Claroty 더 많은 주요 공공 부문 투자 축하
자세히 알아보기
 
데모 요청
Claroty 검색 토글

데이터 처리 부록(DPA)

마지막 수정 2023. 8. 21.

본 데이터 처리 부칙(“DPA”)은 수락일을 기준으로 작성 및 체결되며 본 부칙이 포함된 Claroty 제품에 대한 최종 사용자 라이선스 계약 또는 기타 라이선스 계약(“계약”)의 일부를 구성합니다. 사용자는 본 계약의 당사자인 귀하의 법인(“ 귀하”,   사용자 또는 데이터 관리자”로 통칭)을 대신하여 귀하가 본 DPA를 읽고 이해했으며 이를 준수하는 데 동의하고, GDPR 보호 대상 개인의 개인 데이터(아래에 정의된 용어) 처리에 관한 당사자들의 동의를 반영하기 위해 아래 정의된 바와 같이 Claroty (“Claroty 또는 데이터 처리자”)와 구속력 있는 법적 계약을 체결함을 인정합니다. 양 당사자는 “당사자들”, 그리고 각각 “당사자”로 칭한다.

이에, Claroty는 계약에 기술된 대로 사용자에게 계약에 명시된 제품 및/또는 서비스(총칭하여 “서비스”)를 제공해야 합니다.

계약에 따라 서비스를 제공하는 과정에서, Claroty 는 사용자를 대신하여 개인 데이터를 처리할 수 있으며, 당사자들은 서비스의 맥락에서 개인 데이터(아래에 정의)의 처리에 관한 약정을 명시하고자 하며, 개인 데이터와 관련하여 다음 조항을 준수하는 데 동의합니다. 각 조항은 합당하고 선의로 행동합니다.

따라서 이제, 본 계약에 명시된 상호 약속과 기타 유효하고 가치 있는 대가를 약인으로 하여, 당사자들이 그 수령과 충분성을 인정하며, 당사자들은 법적 구속력을 가질 의도로 다음과 같이 합의한다.

본 DPA는 본 계약에 따른 소프트웨어 및 소프트웨어와 관련된 모든 서비스의 제공과 관련하여 회사가 수집, 제공 또는 달리 이용할 수 있게 된 개인 데이터(아래에 정의)의 처리와 관련하여 적용되며, 그러한 개인 데이터의 처리가 GDPR의 적용을 받는 경우, 고객이 개인 데이터의 관리자이고 회사가 프로세서인 경우에만 적용됩니다. DPA는 GDPR 제 28(3)조를 포함하여 유럽연합 데이터 보호법의 요건을 충족하기 위한 것입니다. 본 DPA는 계약 기간 동안 또는 본 DPA에 따라 고객이 지시한 대로 개인 데이터가 삭제될 때까지 중 먼저 도래하는 시점까지 유효합니다.

1. 해석 및 정의

1.1 본 DPA에 포함된 제목은 편의를 위한 것이며 본 DPA의 조항을 제한하거나 달리 영향을 미치는 것으로 해석되어서는 안 됩니다.

1.2 조항 또는 섹션에 대한 언급은 달리 명시되지 않는 한 본 DPA의 조항 또는 섹션에 대한 언급입니다.

1.3   단수로 사용되는 단어에는 문맥상 필요할 수 있는 복수가 포함되며 그 반대  도 마찬가지입니다.

1.4 여기에  정의되지 않은 대문자로 표기된 용어는 계약에서 해당 용어에 부여된  의미를  갖는다.

1.5 정의:

2. 개인 데이터 처리

2.1 당사자들의 역할. 당사자들은 개인 데이터 처리와 관련하여 (i) 사용자가 데이터 관리자이고, (ii) Claroty 가 데이터 처리자이며, (iii) Claroty 가 아래 5 항 “하위 처리자”에 명시된 요건에 따라 하위 처리자를 고용할 수 있음을 인정하고 이에 동의합니다. 사용자, 사용자의 벤더 및/또는 사용자의 사업 파트너 및 데이터 주체는 Claroty 의 서비스에 개인 데이터를 제공함으로써 Claroty에 개인 데이터를 제공해야 합니다. 의심의 여지를 없애기 위해, Claroty의 플랫폼에 대한 로그인 세부 정보는 때때로 업데이트되는 Claroty의 개인정보 보호정책의 적용을 받으며, 따라서 Claroty 는 이 개인 데이터의 데이터 관리자입니다.

2.2  사용자의 개인 데이터 처리. 사용자는 서비스 이용 시 데이터 보호법 및 규정의 요건에 따라 개인 데이터를 처리하고 데이터 관리자에게 적용되는 의무(GDPR 제 24 조를 포함하되 이에 국한되지 않음)를 항상 준수해야 합니다.  의심의 여지를 없애기 위해, 개인 데이터 처리에 대한 사용자의 지침은 데이터 보호법 및 규정을 준수해야 합니다. 사용자는 사용자가 개인 데이터를 취득하는 방법에 대해 전적으로 책임을 집니다. 제한 없이, 사용자는 일체의 모든 투명성 관련 의무(일체의 모든 관련되고 요구되는 개인정보 보호 고지 또는 정책 표시를 포함하되 이에 국한되지 않음)를 준수해야 하며, 개인 데이터를 수집, 처리 및 Claroty 에 전송하고 본 DPA에서 승인된 개인 데이터의 Claroty 에 의한 처리를 승인하기 위해 일체의 모든 필수 법적 근거를 가지고 있어야 합니다. 사용자는 사용자 및/또는 권한이 있는 사용자가 데이터 보호법 및 규정 및/또는 본 DPA 및/또는 본 항을 위반, 위반 또는 침해하는 것과 관련된 모든 종류의 책임으로부터 Claroty, 그 계열사 및 자회사(그 이사, 임원, 대리인, 하도급업체 및/또는 직원을 포함하되 이에 국한되지 않음)를 방어하고, 면책하며, 면책해야 합니다.'

2.3 Claroty의 개인 데이터 처리.

2.3.1 계약에 따라, Claroty 본 DPA의 적용을 받는 개인 데이터는 사용자의 문서화된 지침에 따라서만, 그리고 서비스 이행 및 계약 및 본 DPA 이행에 필요한 경우에만 처리해야 합니다. EU 또는 회원국 법률 또는 (법률에서 허용하는 최대 범위까지) Claroty 가 따라야 하는 기타 관련 법률에서 달리 요구하지 않는 한, 이 경우 Claroty 처리 전에 사용자에게 법적 요건을 알려야 합니다. 단, 해당 법률이 공익의 중요한 근거에 따라 그러한 정보를 금지하는 경우는 예외입니다. 처리 기간, 처리의 성격 및 목적, 처리된 개인 데이터의 유형 및 본 DPA에 따른 데이터 주체의 범주는 본 DPA의 별첨 1 (처리 세부 정보)에 추가로 명시되어 있습니다.

2.3.2 Claroty 또는 그 계열사가 요청을 준수할 수 없는 경우(다음 포함, 제한 없이 모든 지침, 방향, 행동 강령, 인증, 또는 모든 종류의 변경)를 개인 데이터 처리와 관련하여 사용자 및/또는 승인된 사용자로부터 또는 Claroty 가 그러한 요청을 불법으로 간주하는 경우, Claroty (i) 사용자에게 알려야 합니다. 문제에 대한 관련 세부 정보 제공(법적 조언은 아님) (ii) Claroty 는 사용자에 대한 어떠한 책임도 지지 않습니다. 영향을 받는 개인 데이터의 모든 처리를 일시적으로 중단합니다(해당 데이터의 안전한 저장 제외). 그리고 (iii) 당사자들이 문제의 문제 및 그 비용에 대한 해결에 동의하지 않는 경우, 각 당사자는 유일한 구제책으로서 영향을 받는 처리와 관련하여 계약 및 본 DPA를 해지하는 경우 사용자는 Claroty 에 지급해야 할 모든 금액 또는 해지일 이전에 지급해야 할 모든 금액을 Claroty 에 지급해야 합니다. 사용자는 본 조항에 기술된 상황에서 계약 및/또는 DPA의 해지로 인해 Claroty 에 대한 추가 청구(서비스에 대한 환불 요청을 포함하되 이에 국한되지 않음)를 제기할 수 없습니다(아래에 명시된 본 DPA의 해지와 관련된 의무는 제외).

