데이터 처리 부록

 

이 부록은 계약의 불가분의 일부를 구성하며 다음과 같이 체결됩니다.

 

  1. (i) 고객(" 데이터 내보내기 ")
  2. (ii) POSTCODEZIP(" 데이터 가져오기 ")

 

각각은 " 당사자 "이며 일반적으로 " 당사자 "입니다.

 

전문

데이터 가져오기가 전문 소프트웨어 서비스, 컴퓨터 및 관련 서비스를 제공하는 곳

계약에 따라 데이터 수입자는 계약에 명시된 서비스(이하 " 서비스 ")를 데이터 수출자에게 제공하는 데 동의했습니다.

서비스를 제공함으로써 데이터 가져오기가 데이터 내보내기의 정보 또는 데이터 내보내기와 (잠재적인) 관계가 있는 다른 사람의 정보를 받거나 액세스로부터 혜택을 받는 경우 해당 정보는 규정의 의미 내에서 개인 데이터로 자격이 될 수 있습니다. (EU) 2016년 4월 27일자 유럽 의회 및 이사회의 개인 데이터 처리 및 해당 데이터의 자유로운 이동(" GDPR ") 및 기타 적용 가능한 데이터 보호법에 관한 개인 보호에 관한 이사회의 2016/679.

이 부록에는 당사자들이 해당 데이터 보호법을 준수하도록 하기 위해 데이터 내보내기의 승인된 데이터 처리 대리인으로서 데이터 가져오기가 해당 개인 데이터를 수집, 처리 및 사용하는 데 적용되는 조건이 포함되어 있습니다. .

 

따라서 당사자들이 합법적으로 관계를 지속할 수 있도록 당사자는 이 부록을 다음과 같이 체결했습니다.

1 부

 

1. 문서의 구조와 정의

1.1 구조

이 부록은 다음과 같이 여러 부분으로 구성됩니다.

 

1 부:

예를 들어 이 부록에 사용된 정의, 현지 법률 준수, 시기 및 종료와 관련된 일반 조항을 포함합니다.

2 부:

수정되지 않은 표준 계약 조항 문서의 본문을 포함합니다.

2부의 부록 1.1:

데이터 가져오기자가 승인된 데이터 처리 대리인으로서 데이터 내보내기자에게 제공한 처리 작업의 세부 정보(처리, 특성 및 처리 목적, 개인 데이터 유형 및 데이터 주체 범주 포함)가 포함되어 있습니다. 부록

2부의 부록 2:

2부의 부록 1.1에 설명된 모든 처리 활동과 관련하여 적용되는 데이터 가져오기자의 기술적 및 조직적 보안 조치에 대한 설명이 포함되어 있습니다.

3부:

이 부록의 적용을 받는 당사자의 서명을 포함하고 각 데이터 수입자를 식별합니다.

 

1.2 용어 및 정의

이 부록의 목적을 위해 GDPR에서 사용하는 용어 및 정의가 적용됩니다(정의된 용어가 대문자로 표시되지 않은 2부의 표준 계약 조항 문서 본문). 

 

"회원국"

유럽 ​​연합 또는 유럽 경제 지역에 속하는 국가를 의미합니다.

"(개인) 데이터의 특수 범주"

인종 또는 민족, 정치적 견해, 종교 또는 철학적 신념, 노동조합 가입 여부를 나타내는 개인정보, 유전정보, 생체정보(개인을 고유하게 식별할 목적으로 처리한 경우), 건강정보, 성별정보 삶이나 성적 지향

"표준 계약 조항"

2010년 2월 5일 위원회 결정 2010/87/EU에 따라 제3국에 설립된 처리 대리인의 개인 데이터 전송에 대한 표준 계약 조항을 의미하며, 이 조항은 2010년 2월 16일 위원회 시행 결정(EU) 2016/2297에 의해 수정되었습니다. 2016년 12월

"데이터 프로세서"

EU/EEA 내부 또는 외부에 위치한 처리 대리인은 데이터 가져오기 또는 데이터 가져오기의 다른 처리자로부터 데이터 내보내기가 완료된 후 수행할 처리 활동만을 위한 개인 데이터를 받는 데 동의합니다. 데이터 내보내기의 지침, 이 부록의 조건 및 데이터 가져오기와의 계약에 따라 전송

 

 

2. 데이터 수출자의 의무

2.1 데이터 내보내기는 GDPR 및 데이터 내보내기에 적용되는 기타 해당 데이터 보호법에 따른 모든 관련 의무를 준수하고 GDPR 제5(2)조에서 요구하는 준수를 보여줄 의무가 있습니다. 데이터 내보내기는 데이터 가져오기가 GDPR의 6조 (a)에 따라 데이터 주체의 사전 동의를 얻었고 GDPR의 13조 및 14조에 따라 데이터 주체에게 알릴 의무를 준수했음을 보증합니다.

2.2 데이터 내보내기는 데이터 가져오기가 아래 의무를 준수하는 데 필요한 범위 내에서 이 부록에 따른 서비스와 관련된 GDPR의 30(1)조에 따라 처리 활동의 해당 파일을 데이터 가져오기에게 제공해야 합니다. GDPR 30조 2항.

2.3 데이터 내보내기는 해당 데이터 보호법에서 요구하는 범위 내에서 데이터 보호 담당자 또는 대리인을 임명해야 합니다. 데이터 내보내기는 데이터 가져오기에게 데이터 보호 에이전트 또는 대리인(있는 경우)의 연락처 세부 정보를 제공할 의무가 있습니다.

2.4. 데이터 내보내기는 처리가 완료되기 전에 이 부록을 수락함으로써 부록 2에서 파트 2에 설명된 데이터 가져오기의 기술적 및 조직적 보안 조치가 데이터 주체의 권리를 보호하기에 적절하고 충분함을 확인합니다. 데이터 가져오기 프로그램이 이와 관련하여 충분한 보호 장치를 제공하는지 확인합니다.

 

3. 현지 법률 준수

GDPR 28조에 따라 처리 대리인 구현 요구 사항을 충족하기 위해 다음 수정 사항이 적용됩니다.

 

3.1 지침

  1. (i) 데이터 내보내기는 데이터 가져오기가 데이터 내보내기를 대신하여 개인 데이터를 처리하도록 지시합니다. 데이터 내보내기의 지침은 이 부록과 계약에 제공됩니다. 데이터 내보내기는 데이터 가져오기에 제공된 모든 지침이 해당 데이터 보호법을 준수하도록 할 의무가 있습니다. 데이터 가져오기자는 유럽 연합 또는 회원국 법률에서 달리 요구하지 않는 한 데이터 내보내기자가 제공한 지침에 따라서만 개인 데이터를 처리해야 합니다(후자의 경우 파트 1의 3.2(iv)(c)절이 적용됨). .
  2. (ii) 이 부록 또는 계약의 지침을 넘어서는 다른 모든 지침은 이 부록 및 계약의 주제에 포함되어야 합니다. 이 추가 지침을 구현하는 데 데이터 수입업체의 비용이 포함되는 경우 데이터 수입업체는 해당 비용을 데이터 수출업체에 알리고 지침을 시행하기 전에 설명을 제공해야 합니다. 데이터 내보내기가 지침 구현을 위한 이러한 비용의 수락을 확인한 후에만 데이터 가져오기가 이 추가 지침을 구현해야 합니다. 긴급하거나 기타 특정 상황에서 다른 형식(예: 구두, 전자)이 필요한 경우가 아니면 데이터 내보내기자는 추가 지침을 서면으로 제공해야 합니다. 서면 이외의 형식으로 된 지침은 데이터 내보내기 담당자가 지체 없이 서면으로 확인해야 합니다.
  3. 1. 데이터 내보내기 자가 개인 데이터의 수정, 삭제 또는 제한을 자체적으로 수행할 수 없는 경우 지침은 1부 3.3절에 명시된 개인 데이터의 수정, 삭제 및/또는 제한과 관련될 수도 있습니다.
  4. 2. 데이터 수입자는 지침 이 GDPR 또는 유럽 연합 또는 회원국의 기타 해당 데이터 보호 조항을 위반한다고 생각하는 경우 데이터 수출자에게 즉시 알려야 합니다."). 데이터 수입자가 지침이 유럽 연합 또는 회원국의 GDPR 또는 기타 적용 가능한 데이터 보호 조항을 침해한다고 생각하는 경우 데이터 수입자는 분쟁이 있는 지침을 따를 의무가 없습니다. 데이터 수입자로부터 정보를 수신하고 이의가 있는 지시에 대한 자신의 책임을 인정하는 경우, 이의가 있는 지시가 (i) 기술적 및 조직적 조치의 구현, (ii) 데이터의 권리와 관련되지 않는 한 데이터 수입자는 이의가 있는 지시를 이행해야 합니다. 주제 또는 (iii) 데이터 프로세서의 참여 (i)에서 (iii)까지의 경우 데이터 가져오기자는 권한 있는 감독 기관에 연락하여 해당 감독 기관에서 이의가 있는 지침을 법적으로 평가할 수 있습니다.감독 기관이 이의를 제기한 지침이 적법하다고 선언하는 경우 데이터 수입자는 이의를 제기한 지침을 이행해야 합니다. 1부 3.1(ii)항은 계속 적용됩니다.

