SCC2021 프로세서 대 프로세서

부인 성명: 이 문서는 다음에서 사용할 수 있는 텍스트를 기반으로 생성되었습니다. https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj?uri=CELEX%3A32021D0914&locale=en#ntc12-L_2021199EN.01003701-E0012 편의를 위해 제공됩니다. 권위 있는 문서나 법적 지침으로 간주되어서는 안 됩니다.

---

표준 계약 조항

프로세서 대 프로세서

섹션 I

조항 1

목적과 범위

1. 1. 이러한 표준 계약 조항의 목적은 2016년 679월 27일자 유럽 의회 및 이사회 규정(EU) 2016/XNUMX의 요구 사항을 준수하는 것입니다. 그러한 데이터의 자유로운 이동(일반 데이터 보호 규정)([1]) 개인 데이터를 제XNUMX국으로 전송하기 위해.
   2. 정당들:
      1. Annex IA에 나열된 대로 개인 데이터를 전송하는 자연인 또는 법인, 공공 기관, 기관 또는 기타 기관(이하 '엔터티')(이하 '데이터 수출자')
      2. 데이터 수출자로부터 개인 데이터를 받는 제XNUMX국의 법인(들)은 Annex IA에 나열된 본 조항의 당사자이기도 한 다른 법인을 통해 직접 또는 간접적으로 이러한 표준 계약 조항에 동의했습니다. 이하 '조항').
   3. 이 조항은 부록 IB에 명시된 개인 데이터 전송과 관련하여 적용됩니다.
   4. 여기에 언급된 부록을 포함하는 이 조항의 부록은 이 조항의 불가분의 일부를 구성합니다.

조항 2

조항의 효과와 불변성

1. 이 조항은 규정(EU) 46/1의 46(2)조 및 2016(679)(c)조 및 컨트롤러로부터의 데이터 전송과 관련하여 집행 가능한 데이터 주체 권리 및 효과적인 법적 구제책을 포함하여 적절한 안전 장치를 설정합니다. 규정(EU) 28/7의 2016(679)조에 따른 표준 계약 조항, 적절한 모듈을 선택하거나 정보를 추가 또는 업데이트하는 경우를 제외하고 수정되지 않는 경우 부록. 이는 당사자가 본 조항에 명시된 표준 계약 조항을 더 넓은 계약에 포함하거나 다른 조항 또는 추가 보호 장치를 추가하는 것을 막지 않습니다. 또는 데이터 주체의 자유.
2. 이 조항은 규정(EU) 2016/679에 따라 데이터 내보내기가 적용되는 의무를 침해하지 않습니다.

조항 3

제XNUMX자 수혜자

1. 데이터 주체는 다음 예외를 제외하고 데이터 내보내기 및/또는 데이터 가져오기에 대해 제XNUMX자 수혜자로서 이 조항을 호출하고 시행할 수 있습니다.

(i) 1항, 2항, 3항, 6항, 7항;

(ii) 조항 8.1(a), (c) 및 (d) 및 조항 8.9(a), (c), (d), (e), (f) 및 (g);

(iii) 조항 9(a), (c), (d) 및 (e);

(iv) 조항 12(a), (d) 및 (f);

(v) 13항;

(vi) 조항 15.1(c), (d) 및 (e);

(vii) 조항 16(e);

(viii) 조항 18(a) 및 (b).

2. (a)항은 규정(EU) 2016/679에 따른 정보 주체의 권리를 침해하지 않습니다.

조항 4

INTerp보상

1. 이 조항이 규정(EU) 2016/679에 정의된 용어를 사용하는 경우 해당 용어는 해당 규정과 동일한 의미를 갖습니다.
2. 이 조항은 읽고 interp규정(EU) 2016/679의 조항에 비추어 언급되었습니다.
3. 이 조항은 정수가 아닙니다.erpRegulation (EU) 2016/679에 규정된 권리 및 의무와 충돌하는 방식으로 언급됨.

조항 5

계층

이 조항과 당사자 간의 관련 계약 조항 사이에 모순이 있는 경우, 이 조항이 합의되거나 그 이후에 체결되는 시점에 존재하는 경우 이 조항이 우선합니다.

조항 6

전송에 대한 설명

전송에 대한 세부 정보, 특히 전송되는 개인 데이터의 범주와 전송 목적은 부록 IB에 명시되어 있습니다.

조항 7 – 선택 사항

도킹 조항

1. 본 조항의 당사국이 아닌 법인은 당사국의 동의 하에 부록을 작성하고 부록 IA에 서명함으로써 데이터 수출자 또는 데이터 수입자로서 언제든지 본 조항에 동의할 수 있습니다.
2. 부록을 작성하고 부속서 IA에 서명하면, 가입한 법인은 이 조항의 당사자가 되며 부속서 IA의 지정에 따라 데이터 내보내기 또는 데이터 가져오기의 권리와 의무를 갖습니다.
3. 가입한 주체는 당사국이 되기 전 기간부터 이 조항에 따라 발생하는 권리나 의무가 없습니다.

