데이터 처리 부록

 

이 부록은 계약의 불가분의 일부를 구성하며 다음과 같이 체결됩니다.

 

  1. (i) 고객(" 데이터 내보내기 ")
  2. (ii) QUALIF(" 데이터 가져오기 ")

 

각각은 " 당사자 "이며 일반적으로 " 당사자 "입니다.

 

전문

데이터 가져오기 프로그램이 전문 소프트웨어 서비스, 컴퓨터 및 관련 서비스(예: 고급 검색 기능이 있는 브라우저)를 제공하는 곳

계약에 따라 데이터 수입자는 계약에 명시된 서비스(이하 " 서비스 ")를 데이터 수출자에게 제공하는 데 동의했습니다.

서비스를 제공함으로써 데이터 가져오기가 데이터 내보내기의 정보 또는 데이터 내보내기와 (잠재적인) 관계가 있는 다른 사람의 정보를 받거나 액세스로부터 혜택을 받는 경우 해당 정보는 규정의 의미 내에서 개인 데이터로 자격이 될 수 있습니다. (EU) 2016년 4월 27일자 유럽 의회 및 이사회의 개인 데이터 처리 및 해당 데이터의 자유로운 이동(" GDPR ") 및 기타 적용 가능한 데이터 보호법에 관한 개인 보호에 관한 이사회의 2016/679.

이 부록에는 당사자들이 해당 데이터 보호법을 준수하도록 하기 위해 데이터 내보내기의 승인된 데이터 처리 대리인 자격으로 데이터 가져오기가 이러한 개인 데이터를 수집, 처리 및 사용하는 데 적용되는 조건이 포함되어 있습니다. .

 

따라서 당사자들이 합법적으로 관계를 지속할 수 있도록 당사자는 이 부록을 다음과 같이 체결했습니다.

1 부

 

1. 문서의 구조와 정의

1.1 구조

이 부록은 다음과 같이 여러 부분으로 구성됩니다.

 

1 부: 

예를 들어 이 부록에 사용된 정의, 현지 법률 준수, 시기 및 종료와 관련된 일반 조항을 포함합니다.

 

2 부:

수정되지 않은 표준 계약 조항 문서의 본문을 포함합니다.

 

2부의 부록 1.1:

이 조항에 따라 데이터 가져오기가 데이터 내보내기에게 승인된 데이터 처리 에이전트로 제공한 처리 작업의 세부 정보(처리, 특성 및 처리 목적, 개인 데이터 유형 및 데이터 주체 범주 포함)가 포함되어 있습니다. 부록

 

2부의 부록 2:

파트 2의 부록 1.1에 설명된 모든 처리 활동과 관련하여 적용되는 데이터 가져오기자의 기술적 및 조직적 보안 조치에 대한 설명이 포함되어 있습니다.

 

3부:

이 부록의 구속을 받는 당사자의 서명을 포함하고 각 데이터 수입자를 식별합니다.

 

 

1.2 용어 및 정의

이 부록의 목적을 위해 GDPR에서 사용하는 용어 및 정의가 적용됩니다(정의된 용어가 대문자로 표시되지 않은 2부의 표준 계약 조항 문서 본문에 있음). 

 

"회원국"

유럽 ​​연합 또는 유럽 경제 지역에 속하는 국가를 의미합니다.

 

"(개인) 데이터의 특수 범주"

인종 또는 민족, 정치적 견해, 종교 또는 철학적 신념, 노동조합 가입 여부를 나타내는 개인정보, 유전정보, 생체정보(개인을 고유하게 식별할 목적으로 처리한 경우), 건강정보, 성별정보 삶이나 성적 지향

 

"표준 계약 조항"

2010년 2월 5일 위원회 결정 2010/87/EU에 따라 제3국에 설립된 처리 대리인의 개인 데이터 전송에 대한 표준 계약 조항을 의미하며, 이 조항은 2010년 2월 16일 위원회 시행 결정(EU) 2016/2297에 의해 수정되었습니다. 2016년 12월

 

"데이터 프로세서"

EU/EEA 내부 또는 외부에 위치한 처리 대리인을 의미하며, 데이터 가져오기 또는 데이터 가져오기의 기타 처리자로부터 데이터 내보내기가 완료된 후 수행할 처리 활동만을 위한 개인 데이터를 받는 데 동의합니다. 데이터 내보내기의 지침, 이 부록의 조건 및 데이터 가져오기와의 계약에 따라 전송

 

 

 

2. 데이터 수출자의 의무

2.1 데이터 내보내기는 GDPR 및 데이터 내보내기에 적용되는 기타 데이터 보호법에 따른 모든 관련 의무를 준수하고 GDPR 제5(2)조에서 요구하는 준수를 보여줄 의무가 있습니다. 데이터 내보내기는 데이터 가져오기가 GDPR 제6조(a)에 따라 데이터 주체의 사전 동의를 얻었고 GDPR 제13조 및 제14조에 따라 데이터 주체에게 알릴 의무를 준수했음을 보증합니다.

2.2 데이터 내보내기는 데이터 가져오기가 아래의 의무를 준수하는 데 필요한 범위 내에서 이 부록에 따른 서비스와 관련된 GDPR의 30(1)조에 따라 처리 활동의 해당 파일을 데이터 가져오기에게 제공해야 합니다. GDPR 30조 2항.

2.3 데이터 내보내기는 해당 데이터 보호법에서 요구하는 범위 내에서 데이터 보호 담당자 또는 대리인을 임명해야 합니다. 데이터 내보내기는 데이터 가져오기에 데이터 보호 에이전트 또는 대리인(있는 경우)의 연락처 세부 정보를 제공할 의무가 있습니다.

2.4. 데이터 내보내기는 처리가 완료되기 전에 이 부록을 수락하여 부록 2에서 파트 2에 설명된 데이터 가져오기의 기술적 및 조직적 보안 조치가 데이터 주체의 권리를 보호하기에 적절하고 충분함을 확인합니다. 데이터 가져오기 프로그램이 이와 관련하여 충분한 보호 장치를 제공하는지 확인합니다.

 

3. 현지 법률 준수

GDPR 28조에 따라 처리 대리인 구현 요구 사항을 충족하기 위해 다음 수정 사항이 적용됩니다.

 

3.1 지침

  1. (i) 데이터 내보내기는 데이터 가져오기가 데이터 내보내기를 대신하여 개인 데이터를 처리하도록 지시합니다. 데이터 내보내기의 지침은 이 부록과 계약에 제공됩니다. 데이터 내보내기는 데이터 가져오기에 제공된 모든 지침이 해당 데이터 보호법을 준수하도록 할 의무가 있습니다. 데이터 가져오기자는 유럽 연합 또는 회원국 법률에서 달리 요구하지 않는 한 데이터 내보내기자가 제공한 지침에 따라서만 개인 데이터를 처리해야 합니다(후자의 경우 파트 1의 3.2(iv)(c)절이 적용됨). .
  2. (ii) 이 부록 또는 계약의 지침을 넘어서는 다른 모든 지침은 이 부록 및 계약의 주제에 포함되어야 합니다. 이 추가 지침을 구현하는 데 데이터 수입업체의 비용이 포함되는 경우 데이터 수입업체는 해당 비용을 데이터 수출업체에 알리고 지침을 시행하기 전에 설명을 제공해야 합니다. 데이터 내보내기가 지침 구현을 위한 이러한 비용의 수락을 확인한 후에만 데이터 가져오기가 이 추가 지침을 구현해야 합니다. 데이터 내보내기자는 긴급하거나 기타 특정 상황에서 다른 형식(예: 구두, 전자)이 필요한 경우가 아니면 서면으로 추가 지침을 제공해야 합니다. 서면 이외의 형식으로 된 지침은 데이터 내보내기 담당자가 지체 없이 서면으로 확인해야 합니다.
  3. 1. 데이터 내보내기자가 개인 데이터의 수정, 삭제 또는 제한을 자체적으로 수행할 수 없는 경우 지침은 1부 3.3절에 명시된 개인 데이터의 수정, 삭제 및/또는 제한과 관련될 수도 있습니다.
  4. 2. 데이터 수입자는 지시가 GDPR 또는 유럽 연합 또는 회원국(" 분쟁 지시감독 기관이 이의를 제기한 지침이 적법하다고 선언하는 경우 데이터 수입자는 이의를 제기한 지침을 이행해야 합니다. 1부 3.1(ii)항은 계속 적용됩니다.