 

3.2 데이터 수입자의 의무

  1. (i) 데이터 가져오기는 데이터 가져오기가 데이터 내보내기를 대신하여 개인 데이터를 처리하도록 승인한 사람, 특히 데이터 가져오기의 직원 및 하도급자의 직원이 기밀 유지를 약속했거나 기밀 유지에 대한 적절한 법적 의무, 그리고 개인 데이터에 접근할 수 있는 사람이 데이터 내보내기의 지시에 따라 데이터를 처리해야 합니다.
  2. (ii) 데이터 가져오기는 데이터 내보내기를 대신하여 개인 데이터를 처리하기 전에 부록 2에서 파트 2에 설명된 기술적 및 조직적 보안 조치를 구현해야 합니다. 데이터 수입자는 기술 및 조직적 보안 조치가 2부의 부록 2에 명시된 것보다 낮은 수준의 보호를 제공하지 않는 경우 수시로 변경할 수 있습니다.
  3. (iii) 데이터 수입자는 데이터 수출자의 요청에 따라 이 부록에 따른 데이터 수입자의 의무 준수를 보여주는 정보를 데이터 수출자에게 제공해야 합니다. 양 당사자는 데이터 수출자에게 감사 보고서(원칙의 보안, 시스템 가용성 및 기밀성을 다룸)("감사 보고서")를 제공함으로써 이러한 정보 의무가 충족된다는 데 동의합니다. 추가 감사 활동이 법적으로 요구되는 경우 데이터 내보내기는 데이터 내보내기 또는 데이터 내보내기가 지정한 다른 감사인이 검사를 수행하도록 요청할 수 있습니다. 합리적인 만족("감사"). 이 감사에는 다음 조건이 적용됩니다.(i) 데이터 수입자의 사전 공식 서면 동의 (ii) 데이터 내보내기는 데이터 내보내기 및 데이터 가져오기에 대한 현장 감사와 관련된 모든 비용을 부담해야 합니다. 데이터 내보내기는 현장 감사의 결과와 관찰을 요약한 감사 보고서("현장 감사 보고서")를 작성해야 합니다. 현장 감사 보고서 및 감사 보고서는 데이터 가져오기의 기밀 정보이며 해당 데이터 보호법에서 요구하거나 데이터 가져오기의 동의에 따르지 않는 한 제3자에게 공개해서는 안 됩니다.현장 감사 보고서 및 감사 보고서는 데이터 가져오기의 기밀 정보이며 해당 데이터 보호법에서 요구하거나 데이터 가져오기의 동의에 따르지 않는 한 제3자에게 공개해서는 안 됩니다.현장 감사 보고서 및 감사 보고서는 데이터 가져오기의 기밀 정보이며 해당 데이터 보호법에서 요구하거나 데이터 가져오기의 동의에 따르지 않는 한 제3자에게 공개해서는 안 됩니다.
  4. (iv) 데이터 수입자는 부당한 지체 없이 데이터 수출자에게 통지할 의무가 있습니다.
    1. ㅏ. 법 집행 수사의 기밀을 보호하기 위한 형법상의 금지와 같이 달리 금지되지 않는 한, 법 집행 기관의 개인 데이터 공개에 대한 법적 구속력 있는 요청과 관련하여
    2. 비. 데이터 가져오기자가 다음 권한을 부여받은 경우를 제외하고 해당 요청에 응답하지 않고 데이터 주체로부터 직접 받은 모든 불만 및 요청(예: 액세스, 수정, 삭제, 처리 제한, 데이터 이동성, 데이터 처리에 대한 반대, 자동화된 의사 결정 관련) 그렇게 하다
    3. 씨. 데이터 수입자 또는 데이터 처리자가 유럽 연합 또는 데이터 수입자 또는 데이터 처리자가 적용되는 회원국의 법률에 따라 데이터 내보내기자의 지시를 넘어 개인 데이터를 처리해야 할 의무가 있는 경우 지침(유럽 연합 또는 회원국의 법률이 중대한 공익상의 이유로 그러한 처리를 금지하지 않는 한, 이 경우 데이터 내보내기에 대한 통지는 유럽 연합 또는 회원국의 해당 법률에 따른 법적 요구 사항을 명시해야 함); 또는
    4. 디. 데이터 가져오기자가 자신 또는 그 하도급자 때문에 현재 계약이 적용되는 데이터 내보내기자의 개인 데이터에 영향을 미칠 개인 데이터 침해를 깨닫는 경우 데이터 가져오기자는 데이터 내보내기자의 의무를 지원합니다. 관련 데이터 보호법에 따라 GDPR 33(3)조에 따라 정보를 마음대로 제공함으로써 데이터 주체와 감독 당국에 알립니다.
    5. (v) 데이터 내보내기의 요청에 따라 데이터 가져오기는 GDPR의 35조 및 사전 협의에서 요구할 수 있는 데이터 보호 영향 평가를 수행할 의무가 있는 데이터 내보내기를 지원해야 합니다. 이 부록에 따라 데이터 수입자가 데이터 수출자에게 제공하는 서비스와 관련하여 GDPR 36조에 의해 요구되며 데이터 수출자에게 필요한 정보를 제공합니다. 데이터 수입자는 데이터 수출자가 다른 수단으로 의무를 이행할 수 없는 경우에만 그러한 지원을 제공할 의무가 있습니다. 데이터 수입업자는 그러한 지원 비용을 데이터 수출업자에게 알릴 것입니다. 데이터 내보내기가 이 비용을 감당할 수 있다고 확인하는 즉시 데이터 가져오기는 데이터 내보내기에게 이 도움을 제공할 것입니다.
    6. (vi) 서비스 제공이 끝나면 데이터 내보내기는 서비스 후 1개월 이내에 이 부록에 따라 데이터 가져오기가 처리한 개인 데이터의 반환을 요청할 수 있습니다. 회원국 또는 유럽 연합의 법률이 데이터 수입업자에게 그러한 개인 데이터를 저장하거나 보유하도록 요구하지 않는 한, 데이터 수입업자는 1개월 기간 후에 그러한 모든 개인 또는 비개인 데이터를 삭제합니다. 요청에 따라 데이터 내보내기를 수행할 수 있습니다.

