이 부록은 계약의 불가분의 일부를 구성하며 다음과 같이 체결됩니다.
각각은 " 당사자 "이며 일반적으로 " 당사자 "입니다.
전문
데이터 가져오기 프로그램이 전문 소프트웨어 서비스, 컴퓨터 및 관련 서비스(예: 고급 검색 기능이 있는 브라우저)를 제공하는 곳
계약에 따라 데이터 수입자는 계약에 명시된 서비스(이하 " 서비스 ")를 데이터 수출자에게 제공하는 데 동의했습니다.
서비스를 제공함으로써 데이터 가져오기가 데이터 내보내기의 정보 또는 데이터 내보내기와 (잠재적인) 관계가 있는 다른 사람의 정보를 받거나 액세스로부터 혜택을 받는 경우 해당 정보는 규정의 의미 내에서 개인 데이터로 자격이 될 수 있습니다. (EU) 2016년 4월 27일자 유럽 의회 및 이사회의 개인 데이터 처리 및 해당 데이터의 자유로운 이동(" GDPR ") 및 기타 적용 가능한 데이터 보호법에 관한 개인 보호에 관한 이사회의 2016/679.
이 부록에는 당사자들이 해당 데이터 보호법을 준수하도록 하기 위해 데이터 내보내기의 승인된 데이터 처리 대리인 자격으로 데이터 가져오기가 이러한 개인 데이터를 수집, 처리 및 사용하는 데 적용되는 조건이 포함되어 있습니다. .
따라서 당사자들이 합법적으로 관계를 지속할 수 있도록 당사자는 이 부록을 다음과 같이 체결했습니다.
1 부
1. 문서의 구조와 정의
1.1 구조
이 부록은 다음과 같이 여러 부분으로 구성됩니다.
1 부: | 예를 들어 이 부록에 사용된 정의, 현지 법률 준수, 시기 및 종료와 관련된 일반 조항을 포함합니다.
|
2 부: | 수정되지 않은 표준 계약 조항 문서의 본문을 포함합니다.
|
2부의 부록 1.1: | 이 조항에 따라 데이터 가져오기가 데이터 내보내기에게 승인된 데이터 처리 에이전트로 제공한 처리 작업의 세부 정보(처리, 특성 및 처리 목적, 개인 데이터 유형 및 데이터 주체 범주 포함)가 포함되어 있습니다. 부록
|
2부의 부록 2: | 파트 2의 부록 1.1에 설명된 모든 처리 활동과 관련하여 적용되는 데이터 가져오기자의 기술적 및 조직적 보안 조치에 대한 설명이 포함되어 있습니다.
|
3부: | 이 부록의 구속을 받는 당사자의 서명을 포함하고 각 데이터 수입자를 식별합니다.
|
1.2 용어 및 정의
이 부록의 목적을 위해 GDPR에서 사용하는 용어 및 정의가 적용됩니다(정의된 용어가 대문자로 표시되지 않은 2부의 표준 계약 조항 문서 본문에 있음).
"회원국" | 유럽 연합 또는 유럽 경제 지역에 속하는 국가를 의미합니다.
|
"(개인) 데이터의 특수 범주" | 인종 또는 민족, 정치적 견해, 종교 또는 철학적 신념, 노동조합 가입 여부를 나타내는 개인정보, 유전정보, 생체정보(개인을 고유하게 식별할 목적으로 처리한 경우), 건강정보, 성별정보 삶이나 성적 지향
|
"표준 계약 조항" | 2010년 2월 5일 위원회 결정 2010/87/EU에 따라 제3국에 설립된 처리 대리인의 개인 데이터 전송에 대한 표준 계약 조항을 의미하며, 이 조항은 2010년 2월 16일 위원회 시행 결정(EU) 2016/2297에 의해 수정되었습니다. 2016년 12월
|
"데이터 프로세서" | EU/EEA 내부 또는 외부에 위치한 처리 대리인을 의미하며, 데이터 가져오기 또는 데이터 가져오기의 기타 처리자로부터 데이터 내보내기가 완료된 후 수행할 처리 활동만을 위한 개인 데이터를 받는 데 동의합니다. 데이터 내보내기의 지침, 이 부록의 조건 및 데이터 가져오기와의 계약에 따라 전송
|
2. 데이터 수출자의 의무
2.1 데이터 내보내기는 GDPR 및 데이터 내보내기에 적용되는 기타 데이터 보호법에 따른 모든 관련 의무를 준수하고 GDPR 제5(2)조에서 요구하는 준수를 보여줄 의무가 있습니다. 데이터 내보내기는 데이터 가져오기가 GDPR 제6조(a)에 따라 데이터 주체의 사전 동의를 얻었고 GDPR 제13조 및 제14조에 따라 데이터 주체에게 알릴 의무를 준수했음을 보증합니다.