 

3.2 데이터 수입자의 의무

  1. (i) 데이터 가져오기는 데이터 가져오기가 데이터 내보내기를 대신하여 개인 데이터를 처리하도록 승인한 사람, 특히 데이터 가져오기의 직원 및 하도급자의 직원이 기밀 유지를 약속했거나 기밀 유지에 대한 적절한 법적 의무와 개인 데이터에 액세스할 수 있는 사람이 데이터 내보내기의 지침에 따라 데이터를 처리해야 합니다.
  2. (ii) 데이터 가져오기는 데이터 내보내기를 대신하여 개인 데이터를 처리하기 전에 부록 2에서 파트 2에 설명된 기술적 및 조직적 보안 조치를 구현해야 합니다. 데이터 수입자는 기술 및 조직적 보안 조치가 2부의 부록 2에 명시된 것보다 낮은 수준의 보호를 제공하지 않는 경우 수시로 변경할 수 있습니다.
  3. (iii) 데이터 수입자는 데이터 수출자의 요청에 따라 이 부록에 따른 데이터 수입자의 의무 준수를 보여주는 정보를 데이터 수출자에게 제공해야 합니다. 양 당사자는 데이터 내보내기에 감사 보고서(원칙의 보안, 시스템 가용성 및 기밀성을 다룸)("감사 보고서")를 제공함으로써 이러한 정보 의무가 충족된다는 데 동의합니다. 추가 감사 활동이 법적으로 요구되는 경우 데이터 내보내기는 데이터 내보내기 또는 데이터 내보내기가 지정한 다른 감사관이 검사를 수행하도록 요청할 수 있습니다. 이러한 감사관은 데이터 가져오기와 데이터 가져오기의 기밀 유지 계약을 체결해야 합니다. 합리적인 만족("감사"). 이 감사에는 다음 조건이 적용됩니다. (i) 데이터 수입자의 사전 공식 서면 수락 (ii) 데이터 내보내기는 데이터 내보내기 및 데이터 가져오기에 대한 현장 감사와 관련된 모든 비용을 부담해야 합니다. 데이터 내보내기는 현장 감사의 결과와 관찰을 요약한 감사 보고서("현장 감사 보고서")를 작성해야 합니다. 현장 감사 보고서 및 감사 보고서는 데이터 가져오기의 기밀 정보이며 해당 데이터 보호법에서 요구하거나 데이터 가져오기의 동의가 없는 한 제3자에게 공개해서는 안 됩니다.
  4. (iv) 데이터 수입자는 부당한 지체 없이 데이터 수출자에게 통지할 의무가 있습니다.
    1. ㅏ. 법 집행 수사의 기밀을 보호하기 위한 형법상의 금지와 같이 달리 금지되지 않는 한, 법 집행 기관의 개인 데이터 공개에 대한 법적 구속력 있는 요청과 관련하여
    2. 비. 데이터 수입자가 다음 권한을 부여받은 경우를 제외하고 해당 요청에 응답하지 않고 데이터 주체로부터 직접 수신된 불만 및 요청(예: 액세스, 수정, 삭제, 처리 제한, 데이터 이동성, 데이터 처리에 대한 반대, 자동화된 의사 결정) 그렇게 하다
    3. 씨. 데이터 수입자 또는 데이터 처리자가 유럽 연합 또는 데이터 수입자 또는 데이터 처리자가 적용되는 회원국의 법률에 따라 데이터 내보내기자의 지시를 넘어 개인 데이터를 처리할 의무가 있는 경우 지침(유럽 연합 또는 회원국의 법률이 중대한 공익상의 이유로 그러한 처리를 금지하지 않는 한, 이 경우 데이터 내보내기에 대한 통지는 유럽 연합 또는 회원국의 해당 법률에 따른 법적 요건을 명시해야 함); 또는
    4. 디. 데이터 가져오기자가 자신 또는 그 하도급자 때문에 현재 계약이 적용되는 데이터 내보내기자의 개인 데이터에 영향을 미칠 수 있는 개인 데이터 침해를 깨닫는 경우 데이터 가져오기자는 데이터 내보내기자의 의무를 지원합니다. 관련 데이터 보호법에 따라 GDPR 33(3)조에 따라 정보를 마음대로 제공함으로써 데이터 주체와 감독 당국에 알립니다.
    5. (v) 데이터 내보내기의 요청에 따라 데이터 가져오기는 GDPR의 35조 및 사전 협의에서 요구할 수 있는 데이터 보호 영향 평가를 수행할 의무가 있는 데이터 내보내기를 지원해야 합니다. 데이터 수입자가 이 부록에 따라 데이터 수출자에게 제공하는 서비스와 관련하여 GDPR 제36조에 의해 요구되며 데이터 수출자에게 필요한 정보를 제공합니다. 데이터 수입자는 데이터 수출자가 다른 수단으로 의무를 이행할 수 없는 경우에만 그러한 지원을 제공할 의무가 있습니다. 데이터 수입자는 그러한 지원 비용을 데이터 수출자에게 알릴 것입니다. 데이터 내보내기가 이 비용을 감당할 수 있음을 확인하는 즉시 데이터 가져오기는 데이터 내보내기에게 이 도움을 제공합니다.
    6. (vi) 서비스 제공이 끝나면 데이터 내보내기는 서비스 후 1개월 이내에 이 부록에 따라 데이터 가져오기가 처리한 개인 데이터의 반환을 요청할 수 있습니다. 회원국 또는 유럽 연합의 법률이 데이터 수입업자에게 그러한 개인 데이터를 저장하거나 보유하도록 요구하지 않는 한, 데이터 수입업자는 1개월 기간 후에 그러한 모든 개인 또는 비개인 데이터를 삭제합니다. 요청에 따라 데이터 내보내기를 수행할 수 있습니다.

