면책 조항: 이 문서는 https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj?uri=CELEX%3A32021D0914&locale=en#ntc12-L_2021199EN.01003701-E0012 에서 제공되는 텍스트를 기반으로 작성되었으며 편의상 제공됩니다.
권위 있는 텍스트나 법적 지침으로 간주되어서는 안 됩니다.


표준 계약 조항

프로세서 대 프로세서

섹션 I

조항 1

목적 및 범위

    1. 이러한 표준 계약 조항의 목적은 개인 데이터 처리와 관련하여 자연인의 보호 및 그러한 데이터의 자유로운 이동에 관한 유럽의회 및 2016년 4월 27일 유럽이사회의 규정 (EU) 2016/679([1])의 요건을 준수하여 제3국으로의 개인 데이터 전송에 대한 일반 데이터 보호 규정([2])을 보장하기 위함입니다.
    2. 당사자:
      1. 부록 I.A에 나열된 대로 개인 데이터를 전송하는 자연인 또는 법인, 공공 기관, 대행사 또는 기타 기관(이하 ‘법인’)(이하 각각 ‘데이터 수출자’).
      2. 본 조항의 당사자인 다른 법인을 통해 직접 또는 간접적으로 데이터 수출자로부터 개인정보를 수령하는 제3국의 법인(이하 각 ‘데이터 수입자’)은 부속서 I.A에 나열된 대로 본 표준 계약 조항(이하 ‘조항’)에 동의했습니다.
    3. 본 조항은 부록 I.B에 명시된 대로 개인 데이터 전송과 관련하여 적용됩니다.
    4. 본 약관에 언급된 부속서를 포함하는 본 약관의 부록은 본 약관의 필수적인 부분을 구성합니다.

조항 2조항의 효력 및 불변성

  1. 본 조항은 규정 (EU) 2016/679 제46조 1항 및 제46조 2(c)에 따라 집행 가능한 정보주체 권리 및 효과적인 법적 구제수단을 포함한 적절한 보호조치를 규정하며, 컨트롤러에서 처리자로의 데이터 전송 또는 처리자에서 처리자로의 데이터 전송과 관련하여, 적절한 모듈 선택 또는 부록의 정보 추가 또는 업데이트를 제외하고 수정하지 않는 경우 규정 (EU) 2016/679 제28조 7항에 따른 표준 계약조항을 명시하고 있습니다.
    이는 당사자가 본 조항에 명시된 표준 계약 조항을 더 광범위한 계약에 포함하거나 다른 조항 또는 추가 보호조치를 추가하는 것을 방해하지 않으며, 이러한 조항이 직간접적으로 본 조항과 모순되거나 데이터 주체의 기본적 권리 또는 자유를 침해하지 않는다면 예외로 합니다.
  2. 본 조항은 규정 (EU) 2016/679에 따라 데이터 수출업체가 준수해야 하는 의무를 침해하지 않습니다.

조항 3제3자 수혜자

  1. 데이터 주체는 제3자 수익자로서 데이터 수출자 및/또는 데이터 수입자에 대해 본 조항을 발동하고 집행할 수 있지만, 다음과 같은 예외가 있습니다:

    (i) 1항, 2항, 3항, 6항, 7항;

    (ii) 8.1(a) 조항,
    (c) 및
    (d) 및 8.9(a) 조항,
    (c),
    (d),
    (e),
    (f) 및
    (g);

    (iii) 9(a)항,
    (c),
    (d) 및
    (e);

    (iv) 12(a), (d) 및 (f) 조항;

    (v) 13항;

    (vi) 15.1(c), (d) 및 (e) 조항;

    (vii) 16(e)항;

    (viii) 18(a) 및 (b) 조항.

  • (a)항은 규정 (EU) 2016/679에 따른 데이터 주체의 권리를 침해하지 않습니다.
  • 조항 4해석

    1. 본 조항에서 규정 (EU) 2016/679에 정의된 용어를 사용하는 경우 해당 용어는 해당 규정에서와 동일한 의미를 갖습니다.
    2. 본 조항은 규정 (EU) 2016/679의 조항에 비추어 읽고 해석해야 합니다.
    3. 본 조항은 규정 (EU) 2016/679에 규정된 권리 및 의무와 상충되는 방식으로 해석되어서는 안 됩니다.

    제5조계층 구조 본 조항과 본 조항이 합의되거나 그 이후에 체결된 당사자 간의 관련 계약 조항이 모순되는 경우, 본 조항이 우선합니다. 조항 6전송에 대한 설명 전송에 대한 세부 사항, 특히 전송되는 개인 데이터의 범주 및 전송 목적은 부록 I.B에 명시되어 있습니다. 조항 7 – 선택 사항도킹 조항

    1. 본 조항의 당사자가 아닌 법인은 당사자의 동의 하에 언제든지 데이터 수출자 또는 데이터 수입자로서 부록을 작성하고 부속서 I.A에 서명함으로써 본 조항에 가입할 수 있습니다.
    2. 부록을 작성하고 부록 I.A에 서명하면, 가입 법인은 본 조항의 당사자가 되며 부록 I.A의 지정에 따라 데이터 수출자 또는 데이터 수입자의 권리와 의무를 갖습니다.
    3. 가입 법인은 당사자가 되기 이전 기간부터 본 조항에 따라 발생하는 어떠한 권리나 의무도 갖지 않습니다.

    섹션 II – 당사자의 의무조항 8데이터 보호 안전장치 데이터 수출자는 데이터 수입자가 적절한 기술적 및 조직적 조치를 이행함으로써 본 조항에 따른 의무를 이행할 수 있는지 판단하기 위해 합리적인 노력을 기울였음을 보증합니다. 8.1 지침

    1. 데이터 수출자는 데이터 수입자에게 자신이 컨트롤러의 지시에 따라 처리자 역할을 수행한다는 사실을 알렸으며, 데이터 수출자는 처리 전에 데이터 수입자에게 이를 제공해야 합니다.
    2. 데이터 수입자는 데이터 수출자가 데이터 수입자에게 전달한 컨트롤러의 문서화된 지침과 데이터 수출자의 추가 문서화된 지침에 따라서만 개인 데이터를 처리해야 합니다.
      이러한 추가 지침은 컨트롤러의 지침과 상충되지 않아야 합니다.
      컨트롤러 또는 데이터 수출업체는 계약 기간 동안 데이터 처리에 관한 추가 문서화 지침을 제공할 수 있습니다.
    3. 데이터 수입자는 이러한 지침을 따를 수 없는 경우 즉시 데이터 수출자에게 알려야 합니다.
      데이터 수입자가 컨트롤러의 지침을 따를 수 없는 경우, 데이터 수출자는 즉시 컨트롤러에 이를 알려야 합니다.
    4. 데이터 수출자는 컨트롤러와 데이터 수출자 간의 유럽연합 또는 회원국 법률에 따른 계약 또는 기타 법률에 명시된 것과 동일한 데이터 보호 의무를 데이터 수입자에게 부과했음을 보증합니다([2]).