섹션 II – 당사자의 의무

조항 8

데이터 보호 보호

데이터 내보내기는 데이터 가져오기가 적절한 기술적 및 조직적 조치의 구현을 통해 이 조항에 따른 의무를 충족할 수 있는지 결정하기 위해 합당한 노력을 기울였음을 보증합니다.

8.1 지침

1. 데이터 수출자는 데이터 수입자에게 컨트롤러의 지시에 따라 처리자 역할을 한다고 알렸으며, 데이터 내보내기자는 처리 전에 데이터 수입자가 사용할 수 있도록 해야 합니다.
2. 데이터 수입자는 데이터 수출자가 데이터 수입자에게 전달한 대로 컨트롤러의 문서화된 지침과 데이터 수출자의 추가 문서화된 지침에 따라서만 개인 데이터를 처리해야 합니다. 이러한 추가 지침은 컨트롤러의 지침과 충돌하지 않아야 합니다. 컨트롤러 또는 데이터 내보내기는 계약 기간 동안 데이터 처리와 관련하여 추가 문서화된 지침을 제공할 수 있습니다.
3. 데이터 수입자는 해당 지침을 따를 수 없는 경우 데이터 수출자에게 즉시 알려야 합니다. 데이터 수입자가 컨트롤러의 지시를 따를 수 없는 경우 데이터 내보내기는 컨트롤러에 즉시 통지해야 합니다.
4. 데이터 수출자는 컨트롤러와 데이터 수출자 간의 계약 또는 EU 또는 회원국 법률에 따른 기타 법적 조치에 명시된 것과 동일한 데이터 보호 의무를 데이터 수입자에게 부과했음을 보증합니다([2]).

8.2 목적 제한

데이터 수입자는 컨트롤러의 추가 지시가 없는 한 부록 IB에 명시된 전송의 특정 목적을 위해서만 개인 데이터를 처리해야 합니다. 수출업자.

8.3 투명성

요청 시 데이터 내보내기자는 당사자가 작성한 부록을 포함하여 이 조항의 사본을 데이터 주체가 무료로 사용할 수 있도록 해야 합니다. 개인 데이터를 포함한 비즈니스 비밀 또는 기타 기밀 정보를 보호하는 데 필요한 범위 내에서 데이터 내보내기는 사본을 공유하기 전에 부록 텍스트의 일부를 수정할 수 있지만 데이터 주체가 달리 할 수 ​​없는 경우 의미 있는 요약을 제공해야 합니다. 그 내용을 이해하거나 권리를 행사합니다. 요청 시 당사자는 수정된 정보를 공개하지 않고 가능한 한도 내에서 수정 사유를 정보 주체에 제공해야 합니다.

8.4 정확도

데이터 수입자는 자신이 받은 개인 데이터가 부정확하거나 오래되었다는 사실을 알게 된 경우 부당한 지체 없이 데이터 수출자에게 알려야 합니다. 이 경우 데이터 수입자는 데이터 수출자와 협력하여 데이터를 수정하거나 삭제해야 합니다.

8.5 처리 기간 및 데이터 삭제 또는 반환

데이터 수입자의 처리는 부속서 IB에 명시된 기간 동안만 발생합니다. 처리 서비스 제공이 종료된 후 데이터 수입자는 데이터 수출자의 선택에 따라 컨트롤러를 대신하여 처리된 모든 개인 데이터를 삭제해야 합니다. 데이터 내보내기를 수행했음을 인증하거나 데이터 내보내기를 대신하여 처리된 모든 개인 데이터를 데이터 내보내기에게 반환하고 기존 사본을 삭제합니다. 데이터가 삭제되거나 반환될 때까지 데이터 수입자는 계속해서 이 조항을 준수해야 합니다. 개인 데이터의 반환 또는 삭제를 금지하는 데이터 수입업자에게 적용되는 현지 법률의 경우, 데이터 수입업자는 계속해서 이 조항을 준수하고 해당 조항에 따라 요구되는 범위와 기간 동안만 처리할 것임을 보증합니다. 현지법. 이는 14조를 침해하지 않으며, 특히 14(e)조에 따른 데이터 수입자가 법률 또는 관행의 적용을 받거나 적용되는 것으로 믿을 만한 이유가 있는 경우 계약 기간 동안 데이터 내보내기를 통지해야 합니다. 14(a)항의 요건에 부합하지 않습니다.

