인정하고 동의합니다: https://read.edg.io/hubfs/Edgecast-Service-Supplements/Edgio-Sub-processor-Authorized.pdf (“하위 프로세서 사이트”). Edgio가 새로운 하위 프로세서가 고객 개인 데이터 처리를 시작하도록 허용하기 최소 30일 전에 Edgio는 하위 프로세서 사이트에 새로운 하위 프로세서를 추가하여 고객에게 통지합니다(“통지 서비스”).
4.3 고객이 통지 서비스를 통해 통지된 새로운 하위 프로세서의 Edgio 사용에 대해 합리적인 이의가 있는 경우, 고객은 통지 서비스를 통해 정보를 받은 후 영업일 기준 10일 이내에 서면으로 이의가 있을 경우 즉시 Edgio에게 통지해야 합니다. 고객이 새로운 하위 프로세서에 대해 합리적인 이의를 제기하는 경우, Edgio는 고객의 이의를 해결하기 위해 고객과 선의의 논의를 하는 데 동의합니다. 고객이 섹션 4.3에 따라 신규 또는 교체 하위 프로세서에 대해 적시에 이의를 제기하지 않을 경우, 고객은 해당 하위 프로세서에 동의하고 해당 하위 프로세서에 대한 이의를 제기할 권리를 포기한 것으로 간주됩니다. Edgio는 본 4.3항에 명시된 이의 제기 절차가 진행 중인 동안 새로운 하위 처리기를 사용할 수 있습니다.
4.4 Edgio가 섹션 4.1에 따라 하위 프로세서를 고용하는 경우, 이 DPA에 따라 Edgio에 부과되는 것과 실질적으로 동등한 의무를 부과하는 하위 프로세서와의 서면 계약(“처리 하위 계약”)을 통해 그렇게 할 것입니다. Edgio는 처리 하도급 계약의 조건에 따른 하청 처리자의 의무 이행에 대해 고객에게 책임을 집니다.
5. 데이터 전송
5.1 Edgio에 의한 고객 개인 데이터의 처리가 적절한 국가 이외의 지역에서 발생하는 경우, 당사자는 EEA, 스위스 또는 영국에서 Edgio로 고객 개인 데이터를 전송하는 것과 관련하여 별첨 2(EU 표준 계약 조항) 및 별첨 3(영국 부록)에서 본 DPA에 첨부된 해당 표준 계약 조항이 적용된다는 데 동의합니다. Edgio는 프로세서로서 표준 계약 조항의 ‘데이터 수입자’의 의무를 준수하며, 고객은 컨트롤러로서 ‘데이터 수출자’의 의무를 준수합니다.
5.2 다음 조건은 별첨 2에 명시되고 별첨 3에 규정된 표준 계약 조항에 적용됩니다.
(a) 고객은 본 DPA의 섹션 7(감사)의 요구 사항에 따라 표준 계약 조항 8.(c)에 따라 감사 권리를 행사할 수 있습니다.
(b) Edgio는 본 DPA의 섹션 4(하위 처리)에 명시된 바에 따라 하위 처리자를 임명할 수 있습니다.
5.3 본 섹션 5의 반대 조항에도 불구하고, 표준 계약 조항은 고객이 적절한 국가 외부로 고객 개인 데이터의 합법적인 전송을 위해 인정된 대체 준수 표준을 채택한 범위에는 적용되지 않습니다.
6. 데이터 침해 통지
6.1 Edgio는 Edgio가 단독 재량으로 이러한 보안 사건이 고객 개인 데이터의 보안 및/또는 기밀성을 손상시킨다고 판단하는 경우(이하 “데이터 위반”) 실제 보안 사건이 발생했다는 사실을 인지한 즉시 고객에게 통지합니다. Edgio가 데이터 유출로 고통을 겪는 경우, 고객에게 통지함으로써 양 당사자는 선의로 협력하여 데이터 유출의 영향을 완화하거나 시정하기 위해 필요한 조치에 동의하고 조치를 취해야 합니다. 본 섹션 6(데이터 침해 통지)에 따른 데이터 침해에 대한 Edgio 통지 또는 대응은 데이터 침해와 관련된 오류나 책임에 대한 Edgio의 인정으로 해석되어서는 안 됩니다.
6.2 데이터 위반이 발생할 경우 고객은 관련 법률에서 요구하는 대로 관련 개인 및 기타 당사자에게 통지할지 여부와 통지 방법 및 시기를 결정할 완전한 권한과 책임이 있습니다.
7. 감사
7.1 고객은 고객 개인 데이터와 관련하여 유럽 데이터 보호법에 따른 감사 권리가 Edgio가 제공한 요청을 통해 먼저 행사된다는 데 동의합니다. (a) 섹션 2.(c)(Edgio 보안 조치)에 언급된 Edgio의 기술적 및 조직적 조치와 관련된 Edgio의 감사 보고서 (s)의 요약 사본. 이 보고서는 계약의 기밀 유지 조항을 준수해야 하며 Edgio의 기술적 및 조직적 조치가 충분하고 승인된 업계 감사 표준에 부합함을 입증해야 합니다. (b) 이 DPA에 따라 Edgio가 수행하는 개인 데이터 처리와 관련하여 추가 정보를 요청하거나 요구할 때 관련 감독 기관에 Edgio가 소유 또는 통제하는 추가 정보.
7.2 고객이 섹션 7.1에 따라 감사 보고서를 받은 후 섹션 7.3의 조건에 따라 고객 또는 고객이 위임한 독립적인 제3자 감사인은 Edgio가 본 DPA에 따른 의무를 준수하는지 확인하기 위해 고객 개인 데이터 처리와 관련된 Edgio의 처리 환경을 합리적으로 검사할 수 있습니다.
7.3 위의 섹션 7.2에 따른 감사의 경우,
(a) Edgio는 유럽 데이터 보호법에 따라 Edgio가 본 DPA에 따른 의무를 준수함을 입증하기 위해 고객이 합리적으로 요청할 수 있는 대로 Edgio가 소유 또는 통제하는 정보를 고객에게 제공해야 합니다. 고객은 12개월의 기간에 한 번 이상 감사 권한을 행사할 수 없습니다. 감사는 영업일(정규 업무 시간 중, 미국 연방 공휴일 제외)로 제한되며 당사자가 사전에 합당하게 합의한 범위입니다. 고객은 최소 30일 전에 Edgio에게 감사 통지를 해야 하며 Edgio의 운영에 불필요한 중단을 방지하기 위해 모든 합리적인 조치를 취해야 합니다. 이러한 감사와 관련된 모든 비용과 경비는 고객이 부담해야 합니다.
(b) Edgio는 감사인이 Edgio의 합리적인 의견에 따라 적절하거나 독립적이지 않거나 Edgio의 경쟁자이거나 기타 명백히 부적합할 경우 고객이 임명한 제3자 감사인이 제7.2항에 따른 감사를 수행하도록 반대할 수 있습니다. Edgio의 이러한 이의가 있을 경우 고객은 다른 감사인을 임명하거나 감사를 직접 수행하도록 요구할 수 있습니다.
(c) 본 DPA의 어떠한 조항도 Edgio가 고객 또는 타사 감사자에게 공개하거나 고객 또는 타사 감사자가 다음에 액세스할 수 있도록 허용할 것을 요구하지 않습니다.
(i) Edgio 또는 Edgio 계열사의 다른 고객의 모든 데이터;
(ii) Edgio 또는 Edgio 계열사의 내부 회계 또는 재무 정보
(iii) Edgio 또는 Edgio 계열사의 영업 비밀;
(iv) Edgio의 합리적인 의견에 따라 (1) Edgio 또는 Edgio 계열사의 시스템이나 구내의 보안을 침해하거나 (2) Edgio 또는 Edgio 계열사가 관련 데이터 보호법에 따른 의무나 고객 또는 제3자에 대한 보안 및/또는 개인 정보 보호 의무를 위반하게 할 수 있는 정보
(v) 고객 또는 제3자 감사인이 해당 데이터 보호법에 따른 고객의 선의적 의무 이행 이외의 다른 이유로 액세스하려고 하는 모든 정보.
(d) 고객은 그러한 감사의 결과로 고객에게 개인정보를 공개함으로써 발생하는 실제 또는 추정되는 제3자가 주장하는 모든 비용 및 청구로부터 Edgio를 면책, 방어 및 보호합니다. 서비스 및 처리의 성격을 고려하여, 고객은 Edgio가 서비스를 제공하기 위해 고객으로부터 요구되는 최종 사용자 정보(예: 최종 사용자의 IP 주소)를 기반으로 개인을 식별할 수 있는 위치에 있지 않음을 인정합니다.
8. 일반 조항
8.1 제3자 수혜자. 표준 계약 조항에 따라 부여된 권리를 침해하지 않고, 본 DPA는 제3자 수익자에게는 어떠한 권리도 부여하지 않습니다.
8.2 비공개. 고객은 본 DPA의 세부 정보가 공개적으로 알려지지 않았으며 계약에 정의된 용어에 따라 Edgio 기밀 정보를 구성하는 데 동의합니다.
