데이터 공유, 데이터 전송 및 공유 데이터
1 데이터 공유
1.1 양 당사자는 각 당사자가 본 계약에 따라 공유된 개인 데이터("공유 데이터")를 처리하는 법적 근거 및 조건을 각자의 개인정보 취급방침 또는 관련 데이터 보호법에 따라 요구되는 기타 고지에 명시된 대로 간혹 개정되는 바에 따라 단독으로 결정할 것임을 인정합니다.
1.2 ComponentSource의 개인정보 취급방침은 여기에서 확인할 수 있습니다.
1.3 각 당사자와 그 직원, 근로자, 대리인 또는 컨설턴트("관계자")는 공유 데이터 처리와 관련하여 관련 데이터 보호법에 따른 각자의 의무를 준수하고 각 개인정보 취급방침에 따라 공유 데이터를 처리합니다.
1.4 귀하는 관련 데이터 보호법을 준수하는 공유 데이터를 처리할 법적 근거가 있어야 하고 공유 데이터가 수집될 당시 개인정보 취급정책의 사본이 제공되지 않은 데이터 주체와 관련된 공유 데이터를 ComponentSource에 제공하지 않도록 해야 합니다.
1.5 각 당사자는 다음을 수행합니다.
1.5.1 상대방이 데이터 주체의 요청에 응답하고 보안, 위반 통지, 감사, 영향 평가 및 감독 당국 및/또는 규제 기관과의 협의하는데 있어서 해당 데이터 보호법에 따른 의무를 준수하기 위해 합리적으로 요구하는 경우 정보, 지원 및/또는 접속을 즉시 제공합니다;
1.5.2 공유 데이터가 정확하고 완전한지 확인합니다;
1.5.3 다음의 경우 영업일 기준 2일 이내에 상대방에게 서면으로 통지합니다 : (i) 상대방이 본 부록 1항에 따른 의무를 이행하지 않은 경우; (ii) 공유 데이터가 부정확하거나 불완전하다는 것을 발견한 경우; (iii) 관련 데이터 보호법에 따른 권리 행사의 결과로 데이터 주체 요청에 대한 세부 정보가 있는 경우. 관련 데이터 보호법에서 요구하거나 ComponentSource의 처리 활동과 관련이 없는 경우를 제외하고 ComponentSource의 사전 서면 동의 없이 그러한 요청 또는 서신에 직접 응답해서는 안됩니다; 및 (iv) 상대방 또는 제3자가 상대방을 대신하여 처리하는 공유 데이터와 관련하여 개인 데이터 침해가 의심되거나 가능성이 있거나 실제 발생하거나 그러한 위협이 있는 경우; 그리고
1.5.4 본 일정의 위반이 발생하지 않았다면 지급되거나 지급할 필요가 없었던, 배상받은 당사자가 제3자(관계자 포함)에게 지급했거나 지급해야 하는 모든 금액 포함하여 본 일정의 위반으로 인해 또는 이와 관련하여 발생하는 모든 책임에 대해 상대방에게 배상한다 의심의 여지를 없애기 위해 양 당사자는 본 계약에 명시된 책임의 제한 또는 배제가 본 일정에 따른 배상 또는 상환 의무에 적용되지 않는다는 데 동의합니다.
1.6 귀하는 다음을 수행합니다.
1.6.1 ComponentSource의 서면 요청 시, 추가 계약 및/또는 공유 데이터의 해외 전송에 대한 관련 데이터 보호법에 따라 요구되는 적절한 보호 장치(예: 유럽연합 위원회 또는 관련 데이터 보호법에 따른 기타 관할 기관이 발표한 형식의 표준 계약 조항)을 즉시 체결합니다;
1.6.2 귀하와 다른 관할권에 있는 데이터 주체로부터 받은 공유 데이터에 대해 관련 데이터 보호법에 따라 적절한 해외 전송 보호 장치가 마련되어 있는지 확인합니다;
2 해외 데이터 전송
EEA에서 비EEA로의 전송
2.1 EEA에서 수집한 공유 데이터가 적정 지역으로 지정되지 않은 EEA 외부 지역(영국 포함)으로 전송되는 경우, 본 조항 2에 명시된 요구 사항에 따라 그리고 본 계약의 조건에 더해 EU SCC의 관련 모듈이 다음과 같이 해당 전송에 적용되는 것으로 간주됩니다.
2.1.1 각 당사자는 공개된 공유 데이터와 관련하여 각자의 이름으로 자체적으로 EU SCC의 모듈 1을 체결한 것으로 간주됩니다;
2.1.2 별표 1(허용된 목적)의 조항은 EU SCC 모듈 1의 부록 I에 명시된 것으로 간주됩니다;
2.1.3 별표 2(보안 조치)의 조항은 모델 조항 모듈 1의 부록 II에 명시된 것으로 간주됩니다;
2.1.4 7절(도킹 절)은 선택되지 않습니다;
2.1.5 11(a)절(구제)의 선택적 요소는 선택되지 않습니다.
2.1.6 다음 선택적 13(a)절(감독)은 선택됩니다.