8.6 처리 보안

1. 데이터를 가져오는 사람과 전송하는 동안 데이터를 내보내는 사람은 우발적이거나 불법적인 파괴, 손실, 변경, 무단 공개 또는 액세스로 이어지는 보안 위반에 대한 보호를 포함하여 데이터의 보안을 보장하기 위해 적절한 기술 및 조직적 조치를 구현해야 합니다. 해당 데이터(이하 '개인 데이터 위반'). 적절한 보안 수준을 평가할 때 최신 기술, 구현 비용, 처리의 성격, 범위, 맥락 및 목적, 정보 주체의 처리와 관련된 위험을 적절히 고려해야 합니다. 양 당사자는 특히 암호화 또는 가명화에 의존하는 것을 고려해야 하며, 전송 중에 처리 목적이 그러한 방식으로 달성될 수 있는 경우를 포함합니다. 가명 처리의 경우 개인 데이터를 특정 데이터 주체에 귀속시키는 추가 정보는 가능한 경우 데이터 수출자 또는 컨트롤러의 배타적 통제하에 있어야 합니다. 이 단락에 따른 의무를 준수하기 위해 데이터 수입자는 적어도 부록 II에 명시된 기술적 및 조직적 조치를 구현해야 합니다. 데이터 수입자는 이러한 조치가 적절한 수준의 보안을 계속 제공하는지 확인하기 위해 정기적인 점검을 수행해야 합니다.
2. 데이터 수입자는 계약의 이행, 관리 및 모니터링에 엄격하게 필요한 범위에서만 직원 구성원에게 데이터에 대한 액세스 권한을 부여해야 합니다. 개인 데이터를 처리할 권한이 있는 사람이 기밀 유지를 약속했거나 기밀 유지에 대한 적절한 법적 의무 하에 있는지 확인해야 합니다.
3. 이 조항에 따라 데이터 수입자가 처리하는 개인 데이터와 관련된 개인 데이터 침해가 발생한 경우 데이터 수입자는 부정적인 영향을 완화하기 위한 조치를 포함하여 침해를 해결하기 위한 적절한 조치를 취해야 합니다. 데이터 수입자는 또한 위반 사실을 알게 된 후 부당한 지체 없이 데이터 수출자 및 적절하고 가능한 경우 컨트롤러에게 통지해야 합니다. 이러한 통지에는 더 많은 정보를 얻을 수 있는 연락처, 위반의 성격에 대한 설명(가능한 경우 범주 및 관련 데이터 주체 및 개인 데이터 기록의 대략적인 수 포함), 가능한 결과 및 가능한 역효과를 완화하기 위한 조치를 포함하여 데이터 침해를 해결하기 위해 취하거나 제안된 조치. 모든 정보를 동시에 제공할 수 없는 경우 최초 통지에는 당시 이용 가능한 정보가 포함되어야 하며 추가 정보는 이용 가능하게 되는 대로 부당한 지체 없이 후속적으로 제공되어야 합니다.
4. 데이터 수입자는 데이터 수출자가 Regulation (EU) 2016/679에 따른 의무를 준수할 수 있도록 데이터 수출자와 협력하고 지원해야 합니다. 영향을 받는 데이터 주체, 처리 특성 및 데이터 가져오기자가 사용할 수 있는 정보를 고려합니다.

8.7 민감한 데이터

전송에 인종 또는 민족, 정치적 견해, 종교적 또는 철학적 신념, 노동조합 가입 여부, 유전 정보 또는 자연인을 고유하게 식별할 목적의 생체 정보를 드러내는 개인 정보, 건강 또는 개인의 성생활에 관한 정보 또는 성적 취향, 또는 범죄 유죄 판결 및 범죄와 관련된 데이터(이하 '민감한 데이터'), 데이터 수입자는 부속서 IB에 명시된 특정 제한 및/또는 추가 보호 장치를 적용해야 합니다.

8.8 제XNUMX자 전송

데이터를 가져오는 사람은 데이터를 내보내는 사람이 데이터를 가져오는 사람에게 전달한 컨트롤러의 문서화된 지침에 따라서만 개인 데이터를 제XNUMX자에게 공개해야 합니다. 또한 데이터는 유럽 연합 외부에 위치한 제XNUMX자에게만 공개될 수 있습니다([3]) (데이터 수입자와 동일한 국가 또는 다른 제XNUMX국에서, 이하 '제XNUMX자 전송') 제XNUMX자가 적절한 모듈에 따라 본 조항에 구속되거나 구속되기로 동의하는 경우, 또는 다음과 같은 경우:

1. 제45조 규정(EU) 2016/679의 제XNUMX조에 따라 제XNUMX자 이전을 다루는 적정성 결정의 혜택을 받는 국가로 제XNUMX자 이전이 이루어집니다.
2. 그렇지 않으면 제46자가 규정(EU) 47/2016의 679조 또는 XNUMX조에 따라 적절한 보호 장치를 보장합니다.
3. 특정 행정, 규제 또는 사법 절차의 맥락에서 법적 청구의 설정, 행사 또는 방어를 위해 후속 전송이 필요한 경우 또는
4. 정보주체 또는 다른 자연인의 중요한 이익을 보호하기 위해 후속 전송이 필요합니다.