2.2 데이터 내보내기는 데이터 가져오기가 아래의 의무를 준수하는 데 필요한 범위 내에서 이 부록에 따른 서비스와 관련된 GDPR의 30(1)조에 따라 처리 활동의 해당 파일을 데이터 가져오기에게 제공해야 합니다. GDPR 30조 2항.
2.3 데이터 내보내기는 해당 데이터 보호법에서 요구하는 범위 내에서 데이터 보호 담당자 또는 대리인을 임명해야 합니다. 데이터 내보내기는 데이터 가져오기에 데이터 보호 에이전트 또는 대리인(있는 경우)의 연락처 세부 정보를 제공할 의무가 있습니다.
2.4. 데이터 내보내기는 처리가 완료되기 전에 이 부록을 수락하여 부록 2에서 파트 2에 설명된 데이터 가져오기의 기술적 및 조직적 보안 조치가 데이터 주체의 권리를 보호하기에 적절하고 충분함을 확인합니다. 데이터 가져오기 프로그램이 이와 관련하여 충분한 보호 장치를 제공하는지 확인합니다.
3. 현지 법률 준수
GDPR 28조에 따라 처리 대리인 구현 요구 사항을 충족하기 위해 다음 수정 사항이 적용됩니다.
3.1 지침
3.2 데이터 수입자의 의무
3.3 관계자의 권리
3.4 부처리
3.5 만료
이 부록의 만료일은 해당 계약의 만료일과 동일합니다. 이 부록에 달리 규정된 경우를 제외하고 해지와 관련된 권리 및 의무는 계약에 포함된 것과 동일합니다.
4. 책임의 제한
4.1 각 당사자는 이 부록 및 해당 데이터 보호 법률에 따른 의무를 다룹니다.
4.2 이 부록 또는 해당 데이터 보호 법률에 따른 의무 위반과 관련된 모든 책임은 이 부록에 달리 규정된 경우를 제외하고 계약에 명시되거나 적용되는 책임 조항의 적용을 받습니다. 책임 한도를 계산하거나 다른 책임 한도의 적용을 결정하기 위해 계약에 명시되거나 적용 가능한 책임 조항이 책임에 적용되는 경우, 이 부록에 따라 발생하는 모든 책임은 계약에 따라 발생하는 것으로 간주됩니다.
5. 일반 조항
5.1 이 부록의 1부와 2부 간에 불일치 또는 불일치가 있는 경우 2부가 우선합니다. 구체적으로, 그러한 경우에도 2부(즉, 표준 조항의 조건)를 단순히 넘어서는 1부는 모순되지 않고 유효합니다.
5.2 이 부록의 조항과 당사자를 구속하는 다른 계약의 조항 간에 불일치가 발생하는 경우, 당사자의 데이터 보호 의무와 관련하여 이 부록이 우선합니다. 다른 계약의 조항이 당사자의 데이터 보호 의무와 관련되는지 여부가 의심되는 경우 이 부록이 우선합니다.
5.3 이 부록의 어떤 조항이 유효하지 않거나 시행할 수 없는 경우, 이 부록의 나머지 부분은 완전한 효력을 유지합니다. 유효하지 않거나 시행할 수 없는 조항은 (i) 당사자의 의도를 가능한 한 유지하면서 유효성과 시행 가능성을 보장하기 위해 수정되거나, - 이것이 불가능한 경우 - (ii) 유효하지 않거나 시행 불가능한 부분이 수정된 것처럼 해석됩니다. 계약의 일부가 아닙니다. 이 부록에 누락이 있는 경우에도 전술한 내용이 적용됩니다.
5.5 당사자는 필요한 범위 내에서 유럽연합의 권한 있는 당국이나 유럽연합의 권한 있는 당국이 발행한 해석, 지시 또는 명령을 준수하기 위해 1부, 3절(현지법 준수) 또는 부록의 기타 부분에 대한 수정을 요청할 수 있습니다. GDPR 또는 데이터 처리에 관련된 기관에 대한 기타 위임 조건, 특히 GDPR의 표준 계약 조항 사용에 관한 회원국, 국가 시행 규정 또는 기타 법적 개발. 표준 계약 조항의 조건은 유럽 위원회가 명시적으로 승인하지 않는 한(예: 새로운 적절한 조항 및 데이터 보호 표준에 의해) 수정되거나 대체될 수 없습니다.
5.6 이 부록에서 "조항"에 대한 언급은 달리 명시되지 않는 한 이 부록의 모든 조항을 참조하는 것으로 이해되어야 합니다.
5.7 파트 2, 9항의 법 선택은 전체 계약에 적용됩니다.
6. 당사자가 개인 목적으로 전송 및 처리하는 개인 데이터(데이터 컨트롤러에서 데이터 컨트롤러로 이전)
6.1 당사자는 특정 개인 데이터가 데이터 내보내기에서 데이터 가져오기로 또는 그 반대로 전송되며 이러한 데이터는 각 당사자가 고유한 목적을 위해 처리한다는 것을 완전히 알고 있습니다. 그러한 개인 데이터와 관련하여 이 부록의 다른 조항(이 6항 제외)에는 영향을 미치지 않습니다.