8.3 생존. 본 DPA는 본 계약의 해당 기간 동안 완전한 효력을 유지하며, 본 계약의 반대되는 조항에도 불구하고 본 계약의 해지 또는 만료 후에도 유효합니다. 계약이 해지되거나 만료되는 경우, Edgio는 이러한 처리가 본 DPA 및 관련 데이터 보호법의 요구 사항을 준수하는 경우 고객 개인 데이터를 계속 처리할 수 있습니다.
8.4 전체 합의, 충돌. 이 DPA는 고객 개인 데이터의 처리에 관한 Edgio와 고객 간의 서면 또는 구두로 이루어진 모든 이전 또는 동시대의 표현, 이해, 합의 또는 커뮤니케이션을 대체하고 대체합니다. 본 DPA에서 개정된 경우를 제외하고 본 계약은 완전한 효력을 유지합니다. 본 DPA의 조건과 계약 간에 상충되는 내용이 있을 경우, 고객 개인 데이터의 처리에 관한 주제까지 본 DPA의 조건이 우선합니다.
8.5 수정안, 포기. 이 DPA는 서면으로만 수정될 수 있으며 양 당사자가 서명할 수 있습니다. 당사자가 본 계약에 명시된 권리를 행사하거나 집행하지 못하거나 지연하는 것은 그러한 권리를 포기하는 것으로 간주되지 않습니다.
PART A
처리자 컨트롤러의 당사자 표준 계약 조항
데이터 내보내기:
이름: 서비스 주문에 따라
주소: 서비스 주문에 따라.
연락 담당자의 이름, 직위 및 연락처 세부 정보: 서비스 주문에 따라
본 조항에 따라 전송되는 데이터와 관련된 활동 : 아래에 설명된 데이터 수입업체의 활동을 참조하십시오.
역할: 컨트롤러
데이터 가져오기:
이름: Edgio, Inc.
주소: 11811 N. Tatum Blvd., 스위트 3031, 피닉스, AZ 85028
담당자 이름, 직위 및 연락처 정보: Rich Diegnan, DPO, rdiegnan@edg.io
본 조항에 따라 전송되는 데이터와 관련된 활동 : Edgio Inc.는 전 세계 PoP(Points of Presence)를 통해 디지털 미디어 고객에게 콘텐츠 전송 네트워크 서비스, 비디오 스트리밍 및 관련 보안 서비스를 제공합니다.
역할: 프로세서
PART B
주제
웹 사이트 가속화, WAF, Edgio 네트워크를 통한 소프트웨어 다운로드 및 고급 봇 서비스를 포함하는 서비스 제공과 관련하여 수행되는 처리.
Duration
발효일로부터 계약의 해지까지.
개인 데이터가 전송되는 데이터 주체의 범주.
고객의 최종 사용자, 고객의 비즈니스 직원
처리의 특성
발효일로부터 계약의 해지까지.
전송되는 개인 데이터의 범주:
범주
데이터
해당되는 경우 선택
고객 콘텐츠의 최종 사용자의 개인 데이터 및 로깅된 데이터의 개인 데이터
고객 콘텐츠의 개인 데이터가 있는 경우 고객이 선택합니다. 그러한 데이터와 관련하여, 그러한 데이터의 처리는 그러한 데이터의 도관으로서의 Edgio의 역할로 제한됩니다. 서비스를 제공하기 위해, Edgio는 데이터 내보내기의 최종 사용자의 IP 주소의 단기 저장을 포함하는 특정 로그 데이터를 처리 및 유지할 수 있습니다.
X
|
엄격한 목적 제한, 액세스 제한(전문 교육을 이수한 직원에 대한 액세스 포함), 데이터에 대한 액세스 기록 보관, 향후 전송 제한 또는 추가 보안 조치 등 데이터의 특성과 관련된 위험을 완전히 고려한 민감한 데이터 처리(해당되는 경우) 및 적용된 제한 또는 보호 조치. |
특별 카테고리
데이터
없음
Nature of the processing
Edgio는 고객 또는 최종 사용자가 서비스에 저장하는 고객 개인 데이터의 도관으로서 콘텐츠 전달 및 보안 서비스를 제공하기 위해 고객 개인 데이터를 처리합니다. Edgio는 서비스 제공을 목적으로 로깅된 데이터를 처리합니다. 로깅된 데이터는 청구 등의 목적으로 미국으로 전송되며 단기간에 저장됩니다.
전송 빈도(예: 데이터가 일회성 또는 연속적으로 전송되는지 여부)
전송은 지속적으로 이루어집니다.
개인 데이터가 보관되는 기간 또는 가능하지 않은 경우 해당 기간을 결정하는 데 사용되는 기준
데이터 전송 및 추가 처리의 목적은 필요한 범위 내에서 Edgio가 계약에 따라 서비스를 제공할 수 있도록 하는 것입니다.
개인 데이터가 보관되는 기간 또는 가능하지 않은 경우 해당 기간을 결정하는 데 사용되는 기준
데이터 전송 및 추가 처리의 목적은 필요한 범위 내에서 Edgio가 계약에 따라 서비스를 제공할 수 있도록 하는 것입니다.
(하위) 프로세서로의 전송의 경우, 처리의 주제, 특성 및 기간을 명시하십시오.
고객의 서비스 구성에 따라 해당 하위 프로세서 세부 정보에는 다음 링크에 제공된 하위 프로세서 세부 정보가 포함됩니다.
https://view.highspot.com/viewer/
616088e19bf7c594a5444f64
주무감독기관
EU 표준 계약 조항: 데이터 전송과 관련하여 데이터 수출업체가 GDPR을 준수하도록 할 책임이 있는 감독 기관은 관할 감독 기관으로 활동합니다.
EU 표준 계약 조항에 대한 영국 부록(해당되는 경우): 데이터 수출자가 영국에 설립되어 있거나 영국 데이터 보호법 및 규정의 적용 범위 내에 속하는 경우 정보 감독청은 관할 감독 기관 역할을 합니다.
파트 C
기술적 광고 조직적 조치
EDGIO 정보 보안 정책
정보 보안 정책. Edgio는 공식적이고 문서화된 정보 보안 정책을 유지하고 있습니다. 이 정책은 다양한 산업 보안 표준을 기반으로 하며 NIST 사이버 보안 프레임워크에 부합하며 Edgio 자산의 모든 Edgio 직원과 권한 있는 사용자에게 적용됩니다.
정보 보안 팀. Edgio는 Edgio의 정보 보안 정책 및 관행의 시행을 촉진하고 지원하기 위해 정보 보안 팀을 유지하고 있습니다.
EDGIO 표준 준수
제품 보안. 적용 가능한 서비스는 Edgio와 그 고객의 비즈니스 및 보안 요구에 맞게 조정된 기술적, 논리적, 물리적 통제를 통해 설계 및 구현됩니다. 적용 가능한 기업 서비스에 대해 Edgio는 다음 표준, 지침 및 관행 중 하나 이상에 따라 서비스에 적용되는 통제를 매년 인증합니다.
PCI(PCI-DSS)
ISO 27001
SSAE-18 SOC 1, 2 또는 3
인증서 공유. 가능한 경우, Edgio는 고객의 합리적인 요청에 따라 고객이 구매하는 각 서비스 제품에 대한 인증서를 제공합니다.
Edgio 인증서 보호 . 고객에게 제공된 인증서는 기밀 정보로 간주됩니다.
컨트롤
Edgio 컨트롤. Edgio는 업계에서 인정하는 보안 관행, 절차 및 Edgio의 위협 환경과 비즈니스 환경에 맞게 특별히 조정된 도구를 사용하여 네트워크를 보호합니다.
타사 하드웨어 보안. Edgio는 시스템 암호 및 기타 보안 매개변수에 대해 공급업체가 제공한 기본값을 변경합니다.
정기적인 시스템 및 보안 테스트. Edgio는 운영 용량을 극대화하기 위해 네트워크 보안에 활용되는 시스템과 프로세스를 정기적으로 테스트합니다.
보안 소프트웨어 개발 주기. Edgio는 개인 정보 보호 및 사이버 보안 위험 평가를 통해 고객 개인 데이터를 보호하도록 설계된 시스템을 개발 및 유지 관리하며, 적절한 경우 개발 수명 주기에서 자동화를 사용하여 다른 관행 중에서도 통제를 시행합니다.
모바일 장치 관리. Edgio에서 발행한 표준 노트북 및 휴대폰과 같은 장치는 해당 장치의 보호와 해당 장치에서 처리하는 데이터의 보안을 책임지고 책임지는 식별 가능한 개인이 유지 관리합니다. Edgio 자산은 Edgio가 아닌 물리적 환경에서 장비를 가지고 여행, 운송 또는 사용할 때마다 물리적으로 잠그거나 비교적 안전하게 보관해야 합니다.
네트워크 모니터링. Edgio는 Edgio 네트워크에서 무단 활동을 식별하도록 설계된 네트워크 모니터링 도구와 절차를 활용합니다.
공급망 위험 관리
계약 관리. Edgio는 Edgio의 정보 보안 표준, 공급업체 행동 강령 및 기타 위험 관리 정책과 같은 적절한 정보 보안 요구 사항을 제3자에게 준수하도록 계약적 조치를 취하고 있습니다.