    8.2 목적 제한 데이터 수입자는 데이터 수출자 또는 데이터 수출자가 데이터 수입자에게 전달한 컨트롤러의 추가 지침이 없는 한 부록 I.B.에 명시된 전송의 특정 목적을 위해서만 개인 데이터를 처리해야 합니다. 8.3 투명성 요청 시 데이터 수출자는 양 당사자가 작성한 부록을 포함하여 본 조항의 사본을 데이터 주체에게 무료로 제공해야 합니다.
    개인정보를 포함한 영업 비밀 또는 기타 기밀 정보를 보호하기 위해 필요한 범위 내에서, 데이터 수출자는 사본을 공유하기 전에 부록 텍스트의 일부를 편집할 수 있지만, 데이터 주체가 그 내용을 이해하거나 권리를 행사할 수 없는 경우 의미 있는 요약을 제공해야 합니다.
    요청이 있는 경우, 양 당사자는 정보주체에게 가능한 한 편집된 정보를 공개하지 않고 편집된 이유를 제공해야 합니다. 8.4 정확성 데이터 수입자가 수신한 개인 데이터가 부정확하거나 오래되었다는 사실을 알게 된 경우, 데이터 수출자에게 지체 없이 이를 알려야 합니다.
    이 경우 데이터 수입자는 데이터 수출자와 협력하여 데이터를 수정하거나 삭제해야 합니다.
    8.5 처리 기간 및 데이터의 삭제 또는 반환 데이터 수입자에 의한 처리는 부록 I.B에 명시된 기간 동안만 이루어지며, 처리 서비스 제공이 종료된 후 데이터 수입자는 데이터 수출자의 선택에 따라 컨트롤러를 대신하여 처리한 모든 개인 데이터를 삭제하고 이를 데이터 수출자에게 인증하거나 컨트롤러를 대신하여 처리한 모든 개인 데이터를 데이터 수출자에게 반환하고 기존 사본을 삭제해야 합니다.
    데이터가 삭제되거나 반환될 때까지 데이터 수입자는 본 조항을 계속 준수해야 합니다.
    데이터 수입자에게 적용되는 현지 법률이 개인 데이터의 반환 또는 삭제를 금지하는 경우, 데이터 수입자는 본 조항을 계속 준수하고 해당 현지 법률에서 요구하는 범위와 기간 동안만 데이터를 처리할 것임을 보증합니다.
    이는 제14조, 특히 제14조(e)항에 따른 데이터 수입자가 제14조(a)항의 요건에 부합하지 않는 법률 또는 관행의 적용을 받고 있거나 받게 되었다고 믿을 만한 이유가 있는 경우 계약 기간 내내 데이터 수출자에게 통지해야 한다는 요건을 침해하지 않습니다. 8.6 처리 보안

    1. 데이터 수입자 및 전송 중 데이터 수출자는 해당 데이터의 우발적 또는 불법적인 파괴, 손실, 변경, 무단 공개 또는 접근(이하 ‘개인 데이터 침해’)으로 이어지는 보안 위반에 대한 보호를 포함하여 데이터의 보안을 보장하기 위한 적절한 기술적 및 조직적 조치를 구현해야 합니다.
      양 당사자는 적절한 보안 수준을 평가할 때 기술 수준, 구현 비용, 처리의 성격, 범위, 맥락 및 목적, 데이터 주체에 대한 처리와 관련된 위험을 적절히 고려해야 합니다.
      양 당사자는 특히 전송 중을 포함하여 이러한 방식으로 처리 목적을 달성할 수 있는 경우 암호화 또는 가명처리에 의존하는 것을 고려해야 합니다.
      가명 처리의 경우, 개인 데이터를 특정 데이터 주체에게 귀속시키기 위한 추가 정보는 가능한 경우 데이터 수출자 또는 컨트롤러의 독점적 통제하에 두어야 합니다.
      본 항에 따른 의무를 준수하기 위해 데이터 수입자는 최소한 부록 II에 명시된 기술적 및 조직적 조치를 이행해야 합니다.
      데이터 수입자는 이러한 조치가 적절한 수준의 보안을 지속적으로 제공하는지 정기적으로 점검해야 합니다.
    2. 데이터 수입자는 계약의 이행, 관리 및 모니터링을 위해 엄격하게 필요한 범위 내에서만 소속 직원에게 데이터에 대한 액세스 권한을 부여해야 합니다.
      개인 데이터를 처리할 권한이 있는 사람이 기밀을 유지하기로 약속했거나 적절한 법적 기밀 유지 의무를 준수하도록 보장해야 합니다.
    3. 본 조항에 따라 데이터 수입자가 처리하는 개인 데이터와 관련하여 개인 데이터 침해가 발생하는 경우, 데이터 수입자는 그 부정적 영향을 완화하기 위한 조치를 포함하여 침해 문제를 해결하기 위한 적절한 조치를 취해야 합니다.
      또한 데이터 수입자는 위반 사실을 알게 된 후 지체 없이 데이터 수출자 및 적절하고 가능한 경우 컨트롤러에 통지해야 합니다.
      이러한 통지에는 자세한 정보를 얻을 수 있는 연락처, 침해의 성격에 대한 설명(가능한 경우 해당 데이터 주체 및 개인 데이터 기록의 범주와 대략적인 수 포함), 예상되는 결과, 데이터 침해로 인한 부정적 영향을 완화하기 위한 조치를 포함하여 데이터 침해를 해결하기 위해 취하거나 제안한 조치에 대한 세부 정보가 포함되어야 합니다.
      모든 정보를 동시에 제공할 수 없는 경우, 최초 통지에는 당시 이용 가능한 정보가 포함되어야 하며 추가 정보가 입수되는 대로 부당한 지체 없이 제공되어야 합니다.
    4. 데이터 수입자는 데이터 수출자가 규정 (EU) 2016/679에 따른 의무를 준수할 수 있도록 데이터 수출자와 협력하고 지원해야 하며, 특히 처리의 성격과 데이터 수입자가 이용할 수 있는 정보를 고려하여 컨트롤러가 관할 감독 기관 및 영향을 받는 데이터 주체에게 통지할 수 있도록 컨트롤러에 통지해야 합니다.