 

3.3 관계자의 권리

  1.  
    1. (i) 데이터 내보내기는 데이터 주체의 요청을 관리하고 이에 응답합니다. 데이터 가져오기는 데이터 주체에게 직접 응답할 의무가 없습니다.
    2. (ii) 데이터 내보내기가 데이터 주체의 요청을 처리하고 응답하는 데 데이터 가져오기의 지원이 필요한 경우 데이터 내보내기는 1부의 3.1(ii)절에 따라 추가 지침을 발행해야 합니다. 데이터 가져오기는 데이터 내보내기를 지원합니다. 다음과 같이 GDPR의 III장에 명시된 데이터 주체의 권리 행사 요청에 응답하기 위해 다음과 같이 적절하고 기술적인 조직적 조치를 취합니다.
    3. ㅏ. 정보 요청과 관련하여 데이터 가져오기자는 데이터 내보내기자가 자체적으로 찾을 수 없는 경우 PGRD의 13조 및 14조에서 요구하는 정보만 데이터 내보내기자에게 제공합니다.
    4. 비. 액세스 요청(GDPR 15조)과 관련하여 데이터 가져오기자는 해당 액세스 요청에 대해 데이터 주체에게 제공되어야 하는 정보만 데이터 내보내기자에게 제공합니다. 후자는 혼자 그것을 찾을 수 없습니다.
    5. 씨. 수정 요청(GDPR 16조), 삭제 요청(GDPR 17조), 처리 제한 요청(GDPR 18조) 또는 이식성 요청(GDPR 20조), 데이터 내보내기가 자체적으로 개인 데이터를 수정 또는 삭제, 제한 또는 다른 제3자에게 전송할 수 없는 경우 데이터 가져오기는 데이터 내보내기에게 관련 개인 데이터를 수정 또는 삭제, 제한 또는 다른 제3자에게 전송할 수 있는 가능성을 제공합니다. 또는 이것이 불가능한 경우 해당 개인 데이터를 수정 또는 삭제, 제한 또는 다른 제3자에게 전송하는 데 도움을 제공합니다.
    6. 디. 수정, 삭제 또는 처리 제한과 관련된 통지(GDPR 제19조)와 관련하여 데이터 수입자는 데이터 수출자가 요청하는 경우 데이터 수입자가 처리자로서 고용한 개인 데이터의 모든 수신자에게 통지함으로써 데이터 수출자를 지원할 것입니다. 데이터 내보내기가 자체적으로 상황을 해결할 수 없는 경우.
    7. 이자형. 데이터 주체가 행사하는 이의 제기 권리와 관련하여(GDPR의 21조 및 22조) 데이터 수출자는 이의 제기가 정당한지 여부와 이를 처리하는 방법을 결정할 것입니다.
    8. (iii) 데이터 가져오기의 지원 의무는 인프라 내에서 처리되는 개인 데이터(예: 데이터 가져오기가 소유하거나 제공하는 데이터베이스, 시스템, 애플리케이션)로 제한됩니다.
    9. (iv) 데이터 내보내기는 데이터 주체가 이 파트 1의 3.1항에 명시된 데이터 주체의 권리를 행사할 수 있는지 여부를 결정하고 3.3절 (ii), ( iii) 파트 1이 필요합니다.
    10. (v) 데이터 내보내기가 파트 1의 하위 조항 3.3(ii), (iii)에 따라 데이터 가져오기가 제공하는 지원을 넘어 데이터 주체의 권리를 충족하기 위해 추가 또는 수정된 기술적 및 조직적 조치를 요청하는 경우 데이터 수입자는 그러한 추가 또는 수정된 기술 및 조직적 조치를 시행하는 비용을 데이터 수출자에게 알려야 합니다. 데이터 내보내기가 이러한 비용을 충족할 수 있음을 확인하는 즉시 데이터 가져오기는 데이터 내보내기가 데이터 주체의 요청에 응답할 수 있도록 지원하기 위해 이러한 추가 또는 수정된 기술 및 조직적 조치를 구현해야 합니다.
    11. (vi) 1부의 3.3(v)항의 범위를 제한하지 않고 데이터 내보내기자는 데이터 주체의 요청에 응답하는 데 발생한 합당한 비용을 데이터 가져오기자에게 상환할 의무가 있습니다.

 

3.4 부처리

  1.  
    1. (i) 데이터 내보내기는 데이터 가져오기가 이 부록에 따른 서비스 제공을 위해 하청업체를 사용하는 것을 승인합니다. 데이터 수입자는 해당 데이터 프로세서를 신중하게 선택해야 합니다. 데이터 내보내기는 2부의 끝부분에 있는 부록 1.1에 나열된 데이터 프로세서를 승인합니다.
    2. (ii) 데이터 수입자는 이 부록에 따른 의무를 하도급 서비스에 적용되는 범위 내에서 데이터 처리자에게 이전해야 합니다.
    3. (iii) 데이터 수입자는 재량에 따라 적절하고 신뢰할 수 있는 다른 데이터 프로세서를 해고, 교체 또는 임명할 수 있습니다. 데이터 내보내기가 서면으로 요청하는 경우 데이터 가져오기는 아래에 명시된 절차를 따라야 합니다.
  2.  
    1. ㅏ. 데이터 수입자는 1부의 3.4(i)항에 언급된 데이터 프로세서 목록이 변경되기 전에 데이터 수출자에게 알려야 합니다. 데이터 수출자가 3.4항에 따라 이의를 제기하지 않는 경우. (b) 데이터 수입자로부터 통지를 받은 후 30일 후에 파트 1의 추가 데이터 프로세서가 수락된 것으로 간주됩니다.
    2. 비. 데이터 내보내기가 추가 데이터 프로세서에 반대할 정당한 이유가 있는 경우 데이터 가져오기의 통지를 받은 후 30일 이내에 데이터 가져오기의 서비스가 작동되기 전에 데이터 가져오기에게 사전 서면 통지를 제공합니다. 데이터 내보내기가 추가 데이터 프로세서 사용에 반대하는 경우 데이터 가져오기는 다음 옵션(재량에 따라 선택) 중 하나로 이의를 제거할 수 있습니다. (A) 데이터 가져오기는 다음과 같은 추가 프로세서 사용 계획을 취소합니다. 데이터 내보내기의 개인 데이터 (B) 데이터 가져오기는 데이터 내보내기에서 이의 제기(이의 취소)에서 요청한 시정 조치를 취하고 데이터 내보내기의 개인 데이터와 관련하여 추가 프로세서를 사용합니다.
  3.  
    1. (iv) 데이터 처리자가 유럽연합 집행위원회의 결정에 따라 적절한 수준의 데이터 보호를 제공하는 것으로 인정되지 않는 국가의 EU-EEA 외부에 있는 경우 데이터 수입업체는 적절한 수준을 준수하기 위한 조치를 취할 것입니다. GDPR에 따른 데이터 보호(이러한 조치에는 - 특히 다음이 포함될 수 있습니다. - EU 모델의 조항에 기반한 데이터 처리 계약의 사용, EU-미국 보호 실드의 프레임워크에서 자체 인증된 데이터 프로세서로의 이전 , 또는 유사한 프로그램).

 

3.5 만료

이 부록의 만료일은 해당 계약의 만료일과 동일합니다. 이 부록에 달리 규정된 경우를 제외하고 해지와 관련된 권리 및 의무는 계약에 포함된 것과 동일합니다.

 

4. 책임의 제한

4.1 각 당사자는 이 부록 및 해당 데이터 보호 법률에 따른 의무를 다룹니다.

4.2 이 부록 또는 해당 데이터 보호 법률에 따른 의무 위반과 관련된 모든 책임은 이 부록에 달리 규정된 경우를 제외하고 계약에 명시되거나 적용되는 책임 조항의 적용을 받습니다. 책임 한도를 계산하거나 다른 책임 한도의 적용을 결정하기 위해 계약에 명시되거나 적용 가능한 책임 조항이 책임에 적용되는 경우, 이 부록에 따라 발생하는 모든 책임은 계약에 따라 발생하는 것으로 간주됩니다.

 

5. 일반 조항

5.1 이 부록의 1부와 2부 간에 불일치 또는 불일치가 있는 경우 2부가 우선합니다. 구체적으로, 그러한 경우에도 2부(즉, 표준 조항의 조건)를 단순히 넘어서는 1부는 모순되지 않고 유효합니다.

5.2 이 부록의 조항과 당사자를 구속하는 다른 계약의 조항 간에 불일치가 발생하는 경우, 당사자의 데이터 보호 의무와 관련하여 이 부록이 우선합니다. 다른 계약의 조항이 당사자의 데이터 보호 의무와 관련되는지 여부가 의심되는 경우 이 부록이 우선합니다.