2.3.3 Claroty 는 데이터 주체를 포함하되 이에 국한되지 않는 제3자가 Claroty의 작위 또는 부작위로 인해 제기한 일체의 청구가 사용자의 지시에 따른 결과인 경우 이에 대해 책임을 지지 않습니다.

3. 데이터 주체의 권리

Claroty가 데이터 주체로부터 GDPR 제3장에 명시된 권리를 행사하라는 요청을 받는 경우(“데이터 주체 요청”), Claroty 는 법적으로 허용되는 범위 내에서 그러한 데이터 주체 요청을 즉시 통지하고 사용자에게 전달해야 합니다. 처리의 성격을 고려하여, Claroty 는 데이터 보호법 및 규정에 따라 데이터 주체 요청에 응답해야 하는 사용자의 의무를 이행하기 위해 가능한 한 적절한 기술적 및 조직적 조치를 통해 사용자를 지원하기 위해 상업적으로 합리적인 노력을 기울여야 합니다. 법적으로 허용되는 범위 내에서, 사용자는 Claroty가 그러한 지원을 제공함으로써 발생하는 모든 비용에 대해 책임을 져야 합니다.

4. CLAROTY 직원

4.1 기밀 유지. Claroty 알 필요가 있는 경우에만 그 권한 하에 있는 사람(그 직원을 포함하되 이에 국한되지 않음)에게 개인 데이터에 대한 접근을 허용하고, 개인 데이터 처리에 관여하는 그러한 사람이 기밀 유지를 약속했거나 적절한 법적 기밀 유지 의무가 있음을 보장해야 한다.

4.2 Claroty 는 (a) 본 계약에 따라 허용되는 경우 (b) 관할 법원 또는 감독 당국이 요구하는 범위까지 및/또는 해당 법률에서 요구하는 범위 내에서 개인 데이터를 공개하고 처리할 수 있습니다(이 경우, Claroty 공개 전에 사용자에게 법적 요건을 알려야 합니다. 해당 법률이 공익의 중요한 근거에 따라 그러한 정보를 금지하지 않는 한), 또는 (c) 법률 고문(들)에 대한 기밀유지 의무에 따라 “알아야 할 필요”에 따라, 데이터 보호 자문가(들), 또는 회계사(들).

5. 하위 처리자에 관한 승인

5.1 Claroty의 현재 하위 처리자 목록은 별첨 2 (“하위 처리자 목록”)에 포함되어 있으며 이에 따라 데이터 관리자가 승인합니다. 본 DPA의 체결일 현재 하위 처리자 목록은 사용자가 승인합니다.

5.2 Claroty 는 새로운 하위 처리자(들)에게 서비스 제공과 관련하여 개인 데이터를 처리하도록 승인하기 전에 새로운 하위 처리자(들)에 대한 통지를 제공해야 합니다.

5.3 신규 하위 처리자에 대한 이의 제기 권리. 사용자는 제 5.1 조에 명시된 메커니즘에 따라 Claroty의 통지를 수령한 후 영업일 기준 삼(3) 일 이내에 즉시 서면으로 Claroty에 통지함으로써 GDPR과 관련된 이유로 Claroty 의 새로운 하위 처리자 사용에 합리적으로 이의를 제기할 수 있으며, 그러한 서면 이의 제기에는 Claroty의 새로운 하위 처리자 사용에 이의를 제기하는 GDPR과 관련된 이유가 포함되어야 합니다. Claroty가 통지한 후 영업일 기준 삼(3) 일 이내에 서면으로 이러한 새로운 하위 처리자에 이의를 제기하지 않는 경우, 이는 새로운 하위 처리자에 대한 수락으로 간주됩니다. 사용자가 이전 문장에서 허용된 바와 같이 새로운 하위 처리자에게 합리적으로 이의를 제기하는 경우, Claroty 는 사용자에게 불합리한 부담을 주지 않고 새로운 하위 처리자가 개인 데이터를 처리하는 것을 피하기 위해 사용자에게 서비스 변경을 제공하거나 사용자의 서비스 사용에 상업적으로 합리적인 변경을 권고하기 위해 합리적인 노력을 기울일 것입니다. Claroty가 합리적인 기간 내에 그러한 변경을 제공할 수 없는 경우, 삼십(30) 일을 초과해서는 안 되며, 사용자는 유일한 구제책으로서 본건 처리와 관련하여 해지일 이전에 본 계약에 따라 지급해야 할 모든 금액을 Claroty 에 정식으로 지급해야 하는 경우, Claroty 에 서면 통지를 함으로써 새로운 하위 처리자를 이용하지 않고 Claroty가 제공할 수 없는 서비스에 대해서만 해당 계약 및 본 DPA를 해지한다. 새로운 하위 처리자에 관한 결정이 내려질 때까지 Claroty 는 영향을 받는 개인 데이터의 처리를 일시적으로 중단할 수 있습니다. 사용자는 본 단락에 기술된 상황에서 계약 해지(환불 요청 등을 포함하되 이에 국한되지 않음) 및/또는 DPA로 인해 Claroty 를 상대로 더 이상 청구를 제기할 수 없습니다.

5.4 하위 처리자와의 계약. Claroty가 하위 처리자를 고용하는 경우, Claroty 는 하위 처리자와 본 DPA에 명시된 데이터 보호 의무를 반영하는 방식으로 초안을 작성한 계약을 체결해야 합니다. GDPR의 제 28.7 조 및 제28.8 조에 따라, 유럽위원회가 해당 조항에 언급된 표준 계약 조항을 정하는 경우, 당사자들은 성실하게 본 DPA를 개정하여 해당 표준 계약 조항에 맞게 조정할 수 있다.

6. 보안

6.1 개인 데이터 보호에 대한 통제. 최신 기술을 고려할 때, 구현 비용, 범위, 맥락, 처리 목적 및 자연인의 권리와 자유에 대한 다양한 가능성과 심각성의 위험, Claroty 보안 보호를 위해 GDPR 제 32 조에 따라 요구되는 업계 표준의 기술적 및 조직적 조치를 유지해야 한다(무단 또는 불법 처리 및 우발적 또는 불법적 파기에 대한 보호 포함, 손실, 변경 또는 손상 무단 공개 또는 에 대한 액세스, 개인 데이터), 개인 데이터의 기밀성 및 무결성 사용자가 승인한 보안 문서에 명시된 대로. 이용자의 요청 시, Claroty 는 처리의 성격, 최신 기술 및 Claroty가 이용할 수 있는 정보를 고려하여 GDPR 제 32 조 내지 제36 조에 따른 의무를 준수할 수 있도록 이용자의 비용으로 이용자를 지원하기 위해 상업적으로 합리적인 노력을 기울일 것입니다.

6.2 제3자 인증 및 감사. 합리적인 간격으로 사용자의 서면 요청 시, 계약 및 본 DPA에 명시된 비밀 유지 의무에 따라 Claroty Claroty (또는 사용자의 독립 Claroty의 경쟁사가 아닌 제3자 감사인) Claroty의 가장 최근 제3자 감사 또는 인증 사본 또는 요약 해당되는 경우(제공됨, 그러나 그러한 감사는 인증 및 그 결과, 감사 결과 및/또는 인증을 반영하는 문서 포함 사용자는 본 DPA의 준수 여부를 평가하는 데에만 사용해야 합니다. Claroty의 사전 서면 승인 없이 다른 목적으로 사용하거나 제3자에게 공개해서는 안 되며, Claroty의 첫 번째 요청 시, 사용자는 감사 및/또는 인증의 맥락에서 Claroty 가 제공한 모든 기록 또는 문서를 사용자가 소유하거나 통제하는 방식으로 반환해야 합니다). 이용자의 비용과 경비로, Claroty 는 통제자 또는 통제자가 위임한 다른 감사자( Claroty의 직접 또는 간접 경쟁사가 아님)가 수행하는 Claroty의 조사를 포함하여 감사를 허용하고 이에 기여해야 합니다. 단, 당사자들이 이러한 감사 및 조사의 범위, 방법, 시기 및 조건에 합의해야 합니다. 상반되는 내용에도 불구하고, 그러한 감사 및/또는 조사는 사용자에게 속하지 않는 개인 데이터를 포함하되 이에 국한되지 않는 어떠한 정보도 포함하지 않습니다.