 

3.3 관계자의 권리

  1.  
    1. (i) 데이터 내보내기는 데이터 주체의 요청을 관리하고 이에 응답합니다. 데이터 수입업체는 데이터 주체에게 직접 응답할 의무가 없습니다.
    2. (ii) 데이터 내보내기가 데이터 주체의 요청을 처리하고 응답하는 데 데이터 가져오기의 지원이 필요한 경우 데이터 내보내기는 1부의 3.1(ii)절에 따라 추가 지침을 발행해야 합니다. 데이터 가져오기는 데이터 내보내기를 지원합니다. GDPR 3장에 명시된 데이터 주체의 권리 행사 요청에 응답하기 위해 다음과 같이 적절하고 기술적인 조직적 조치를 취합니다.
    3. ㅏ. 정보 요청과 관련하여 데이터 수입자는 데이터 수출자가 자체적으로 정보를 찾을 수 없는 경우 PGRD의 13조 및 14조에서 요구하는 정보만을 데이터 수출자에게 제공합니다.
    4. 비. 액세스 요청(GDPR 제15조)과 관련하여 데이터 가져오기자는 해당 액세스 요청에 대해 데이터 주체에게 제공되어야 하는 정보만 데이터 내보내기자에게 제공합니다. 후자는 혼자 그것을 찾을 수 없습니다.
    5. 씨. 수정 요청(GDPR 16조), 삭제 요청(GDPR 17조), 처리 제한 요청(GDPR 18조) 또는 이식성 요청(GDPR 20조), 데이터 내보내기가 자체적으로 개인 데이터를 수정 또는 삭제, 제한 또는 다른 제3자에게 전송할 수 없는 경우 데이터 가져오기는 데이터 내보내기에게 관련 개인 데이터를 수정 또는 삭제, 제한 또는 다른 제3자에게 전송할 수 있는 가능성을 제공합니다. 또는 이것이 가능하지 않은 경우 해당 개인 데이터를 수정 또는 삭제, 제한 또는 다른 제3자에게 전송하는 데 도움을 제공합니다.
    6. 디. 수정, 삭제 또는 처리 제한(GDPR 제19조)과 관련된 통지와 관련하여 데이터 수입자는 데이터 수출자가 요청하는 경우 데이터 수입자가 처리자로서 고용한 개인 데이터의 모든 수신자에게 통지함으로써 데이터 수출자를 지원할 것입니다. 데이터 내보내기가 자체적으로 상황을 해결할 수 없는 경우.
    7. 이자형. 데이터 주체가 행사하는 이의 제기 권리와 관련하여(GDPR 21조 및 22조) 데이터 내보내기 업체는 이의 제기가 합법적인지 여부와 이를 처리하는 방법을 결정합니다.
    8. (iii) 데이터 가져오기의 지원 의무는 인프라 내에서 처리되는 개인 데이터(예: 데이터 가져오기가 소유하거나 제공하는 데이터베이스, 시스템, 애플리케이션)로 제한됩니다.
    9. (iv) 데이터 내보내기는 데이터 주체가 이 파트 1의 3.1절에 명시된 데이터 주체의 권리를 행사할 수 있는지 여부를 결정하고 3.3절 (ii), ( iii) 파트 1이 필요합니다.
    10. (v) 데이터 내보내기가 파트 1의 하위 조항 3.3(ii), (iii)에 따라 데이터 가져오기가 제공하는 지원을 넘어 데이터 주체의 권리를 충족하기 위해 추가 또는 수정된 기술적 및 조직적 조치를 요청하는 경우 데이터 수입자는 그러한 추가 또는 수정된 기술 및 조직적 조치를 시행하는 비용을 데이터 수출자에게 알려야 합니다. 데이터 내보내기가 이러한 비용을 충족할 수 있음을 확인하는 즉시 데이터 가져오기는 데이터 내보내기가 데이터 주체의 요청에 응답할 수 있도록 지원하기 위해 이러한 추가 또는 수정된 기술 및 조직적 조치를 구현해야 합니다.
    11. (vi) 제1부의 3.3(v)항의 범위를 제한하지 않고, 데이터 내보내기는 데이터 주체의 요청에 응답하는 데 발생한 합리적인 비용을 데이터 가져오기에게 상환할 의무가 있습니다.

 

3.4 부처리

  1.  
    1. (i) 데이터 내보내기는 데이터 가져오기가 이 부록에 따라 서비스 제공을 위해 하청업체를 사용하는 것을 승인합니다. 데이터 수입자는 그러한 데이터 프로세서를 신중하게 선택해야 합니다. 데이터 내보내기는 2부의 끝부분에 있는 부록 1.1에 나열된 데이터 프로세서를 승인합니다.
    2. (ii) 데이터 수입자는 이 부록에 따른 의무를 하청 서비스에 적용되는 범위 내에서 데이터 처리자에게 이전해야 합니다.
    3. (iii) 데이터 수입자는 재량에 따라 적절하고 신뢰할 수 있는 다른 데이터 프로세서를 해고, 교체 또는 임명할 수 있습니다. 데이터 내보내기가 서면으로 요청하는 경우 데이터 가져오기는 아래에 명시된 절차를 따라야 합니다.
  1.  
    1. ㅏ. 데이터 가져오기자는 1부의 3.4(i)항에 언급된 데이터 처리자 목록이 변경되기 전에 데이터 내보내기자에게 알려야 합니다. 데이터 내보내기자가 3.4항에 따라 이의를 제기하지 않는 경우. (b) 데이터 수입자로부터 통지를 받은 후 30일 후에 파트 1의 추가 데이터 프로세서가 수락된 것으로 간주됩니다.
    2. 비. 데이터 내보내기가 추가 데이터 프로세서에 반대할 정당한 이유가 있는 경우 데이터 가져오기의 알림을 받은 후 30일 이내에 데이터 가져오기의 서비스가 작동되기 전에 데이터 가져오기에게 사전 서면 통지를 제공합니다. 데이터 내보내기가 추가 데이터 프로세서 사용에 반대하는 경우 데이터 가져오기는 다음 옵션(재량에 따라 선택) 중 하나로 이의를 제거할 수 있습니다. (A) 데이터 가져오기는 다음과 같은 추가 프로세서 사용 계획을 취소합니다. 데이터 내보내기의 개인 데이터 (B) 데이터 가져오기는 데이터 내보내기에서 이의 제기(이의 취소)에서 요청한 시정 조치를 취하고 데이터 내보내기의 개인 데이터와 관련하여 추가 프로세서를 사용합니다.(C) 데이터 가져오기는 데이터 내보내기의 개인 데이터에 대한 데이터 내보내기의 추가 프로세서 사용과 관련된 서비스의 특정 측면을 (일시적으로 또는 영구적으로) 사용하지 않는 데 동의하거나 데이터 내보내기를 중단할 수 있습니다.
  1.  
    1. (iv) 데이터 프로세서가 유럽연합 집행위원회의 결정에 따라 적절한 수준의 데이터 보호를 제공하는 것으로 인정되지 않는 국가의 EU-EEA 외부에 있는 경우 데이터 수입업체는 적절한 수준을 준수하기 위한 조치를 취할 것입니다. GDPR에 따른 데이터 보호(이러한 조치에는 - 특히 다음이 포함될 수 있습니다. - EU 모델의 조항에 기반한 데이터 처리 계약의 사용, EU-미국 보호 실드의 프레임워크에서 자체 인증된 데이터 프로세서로의 이전 , 또는 유사한 프로그램).

 

3.5 만료

이 부록의 만료 날짜는 해당 계약의 만료 날짜와 동일합니다. 이 부록에 달리 규정된 경우를 제외하고 해지와 관련된 권리 및 의무는 계약에 포함된 것과 동일합니다.

 

4. 책임의 제한

4.1 각 당사자는 이 부록 및 해당 데이터 보호 법률에 따른 의무를 다룹니다.

4.2 이 부록 또는 해당 데이터 보호 법률에 따른 의무 위반과 관련된 모든 책임은 이 부록에 달리 규정된 경우를 제외하고 계약에 명시되거나 적용되는 책임 조항의 적용을 받습니다. 책임 한도를 계산하거나 다른 책임 제한의 적용을 결정하기 위해 계약에 명시되거나 적용되는 책임 조항이 책임에 적용되는 경우 이 부록에 따라 발생하는 모든 책임은 계약에 따라 발생하는 것으로 간주됩니다.