6.2 데이터 내보내기는 보안 사고에 대한 정보 또는 데이터 내보내기의 직원이 제공하는 서비스와 관련하여 데이터 내보내기가 생성하거나 설정한 기타 문서 또는 파일을 포함하여 데이터 가져오기의 직원과 관련된 개인 데이터를 데이터 가져오기에게 전송할 수 있습니다. 데이터 가져오기. 데이터 가져오기는 자체 목적, 특히 데이터 가져오기 직원과의 전문적인 관계, 품질 관리 및 교육 또는 비즈니스 목적을 위해 이러한 개인 데이터를 처리할 수 있습니다.
6.3. 데이터 가져오기는 데이터 가져오기 직원의 이름 및 연락처 세부 정보를 포함하여 데이터 내보내기에게 개인 데이터를 전송할 수 있습니다. 데이터 내보내기는 자체 목적을 위해 이러한 개인 데이터를 처리할 수 있습니다.
6.4 양 당사자는 제1부의 1항에 따라 상대방으로부터 받은 개인 데이터를 수집, 처리 및 사용할 때 GDPR을 포함한 모든 해당 데이터 보호법을 준수해야 합니다. 특히, 양 당사자는 다음을 제공하는 적절한 보안 조치를 취해야 합니다. 2부의 부록 2에 명시된 보안 조치와 유사한 수준의 보호. 이러한 개인 데이터에 대한 액세스는 이를 알아야 할 필요로 제한됩니다.
6.5 양 당사자는 목표가 달성된 후 가능한 한 빨리 그러한 개인 데이터를 삭제해야 합니다.
2 부
위원회의 결정
2010년 2월 5일
유럽 의회 및 이사회의 95/46/EC 지침에 따라 제3자 국가에 설립된 데이터 프로세서로의 개인 데이터 전송에 대한 표준 계약 조항
제1항
정의
조항의 의미 내에서:
a) '개인 데이터', '데이터의 특수 범주', '처리/처리', '컨트롤러', '프로세서', '데이터 주체' 및 '감독 기관'은 95/46/EC에서와 동일한 의미를 갖습니다. 1995년 10월 24일 개인 데이터 처리 및 해당 데이터의 자유로운 이동에 관한 개인 보호에 관한 유럽 의회 및 이사회 지침(1);
b) '데이터 내보내기'는 개인 데이터를 전송하는 데이터 컨트롤러입니다.
c) '데이터 가져오기'는 데이터 내보내기를 수행한 후 해당 지침과 이 조항의 조건에 따라 데이터 내보내기를 대신하여 처리하도록 의도된 개인 데이터를 데이터 내보내기로부터 받는 데 동의하지만 데이터 프로세서는 그렇지 않습니다. Directive 95/46/EC의 25(1)조 의미 내에서 적절한 보호를 보장하는 제3국의 메커니즘에 따라 (d) '데이터 프로세서'는 데이터 가져오기 또는 데이터 가져오기의 다른 데이터 프로세서가 관여하는 데이터 프로세서를 의미하며 데이터 가져오기 또는 데이터 가져오기의 다른 데이터 프로세서로부터 처리 활동만을 위해 개인 데이터를 수신하는 데 동의합니다. 데이터 내보내기의 지시에 따라 전송 후 데이터 내보내기를 대신하여 수행됩니다.
e) "적용 가능한 데이터 보호법"은 개인 데이터 처리에 관한 개인 정보 보호 권리를 포함하여 개인의 기본 권리와 자유를 보호하고 데이터 내보내기가 설립된 회원국의 컨트롤러에게 적용되는 법률을 의미합니다.
f) "보안과 관련된 기술적 및 조직적 조치"는 특히 처리가 네트워크를 통한 데이터 전송을 포함하는 경우 우발적 또는 불법적 파괴 또는 우발적 손실, 변경, 무단 공개 또는 액세스로부터 개인 데이터를 보호하기 위한 조치를 의미합니다. 기타 모든 불법적인 형태의 처리.
제2항
전송 세부 정보
해당되는 경우 개인 데이터의 특수 범주를 포함하여 전송에 대한 세부 정보는 이러한 조항의 필수적인 부분을 형성하는 부록 1에 명시되어 있습니다.
3항
제3자 수혜자 조항
1. 데이터 주체는 데이터 수출자에게 이 조항, 4(b)~(i), 5(a)~(e) 및 (g)~(j), 6(1) 및 (2)를 시행할 수 있습니다. ), 7항, 8(2)항 및 9~12항을 제3자 수익자로
2. 데이터 주체는 데이터 수출자가 물리적으로 가지고 있는 경우 데이터 수입자에 대해 이 조항 5(a)~(e) 및 (g), 6조, 7조, 8(2) 및 9~12조를 시행할 수 있습니다. 모든 법적 의무가 계약에 의해 또는 법의 운영에 의해 데이터 내보내기의 권리와 의무가 반환되는 승계 기업으로 이전되지 않는 한, 법률에 의해 사라지거나 존재하지 않습니다. 따라서 주체는 상기 조항을 집행할 수 있습니다.