Edgio 위험 관리. Edgio는 제3자 위험을 관리하기 위해 Edgio 전사적으로 활용되는 거버넌스, 프로세스 및 도구를 수립했습니다. 이 프로그램을 통해 공급업체는 Edgio의 기업 정보 보안 정책 및 업계 모범 사례에 기반한 보안 요구 사항을 충족하거나 초과해야 합니다. 이러한 도구 및 관행에는 공급업체가 설문지를 작성하고, 관리 증거를 제공하고, 원격 또는 현장 평가를 제공하는 것이 포함될 수 있습니다. 이 프로그램은 공급업체와 관련된 문제를 발견하고 적시에 해결하기 위해 노력합니다.
액세스 제어
액세스 관리
논리적 액세스 제어. Edgio는 권한 있는 직원만이 직책과 직무 요건에 따라 중요한 비즈니스 애플리케이션과 시스템에 액세스할 수 있도록 논리적 액세스 제어 정책을 유지합니다.
고유 사용자 ID. Edgio는 권한 있는 각 사용자에게 작업의 책임을 위해 고유한 사용자 ID를 할당합니다.
리뷰 액세스 . Edgio는 권한 부여 검토 및 역할 변경 프로세스를 사용하여 권한이 부여된 사용자가 더 이상 액세스를 요구하지 않을 경우 액세스 권한을 수정 및/또는 취소해야 할 필요성을 관리자에게 알립니다.
활동 로깅. Edgio 정책은 Edgio의 네트워크 및 Edgio 자산에 대한 액세스 로깅 및 모니터링을 요구합니다.
보안 도구. 하드웨어 및 소프트웨어 기반 툴은 방화벽, 침입 탐지 시스템, 라우터 및 스위치와 같은 장치로부터 실시간 경고를 제공하기 위해 Edgio 네트워크 전체에 배포되었습니다.
이벤트 로그. 이벤트 로그를 생성하려면 중요한 Edgio 자산을 구성해야 합니다. 이벤트 로그는 데이터 보존 및 규정 요구 사항에 따라 보존됩니다.
최소 권한의 원칙 . Edgio는 일반적으로 최소 권한 원칙을 활용하여 각 시스템에 대한 액세스를 관리합니다. 프로덕션 네트워크, 시스템 또는 응용 프로그램 기능에 대한 특별 액세스는 일반적으로 운영 가능한 최소한의 인력으로 제어 및 제한되며 “알아야 할 필요” 또는 “이벤트별 이벤트”에 따라 권한이 부여됩니다.
원격 액세스를 위한 다단계 인증 . Edgio의 정책은 Edgio의 네트워크 및 Edgio 자산에 대한 원격 액세스를 보호하기 위해 다중 요소 인증을 사용하도록 요구합니다.
신원 확인. Edgio의 액세스 제어 정책은 승인된 사용자 액세스 자격 증명이 개인, 시스템 또는 서비스를 고유하게 식별하고 보호할 것을 요구합니다. 권한이 부여된 사용자 액세스 자격 증명에 의해 부여된 액세스는 여전히 필요한지 확인하기 위해 정기적으로 검토되어야 합니다.
프로비저닝 해제 . 더 이상 필요하지 않거나(예: 직무 역할 변경) 해지할 경우 액세스는 프로비저닝을 해제하거나 제거해야 합니다.
물리적 보안
물리적 제어. Edgio는 제어장치를 이용하여 Edgio 시스템을 수용하는 시설에 대한 물리적 접근을 허가된 직원에게 제한합니다.
물리적 액세스 관리. 시설 유형에 따라 전자 카드 액세스 리더, 키, 보안 경비원 또는 현지 회사 직원이 접근을 허용할 수 있습니다.
감시. CCTV 카메라는 인력, 운영 및 재산을 보호하기 위해 전략적 위치에 배치됩니다.
방문자 관리. Edgio 정책은 방문자가 항상 Edgio가 발급한 방문자 배지를 소지하고 전시하도록 요구합니다. Edgio는 방문자가 방문자 배지를 받기 전에 방문자의 로그에 로그인하도록 요구합니다. Edgio 직원은 Edgio 구내에 있는 동안 항상 회사에서 발급한 ID 배지를 착용해야 합니다.
데이터 센터 보안. Edgio는 각 컴퓨터실, 데이터 센터 및 유사 시설에 대한 물리적 보안 통제를 요구합니다.
직원 및 계약자 정보 보안 교육
연간 정보 보안 인식 교육. Edgio는 Edgio 직원과 계약업체가 매년 정보 보안 및 사이버 보안에 대한 교육을 이수하여 정보 보안에서 자신의 역할을 알릴 것을 요구합니다.
침투 테스트
Edgio의 내부용 침투 테스트. Edgio는 위험을 기준으로 Edgio의 내부 및 외부 환경에 대한 침투 테스트를 수행합니다.
침투 시험에 대한 제한 . Edgio와 그 고객에게 제기된 보안 문제로 인해 Edgio는 Edgio가 소유, 운영 또는 Edgio 데이터 센터에 위치한 네트워크 장치의 보안 상태를 고객이 테스트하는 것을 허용하지 않습니다. 또한 Edgio는 서비스 거부, 플러딩 또는 네트워크 대역폭의 상당한 소비를 포함하는 유사한 테스트 활동을 허용하지 않습니다.
방화벽 및 네트워크 세분화
방화벽 및 보안 도구. Edgio는 Edgio 네트워크 전반에서 하드웨어 및 소프트웨어 기반 도구(예: 방화벽)를 활용하여 침입 감지 시스템, 라우터 및 스위치와 같은 장치로부터 실시간 경고를 제공합니다.
네트워크 및 시스템 아키텍처. Edgio는 시스템, 소프트웨어 및 네트워크 아키텍처 관행을 사용하여 사이버 위험을 완화합니다.
백업(고객 콘텐츠에는 적용되지 않음)
백업 정책. Edgio는 적절한 경우 데이터 백업 정책 및 절차를 공식적으로 유지 관리합니다. 데이터 매핑, 보존 또는 삭제 작업을 완료할 때 데이터 백업이 관리되고 고려됩니다.
중요 파일 백업 및 테스트. 관리자는 중요한 파일을 정기적으로 백업하고 정보가 손상, 손실 또는 손상되지 않도록 적절한 예방 조치를 취해야 합니다. 또한 관리자는 백업/재해 복구 복원 절차에 대한 주기적인 테스트를 수행해야 합니다.
데이터 보존 및 데이터 파기(고객 콘텐츠에는 적용되지 않음)
데이터 보존 정책. Edgio 정책은 데이터의 생성, 전송, 저장, 수정, 보존 및 파기에서부터 데이터의 수명주기 전반에 걸쳐 체계적이고 구조화된 방식으로 데이터를 관리하고 보호할 것을 요구합니다.
시스템별. Edgio는 시스템별 데이터 보존 요약을 사용하여 데이터 보존을 관리합니다. 데이터 보존 요약에는 시스템에 포함된 데이터 유형, 각 데이터 유형의 수집 및 사용 목적, 폐기를 위한 Evenvenment (s) 트리거 및 데이터 보존 기간이 기록됩니다. 이러한 데이터 보존 요약은 Edgio의 전사적 데이터 보존 일정과 관련 법률, 규정 및 고객 요구 사항을 준수하기 위해 필요합니다.
데이터 삭제. Edgio의 데이터 파괴 방법은 NIST 800-88과 일치하며 자기, 솔리드 스테이트, 광학 매체 및 기밀 종이 문서에 포함된 데이터를 포함합니다.
사고 대응/데이터 위반
프로그램
사고 대응 계획. Edgio는 데이터 침해에 적시에 대응할 수 있도록 실행 가능한 서면 사고 대응 계획을 유지하고 있습니다.
대응 계획 테스트. Edgio의 사고 대응 계획은 문서화된 절차를 조정하고 검증하기 위한 테이블 상판 연습을 통해 테스트됩니다.
사고 대응 및 완화
보안 이벤트 검토. 보안 이벤트 데이터는 일정에 따라 검토 및 분석됩니다. 보안 이벤트는 미리 결정된 이벤트 임계값을 초과할 경우 즉시 에스컬레이션되어야 하며 정의된 사고 관리 프로세스에 따라 대응해야 합니다.
인적 자원
HR 시스템; 프로비저닝 해제. Edgio의 정보 보안 프로토콜 및 절차는 Edgio 인적 자원 시스템 및 프로세스에 모두 포함되어야 합니다. Edgio의 인사 부서(“HR”)와 IT 부서는 신입 직원 요청, 역할 변경 또는 직원 해고를 다루는 계정 생성, 역할 권한 부여 및 액세스 권한 해제를 위한 자동화된 감사 가능한 루틴을 마련했습니다.
백그라운드 검사. 관련 법률에 따라 HR은 채용 시 Edgio 직원에 대한 포괄적인 고용 전 배경 조사를 완료합니다. 여기에는 범죄 기록, SSN, 노동 허가 및 금지 당사자 목록(예: 해외자산관리국) 확인이 포함됩니다.
Edgio 행동 강령 . Edgio 행동 강령은 Edgio 직원이 Edgio의 정보 보안 정책 및 절차를 준수하도록 요구합니다.
취약점 관리 프로그램
취약점 위험 완화. Edgio의 취약점 관리 프로그램은 Edgio의 비즈니스 환경에서 취약점의 위험을 완화하기 위한 관행과 절차를 구현하고 유지하도록 설계되었습니다.