 

5. 일반 조항

5.1 이 부록의 1부와 2부 간에 불일치 또는 불일치가 있는 경우 2부가 우선합니다. 특히, 그러한 경우에도 2부(즉, 표준 조항의 조건)를 단순히 넘어서는 1부(즉, 표준 조항의 조건)는 모순되지 않고 유효합니다.

5.2 이 부록의 조항과 당사자를 구속하는 다른 계약의 조항 사이에 불일치가 발생하는 경우, 당사자의 데이터 보호 의무와 관련하여 이 부록이 우선합니다. 다른 계약의 조항이 당사자의 데이터 보호 의무와 관련이 있는지 여부가 의심되는 경우 이 부록이 우선합니다.

5.3 이 부록의 어떤 조항이 유효하지 않거나 시행할 수 없는 경우, 이 부록의 나머지 부분은 완전한 효력을 유지합니다. 유효하지 않거나 시행할 수 없는 조항은 (i) 당사자의 의도를 가능한 한 유지하면서 유효성과 시행 가능성을 보장하기 위해 수정되거나 - 이것이 불가능한 경우 - (ii) 유효하지 않거나 시행 불가능한 부분이 수정된 것처럼 해석됩니다. 계약에 포함된 적이 없습니다. 이 부록에 누락이 있는 경우에도 전술한 내용이 적용됩니다.

5.5 필요한 범위 내에서, 당사자는 연합 또는 연합의 권한 있는 당국에서 발행한 해석, 지시 또는 명령을 준수하기 위해 1부, 3절(현지법 준수) 또는 부록의 기타 부분에 대한 수정을 요청할 수 있습니다. GDPR 또는 데이터 처리에 관련된 기관에 대한 기타 위임 조건, 특히 GDPR의 표준 계약 조항 사용에 관한 회원국, 국가 시행 규정 또는 기타 법적 발전. 표준 계약 조항의 조건은 유럽 위원회가 명시적으로 승인하지 않는 한(예: 새로운 적절한 조항 및 데이터 보호 표준에 의해) 수정되거나 대체될 수 없습니다.

5.6 이 부록에서 "조항"에 대한 언급은 달리 명시되지 않는 한 이 부록의 모든 조항을 참조하는 것으로 이해해야 합니다.

5.7 2부 9절의 법 선택은 전체 계약에 적용됩니다.

 

6.  당사자가 개인 목적으로 전송 및 처리하는 개인 데이터(데이터 컨트롤러에서 데이터 컨트롤러로 이전)

6.1 당사자는 특정 개인 데이터가 데이터 내보내기에서 데이터 가져오기로 또는 그 반대로 전송되며 이러한 데이터는 각 당사자가 고유한 목적을 위해 처리한다는 것을 완전히 알고 있습니다. 그러한 개인 데이터와 관련하여 이 부록의 다른 조항(이 6항 제외)에는 영향을 미치지 않습니다.

6.2 데이터 내보내기는 보안 사고에 대한 정보 또는 데이터 내보내기의 직원이 제공하는 서비스와 관련하여 데이터 내보내기가 생성하거나 설정한 기타 문서 또는 파일을 포함하여 데이터 가져오기의 직원과 관련된 개인 데이터를 데이터 가져오기에게 전송할 수 있습니다. 데이터 가져오기. 데이터 가져오기는 자체 목적, 특히 데이터 가져오기 직원과의 전문적인 관계, 품질 관리 및 교육 또는 비즈니스 목적을 위해 이러한 개인 데이터를 처리할 수 있습니다.

6.3. 데이터 가져오기는 데이터 가져오기 직원의 이름 및 연락처 세부 정보를 포함하여 데이터 내보내기에게 개인 데이터를 전송할 수 있습니다. 데이터 내보내기는 자체 목적을 위해 이러한 개인 데이터를 처리할 수 있습니다.

6.4 양 당사자는 제1부의 1항에 따라 상대방으로부터 받은 개인 데이터를 수집, 처리 및 사용할 때 GDPR을 포함한 모든 해당 데이터 보호법을 준수해야 합니다. 특히, 양 당사자는 다음을 제공하는 적절한 보안 조치를 취해야 합니다. 2부의 부록 2에 명시된 보안 조치와 유사한 수준의 보호. 이러한 개인 데이터에 대한 액세스는 이를 알아야 할 필요로 제한됩니다.

6.5 양 당사자는 목표가 달성된 후 가능한 한 빨리 그러한 개인 데이터를 삭제해야 합니다.

2 부

 

위원회의 결정

2010년 2월 5일

유럽 ​​의회 및 이사회의 95/46/EC 지침에 따라 제3자 국가에 설립된 데이터 프로세서로의 개인 데이터 전송에 대한 표준 계약 조항

 

 

 

제1항

정의

조항의 의미 내에서:

a) '개인 데이터', '데이터의 특수 범주', '처리/처리', '컨트롤러', '프로세서', '데이터 주체' 및 '감독 기관'은 95/46/EC에서와 동일한 의미를 갖습니다. 1995년 10월 24일 개인 데이터 처리 및 해당 데이터의 자유로운 이동에 관한 개인 보호에 관한 유럽 의회 및 이사회 지침(1);

b) '데이터 내보내기'는 개인 데이터를 전송하는 데이터 컨트롤러입니다.

c) '데이터 가져오기'는 해당 지침과 본 조항의 조건에 따라 전송 후 데이터 내보내기를 대신하여 처리되도록 의도된 개인 데이터를 데이터 내보내기로부터 받는 데 동의하지만 데이터 프로세서는 그렇지 않습니다. Directive 95/46/EC의 25(1)조 의미 내에서 적절한 보호를 보장하는 제3국의 메커니즘에 따릅니다. (d) '데이터 프로세서'는 데이터 가져오기 또는 데이터 가져오기의 다른 데이터 프로세서가 관여하는 데이터 프로세서를 의미하며 데이터 가져오기 또는 데이터 가져오기의 다른 데이터 프로세서로부터 처리 활동만을 위한 개인 데이터 수신에 동의합니다. 데이터 내보내기의 지시에 따라 전송 후 데이터 내보내기를 대신하여 수행됩니다.이 조항에 명시된 조건 및 데이터 처리 계약의 서면 하도급 조건에 따라

e) "적용 가능한 데이터 보호법"은 개인 데이터 처리에 관한 개인 정보 보호 권리를 포함하여 개인의 기본 권리와 자유를 보호하고 데이터 내보내기가 설립된 회원국의 컨트롤러에게 적용되는 법률을 의미합니다.

f) "보안과 관련된 기술적 및 조직적 조치" 특히 처리가 네트워크를 통한 데이터 전송과 관련된 경우, 그리고 기타 모든 불법적인 형태의 처리에 대해 우발적 또는 불법적 파괴 또는 우발적 손실, 변경, 무단 공개 또는 액세스로부터 개인 데이터를 보호하기 위한 조치를 의미합니다.

제2항

전송 세부 정보

해당되는 경우 특정 범주의 개인 데이터를 포함하여 전송에 대한 세부 정보는 이러한 조항의 필수적인 부분을 형성하는 부록 1에 명시되어 있습니다.

3항

제3자 수혜자 조항

1. 데이터 주체는 데이터 수출자에게 이 조항, 4(b)~(i), 5(a)~(e) 및 (g)~(j), 6(1) 및 (2)를 시행할 수 있습니다. ), 7항, 8(2)항 및 9~12항을 제3자 수익자로

2. 데이터 주체는 데이터 수출자가 물리적으로 가지고 있는 경우 데이터 수입자에 대해 이 조항 5(a)~(e) 및 (g), 6조, 7조, 8조(2) 및 9~12조를 시행할 수 있습니다. 그의 모든 법적 의무가 계약 또는 법률의 운영에 의해 데이터 내보내기의 권리와 의무가 반환되는 승계 기업으로 이전되지 않는 한, 법률에 따라 사라지거나 존재하지 않습니다. 따라서 주체는 상기 조항을 집행할 수 있습니다.