데이터 주체는 데이터 처리자에 대해 이 조항 5(a)~(e) 및 (g), 6조, 7조, 8조(2) 및 9~12조를 데이터 처리자에게 시행할 수 있습니다. 데이터 내보내기의 모든 법적 의무가 계약 또는 법률의 운영에 의해 권리 및 따라서 데이터 내보내기의 의무는 귀속되며, 따라서 데이터 주체는 해당 조항을 시행할 수 있습니다. 데이터 프로세서의 이러한 책임은 이 조항에 따른 자체 처리 활동으로 제한되어야 합니다.
4. 당사자는 자신이 원하고 국내법이 허용하는 경우 협회 또는 기타 기관이 데이터 주체를 대표하는 것을 반대하지 않습니다.
제4항
데이터 내보내기의 의무
데이터 내보내기는 다음을 수락하고 보장합니다.
a) 개인 데이터의 실제 전송을 포함한 처리는 해당 데이터 보호법의 관련 조항에 따라 수행되어 왔고 앞으로도 계속될 것입니다(해당되는 경우 회원국의 권한 있는 당국에 통보됨) 데이터 내보내기의 기반) 해당 국가의 관련 조항을 침해하지 않습니다.
b) 개인 데이터 처리 서비스 기간 동안 데이터 가져오기가 데이터 내보내기를 대신하여 해당 데이터 보호법 및 이 조항에 따라 전송된 개인 데이터를 처리하도록 지시했으며 지시할 것입니다.
c) 데이터 수입자는 현재 계약의 부록 2에 명시된 기술적 및 조직적 보안 조치와 관련하여 충분한 안전 장치를 제공합니다.
d) 해당 데이터 보호법의 요구 사항을 평가한 후, 보안 조치가 특히 처리가 데이터 전송과 관련된 경우 우발적 또는 불법적 파괴 또는 우발적 손실, 변경, 무단 공개 또는 액세스로부터 개인 데이터를 보호하기에 적절합니다. 기술 수준과 구현 비용을 고려하여 네트워크를 통해 그리고 기타 모든 불법적인 형태의 처리에 대해 처리하고 보호할 데이터의 특성과 처리에 의해 나타나는 위험에 적절한 보안 수준을 보장합니다.
e) 보안 조치 준수를 보장합니다.
f) 전송이 데이터의 특정 범주와 관련된 경우 데이터 주체는 전송 전 또는 전송 후 가능한 한 빨리 자신의 데이터가 제공되지 않는 제3국으로 전송될 수 있음을 통지받았거나 통지받을 것입니다. 지침 95/46/EC의 의미 내에서 적절한 수준의 보호
g) 데이터 수입자 또는 5(b) 및 8(3)항에 따라 데이터 처리자로부터 받은 모든 통지를 데이터 보호 감독 기관이 계속 이전하거나 일시 중지를 해제하기로 결정하는 경우 해당 기관에 전달할 것입니다.
h) 데이터 주체가 요청하는 경우 부록 2를 제외하고 본 조항의 사본, 보안 조치에 대한 요약 설명, 본 조항에 따라 체결된 추가 하청 계약의 사본을 제공해야 합니다. 조항 또는 계약에 상업 정보가 포함되어 있는 경우 해당 정보를 철회할 수 있습니다.
i) 데이터 처리 프로세스를 하도급하는 경우 처리 활동은 이 조항에 따라 데이터 수입자와 최소한 동일한 수준의 개인 데이터 보호 및 데이터 주체의 권리를 제공하는 데이터 프로세서에 의해 조항 11에 따라 수행됩니다. ; 그리고
j) 4(a)~(i)항의 준수를 보장합니다.
제5항
데이터 수입자의 의무
데이터 가져오기 도구는 다음을 수락하고 보장합니다.
a) 데이터 내보내기를 대신하여 데이터 내보내기의 지침과 이 조항에 따라 개인 데이터를 처리합니다. 어떤 이유로든 준수할 수 없는 경우 데이터 내보내기가 불가능한 경우 데이터 내보내기가 데이터 전송을 일시 중지 및/또는 계약을 종료할 수 있음을 데이터 내보내기에 알리는 데 동의합니다.