7. 개인 데이터 사고 관리 및 통지

해당 데이터 보호법 및 규정에 따라 요구되는 범위 내에서, Claroty 는 Claroty 또는 Claroty가 알게 된 하위 처리자가 전송, 저장 또는 달리 처리하는 개인 데이터를 포함한 개인 데이터의 우발적 또는 불법적 파괴, 손실, 변경, 무단 공개 또는 접근을 인지한 후 과도한 지체 없이 사용자에게 통지 Claroty해야 합니다(“개인 데이터 사고”).

Claroty 은 그러한 개인 데이터 사건의 원인을 파악하기 위해 합리적인 노력을 기울이고, 그러한 개인 데이터 사건의 원인을 시정하기 위해 시정이 Claroty 의 합리적인 통제 범위 내에서 Claroty가 필요하고, 가능하고, 합리적이라고 판단하는 조치를 취해야 합니다. 교정 본 계약의 의무는 사용자 또는 사용자의 사용자에 의해 야기되거나 서비스 제공과 관련이 없는 사고에는 적용되지 않습니다. 어떤 경우에도 사용자는 감독 당국 및/또는 관련 데이터 주체(데이터 보호법 및 규정에서 요구하는 경우)에게 통지할 책임이 있는 당사자입니다.

8. 개인 데이터의 반환 및 삭제

본 계약에 따라, Claroty 는 사용자의 선택에 따라 처리와 관련된 서비스 제공이 종료된 후 개인 데이터를 삭제하거나 사용자에게 반환해야 하며, 관련 법률에서 개인 데이터의 저장을 요구하지 않는 한 기존 사본을 삭제해야 합니다. 어떤 경우에도, 해당 법률이 요구하거나 허용하는 범위 내에서, Claroty 는 증거 목적 및/또는 법적 청구의 확립, 행사 또는 방어 및/또는 해당 법률 및 규정 준수를 위해 개인 데이터의 사본 1부를 보관할 수 있습니다. 사용자가 개인 데이터 반환을 요청하는 경우, 개인 데이터는 Claroty의 고객이 일반적으로 이용할 수 있는 형식으로 반환되어야 합니다.

9.  공인 계열사

9.1 계약 관계. 당사자들은 DPA를 체결함으로써 사용자가 자신을 대신하여, 그리고 해당하는 경우 그 인가된 계열사의 이름으로 DPA를 체결함으로써 Claroty 간에 별도의 DPA를 설립함을 인정하고 이에 동의합니다. 각 권한 있는 계열사는 본 DPA에 따른 의무를 준수할 것에 동의합니다. 수권 계열사의 모든 서비스 접속 및 이용은 계약 및 본 DPA의 약관을 준수해야 하며 수권 계열사의 계약 약관 위반은 이용자에 의한 위반으로 간주됩니다.

9.2 커뮤니케이션. 사용자는 본 계약 및 본 DPA에 따라 Claroty 와의 모든 커뮤니케이션을 조정할 책임이 있으며, 그 수권 계열사를 대신하여 본 DPA와 관련하여 일체의 커뮤니케이션을 하고 받을 권리가 있습니다.

10. 데이터 전송

10.1 적절한 수준의 데이터 보호를 제공하는 국가로의 전송. 개인 데이터는 EU 회원국 및 3개 EEA 회원국(노르웨이, 리히텐슈타인 및 아이슬란드, 총칭하여 “EEA”)에서 EEA, 유럽연합, 회원국 또는 유럽위원회의 관련 데이터 보호 당국이 발표한 적절성 결정(“적합성 결정”)에 따라 또는 그에 따라 적절한 수준의 데이터 보호를 제공하는 국가로 전송될 수 있으며, 추가적인 보호는 필요하지 않습니다.

10.2 다른 국가로의 이전. 개인 데이터 처리에 EEA에서 적절성 결정의 대상이 아닌 EEA 외부 국가(“기타 국가”)로의 전송이 포함되는 경우, 당사자들은 GDPR 제5장을 준수해야 한다. 다음을 포함합니다. 필요한 경우 EEA의 관련 데이터 보호 당국이 채택한 표준 데이터 보호 조항 실행 노동조합, 회원국 또는 유럽연합 집행위원회가 해당 국가로 개인 데이터를 전송하기 위해 GDPR에 규정된 기타 메커니즘을 준수합니다. 사용자와 Claroty 가 표준 계약 조항을 사용자 개인 데이터를 전송하는 메커니즘으로 사용하는 경우, 당사자들의 권리와 의무는 표준 계약 조항과 본 DPA에 따라, 그리고 이에 준하여 이행되어야 합니다. 표준 계약 조항과 본 DPA 간에 모순이 있는 경우 표준 계약 조항이 우선합니다.

11. 종료

본 DPA는 서비스가 제공되는 계약의 해지 또는 만료 시 자동으로 해지됩니다. 2.2, 2.3.3, 8 및 12 항은 어떤 이유로든 본 DPA의 해지 또는 만료 후에도 존속됩니다. 본 DPA는 원칙적으로 본 계약과 별도로 해지될 수 없다. 단, 본 계약 해지 전에 처리가 종료되는 경우는 예외로 하며, 이 경우 본 DPA는 자동으로 해지된다.

12. 계약과의 관계

본 DPA의 조항과 계약 조항 간에 상충이 발생하는 경우, 본 DPA의 조항이 본 계약의 상충되는 조항에 우선합니다. Claroty 계약에 명시된 제한에 따라 책임을 져야 합니다.

13. 개정

본 DPA는 각 당사자가 정식으로 서명한 서면 문서에 의해 언제든지 개정될 수 있다.

14. 법적 효과

Claroty 는 본 DPA 또는 본 계약에 따른 권리 또는 의무를 본 DPA 또는 계약과 관련된 모든 또는 실질적으로 모든 지분, 자산 또는 사업의 합병, 통합 또는 인수와 관련하여 계열사 또는 그 승계인 또는 계열사에게 양도할 수 있습니다. 본 계약에 따른 일체의 Claroty 의무는 Claroty Claroty 권리(청구서 및 지급 권리 포함) 또는 구제책은 (전체 또는 부분적으로) 행사할 수 있습니다.

일정 목록

일정 1 - 처리 세부 정보

Claroty 사용자가 서비스 사용에 관해 추가로 지시한 대로, 계약에 따라 서비스를 수행하는 데 필요한 개인 데이터를 처리합니다.

처리의 성격 및 목적

  1. 사용자에게 서비스(들) 제공

  2. 사용자가 승인한 사용자의 작성하다(들) 설정

  3. 사용자의 서비스 사용을 활성화하려면

  4. Claroty 가 사용자가 제공한 합리적인 지침의 문서화를 준수하기 위해 그러한 지침이 계약 조건과 일치하는 경우.

  5. 계약, 본 DPA 및/또는 당사자들이 체결한 기타 계약과 관련된 의무 이행.

  6. 계약에서 합의된 경우 지원 및 기술 유지 관리 제공.

  7. 상기 사항과 합리적으로 관련된 기타 모든 작업.

처리 기간

처리 기간 및 그 만료 또는 해지의 결과를 다루는 DPA 및/또는 계약의 모든 조항에 따라, Claroty 는 서면으로 달리 합의하지 않는 한 계약 기간 동안 개인 데이터를 처리합니다.

개인 데이터의 유형

사용자는 서비스에 개인 데이터를 제출할 수 있으며, 그 정도는 사용자가 단독 재량으로 결정하고 통제하며, 여기에는 다음 범주의 개인 데이터가 포함될 수 있으나 이에 국한되지 않습니다.

사용자와 데이터 주체는 Claroty 의 서비스에 개인 데이터를 제공함으로써 Claroty에 개인 데이터를 제공해야 합니다.

데이터 주체의 범주

사용자는 서비스에 개인 데이터를 제출할 수 있습니다. 이 경우 사용자는 단독 재량으로 개인 데이터를 결정하고 통제하며, 여기에는 다음 범주의 데이터 주체와 관련된 개인 데이터가 포함될 수 있습니다.