데이터 주체는 데이터 처리자에 대해 이 조항 5(a)~(e) 및 (g), 6조, 7조, 8조(2) 및 9~12조를 데이터 처리자에게 시행할 수 있습니다. 데이터 내보내기의 모든 법적 의무가 계약 또는 법률의 운영에 의해 권리 및 따라서 데이터 내보내기의 의무는 귀속되며, 따라서 데이터 주체는 해당 조항을 시행할 수 있습니다. 데이터 프로세서의 이러한 책임은 이 조항에 따른 자체 처리 활동으로 제한되어야 합니다.

4. 당사자는 자신이 원하고 국내법이 허용하는 경우 협회 또는 기타 기관이 데이터 주체를 대표하는 것을 반대하지 않습니다.

4항

데이터 내보내기의 의무

데이터 내보내기는 다음을 수락하고 보장합니다.

a) 개인 데이터의 실제 전송을 포함한 처리는 해당 데이터 보호법의 관련 조항에 따라 수행되어 왔고 앞으로도 계속될 것입니다(해당되는 경우 회원국의 권한 있는 당국에 통보되었습니다. 데이터 내보내기의 기반) 해당 국가의 관련 조항을 침해하지 않습니다.

b) 개인 데이터 처리 서비스 기간 동안 데이터 가져오기가 데이터 내보내기를 대신하여 해당 데이터 보호법 및 이 조항에 따라 전송된 개인 데이터를 처리하도록 지시했으며 지시할 것입니다.

c) 데이터 수입자는 현재 계약의 부록 2에 명시된 기술적 및 조직적 보안 조치와 관련하여 충분한 안전 장치를 제공합니다.

d) 해당 데이터 보호법의 요구 사항을 평가한 후 보안 조치가 특히 처리가 데이터 전송과 관련된 경우 우발적 또는 불법적 파괴 또는 우발적 손실, 변경, 무단 공개 또는 액세스로부터 개인 데이터를 보호하기에 적절합니다. 기술 수준 및 구현 비용을 고려하여 네트워크를 통해 그리고 기타 모든 불법적인 형태의 처리에 대해 처리하고 보호할 데이터의 특성과 처리에 의해 나타나는 위험에 적절한 보안 수준을 보장합니다.

e) 보안 조치의 준수를 보장합니다.

f) 전송이 데이터의 특정 범주와 관련된 경우, 데이터 주체는 전송 전 또는 전송 후 가능한 한 빨리 자신의 데이터가 제공되지 않는 제3국으로 전송될 수 있음을 통지받았거나 통지받을 것입니다. 지침 95/46/EC의 의미 내에서 적절한 수준의 보호

g) 데이터 수입자 또는 5(b) 및 8(3)항에 따라 데이터 처리자로부터 받은 모든 통지는 데이터 보호 감독 기관이 계속 이전하거나 일시 중지를 해제하기로 결정하는 경우 해당 기관에 전달합니다.

h) 데이터 주체가 요청하는 경우 부록 2를 제외한 본 조항의 사본, 보안 조치에 대한 요약 설명, 본 조항에 따라 체결된 추가 하청 계약의 사본을 제공해야 합니다. 조항 또는 계약에 상업 정보가 포함되어 있는 경우 해당 정보를 철회할 수 있습니다.

i) 데이터 처리 프로세스를 하도급하는 경우 처리 활동은 이 조항에 따라 데이터 수입자와 최소한 동일한 수준의 개인 데이터 보호 및 데이터 주체의 권리를 제공하는 데이터 프로세서에 의해 조항 11에 따라 수행됩니다. ; 그리고

j) 4(a)~(i)항의 준수를 보장합니다.

제5항

데이터 수입자의 의무

데이터 가져오기 도구는 다음을 수락하고 보장합니다.

a) 데이터 내보내기를 대신하여 데이터 내보내기의 지침과 이 조항에 따라 개인 데이터를 처리합니다. 어떤 이유로든 준수할 수 없는 경우 데이터 내보내기가 불가능한 경우 데이터 내보내기가 데이터 전송을 일시 중단 및/또는 계약을 종료할 수 있음을 데이터 내보내기에 알리는 데 동의합니다.

b) 자신에게 적용되는 법률이 데이터 내보내기가 제공한 지침과 계약에 따라 그에게 부과된 의무를 이행하는 것을 방해한다고 믿을 이유가 없으며 그러한 법률이 중대한 불리한 영향을 미칠 수 있는 변경의 대상이 되는 경우 조항에 따른 보증 및 의무에 영향을 미치는 경우, 그는 변경 사항을 인지한 후 지체 없이 데이터 수출자에게 통지해야 하며, 이 경우 데이터 수출자는 데이터 전송을 중단 및/또는 계약을 종료할 수 있습니다. (c) 전송된 개인 데이터를 처리하기 전에 부록 2에 명시된 기술적 및 조직적 보안 조치를 구현했습니다.

d) 그들은 지체 없이 데이터 수출자에게 통지할 것입니다:

i) 경찰 수사의 비밀 유지를 목적으로 하는 형사 금지와 같이 달리 명시되지 않는 한, 법 집행 기관의 개인 데이터 공개에 대한 구속력 있는 요청

ii) 우발적이거나 무단 액세스; 그리고

iii) 권한이 부여되지 않은 한 관련자로부터 응답 없이 직접 받은 요청 관리자

e) 전송되는 개인 데이터의 처리에 관한 데이터 내보내기의 모든 문의를 신속하고 적절하게 처리하고 전송된 데이터의 처리와 관련하여 감독 기관의 의견에 따라 행동합니다.

f) 데이터 내보내기의 요청에 따라 데이터 내보내기 또는 필수 전문 자격을 갖춘 독립적인 구성원으로 구성된 감독 기관이 수행하는 이러한 조항이 적용되는 처리 활동에 대한 감사를 데이터 처리 시설에 적용합니다. 적절한 경우 감독 기관의 동의 하에 데이터 내보내기가 선택하고 비밀을 지켜야 할 의무가 있습니다.

g) 데이터 주체가 요청하는 경우 해당 조항 또는 계약에 상업적 정보가 포함되어 있는 경우를 제외하고 본 조항 또는 기존 하도급 데이터 처리 계약의 사본을 제공할 수 있습니다. 데이터 주체가 데이터 내보내기 업체로부터 사본을 얻을 수 없는 경우 보안 조치에 대한 요약 설명으로 대체될 부록 2를 제외하고 정보

h) 기밀 데이터 처리에 대한 추가 하청 계약의 경우 그는 사전에 데이터 내보내기자에게 알리고 데이터 내보내기자의 서면 동의를 얻도록 해야 합니다.

i) 데이터 프로세서가 제공하는 처리 서비스는 11항을 준수해야 합니다.

j) 그들은 본 조항에 따라 체결한 데이터 처리 계약의 하도급 사본을 데이터 수출자에게 즉시 보낼 것입니다.

제6조

책임

1. 당사자는 한 당사자 또는 데이터 처리자가 3조 또는 11조에 언급된 의무 위반으로 인해 피해를 입은 데이터 주체가 데이터 내보내기로부터 입은 피해에 대해 보상을 받을 수 있다는 데 동의합니다.

2. 데이터 가져오기 또는 데이터 처리자가 데이터 내보내기로 인해 3항 또는 11항에 따른 의무를 준수하지 않아 데이터 주체가 데이터 내보내기에 대해 1항에 언급된 손해 배상 소송을 제기할 수 없는 경우 수출자가 물리적으로 사라졌거나 법적으로 존재하지 않거나 지급 불능 상태가 된 경우 데이터 수입자는 데이터 수출자의 모든 법적 의무가 계약에 의해 이전되지 않는 한 데이터 주체가 마치 데이터 수출자처럼 불만을 제기할 수 있다는 데 동의합니다. 또는 법률의 운영에 따라 데이터 주체가 자신의 권리를 집행할 수 있는 승계 기관에 전달합니다. 데이터 수입자는 자신의 책임을 피하기 위해 데이터 처리자의 의무 위반에 의존할 수 없습니다.