b) 자신에게 적용되는 법률이 데이터 내보내기가 제공한 지침과 계약에 따라 그에게 부과된 의무를 이행하는 것을 방해한다고 믿을 이유가 없으며 그러한 법률이 중대한 불리한 영향을 미칠 수 있는 변경의 대상이 되는 경우 조항에 따른 보증 및 의무에 영향을 미치는 경우, 그는 변경 사항을 인지한 후 지체 없이 데이터 수출자에게 통지해야 하며, 이 경우 데이터 수출자는 데이터 전송을 중단 및/또는 계약을 종료할 수 있습니다. (c) 전송된 개인 데이터를 처리하기 전에 부록 2에 명시된 기술적 및 조직적 보안 조치를 구현했습니다.
d) 그들은 지체 없이 데이터 수출자에게 통지할 것입니다:
i) 경찰 수사의 비밀 유지를 목적으로 하는 형사 금지와 같이 달리 명시되지 않는 한, 법 집행 기관의 개인 데이터 공개에 대한 구속력 있는 요청
ii) 우발적이거나 무단 액세스; 그리고
iii) 권한이 부여되지 않은 한 관련자로부터 응답 없이 직접 받은 요청 관리자
e) 전송되는 개인 데이터의 처리에 관한 데이터 내보내기의 모든 문의를 신속하고 적절하게 처리하고 전송된 데이터의 처리에 관한 감독 기관의 의견에 따라 행동합니다.
f) 데이터 내보내기의 요청에 따라 데이터 내보내기 또는 필수 전문 자격을 갖춘 독립적인 구성원으로 구성된 감독 기관이 수행하는 이러한 조항이 적용되는 처리 활동에 대한 감사를 데이터 처리 시설에 적용합니다. 적절한 경우 감독 기관의 동의 하에 데이터 내보내기가 선택하고 비밀을 지켜야 할 의무가 있습니다.
g) 데이터 주체가 요청하는 경우 해당 조항 또는 계약에 상업적 정보가 포함되어 있는 경우를 제외하고 본 조항 또는 기존 하도급 데이터 처리 계약의 사본을 제공할 수 있습니다. 데이터 주체가 데이터 내보내기 업체로부터 사본을 얻을 수 없는 경우 보안 조치에 대한 요약 설명으로 대체될 부록 2를 제외하고 정보
h) 데이터 처리에 대한 기밀 추가 하청 계약의 경우, 그는 사전에 데이터 내보내기자에게 알리고 데이터 내보내기자의 서면 동의를 얻도록 해야 합니다.
i) 데이터 프로세서가 제공하는 처리 서비스는 11항을 준수해야 합니다.
j) 그들은 본 조항에 따라 체결한 데이터 처리 계약의 하도급 사본을 데이터 수출자에게 즉시 보낼 것입니다.
6조
책임
1. 당사자는 한 당사자 또는 데이터 처리자가 3조 또는 11조에 언급된 의무 위반으로 인해 피해를 입은 데이터 주체가 데이터 내보내기로부터 입은 피해에 대해 보상을 받을 수 있다는 데 동의합니다.
2. 데이터 가져오기 또는 데이터 처리자가 데이터로 인해 데이터 가져오기 또는 데이터 처리자가 3항 또는 11항에 따른 의무를 준수하지 않아 데이터 내보내기에 대해 1항에 언급된 손해 배상 소송을 제기할 수 없는 경우 수출자가 물리적으로 사라졌거나 법적으로 존재하지 않거나 지급 불능 상태가 된 경우 데이터 수입자는 데이터 수출자의 모든 법적 의무가 계약에 의해 이전되지 않는 한 데이터 주체가 데이터 수출자처럼 불만을 제기할 수 있다는 데 동의합니다. 또는 법률의 운영에 따라 데이터 주체가 자신의 권리를 집행할 수 있는 승계 기관에 양도할 수 있습니다. 데이터 수입자는 자신의 책임을 피하기 위해 데이터 처리자의 의무 위반에 의존할 수 없습니다.
3. 데이터 내보내기 및 데이터 가져오기 때문에 데이터 처리자가 3절 또는 11절에 따른 의무를 위반하여 데이터 주체가 데이터 내보내기 또는 데이터 가져오기에 대해 단락 1 및 2에 언급된 조치를 취하는 것이 금지된 경우 물리적으로 사라졌거나, 법적으로 존재하지 않거나, 지급불능 상태가 된 경우, 데이터 프로세서는 데이터 주체가 이러한 조항에 따라 데이터 내보내기 또는 데이터 가져오기인 것처럼 자신의 처리 활동에 대해 불만을 제기할 수 있다는 데 동의합니다. 데이터 내보내기 또는 데이터 가져오기의 법적 의무는 계약 또는 법률의 운영에 따라 데이터 주체가 자신의 권리를 주장할 수 있는 법적 승계인에게 이전되었습니다.데이터 프로세서의 책임은 이러한 조항에 따른 자체 처리 활동으로 제한되어야 합니다.