    8.7 민감한 데이터 전송에 인종 또는 민족, 정치적 견해, 종교적 또는 철학적 신념, 노동조합 가입 여부, 유전자 데이터 또는 자연인을 고유하게 식별하기 위한 생체 데이터, 건강 또는 개인의 성생활 또는 성적 취향에 관한 데이터, 범죄 유죄 판결 및 범죄와 관련된 데이터(이하 ‘민감한 데이터’)가 포함된 경우 데이터 수입자는 부속서 I.B에 명시된 특정 제한 및/또는 추가 안전 조치를 적용해야 합니다.
    8.8 이후 전송 데이터 수입자는 데이터 수출자가 데이터 수입자에게 전달한 컨트롤러의 문서화된 지침에 따라 제3자에게만 개인 데이터를 공개해야 합니다.
    또한 제3자가 해당 모듈에 따라 본 조항의 적용을 받거나 이에 동의하는 경우에만 유럽연합([3]) 외부에 위치한 제3자(데이터 수입자와 동일한 국가 또는 다른 제3국, 이하 ‘향후 이전’이라 함)에게 데이터를 공개할 수 있으며, 제3자가 본 조항의 적용을 받거나 이에 동의하는 경우에만 데이터를 공개할 수 있습니다:

    1. 추후 이전이 적용되는 규정(EU) 2016/679 제45조에 따른 적정성 결정의 혜택을 받는 국가로 이전하는 경우;
    2. 제3자가 규정(EU) 2016/679의 46조 또는 47조에 따라 적절한 안전장치를 보장하는 경우;
    3. 특정 행정, 규제 또는 사법 절차의 맥락에서 법적 청구권의 설정, 행사 또는 방어를 위해 향후 전송이 필요한 경우 또는
    4. 데이터 주체 또는 다른 자연인의 중대한 이익을 보호하기 위해 추후 전송이 필요한 경우.

    향후 모든 전송은 데이터 수입자가 본 조항에 따른 다른 모든 안전장치, 특히 목적 제한을 준수해야 합니다. 8.9 문서화 및 규정 준수

    1. 데이터 수입자는 본 조항에 따른 처리와 관련된 데이터 수출자 또는 컨트롤러의 문의를 신속하고 적절하게 처리해야 합니다.
    2. 당사자는 본 조항의 준수를 입증할 수 있어야 합니다.
      특히 데이터 수입자는 컨트롤러를 대신하여 수행한 처리 활동에 대한 적절한 문서를 보관해야 합니다.
    3. 데이터 수입자는 본 조항에 명시된 의무를 준수함을 입증하는 데 필요한 모든 정보를 데이터 수출자에게 제공해야 하며, 데이터 수출자는 이를 컨트롤러에 제공해야 합니다.
    4. 데이터 수입자는 본 조항이 적용되는 처리 활동에 대한 데이터 수출자의 감사를 합리적인 간격으로 또는 규정 미준수의 징후가 있는 경우 허용하고 이에 기여해야 합니다.
      데이터 수출자가 컨트롤러의 지시에 따라 감사를 요청하는 경우에도 마찬가지입니다.
      감사를 결정할 때 데이터 수출업체는 데이터 수입업체가 보유한 관련 인증을 고려할 수 있습니다.
    5. 컨트롤러의 지시에 따라 감사가 수행되는 경우, 데이터 수출업체는 그 결과를 컨트롤러에게 제공해야 합니다.
    6. 데이터 수출업체는 자체적으로 감사를 수행하거나 독립 감사인에게 감사를 의뢰할 수 있습니다.
      감사에는 데이터 수입업체의 구내 또는 물리적 시설에 대한 점검이 포함될 수 있으며, 적절한 경우 합리적인 통지와 함께 수행되어야 합니다.
    7. 양 당사자는 다음 단락에 언급된 정보를 제공해야 합니다.
      (b) 및
      (다)항에 언급된 정보(감사 결과 포함)를 요청 시 관할 감독 기관에 제공합니다.