3. 데이터 주체가 데이터 내보내기 또는 데이터 가져오기 때문에 데이터 처리자가 3절 또는 11절에 따른 의무를 위반하여 데이터 내보내기 또는 데이터 가져오기에 대해 1절 및 2절에 언급된 조치를 취하는 것이 금지된 경우 물리적으로 사라졌거나, 법적으로 존재하지 않거나 지급 불능 상태가 된 경우, 데이터 프로세서는 데이터 주체가 이러한 조항에 따라 데이터 내보내기 또는 데이터 가져오기를 하는 것처럼 자신의 처리 활동에 대해 불만을 제기할 수 있다는 데 동의합니다. 데이터 내보내기 또는 데이터 가져오기의 법적 의무는 계약 또는 법률의 운영에 따라 데이터 주체가 자신의 권리를 주장할 수 있는 법적 승계인에게 이전되었습니다.데이터 프로세서의 책임은 이러한 조항에 따른 자체 처리 활동으로 제한되어야 합니다.

 

제7조

조정 및 관할

1. 데이터 가져오기자는 조항에 따라 데이터 주체가 자신에 대해 제3자 수혜자의 권리를 주장하고/하거나 피해를 입은 손해에 대한 보상을 청구하는 경우 데이터 주체의 결정을 수락한다는 데 동의합니다.

a) 독립된 사람 또는 적절한 경우 감독 기관의 중재에 분쟁을 제출합니다.

b) 데이터 내보내기의 기반이 되는 회원국의 법원에 분쟁을 제기합니다.

2. 당사자는 데이터 주체의 선택이 국내법 또는 국제법의 다른 조항에 따라 배상을 받을 수 있는 데이터 주체의 절차적 또는 실질적인 권리에 영향을 미치지 않는다는 데 동의합니다.

8항

감독당국과의 협력

1. 데이터 수출자는 감독 당국이 요구하거나 해당 데이터 보호법에 의해 그러한 예치금이 제공되는 경우 현재 계약의 사본을 감독 당국에 기탁하는 데 동의합니다.

2. 당사자는 감독 기관이 관련 데이터 보호법에 따라 데이터 내보내기에서 수행되는 검사와 동일한 범위 및 동일한 조건에서 데이터 가져오기 및 모든 데이터 프로세서에서 검사를 수행할 수 있다는 데 동의합니다.

3. 데이터 수입자는 2항에 따라 데이터 수입자 또는 데이터 프로세서에서 검증을 방해하는 데이터 수입자 또는 데이터 프로세서에 관한 법률의 존재를 데이터 수출자에게 가능한 한 빨리 알려야 합니다. 이러한 경우, 데이터 내보내기는 5(b)항에 제공된 조치를 취할 수 있습니다.

9조

준거법

이 조항은 데이터 내보내기가 기반을 둔 회원국의 법률이 적용되고 규율됩니다.

제10조

계약 수정

당사자는 본 조항을 수정하지 않을 것을 약속합니다. 당사자는 현재 조항과 모순되지 않는 한, 필요하다고 생각하는 다른 상업적 조항을 자유롭게 포함할 수 있습니다.

제11조

후속 하도급

1. 데이터 가져오기는 데이터 내보내기의 사전 서면 동의 없이 이 조항에 따라 데이터 내보내기를 대신하여 수행되는 처리 활동을 하도급하지 않습니다. 데이터 수입자는 본 조항에 따라 데이터 수입자에게 부과되는 의무와 동일한 의무를 데이터 프로세서에 부과하는 데이터 프로세서와의 서면 계약을 통해서만 데이터 내보내기자의 동의 하에 본 조항에 따른 의무를 하도급합니다. 데이터 처리자가 해당 서면 계약에 따른 데이터 보호 의무를 준수할 수 없는 경우 데이터 수입자는 해당 의무의 이행에 대해 데이터 수출자에 대해 전적인 책임을 져야 합니다.

2. 데이터 수입자와 데이터 처리자 간의 사전 서면 계약에는 데이터 주체가 6절(1)에 언급된 손해 배상 청구를 제기할 수 없는 경우에 대해 3절에 규정된 제3자 수익자 조항도 포함되어야 합니다. ), 데이터 내보내기 또는 데이터 가져오기가 물리적으로 사라졌거나, 법적으로 존재하지 않거나 지급 불능 상태가 되었으며 데이터 내보내기 또는 데이터 가져오기의 모든 법적 의무가 계약 또는 운영에 의해 이전되지 않았기 때문에 데이터 내보내기 또는 데이터 가져오기 다른 승계 법인에게 법적으로. 데이터 프로세서의 책임은 이러한 조항에 따라 자체 처리 활동으로 제한되어야 합니다.

3. 1항에 언급된 계약의 데이터 처리 하청 계약의 데이터 보호 측면과 관련된 조항은 데이터 내보내기가 설립된 회원국의 법률에 따라 규율됩니다.

4. 데이터 내보내기는 이 조항에 따라 체결되고 조항 5(j)에 따라 데이터 가져오기가 통지한 데이터 처리 계약의 하도급 목록을 유지해야 하며, 이 목록은 최소 1년에 한 번 업데이트되어야 합니다. 이 목록은 데이터 내보내기의 데이터 보호 감독 기관에서 사용할 수 있어야 합니다.

제12조

개인정보 처리 서비스 종료 후의 의무

1. 당사자들은 데이터 처리 서비스가 완료되면 데이터 가져오기 및 데이터 처리자가 데이터 내보내기의 편의에 따라 전송된 모든 개인 데이터와 그 사본을 데이터 내보내기에게 반환하거나 그러한 모든 데이터를 파기하고 증거를 제공한다는 데 동의합니다. 데이터 가져오기 업체에 부과된 법률이 전송된 개인 데이터의 전체 또는 일부를 반환하거나 파기하는 것을 금지하지 않는 한 데이터 내보내기 업체에 대한 파기. 이 경우 데이터 가져오기는 전송된 개인 데이터의 기밀성을 보장하고 더 이상 데이터를 적극적으로 처리하지 않을 것임을 보장합니다.

2. 데이터 수입자와 데이터 프로세서는 데이터 수출자 및/또는 감독 기관이 요청하는 경우 데이터 처리 수단이 1항에 언급된 조치의 검증을 받도록 해야 합니다.

 

 

 

 

부록 1.1 - 파트 2

전송 세부 정보

 

 

데이터 내보내기

데이터 내보내기는 계약 계약에 정의된 고객입니다.

 

데이터 가져오기

데이터 가져오기 도구는 POSTCODEZIP이며 데이터 내보내기에 서비스를 제공하여 데이터를 처리하도록 지정됩니다.

 

데이터의 주제

전송된 개인 데이터는 다음 범주의 데이터 주체와 관련됩니다.

ㅏ?? 유니버설 디렉토리에 등록된 전화 가입자

' 다음을 포함한 기타:

 

데이터 카테고리

전송된 개인 데이터는 다음 범주의 데이터와 관련됩니다.

 

특히 데이터 내보내기의 데이터 주체의 개인 데이터 범주,

ㅏ?? 성명

~' 우편 주소

ㅏ?? 연락처(이메일, 전화번호, IP 주소 등)

ㅏ?? 전화 가입자에 대한 마케팅 활동의 세부 사항

' 기타 주택의 종류, 소득, 시별 평균 연령 등은 익명으로 처리

 

데이터의 특수 범주(해당되는 경우)

전송된 개인 데이터는 다음과 같은 특수 범주의 데이터와 관련됩니다.