패치 관리 프로세스. 네트워크 및 호스팅 시스템의 높은 수준의 기능과 보안을 유지하기 위해 Edgio는 Edgio 네트워크에 설치된 프로덕션 하드웨어 및 소프트웨어에 대한 패치 관리 프로세스를 확립했습니다. 벤더 보안 패치는 처음에 평가되어 위험 및 배포 우선 순위를 결정합니다. 적절한 테스트 절차를 통과한 패치는 프로덕션에 배포할 일정을 잡기 위해 릴리스됩니다.
중요한 시스템 변경. Edgio는 Edgio 자산의 중요한 변경 사항을 스케줄링, 모니터링, 제어 및 추적합니다.
취약성 검사. Edgio는 정기적으로 내부 및 외부 취약점 검사를 수행합니다. 시스템 소유자는 변화하는 위협 벡터에 적응하기 위해 필요에 따라 실시간 취약점 시스템 검사를 예약할 수 있습니다.
고객 스캔에 대한 제한 사항 . Edgio 시스템을 방해하고 Edgio와 그 고객에게 보안 위험을 초래할 수 있기 때문에 Edgio는 고객(또는 그 제3자)이 Edgio 자산을 테스트하거나 스캔하는 것을 허용하지 않습니다.
보고서 공유에 대한 제한 사항 . Edgio는 Edgio 인프라 내에 배포된 특정 하드웨어, 소프트웨어 또는 타사 제품의 사용 및/또는 사용과 관련된 취약점 보고나 특정 CVE(Common Vulnerability & Exposures) 질문에 답변하지 않습니다.
비즈니스 연속성 및 이벤트 관리(“BCEM”)
비즈니스 연속성 프로토콜. Edgio는 Edgio의 네트워크와 시설을 방해하거나 Edgio의 서비스 제공 능력을 저해할 수 있는 중요한 이벤트에 대응하는 Edgio의 능력을 향상시키기 위해 설계된 비즈니스 연속성 및 재해 복구 프로토콜을 유지 관리하고 있습니다.
재해 위험 평가. Edgio의 비즈니스 연속성 및 재해 복구 사례는 Edgio 자산에 대한 잠재적인 복구 위험을 식별하고 업계에서 인정하는 사례를 사용하여 이러한 위험을 최소화하고 완화하도록 설계된 조치를 구현합니다.
전담 팀 리소스. Edgio는 엄격한 표준화된 계획 및 정기적인 테스트를 통해 복구 위험을 최소화하고 Edgio의 대응 능력을 검증하기 위한 전략을 개발 및 구현합니다.
별첨 2: EU로부터의 양도에 사용되는 표준 계약 조항
(컨트롤러에서 프로세서까지)
유럽 의회 및 이사회 규정(EU) 2016/679에 따라 제3국으로 개인 데이터를 전송하는 표준 계약 조항에 대한 결정(EU) 2021/914를 이행하는 위원회(처리자 전송에 대한 컨트롤러).
고객 및 Edgio, Inc.의 “데이터 수출자”는 각각 “당사자”로, “당사자”로 합쳐져 “당사자”로 간주됩니다.
여기에 포함된 상호 언약과 약속을 고려하여
데이터 수출자가 부록 1에 명시된 개인 데이터의 데이터 수입자에게 전송하기 위해 개인 정보 보호 및 기본권 및 개인의 자유와 관련하여 적절한 보호 조치를 마련하기 위해 다음 계약 조항(“조항”)에 동의합니다.
섹션 I
조항 1
목적 및 범위
(a) 이 표준 계약 조항의 목적은 제3국으로의 데이터 전송을 위한 개인 데이터 처리 및 해당 데이터의 자유로운 이동과 관련하여 자연인 보호에 관한 2016년 4월 27일 유럽 의회 및 이사회의 규정(EU) 2016/679의 요구 사항을 준수하는 것입니다(일반 데이터 보호 규정).
(b) 당사자:
(i) (s) 부록 I.A에 명시된 개인 데이터를 전송하는 자연적 또는 법적 대리인, 기관 또는 기타 기관(이하 ‘법인’) 및
(ii) 본 조항의 당사자가 본 조항의 당사자인 데이터 수출자로부터 직접 또는 간접적으로 개인정보를 수신하는 제3국의 법인(이하 각 ‘데이터 수입자’)
이 표준 계약 조항(이하 ‘조항’)에 동의해야 합니다.
(c) 본 조항은 부록 I.B.에 명시된 개인 데이터의 전송과 관련하여 적용됩니다.
(d) 여기에 언급된 부속서를 포함하는 이 조항의 부록은 이 조항의 필수적인 부분을 형성한다.
조항 2
조항의 효과 및 불변성
(a) 본 조항은 제46조(1) 및 제46조(2 (c) of Regulation(EU) 2016/679 및 컨트롤러에서 프로세서 및/또는 프로세서로의 데이터 전송과 관련하여 규정(EU) 2016/679의 제28조(7)에 따른 표준 계약 조항을 수정하지 않고 부록에서 적절한 모듈 (s)를 선택하거나 정보를 추가하거나 업데이트하는 경우를 제외하고, 집행 가능한 데이터 주체의 권리와 효과적인 법적 구제책을 포함한 적절한 보호 조치를 명시하고 있습니다. 이는 당사자가 본 조항에 규정된 표준 계약 조항을 보다 광범위한 계약에 포함하거나 다른 조항 또는 추가 안전 장치를 추가하는 것을 방지하지 않습니다. 단, 이러한 조항이 본 조항과 직간접적으로 모순되거나 데이터 주체의 기본권 또는 자유를 침해하지 않는다는 전제하에 해당합니다.
(b) 본 조항은 규정(EU) 2016/679에 따라 데이터 수출자가 준수해야 하는 의무를 침해하지 않습니다.
조항 3
타사 수혜자
(a) 데이터 주체는 데이터 수출자 및/또는 데이터 수입자를 상대로 제3자 수혜자로서 본 조항을 발동하고 시행할 수 있으며, 여기에는 다음과 같은 예외 사항이 포함됩니다.
(i) 제1항, 제2항, 제3항, 제6항, 제7항
(ii) 8항 – 모듈 2: 8.(b), 8.(a), (c), (d) 및 (e)
(iii) 제9조 – 모듈 2: 조항 (a), (C), (D) 및 (e);
(iv) 제 12 조 – 모듈 2 : 제 1 조 (a), (d) 및 (f);
(v) 제13조
(vi) 15.(c), (d) 및 (e)
(vii) 제1항 (e),
(viii) 제18조 – 모듈 2: 제1항 (a) 및 (b).
(b) 단락 (a) 규정 (EU) 2016/679에 따라 정보 주체의 권리를 침해하지 않습니다.
조항 4
통역
(a) 본 조항이 규정(EU) 2016/679에 정의된 조항을 사용하는 경우, 해당 조항은 해당 규정과 동일한 의미를 가집니다.
(b) 본 조항은 규정 (EU) 2016/679의 규정에 비추어 읽고 해석해야 한다.
(c) 본 조항은 규정(EU) 2016/679에 규정된 권리 및 의무와 충돌하는 방식으로 해석되어서는 안 됩니다.
조항 5
계층 구조
본 조항과 당사자 간의 관련 계약 조항 사이에 모순이 있는 경우, 본 조항이 합의 또는 체결 당시에 존재하는 경우, 본 조항이 우선합니다.
조항 6
전송 (s)에 대한 설명
전송 (s)의 세부 사항, 특히 전송되는 개인 데이터의 범주 및 전송되는 목적 (s)는 부록 I.B.에 명시되어 있습니다.
조항 7
도킹 조항
의도적으로 공백.
섹션 II – 당사자의 의무
조항 8
데이터 보호 보호
데이터 수출자는 데이터 수입자가 적절한 기술적 및 조직적 조치를 이행함으로써 본 조항에 따른 의무를 충족할 수 있는지 판단하기 위해 합리적인 노력을 기울였음을 보증합니다.
8.1 지침
(a) 데이터 수입자는 데이터 수출자의 문서화된 지침에 따라서만 개인 데이터를 처리해야 합니다. 데이터 수출자는 계약 기간 동안 이러한 지침을 제공 할 수 있습니다.
(b) 데이터 수입자는 해당 지침을 따를 수 없는 경우 데이터 수출자에게 즉시 알려야 합니다.
8.2 목적 제한
데이터 수입업체는 데이터 수출업체의 추가 지침이 없는 한, 부록 I.B에 명시된 바와 같이 전송의 특정 목적 (s)에 대해서만 개인 데이터를 처리합니다.
8.3 투명성
요청 시 데이터 수출자는 당사자가 작성한 부록을 포함하여 본 조항의 사본을 데이터 주체가 무료로 사용할 수 있도록 제공해야 합니다. 부록 II에 기술된 조치 및 개인 데이터를 포함하여 비즈니스 기밀 또는 기타 기밀 정보를 보호하기 위해 필요한 범위 내에서 데이터 수출자는 사본을 공유하기 전에 본 조항 부록 텍스트의 일부를 수정할 수 있지만, 데이터 주체가 그 내용을 이해하거나 권리를 행사할 수 없는 경우에는 의미 있는 요약을 제공해야 합니다. 당사자는 요청이 있을 경우, 편집된 정보를 공개하지 않고 가능한 범위 내에서 정보 주체에게 교정 사유를 제공해야 한다. 이 조항은 규정 (EU) 2016 / 679 제 13 조 및 14 조에 따른 데이터 수출자의 의무를 침해하지 않습니다.