스케줄 2 - 하위 프로세서 목록

하위 프로세서

하위 처리 활동

법인 국가/위치

•      Amazon Web Services(AWS)

•      클라우드 스토리지/호스팅

독일 프랑크푸르트(EU-Central-1), 미국 북버지니아, 캐나다 몬트리올

스케줄 3 - 표준 계약 조항

컨트롤러-프로세서

섹션 I

제1조 - 목적 및 범위

a) 본 표준 계약 조항의 목적은 개인 데이터 처리와 관련된 자연인 보호 및 제3국으로의 데이터 전송을 위한 해당 데이터의 자유로운 이동(일반 데이터 보호 규정)([i])에 27 April 2016 관한 유럽 의회 및 이사회의 규정(EU) 2016/679 의 요건을 준수하는 것입니다.

b) 당사자들:

(i) 부록 I.A(이하 각 ‘데이터 수출자’)에 열거된 개인 데이터를 전송하는 자연인 또는 법인(들), 공공 당국/들, 기관/들 또는 기타 단체(이하 ‘법인’), 그리고

(ii) 데이터 수출자로부터 직접 또는 다른 법인을 통해 간접적으로 개인 데이터를 수신하는 제3국의 법인 및 부록 I.A(이하 각 ‘데이터 수입자’

c) 본 조항은 부록 I.B에 명시된 개인 데이터의 전송과 관련하여 적용됩니다.

d) 여기에 언급된 부속서가 포함된 본 조항의 부록은 본 조항의 필수적인 부분을 구성한다.

제 2 조 - 조항의 효력 및 불변성

a) 본 조항은 규정(EU) 2016/679 의 제46(1)조 및 제 46(2)조(c)에 따라, 그리고 통제자에서 처리자 및/또는 처리자로의 데이터 전송과 관련하여, 규정(EU) 2016/679의 제 28(7)조에 따른 표준 계약 조항에 따라, 적절한 모듈(들)을 선택하거나 부록에 정보를 추가 또는 업데이트하는 경우를 제외하고, 집행 가능한 데이터 주체 권리 및 유효한 법적 구제책을 포함한 적절한 보호 조치를 규정합니다. 이는 당사자들이 본 조항에 명시된 표준 계약 조항을 보다 광범위한 계약에 포함시키고/포함시키거나 다른 조항 또는 추가 보호조치를 추가하는 것을 금지하지 않는다. 단, 이는 당사자들이 본 조항에 직접 또는 간접적으로 모순되거나 데이터 주체의 기본 권리 또는 자유를 침해하지 않는 경우에 한한다.

b) 본 조항은 규정(EU) 2016/679에 따라 데이터 수출자가 따라야 하는 의무를 침해하지 않습니다.

제 3 조 - 제3자 수혜자

a) 데이터 주체는 제3자 수익자로서 데이터 수출자 및/또는 데이터 수입자를 상대로 본 조항을 적용 및 집행할 수 있습니다. 단, 다음 경우는 예외입니다.

(i) 1항, 2항, 3항, 6항, 7항

(ii) 8 항 – 모듈 1: 8.5 (e)항 및 8.9(b)항; 모듈 2: 8.1(b), 8.9(a), (c), (d) 및 (e)항; 모듈 3: 8.1(a), (c) 및 (d)항 및 8.9(a), (c), (d), (e), (f) 및 (g); 모듈 4: 8.1 (b)항 및 8.3(b)항;

(iii) 9 항 – 모듈 2: 9(a), (c), (d) 및 (e)항; 모듈 3: 9(a), (c), (d) 및 (e)항;

(iv) 12 항 – 모듈 1: 12(a)항 및 (d); 모듈 2 및 3: 12(a), (d) 및 (f);

(v) 13항

(vi) 15.1(c), (d) 및 (e)항

(vii) 16(e)항

(viii) 18 항 – 모듈 1, 2 및 3: 18(a) 및 (b)항; 모듈 4: 18.

b) (a)항은 규정(EU) 2016/679에 따른 데이터 주체의 권리를 침해하지 않습니다.

제 4 조 - 해석

a) 본 조항이 규정(EU) 2016/679에 정의된 용어를 사용하는 경우, 해당 용어는 해당 규정과 동일한 의미를 갖는다.

b) 본 조항은 규정(EU) 2016/679의 조항에 따라 읽고 해석해야 합니다.

c) 본 조항은 규정(EU) 2016/679에 규정된 권리 및 의무와 상충하는 방식으로 해석되어서는 안 됩니다.

제 5 조 - 계층구조

본 조항들과 당사자들 간의 관련 계약 조항들 간에 모순이 발생하는 경우, 본 조항들이 합의되거나 체결되는 시점에 존재하고, 본 조항들이 우선한다.

제 6 조 - 양도(들)에 대한 설명

전송(들)의 세부 사항, 특히 전송된 개인 데이터의 범주 및 전송된 목적(들)은 부록 I.B에 명시되어 있습니다.

7 조(선택 사항) - 도킹 조항

a) 본 조항의 당사자가 아닌 법인은 당사자들의 합의에 따라 부록을 작성하고 부록 I.A에 서명함으로써 데이터 수출자 또는 데이터 수입자로서 언제든지 본 조항에 응할 수 있다.

b) 부록을 작성하고 부속서 I.A에 서명한 후, 피신청 법인은 본 조항의 당사자가 되고 부속서 I.A에 지정된 바에 따라 데이터 수출자 또는 데이터 수입자의 권리와 의무를 보유한다.

c) 피접속 법인은 당사자가 되기 전 기간부터 본 조항에 따라 발생하는 권리 또는 의무를 갖지 않는다.

섹션 II - 당사자들의 의무

제 8 조 - 데이터 보호 보호

데이터 수출자는 데이터 수입자가 적절한 기술적 및 조직적 조치를 이행하여 본 조항에 따른 의무를 이행할 수 있는지 확인하기 위해 합리적인 노력을 기울였음을 보증합니다.

8.1 지침

a) 데이터 수입자는 데이터 수출자의 문서화된 지침에 따라서만 개인 데이터를 처리해야 합니다. 데이터 수출자는 계약 기간 동안 이러한 지침을 제공할 수 있습니다.

b) 데이터 수입자는 이러한 지침을 따를 수 없는 경우 데이터 수출자에게 즉시 알려야 합니다.

8.2 목적 제한

데이터 수입자는 데이터 수출자의 추가 지시가 없는 한, 부록 I.B에 명시된 특정 전송 목적(들)을 위해서만 개인 데이터를 처리해야 합니다.

8.3 투명성

요청 시, 데이터 수출자는 당사자들이 작성한 부록을 포함하여 본 조항의 사본을 데이터 주체에게 무료로 제공한다. 부록 II에 설명된 조치 및 개인 데이터를 포함하여 사업 기밀 또는 기타 기밀 정보를 보호하기 위해 필요한 범위 내에서, 데이터 수출자는 사본을 공유하기 전에 본 조항의 부록 본문의 일부를 수정할 수 있지만, 데이터 주체가 그 내용을 이해하거나 권리를 행사할 수 없는 의미 있는 요약을 제공해야 합니다. 요청 시, 당사자들은 편집된 정보를 공개하지 않고 가능한 한 편집 사유를 데이터 주체에게 제공해야 한다. 본 조항은 규정(EU) 2016/679의 제 13 조 및 제 14 조에 따른 데이터 수출자의 의무를 침해하지 않습니다.

8.4 정확도

데이터 수입자는 수령한 개인 데이터가 부정확하거나 구형 것임을 알게 되는 경우, 지체 없이 데이터 수출자에게 알려야 합니다. 이 경우 데이터 수입자는 데이터 수출자와 협력하여 데이터를 삭제 또는 수정해야 합니다.

8.5  데이터 처리 및 삭제 또는 반환 기간

데이터 수입자의 처리는 부록 I.B에 명시된 기간 동안만 이루어져야 합니다. 처리 서비스 제공이 종료된 후 데이터 수입자는 데이터 수출자의 선택에 따라 데이터 수출자를 대신하여 처리된 모든 개인 데이터를 삭제하고 데이터 수출자에게 삭제했음을 증명하거나 데이터 수출자를 대신하여 처리된 모든 개인 데이터를 데이터 수출자에게 반환하고 기존 사본을 삭제해야 합니다. 데이터가 삭제되거나 반환될 때까지 데이터 수입자는 계속해서 이러한 조항의 준수를 보장해야 합니다. 개인 데이터의 반환 또는 삭제를 금지하는 데이터 수입자에게 적용되는 현지 법률의 경우, 데이터 수입자는 이러한 조항의 준수를 계속 보장하고 현지 법률에 따라 요구되는 범위 내에서만 그리고 필요한 기간 동안만 이를 처리할 것임을 보증합니다. 이는 14조를 침해하지 않으며, 특히 14(e)조에 따른 데이터 수입업자가 계약 기간 동안 데이터 수출업자에게 통지해야 할 요건이 14(a)조에 따른 요건에 부합하지 않는 법률 또는 관행의 적용을 받거나 받게 되었다고 믿을 만한 이유가 있는 경우, 이를 침해하지 않습니다.