2.1.6.1 아일랜드 공화국은 부록 I.C.에 명시된 바와 같이 데이터 전송과 관련하여 데이터 수출자가 규정(EU) 2016/679를 준수하도록 보장할 책임이 있는 감독 기관으로서 관할 감독 기관의 역할을 합니다.
2.1.7 17절(준거법)의 선택사항 [1] 은 선택되며 다음 준거법이 적용됩니다.
2.1.7.1 본 조항은 EU 회원국 중 하나의 법률(해당 법률이 제3자 수혜자 권리를 허용하는 경우)의 적용을 받습니다. 당사자들은 아일랜드 공화국의 법으로 결정하는 데 동의합니다.
2.1.8 18(b)절(법정지 및 관할권 선택)에서 다음 법정지 및 관할권을 선택합니다.
2.1.8.1 당사자들은 아일랜드 공화국 법원(회원국 지정)으로 결정하는 데 동의합니다.
2.1.9 데이터 수입자는 제3자가 적절한 모듈 하에 EU SCC를 준수하거나 이를 준수하기로 데 동의하지 않는 한 데이터 수입자와 동일한 국가 또는 다른 제3의 국가의 EEA 외부에 위치한 제3자에게 개인 데이터를 공개하지 않습니다("제3자 전송"). 그렇지 않은 경우, 데이터 수입자의 제3자 전송은 제3자가 처리와 관련하여 EU GDPR의 46조 또는 47항에 따라 적절한 보호 조치를 달리 보장하는 경우에만 발생할 수 있습니다;
2.1.10 본 계약과 해당하는 EU SCC 모듈 사이에 누락 또는 충돌이 있는 경우 해당 모듈의 조항이 우선합니다.
영국에서 비EEA로의 전송
2.2 영국에서 수집한 공유 데이터가 적정 지역으로 지정되지 않은 영국 외부 지역으로 전송되는 경우, 상기 2항에 명시된 EU SCC 및 EU SCC에 대한 영국의 해외 데이터 전송 부록(UK SCC 부록)이 본 계약의 조건에 더해 다음과 같이 전송에 적용되는 것으로 간주됩니다.
2.2.1 각 당사자는 공개된 공유 데이터와 관련하여 각자의 이름으로 자체적으로 EU SCC 및 UK SCC 부록을 체결한 것으로 간주됩니다.
2.2.2 이전과 기술적 및 조직적 조치에 대한 설명은 본 부록의 별표 1 및 별표 2에 명시되어 있습니다.
2.2.3 별표 2(보안 조치)의 조항은 이전 모델 조항의 부록 2에 명시된 것으로 간주됩니다; 그리고
2.2.4 본 계약과 EU SCC 및 영국 SCC 부록 사이에 충돌이 있는 경우 후자가 우선합니다.
비EEA에서 비EEA로의 전송
2.3 데이터 수입자가 비EEA 지역("수출 지역")에서 수집된 공유 데이터를 처리하고 처리 과정이 수출 지역과 다른 지역("수입 지역")에서 이루어지는 경우, 데이터 수입자는 수출 지역의 관련 개인정보 보호법과 일치하는 기준에 따라 공유 데이터를 처리합니다. 특히 데이터 수출자는 관련 개인정보 보호법에서 요구되는 모든 기준에 대해 데이터 수입자에게 알리고 공유 데이터 처리가 해당 기준과 일치할 수 있도록 데이터 수입자에 전적으로 협력합니다.
2.4 어떠한 경우에도 관련 개인정보 보호법이 본 계약의 조항과 충돌하는 경우 충돌의 범위 내에서 다음에 따라 처리합니다:
2.4.1 관련 개인정보 보호법에서 요구하는 데이터 보호 기준이 본 계약에서 요구하는 기준을 초과하는 경우 데이터 수입자는 관련 개인정보 보호법과 일치하는 기준에 따라 공유 데이터를 처리합니다; 그리고
2.4.2 본 계약에서 요구하는 데이터 보호 기준이 관련 개인정보 보호법에서 요구하는 기준을 초과하는 경우 데이터 수입자는 본 계약과 일치하는 기준에 따라 공유 데이터를 처리합니다.
별표 1
허용된 목적은 위에 정의된 바와 같습니다.
처리 - 공유 데이터
데이터 주체
전송된 개인 데이터는 다음 범주의 과거, 현재 및 미래의 데이터 주체와 관련이 있습니다.
데이터 범주
전송된 개인 데이터는 다음 범주의 데이터와 관련이 있습니다.
- 개인 정보: 이름 및 연락처
- 지불 세부 정보: 지불 방법 및 세부 정보; 지불 내역 및 서신.
- 프로필 정보: 서비스와 관련하여 데이터 주체로부터 또는 데이터 주체에 대해 수집된 계정 정보
- 장치 데이터: IP 주소, 쿠키 데이터, 장치 식별자 및 유사한 장치 관련 정보.
- 사용 및 분석 정보: 고객의 서비스 사용에서 수집된 통계 및 분석 데이터.
- 설문 조사 데이터 : 데이터 주체가 설문조사에서 자발적으로 제출한 인구통계학적 정보 및 피드백(인종/민족 출신 데이터 포함).