제7조
조정 및 관할권
1. 데이터 가져오기자는 조항에 따라 데이터 주체가 자신에 대해 제3자 수익자의 권리를 주장하고/하거나 피해를 입은 손해에 대한 보상을 청구하는 경우 데이터 주체의 결정을 수락한다는 데 동의합니다.
a) 독립된 사람 또는 적절한 경우 감독 기관의 중재에 분쟁을 제출합니다.
b) 데이터 수출자가 소재한 회원국의 법원에 분쟁을 제기합니다.
2. 당사자는 데이터 주체의 선택이 국내법 또는 국제법의 다른 조항에 따라 구제를 받을 수 있는 데이터 주체의 절차적 또는 실질적 권리에 영향을 미치지 않는다는 데 동의합니다.
제8조
감독당국과의 협력
1. 데이터 수출자는 감독 당국이 요구하거나 해당 데이터 보호법에 의해 그러한 예치금이 제공되는 경우 현재 계약의 사본을 감독 기관에 기탁하는 데 동의합니다.
2. 당사자는 감독 기관이 관련 데이터 보호법에 따라 데이터 내보내기에서 수행되는 검사와 동일한 범위 및 동일한 조건에서 데이터 가져오기 및 모든 데이터 프로세서에서 검사를 수행할 수 있다는 데 동의합니다.
3. 데이터 수입자는 2항에 따라 데이터 수입자 또는 데이터 프로세서에서 검증을 방해하는 데이터 수입자 또는 데이터 프로세서에 관한 법률의 존재를 데이터 내보내기에게 가능한 한 빨리 알려야 합니다. 이러한 경우, 데이터 내보내기는 5(b)항에 규정된 조치를 취할 수 있습니다.
제9조
준거법
이 조항은 데이터 내보내기가 기반을 둔 회원국의 법률이 적용되고 규율됩니다.
제10조
계약 수정
당사자는 본 조항을 수정하지 않을 것을 약속합니다. 당사자는 현재 조항과 모순되지 않는 한 필요하다고 생각하는 다른 상업적 조항을 자유롭게 포함할 수 있습니다.
제11조
후속 하도급
1. 데이터 수입자는 데이터 수출자의 사전 서면 동의 없이 이 조항에 따라 데이터 수출자를 대신하여 수행되는 처리 활동을 하청하지 않습니다. 데이터 수입자는 본 조항에 따라 데이터 수입자에게 부과된 의무와 동일한 의무를 데이터 프로세서에 부과하는 데이터 프로세서와의 서면 계약을 통해서만 데이터 내보내기자의 동의하에 본 조항에 따른 의무를 하청합니다. 데이터 처리자가 해당 서면 계약에 따른 데이터 보호 의무를 준수할 수 없는 경우 데이터 수입자는 해당 의무의 이행에 대해 데이터 수출자에 대해 전적인 책임을 져야 합니다.
2. 데이터 수입자와 데이터 처리자 간의 사전 서면 계약에는 데이터 주체가 6조 1항에 언급된 손해 배상 청구를 제기할 수 없는 경우 3조에 명시된 제3자 수익자 조항도 포함되어야 합니다. ), 데이터 내보내기 또는 데이터 가져오기가 물리적으로 사라졌거나, 법적으로 존재하지 않거나 지급 불능 상태가 되었으며 데이터 내보내기 또는 데이터 가져오기의 모든 법적 의무가 계약 또는 운영에 의해 이전되지 않았기 때문에 데이터 내보내기 또는 데이터 가져오기를 반대합니다. 다른 승계 법인에게 법적으로. 데이터 프로세서의 책임은 이러한 조항에 따라 자체 처리 활동으로 제한되어야 합니다.
3. 1항에 언급된 계약의 데이터 처리 하청 계약의 데이터 보호 측면과 관련된 조항은 데이터 내보내기가 설립된 회원국의 법률에 따라 규율됩니다.
4. 데이터 내보내기는 이 조항에 따라 체결되고 조항 5(j)에 따라 데이터 가져오기가 통지한 데이터 처리 계약의 하도급 목록을 유지해야 하며, 이 목록은 최소 1년에 한 번 업데이트되어야 합니다. 이 목록은 데이터 내보내기의 데이터 보호 감독 기관에서 사용할 수 있어야 합니다.
제12조
개인정보 처리 서비스 종료 후의 의무
1. 당사자들은 데이터 처리 서비스가 완료되면 데이터 가져오기 및 데이터 처리자가 데이터 내보내기의 편의에 따라 전송된 모든 개인 데이터와 그 사본을 데이터 내보내기에게 반환하거나 그러한 모든 데이터를 파기하고 증거를 제공한다는 데 동의합니다. 데이터 수입업체에 부과된 법률이 전송된 개인 데이터의 전체 또는 일부를 반환하거나 파기하는 것을 금지하지 않는 한 데이터 내보내기 업체에 대한 파기. 이 경우 데이터 가져오기는 전송된 개인 데이터의 기밀성을 보장하고 더 이상 데이터를 적극적으로 처리하지 않을 것임을 보장합니다.