8.6 처리 보안

a) 데이터 수입자와 전송 중에 데이터 수출자는 우발적 또는 불법적 파기, 손실, 변경, 무단 공개 또는 해당 데이터에 대한 접근(이하 '개인 데이터 침해')을 초래하는 보안 침해에 대한 보호를 포함하여 데이터의 보안을 보장하기 위해 적절한 기술적 및 조직적 조치를 이행해야 합니다. 적절한 보안 수준을 평가할 때, 당사자들은 최신 기술, 구현 비용, 처리의 성격, 범위, 맥락 및 목적(들), 데이터 주체의 처리에 관련된 위험을 충분히 고려해야 한다. 당사자들은 특히 처리 목적이 그러한 방식으로 이행될 수 있는 전송 중을 포함하여 암호화 또는 가명화에 대한 상환 청구권을 갖는 것을 고려해야 한다. 가명화의 경우, 개인 데이터를 특정 데이터 주체에게 귀속시키기 위한 추가 정보는 가능한 경우 데이터 수출자의 독점적인 통제 하에 있어야 합니다. 본 조항에 따른 의무를 준수함에 있어 데이터 수입자는 최소한 부록 II에 명시된 기술적 및 조직적 조치를 이행해야 합니다. 데이터 수입자는 이러한 조치가 적절한 수준의 보안을 지속적으로 제공하는지 확인하기 위해 정기적인 점검을 수행해야 합니다.

b) 데이터 수입자는 계약 이행, 관리 및 모니터링에 엄격하게 필요한 범위 내에서만 직원에게 개인 데이터에 대한 액세스를 허용해야 합니다. 개인 데이터를 처리할 권한이 있는 사람이 기밀 유지를 약속했거나 적절한 법적 기밀 유지 의무가 있음을 보장해야 합니다.

c) 본 조항에 따라 데이터 수입자가 처리하는 개인 데이터에 관한 개인 데이터 침해가 발생하는 경우, 데이터 수입자는 그 악영향을 완화하기 위한 조치를 포함하여 침해를 해결하기 위한 적절한 조치를 취해야 합니다. 데이터 수입자는 또한 위반 사실을 알게 된 후 과도한 지체 없이 데이터 수출자에게 통지해야 한다. 이러한 통지에는 더 많은 정보를 얻을 수 있는 연락 담당자의 세부 정보, 위반의 성격에 대한 설명(가능한 경우, 관련 데이터 주체 및 개인 데이터 기록의 범주 및 대략적인 수 포함), 그 가능한 결과 및 위반을 해결하기 위해 취해지거나 제안된 조치, 그리고 적절한 경우, 가능한 부작용을 완화하기 위한 조치가 포함되어야 합니다. 모든 정보를 동시에 제공할 수 없는 경우, 최초 통지에는 당시 이용 가능한 정보가 포함되어야 하며, 추가 정보는 이용 가능한 경우 이후 과도한 지체 없이 제공해야 한다.

d) 데이터 수입자는 데이터 수출자가 규정(EU) 2016/679에 따른 의무를 준수할 수 있도록 데이터 수출자와 협력하고 지원해야 하며, 특히 데이터 수입자가 이용할 수 있는 정보 및 처리의 성격을 고려하여 관할 감독 당국 및 영향을 받는 데이터 주체에게 통지해야 합니다.

8.7  민감한 데이터

전송이 인종 또는 민족적 기원을 드러내는 개인 데이터와 관련된 경우, 정치적 견해, 종교적 또는 철학적 신념 노동조합 가입, 유전자 데이터, 또는 자연인을 고유하게 식별하기 위한 생체인식 데이터, 건강 또는 개인의 성생활 또는 성적 지향에 관한 데이터, 또는 형사 유죄 판결 및 범죄와 관련된 데이터(이하 ‘민감한 데이터’), 데이터 수입자는 부록 I.B에 기술된 특정 제한 및/또는 추가 안전장치를 적용해야 합니다.

8.8  제3자 전송

데이터 수입자는 데이터 수출자의 문서화된 지침에 따라서만 개인 데이터를 제3자에게 공개해야 합니다. 또한, 제3자가 적절한 모듈에 따라 본 조항의 구속을   받거나 이에 동의하는 경우, 또는

(i) 제3자 이전이 제3자 이전을 다루는 규정(EU)   2016/679 의 제45 조에 따른 적절성 결정으로부터 혜택을 받는 국가로 이전되는 경우,

(ii) 제3자는 달리 문제의 처리와 관련하여 (EU) 2016/679 의 제46 조 또는 제47 조에 따라 적절한 보호 조치를 보장합니다.

(iii) 특정 행정, 규제 또는 사법 절차의 맥락에서 법적 청구의 확립, 행사 또는 방어를 위해 제3자 이전이 필요한 경우, 또는

(iv) 데이터 주체 또는 다른 자연인의 중요한 이익을 보호하기 위해 제3자 전송이 필요한 경우.

제3자 전송은 데이터 수입자가 본 조항에 따른 기타 모든 보호 조치, 특히 목적 제한을 준수해야 합니다.

8.9  문서화 및 준수

a) 데이터 수입자는 본 조항에 따른 처리와 관련된 데이터 수출자의 문의를 신속하고 적절하게 처리해야 합니다.

b) 당사자들은 본 조항의 준수를 입증할 수 있어야 한다. 특히 데이터 수입자는 데이터 수출자를 대신하여 수행되는 처리 활동에 대한 적절한 문서를 보관해야 합니다.

c) 데이터 수입업자는 데이터 수출업자의 요청에 따라 본 조항에 명시된 의무 준수를 입증하는 데 필요한 모든 정보를 데이터 수출업자에게 제공하고, 합리적인 간격으로 또는 비준수 징후가 있는 경우 본 조항이 적용되는 처리 활동의 감사를 허용하고 이에 기여해야 합니다. 데이터 수출자는 검토 또는 감사를 결정할 때 데이터 수입자가 보유한 관련 인증을 고려할 수 있습니다.

d) 데이터 수출자는 자체적으로 감사를 실시하거나 독립 감사인을 위임할 수 있습니다. 감사에는 데이터 수입자의 구내 또는 물리적 시설에서의 검사가 포함될 수 있으며, 적절한 경우 합리적인 통지를 통해 실시해야 합니다.

e) 당사자들은 감사 결과를 포함하여 (b) 및 (c)항에 언급된 정보를 요청 시 관할 감독 당국에 제공해야 한다.

제 9 조 - 하위 처리자의 사용

a) 구체적인 사전 승인 데이터 수입자는 데이터 수출자의 사전 서면 승인 없이 본 조항에 따라 데이터 수출자를 대신하여 수행되는 처리 활동을 하위 처리자에게 하도급해서는 안 됩니다. 데이터 수입자는 데이터 수출자가 승인을 결정하는 데 필요한 정보와 함께 하위 처리자를 고용하기 최소 3 일 전에 특정 승인 요청서를 제출해야 합니다. 데이터 수출자가 이미 승인한 하위 처리자 목록은 부록 III에서 확인할 수 있습니다. 당사자들은 부록 III을 최신 상태로 유지해야 한다.

b) 데이터 수입자가 (데이터 수출자를 대신하여) 특정 처리 활동을 수행하기 위해 하위 처리자를 고용하는 경우, 데이터 주체에 대한 제3자 수익권의 조건을 포함하여 본 조항에 따라 데이터 수입자를 구속하는 것과 동일한 데이터 보호 의무를 실제로 규정하는 서면 계약을 통해 그렇게 해야 합니다. ([i]) 당사자들은 본 조항을 준수함으로써 데이터 수입자가 제 8.8항에 따른 의무를 이행하는 데 동의합니다. 데이터 수입자는 하위 처리자가 본 조항에 따라 데이터 수입자에게 적용되는 의무를 준수하도록 해야 합니다.

c) 데이터 수입자는 데이터 수출자의 요청에 따라 그러한 하위 처리자 계약 및 후속 수정안의 사본을 데이터 수출자에게 제공해야 합니다. 개인 데이터를 포함하여 사업 기밀 또는 기타 기밀 정보를 보호하는 데 필요한 범위 내에서 데이터 수입자는 사본을 공유하기 전에 계약서의 텍스트를 수정할 수 있습니다.

d) 데이터 수입자는 데이터 수입자와의 계약에 따른 하위 처리자의 의무 이행에 대해 데이터 수출자에게 전적인 책임을 져야 합니다. 데이터 수입자는 하위 처리자가 해당 계약에 따른 의무를 이행하지 못한 경우 데이터 수출자에게 통지해야 합니다.

e) 데이터 수입자는 하위 처리자와 제3자 수익자 조항에 합의해야 합니다. 이 조항에 따라 데이터 수입자가 실제로 사라졌거나, 법에 따라 존재하지 않거나, 지급 불능 상태가 된 경우, 데이터 수출자는 하위 처리자 계약을 해지하고 하위 처리자에게 개인 데이터를 삭제 또는 반환하도록 지시할 권리가 있습니다.