8.4 정확도
데이터 수입자는 자신이 수신한 개인 데이터가 부정확하거나 구식임을 알게 된 경우, 부당한 지체 없이 데이터 수출자에게 통지해야 합니다. 이 경우 데이터 수입자는 데이터 수출자와 협력하여 데이터를 지우거나 정정해야 합니다.
8.5 데이터 처리 및 삭제 또는 반환 기간
데이터 수입자에 의한 처리는 별첨 I.B.에 명시된 기간 동안만 이루어집니다. 처리 서비스 제공이 종료된 후 데이터 수입자는 데이터 수출자의 선택에 따라 데이터 수출자를 대신하여 처리된 모든 개인 데이터를 삭제하고 데이터 수출자에게 이를 증명하거나 데이터 수출자를 대신하여 처리된 모든 개인 데이터를 데이터 수출자에게 반환하고 기존 사본을 삭제해야 합니다. 데이터가 삭제되거나 반환될 때까지 데이터 수입자는 이 조항을 계속 준수해야 합니다. 개인 데이터의 반환 또는 삭제를 금지하는 데이터 수입업체에 적용되는 현지 법률의 경우, 데이터 수입업체는 이러한 조항을 계속 준수할 것을 보증하며 해당 현지 법률에서 요구하는 범위 내에서 그리고 기간 동안만 처리합니다. 이는 제14조, 특히 제1 (e)에 따른 데이터 수입업체가 제1 (a)에 따른 요건에 부합하지 않는 법률 또는 관행의 적용을 받거나 받는다고 판단될 만한 이유가 있는 경우 계약 기간 동안 데이터 수출업체에 통지해야 한다는 요건을 침해하지 않습니다.
8.6 처리 보안
(a) 데이터 수입자 및 전송 중에 데이터 수출자는 우발적 또는 불법적인 파기, 손실, 변경, 무단 공개 또는 해당 데이터에 대한 액세스(이하 ‘개인 데이터 침해’)로 이어지는 보안 침해에 대한 보호를 포함하여 데이터의 보안을 보장하기 위한 적절한 기술적 및 조직적 조치를 이행해야 합니다. 당사자는 적절한 보안 수준을 평가할 때 기술 상태, 구현 비용, (s) 처리의 특성, 범위, 맥락 및 목적 및 데이터 주체의 처리와 관련된 위험을 적절히 고려해야 합니다. 당사자는 특히 전송 중에 암호화 또는 가명 처리에 의지하는 것을 고려해야 하며, 처리 목적이 그러한 방식으로 이행될 수 있습니다. 가명 처리의 경우, 개인정보를 특정 정보주체에게 귀속시키기 위한 추가 정보는 가능하면 데이터 수출자의 배타적 통제하에 유지된다. 본 항에 따른 의무를 준수함에 있어 데이터 수입자는 최소한 부록 II에 명시된 기술적 및 조직적 조치를 이행해야 한다. 데이터 수입자는 이러한 조치가 적절한 수준의 보안을 지속적으로 제공하는지 확인하기 위해 정기적인 점검을 수행해야 합니다.
(b) 데이터 수입자는 계약의 이행, 관리 및 모니터링에 엄격하게 필요한 범위에서만 개인 데이터에 대한 액세스를 직원 구성원에게 부여합니다. 본 계약은 개인 정보 처리 권한이 있는 사람이 기밀을 유지하도록 약속하거나 적절한 법적 기밀 유지 의무를 준수하도록 보장합니다.
(c) 본 조항에 따라 데이터 수입자가 처리하는 개인 데이터와 관련하여 개인 데이터가 유출되는 경우, 데이터 수입자는 부작용을 완화하기 위한 조치를 포함하여 해당 위반을 해결하기 위한 적절한 조치를 취해야 합니다. 또한 데이터 수입자는 위반 사실을 알게 된 후 부당한 지체 없이 데이터 수출자에게 통지해야 한다. 이러한 통지에는 더 많은 정보를 얻을 수 있는 연락 지점의 세부 정보, 위반의 성격에 대한 설명(가능한 경우 범주와 관련 데이터 주체 및 개인 데이터 기록의 대략적인 수 포함), 발생 가능한 결과 및 가능한 부작용을 완화하기 위한 조치를 포함하여 위반을 해결하기 위해 취하거나 제안한 조치 등이 포함되어야 합니다. 모든 정보를 동시에 제공할 수 없는 경우, 최초 통지에는 당시 사용 가능한 정보가 포함되어야 하며, 추가 정보가 제공될 경우 부당한 지체 없이 이후에 제공되어야 합니다.
(d) 데이터 수입자는 데이터 수출자가 Regulation (EU) 2016/679에 따른 의무를 준수할 수 있도록 데이터 수출자와 협력하고 지원하며, 특히 처리의 성격과 데이터 수입자가 이용할 수 있는 정보를 고려하여 관할 감독 당국 및 영향을 받는 데이터 주체에게 통지한다.
8.7 민감한 데이터
전송이 인종 또는 민족, 정치적 견해, 종교적 또는 철학적 신념 또는 노동조합 가입, 유전자 데이터 또는 자연인을 고유하게 식별할 목적으로 생체 정보, 건강 또는 개인의 성생활 또는 성적 취향에 관한 데이터 또는 범죄 유죄 판결 및 범죄와 관련된 데이터(이하 ‘민감한 데이터’)를 드러내는 개인 데이터와 관련된 경우 데이터 수입자는 별첨 I. B에 설명된 특정 제한 및/또는 추가 보호 조치를 적용해야 합니다.
8.8 이후 환승
데이터 수입자는 데이터 수출자의 문서화된 지침에 따라서만 개인 데이터를 제3자에게 공개해야 합니다. 또한, 해당 모듈에 따라, 또는 다음과 같은 경우, 데이터는 유럽 연합 외부에 위치한 제3자(데이터 수입업체와 동일한 국가 또는 다른 제3국에 위치한 제3자(이하 ‘향후 이전’)에게만 공개될 수 있습니다.
(i) 제45조에 따른 적정성 결정에 따른 수혜를 받는 국가로, 제EU(제2016/679항)에 해당하며, 제45조에 따른 적정성 결정으로 인해 이득을 보는 국가로, 제1 양도(제1)에 해당되는 경우
(ii) 제3자는 문제의 처리와 관련하여 (EU) 2016/679의 제46조 또는 제47조에 따라 적절한 안전조치를 보장한다.
(iii) 후속 이전은 특정 행정, 규제 또는 사법 절차의 맥락에서 법적 청구의 성립, 행사 또는 방어에 필요한 경우; 또는
(iv) 데이터 주체 또는 다른 자연인의 중대한 이익을 보호하기 위해 후속 전송이 필요합니다.
향후 전송은 데이터 수입업체가 본 조항에 따른 기타 모든 보호 조치, 특히 목적 제한을 준수해야 합니다.
8.9 문서화 및 규정 준수
(a) 데이터 수입자는 본 조항에 따른 처리와 관련된 데이터 수출자의 문의를 신속하고 적절하게 처리해야 합니다.
(b) 당사자는 이 조항을 준수함을 입증할 수 있어야 합니다. 특히 데이터 수입자는 데이터 수출자를 대신하여 수행되는 처리 활동에 대한 적절한 문서를 보관해야 합니다.
(c) 데이터 수입자는 본 조항에 명시된 의무를 준수하고 데이터 수출자의 요청에 따라 데이터 수출자에게 필요한 모든 정보를 제공해야 하며, 합리적인 간격으로 또는 규정 위반 징후가 있는 경우 본 조항에서 다루는 처리 활동에 대한 감사를 허용하고 이에 기여해야 합니다. 검토 또는 감사를 결정할 때 데이터 수출자는 데이터 수입자가 보유한 관련 인증을 고려할 수 있습니다.
(d) 데이터 수출자는 스스로 감사를 수행하거나 독립적 인 감사자를 위임 할 수 있습니다. 감사에는 데이터 수입업체의 부지 또는 물리적 시설에서의 검사가 포함될 수 있으며, 적절한 경우 합당한 통지를 통해 수행되어야 합니다.
(e) 당사자는 제2항에 언급된 정보를 제공하여야 한다. (B) 및 (c) 감사 결과를 포함하여 요청 시 관할 감독 기관에 제공.
조항 9
하위 프로세서 사용
(a) 데이터 수입자는 합의된 목록에서 하위 프로세스 (s)의 관여에 대한 데이터 수출자의 일반 승인을 받습니다. 데이터 수입자는 하위 프로세서의 추가 또는 교체를 통해 해당 목록에 대한 의도된 변경 사항을 최소 30일 전에 데이터 수출자에게 서면으로 구체적으로 알려야 하며, 따라서 하위 프로세서의 (s)가 개입되기 전에 데이터 수출자에게 이러한 변경 사항에 대해 이의를 제기할 수 있는 충분한 시간을 제공해야 한다. 데이터 수입자는 데이터 수출자가 이의권을 행사할 수 있도록 필요한 정보를 데이터 수출자에게 제공하여야 한다.
