이 데이터 처리 계약서(“계약서”)는 TeleRetro(“회사”)와 TeleRetro 서비스를 이용하는 고객(“데이터 처리자”) 간의 서비스 계약(“주 계약서”)의 일부로서 체결되었습니다(이하 통칭하여 “당사자”).
전제사항
(A) 회사는 데이터 관리자(Data Controller)로서 역할을 수행합니다.
(B) 회사는 특정 서비스 제공에 대한 하도급(개인 데이터 처리 포함)을 데이터 처리자에게 의뢰하고자 합니다.
(C) 당사자는 데이터 처리와 관련된 현행 법적 요건 및 자연인의 개인 데이터 처리와 데이터 자유 이동에 관한 유럽의회 및 이사회 규정 (EU) 2016/679 (일반 데이터 보호 규정)을 준수하는 데이터 처리 계약을 구현하고자 합니다.
(D) 당사자는 각자의 권리와 의무를 규정하고자 합니다.
다음과 같이 합의되었습니다.
1. 정의 및 해석
1.1 본 계약서에서 달리 정의되지 않는 한, 본 계약서에서 사용되는 용어는 다음과 같은 의미를 갖습니다.
1.1.1 “계약서”는 이 데이터 처리 계약서 및 모든 부속서류를 의미합니다;
1.1.2 “회사 개인 데이터”는 주 계약서에 따라 또는 그와 관련하여 계약된 프로세서가 회사 대신 처리하는 모든 개인 데이터를 의미합니다;
1.1.3 “계약된 프로세서”는 하위 프로세서를 의미합니다;
1.1.4 “데이터 보호법”은 EU 데이터 보호법 및 기타 국가의 데이터 보호 또는 프라이버시 법을 의미합니다;
1.1.5 “EEA”는 유럽 경제 지역을 의미합니다;
1.1.6 “EU 데이터 보호법”은 EU 지침 95/46/EC를 각 회원국의 국내 입법화로 변환한 것과 개정, 교체 또는 대체된 법규를 의미하며, GDPR 및 GDPR을 시행하거나 보완하는 법률을 포함합니다;
1.1.7 “GDPR”은 EU 일반 데이터 보호 규정 2016/679을 의미합니다;
1.1.8 “데이터 전송”이란: 1.1.8.1 회사가 회사 개인 데이터를 계약된 프로세서로 전송하는 경우; 또는 1.1.8.2 계약된 프로세서가 하위 프로세서에게나 두 계약된 프로세서 간에 회사 개인 데이터를 전송하는 경우,
각각 이러한 전송이 데이터 보호법(또는 데이터 전송 제한을 해결하기 위해 마련된 데이터 전송 계약 조건)에 의해 금지되는 경우
1.1.9 “서비스”는 회사가 제공하는 온라인 애자일 회고 서비스입니다.
1.1.10 “하위 프로세서”는 계약서와 관련하여 회사 대신 개인 데이터를 처리하기 위해 프로세서에 의해 지명된 사람을 의미합니다.
1.2 “위원회”, “관리자”, “데이터 주체”, “회원국”, “개인 데이터”, “개인 데이터 유출”, “처리” 및 “감독 당국”이라는 용어는 GDPR에서와 같은 의미를 가지며, 이를 기본으로 해석됩니다.
2. 회사 개인 데이터 처리
2.1 프로세서는: 2.1.1 회사 개인 데이터 처리 시 모든 관련 데이터 보호법을 준수해야 하며; 2.1.2 관련 회사의 문서화된 지침 없이 회사 개인 데이터를 처리하지 말아야 합니다.
2.2 회사는 프로세서에게 회사 개인 데이터를 처리하도록 지시합니다.
3. 프로세서 인력
프로세서는 회사 개인 데이터에 접근할 수 있는 계약된 프로세서의 모든 직원, 에이전트 또는 계약자의 신뢰성을 보장하기 위해 합리적인 조치를 취해야 하며, 그 접근이 필요 불가결한 개인들에게만 엄격히 제한되도록 해야 합니다. 이는 주 계약서의 목적을 위해 필요 불가결하고 해당 개인의 직무와 관련하여 적용 가능한 법률을 준수하는 경우에 한하며, 모든 개인이 비밀 유지 약속 또는 전문적 혹은 법적 비밀 유지 의무를 이행하도록 보장해야 합니다.
4. 보안
4.1 처리의 기술 수준, 구현 비용, 처리의 성격, 범위, 맥락 및 목적, 자연인의 권리와 자유에 대한 다양한 발생 가능성과 중대성을 고려하여, 프로세서는 회사 개인 데이터와 관련하여 적절한 기술적 및 조직적 조치를 적용하여 그 리스크에 적절한 수준의 보안을 보장해야 합니다. 이는 GDPR 제32조(1)에 언급된 조치를 포함할 수 있습니다.
4.2 적절한 보안 수준을 평가할 때, 프로세서는 특히 개인 데이터 유출로 인해 발생하는 리스크를 고려해야 합니다.
5. 하위 처리
5.1 프로세서는 회사의 요구 또는 승인이 없는 한, 어떠한 하위 프로세서를 임명하거나 회사 개인 데이터를 공개해서는 안 됩니다.