    조항 9하위 프로세서 사용

    1. 옵션 1: 특정 사전 승인 데이터 수입자는 본 조항에 따라 데이터 수출자를 대신하여 수행한 처리 활동을 컨트롤러의 사전 서면 승인 없이 하위 처리자에게 재위탁해서는 안 됩니다.
      데이터 수입자는 하위 처리자가 참여하기 최소[기간 명시] 전에 컨트롤러가 승인 여부를 결정하는 데 필요한 정보와 함께 특정 승인 요청을 제출해야 합니다.
      컨트롤러는 데이터 수출자에게 그러한 참여를 알려야 합니다.
      컨트롤러가 이미 승인한 하위 처리자 목록은 부록 III에서 확인할 수 있습니다.
      양 당사자는 부속서 III을 최신 상태로 유지해야 합니다.옵션 2: 일반 서면 승인 데이터 수입자는 합의된 목록에 있는 하위 처리자의 참여에 대한 컨트롤러의 일반 승인을 받습니다.
      데이터 수입자는 하위 처리자의 추가 또는 교체를 통해 해당 목록에 의도된 변경 사항을 컨트롤러에게 최소[기간 명시] 전에 서면으로 구체적으로 통보하여 하위 처리자가 참여하기 전에 컨트롤러가 그러한 변경에 반대할 수 있는 충분한 시간을 제공해야 합니다.
      데이터 수입자는 컨트롤러가 이의를 제기할 권리를 행사하는 데 필요한 정보를 컨트롤러에게 제공해야 합니다.
      데이터 수입자는 하위 처리자의 참여 사실을 데이터 수출자에게 알려야 합니다.
    2. 데이터 수입자가 (컨트롤러를 대신하여) 특정 처리 활동을 수행하기 위해 하위 처리자를 고용하는 경우, 데이터 주체에 대한 제3자 수익자 권리를 포함하여 실질적으로 본 조항에 따라 데이터 수입자를 구속하는 것과 동일한 데이터 보호 의무를 규정하는 서면 계약을 통해 이를 수행해야 합니다. ([4]) 양 당사자는 본 조항을 준수함으로써 데이터 수입업체가 8.8항에 따른 의무를 이행한다는 데 동의합니다.
      데이터 수입자는 하위 처리자가 본 조항에 따라 데이터 수입자가 준수해야 하는 의무를 준수하도록 보장해야 합니다.
    3. 데이터 수입자는 데이터 수출자 또는 컨트롤러의 요청이 있을 경우 해당 하위 처리자 계약서 사본 및 이후 수정본을 제공해야 합니다.
      개인 데이터를 포함한 비즈니스 비밀 또는 기타 기밀 정보를 보호하기 위해 필요한 경우, 데이터 수입자는 사본을 공유하기 전에 계약서의 텍스트를 수정할 수 있습니다.
    4. 데이터 수입자는 데이터 수출자에게 데이터 수입자와의 계약에 따른 하위 처리자의 의무 이행에 대해 전적으로 책임을 져야 합니다.
      데이터 수입자는 하위 처리자가 해당 계약에 따른 의무를 이행하지 못할 경우 데이터 수출자에게 통지해야 합니다.
    5. 데이터 수입자는 하위 처리자와 제3자 수익자 조항을 합의하여 데이터 수입자가 사실상 사라지거나 법적으로 존재하지 않거나 파산한 경우 데이터 수출자는 하위 처리자 계약을 해지하고 하위 처리자에게 개인 데이터를 삭제하거나 반환하도록 지시할 수 있는 권리를 갖도록 해야 합니다.

    조항 10데이터 주체 권리

    1. 데이터 수입자는 데이터 수출자 및 해당되는 경우 데이터 주체로부터 받은 모든 요청을 컨트롤러에게 즉시 통지해야 하며, 컨트롤러의 권한이 없는 한 해당 요청에 응답하지 않아야 합니다.
    2. 데이터 수입자는 데이터 수출자와 협력하여 적절한 경우 컨트롤러가 규정 (EU) 2016/679 또는 규정 (EU) 2018/1725에 따른 정보 주체의 권리 행사 요청에 응답할 의무를 이행할 수 있도록 지원해야 합니다(해당되는 경우).
      이와 관련하여 양 당사자는 필요한 지원의 범위와 정도뿐만 아니라 지원이 제공되는 처리의 특성을 고려하여 적절한 기술적 및 조직적 조치를 부속서 II에 명시합니다.
    3. 다음 단락에 따른 의무를 이행하는 경우
      (a) 및
      (b)항에 따른 의무를 이행할 때 데이터 수입자는 데이터 수출자가 전달한 컨트롤러의 지침을 준수해야 합니다.

    조항 11Redress

    1. 데이터 수입업체는 불만 사항을 처리할 권한이 있는 연락처를 개별 통지 또는 웹사이트를 통해 투명하고 쉽게 접근할 수 있는 형식으로 데이터 주체에게 알려야 합니다. 데이터 수입업체는 데이터 주체로부터 접수된 모든 불만 사항을 즉시 처리해야 합니다. [선택 사항: 데이터 수입업체는 데이터 주체가 독립적인 분쟁 해결 기관([5])를 데이터 주체에게 무료로 제공합니다.
      (a)항에 명시된 방식으로 데이터 주체에게 그러한 구제 메커니즘에 대해 알리고, 구제 메커니즘을 사용하거나 특정 순서를 따를 필요가 없음을 알려야 합니다.]
    2. 본 조항의 준수와 관련하여 데이터 주체와 당사자 간에 분쟁이 발생하는 경우 해당 당사자는 문제를 적시에 우호적으로 해결하기 위해 최선의 노력을 다해야 합니다.
      양 당사자는 그러한 분쟁에 대해 서로에게 정보를 제공하고 적절한 경우 분쟁 해결을 위해 협력해야 합니다.
    3. 데이터 주체가 제3자 수익자 권리를 제3항에 따라 행사하는 경우, 데이터 수입자는 데이터 주체의 결정을 수락해야 합니다:
      1. 회원님의 거주지 또는 근무지의 회원국 감독 당국 또는 제13항에 따른 관할 감독 당국에 불만을 제기할 수 있습니다;
      2. 18항의 의미 내에서 분쟁을 관할 법원에 회부합니다.
    4. 양 당사자는 규정 (EU) 2016/679 제80조 1항에 명시된 조건에 따라 데이터 주체가 비영리 기관, 조직 또는 협회에 의해 대표될 수 있음을 인정합니다.
    5. 데이터 수입자는 해당 EU 또는 회원국 법률에 따라 구속력이 있는 결정을 준수해야 합니다.
    6. 데이터 수입자는 데이터 주체의 선택이 관련 법률에 따라 구제를 받을 수 있는 실체적 및 절차적 권리를 침해하지 않는다는 데 동의합니다.

    조항 12책임

    1. 각 당사자는 본 조항의 위반으로 인해 상대방 당사자에게 발생한 모든 손해에 대해 상대방 당사자에게 책임을 집니다.
    2. 데이터 수입자는 데이터 주체에 대해 책임을 지며, 데이터 주체는 데이터 수입자 또는 하위 처리자가 본 조항에 따른 제3자 수익자 권리를 위반하여 데이터 주체에게 야기한 물질적 또는 비물질적 손해에 대해 보상을 받을 권리가 있습니다.
    3. (b)항에도 불구하고 데이터 수출자는 데이터 주체에게 책임을 지며, 데이터 주체는 데이터 수출자 또는 데이터 수입자(또는 그 하위 처리자)가 본 조항에 따른 제3자 수익자 권리를 위반하여 데이터 주체에게 발생한 모든 물질적 또는 비물질적 손해에 대해 보상을 받을 권리가 있습니다.
      이는 데이터 수출자의 책임과 데이터 수출자가 컨트롤러를 대리하는 처리자인 경우, 해당되는 경우 규정 (EU) 2016/679 또는 규정 (EU) 2018/1725에 따른 컨트롤러의 책임을 침해하지 않습니다.
    4. 양 당사자는 데이터 수출자가 데이터 수입자(또는 그 하위 처리자)에 의해 발생한 손해에 대해 (다)항에 따라 책임을 지는 경우, 데이터 수입자에게 손해에 대한 데이터 수입자의 책임에 해당하는 보상금의 일부를 반환 청구할 수 있다는 데 동의합니다.
    5. 본 조항의 위반으로 인해 데이터 주체에게 발생한 손해에 대해 둘 이상의 당사자가 책임이 있는 경우 모든 책임 당사자는 연대하여 책임을 지며, 데이터 주체는 이러한 당사자를 상대로 법원에 소송을 제기할 수 있습니다.
    6. 양 당사자는 당사자 일방이 (e)항에 따라 책임을 지는 경우 다른 당사자에게 손해에 대한 책임에 상응하는 보상금의 일부를 청구할 수 있다는 데 동의합니다.
    7. 데이터 수입자는 자신의 책임을 회피하기 위해 하위 처리자의 행위를 호출할 수 없습니다.