' ' 특별한 범주의 데이터 이전이 예상되지 않습니다.

ㅏ?? 인종 또는 민족

ㅏ?? 종교적 또는 철학적 신념

ㅏ?? 노동조합 가입

ㅏ?? 정치적 견해

ㅏ?? 유전 정보

ㅏ?? 생체 정보

ㅏ?? 성적 지향 또는 성생활에 관한 정보

ㅏ?? 건강 데이터

 

처리 활동

전송된 개인 데이터는 다음과 같은 기본 처리 활동의 대상이 됩니다.

 

  •  
    • •  처리 목적

데이터 내보내기를 대신하여 수행되는 처리는 특히 다음 주제를 기반으로 합니다.

â ~' 데이터 내보내기가 제공하는 제품 또는 서비스를 담당합니다.

'~' 수신자 가 요청할 수 있는 제품 또는 서비스의 제공

' ~' 호출된 사람의 주문 및 이러한 주문의 추가 처리

â ~' 연구 설문 및 분석

~' 텔레마케팅

ㅏ?? 다음을 포함한 기타:

 

  •  
    • •  처리의 성격 및 목적

데이터 가져오기 프로그램은 다음 서비스를 제공하기 위해 데이터 내보내기를 대신하여 데이터 주체의 개인 데이터를 처리하며 특히 다음과 같은 서비스를 제공합니다.

  • â ~' 자동 양식 완성
  • ' 주소 확인 양식

' 영업 및 마케팅

' 기타, 시청 및 정당 데이터베이스 업데이트 등

 

  •  
    • •  서비스 제공 및 서비스 제공자 고용

 

POSTCODEZIP은 주로 Data Exporter에 서비스를 결합, 중앙 집중화 및 제공합니다. 지정된 서비스 제공자가 제공하는 서비스는 다음과 같은 보조 서비스를 중심으로 구성될 수 있습니다. (i) 이러한 응용 프로그램, 도구 및 시스템을 통해 위에서 설명한 데이터 주체의 개인 데이터 처리를 포함하여 서비스를 지원합니다. (ii) 해당 응용 프로그램, 도구, 시스템과 관련된 IT 지원, 유지 관리 및 기타 서비스의 제공 해당 애플리케이션, 도구 및 시스템에 저장된 개인 데이터에 대한 잠재적인 액세스를 포함한 IT 인프라, 그리고 (iii) 데이터 보호 서비스, 보호 모니터링 및 사고 대응 서비스 제공,그러한 보호 서비스를 제공할 때 개인 데이터에 대한 잠재적인 액세스를 포함합니다. POSTCODEZIP은 보조 서비스를 포함한 서비스를 제공하기 위해 아래와 같이 데이터 프로세서를 고용할 수 있습니다.

 

  •  
    • • 데이터 처리에 할당된 하위 엔터티로서의 외부 제3자 서비스 제공자

 

POSTCODEZIP은 데이터 내보내기에 대한 서비스 제공을 지원하기 위해 POSTCODEZIP의 자회사가 아닌 외부 및 제3자 서비스 제공자를 고용합니다. 데이터 내보내기는 이러한 외부 제3자 서비스 제공자를 데이터 처리에 할당된 하위 엔티티로 승인합니다.

 

데이터 처리와 관련된 하위 조직이 유럽연합 집행위원회의 결정에 따라 적절한 수준의 데이터 보호가 없는 것으로 간주되는 국가에 있는 EU/EEA 외부에 있는 경우 데이터 수입자는 적절한 수준의 데이터 보호를 얻기 위한 조치를 취합니다. GDPR 및 1부의 섹션 3.4(iv)에 따른 데이터 보호.

 

 

부록 2, 파트 2

기술적 및 조직적 보호 조치

 

데이터 수입자는 위험에 따라 개인의 권리와 자유에 대한 적절한 수준의 보안을 보장하기 위해 데이터 수출자가 확인한 다음과 같은 기술적 및 조직적 보호 조치를 취해야 합니다. 관련 보호 수준을 평가할 때 데이터 내보내기는 특히 우발적이거나 불법적인 파괴, 변경, 무단 공개 또는 전송, 저장 또는 처리된 개인 데이터에 대한 액세스를 포함하여 처리와 관련된 위험을 고려했습니다. 설명: 이러한 기술적 및 조직적 보호 조치는 데이터 내보내기가 제공하는 애플리케이션, 도구, 시스템 및/또는 IT 인프라에 적용되지 않습니다.

1 일반적인 기술적 및 조직적 보호 조치

1.1 일반 정보 및 데이터 보호 전략

일반 데이터 및 정보 보호 전략을 따르려면 다음 단계를 수행해야 합니다.

  • a) 기술적 및 조직적 보호와 관련하여 취해진 조치를 평가하기 위한 조치를 취합니다.
  • b) 직원들 사이에 인식을 제고하기 위한 교육을 제공합니다.
  • c) 관련 시스템에 대한 설명을 갖고 직원에게 액세스 권한을 부여합니다.
  • d) 시스템이 구현되거나 수정될 때마다 공식 문서화 프로세스를 수립합니다.
  • e) 조직 구조, 프로세스, 책임 및 각각의 평가를 문서화합니다.

1.2 정보보호 조직

데이터 및 정보 보호 활동을 조정하기 위해 다음 조치를 취해야 합니다.

  • a) 정보 및 데이터 보호에 대한 정의된 책임(예: 데이터 보호 관리 정책을 통해)
  • b) 사용 가능한 정보 및 데이터 보호에 필요한 전문 지식
  • c) 모든 직원은 개인 데이터를 기밀로 유지하기 위해 최선을 다하고 이 약속을 위반할 경우 발생할 수 있는 결과에 대해 알고 있습니다.

1.3 처리 구역에 대한 접근 통제

개인 데이터가 처리, 저장 또는 전송될 때 권한이 없는 사람이 데이터 처리 시스템(특히 소프트웨어 및 하드웨어)에 액세스하지 못하도록 다음 조치를 취해야 합니다.

  • a) 보안 구역을 설정합니다.
  • b) 데이터 처리 시스템에 대한 액세스를 보호하고 제한합니다.
  • c) 해당 문서를 포함하여 직원 및 제3자에 대한 액세스 권한을 설정합니다.
  • d) 개인 데이터가 저장된 데이터 처리 센터에 대한 모든 액세스는 기록되어야 합니다.

1.4 데이터 처리 시스템에 대한 액세스 제어

데이터 처리 시스템에 대한 무단 액세스를 방지하기 위해 다음 조치를 취해야 합니다.

  • a) 사용자 인증 정책 및 절차
  • b) 모든 컴퓨터 시스템에서 암호 사용
  • c) 네트워크에 대한 원격 액세스는 다중 요소 인증을 필요로 하며 권한에 따라 책임에 따라 관련자에게 부여됩니다.
  • d) 특정 기능에 대한 액세스는 사용자 계정에 개별적으로 할당된 직무 및/또는 속성을 기반으로 합니다.
  • e) 개인 데이터와 관련된 접근 권한은 정기적으로 검토됩니다.
  • f) 접근 권한에 대한 변경 기록은 최신 상태로 유지됩니다.

1.5 데이터 처리 시스템의 특정 사용 영역에 대한 액세스 제어

데이터 처리 시스템을 사용할 권한이 있는 승인된 사람이 각자의 책임 및 액세스 권한 내에서만 데이터에 액세스할 수 있고 승인 없이 개인 데이터를 읽거나 복사, 수정 또는 삭제할 수 없도록 하기 위해 다음 조치를 취해야 합니다.