6. 데이터 주체 권리
6.1 처리의 성격을 고려하여, 프로세서는 회사가 데이터 주체 권리를 행사할 수 있도록 기술적 및 조직적 조치를 적절히 구현함으로써 회사의 의무를 이행할 수 있도록 지원해야 합니다.
6.2 프로세서는: 6.2.1 회사 개인 데이터와 관련하여 데이터 주체로부터 데이터 보호 법률에 따른 요청을 받으면 즉시 회사를 통지해야 하며; 6.2.2 해당 요청에 회사를 문서화된 지침 없이 응답해서는 안 되며, 프로세서가 적용 가능한 법률에 따라 요구되는 경우, 프로세서는 그 법적 요구 사항을 허용되는 범위 내에서 회사에 통지해야 합니다.
7. 개인 데이터 유출
7.1 프로세서는 회사 개인 데이터에 영향을 미치는 개인 데이터 유출을 인지한 즉시 회사에 이를 통지해야 하며, 회사가 데이터 보호법 하에 데이터 주체에 유출 사실을 보고하거나 통지할 수 있도록 충분한 정보를 제공해야 합니다.
7.2 프로세서는 회사와 협력하여 각 개인 데이터 유출의 조사, 완화 및 구제를 지원하기 위해 회사가 지시하는 합리적 상업적 단계를 취해야 합니다.
8. 데이터 보호 영향 평가 및 사전 상담
8.1 프로세서는 회사가 GDPR 제35조 또는 36조 또는 기타 데이터 보호법의 해당 조항에 따라 합리적으로 요구된다고 생각하는 데이터 보호 영향 평가 및 감독 당국 또는 기타 권한 있는 데이터 프라이버시 당국과의 사전 상담 작업에 대해 합리적인 지원을 제공해야 합니다. 이 경우, 회사 개인 데이터의 처리에만 관련되며, 처리의 성격 및 계약된 프로세서에 대한 정보를 고려해야 합니다.
9. 회사 개인 데이터 삭제 또는 반환
9.1 본 섹션 9에 따라 프로세서는 서비스가 종료되는 날짜(“종료 날짜”)로부터 10영업일 이내에 회사 개인 데이터의 모든 사본을 삭제하고 삭제하도록 해야 합니다.
10. 감사 권리
10.1 본 섹션 10에 따라 프로세서는 회사 요청에 따라 이 계약 준수를 증명하는 데 필요한 모든 정보를 제공해야 하며, 회사나 회사가 지명한 감사인이 회사 개인 데이터의 처리와 관련하여 감사, 검사를 실시할 수 있도록 허용하고 기여해야 합니다.
10.2 회사는 데이터 보호법의 관련 요구 사항을 충족하는 정보 및 감사 권리를 제공하지 않는 경우에만 섹션 10.1에 따라 정보 및 감사 권리를 가질 수 있습니다.
11. 데이터 전송
11.1 프로세서는 회사의 사전 서면 동의 없이 데이터를 EU 및/또는 유럽 경제 지역(EEA) 외부로 전송할 수 없으며, 회사 개인 데이터를 유럽 경제 지역 외부로 전송하는 경우, 당사자는 개인 데이터가 적절히 보호됨을 보장해야 합니다. 이를 실현하기 위해, 당사자는 달리 합의하지 않는 한, 개인 데이터 전송을 위한 EU 승인 표준 계약 조항에 의존합니다.
12. 일반 조건
12.1 비밀 유지. 각 당사자는 본 계약 및 본 계약과 관련하여 다른 당사자와 그 사업에 대해 받은 정보를 (“비밀 정보”) 비밀로 유지해야 하며, 상대방의 사전 서면 동의 없이 비밀 정보를 사용하거나 공개해서는 안됩니다. 단, 다음의 경우는 제외됩니다: (a) 법률에 의한 공개가 요구되는 경우; (b) 관련 정보가 이미 공공 영역에 있는 경우.
12.2 통지. 본 계약 하에 주어지는 모든 통지 및 커뮤니케이션은 서면으로 해야 하며, 개인적으로 전달되거나, 우편으로 발송되거나, 계약서 머리말에 명시된 주소나 이메일 주소 또는 당사자가 변경된 주소를 통지하는 경우 그 주소로 보내야 합니다.
13. 준거법 및 관할권
13.1 이 데이터 처리 계약은 아래에 나열된 법률 및 관할권에 따라 규율되고 해석됩니다:
국가 또는 지역 | 적용 법률 | 관할권 |
---|---|---|
TeleRetro가 제공되는 모든 기타 국가 및 지역 | 영국과 웨일스 법 | 독점 |
미국 | 미국 캘리포니아 주 법 | 독점; 캘리포니아 북부 주 및 연방 법원 |
13.2 이 데이터 처리 계약과 관련하여 발생하는 모든 분쟁은 당사자가 우호적으로 해결할 수 없는 경우, 고객의 국가 또는 지역에 따라 위 표에 명시된 법원의 독점 관할권에 제출됩니다.