5.3 이 부록의 어떤 조항이 유효하지 않거나 시행할 수 없는 경우, 이 부록의 나머지 부분은 완전한 효력을 유지합니다. 유효하지 않거나 시행할 수 없는 조항은 (i) 당사자의 의도를 가능한 한 유지하면서 유효성과 시행 가능성을 보장하기 위해 수정되거나, - 이것이 불가능한 경우 - (ii) 유효하지 않거나 시행 불가능한 부분이 수정된 것처럼 해석됩니다. 계약의 일부가 아닙니다. 이 부록에 누락이 있는 경우에도 전술한 내용이 적용됩니다.

5.5 당사자는 필요한 범위 내에서 유럽연합의 권한 있는 당국이나 유럽연합의 권한 있는 당국이 발행한 해석, 지시 또는 명령을 준수하기 위해 1부, 3절(현지법 준수) 또는 부록의 기타 부분에 대한 수정을 요청할 수 있습니다. GDPR 또는 데이터 처리에 관련된 기관에 대한 기타 위임 조건, 특히 GDPR의 표준 계약 조항 사용에 관한 회원국, 국가 시행 규정 또는 기타 법적 개발. 표준 계약 조항의 조건은 유럽 위원회가 명시적으로 승인하지 않는 한(예: 새로운 적절한 조항 및 데이터 보호 표준에 의해) 수정되거나 대체될 수 없습니다.

5.6 이 부록에서 "조항"에 대한 언급은 달리 명시되지 않는 한 이 부록의 모든 조항을 참조하는 것으로 이해되어야 합니다.

5.7 파트 2, 9항의 법 선택은 전체 계약에 적용됩니다.

 

6. 당사자가 개인 목적으로 전송 및 처리하는 개인 데이터(데이터 컨트롤러에서 데이터 컨트롤러로 이전)

6.1 당사자는 특정 개인 데이터가 데이터 내보내기에서 데이터 가져오기로 또는 그 반대로 전송되며 이러한 데이터는 각 당사자가 고유한 목적을 위해 처리한다는 것을 완전히 알고 있습니다. 그러한 개인 데이터와 관련하여 이 부록의 다른 조항(이 6항 제외)에는 영향을 미치지 않습니다.

6.2 데이터 내보내기는 보안 사고에 대한 정보 또는 데이터 내보내기의 직원이 제공하는 서비스와 관련하여 데이터 내보내기가 생성하거나 설정한 기타 문서 또는 파일을 포함하여 데이터 가져오기의 직원과 관련된 개인 데이터를 데이터 가져오기에게 전송할 수 있습니다. 데이터 가져오기. 데이터 가져오기는 자체 목적, 특히 데이터 가져오기 직원과의 전문적인 관계, 품질 관리 및 교육 또는 비즈니스 목적을 위해 이러한 개인 데이터를 처리할 수 있습니다.

6.3. 데이터 가져오기는 데이터 가져오기 직원의 이름 및 연락처 세부 정보를 포함하여 데이터 내보내기에게 개인 데이터를 전송할 수 있습니다. 데이터 내보내기는 자체 목적을 위해 이러한 개인 데이터를 처리할 수 있습니다.

6.4 양 당사자는 제1부의 1항에 따라 상대방으로부터 받은 개인 데이터를 수집, 처리 및 사용할 때 GDPR을 포함한 모든 해당 데이터 보호법을 준수해야 합니다. 특히, 양 당사자는 다음을 제공하는 적절한 보안 조치를 취해야 합니다. 2부의 부록 2에 명시된 보안 조치와 유사한 수준의 보호. 이러한 개인 데이터에 대한 액세스는 이를 알아야 할 필요로 제한됩니다.

6.5 양 당사자는 목표가 달성된 후 가능한 한 빨리 그러한 개인 데이터를 삭제해야 합니다.

2 부

 

위원회의 결정

2010년 2월 5일

유럽 ​​의회 및 이사회의 95/46/EC 지침에 따라 제3자 국가에 설립된 데이터 프로세서로의 개인 데이터 전송에 대한 표준 계약 조항

 

 

 

제1항

정의

조항의 의미 내에서:

a) '개인 데이터', '데이터의 특수 범주', '처리/처리', '컨트롤러', '프로세서', '데이터 주체' 및 '감독 기관'은 95/46/EC에서와 동일한 의미를 갖습니다. 1995년 10월 24일 개인 데이터 처리 및 해당 데이터의 자유로운 이동에 관한 개인 보호에 관한 유럽 의회 및 이사회 지침(1);

b) '데이터 내보내기'는 개인 데이터를 전송하는 데이터 컨트롤러입니다.

c) '데이터 가져오기'는 데이터 내보내기를 수행한 후 해당 지침과 이 조항의 조건에 따라 데이터 내보내기를 대신하여 처리하도록 의도된 개인 데이터를 데이터 내보내기로부터 받는 데 동의하지만 데이터 프로세서는 그렇지 않습니다. Directive 95/46/EC의 25(1)조 의미 내에서 적절한 보호를 보장하는 제3국의 메커니즘에 따라 (d) '데이터 프로세서'는 데이터 가져오기 또는 데이터 가져오기의 다른 데이터 프로세서가 관여하는 데이터 프로세서를 의미하며 데이터 가져오기 또는 데이터 가져오기의 다른 데이터 프로세서로부터 처리 활동만을 위해 개인 데이터를 수신하는 데 동의합니다. 데이터 내보내기의 지시에 따라 전송 후 데이터 내보내기를 대신하여 수행됩니다.

e) "적용 가능한 데이터 보호법"은 개인 데이터 처리에 관한 개인 정보 보호 권리를 포함하여 개인의 기본 권리와 자유를 보호하고 데이터 내보내기가 설립된 회원국의 컨트롤러에게 적용되는 법률을 의미합니다.

f) "보안과 관련된 기술적 및 조직적 조치"는 특히 처리가 네트워크를 통한 데이터 전송을 포함하는 경우 우발적 또는 불법적 파괴 또는 우발적 손실, 변경, 무단 공개 또는 액세스로부터 개인 데이터를 보호하기 위한 조치를 의미합니다. 기타 모든 불법적인 형태의 처리.

제2항

전송 세부 정보

해당되는 경우 개인 데이터의 특수 범주를 포함하여 전송에 대한 세부 정보는 이러한 조항의 필수적인 부분을 형성하는 부록 1에 명시되어 있습니다.

3항

제3자 수혜자 조항

1. 데이터 주체는 데이터 수출자에게 이 조항, 4(b)~(i), 5(a)~(e) 및 (g)~(j), 6(1) 및 (2)를 시행할 수 있습니다. ), 7항, 8(2)항 및 9~12항을 제3자 수익자로

2. 데이터 주체는 데이터 수출자가 물리적으로 가지고 있는 경우 데이터 수입자에 대해 이 조항 5(a)~(e) 및 (g), 6조, 7조, 8(2) 및 9~12조를 시행할 수 있습니다. 모든 법적 의무가 계약에 의해 또는 법의 운영에 의해 데이터 내보내기의 권리와 의무가 반환되는 승계 기업으로 이전되지 않는 한, 법률에 의해 사라지거나 존재하지 않습니다. 따라서 주체는 상기 조항을 집행할 수 있습니다.

데이터 주체는 데이터 처리자에 대해 이 조항 5(a)~(e) 및 (g), 6조, 7조, 8조(2) 및 9~12조를 데이터 처리자에게 시행할 수 있습니다. 데이터 내보내기의 모든 법적 의무가 계약 또는 법률의 운영에 의해 권리 및 따라서 데이터 내보내기의 의무는 귀속되며, 따라서 데이터 주체는 해당 조항을 시행할 수 있습니다. 데이터 프로세서의 이러한 책임은 이 조항에 따른 자체 처리 활동으로 제한되어야 합니다.