  1. 1. 
    1. a) 기밀 유지, 개인 데이터에 대한 액세스 권한 및 개인 데이터 처리 범위에 대한 각 직원의 의무에 관한 직원의 정책, 지침 및 교육
  • b) 승인 없이 개인 데이터에 접근하는 사람에 대한 징계 조치
  • c) 개인 데이터에 대한 액세스는 알아야 할 필요가 있는 경우 승인된 사람에게만 부여됩니다.
  • d) 시스템 관리자 목록을 유지하고 시스템 관리자를 모니터링하기 위한 적절한 조치를 취합니다.
  • e) 권한이 없는 사람이 작성자의 정보를 제거할 수 있도록 저장 시스템의 개인 데이터를 복사하거나 복제하지 않습니다.
  • f) 데이터의 통제되고 문서화된 삭제 또는 파기
  • g) 법적 또는 규제적 이유(예: 데이터 보존 의무)를 위해 보존해야 하는 모든 개인 데이터를 법에서 요구하는 기간 동안만 안전하게 저장합니다.

1.6 변속기 제어

데이터 저장 장치를 전송 또는 전송하는 동안 승인되지 않은 제3자가 개인 데이터를 읽거나, 복사, 수정 또는 삭제하는 것을 방지하기 위해 다음과 같은 조치를 취해야 합니다(수행한 개인 데이터 처리에 따라 다름).

  1. 1. 
    1. a) 방화벽 사용
  • b) 전송 목적으로 모바일 저장 장치에 개인 데이터를 저장하는 것을 피하거나 장치를 암호화합니다.
  • c) 암호화 보호가 활성화된 후에만 랩톱 및 기타 모바일 장치에서 사용
  • d) 개인 데이터 전송 기록.

1.7 데이터 입력 제어

개인 데이터가 데이터 처리 시스템에 입력 또는 삭제되었는지 여부와 누구에 의해 확인 및 결정될 수 있는지 확인하기 위해 다음 조치를 취해야 합니다.

  1. 1. 
    1. a) 저장된 데이터의 읽기, 변경 및 삭제를 승인하는 정책
  • b) 저장된 데이터의 읽기, 변경 및 삭제에 관한 보호 조치.

1.8 작업 제어

개인 데이터의 위임 처리의 경우 감독자의 지시에 따라 해당 데이터가 처리되도록 다음 조치를 취해야 합니다.

  1. 1. 
    1. a) 신중하게 선택한 데이터 처리에 할당된 엔터티 또는 하위 엔터티(컨트롤러를 대신하여 개인 데이터를 처리하는 서비스 제공업체)
  • b) 데이터 처리에 할당된 직원, 단체 또는 하위 단체에 대한 개인 데이터 처리 범위에 관한 지침
  • c) 데이터 처리에 할당된 엔터티 또는 하위 엔터티와 동의한 감사 권한
  • d) 데이터 처리를 위해 할당된 기관 또는 하위 기관과의 계약.

1.9 다른 목적을 위한 처리로부터의 분리

다른 목적으로 수집된 데이터를 별도로 처리할 수 있도록 다음 조치를 취해야 합니다.

  1. 1. 
    1. ) 사용자의 기존 권리에 따라 개인 데이터에 대한 별도의 액세스
  • b) 인터페이스, 일괄 처리 및 보고는 다른 목적과 기능을 위한 것이므로 다른 목적으로 수집된 데이터는 별도로 처리될 수 있습니다.

1.10 가명화

개인 데이터의 가명화와 ​​관련하여 다음 조치를 취해야 합니다.

  1. 1. 
    1. 데이터 내보내기가 특정 처리 작업을 주문하거나 특정 처리 활동과 관련하여 시행 중인 데이터 보호법에 따라 데이터 가져오기가 적절하다고 간주하는 경우 개인 데이터 처리는 다음과 같은 방식으로 수행됩니다. 데이터는 더 이상 추가 정보를 사용하지 않고 특정 사람에게 귀속될 수 없습니다. 이 추가 정보는 별도로 보관됩니다.
  • b) 할당 목록 무작위화를 포함한 가명화 기술의 사용 날카로운 형태의 가치 창출.

1.11 암호화

암호화를 지원하는 애플리케이션 및 전송에서 개인 데이터를 암호화하려면 다음 단계를 수행해야 합니다.

  1.  
    1. a) 암호화 기술의 사용
  • b) 사용하도록 승인된 암호화 기술을 지원하기 위한 암호화 관리 설정
  • c) 무단 수정 및 공개로부터 보호하기 위해 암호화 키를 생성, 수정, 취소, 파기, 배포, 인증, 저장, 캡처, 사용 및 보관하기 위한 절차 및 프로토콜을 통해 암호화 사용을 지원합니다.

1.12 데이터 처리 시스템 및 서비스의 완전성

데이터 처리 시스템 및 서비스의 완전성을 보장하기 위해 다음 조치를 취해야 합니다.

  1. 1. a) 적절한 수단에 의한 조작 또는 파괴로부터 데이터 처리 시스템 보호(예: 안티바이러스 소프트웨어, 데이터 손실 방지 소프트웨어 및 맬웨어로부터 소프트웨어, 소프트웨어 패치, 방화벽, 관리되는 데스크탑 보호)
  • b) 데이터 처리 시스템, 서비스 또는 개인 데이터 조작에 유해한 서비스 또는 소프트웨어의 설치를 금지합니다.
  • c) 네트워크 자체의 구조에서 네트워크 침입 탐지 및 방지 시스템의 사용.

1.13 데이터 처리 시스템 및 서비스의 가용성, 중대한 또는 기술적인 사고 발생 시 개인 데이터에 대한 액세스 및 사용 복원 가능성

데이터 처리 시스템의 가용성을 보장하고 중요한 또는 기술적 사고가 발생한 경우 개인 데이터의 가용성 및 액세스를 신속하게 복원할 수 있도록(특히 개인 데이터는 우발적인 파괴 또는 손실로부터 보호됩니다):

  • a) 백업 복사본을 유지하고 손실되거나 삭제된 데이터를 복원하기 위한 제어 수단이 있어야 합니다.
  • b) 기반 시설의 이중화 및 성능 테스트
  • c) 컴퓨터 자원의 물리적 보호
  • d) 내부 네트워크의 상태와 가용성을 모니터링하기 위한 도구 사용
  • e) 사고 관리 절차를 관장하는 사고 보고 및 대응 정책, 그리고 정기 교육의 일환으로 이러한 정책 준수를 반복합니다.
  • f) 시스템이 기능을 다시 수행할 수 있도록 시스템을 복원하기 위한 백업(때로는 오프사이트)
  • g) 비즈니스 연속성/재해 복구 계획

1.14 데이터 처리 시스템 및 서비스의 복원력

데이터 처리 시스템 및 서비스의 복원력을 보장하려면 다음 조치를 취해야 합니다.

  • a) 승인된 보안 매개변수를 사용하여 시스템 및 조화롭게 구성
  • b) 네트워크 이중화
  • c) 중요 시스템의 격리 보호.

1.15 데이터 처리의 보안을 보장하기 위한 기술적 및 조직적 조치의 효과를 정기적으로 테스트, 평가 및 평가하기 위한 절차

데이터 처리를 보호하기 위한 기술적 및 조직적 조치의 효과를 정기적으로 테스트, 평가 및 평가하는 절차입니다.

  • a) 위험 및 완화 전략을 평가하기 위해 필요한 조치를 취합니다.
  • b) 현재 문제를 해결하기 위한 IT 부서의 서비스 분석 회의
  • c) 비즈니스 연속성/재해 복구 계획이 정기적으로 업데이트됩니다.

 

3부

당사자 서명 및 데이터 가져오기 목록

 

온라인 주문 양식을 작성하고 일반 이용 약관에 동의하는 확인란을 선택하여 확인하면 고객과 POSTCODEZIP 간의 관계에 적용되는 계약이 성립됩니다.

POSTCODEZIP으로 지불금을 보내면 계약에 동의하고 성립된 것으로 간주됩니다.

참고: 이 텍스트는 프랑스어에서 번역되었습니다. 유효하고 법적으로 제한적인 원본 프랑스어 버전은  여기에서 볼 수 있습니다 .