모든 후속 전송은 데이터 수입자가 본 조항에 따른 기타 모든 안전 장치, 특히 목적 제한을 준수해야 합니다.

8.9 문서화 및 준수

1. 데이터 수입자는 이 조항에 따른 처리와 관련된 데이터 수출자 또는 컨트롤러의 문의를 신속하고 적절하게 처리해야 합니다.
2. 당사자는 이 조항의 준수를 입증할 수 있어야 합니다. 특히, 데이터 수입자는 컨트롤러를 대신하여 수행된 처리 활동에 대한 적절한 문서를 보관해야 합니다.
3. 데이터 수입자는 본 조항에 명시된 의무의 준수를 입증하는 데 필요한 모든 정보를 데이터 수출자가 이용할 수 있도록 해야 하며, 이 정보를 컨트롤러에 제공해야 합니다.
4. 데이터 수입자는 합당한 간격으로 또는 비준수 징후가 있는 경우 본 조항이 적용되는 처리 활동에 대한 데이터 수출자의 감사를 허용하고 이에 기여해야 합니다. 데이터 수출자가 컨트롤러의 지시에 대한 감사를 요청하는 경우에도 동일하게 적용됩니다. 감사를 결정할 때 데이터 내보내기는 데이터 가져오기가 보유한 관련 인증을 고려할 수 있습니다.
5. 감사가 컨트롤러의 지시에 따라 수행되는 경우 데이터 내보내기는 결과를 컨트롤러가 사용할 수 있도록 해야 합니다.
6. 데이터 내보내기는 자체적으로 감사를 수행하거나 독립적인 감사를 위임하도록 선택할 수 있습니다. 감사에는 데이터 수입자의 구내 또는 물리적 시설에서의 검사가 포함될 수 있으며, 적절한 경우 합당한 통지와 함께 수행되어야 합니다.
7. 당사자는 감사 결과를 포함하여 (b) 및 (c)항에 언급된 정보를 요청 시 권한 있는 감독 기관이 이용할 수 있도록 해야 합니다.

조항 9

서브 프로세서 사용

1. 옵션 1: 특정 사전 승인 데이터 가져오기자는 컨트롤러의 사전 특정 서면 승인 없이 이 조항에 따라 데이터 내보내기를 대신하여 수행되는 처리 활동을 하위 프로세서에 하청 계약할 수 없습니다. 데이터 수입자는 최소한 [기간 지정] 컨트롤러가 승인을 결정할 수 있도록 하는 데 필요한 정보와 함께 서브 프로세서의 참여 이전에. 데이터 수출자에게 그러한 계약을 알려야 합니다. 컨트롤러가 이미 승인한 하위 프로세서 목록은 부록 III에서 찾을 수 있습니다. 양 당사자는 Annex III를 최신 상태로 유지해야 합니다. 옵션 2: 일반 서면 승인 데이터 가져오기자는 합의된 목록에서 하도급 프로세서(들)의 참여에 대한 컨트롤러의 일반 승인을 받습니다. 데이터를 가져오는 사람은 하위 프로세서의 추가 또는 교체를 통해 해당 목록에 대해 의도된 변경 사항을 컨트롤러에 서면으로 구체적으로 알려야 합니다. 적어도 [기간 지정] 사전에 이를 통해 컨트롤러가 하위 프로세서(들)의 참여 전에 이러한 변경에 반대할 수 있는 충분한 시간을 제공합니다. 데이터 수입자는 컨트롤러가 반대 권리를 행사할 수 있도록 하는 데 필요한 정보를 컨트롤러에 제공해야 합니다. 데이터 수입자는 데이터 수출자에게 하위 프로세서(들)의 참여를 알려야 합니다.
2. 데이터 수입자가 (컨트롤러를 대신하여) 특정 처리 활동을 수행하기 위해 하도급 처리자를 고용하는 경우 데이터를 구속하는 것과 동일한 데이터 보호 의무를 실질적으로 제공하는 서면 계약을 통해 그렇게 해야 합니다. 데이터 주체에 대한 제XNUMX자 수혜자 권리를 포함하여 본 조항에 따른 수입업자. ([4]) 양 당사자는 이 조항을 준수함으로써 데이터 수입자가 조항 8.8에 따른 의무를 이행한다는 데 동의합니다. 데이터를 가져오는 사람은 하도급 프로세서가 이 조항에 따라 데이터를 가져오는 사람에게 적용되는 의무를 준수하도록 해야 합니다.
3. 데이터 수입자는 데이터 수출자 또는 컨트롤러의 요청에 따라 이러한 하청 처리자 계약의 사본과 모든 후속 수정 사항을 제공해야 합니다. 비즈니스 비밀 또는 개인 데이터를 포함한 기타 기밀 정보를 보호하는 데 필요한 범위 내에서 데이터 수입자는 사본을 공유하기 전에 계약 내용을 수정할 수 있습니다.
4. 데이터 수입자는 데이터 수입자와의 계약에 따른 하위 처리자의 의무 이행에 대해 데이터 수출자에 대해 전적인 책임을 집니다. 데이터 수입자는 하위 처리자가 해당 계약에 따른 의무를 이행하지 못한 경우 데이터 수출자에게 통지해야 합니다.
5. 데이터 가져오기자는 하위 프로세서와 제XNUMX자 수익자 조항에 동의해야 합니다. 데이터 가져오기가 실제로 사라지거나 법적으로 존재하지 않거나 지급 불능 상태가 된 경우 데이터 내보내기는 하위 프로세서를 종료할 권리가 있습니다. 처리자 계약 및 하위 처리자에게 개인 데이터를 지우거나 반환하도록 지시합니다.