4. 당사자는 자신이 원하고 국내법이 허용하는 경우 협회 또는 기타 기관이 데이터 주체를 대표하는 것을 반대하지 않습니다.

제4항

데이터 내보내기의 의무

데이터 내보내기는 다음을 수락하고 보장합니다.

a) 개인 데이터의 실제 전송을 포함한 처리는 해당 데이터 보호법의 관련 조항에 따라 수행되어 왔고 앞으로도 계속될 것입니다(해당되는 경우 회원국의 권한 있는 당국에 통보됨) 데이터 내보내기의 기반) 해당 국가의 관련 조항을 침해하지 않습니다.

b) 개인 데이터 처리 서비스 기간 동안 데이터 가져오기가 데이터 내보내기를 대신하여 해당 데이터 보호법 및 이 조항에 따라 전송된 개인 데이터를 처리하도록 지시했으며 지시할 것입니다.

c) 데이터 수입자는 현재 계약의 부록 2에 명시된 기술적 및 조직적 보안 조치와 관련하여 충분한 안전 장치를 제공합니다.

d) 해당 데이터 보호법의 요구 사항을 평가한 후, 보안 조치가 특히 처리가 데이터 전송과 관련된 경우 우발적 또는 불법적 파괴 또는 우발적 손실, 변경, 무단 공개 또는 액세스로부터 개인 데이터를 보호하기에 적절합니다. 기술 수준과 구현 비용을 고려하여 네트워크를 통해 그리고 기타 모든 불법적인 형태의 처리에 대해 처리하고 보호할 데이터의 특성과 처리에 의해 나타나는 위험에 적절한 보안 수준을 보장합니다.

e) 보안 조치 준수를 보장합니다.

f) 전송이 데이터의 특정 범주와 관련된 경우 데이터 주체는 전송 전 또는 전송 후 가능한 한 빨리 자신의 데이터가 제공되지 않는 제3국으로 전송될 수 있음을 통지받았거나 통지받을 것입니다. 지침 95/46/EC의 의미 내에서 적절한 수준의 보호

g) 데이터 수입자 또는 5(b) 및 8(3)항에 따라 데이터 처리자로부터 받은 모든 통지를 데이터 보호 감독 기관이 계속 이전하거나 일시 중지를 해제하기로 결정하는 경우 해당 기관에 전달할 것입니다.

h) 데이터 주체가 요청하는 경우 부록 2를 제외하고 본 조항의 사본, 보안 조치에 대한 요약 설명, 본 조항에 따라 체결된 추가 하청 계약의 사본을 제공해야 합니다. 조항 또는 계약에 상업 정보가 포함되어 있는 경우 해당 정보를 철회할 수 있습니다.

i) 데이터 처리 프로세스를 하도급하는 경우 처리 활동은 이 조항에 따라 데이터 수입자와 최소한 동일한 수준의 개인 데이터 보호 및 데이터 주체의 권리를 제공하는 데이터 프로세서에 의해 조항 11에 따라 수행됩니다. ; 그리고

j) 4(a)~(i)항의 준수를 보장합니다.

제5항

데이터 수입자의 의무

데이터 가져오기 도구는 다음을 수락하고 보장합니다.

a) 데이터 내보내기를 대신하여 데이터 내보내기의 지침과 이 조항에 따라 개인 데이터를 처리합니다. 어떤 이유로든 준수할 수 없는 경우 데이터 내보내기가 불가능한 경우 데이터 내보내기가 데이터 전송을 일시 중지 및/또는 계약을 종료할 수 있음을 데이터 내보내기에 알리는 데 동의합니다.

b) 자신에게 적용되는 법률이 데이터 내보내기가 제공한 지침과 계약에 따라 그에게 부과된 의무를 이행하는 것을 방해한다고 믿을 이유가 없으며 그러한 법률이 중대한 불리한 영향을 미칠 수 있는 변경의 대상이 되는 경우 조항에 따른 보증 및 의무에 영향을 미치는 경우, 그는 변경 사항을 인지한 후 지체 없이 데이터 수출자에게 통지해야 하며, 이 경우 데이터 수출자는 데이터 전송을 중단 및/또는 계약을 종료할 수 있습니다. (c) 전송된 개인 데이터를 처리하기 전에 부록 2에 명시된 기술적 및 조직적 보안 조치를 구현했습니다.

d) 그들은 지체 없이 데이터 수출자에게 통지할 것입니다:

i) 경찰 수사의 비밀 유지를 목적으로 하는 형사 금지와 같이 달리 명시되지 않는 한, 법 집행 기관의 개인 데이터 공개에 대한 구속력 있는 요청

ii) 우발적이거나 무단 액세스; 그리고

iii) 권한이 부여되지 않은 한 관련자로부터 응답 없이 직접 받은 요청 관리자

e) 전송되는 개인 데이터의 처리에 관한 데이터 내보내기의 모든 문의를 신속하고 적절하게 처리하고 전송된 데이터의 처리에 관한 감독 기관의 의견에 따라 행동합니다.

f) 데이터 내보내기의 요청에 따라 데이터 내보내기 또는 필수 전문 자격을 갖춘 독립적인 구성원으로 구성된 감독 기관이 수행하는 이러한 조항이 적용되는 처리 활동에 대한 감사를 데이터 처리 시설에 적용합니다. 적절한 경우 감독 기관의 동의 하에 데이터 내보내기가 선택하고 비밀을 지켜야 할 의무가 있습니다.

g) 데이터 주체가 요청하는 경우 해당 조항 또는 계약에 상업적 정보가 포함되어 있는 경우를 제외하고 본 조항 또는 기존 하도급 데이터 처리 계약의 사본을 제공할 수 있습니다. 데이터 주체가 데이터 내보내기 업체로부터 사본을 얻을 수 없는 경우 보안 조치에 대한 요약 설명으로 대체될 부록 2를 제외하고 정보

h) 데이터 처리에 대한 기밀 추가 하청 계약의 경우, 그는 사전에 데이터 내보내기자에게 알리고 데이터 내보내기자의 서면 동의를 얻도록 해야 합니다.

i) 데이터 프로세서가 제공하는 처리 서비스는 11항을 준수해야 합니다.

j) 그들은 본 조항에 따라 체결한 데이터 처리 계약의 하도급 사본을 데이터 수출자에게 즉시 보낼 것입니다.

6조

책임

1. 당사자는 한 당사자 또는 데이터 처리자가 3조 또는 11조에 언급된 의무 위반으로 인해 피해를 입은 데이터 주체가 데이터 내보내기로부터 입은 피해에 대해 보상을 받을 수 있다는 데 동의합니다.

2. 데이터 가져오기 또는 데이터 처리자가 데이터로 인해 데이터 가져오기 또는 데이터 처리자가 3항 또는 11항에 따른 의무를 준수하지 않아 데이터 내보내기에 대해 1항에 언급된 손해 배상 소송을 제기할 수 없는 경우 수출자가 물리적으로 사라졌거나 법적으로 존재하지 않거나 지급 불능 상태가 된 경우 데이터 수입자는 데이터 수출자의 모든 법적 의무가 계약에 의해 이전되지 않는 한 데이터 주체가 데이터 수출자처럼 불만을 제기할 수 있다는 데 동의합니다. 또는 법률의 운영에 따라 데이터 주체가 자신의 권리를 집행할 수 있는 승계 기관에 양도할 수 있습니다. 데이터 수입자는 자신의 책임을 피하기 위해 데이터 처리자의 의무 위반에 의존할 수 없습니다.