제 10 조 - 데이터 주체 권리

a) 데이터 수입자는 데이터 주체로부터 받은 모든 요청을 데이터 수출자에게 즉시 통지해야 합니다. 데이터 수출자가 그렇게 하도록 승인하지 않는 한, 해당 요청 자체에 응답해서는 안 됩니다.

b) 데이터 수입자는 데이터 수출자가 규정(EU) 2016/679에 따른 데이터 주체의 권리 행사에 대한 요청에 대응해야 할 의무를 이행하도록 지원해야 합니다. 이와 관련하여, 당사자들은 필요한 지원의 범위와 범위뿐만 아니라 지원을 제공하는 처리의 성격을 고려하여 부록 II에 적절한 기술적 및 조직적 조치를 명시해야 한다.

c) (a)항 및 (b)항에 따른 의무를 이행함에 있어 데이터 수입자는 데이터 수출자의 지침을 준수해야 합니다.

조항 11 - 교정

a) 데이터 수입자는 데이터 주체에게 개별 통지 또는 웹 사이트에서 불만 처리를 위해 승인된 연락 담당자를 통해 투명하고 쉽게 접근할 수 있는 형식으로 알려야 합니다. 데이터 주체로부터 접수한 모든 불만 사항을 즉시 처리해야 합니다.

b) 본 조항의 준수와 관련하여 데이터 주체와 당사자 중 한 당사자 간에 분쟁이 발생하는 경우, 해당 당사자는 문제를 적시에 우호적으로 해결하기 위해 최선의 노력을 다해야 한다. 당사자들은 이러한 분쟁에 대해 서로에게 알리고, 적절한 경우, 분쟁 해결에 협조한다.

c) 데이터 주체가 제 3조에 따라 제3자 수익권을 행사하는 경우, 데이터 수입자는 다음에 대한 데이터 주체의 결정을 수락해야 합니다.

(i) 13항에 따라 거주지 또는 근무지 회원국의 감독 당국 또는 관할 감독 당국에 불만을 제기하는 행위

(ii) 제 18항의 의미 내에서 관할 법원에 분쟁을 회부한다.

d) 당사자들은 규정(EU) 2016/679의 80(1)조에 명시된 조건에 따라 데이터 주체가 비영리 단체, 조직 또는 협회에 의해 대표될 수 있음을 수락한다.

e) 데이터 수입자는 해당 EU 또는 회원국 법률에 따라 구속력을 갖는 결정을 준수해야 합니다.

f) 데이터 수입자는 데이터 주체의 선택이 해당 법률에 따라 구제를 추구할 수 있는 실질적인 권리와 절차상의 권리를 침해하지 않을 것임에 동의한다.

제 12 조 - 책임

a) 각 당사자는 본 조항의 위반으로 인해 상대방에게 야기된 손해에 대해 상대방에게 책임을 져야 한다.

b) 데이터 수입자는 데이터 주체에 대한 책임이 있으며, 데이터 주체는 데이터 수입자 또는 하위 처리자가 본 조항에 따른 제3자 수익자 권리를 침해하여 데이터 주체에게 야기한 일체의 중대한 또는 중대하지 않은 손해에 대해 보상을 받을 권리가 있습니다.

c) (b)항에도 불구하고, 데이터 수출자는 데이터 주체에 대한 책임이 있으며, 데이터 주체는 데이터 수출자 또는 데이터 수입자(또는 그 하위 처리자)가 본 조항에 따른 제3자 수익자 권리를 침해하여 데이터 주체에게 야기한 일체의 중대한 또는 중대하지 않은 손해에 대해 보상을 받을 권리가 있습니다. 이는 데이터 익스포터의 책임과 데이터 익스포터가 통제자를 대신하여 활동하는 처리자인 경우, 해당되는 경우 규정(EU) 2016/679 또는 규정(EU) 2018/1725에 따른 통제자의 책임을 침해하지 않습니다.

d) 당사자들은 데이터 수출자가 (c)항에 따라 데이터 수입자(또는 그 하위 처리자)가 야기한 손해에 대한 책임이 있는 경우, 데이터 수입자에게 손해에 대한 데이터 수입자의 책임에 해당하는 보상의 일부를 청구할 권리가 있다는 데 동의한다.

e) 둘 이상의 당사자가 본 조항 위반의 결과로 데이터 주체에게 야기된 손해에 대해 책임을 지는 경우, 모든 책임 당사자는 공동으로 그리고 개별적으로 책임을 지며 데이터 주체는 이러한 당사자에 대해 법원에 소송을 제기할 권리가 있다.

f) 당사자들은 한 당사자가 (e)항에 따라 책임을 지는 경우, 상대방으로부터 손해에 대한 자신의 책임에 상응하는 보상의 일부를 청구할 권리가 있음에 동의한다.

g) 데이터 수입업자는 자신의 책임을 회피하기 위해 하위 처리자의 행위를 강요할 수 없습니다.

제 13 조 - 감독

a) [데이터 수출자가 EU 회원국에 설립된 경우:] 데이터 수출자가 부록 I.C에 명시된 데이터 전송과 관련하여 규정(EU) 2016/679 을 준수하도록 보장할 책임이 있는 감독 당국은 관할 감독 당국으로 활동해야 합니다.

[데이터 익스포터가 EU 회원국에 설립되어 있지 않지만, 그 제3조(2)에 따라 규정(EU)   2016/679 의 적용 지역 범위에 속하고 규정(EU)   2016/679의 제27조(1)에 따라 대리인을 임명한 경우:] 부속서 I.C에 명시된 규정(EU) 2016/679 의 제 27조(1)의 의미 내에서 대리인이 설립된 회원국의 감독 당국은 관할 감독 당국으로 활동해야 합니다.

[Where the data exporter is not established in an EU Member State, but falls within the territorial scope of application of Regulation (EU) 2016/679 in accordance with its Article 3(2) without however having to appoint a representative pursuant to Article 27(2) of Regulation (EU) 2016/679:] The supervisory authority of one of the Member States in which the data subjects whose personal data is transferred under these Clauses in relation to the offering of goods or services to them, or whose behaviour is monitored, are located, as indicated in Annex I.C, shall act as competent supervisory authority.

b) 데이터 수입업자는 본 조항의 준수를 보장하기 위한 일체의 절차에 있어서 관할 감독 당국의 관할권에 회부하고 협력하는 데 동의한다. 특히, 데이터 수입업자는 질의에 응답하고, 감사에 제출하며, 개선 및 보상 조치를 포함하여 감독 당국이 채택한 조치를 준수하는 데 동의합니다. 감독당국에 필요한 조치가 취해졌다는 서면확인서를 제공한다.

섹션 III - 공공 당국의 접근 시 현지 법률 및 의무

제 14 조 - 조항 준수에 영향을 미치는 현지 법률 및 관행

a) 당사자들은 데이터 수입자가 개인 데이터를 공개하는 요건 또는 공공 당국의 접근을 허가하는 조치를 포함하여 데이터 수입자가 개인 데이터를 처리하는 데 적용되는 제3국의 법률 및 관행이 데이터 수입자가 본 조항에 따른 의무를 이행하는 것을 방해한다고 믿을 만한 이유가 없음을 보증한다. 이는 기본권과 자유의 본질을 존중하고 규정(EU) 2016/679의 23(1)조에 열거된 목표 중 하나를 보호하기 위해 민주 사회에서 필요하고 적절한 것을 초과하지 않는 법률과 관행이 본 조항과 모순되지 않는다는 이해를 바탕으로 합니다.

b) 당사자들은 (a)항의 보증을 제공할 때 다음 요소를 특별히 고려했음을 선언한다.