조항 10

데이터 주체 권리

1. 데이터 수입자는 컨트롤러에 의해 승인되지 않은 한 해당 요청에 응답하지 않고 데이터 내보내기자 및 해당되는 경우 컨트롤러에게 데이터 주체로부터 받은 모든 요청에 ​​대해 즉시 통지해야 합니다.
2. 데이터 가져오기는 적절한 경우 데이터 내보내기와 협력하여 컨트롤러가 규정(EU) 2016/679 또는 규정(EU) 2018/1725에 따라 권리 행사에 대한 데이터 주체의 요청에 응답할 의무를 이행하도록 지원해야 합니다. , 해당하는 경우. 이와 관련하여 당사자는 필요한 지원의 범위와 범위뿐만 아니라 지원이 제공되는 처리의 성격을 고려하여 적절한 기술 및 조직적 조치를 부속서 II에 명시해야 합니다.
3. (a) 및 (b)항에 따른 의무를 이행함에 있어 데이터 수입자는 데이터 수출자가 전달한 대로 컨트롤러의 지시를 준수해야 합니다.

조항 11

구제

1. 데이터를 가져오는 사람은 개별 통지 또는 웹사이트를 통해 불만을 처리할 수 있는 연락처를 데이터 주체에게 투명하고 쉽게 접근할 수 있는 형식으로 알려야 합니다. 데이터 주체로부터 받은 불만 사항을 즉시 처리해야 합니다.[옵션: 데이터 수입자는 데이터 주체가 독립적인 dispute 결의체([5]) 데이터 주체에게 무료로 제공됩니다. (a)항에 명시된 방식으로 정보주체에게 그러한 시정 메커니즘을 알리고, 시정 절차를 사용하거나 특정 절차를 따를 필요가 없음을 알려야 합니다.]
2. 광고의 경우isp본 조항 준수와 관련하여 데이터 주체와 당사자 중 한 당사자 간에 의견이 일치하는 경우 해당 당사자는 문제를 적시에 우호적으로 해결하기 위해 최선의 노력을 다해야 합니다. 당사자는 그러한 d에 대해 서로에게 알려야 합니다.isp문제를 해결하기 위해 적절한 경우 협력합니다.
3. 데이터 주체가 3항에 따라 제XNUMX자 수익권을 발동하는 경우 데이터 수입자는 다음과 같은 데이터 주체의 결정을 수락해야 합니다.
   1. 13항에 따라 상거소 또는 근무지가 있는 회원국의 감독 기관 또는 권한 있는 감독 기관에 불만을 제기합니다.
   2. d를 참조하십시오isp제18조의 의미 내에서 관할 법원에 제출합니다.
4. 양 당사자는 규정(EU) 80/1의 2016(679)조에 명시된 조건에 따라 데이터 주체가 비영리 단체, 조직 또는 협회로 대표될 수 있다는 점에 동의합니다.
5. 데이터 수입자는 해당 EU 또는 회원국 법률에 따라 구속력이 있는 결정을 준수해야 합니다.
6. 데이터 수입자는 데이터 주체의 선택이 해당 법률에 따라 구제책을 모색할 수 있는 자신의 실질적이고 절차적인 권리를 침해하지 않는다는 데 동의합니다.