    조항 13감독

    1. [Where the data exporter is established in an EU Member State:] 데이터 전송과 관련하여 데이터 수출자가 규정 (EU) 2016/679를 준수하도록 보장할 책임이 있는 감독 기관은 부록 I.C에 명시된 대로 관할 감독 기관의 역할을 수행합니다. [데이터 수출자가 EU 회원국에 설립되지 않았지만 제3조 2항에 따라 규정 (EU) 2016/679의 적용 범위 내에 속하고 규정 (EU) 2016/679 제27조 1항에 따라 대리인을 선임한 경우:] 규정 (EU) 2016/679 제27조 1항의 의미에 따른 대리인이 설립된 회원국의 감독 당국은 부록 I.C에 명시된 대로 관할 감독 당국의 역할을 수행합니다. [데이터 수출업체가 EU 회원국에 설립되지 않았지만 규정 (EU) 2016/679 제3조 2항에 따라 규정 (EU) 2016/679 제27조 2항에 따라 대리인을 지정하지 않고도 규정 (EU) 2016/679의 적용 지역 범위에 속하는 경우:] 본 조항에 따라 상품 또는 서비스의 제공과 관련하여 개인정보가 이전되거나 그 행위가 모니터링되는 정보 주체가 위치한 회원국 중 하나의 감독 당국은 부속서 I.C에 명시된 대로 관할 감독 당국 역할을 수행합니다.
    2. 데이터 수입자는 본 조항의 준수를 보장하기 위한 모든 절차에서 관할 감독 기관의 관할권에 복종하고 이에 협조하는 데 동의합니다.
      특히 데이터 수입자는 문의에 응답하고 감사에 응하며 시정 및 보상 조치를 포함하여 감독 기관이 채택한 조치를 준수하는 데 동의합니다.
      필요한 조치가 취해졌다는 서면 확인서를 감독 당국에 제공해야 합니다.

    섹션 III – 공공 기관의 접근 시 현지 법률 및 의무조항 14조항 준수에 영향을 미치는 현지 법률 및 관행

      1. 당사자들은 개인정보 공개 요건 또는 공공 기관의 접근을 승인하는 조치를 포함하여 데이터 수입자의 개인정보 처리에 적용되는 제3국의 법률 및 관행이 데이터 수입자가 본 조항에 따른 의무를 이행하는 데 방해가 된다고 믿을 이유가 없음을 보증합니다.
        이는 기본적 권리와 자유의 본질을 존중하고 규정 (EU) 2016/679 제23조 1항에 열거된 목적 중 하나를 보호하기 위해 민주 사회에서 필요하고 비례적인 것을 초과하지 않는 법률 및 관행이 본 조항과 모순되지 않는다는 이해를 바탕으로 합니다.
      2. 양 당사자는 (가)항의 보증을 제공함에 있어 특히 다음 요소를 충분히 고려했음을 선언합니다:
        1. 처리 체인의 길이, 관련된 행위자 수 및 사용된 전송 채널, 향후 전송 의도, 수신자 유형, 처리 목적, 전송된 개인 데이터의 범주 및 형식, 전송이 이루어지는 경제 부문, 전송된 데이터의 저장 위치를 포함한 전송의 구체적인 상황;
        2. 이전 대상 제3국의 법률 및 관행(공공 기관에 대한 데이터 공개를 요구하거나 해당 기관의 접근을 승인하는 경우를 포함)과 전송의 특정 상황, 적용 가능한 제한 및 보호 조치([6])에 비추어 관련성을 고려해야 합니다;
        3. 전송 중 및 목적지 국가의 개인정보 처리에 적용되는 조치를 포함하여 본 조항에 따른 보호조치를 보완하기 위해 마련된 모든 관련 계약적, 기술적 또는 조직적 보호조치.
      3. 데이터 수입자는 (b)항에 따른 평가를 수행함에 있어 데이터 수출자에게 관련 정보를 제공하기 위해 최선의 노력을 다했으며, 본 조항을 준수하기 위해 데이터 수출자와 지속적으로 협력할 것임을 보증합니다.
      4. 양 당사자는 (b)항에 따른 평가를 문서화하고 요청 시 관할 감독 당국이 이를 이용할 수 있도록 하는 데 동의합니다.
      5. 데이터 수입자는 본 조항에 동의한 후 계약 기간 동안 제3국 법률의 변경 또는 (가)항의 요건에 부합하지 않는 법률 또는 관행의 적용을 나타내는 조치(공개 요청 등)를 포함하여 (가)항의 요건에 부합하지 않는 법률 또는 관행의 적용을 받고 있거나 받았다고 믿을 만한 이유가 있는 경우 데이터 수출자에게 즉시 통지하는 데 동의합니다(예: (가)항에 따른 요건과 부합하지 않는 법률의 실제 적용을 나타내는 조치).
        데이터 수출자는 해당 통지를 컨트롤러에 전달해야 합니다.
      6. (e)항에 따른 통지 후 또는 데이터 수출자가 데이터 수입자가 더 이상 본 조항에 따른 의무를 이행할 수 없다고 믿을 만한 이유가 있는 경우, 데이터 수출자는 컨트롤러와 협의하여 적절한 경우 데이터 수출자 및/또는 데이터 수입자가 상황을 해결하기 위해 채택할 적절한 조치(예: 보안 및 기밀 유지를 위한 기술적 또는 조직적 조치)를 즉시 파악해야 합니다. 데이터 수출자는 데이터 전송에 대한 적절한 안전장치를 보장할 수 없다고 판단하거나 컨트롤러 또는 관할 감독 기관의 지시가 있는 경우 데이터 전송을 중단해야 합니다. 이 경우 데이터 수출자는 본 조항에 따른 개인 데이터 처리와 관련된 한 계약을 해지할 수 있습니다. 계약이 두 개 이상의 당사자를 포함하는 경우, 데이터 수출자는 당사자들이 달리 합의하지 않는 한 해당 당사자에 대해서만 이 해지 권리를 행사할 수 있습니다. 본 조항에 따라 계약이 해지되는 경우 제16조(d) 및 (e)항이 적용됩니다.