(i) 처리 체인의 길이, 관련된 행위자의 수 및 사용된 전송 채널, 향후 전송 의도, 수신자 유형, 처리 목적, 전송된 개인 데이터의 범주 및 형식, 전송이 발생하는 경제 부문, 전송된 데이터의 저장 위치를 포함한 전송의 특정 상황

(ii) 당국 또는 해당 당국의 접근을 허가하는 것 - 양도의 특정 상황과 해당 제한 및 안전장치([i])에 비추어 관련됨

(iii) 본 조항에 따른 안전장치를 보완하기 위해 마련된 모든 관련 계약, 기술 또는 조직적 안전장치. 여기에는 목적지 국가의 개인 데이터 전송 및 처리에 적용되는 조치가 포함됩니다.

c) 데이터 수입자는 (b)항에 따른 평가를 수행함에 있어 데이터 수출자에게 관련 정보를 제공하기 위해 최선의 노력을 기울였음을 보증하며, 데이터 수출자가 이러한 조항의 준수를 보장하기 위해 지속적으로 협력할 것에 동의한다.

d) 당사자들은 (b)항에 따라 평가를 문서화하고 요청 시 관할 감독 당국에 이를 제공하는 데 동의한다.

e) 데이터 수입자는 본 조항에 동의한 후 계약 기간 동안 제3국 법률의 변경 또는 (a)항의 요건에 부합하지 않는 실제 법률 적용을 나타내는 조치(예: 공개 요청)를 따르는 것을 포함하여 (a)항의 요건에 부합하지 않는 법률 또는 관행의 적용을 받거나 받게 되었다고 믿을 만한 이유가 있는 경우 데이터 수출자에게 즉시 통지하는 데 동의합니다.

f) (e)항에 따른 통지 후 또는 데이터 수출자가 데이터 수입자가 더 이상 본 조항에 따른 의무를 이행할 수 없다고 믿을 만한 이유가 있는 경우, 데이터 수출자는 상황을 해결하기 위해 데이터 수출자 및/또는 데이터 수입자가 채택할 적절한 조치(예: 보안 및 기밀성을 보장하기 위한 기술적 또는 조직적 조치)를 즉시 식별해야 합니다. 데이터 수출자는 데이터 전송을 위한 적절한 안전장치를 보장할 수 없다고 간주하거나 관할 감독 당국의 지시가 있는 경우 데이터 전송을 중단해야 합니다. 이 경우 데이터 수출자는 본 조항에 따른 개인 데이터 처리에 관한 한 계약을 해지할 권리가 있습니다. 계약 당사자가 두 명 이상인 경우, 데이터 수출자는 당사자들이 달리 합의하지 않는 한 관련 당사자에 대해서만 해지에 대한 이 권리를 행사할 수 있다. 본 조항에 따라 계약이 해지되는 경우, 16(d)항 및 (e)항이 적용된다.

제 15 조 - 공공기관의 접근 시 데이터 수입자의 의무

15.1 통지

a) 데이터 수입자는 다음에 해당하는 경우 데이터 수출자와 가능한 경우 데이터 주체에게 즉시(데이터 수출자의 도움을 받아 필요한 경우) 통지하는 데 동의합니다.

(i) 본 조항에 따라 전송된 개인 데이터의 공개에 대한 사법 당국을 포함한 공공 당국의 법적 구속력이 있는 요청을 받는 경우. 이러한 통지에는 요청된 개인 데이터, 요청 당국, 요청의 법적 근거 및 제공된 응답에 대한 정보가 포함됩니다.

(ii) 목적지 국가의 법률에 따라 본 조항에 따라 전송된 개인 데이터에 대한 공공 당국의 직접적인 접근을 알게 되는 경우, 이러한 통지에는 수입자가 이용할 수 있는 모든 정보가 포함되어야 한다.

b) 데이터 수입자가 목적지 국가의 법률에 따라 데이터 수출자 및/또는 데이터 주체에게 통지하는 것이 금지되는 경우, 데이터 수입자는 가능한 한 빨리 가능한 한 많은 정보를 전달할 목적으로 금지에 대한 권리 포기를 얻기 위해 최선을 다할 것에 동의합니다. 데이터 수입자는 데이터 수출자의 요청에 따라 이를 입증할 수 있도록 최선의 노력을 문서화하는 데 동의합니다.

c) 목적지 국가의 법률에 따라 허용되는 경우, 데이터 수입자는 계약 기간 동안 정기적으로 데이터 수출자에게 수신된 요청에 대해 가능한 한 많은 관련 정보(특히 요청 수, 요청된 데이터 유형, 요청 권한, 요청 시 이의 제기 여부 및 그러한 이의 결과 등)를 제공하는 데 동의합니다.

d) 데이터 수입자는 계약 기간 동안 (a)~(c)항에 따라 정보를 보존하고 요청 시 관할 감독 당국에 이를 제공하는 데 동의한다.

e) (a)~(c)항은 제 14(e)항 및 제 16 항에 따라 데이터 수입자가 이러한 조항을 준수할 수 없는 경우 데이터 수출자에게 즉시 알려야 하는 의무를 침해하지 않습니다.

15.2 합법성 및 데이터 최소화 검토

a) 데이터 수입자는 공개 요청의 적법성을 검토하고, 특히 요청이 요청 공공 당국에 부여된 권한 내에 있는지 검토하고, 신중한 평가 후 요청이 목적지 국가의 법률, 국제법 및 국제 성향의 원칙에 따라 불법이라고 간주할 만한 합리적인 근거가 있다고 결론을 내리는 경우 요청에 이의를 제기하는 데 동의합니다. 데이터 수입자는 동일한 조건 하에서 항소 가능성을 추구해야 합니다. 요청에 이의를 제기하는 경우, 데이터 수입자는 관할 사법 당국이 그 장점을 결정할 때까지 요청의 영향을 일시 중지하기 위한 임시 조치를 모색해야 합니다. 요청된 개인 데이터는 해당 절차 규칙에 따라 공개해야 할 때까지 공개해서는 안 됩니다. 이러한 요구 사항은 14(e)항에 따른 데이터 수입자의 의무를 침해하지 않습니다.

b) 데이터 수입자는 법적 평가와 공개 요청에 대한 모든 이의 제기를 문서화하고, 목적지 국가의 법률에서 허용하는 범위 내에서 데이터 수출자에게 문서를 제공하는 데 동의합니다. 또한 요청 시 관할 감독 당국에 이를 제공해야 합니다.

c) 데이터 수입자는 공개 요청에 응답할 때 요청에 대한 합리적인 해석을 기반으로 허용되는 최소한의 정보를 제공하는 데 동의합니다.

섹션 IV - 최종 조항

제 16 조 - 조항 미준수 및 해지

a) 데이터 수입자는 어떤 이유로든 이러한 조항을 준수할 수 없는 경우 데이터 수출자에게 즉시 알려야 합니다.

b) 데이터 수입업자가 본 조항을 위반하거나 본 조항을 준수할 수 없는 경우, 데이터 수출업자는 데이터 수입업자에 대한 개인 데이터의 전송을 다시 한 번 준수가 보장되거나 계약이 해지될 때까지 중지해야 합니다. 이는 14(f)항을 침해하지 않는다.

c) 데이터 수출자는 본 조항에 따른 개인 데이터 처리에 관한 한 계약을 해지할 권리가 있습니다.

(i) 데이터 수출자가 (b)항에 따라 데이터 수입자에게 개인 데이터 전송을 일시 중지했으며, 본 조항의 준수가 합리적인 시간 내에 그리고 어떠한 경우에도 일시 중지 후 1개월 내에 복원되지 않는 경우,

(ii) 데이터 수입업자가 본 조항을 중대하거나 지속적으로 위반한 경우, 또는

(iii) 데이터 수입업자가 본 조항에 따른 의무와 관련하여 관할 법원 또는 감독 당국의 구속력 있는 결정을 준수하지 않는 경우.

d) (c)항에 따라 계약 해지 전에 전송된 개인 데이터는 데이터 수출자의 선택에 따라 데이터 수출자에게 즉시 반환하거나 완전히 삭제해야 합니다. 데이터의 모든 사본에도 동일하게 적용됩니다. 데이터 수입자는 데이터 수출자에게 데이터 삭제를 인증해야 합니다. 데이터가 삭제되거나 반환될 때까지 데이터 수입자는 계속해서 이러한 조항의 준수를 보장해야 합니다. 전송된 개인 데이터의 반환 또는 삭제를 금지하는 데이터 수입자에게 적용되는 현지 법률의 경우, 데이터 수입자는 본 조항의 준수를 계속 보장하고 해당 현지 법률에서 요구하는 범위 내에서만 그리고 필요한 기간 동안만 데이터를 처리할 것임을 보증합니다.

e) 일방 당사자는 (i) 유럽위원회가 규정(EU) 2016/679 의 제45(3)조에 따라 본 조항이 적용되는 개인 데이터의 전송을 다루는 결정을 채택하거나, (ii) 규정(EU) 2016/679 가 개인 데이터가 전송되는 국가의 법적 프레임워크의 일부가 되는 경우 본 조항의 구속을 받는다는 동의를 철회할 수 있습니다. 이는 규정(EU) 2016/679에 따라 해당 처리에 적용되는 다른 의무를 침해하지 않습니다.