조항 12

Liability

1. 각 당사자는 본 조항의 위반으로 인해 상대방 당사자가 입은 손해에 대해 상대방 당사자에게 책임이 있습니다.
2. 데이터 수입자는 데이터 주체에 대해 책임을 져야 하며 데이터 주체는 데이터 수입자 또는 그 하위 처리자가 제XNUMX자의 수익권을 위반하여 데이터 주체에 야기한 모든 물질적 또는 비물질적 손해에 대해 보상을 받을 자격이 있습니다. 이 조항에 따라.
3. (b)항에도 불구하고 데이터 내보내기자는 데이터 주체에 대해 책임을 지며 데이터 주체는 데이터 내보내기자 또는 데이터 수입자(또는 그 하위 처리자)의 모든 물질적 또는 비물질적 손해에 대해 보상을 받을 자격이 있습니다. 이 조항에 따른 제2016자 수익자의 권리를 위반하여 데이터 주체를 야기합니다. 이는 데이터 내보내기의 책임을 침해하지 않으며 데이터 내보내기가 컨트롤러를 대신하는 프로세서인 경우 규정(EU) 679/2018 또는 규정(EU) 1725/XNUMX에 따른 컨트롤러의 책임을 침해하지 않습니다. 해당하는 경우.
4. 양 당사자는 데이터 수출자가 데이터 수입자(또는 그 하위 처리자)로 인해 발생한 손해에 대해 단락 (c)에 따라 책임을 지는 경우 데이터 수입자로부터 해당 보상의 일부를 데이터 수입자에게 청구할 자격이 있다는 데 동의합니다. 손상에 대한 데이터 가져오기의 책임.
5. 둘 이상의 당사자가 이 조항의 위반으로 인해 데이터 주체에게 발생한 손해에 대해 책임이 있는 경우 모든 책임 있는 당사자는 공동으로 그리고 개별적으로 책임을 져야 하며 데이터 주체는 이러한 조항에 대해 법원에 소송을 제기할 수 있습니다. 파티.
6. 당사자는 한 당사자가 단락 (e)에 따라 책임을 지는 경우 손해에 대한 책임에 해당하는 보상 부분을 다른 당사자에게 청구할 수 있다는 데 동의합니다.
7. 데이터 수입자는 자신의 책임을 피하기 위해 하위 처리자의 행위를 발동할 수 없습니다.

조항 13

감독

1. [데이터 내보내기가 EU 회원국에 설립된 경우:] Annex IC에 표시된 데이터 전송과 관련하여 데이터 내보내기가 규정(EU) 2016/679를 준수하는지 확인할 책임이 있는 감독 기관은 권한 있는 역할을 합니다. 감독당국.

   [데이터 수출자가 EU 회원국에 설립되지 않았지만 2016(679)조에 따라 Regulation (EU) 3/2의 적용 지역 범위에 속하고 27(1)조에 따라 대리인을 임명한 경우 ) of Regulation (EU) 2016/679:] Regulation (EU) 27/1의 2016(679)조의 의미 내에서 대리인이 설립된 회원국의 감독 기관은 부속서 IC에 표시된 대로 조치를 취해야 합니다. 관할 감독 기관으로.

   [데이터 수출자가 EU 회원국에 설립되지 않았지만 제2016(679)조에 따라 Regulation (EU) 3/2의 적용 지역 범위에 속하지만 제27조에 따라 대리인을 임명할 필요가 없는 경우 규정(EU) 2/2016의 (679):] 상품 또는 서비스 제공과 관련하여 본 조항에 따라 개인 데이터가 전송되는 데이터 주체 또는 그 행동이 있는 회원국 중 하나의 감독 기관 부속서 IC에 표시된 대로 모니터링되고 위치하며 관할 감독 기관의 역할을 해야 합니다.

2. 데이터 수입자는 이 조항의 준수를 보장하기 위한 모든 절차에서 권한 있는 감독 기관의 관할권에 복종하고 이에 협력하는 데 동의합니다. 특히, 데이터 수입자는 문의에 응답하고 감사에 제출하며 시정 및 보상 조치를 포함하여 감독 기관이 채택한 조치를 준수하는 데 동의합니다. 필요한 조치가 취해졌다는 서면 확인서를 감독 기관에 제공해야 합니다.