2. 데이터 수입자와 데이터 처리자는 데이터 수출자 및/또는 감독 기관이 요청하는 경우 데이터 처리 수단이 1항에 언급된 조치의 검증을 받도록 해야 합니다.
부록 1.1 - 파트 2
전송 세부 정보
데이터 내보내기
데이터 내보내기는 계약 계약에 정의된 고객입니다.
데이터 가져오기
데이터 가져오기 도구는 IQUALIF이며 데이터 내보내기에 서비스를 제공하여 데이터를 처리하도록 할당됩니다.
데이터의 주제
전송된 개인 데이터는 다음 범주의 데이터 주체와 관련됩니다.
~' 전화 가입자는 유니버설 디렉토리에 나열
다음을 포함한 기타:
데이터 카테고리
전송된 개인 데이터는 다음 범주의 데이터와 관련됩니다.
특히 데이터 내보내기의 데이터 주체의 개인 데이터 범주,
' 풀네임
'' 우편 주소
'~'연락처(이메일, 전화번호, IP주소 등)
' ~' 전화 가입자에 대한 마케팅 활동의 세부 사항
'기타 주택의 종류, 소득, 시별 평균 연령 등은 익명으로 처리
데이터의 특수 범주(해당되는 경우)
전송된 개인 데이터는 다음과 같은 특수 범주의 데이터와 관련됩니다.
' ' 특별한 범주의 데이터 이전이 예상되지 않습니다.
~ 인종 또는 민족 출신
~ 종교적 또는 철학적 신념
~ 노동 조합 회원
~ 정치적 견해
~ 유전 정보
~ 생체 정보
~ 성적 취향 또는 성생활에 관한 정보
~ 건강 데이터
처리 활동
전송된 개인 데이터는 다음과 같은 기본 처리 활동의 대상이 됩니다.
데이터 내보내기를 대신하여 수행되는 처리는 특히 다음 주제를 기반으로 합니다.
~' 데이터 내보내기가 제공하는 제품 또는 서비스를 담당합니다.
' ~' 수신자가 요청할 수 있는 제품 또는 서비스의 제공
~' 호출 된 사람의 주문 및 이러한 주문의 추가 처리
~' 연구 설문 및 분석
~' 텔레마케팅
다음을 포함한 기타:
데이터 가져오기 프로그램은 다음 서비스를 제공하기 위해 데이터 내보내기를 대신하여 데이터 주체의 개인 데이터를 처리하며 특히 다음과 같은 서비스를 제공합니다.
' 영업 및 마케팅
' 기타, 시청 및 정당 데이터베이스 업데이트 등
IQUALIF는 주로 데이터 내보내기를 결합, 중앙 집중화하고 서비스를 제공합니다. 지정된 서비스 제공자가 제공하는 서비스는 다음과 같은 보조 서비스를 중심으로 구성될 수 있습니다. (i) 이러한 응용 프로그램, 도구 및 시스템을 통해 위에서 설명한 데이터 주체의 개인 데이터 처리를 포함하여 서비스를 지원합니다. (ii) 해당 응용 프로그램, 도구, 시스템과 관련된 IT 지원, 유지 관리 및 기타 서비스의 제공 해당 애플리케이션, 도구 및 시스템에 저장된 개인 데이터에 대한 잠재적인 액세스를 포함한 IT 인프라, 그리고 (iii) 데이터 보호 서비스, 보호 모니터링 및 사고 대응 서비스 제공, 이러한 보호 서비스를 제공할 때 개인 데이터에 대한 잠재적인 액세스를 포함합니다. IQUALIF는 보조 서비스를 포함한 서비스를 제공하기 위해 아래와 같이 데이터 프로세서를 고용할 수 있습니다.
IQUALIF는 데이터 내보내기에 대한 서비스 제공을 지원하기 위해 IQUALIF의 자회사가 아닌 외부 및 제3자 서비스 제공자를 고용합니다. 데이터 내보내기는 이러한 외부 제3자 서비스 제공자를 데이터 처리에 할당된 하위 엔터티로 승인합니다.
데이터 처리에 관련된 하위 기관이 유럽연합 집행위원회의 결정에 따라 적절한 수준의 데이터 보호가 없는 것으로 간주되는 국가에 있는 EU/EEA 외부에 있는 경우 데이터 수입업체는 적절한 수준의 데이터 보호를 얻기 위한 조치를 취합니다. GDPR 및 1부의 섹션 3.4(iv)에 따른 데이터 보호.
부록 2, 2부
기술적 및 조직적 보호 조치
데이터 수입자는 위험에 따라 개인의 권리와 자유에 대한 적절한 수준의 보안을 보장하기 위해 데이터 수출자가 확인한 다음과 같은 기술적 및 조직적 보호 조치를 취해야 합니다. 관련 보호 수준을 평가할 때 데이터 내보내기는 특히 우발적이거나 불법적인 파괴, 변경, 무단 공개 또는 전송, 저장 또는 처리된 개인 데이터에 대한 액세스를 포함하여 처리와 관련된 위험을 고려했습니다. 설명: 이러한 기술적 및 조직적 보호 조치는 데이터 내보내기가 제공하는 애플리케이션, 도구, 시스템 및/또는 IT 인프라에 적용되지 않습니다.