    조항 15공공 기관의 접근 시 데이터 수입자의 의무15.1 통지

      1. 데이터 수입자는 데이터 수출자에게, 그리고 가능한 경우 데이터 수출자의 도움을 받아 필요한 경우 데이터 주체에게 즉시 통지하는 데 동의합니다:
        1. 사법 당국을 포함한 공공 기관으로부터 본 조항에 따라 전송된 개인 데이터의 공개에 대해 목적지 국가의 법률에 따라 법적 구속력이 있는 요청을 받은 경우; 이러한 통지에는 요청된 개인 데이터, 요청 기관, 요청의 법적 근거 및 제공된 응답에 대한 정보가 포함되어야 합니다.
        2. 목적지 국가의 법률에 따라 본 조항에 따라 전송된 개인 데이터에 대한 공공 기관의 직접적인 접근을 알게 된 경우, 해당 통지에는 수입자가 이용할 수 있는 모든 정보가 포함되어야 하며 데이터 수출자는 해당 통지를 컨트롤러에 전달해야 합니다.
          • 데이터 수입자가 목적지 국가의 법률에 따라 데이터 수출자 및/또는 데이터 주체에게 통지하는 것이 금지된 경우, 데이터 수입자는 가능한 한 빨리 가능한 한 많은 정보를 전달하기 위해 금지 면제를 얻기 위해 최선의 노력을 다할 것에 동의합니다.
            데이터 수입자는 데이터 수출자의 요청에 따라 이를 입증할 수 있도록 최선의 노력을 문서화할 것에 동의합니다.
          • 목적지 국가의 법률에 따라 허용되는 경우, 데이터 수입자는 계약 기간 동안 정기적으로 데이터 수출자에게 수신된 요청에 대해 가능한 한 많은 관련 정보(특히 요청 횟수, 요청된 데이터 유형, 요청 기관, 요청에 대한 이의 제기 여부 및 그러한 이의 제기 결과 등)를 제공하는 데 동의합니다.
            데이터 수출자는 해당 정보를 컨트롤러에게 전달해야 합니다.
          • 데이터 수입자는 계약 기간 동안 (가)항부터 (다)항에 따른 정보를 보존하고 요청 시 관할 감독 기관이 이를 이용할 수 있도록 하는 데 동의합니다.
          • (가)항 내지 (다)항은 제14조(e)항 및 제16조에 따라 데이터 수입자가 본 조항을 준수할 수 없는 경우 데이터 수출자에게 즉시 통보해야 하는 의무를 침해하지 않습니다.

        15.2 적법성 및 데이터 최소화 검토

        1. 데이터 수입자는 공개 요청의 적법성, 특히 요청하는 공공 기관에 부여된 권한 내에 있는지 여부를 검토하고 신중한 평가 후 해당 요청이 목적지 국가의 법률, 국제법상 관련 의무 및 국제 관례 원칙에 따라 불법이라고 간주할 합리적인 근거가 있다고 결론을 내리는 경우 요청에 이의를 제기하는 데 동의합니다.
          데이터 수입자는 동일한 조건에서 이의를 제기할 수 있는 가능성을 추구해야 합니다.
          요청에 이의를 제기하는 경우, 데이터 수입자는 관할 사법 기관이 그 타당성을 결정할 때까지 요청의 효력을 정지하기 위한 임시 조치를 모색해야 합니다.
          해당 절차 규칙에 따라 요구될 때까지 요청된 개인 데이터를 공개해서는 안 됩니다.
          이러한 요건은 제14조(e)항에 따른 데이터 수입자의 의무를 침해하지 않습니다.
        2. 데이터 수입자는 법적 평가와 공개 요청에 대한 이의 제기를 문서화하고, 목적지 국가의 법률이 허용하는 범위 내에서 해당 문서를 데이터 수출자가 이용할 수 있도록 하는 데 동의합니다.
          또한 관할 감독 기관의 요청이 있을 경우 해당 문서를 제공해야 합니다.
          데이터 수출자는 컨트롤러에게 평가서를 제공해야 합니다.
        3. 데이터 수입자는 공개 요청에 응답할 때 요청에 대한 합리적인 해석에 근거하여 허용되는 최소한의 정보를 제공하는 데 동의합니다.