섹션 III – 공공 기관이 액세스하는 경우의 현지 법률 및 의무

조항 14

조항 준수에 영향을 미치는 현지 법률 및 관행

1. 1. 당사자는 개인 데이터를 공개해야 하는 요구 사항 또는 공공 기관의 액세스 권한을 부여하는 조치를 포함하여 데이터 수입자의 개인 데이터 처리에 적용되는 목적지 제23국의 법률 및 관행이 다음을 방지한다고 믿을 이유가 없음을 보증합니다. 데이터 수입자가 본 조항에 따른 의무를 이행하지 못하도록 합니다. 이는 기본권과 자유의 본질을 존중하고 규정(EU 규정) 1(2016)조에 나열된 목표 중 하나를 보호하기 위해 민주 사회에서 필요하고 비례하는 것을 초과하지 않는 법률과 관행이라는 이해에 기반합니다. ) 679/XNUMX, 이 조항과 모순되지 않습니다.
   2. 양 당사자는 (a)항의 보증을 제공할 때 특히 다음 요소를 적절히 고려했음을 선언합니다.
      1. 처리 체인의 길이, 관련된 행위자의 수 및 사용된 전송 채널을 포함한 전송의 특정 상황 예정된 전송; 받는 사람의 유형; 처리 목적; 전송된 개인 데이터의 범주 및 형식 이전이 발생하는 경제 부문; 전송된 데이터의 저장 위치;
      2. 전송의 특정 상황과 적용 가능한 제한 및 안전 장치에 비추어 볼 때 공공 기관에 대한 데이터 공개를 요구하거나 해당 기관의 액세스 권한을 승인하는 것을 포함하여 목적지 제XNUMX국의 법률 및 관행([6]);
      3. 전송 중에 적용되는 조치와 목적지 국가에서 개인 데이터를 처리하는 데 적용되는 조치를 포함하여 본 조항에 따른 보호 장치를 보완하기 위해 마련된 모든 관련 계약적, 기술적 또는 조직적 보호 장치.
   3. 데이터 수입자는 단락 (b)에 따른 평가를 수행할 때 관련 정보를 데이터 수출자에게 제공하기 위해 최선의 노력을 기울였음을 보증하고 이 조항의 준수를 보장하기 위해 데이터 수출자와 계속 협력할 것에 동의합니다.
   4. 당사자는 (b)항에 따른 평가를 문서화하고 요청 시 권한 있는 감독 기관이 이를 이용할 수 있도록 하는 데 동의합니다.
   5. 데이터 수입자는 본 조항에 동의한 후 계약 기간 동안 단락의 요구 사항과 일치하지 않는 법률 또는 관행의 적용을 받거나 적용 받았다고 믿을만한 이유가 있는 경우 즉시 데이터 수출자에게 알리는 데 동의합니다. (a) 제XNUMX국 법률의 변경에 따른 조치 또는 (a)항의 요구 사항과 일치하지 않는 해당 법률의 실제 적용을 나타내는 조치(예: 공개 요청)를 포함합니다. 데이터를 내보내는 사람은 컨트롤러에 알림을 전달해야 합니다.
   6. (e)항에 따른 알림을 받은 후 또는 데이터를 내보내는 사람이 데이터를 가져오는 사람이 더 이상 본 조항에 따른 의무를 이행할 수 없다고 믿을 만한 이유가 있는 경우 데이터를 내보내는 사람은 즉시 적절한 조치(예: 기술적 또는 조직적 조치)를 확인해야 합니다. 보안 및 기밀성) 상황을 해결하기 위해 데이터 수출자 및/또는 데이터 수입자가 컨트롤러와 협의하여 채택해야 합니다. 데이터를 내보내는 사람은 그러한 전송에 대한 적절한 안전 장치가 보장될 수 없다고 생각하거나 컨트롤러 또는 관할 감독 기관의 지시가 있는 경우 데이터 전송을 중단해야 합니다. 이 경우 데이터 수출자는 본 조항에 따른 개인 데이터 처리와 관련된 계약을 해지할 수 있습니다. 계약에 둘 이상의 당사자가 관련된 경우 당사자가 달리 합의하지 않는 한 데이터 수출자는 관련 당사자에 대해서만 이 해지 권리를 행사할 수 있습니다. 본 조항에 따라 계약이 해지되는 경우 16(d) 및 (e) 조항이 적용됩니다.

조항 15

공공 기관이 접근하는 경우 데이터 수입자의 의무

15.1 통지

1. 1. 데이터 가져오기자는 다음과 같은 경우 데이터 내보내기자 및 가능한 경우 데이터 주체에게 즉시(필요한 경우 데이터 내보내기자의 도움을 받아) 통지하는 데 동의합니다.
      1. 이 조항에 따라 전송된 개인 데이터의 공개에 대해 목적지 국가의 법률에 따라 사법 당국을 포함한 공공 기관으로부터 법적 구속력이 있는 요청을 받은 경우 이러한 통지에는 요청된 개인 데이터, 요청 권한, 요청에 대한 법적 근거 및 제공된 응답에 대한 정보가 포함됩니다. 또는
      2. 목적지 국가의 법률에 따라 본 조항에 따라 전송된 개인 데이터에 대한 공공 기관의 직접적인 접근을 인지하게 됩니다. 이러한 통지에는 수입자가 사용할 수 있는 모든 정보가 포함되어야 합니다. 데이터 수출자는 통지를 컨트롤러에 전달해야 합니다.
         • 데이터 수입자가 목적지 국가의 법률에 따라 데이터 수출자 및/또는 데이터 주체에게 통지하는 것이 금지된 경우, 데이터 수입자는 최대한 많은 정보를 전달할 목적으로 금지 사항의 면제를 얻기 위해 최선의 노력을 다할 것에 동의합니다. 가능한 한 빨리 정보를 제공합니다. 데이터 수입자는 데이터 수출자의 요청에 따라 이를 입증할 수 있도록 최선의 노력을 문서화하는 데 동의합니다.
         • 대상 국가의 법률에 따라 허용되는 경우 데이터 수입자는 계약 기간 동안 정기적으로 데이터 수출자에게 수신된 요청에 대해 가능한 한 많은 관련 정보(특히 요청 수, 요청된 데이터 유형, 요청 권한, 요청에 대한 이의 제기 여부 및 outco나에게 그러한 도전 등). 데이터 수출자는 컨트롤러에 정보를 전달해야 합니다.
         • 데이터 수입자는 계약 기간 동안 단락 (a)에서 (c)에 따라 정보를 보존하고 요청 시 권한 있는 감독 기관에 제공하는 데 동의합니다.
         • (a) ~ (c)항은 14(e)항 및 16항에 따라 이러한 조항을 준수할 수 없는 경우 데이터 수출자에게 즉시 알려야 하는 데이터 수입자의 의무를 침해하지 않습니다.