3. 데이터 내보내기 및 데이터 가져오기 때문에 데이터 처리자가 3절 또는 11절에 따른 의무를 위반하여 데이터 주체가 데이터 내보내기 또는 데이터 가져오기에 대해 단락 1 및 2에 언급된 조치를 취하는 것이 금지된 경우 물리적으로 사라졌거나, 법적으로 존재하지 않거나, 지급불능 상태가 된 경우, 데이터 프로세서는 데이터 주체가 이러한 조항에 따라 데이터 내보내기 또는 데이터 가져오기인 것처럼 자신의 처리 활동에 대해 불만을 제기할 수 있다는 데 동의합니다. 데이터 내보내기 또는 데이터 가져오기의 법적 의무는 계약 또는 법률의 운영에 따라 데이터 주체가 자신의 권리를 주장할 수 있는 법적 승계인에게 이전되었습니다.데이터 프로세서의 책임은 이러한 조항에 따른 자체 처리 활동으로 제한되어야 합니다.

 

제7조

조정 및 관할권

1. 데이터 가져오기자는 조항에 따라 데이터 주체가 자신에 대해 제3자 수익자의 권리를 주장하고/하거나 피해를 입은 손해에 대한 보상을 청구하는 경우 데이터 주체의 결정을 수락한다는 데 동의합니다.

a) 독립된 사람 또는 적절한 경우 감독 기관의 중재에 분쟁을 제출합니다.

b) 데이터 수출자가 소재한 회원국의 법원에 분쟁을 제기합니다.

2. 당사자는 데이터 주체의 선택이 국내법 또는 국제법의 다른 조항에 따라 구제를 받을 수 있는 데이터 주체의 절차적 또는 실질적 권리에 영향을 미치지 않는다는 데 동의합니다.

제8조

감독당국과의 협력

1. 데이터 수출자는 감독 당국이 요구하거나 해당 데이터 보호법에 의해 그러한 예치금이 제공되는 경우 현재 계약의 사본을 감독 기관에 기탁하는 데 동의합니다.

2. 당사자는 감독 기관이 관련 데이터 보호법에 따라 데이터 내보내기에서 수행되는 검사와 동일한 범위 및 동일한 조건에서 데이터 가져오기 및 모든 데이터 프로세서에서 검사를 수행할 수 있다는 데 동의합니다.

3. 데이터 수입자는 2항에 따라 데이터 수입자 또는 데이터 프로세서에서 검증을 방해하는 데이터 수입자 또는 데이터 프로세서에 관한 법률의 존재를 데이터 내보내기에게 가능한 한 빨리 알려야 합니다. 이러한 경우, 데이터 내보내기는 5(b)항에 규정된 조치를 취할 수 있습니다.

제9조

준거법

이 조항은 데이터 내보내기가 기반을 둔 회원국의 법률이 적용되고 규율됩니다.

제10조

계약 수정

당사자는 본 조항을 수정하지 않을 것을 약속합니다. 당사자는 현재 조항과 모순되지 않는 한 필요하다고 생각하는 다른 상업적 조항을 자유롭게 포함할 수 있습니다.

제11조

후속 하도급

1. 데이터 수입자는 데이터 수출자의 사전 서면 동의 없이 이 조항에 따라 데이터 수출자를 대신하여 수행되는 처리 활동을 하청하지 않습니다. 데이터 수입자는 본 조항에 따라 데이터 수입자에게 부과된 의무와 동일한 의무를 데이터 프로세서에 부과하는 데이터 프로세서와의 서면 계약을 통해서만 데이터 내보내기자의 동의하에 본 조항에 따른 의무를 하청합니다. 데이터 처리자가 해당 서면 계약에 따른 데이터 보호 의무를 준수할 수 없는 경우 데이터 수입자는 해당 의무의 이행에 대해 데이터 수출자에 대해 전적인 책임을 져야 합니다.

2. 데이터 수입자와 데이터 처리자 간의 사전 서면 계약에는 데이터 주체가 6조 1항에 언급된 손해 배상 청구를 제기할 수 없는 경우 3조에 명시된 제3자 수익자 조항도 포함되어야 합니다. ), 데이터 내보내기 또는 데이터 가져오기가 물리적으로 사라졌거나, 법적으로 존재하지 않거나 지급 불능 상태가 되었으며 데이터 내보내기 또는 데이터 가져오기의 모든 법적 의무가 계약 또는 운영에 의해 이전되지 않았기 때문에 데이터 내보내기 또는 데이터 가져오기를 반대합니다. 다른 승계 법인에게 법적으로. 데이터 프로세서의 책임은 이러한 조항에 따라 자체 처리 활동으로 제한되어야 합니다.

3. 1항에 언급된 계약의 데이터 처리 하청 계약의 데이터 보호 측면과 관련된 조항은 데이터 내보내기가 설립된 회원국의 법률에 따라 규율됩니다.

4. 데이터 내보내기는 이 조항에 따라 체결되고 조항 5(j)에 따라 데이터 가져오기가 통지한 데이터 처리 계약의 하도급 목록을 유지해야 하며, 이 목록은 최소 1년에 한 번 업데이트되어야 합니다. 이 목록은 데이터 내보내기의 데이터 보호 감독 기관에서 사용할 수 있어야 합니다.

제12조

개인정보 처리 서비스 종료 후의 의무

1. 당사자들은 데이터 처리 서비스가 완료되면 데이터 가져오기 및 데이터 처리자가 데이터 내보내기의 편의에 따라 전송된 모든 개인 데이터와 그 사본을 데이터 내보내기에게 반환하거나 그러한 모든 데이터를 파기하고 증거를 제공한다는 데 동의합니다. 데이터 수입업체에 부과된 법률이 전송된 개인 데이터의 전체 또는 일부를 반환하거나 파기하는 것을 금지하지 않는 한 데이터 내보내기 업체에 대한 파기. 이 경우 데이터 가져오기는 전송된 개인 데이터의 기밀성을 보장하고 더 이상 데이터를 적극적으로 처리하지 않을 것임을 보장합니다.

2. 데이터 수입자와 데이터 처리자는 데이터 수출자 및/또는 감독 기관이 요청하는 경우 데이터 처리 수단이 1항에 언급된 조치의 검증을 받도록 해야 합니다.

 

 

 

 

부록 1.1 - 파트 2

전송 세부 정보

 

 

데이터 내보내기

데이터 내보내기는 계약 계약에 정의된 고객입니다.

 

데이터 가져오기

데이터 가져오기 도구는 IQUALIF이며 데이터 내보내기에 서비스를 제공하여 데이터를 처리하도록 할당됩니다.

 

데이터의 주제

전송된 개인 데이터는 다음 범주의 데이터 주체와 관련됩니다.

~' 전화 가입자는 유니버설 디렉토리에 나열

다음을 포함한 기타:

 

데이터 카테고리

전송된 개인 데이터는 다음 범주의 데이터와 관련됩니다.

 

특히 데이터 내보내기의 데이터 주체의 개인 데이터 범주,

' 풀네임

'' 우편 주소

'~'연락처(이메일, 전화번호, IP주소 등)

' ~' 전화 가입자에 대한 마케팅 활동의 세부 사항

'기타 주택의 종류, 소득, 시별 평균 연령 등은 익명으로 처리

 

데이터의 특수 범주(해당되는 경우)

전송된 개인 데이터는 다음과 같은 특수 범주의 데이터와 관련됩니다.

' ' 특별한 범주의 데이터 이전이 예상되지 않습니다.

~ 인종 또는 민족 출신

~ 종교적 또는 철학적 신념

~ 노동 조합 회원

~ 정치적 견해

~ 유전 정보

~ 생체 정보

~ 성적 취향 또는 성생활에 관한 정보

~ 건강 데이터

 

처리 활동

전송된 개인 데이터는 다음과 같은 기본 처리 활동의 대상이 됩니다.