(b) 데이터 수입업체가 하위 처리업체를 고용하여 특정 처리 활동을 수행하는 경우(데이터 수출업체를 대신하여), 데이터 주체에 대한 제3자 수혜자 권리 조항을 포함하여 본 조항에 의거하여 데이터 수입업체를 구속하는 의무와 동일한 데이터 보호 의무를 실질적으로 규정하는 서면 계약을 통해 이를 이행해야 합니다. 양 당사자는 이 조항을 준수함으로써 데이터 수입자가 8.8항에 따른 의무를 이행한다는 데 동의합니다. 데이터 수입자는 하위 프로세서가 이러한 조항에 따라 데이터 수입자가 준수해야 하는 의무를 준수하도록 해야 합니다.
(c) 데이터 수입자는 데이터 수출자의 요청에 따라 이러한 하위 프로세서 계약의 사본 및 데이터 수출자에게 후속 수정 사항을 제공해야 합니다. 개인 데이터를 포함한 비즈니스 비밀 또는 기타 기밀 정보를 보호하기 위해 필요한 범위 내에서 데이터 수입자는 사본을 공유하기 전에 계약서의 텍스트를 수정할 수 있습니다.
(d) 데이터 수입자는 데이터 수입자와의 계약에 따른 하위 프로세서의 의무를 이행하기 위해 데이터 수출자에 대해 전적인 책임을 진다. 데이터 수입자는 하위 프로세서가 해당 계약에 따른 의무를 이행하지 못한 경우 데이터 수출자에게 통지해야 합니다.
(e) 데이터 수입자는 하위 처리자와 제3자 수혜자 조항에 동의해야 하며, 데이터 수입자가 사실상 사라졌거나, 법률에 따라 존재하지 않거나, 파산된 경우 데이터 수출자는 하위 처리자 계약을 해지하고 하위 처리자에게 개인 데이터를 삭제 또는 반환하도록 지시할 권리가 있습니다.
조항 10
데이터 주체 권리
(A) 데이터 수입자는 데이터 주체로부터 받은 모든 요청을 데이터 수출자에게 즉시 통지해야 한다. 데이터 수출자의 승인을 받지 않은 경우, 해당 요청 자체에 응답하지 않습니다.
(b) 데이터 수입자는 데이터 수출자가 규정 (EU) 2016/679에 따른 권리 행사에 대한 데이터 주체의 요청에 대응할 의무를 이행하도록 지원한다. 이와 관련하여, 당사자는 별첨 II에 지원이 제공되는 처리의 성격과 필요한 지원의 범위 및 범위를 고려하여 적절한 기술적 및 조직적 조치를 명시해야 합니다.
(c) 제2항에 따른 의무를 이행하는 경우 (A) 및 (b) 데이터 수입자는 데이터 수출자의 지시에 따라야 합니다.
조항 11
교정
(a) 데이터 수입자는 불만 사항을 처리할 권한이 있는 연락처를 개별 통지 또는 웹 사이트를 통해 투명하고 쉽게 접근 가능한 형식으로 정보 주체에게 알려야 합니다. 정보 주체로부터 받은 불만 사항을 즉시 처리해야 합니다.
(b) 본 조항의 준수와 관련하여 데이터 주체와 당사자 중 한 사람 사이에 분쟁이 발생할 경우, 해당 당사자는 적시에 문제를 우호적으로 해결하기 위해 최선의 노력을 다해야 한다. 양 당사자는 이러한 분쟁에 대해 서로에게 통보하고, 적절한 경우 이를 해결하기 위해 협력해야 합니다.
(c) 데이터 주체가 제3항에 따라 제3자 수익권을 발동하는 경우, 데이터 수입자는 다음 사항에 따라 데이터 주체의 결정을 수락해야 합니다.
(i) 제13조에 따라 상주하는 회원국 또는 직장의 감독기관 또는 관할 감독기관에 불만을 제기하는 행위
(ii) 제18조의 의미 내에서 분쟁을 관할 법원에 회부한다.
(d) 당사자는 규정(EU) 2016/679조 제80조(1)에 명시된 조건에 따라 정보 주체가 비영리 단체, 단체 또는 협회에 의해 대표될 수 있음을 인정합니다.
(e) 데이터 수입자는 해당 EU 또는 회원국 법률에 따라 구속력이 있는 결정을 준수해야 합니다.
(f) 데이터 수입자는 데이터 주체의 선택이 관련 법률에 따라 구제책을 모색할 수 있는 실질적 및 절차적 권리를 침해하지 않는다는 데 동의합니다.
조항 12
책임
(a) 각 당사자는 본 조항의 위반으로 인해 상대방 당사자에게 발생한 손해에 대해 상대방 당사자에게 책임을 진다.
(b) 데이터 수입자는 데이터 주체에 대해 책임을 지며, 데이터 주체는 데이터 수입자 또는 하위 프로세서가 본 조항에 따른 제3자 수익자 권리를 침해하여 데이터 주체에 발생한 중대한 또는 비물질적 손해에 대해 보상을 받을 권리가 있습니다.
(c) 항에도 불구하고 (b) 데이터 수출자는 데이터 주체에 대해 책임을 지며 데이터 주체는 중대한 또는 비물질적 손해에 대해 보상을 받을 권리가 있습니다. 데이터 수출자 또는 데이터 수입자(또는 하위 프로세서)는 본 조항에 따른 제3자 수혜자 권리를 침해하여 데이터 주체를 유발합니다. 이는 데이터 수출자의 책임을 침해하지 않으며, 데이터 수출자가 컨트롤러를 대신하여 행동하는 프로세서인 경우 규정(EU) 2016/679 또는 규정(EU) 2018/1725에 따라 컨트롤러의 책임에 대한 책임이 적용됩니다.
(d) 당사자는 데이터 수출자가 제2항에 따라 책임을 지는 경우 이에 동의합니다. (c) 데이터 수입자(또는 하위 프로세서)에 의해 발생한 손해에 대해, 데이터 수입자의 손해에 대한 책임에 해당하는 보상의 일부를 데이터 수입자로부터 청구할 권리가 있습니다.
(e) 본 조항의 위반으로 인해 데이터 주체에게 발생한 손해에 대해 둘 이상의 당사자가 책임을 지는 경우, 모든 책임 당사자는 연대적 책임이 있으며, 데이터 주체는 이러한 당사자 중 하나에 대해 법정에서 소송을 제기할 권리가 있습니다.
(f) 당사자는 일방 당사자가 제1항에 따라 책임을 지는 경우 이에 동의합니다. (e) 손해에 대한 자신의 책임에 상응하는 배상의 일부를 상대방으로부터 청구할 권리가 있다.
(g) 데이터 수입자는 자신의 책임을 회피하기 위해 하위 프로세서의 행동을 유발할 수 없습니다.
조항 13
감독
부록 I.C에 명시된 바와 같이 데이터 전송과 관련하여 데이터 수출자의 규정(EU) 2016/679의 준수를 보장할 책임이 있는 감독 기관은 관할 감독 기관으로 활동합니다.
(b) 데이터 수입자는 본 조항의 준수를 보장하기 위한 모든 절차에서 관할 감독 당국의 관할권에 제출하고 관할 감독 당국과 협력할 것에 동의합니다. 특히 데이터 수입자는 질의에 대응하고 감사에 제출하며 감독 당국이 채택한 조치, 구제 및 보상 조치를 준수하는 데 동의합니다. 감독기관에 필요한 조치가 취해졌음을 서면으로 확인하여야 한다.
섹션 III – 공공 기관이 접근할 경우 현지 법률 및 의무
조항 14
조항 준수에 영향을 미치는 현지 법률 및 관행
(a) 양 당사자는 데이터 수입자의 개인 데이터 처리에 적용되는 제3국의 법률 및 관행(개인 데이터 공개 요구 사항 또는 공공 당국의 액세스를 허용하는 조치 포함)이 데이터 수입자가 본 조항에 따른 의무를 이행하지 못하도록 한다고 믿을 이유가 없음을 보증합니다. 이는 기본권과 자유의 본질을 존중하고 규정(EU) 2016/679조 제23조 제1항에 열거된 목적 중 하나를 보호하기 위해 민주사회에서 필요하고 비례적인 것을 초과하지 않는 법률과 관행은 이 조항과 모순되지 않는다는 이해에 기초한다.
(b) 당사자는 제1항의 보증을 제공할 때 (a), 그들은 특히 다음과 같은 요소들을 적절하게 고려했습니다.
(i) 처리 체인의 길이, 관련 행위자 수 및 사용된 전송 채널, 의도된 향후 전송, 수신자의 유형, 처리 목적, 전송된 개인 데이터의 범주 및 형식, 전송이 발생하는 경제 부문, 전송된 데이터의 저장 위치 등을 포함한 전송의 특정 상황
(ii) 제3국의 법률 및 관행(공공 기관에 데이터를 공개하거나 해당 기관에 의한 액세스를 허가하는 것을 포함)은 전송의 특정 상황과 적용 가능한 제한 및 보호 조치에 비추어 관련;
(iii) 목적지 국가에서 개인 데이터의 전송 및 처리에 적용되는 조치를 포함하여 본 조항에 따른 보호 장치를 보완하기 위해 마련된 관련 계약, 기술 또는 조직적 보호 장치.