1 일반적인 기술적 및 조직적 보호 조치 |
1.1 일반 정보 및 데이터 보호 전략 |
일반 데이터 및 정보 보호 전략을 따르려면 다음 단계를 수행해야 합니다. |
|
|
|
|
|
1.2 정보보호 조직 |
데이터 및 정보 보호 활동을 조정하기 위해 다음 조치를 취해야 합니다. |
|
|
|
1.3 처리 구역에 대한 접근 통제 |
개인 데이터가 처리, 저장 또는 전송될 때 권한이 없는 사람이 데이터 처리 시스템(특히 소프트웨어 및 하드웨어)에 액세스하지 못하도록 다음 조치를 취해야 합니다. |
|
|
|
|
1.4 데이터 처리 시스템에 대한 액세스 제어 |
데이터 처리 시스템에 대한 무단 액세스를 방지하기 위해 다음 조치를 취해야 합니다. |
|
|
|
|
|
|
1.5 데이터 처리 시스템의 특정 사용 영역에 대한 액세스 제어 |
데이터 처리 시스템을 사용할 권한이 있는 권한이 있는 사람이 각자의 책임 및 액세스 권한 내에서만 데이터에 액세스할 수 있고 승인 없이 개인 데이터를 읽거나 복사, 수정 또는 삭제할 수 없도록 하기 위해 다음 조치를 취해야 합니다. |
|
|
|
|
|
|
|
1.6 변속기 제어 |
데이터 저장 장치를 전송 또는 전송하는 동안 승인되지 않은 제3자가 개인 데이터를 읽거나, 복사하거나, 수정하거나, 삭제하는 것을 방지하기 위해 다음과 같은 조치를 취해야 합니다(수행한 개인 데이터 처리에 따라 다름). |
|
|
|
1.7 데이터 입력 제어 |
개인 데이터가 데이터 처리 시스템에 입력 또는 삭제되었는지 여부와 누가 누구에 의해 확인 및 결정할 수 있는지 확인하기 위해 다음 조치를 취해야 합니다. |
|
|
1.8 작업 제어 |
개인 데이터의 위임 처리의 경우 해당 데이터가 감독자의 지시에 따라 처리되도록 보장하기 위해 다음 조치를 취해야 합니다. |
|
|
|
|
1.9 다른 목적을 위한 처리로부터의 분리 |
다른 목적으로 수집된 데이터를 별도로 처리할 수 있도록 다음 조치를 취해야 합니다. |
|
|
1.10 가명화 |
개인 데이터의 가명화와 관련하여 다음 조치를 취해야 합니다. |
|
|
1.11 암호화 |
암호화를 지원하는 애플리케이션 및 전송에서 개인 데이터를 암호화하려면 다음 단계를 수행해야 합니다.
|
|
|
1.12 데이터 처리 시스템 및 서비스의 완전성 |
데이터 처리 시스템 및 서비스의 완전성을 보장하기 위해 다음 조치를 취해야 합니다. |
|
|
|
1.13 데이터 처리 시스템 및 서비스의 가용성, 중대한 또는 기술적인 사고 발생 시 개인 데이터에 대한 액세스 및 사용 복원 가능성 |
데이터 처리 시스템의 가용성을 보장하고 중요하거나 기술적인 사고가 발생한 경우 개인 데이터의 가용성 및 액세스를 신속하게 복원할 수 있도록(특히 개인 데이터는 우발적인 파괴 또는 손실로부터 보호됩니다): |
|
|
|
|
|
|
|
1.14 데이터 처리 시스템 및 서비스의 복원력 |
데이터 처리 시스템 및 서비스의 복원력을 보장하려면 다음 조치를 취해야 합니다. |
|
|
|
1.15 데이터 처리의 보안을 보장하기 위한 기술적 및 조직적 조치의 효율성을 정기적으로 테스트, 평가 및 평가하기 위한 절차 |
데이터 처리를 보호하기 위한 기술적 및 조직적 조치의 효율성을 정기적으로 테스트, 평가 및 평가하는 절차입니다. |
|
|
|
3부
당사자 서명 및 데이터 가져오기 목록
온라인 주문 양식을 작성하고 일반 이용 약관에 동의하는 확인란을 선택하여 확인하면 고객과 IQUALIF 간의 관계에 적용되는 계약이 성립됩니다.
IQUALIF에 지불금을 보내면 계약에 동의하고 성립된 것으로 간주됩니다.
참고: 이 텍스트는 프랑스어에서 번역되었습니다. 유효하고 법적으로 제한적인 원본 프랑스어 버전은 여기에서 볼 수 있습니다 .