- 서신 데이터: 고객 지원을 제공하기 위한 목적으로 데이터 주체와 주고받은 서신 및 기타 통신(합법적으로 기록된 전화 통신 데이터 포함).
- 마케팅 기본설정: 뉴스레터 구독 및 마케팅 또는 광고와 관련된 기타 기본 설정.
- 데이터 수출자가 데이터 수입업자에게 전송할 권한이 있는 기타 범주의 개인 데이터.
수신자 전송된 개인 데이터는 다음 수신자 또는 수신자 범주에게만 공개될 수 있습니다.
- 데이터 수입업자와 동일한 그룹에 속하는 회사: 이 조항에 설명된 목적을 위해 필요한 경우 공개하며 이 조항에 명시된 보호의 적용을 받습니다.
- 데이터 수입자 직원: 데이터 수입자의 정식 승인된 영업, 마케팅, 고객 지원, IT 및 기타 직원, 관리자 및 책임자는 자신의 역할 수행을 위해 그리고 위에 설명된 목적만을 위해 알아야 할 필요가 있는 경우 개인 데이터에 접근할 수 있습니다.
- 제3자 서비스 제공업체: 회계사, 감사, 변호사 및 기타 외부 전문 고문; 콜센터 서비스 제공 업체; IT 시스템, 지원 및 호스팅 서비스 제공업체; 신용 카드 거래 처리업체; 광고, 마케팅 및 시장 조사 및 분석 서비스 제공 업체; 은행 및 금융 기관; 문서 및 기록 관리 제공자; 및 데이터 수입자가 비즈니스 활동을 수행하는 것을 지원하는 유사한 제3자 공급업체 및 위탁 서비스 제공업체.
- 공공 기관 및 법 집행 기관: 관련 법률에 따라 데이터 수입자에게 정보에 관해 문의하거나 정보의 보고를 요구하는 공공 기관 및 법 집행 기관의 정식으로 권한을 부여받은 직원.
별표 2
보안 대책
기술 및 조직 보안 조치
ComponentSource는 개인 데이터를 보호하기 위해 다음을 포함하되 이에 국한되지 않는 다양한 보안 조치 및 절차를 사용합니다.
- ComponentSource 보안 절차의 구현을 담당하는 직원 지정.
- 정기적(최소 연 1회) 검토를 통한 데이터 보호, 보존 및 보안 정책의 유지
- 제한된 액세스 및 상용 산업 표준 암호화 기술의 배포를 포함하는 데이터 및 네트워크 보안 제어.
- 강력하고 고유한 암호를 사용하고 정기적으로 업데이트하는 암호 제어.
- 직무 및 관리 수준에 따라 개인 데이터 및 시스템 기능에 대한 전자적 접근을 제한하는 접근 제어(퇴사 직원에 대한 접근 취소 포함).
- 시스템 또는 개인 데이터로의 모든 원격 접근에 대해 다중 인증 및 가상 사설 네트워크 사용.
- 공격 탐지, 필터링 및 무력화를 위해 방화벽 및 보안 소프트웨어 사용, 개인 데이터 전송과 관련된 암호화 소프트웨어 배치.
- 사건 기록 및 관련 모니터링 절차를 통해 조사 및 일상적인 검토 목적으로 시스템 활동 및 사용자 접근을 사전에 기록.
- 무단 접근를 방지하고 화재 또는 침수 피해와 같은 위험으로부터 개인 데이터를 보호하기 위해 개인 데이터가 포함된 서버실 및 기타 영역에 대해 물리적 및 환경적 보안.
- ComponentSource 소유에서 최종 출시되기 전에 모든 개인 데이터를 해독할 수 없거나 복구할 수 없게 만드는 시스템 및 미디어의 안전한 폐기를 포함하여 산업 표준에 따른 기술 및 정보 시스템의 구성, 모니터링 및 유지 관리를 위한 운영 관행 및 제어.
- 침입으로부터 시스템을 보호하고 성공적인 공격의 범위를 제한하기 위해 기업 방화벽 및 침입 탐지 시스템을 포함한 네트워크 보안 제어.
- 정기적인 취약성 평가, 패치 관리 및 기타 모니터링 절차를 통해 식별된 보안 위협, 바이러스 및 기타 악성 코드의 탐지 및 무력화 또는 완화를 지원.
- 비상 사태 또는 재난 상황 발생 시 서비스 제공 및 개인 데이터 보안을 유지하도록 설계된 비즈니스 연속성 절차.
유용한 추가 정보(저장 한도 및 기타 관련 정보)
개인 데이터는 상기 설명된 목적을 위해 필요한 기간 또는 해당 법적 요구 사항에서 요구하는 범위보다 더 오래 보관되지 않습니다. 어떠한 경우에도 개인 데이터는 관련 법률에서 허용하는 것보다 더 오래 보관되지 않습니다.
모든 데이터 관련 문의 또는 요청을 위한 연락처:
dpm@componentsource.com 또는 긴급한 경우
ComponentSource: (770) 250 6105 또는 +44 1189 822108
CSWWLIC 11/2023