 

  •  
    • 처리 목적

데이터 내보내기를 대신하여 수행되는 처리는 특히 다음 주제를 기반으로 합니다.

~' 데이터 내보내기가 제공하는 제품 또는 서비스를 담당합니다.

' ~' 수신자가 요청할 수 있는 제품 또는 서비스의 제공

~' 호출 된 사람의 주문 및 이러한 주문의 추가 처리

~' 연구 설문 및 분석

~' 텔레마케팅

다음을 포함한 기타:

 

  •  
    • 처리의 성격 및 목적

데이터 가져오기 프로그램은 다음 서비스를 제공하기 위해 데이터 내보내기를 대신하여 데이터 주체의 개인 데이터를 처리하며 특히 다음과 같은 서비스를 제공합니다.

' 영업 및 마케팅

' 기타, 시청 및 정당 데이터베이스 업데이트 등

 

  •  
    • 서비스 제공 및 서비스 제공자 고용

 

IQUALIF는 주로 데이터 내보내기를 결합, 중앙 집중화하고 서비스를 제공합니다. 지정된 서비스 제공자가 제공하는 서비스는 다음과 같은 보조 서비스를 중심으로 구성될 수 있습니다. (i) 이러한 응용 프로그램, 도구 및 시스템을 통해 위에서 설명한 데이터 주체의 개인 데이터 처리를 포함하여 서비스를 지원합니다. (ii) 해당 응용 프로그램, 도구, 시스템과 관련된 IT 지원, 유지 관리 및 기타 서비스의 제공 해당 애플리케이션, 도구 및 시스템에 저장된 개인 데이터에 대한 잠재적인 액세스를 포함한 IT 인프라, 그리고 (iii) 데이터 보호 서비스, 보호 모니터링 및 사고 대응 서비스 제공, 이러한 보호 서비스를 제공할 때 개인 데이터에 대한 잠재적인 액세스를 포함합니다. IQUALIF는 보조 서비스를 포함한 서비스를 제공하기 위해 아래와 같이 데이터 프로세서를 고용할 수 있습니다.

 

  •  
    • • 데이터 처리에 할당된 하위 엔터티로서의 외부 제3자 서비스 제공자

 

IQUALIF는 데이터 내보내기에 대한 서비스 제공을 지원하기 위해 IQUALIF의 자회사가 아닌 외부 및 제3자 서비스 제공자를 고용합니다. 데이터 내보내기는 이러한 외부 제3자 서비스 제공자를 데이터 처리에 할당된 하위 엔터티로 승인합니다.

 

데이터 처리에 관련된 하위 기관이 유럽연합 집행위원회의 결정에 따라 적절한 수준의 데이터 보호가 없는 것으로 간주되는 국가에 있는 EU/EEA 외부에 있는 경우 데이터 수입업체는 적절한 수준의 데이터 보호를 얻기 위한 조치를 취합니다. GDPR 및 1부의 섹션 3.4(iv)에 따른 데이터 보호.

 

 

부록 2, 2부

기술적 및 조직적 보호 조치

 

데이터 수입자는 위험에 따라 개인의 권리와 자유에 대한 적절한 수준의 보안을 보장하기 위해 데이터 수출자가 확인한 다음과 같은 기술적 및 조직적 보호 조치를 취해야 합니다. 관련 보호 수준을 평가할 때 데이터 내보내기는 특히 우발적이거나 불법적인 파괴, 변경, 무단 공개 또는 전송, 저장 또는 처리된 개인 데이터에 대한 액세스를 포함하여 처리와 관련된 위험을 고려했습니다. 설명: 이러한 기술적 및 조직적 보호 조치는 데이터 내보내기가 제공하는 애플리케이션, 도구, 시스템 및/또는 IT 인프라에 적용되지 않습니다.

1 일반적인 기술적 및 조직적 보호 조치
1.1 일반 정보 및 데이터 보호 전략
일반 데이터 및 정보 보호 전략을 따르려면 다음 단계를 수행해야 합니다.
  • a) 기술적 및 조직적 보호와 관련하여 취해진 조치를 평가하기 위한 조치를 취합니다.
  • b) 직원들 사이에서 인식 제고를 위한 교육을 제공합니다.
  • c) 관련 시스템에 대한 설명을 갖고 직원에게 액세스 권한을 부여합니다.
  • d) 시스템이 구현되거나 수정될 때마다 공식 문서화 프로세스를 수립합니다.
  • e) 조직 구조, 프로세스, 책임 및 각각의 평가를 문서화합니다.
 
1.2 정보보호 조직
데이터 및 정보 보호 활동을 조정하기 위해 다음 조치를 취해야 합니다.
  • a) 정보 및 데이터 보호에 대한 정의된 책임(예: 데이터 보호 관리 정책을 통해)
  • b) 사용 가능한 정보 및 데이터 보호에 필요한 전문 지식
  • c) 모든 직원은 개인 데이터를 기밀로 유지하기 위해 최선을 다하고 이 약속을 위반할 경우 발생할 수 있는 결과에 대해 알고 있습니다.
 
1.3 처리 구역에 대한 접근 통제
개인 데이터가 처리, 저장 또는 전송될 때 권한이 없는 사람이 데이터 처리 시스템(특히 소프트웨어 및 하드웨어)에 액세스하지 못하도록 다음 조치를 취해야 합니다.
  • a) 보안 구역을 설정합니다.
  • b) 데이터 처리 시스템에 대한 액세스를 보호하고 제한합니다.
  • c) 해당 문서를 포함하여 직원 및 제3자에 대한 액세스 권한을 설정합니다.
  • d) 개인 데이터가 저장된 데이터 처리 센터에 대한 모든 액세스는 기록되어야 합니다.
 
1.4 데이터 처리 시스템에 대한 액세스 제어
데이터 처리 시스템에 대한 무단 액세스를 방지하기 위해 다음 조치를 취해야 합니다.
  • a) 사용자 인증 정책 및 절차
  • b) 모든 컴퓨터 시스템에서 암호 사용
  • c) 네트워크에 대한 원격 액세스에는 다중 요소 인증이 필요하며 관련자에게 책임과 권한에 따라 부여됩니다.
  • d) 특정 기능에 대한 액세스는 사용자 계정에 개별적으로 할당된 직무 및/또는 속성을 기반으로 합니다.
  • e) 개인 데이터와 관련된 접근 권한은 정기적으로 검토됩니다.
  • f) 접근 권한에 대한 변경 기록이 최신 상태로 유지됩니다.
 
1.5 데이터 처리 시스템의 특정 사용 영역에 대한 액세스 제어
데이터 처리 시스템을 사용할 권한이 있는 권한이 있는 사람이 각자의 책임 및 액세스 권한 내에서만 데이터에 액세스할 수 있고 승인 없이 개인 데이터를 읽거나 복사, 수정 또는 삭제할 수 없도록 하기 위해 다음 조치를 취해야 합니다.
  1.  
    1. a) 기밀 유지, 개인 데이터에 대한 액세스 권한 및 개인 데이터 처리 범위에 대한 각 직원의 의무에 관한 직원의 정책, 지침 및 교육
  • b) 승인 없이 개인 데이터에 접근하는 사람에 대한 징계 조치
  • c) 개인 데이터에 대한 액세스는 알아야 할 필요가 있는 경우 승인된 사람에게만 부여됩니다.
  • d) 시스템 관리자 목록을 유지하고 시스템 관리자를 모니터링하기 위한 적절한 조치를 취합니다.
  • e) 권한이 없는 사람이 작성자의 정보를 제거할 수 있도록 저장 시스템에 개인 데이터를 복사하거나 복제하지 않습니다.
  • f) 데이터의 통제되고 문서화된 삭제 또는 파기
  • g) 법적 또는 규제적 이유(예: 데이터 보존 의무)를 위해 보존해야 하는 모든 개인 데이터를 법에서 요구하는 기간 동안만 안전하게 저장합니다.
 