(c) 데이터 수입자는 제1항에 따른 평가를 수행할 때 이를 보증합니다. (b) 데이터 수출자에게 관련 정보를 제공하기 위해 최선을 다했으며, 본 조항을 준수하기 위해 데이터 수출자와 계속 협력할 것에 동의합니다.
(d) 당사자는 (b)항에 따른 평가를 문서화하고 요청에 따라 관할 감독 기관에 제공하기로 동의한다.
(e) 데이터 수입자는 본 조항에 동의한 후 계약 기간 동안 (a)항에 따른 요건에 부합하지 않는 법률 또는 관행의 적용을 받거나 적용을 받는다고 판단할 만한 이유가 있는 경우, 제3국 법률의 변경 또는 (a)항에 규정된 요건에 부합하지 않는 법률의 적용을 나타내는 조치(예: 공개 요청)를 포함하여 데이터 수출자에게 즉시 통지할 것에 동의합니다.
(f) (e)항에 따른 통지 후, 또는 데이터 수출자가 본 조항에 따른 의무를 더 이상 이행할 수 없다고 믿을 만한 이유가 있는 경우, 데이터 수출자는 데이터 수출자 및/또는 데이터 수입자가 상황을 해결하기 위해 채택할 적절한 조치(예: 보안 및 기밀성을 보장하기 위한 기술적 또는 조직적 조치)를 즉시 확인해야 합니다. 데이터 수출자는 이러한 계약 당사자가 본 조항을 준수하기 위해 계약 종료 시 관련 당사자와 계약을 체결할 수 있다고 판단하는 경우 데이터 전송을 일시 중단해야 (d) 합니다.
조항 15
공공 기관에 의한 액세스 시 데이터 수입자의 의무
15.1 통지
(a) 데이터 수입자는 다음과 같은 경우 데이터 수출자 및 가능한 경우 데이터 주체에게 즉시 (필요한 경우 데이터 수출자의 도움을 받아) 통지하는 데 동의합니다.
(i) 본 조항에 따라 전송되는 개인 데이터의 공개에 대해 대상 국가의 법률에 따라 사법 당국을 포함한 공공 기관으로부터 법적 구속력이 있는 요청을 수신하는 경우, 이러한 통지에는 요청된 개인 데이터, 요청 기관, 요청의 법적 근거 및 제공된 응답에 대한 정보가 포함되어야 합니다.
(ii) 목적지 국가의 법률에 따라 이 조항에 따라 전송된 개인 데이터에 대한 공공 당국의 직접 접근을 인지하게 된 경우; 그러한 통지에는 수입자가 이용할 수 있는 모든 정보가 포함되어야 합니다.
(b) 데이터 수입자가 목적지 국가의 법률에 따라 데이터 수출자 및/또는 데이터 주체에게 통지하는 것이 금지된 경우, 데이터 수입자는 가능한 한 빨리 많은 정보를 전달하기 위해 최선의 노력을 다할 것에 동의합니다. 데이터 수입자는 데이터 수출자의 요청에 따라 이를 입증할 수 있도록 최선의 노력을 문서화하는 데 동의합니다.
(c) 목적지 국가의 법률에 따라 허용되는 경우, 데이터 수입자는 데이터 수출자에게 수신된 요청에 대해 가능한 한 많은 관련 정보(특히 요청 수, 요청된 데이터 유형, 요청 당국, 요청의 이의 제기 여부 및 그러한 문제의 결과 등)를 계약 기간 동안 정기적으로 제공하기로 동의합니다.
(d) 데이터 수입자는 계약 기간 동안 (a) ~ (c)항에 따라 정보를 보존하고 요청시 관할 감독 기관에 제공하기로 동의합니다.
(e) (a)항 ~ (c)항은 제1 (e) 및 제16항에 따른 데이터 수입자의 의무를 침해하지 않고, 이러한 조항을 준수할 수 없는 경우 데이터 수출자에게 즉시 알릴 의무를 침해하지 않습니다.
15.2 합법성 검토 및 데이터 최소화
(a) 정보 수입자는 공개 요청의 적법성, 특히 공개 요청이 요청 공공 기관에 부여된 권한 내에 있는지 여부를 검토하고 신중한 평가 후 목적지 국가의 법률, 국제법상의 적용 가능한 의무 및 국제 혜택 원칙에 따라 불법이라고 판단할 합리적인 근거가 있다고 판단되는 경우 요청에 이의를 제기할 것에 동의합니다. 데이터 수입자는 동일한 조건 하에서 이의 제기 가능성을 추구해야 합니다. 자료 수입자는 청구에 이의를 제기할 때에는 관할 사법당국이 본안의 결정을 할 때까지 그 청구의 효력을 정지할 수 있는 잠정조치를 강구하여야 한다. 해당 절차 규칙에 따라 요구될 때까지 요청된 개인 데이터를 공개하지 않습니다. 이러한 요건은 제1항 (e)에 따른 데이터 수입자의 의무를 침해하지 않습니다.
(b) 데이터 수입자는 법적 평가 및 공개 요청에 대한 이의를 문서화하고 대상 국가의 법률에 따라 허용되는 범위 내에서 데이터 수출자가 문서를 사용할 수 있도록 하는 데 동의합니다. 또한 요청 시 관할 감독 기관에 제공해야 합니다.
(c) 데이터 수입자는 공개 요청에 응답할 때 허용되는 최소한의 정보를 요청에 대한 합리적인 해석에 근거하여 제공하는 데 동의합니다.
섹션 IV – 최종 조항
조항 16
조항 불이행 및 해지
(a) 데이터 수입자는 어떠한 이유로든 본 조항을 준수할 수 없는 경우 데이터 수출자에게 즉시 알려야 합니다.
(b) 데이터 수입자가 본 조항을 위반하거나 본 조항을 준수할 수 없는 경우, 데이터 수출자는 규정 준수가 다시 보장되거나 계약이 종료될 때까지 데이터 수입자에게 개인 데이터의 전송을 일시 중단해야 합니다. 이는 제1 (f) 조항을 침해하지 않는다.
(c) 데이터 수출자는 본 조항에 따른 개인 데이터 처리와 관련된 경우 계약을 해지할 권리가 있습니다.
(i) 데이터 수출자가 (b)항에 따라 데이터 수입자에 대한 개인 데이터 전송을 중단했으며, 이러한 조항의 준수는 합리적인 시간 내에 그리고 어떠한 경우에도 중단 후 1개월 이내에 복원되지 않습니다.
(ii) 데이터 수입자가 본 조항을 실질적으로 또는 지속적으로 위반하는 경우
(iii) 데이터 수입자가 본 조항에 따른 의무와 관련하여 관할 법원 또는 감독 당국의 구속력 있는 결정을 준수하지 않는 경우.
이 경우, 관할 감독기관에 그러한 불이행을 통지하여야 한다. 계약이 2명 이상의 당사자를 포함하는 경우, 데이터 수출자는 당사자가 달리 합의하지 않는 한 해당 당사자에 대해서만 이 해지권을 행사할 수 있다.
(d) 제1항에 따라 계약이 해지되기 전에 전송된 개인 데이터 (c) 데이터 수출자는 데이터 수출자의 선택에 따라 즉시 데이터 수출자에게 반환되거나 완전히 삭제됩니다. 데이터 사본에 대해서도 동일하게 적용됩니다. 데이터 수입자는 데이터 수출자에게 데이터 삭제를 증명해야 합니다. 데이터가 삭제되거나 반환될 때까지 데이터 수입자는 이 조항을 계속 준수해야 합니다. 전송된 개인 데이터의 반환 또는 삭제를 금지하는 데이터 수입업체에 적용되는 현지 법률의 경우, 데이터 수입업체는 이러한 조항을 계속 준수하고 해당 지역 법률에 따라 필요한 범위와 기간 동안만 데이터를 처리할 것을 보증합니다.
(e) 당사자 일방은 본 조항의 구속을 받는 계약을 철회할 수 있으며, (i) 유럽위원회는 본 조항이 적용되는 개인 데이터의 전송을 다루는 규정 (EU) 2016/679의 제45조 (3)에 따른 결정을 채택하는 경우; 또는 (ii) 규정 (EU) 2016/679는 개인 데이터가 전송되는 국가의 법적 프레임워크의 일부가 됩니다. 이것은 규정 (EU) 2016/679에 따라 문제의 처리에 적용되는 다른 의무에 영향을 미치지 않습니다.
조항 17
준거법
본 조항은 EU 회원국 중 한 곳의 법률에 의해 규율되며, 해당 법률에서 제3자 수혜자의 권리를 허용합니다. 당사자들은 이것이 아일랜드의 법률이라는 것에 동의합니다.
조항 18
재판지 및 관할권 선택
(a) 이 조항에서 발생하는 모든 분쟁은 EU 회원국의 법원에 의해 해결됩니다.
(b) 당사자들은 아일랜드 법원이 될 것에 동의한다.
(c) 데이터 주체는 또한 데이터 수출자 및/또는 데이터 수입자에 대하여 자신이 상거하는 회원국의 법원에 법적 소송을 제기할 수 있다.