        섹션 IV – 최종 조항조항 16조항 미준수 및 해지

        1. 데이터 수입자는 어떠한 이유로든 본 조항을 준수할 수 없는 경우 데이터 수출자에게 즉시 알려야 합니다.
        2. 데이터 수입자가 본 조항을 위반하거나 본 조항을 준수할 수 없는 경우, 데이터 수출자는 준수가 다시 보장되거나 계약이 해지될 때까지 데이터 수입자에 대한 개인 데이터 전송을 중단해야 합니다.
          이는 14(f)항을 침해하지 않습니다.
        3. 데이터 수출업체는 본 조항에 따른 개인 데이터 처리와 관련된 경우 계약을 해지할 수 있습니다:
          1. 데이터 수출업체가 (b)항에 따라 데이터 수입업체에 대한 개인 데이터 전송을 중단하고 합리적인 시간 내에, 그리고 어떠한 경우에도 중단 후 1개월 이내에 본 조항의 준수가 회복되지 않는 경우;
          2. 데이터 수입자가 본 조항을 실질적으로 또는 지속적으로 위반하는 경우, 또는
          3. 데이터 수입자가 본 조항에 따른 의무에 관한 관할 법원 또는 감독 기관의 구속력 있는 결정을 준수하지 않는 경우. 이러한 경우 데이터 수입자는 관할 감독 기관 및 컨트롤러에게 그러한 불이행 사실을 알려야 합니다.
            계약이 두 개 이상의 당사자를 포함하는 경우, 데이터 수출자는 당사자들이 달리 합의하지 않는 한 해당 당사자에 대해서만 이 해지 권리를 행사할 수 있습니다.
        4. (다)항에 따라 계약이 종료되기 전에 전송된 개인 데이터는 데이터 수출자의 선택에 따라 즉시 데이터 수출자에게 반환되거나 전체가 삭제됩니다.
          데이터 사본에 대해서도 동일하게 적용됩니다.
          데이터 수입자는 데이터 수출자에게 데이터 삭제를 증명해야 합니다.
          데이터가 삭제되거나 반환될 때까지 데이터 수입자는 본 조항을 계속 준수해야 합니다.
          데이터 수입자에게 적용되는 현지 법률이 전송된 개인 데이터의 반환 또는 삭제를 금지하는 경우, 데이터 수입자는 본 조항을 계속 준수할 것이며 해당 현지 법률에서 요구하는 범위와 기간 동안만 데이터를 처리할 것임을 보증합니다.
        5. 각 당사자는 다음과 같은 경우 본 조항의 구속력에 대한 동의를 철회할 수 있습니다.
          (i) 유럽 위원회가 본 조항이 적용되는 개인 데이터의 전송을 다루는 규정 (EU) 2016/679 제45조 3항에 따른 결정을 채택하는 경우, 또는
          (ii) 규정 (EU) 2016/679가 개인정보가 이전되는 국가의 법적 프레임워크의 일부가 되는 경우.
          이는 규정 (EU) 2016/679에 따라 해당 처리에 적용되는 다른 의무를 침해하지 않습니다.

        제17조준거법 [선택 사항 1: 본 조항은 제3자 수익자 권리를 허용하는 경우 EU 회원국 중 한 국가의 법률에 따릅니다(해당 법률이 제3자 수익자 권리를 허용하는 경우).
        양 당사자는_______(회원국 명시)의 법이 적용된다는 데 동의합니다.] [선택 2: 본 조항은 데이터 수출업체가 설립된 EU 회원국의 법률이 적용됩니다. 해당 법률이 제3자 수익자 권리를 허용하지 않는 경우, 제3자 수익자 권리를 허용하는 다른 EU 회원국 법률의 적용을 받습니다. 양 당사자는 이것이_______(회원국 명시)의 법이 될 것이라는 데 동의합니다.] 제18조포럼 및 관할권 선택

        1. 본 조항으로 인해 발생하는 모든 분쟁은 EU 회원국 법원에서 해결합니다.
        2. 양 당사자는_____(회원국 명시)의 법원을 관할 법원으로 한다는 데 동의합니다.
        3. 또한 데이터 주체는 자신의 거주지가 있는 회원국의 법원에 데이터 수출업체 및/또는 데이터 수입업체를 상대로 법적 소송을 제기할 수 있습니다.
        4. 양 당사자는 해당 법원의 관할권에 복종하는 데 동의합니다.

        부록 설명 참고: 각 이전 또는 이전 범주에 적용되는 정보를 명확하게 구분할 수 있어야 하며, 이와 관련하여 데이터 수출자 및/또는 데이터 수입자로서 당사자의 각 역할을 결정할 수 있어야 합니다.
        이러한 투명성은 하나의 부록을 통해 달성할 수 있으며, 각 이전/이전 범주 및/또는 계약 관계에 대해 반드시 별도의 부록을 작성하고 서명할 필요는 없습니다.
        그러나 충분한 명확성을 확보하기 위해 필요한 경우 별도의 부록을 사용해야 합니다.

        부속서 I

        A. 당사자 목록

        데이터 내보내기:[데이터 수출업체의 신원 및 연락처 정보, 해당되는 경우 유럽 연합 내 데이터 보호 책임자 및/또는 대리인의 연락처].

        • 이름: ………………………………… 주소: ………………………………. 담당자 이름, 직위 및 연락처: ………. …………………………………………………….. 본 조항에 따라 전송된 데이터와 관련된 활동: ………………………………………………………. ………………………………………………………. 서명 및 날짜: ………………… 역할(컨트롤러/프로세서):
        • ……….

        데이터 수입자:[데이터 보호 책임자를 포함한 데이터 수입자의 신원 및 연락처 정보].

        • 이름: ………………………………. 주소: …………………………….. 담당자 이름, 직위 및 연락처 정보: ………. ……………………………………………………… 본 조항에 따라 전송된 데이터와 관련된 활동: ………………………………………………………. ………………………………………………………. 서명 및 날짜: ………………… 역할(컨트롤러/프로세서):
        • ………….

        B. 전송에 대한 설명
        개인 데이터가 전송되는 데이터 주체의 범주 … 전송되는 개인 데이터의 범주 … 전송되는 민감한 데이터(해당되는 경우) 및 엄격한 목적 제한, 접근 제한(전문 교육을 받은 직원만 접근 가능), 데이터 접근 기록 보관, 향후 전송 제한 또는 추가 보안 조치 등 데이터의 성격과 관련된 위험을 충분히 고려한 제한 또는 보호 조치 적용.
        … 전송 빈도(예: 데이터가 일회성 또는 지속적으로 전송되는지 여부).
        … 처리의 성격 … 데이터 전송 및 추가 처리의 목적 … 개인 데이터를 보유할 기간 또는 이것이 불가능한 경우 해당 기간을 결정하는 데 사용된 기준 … (하위) 처리자에게 전송하는 경우 처리의 주제, 성격 및 기간도 명시합니다….

        C. 관할 감독 기관13항에 따라 관할 감독 기관 식별 …

        부속서 II

        데이터의 보안을 보장하기 위한 기술적 및 조직적 조치를 포함한 기술적 및 조직적 조치 설명 참고: 기술적 및 조직적 조치는 일반적인 용어가 아닌 구체적인 용어로 설명해야 합니다.
        특히 각 이전/이전 세트에 적용되는 조치를 명확하게 표시해야 한다는 부록 첫 페이지의 일반적인 설명을 참조하세요. 처리의 성격, 범위, 맥락 및 목적, 자연인의 권리와 자유에 대한 위험을 고려하여 적절한 수준의 보안을 보장하기 위해 데이터 수입자가 시행하는 기술적 및 조직적 조치(관련 인증 포함)에 대한 설명.