1.6 변속기 제어
데이터 저장 장치를 전송 또는 전송하는 동안 승인되지 않은 제3자가 개인 데이터를 읽거나, 복사하거나, 수정하거나, 삭제하는 것을 방지하기 위해 다음과 같은 조치를 취해야 합니다(수행한 개인 데이터 처리에 따라 다름).
  1.  
    1. a) 방화벽 사용
  • b) 전송 목적으로 모바일 저장 장치에 개인 데이터를 저장하는 것을 피하거나 장치를 암호화합니다.
  • c) 암호화 보호가 활성화된 후에만 랩톱 및 기타 모바일 장치에서 사용
  • d) 개인 데이터 전송 기록.
 
1.7 데이터 입력 제어
개인 데이터가 데이터 처리 시스템에 입력 또는 삭제되었는지 여부와 누가 누구에 의해 확인 및 결정할 수 있는지 확인하기 위해 다음 조치를 취해야 합니다.
  1.  
    1. a) 저장된 데이터의 읽기, 변경 및 삭제를 승인하는 정책
  • b) 저장된 데이터의 읽기, 변경 및 삭제에 관한 보호 조치.
 
1.8 작업 제어
개인 데이터의 위임 처리의 경우 해당 데이터가 감독자의 지시에 따라 처리되도록 보장하기 위해 다음 조치를 취해야 합니다.
  1.  
    1. a) 신중하게 선택한 데이터 처리에 할당된 엔터티 또는 하위 엔터티(컨트롤러를 대신하여 개인 데이터를 처리하는 서비스 제공업체)
  • b) 데이터 처리에 할당된 직원, 단체 또는 하위 단체에 대한 개인 데이터 처리 범위에 관한 지침
  • c) 데이터 처리에 할당된 엔터티 또는 하위 엔터티와 합의한 감사 권한
  • d) 데이터 처리를 위해 할당된 기관 또는 하위 기관과의 계약.
 
1.9 다른 목적을 위한 처리로부터의 분리
다른 목적으로 수집된 데이터를 별도로 처리할 수 있도록 다음 조치를 취해야 합니다.
  1.  
    1. ) 사용자의 기존 권리에 따라 개인 데이터에 대한 별도의 액세스
  • b) 인터페이스, 일괄 처리 및 보고는 다른 목적과 기능을 위한 것이므로 다른 목적으로 수집된 데이터는 별도로 처리될 수 있습니다.
 
1.10 가명화
개인 데이터의 가명화와 ​​관련하여 다음 조치를 취해야 합니다.
  1.  
    1. 데이터 내보내기가 특정 처리 작업을 주문하거나 특정 처리 활동과 관련하여 시행 중인 데이터 보호법에 따라 데이터 가져오기가 적절하다고 간주하는 경우, 개인 데이터 처리는 다음과 같은 방식으로 수행됩니다. 데이터는 추가 정보를 사용하지 않고 더 이상 특정 사람에게 귀속될 수 없습니다. 이 추가 정보는 별도로 보관됩니다.
  • b) 할당 목록 무작위화를 포함한 가명화 기술의 사용 날카로운 형태의 가치 창출.
 
1.11 암호화

암호화를 지원하는 애플리케이션 및 전송에서 개인 데이터를 암호화하려면 다음 단계를 수행해야 합니다.

  1.  
    1. a) 암호화 기술의 사용
  • b) 사용하도록 승인된 암호화 기술을 지원하기 위한 암호화 관리 설정
  • c) 무단 수정 및 공개로부터 보호하기 위해 암호화 키를 생성, 수정, 취소, 파기, 배포, 인증, 저장, 캡처, 사용 및 보관하기 위한 절차 및 프로토콜을 통해 암호화 사용을 지원합니다.
 
1.12 데이터 처리 시스템 및 서비스의 완전성
데이터 처리 시스템 및 서비스의 완전성을 보장하기 위해 다음 조치를 취해야 합니다.
  1. a) 적절한 수단에 의한 조작 또는 파괴로부터 데이터 처리 시스템 보호(예: 안티바이러스 소프트웨어, 데이터 손실 방지 소프트웨어 및 맬웨어에 대한 소프트웨어, 소프트웨어 패치, 방화벽 및 관리되는 데스크탑 보호)
  • b) 데이터 처리 시스템, 서비스 또는 개인 데이터 조작에 유해한 서비스 또는 소프트웨어의 설치를 금지합니다.
  • c) 네트워크 자체의 구조에서 네트워크 침입 탐지 및 방지 시스템의 사용.
 
1.13 데이터 처리 시스템 및 서비스의 가용성, 중대한 또는 기술적인 사고 발생 시 개인 데이터에 대한 액세스 및 사용 복원 가능성
데이터 처리 시스템의 가용성을 보장하고 중요하거나 기술적인 사고가 발생한 경우 개인 데이터의 가용성 및 액세스를 신속하게 복원할 수 있도록(특히 개인 데이터는 우발적인 파괴 또는 손실로부터 보호됩니다):
  • a) 백업 복사본을 유지하고 손실되거나 삭제된 데이터를 복원하기 위한 제어 수단이 있어야 합니다.
  • b) 기반 시설의 이중화 및 성능 테스트
  • c) 컴퓨터 자원의 물리적 보호
  • d) 내부 네트워크의 상태와 가용성을 모니터링하기 위한 도구 사용
  • e) 사고 관리 절차를 관장하는 사고 보고 및 대응 정책, 그리고 정기적인 교육의 일환으로 이러한 정책 준수를 반복합니다.
  • f) 시스템이 기능을 다시 수행할 수 있도록 시스템을 복원하기 위한 백업(때로는 오프사이트)
  • g) 비즈니스 연속성/재해 복구 계획
 
1.14 데이터 처리 시스템 및 서비스의 복원력
데이터 처리 시스템 및 서비스의 복원력을 보장하려면 다음 조치를 취해야 합니다.
  • a) 승인된 보안 매개변수를 사용하여 시스템 및 조화롭게 구성
  • b) 네트워크 이중화;
  • c) 중요 시스템의 격리 보호.
 
1.15 데이터 처리의 보안을 보장하기 위한 기술적 및 조직적 조치의 효율성을 정기적으로 테스트, 평가 및 평가하기 위한 절차
데이터 처리를 보호하기 위한 기술적 및 조직적 조치의 효율성을 정기적으로 테스트, 평가 및 평가하는 절차입니다.
  • a) 위험 및 완화 전략을 평가하기 위해 필요한 조치를 취합니다.
  • b) 현재 문제를 해결하기 위한 IT 부서의 서비스 분석 회의
  • c) 비즈니스 연속성/재해 복구 계획이 정기적으로 업데이트됩니다.

 

3부

당사자 서명 및 데이터 가져오기 목록

 

온라인 주문 양식을 작성하고 일반 이용 약관에 동의하는 확인란을 선택하여 확인하면 고객과 IQUALIF 간의 관계에 적용되는 계약이 성립됩니다.

IQUALIF에 지불금을 보내면 계약에 동의하고 성립된 것으로 간주됩니다.


참고: 이 텍스트는 프랑스어에서 번역되었습니다. 유효하고 법적으로 제한적인 원본 프랑스어 버전은 여기에서 볼 수 있습니다 .