제 17 조 - 준거법

이러한 조항은 EU 회원국 중 한 곳의 법률에 의해 규율되며, 단 해당 법률이 제3자 수혜자 권리를 허용하는 경우에 한합니다. 당사자들은 이것이 아일랜드 공화국의 법률이라는 데 동의한다.

제 18 조 - 포럼 및 관할권 선택

a) 본 조항으로 인해 발생하는 모든 분쟁은 EU 회원국의 법원에서 해결해야 합니다.

b) 당사자들은 이들이 아일랜드 더블린 법원이 되어야 한다는 데 동의한다.

c) 데이터 주체는 또한 자신이 거주하고 있는 회원국의 법원에 데이터 수출자 및/또는 데이터 수입자를 상대로 법적 절차를 제기할 수 있습니다.

d) 당사자들은 이러한 법원의 관할권에 복종하는 데 동의한다.

부록

설명 참고 사항:

각 전송 또는 전송 범주에 적용되는 정보를 명확히 구별하고, 이와 관련하여 데이터 수출자(들) 및/또는 데이터 수입자(들)로서 당사자들의 각 역할(들)을 결정하는 것이 가능해야 한다. 이는 각 이전/이전 범주 및/또는 계약 관계에 대한 별도의 부록을 작성하고 서명할 필요가 없으며, 이 경우 하나의 부록을 통해 투명성을 달성할 수 있습니다. 그러나, 충분한 명확성을 보장하기 위해 필요한 경우, 별도의 부록을 사용해야 한다.

부록 I

A. 당사자 목록

데이터 수출자(들):

이름: 해당 주문서에 명시된 법인.

주소: 해당 주문서에 명시된 법인의 주소.

담당자 이름, 직위 및 연락처 세부 정보: 해당 주문서에 명시된 대로.

본 조항에 따라 전송된 데이터와 관련된 활동: 별첨 1 참조.

데이터 수입업체(들): 

이름: 자신과 그 계열사를 대신하여 Claroty Ltd.

주소: 82 Yigal Alon St, 텔아비브야포, 이스라엘

담당자 이름, 직위 및 연락처 세부 정보: Seth Gerson, 법률 고문, legal@claroty.com

본 조항에 따라 전송된 데이터와 관련된 활동: 별첨 1에 설명된 처리 활동.

역할(컨트롤러/프로세서): 데이터 프로세서

B. 양도에 대한 설명

개인정보가 전송되는 데이터 주체의 범주

일정 1을 참조하십시오.

전송된 개인 데이터의 범주

일정 1을 참조하십시오.

전송된 민감한 데이터(해당하는 경우) 및 적용 제한 또는 안전장치. 예를 들어 엄격한 목적 제한, 액세스 제한(전문 교육을 받은 직원만 액세스), 데이터 액세스 기록 보관, 향후 전송 제한 또는 추가 보안 조치와 같이 데이터의 특성과 관련된 위험을 완전히 고려한 제한 또는 안전장치.

일정 1을 참조하십시오.

전송 빈도(예: 데이터가 일회성 또는 연속으로 전송되는지 여부).

일정 1을 참조하십시오.

처리의 성격

일정 1을 참조하십시오.

데이터 전송 및 추가 처리 목적(들)

일정 1을 참조하십시오.

개인 데이터가 보관되는 기간, 또는 그렇게 할 수 없는 경우 해당 기간을 결정하는 데 사용되는 기준

일정 1을 참조하십시오.

(하위) 프로세서로의 전송의 경우, 처리의 주제, 성격 및 기간도 명시합니다.

별첨 2 및 DPA를 참조한다.

C. 관할 감독 기관
13항에 따라 관할 감독 기관을 확인합니다.

부록 II

데이터 보안을 보장하기 위한 기술적 및 조직적 조치를 포함한 기술적 및 조직적 조치

설명 참고 사항:

기술적 및 조직적 조치는 구체적인(일반적이지 않은) 용어로 설명되어야 합니다. 또한 부록의 첫 페이지에 있는 일반 의견, 특히 각 이체/이체 세트에 적용되는 조치를 명확히 표시해야 할 필요성에 대해 참조하십시오.

 보안 문서를 참조하십시오.

부록 III

하위 처리자 목록

설명 참고 사항:

본 부록은 하위 처리자의 특정 승인( 9(a)항, 옵션 1)의 경우 반드시 작성되어야 합니다.

컨트롤러가 다음 하위 프로세서의 사용을 승인했습니다. 스케줄 2을 참조하십시오.

[i] Where the data exporter is a processor subject to Regulation (EU) 2016/679 acting on behalf of a Union institution or body as controller, reliance on these Clauses when engaging another processor (sub-processing) not subject to Regulation (EU) 2016/679 also ensures compliance with Article 29(4) of Regulation (EU) 2018/1725 of the European Parliament and of the Council of 23 2018년 10월 on the protection of natural persons with regard to the processing of personal data by the Union institutions, bodies, offices and agencies and on the free movement of such data, and repealing Regulation (EC) No 45/2001 and Decision No 1247/2002/EC (OJ L 295, 21.11.2018, p. 39), to the extent these Clauses and the data protection obligations as set out in the contract or other legal act between the controller and the processor pursuant to Article 29(3) of Regulation (EU) 2018/1725 are aligned. 이는 특히 통제자와 처리자가 결정 2021/915에 포함된 표준 계약 조항에 의존하는 경우입니다.

[i] 유럽경제지역에 관한 협약(EEA 협약)은 유럽연합의 내부 시장을 세 개의 EEA 국가인 아이슬란드, 리히텐슈타인 및 노르웨이로 확장하는 것을 규정합니다. 규정(EU) 2016/679을 포함한 EU 데이터 보호법은 EEA 계약의 적용을 받으며 이에 대한 부록 XI에 통합되었습니다. 따라서 데이터 수입자가 EEA에 위치한 제3자에게 공개하는 것은 본 조항의 목적상 제3자 전송에 해당되지 않습니다.

[i] 이 요건은 제 7조에 따라 해당 모듈에 따라 이러한 조항에 액세스하는 하위 처리자가 충족할 수 있습니다.

[i] 이러한 법률 및 관행이 본 조항의 준수에 미치는 영향과 관련하여, 전반적인 평가의 일환으로 다양한 요소를 고려할 수 있습니다. 이러한 요소는, 충분히 대표적인 기간을 포함하는, 공공 당국으로부터의 공개 요청의 이전 인스턴스에 대한 관련성 있고 문서화된 실무 경험, 또는 이러한 요청의 부재를 포함할 수 있다. 이는 특히 내부 기록 또는 기타 문서를 의미하며, 실사에 따라 지속적으로 작성되고 고위 경영진 수준에서 인증을 받아야 합니다. 단, 이 정보를 제3자와 합법적으로 공유할 수 있어야 합니다. 데이터 수입업자가 이러한 조항을 준수하는 것이 금지되지 않을 것이라는 결론을 내리기 위해 이러한 실제 경험에 의존하는 경우, 다른 관련 있고 객관적인 요소에 의해 뒷받침되어야 하며, 당사자들은 이러한 요소가 신뢰성 및 대표성 측면에서 이러한 결론을 뒷받침하기에 충분한 가중치를 갖는지 여부를 신중하게 고려해야 한다. 특히, 당사자들은 자신의 실제 경험이 입증되고, 동일한 부문 내 요청의 존재 또는 부재에 관한 공개적으로 이용 가능하거나 달리 접근 가능한 신뢰할 수 있는 정보 및/또는 독립 감독 기구의 사례법 및 보고서와 같은 실제 법률 적용과 모순되지 않는지 고려해야 한다.

Claroty
링크드인 트위터 유튜브 페이스북