(d) 당사자는 이러한 법원의 관할권에 복종하기로 동의합니다.
조항 19
스위스 데이터 보호법의 적용을 받는 전송
(a) 스위스의 데이터 보호 및 개인 정보 보호 법률 및 규정(“스위스 데이터 보호법“) 개인 데이터 전송에 적용되며, 데이터 수출자 및 데이터 수입자는 이러한 전송과 관련하여 (만) (그리고 달리 본 조항의 적용을 제한하거나 영향을 미치지 않고) 다음과 같이 이 조항이 수정된다는 데 동의합니다.
I. 규정(EU) 2016/679 또는 “해당 규정” 또는 EU 또는 회원국 법률에 대한 본 조항의 일반적이고 구체적인 언급은 스위스 데이터 보호법의 동등한 참조와 동일한 의미를 가집니다.
II. “회원국”이라는 용어는 스위스의 정보 주체가 상거소(스위스)에서 본 조항의 제1항 (c)에 따라 자신의 권리를 주장할 가능성을 배제하는 방식으로 해석되지 않을 것이다.
III. 전송의 세부 사항은 부록 I에 명시된 내용으로, 전송 시 데이터 수출자의 처리에 스위스 데이터 보호법이 적용됩니다.
IV. 또한 본 조항은 해당 법률이 법인에 더 이상 적용되지 않도록 개정될 때까지 스위스 데이터 보호법에 따라 “개인 데이터”와 유사하게 보호되는 식별 또는 식별 가능한 법인과 관련된 정보의 전송에도 적용됩니다.
V. 스위스 연방 데이터 보호 및 정보 위원은 본 조항 13항의 목적에 대한 관할 감독 기관입니다.
별첨 2의 별첨 I
a. 당사자 목록
Data EXPORTE(S): [데이터 내보내기 (s) 및 해당되는 경우 유럽 연합 내 데이터 보호 책임자 및/또는 대리인의 ID 및 연락처]
자료 1 파트 A를 참조하십시오.
B. 양도 설명
별첨 1 파트 B를 참조하십시오.
C. 관할 감독 기관
별첨 1 파트 B를 참조하십시오.
별첨 2 별첨 II
자료 1 파트 C를 참조하십시오.
별첨 2 별첨 III
하위 프로세서 목록
해당 사항 없음.
별첨 3
EU 표준 계약 조항에 대한 영국 부록
본 부록 날짜:
1. 이 부록은 조항과 동일한 날짜부터 효력을 발생한다.
배경:
2. 정보 위원은 본 부록이 영국 GDPR 제46조에 의거하여 제3국 또는 국제기구로의 개인 데이터 전송을 위한 적절한 안전 장치를 제공하며, 컨트롤러에서 프로세서 및/또는 프로세서로의 데이터 전송과 관련하여 적절한 보호 장치를 제공한다고 간주합니다.
본 부록의 해석
3. 본 부록이 부속서에 정의된 용어를 사용하는 경우 해당 용어는 부속서 2.22와 동일한 의미를 가집니다. 또한 다음 용어는 다음과 같은 의미를 가집니다.
이 부록은
이 조항에 대한 부록
별관
영국 데이터 보호법
영국 GDPR 및 데이터 보호법 2018을 포함하여 영국에서 데이터 보호, 개인 정보 처리, 개인 정보 보호 및/또는 전자 통신과 관련된 모든 법률이 때때로 시행됩니다.
영국 GDPR
영국 일반 데이터 보호 규정(General Data Protection Regulation)은 2018년 유럽 연합(EU) 법 3조에 따라 잉글랜드 및 웨일즈, 스코틀랜드 및 북 아일랜드의 법의 일부를 구성합니다.
영국
영국과 북아일랜드의 영국
4. 이 부록은 영국 데이터 보호법의 조항에 비추어 읽고 해석해야 하며, 이 부록이 GDPR 46조에 따라 요구되는 적절한 안전 장치를 제공하려는 의도를 충족할 수 있도록 해야 합니다.
5. 본 부록은 영국 데이터 보호법에 규정된 권리 및 의무와 충돌하는 방식으로 해석되지 않습니다.
6. 법률 (또는 법률의 특정 조항)에 대한 언급은 시간이 지남에 따라 변경 될 수있는 법률 (또는 특정 조항)을 의미합니다. 여기에는 본 부록이 체결된 후 해당 법률(또는 특정 조항)이 통합, 재제정 및/또는 교체된 경우가 포함됩니다.
계층 구조
7. 본 부록과 본 부록의 조항 또는 당사자 간의 기타 관련 계약 간에 충돌이나 불일치가 발생하는 경우, 본 부록이 합의 또는 체결되는 시점에 존재하는 조항이 데이터 주체에게 가장 큰 보호를 제공하는 조항이 우선합니다.
조항의 설립
8. 이 부록은 필요한 범위 내에서 수정되는 것으로 간주되는 조항을 통합하여 운영합니다.
a. 데이터 수출자가 데이터 수입자에게 전송하는 경우, 해당 전송 시 영국 데이터 보호법이 데이터 수출자의 처리에 적용되는 범위 내에서
B. 영국 GDPR 법 제46조에 따라 전송에 대한 적절한 안전 장치를 제공합니다.
9. 위의 섹션 7에서 요구하는 개정안에는 다음이 포함됩니다 (제한 없음).
a. “조항”에 대한 참조는 조항을 통합하는 본 부록을 의미합니다.
B. 조항 6 transfe(s)에 대한 설명은 다음으로 대체됩니다.
“양도 (s)의 세부 사항, 특히 전송되는 개인 데이터의 범주 및 전송되는 목적 (s))은 부록 I.B에 명시된 내용이며, 영국 데이터 보호법이 데이터 수출자의 처리에 적용됩니다.
D. “규정(EU) 2016/679” 또는 “해당 규정”에 대한 언급은 “영국 데이터 보호법”으로 대체되며 “규정(EU) 2016/679”의 특정 (s)에 대한 언급은 영국 데이터 보호법의 동등한 조항 또는 섹션으로 대체됩니다.
E. 규정(EU) 2018/1725에 대한 언급은 삭제됩니다.
F. “연합”, “EU” 및 “EU 회원국”에 대한 언급은 모두 “영국”으로 대체됩니다.
G. 별첨 II의 제1항 (a) 및 제C는 사용되지 않으며, “관할 감독 기관”은 정보 감독관입니다.
H. 제17조는 “이 조항은 잉글랜드와 웨일즈의 법률에 의해 규율된다”로 대체된다.
I. 18항은 다음과 같이 대체됩니다.
J. “이 조항에서 발생하는 모든 분쟁은 잉글랜드와 웨일즈 법원에 의해 해결되어야한다. 데이터 주체는 또한 영국의 모든 국가의 법원에서 데이터 수출자 및 / 또는 데이터 수입자에 대한 법적 절차를 가져올 수 있습니다. 당사자는 이러한 법원의 관할권에 자신을 제출하는 데 동의합니다. “
K. 조항에 대한 각주는 부록의 일부를 구성하지 않습니다.
이 부록의 수정 사항
10. 당사자는 조항 17 및 / 또는 18 스코틀랜드 또는 북 아일랜드의 법률 및 / 또는 법원을 참조하도록 변경하는 데 동의 할 수 있습니다.
11. 양 당사자는 본 부록을 개정할 수 있습니다. 단, 본 부록은 제46조 영국 GDPR에서 요구하는 적절한 보호 조치를 적용하여 관련 조항을 통합하고 위의 제7조에 따라 조항을 변경함으로써 해당 조항을 변경할 수 있습니다.
이 부록 실행
12. 양 당사자는 양 당사자에게 법적 구속력을 부여하고 데이터 주체가 조항에 명시된 대로 권리를 행사할 수 있도록 어떠한 방식으로든 부록(조항 포함)을 체결할 수 있습니다. 여기에는 다음이 포함됩니다(이에 국한되지 않음).
a. 본 부록을 조항에 추가하고 위의 부록 1A에 서명을 포함하여
“서명함으로써 우리는 EU 집행위원회 표준 계약 조항에 대한 영국 부록에 구속되는 데 동의합니다.”날짜 (모든 양도가 부록에 속하는 경우)
“서명함으로써 우리는 EU 집행위원회 표준 계약 조항에 대한 영국 부록에 구속되는 것에 동의합니다.” 그리고 날짜 (조항과 부록에 따라 양도가있는 경우) (또는 동일한 효과의 단어)를 추가하고 조항을 실행하는 데 동의합니다. 또는
B. 본 부록에 따라 조항을 수정하고 개정된 조항을 이행함으로써
별첨 3의 별첨 I
a. 당사자 목록
Data EXPORTE(S): [데이터 내보내기 (s) 및 해당되는 경우 유럽 연합 내 데이터 보호 책임자 및/또는 대리인의 ID 및 연락처]
자료 1 파트 A를 참조하십시오.
B. 양도 설명
별첨 1 파트 B를 참조하십시오.
C. 관할 감독 기관
별첨 1 파트 B를 참조하십시오.
별첨 3 별첨 II
자료 1 파트 C를 참조하십시오.
별첨 3 별첨 III
하위 프로세서 목록
해당 사항 없음.