        [가능한 조치의 예

        개인 데이터의 가명화 및 암호화 조치

        처리 시스템 및 서비스의 지속적인 기밀성, 무결성, 가용성 및 복원력을 보장하기 위한 조치

        물리적 또는 기술적 사고 발생 시 개인 데이터에 대한 가용성 및 액세스를 적시에 복원할 수 있는 기능을 보장하기 위한 조치

        처리의 보안을 보장하기 위해 기술적 및 조직적 조치의 효과를 정기적으로 테스트, 평가 및 평가하는 프로세스

        사용자 식별 및 권한 부여를 위한 조치

        전송 중 데이터 보호를 위한 조치

        저장 중 데이터 보호를 위한 조치

        개인 데이터가 처리되는 장소의 물리적 보안을 보장하기 위한 조치

        이벤트 로깅을 보장하기 위한 조치

        기본 구성을 포함한 시스템 구성을 보장하기 위한 조치

        내부 IT 및 IT 보안 거버넌스 및 관리를 위한 조치

        프로세스 및 제품 인증/보증에 대한 조치

        데이터 최소화를 위한 조치

        데이터 품질 보장을 위한 조치

        제한된 데이터 보존을 보장하기 위한 조치

        책임성 확보를 위한 조치

        데이터 이동성 허용 및 삭제 보장 조치]

        (하위) 프로세서로의 전송에 대해서도 다음과 같이 설명합니다. 컨트롤러 및 프로세서에서 하위 프로세서로의 전송의 경우 데이터 수출자에게 지원을 제공할 수 있도록 (하위) 프로세서가 취해야 할 구체적인 기술적 및 조직적 조치를 설명합니다.

        부속서 III

        하위 프로세서 목록 설명 참고: 하위 프로세서에 대한 특정 권한이 있는 경우 이 부록을 작성해야 합니다(9(a)항, 옵션 1).
        관리자는 다음 하위 프로세서의 사용을 승인했습니다:

        • 이름: ……………. 주소: ………….. 담당자 이름, 직위 및 연락처 정보: … 처리 설명(여러 하위 처리자가 승인된 경우 책임의 명확한 구분 포함): ……………………..
        • ………………….

        [1] 데이터 수출자가 유럽연합 기관 또는 단체를 대신하여 컨트롤러로서 활동하는 규정 (EU) 2016/679의 적용을 받는 처리자인 경우, 규정 (EU) 2016/679의 적용을 받지 않는 다른 처리자(하위 처리)와 계약할 때 본 조항을 준수하면 유럽연합 기관의 개인정보 처리와 관련한 자연인 보호에 관한 유럽의회 및 2018년 10월 23일 이사회 규정 (EU) 2018/1725의 29조 4항을 준수하는 것으로 간주할 수 있습니다, 기관, 사무소 및 기관의 개인 데이터 처리 및 그러한 데이터의 자유로운 이동에 관한 규정 (EC) 제45/2001호 및 결정 번호 1247/2002/EC를 폐지합니다(
        OJ L 295, 21.11.2018, 39면), 이러한 조항과 규정 (EU) 2018/1725 제29조 3항에 따라 컨트롤러와 처리자 간의 계약 또는 기타 법적 행위에 명시된 데이터 보호 의무가 일치하는 범위까지.
        이는 특히 컨트롤러와 처리자가 결정 2021/915에 포함된 표준 계약 조항에 의존하는 경우에 해당합니다. [2] 규정 (EU) 2016/679의 28조 4항 및 컨트롤러가 EU 기관 또는 단체인 경우 규정 (EU) 2018/1725의 29조 4항을 참조하세요. [3] 유럽경제지역에 관한 협정(EEA 협정)은 유럽연합의 내부 시장을 아이슬란드, 리히텐슈타인 및 노르웨이 3개 EEA 국가로 확장하는 내용을 규정하고 있습니다.
        규정 (EU) 2016/679를 포함한 유럽연합의 데이터 보호법은 EEA 협정의 적용을 받으며, 이 협정의 부록 XI에 통합되었습니다.
        따라서 데이터 수입업체가 EEA에 위치한 제3자에게 데이터를 공개하는 것은 본 조항의 목적상 향후 전송으로 간주되지 않습니다.
        [4] 이 요건은 7항에 따라 하위 처리자가 해당 모듈에 따라 본 조항을 준수함으로써 충족될 수 있습니다.
        [5] 데이터 수입자는 중재 판정의 집행에 관한 뉴욕 협약을 비준한 국가에 설립된 중재 기관을 통해서만 독립적인 분쟁 해결을 제안할 수 있습니다.
        [6] 이러한 법률 및 관행이 본 조항 준수에 미치는 영향과 관련하여, 전반적인 평가의 일부로 다양한 요소를 고려할 수 있습니다.
        이러한 요소에는 공공 기관의 공개 요청에 대한 이전 사례 또는 그러한 요청이 없었을 때 충분히 대표할 수 있는 기간에 대한 관련성 있고 문서화된 실제 경험이 포함될 수 있습니다.
        이는 특히 이 정보가 제3자와 합법적으로 공유될 수 있는 경우, 실사에 따라 지속적으로 작성되고 고위 경영진 수준에서 인증된 내부 기록 또는 기타 문서를 의미합니다.
        이러한 실무 경험에 의존하여 데이터 수입자가 본 조항을 준수하지 않을 것이라고 결론을 내릴 경우, 이는 다른 관련성 있고 객관적인 요소에 의해 뒷받침되어야 하며, 당사자들은 이러한 요소들이 신뢰성과 대표성 측면에서 이러한 결론을 뒷받침하기에 충분한 비중을 갖는지 신중하게 고려해야 합니다.
        특히, 양 당사자는 판례 및 독립 감독 기관의 보고서 등 동종 업계 내 요청의 존재 여부 및/또는 실제 법 적용에 관한 공개적으로 이용 가능하거나 다른 방식으로 접근 가능한 신뢰할 수 있는 정보에 의해 실제 경험이 확증되고 모순되지 않는지 여부를 고려해야 합니다.