      15.2 적법성 검토 및 데이터 최소화

      1. 데이터 수입자는 공개 요청의 적법성을 검토하는 데 동의하며, 특히 공개 요청이 요청하는 공공 기관에 부여된 권한 내에 있는지 여부를 검토하고, 주의 깊게 평가한 후 요청은 도착 국가의 법률, 국제법에 따른 적용 가능한 의무 및 국제 사회 원칙에 따라 불법입니다. 데이터 수입자는 동일한 조건에서 항소 가능성을 추구해야 합니다. 요청에 이의를 제기할 때 데이터 수입자는 권한 있는 사법 당국이 본안에 대해 결정할 때까지 요청의 효과를 정지하기 위한 잠정 조치를 모색해야 합니다. 해당 절차 규칙에 따라 요구될 때까지 요청된 개인 데이터를 공개하지 않습니다. 이러한 요구 사항은 14(e)항에 따른 데이터 수입자의 의무를 침해하지 않습니다.
      2. 데이터 수입자는 법적 평가 및 공개 요청에 대한 이의 제기를 문서화하고 대상 국가의 법률에 따라 허용되는 범위 내에서 데이터 수출자가 문서를 사용할 수 있도록 하는 데 동의합니다. 또한 요청 시 관할 감독 기관에서 사용할 수 있도록 해야 합니다. 데이터 수출자는 컨트롤러가 평가를 사용할 수 있도록 해야 합니다.
      3. 데이터 수입자는 공개 요청에 응답할 때 허용되는 최소한의 정보를 제공하는 데 동의합니다.erp요청의 재검토.

      섹션 IV – 최종 조항

      조항 16

      조항 위반 및 해지

      1. 데이터 수입자는 이유를 불문하고 이 조항을 준수할 수 없는 경우 데이터 수출자에게 즉시 알려야 합니다.
      2. 데이터 수입자가 이 조항을 위반하거나 이 조항을 준수할 수 없는 경우 데이터 수출자는 준수가 다시 확인되거나 계약이 종료될 때까지 데이터 수입자에게 개인 데이터 전송을 중단해야 합니다. 이는 14(f)항을 침해하지 않습니다.
      3. 데이터 내보내기는 다음과 같은 경우 이 조항에 따른 개인 데이터 처리와 관련하여 계약을 해지할 수 있습니다.
         1. 데이터 내보내기가 단락 (b)에 따라 데이터 가져오기에 대한 개인 데이터 전송을 일시 중지했으며 이 조항의 준수가 합리적인 시간 내에 어떠한 경우에도 중지 후 XNUMX개월 이내에 복원되지 않습니다.
         2. 데이터 수입자가 본 조항을 실질적으로 또는 지속적으로 위반하는 경우 또는
         3. 데이터 수입자는 본 조항에 따른 의무와 관련하여 관할 법원 또는 감독 기관의 구속력 있는 결정을 준수하지 않습니다. 이러한 경우, 관할 감독 기관 및 컨트롤러에게 그러한 비준수 사실을 알려야 합니다. 계약에 둘 이상의 당사자가 관련된 경우 당사자가 달리 합의하지 않는 한 데이터 수출자는 관련 당사자에 대해서만 이 해지 권리를 행사할 수 있습니다.
      4. (c)항에 따라 계약이 종료되기 전에 전송된 개인 데이터는 데이터 수출자의 선택에 따라 즉시 데이터 수출자에게 반환되거나 완전히 삭제됩니다. 모든 데이터 사본에도 동일하게 적용됩니다. 데이터를 가져오는 사람은 데이터를 내보내는 사람에게 데이터 삭제를 인증해야 합니다. 데이터가 삭제되거나 반환될 때까지 데이터 수입자는 이 조항을 계속 준수해야 합니다. 전송된 개인 데이터의 반환 또는 삭제를 금지하는 데이터 수입자에게 적용되는 현지 법률의 경우, 데이터 수입자는 계속해서 이러한 조항을 준수하고 해당 범위 및 기간 동안만 데이터를 처리할 것임을 보증합니다. 해당 지역 법률에 따라 요구됩니다.
      5. 각 당사자는 (i) 유럽 위원회가 규정(EU) 45/3의 2016(679)조에 따라 이 조항이 적용되는 개인 데이터의 전송을 다루는 결정을 채택하는 경우, 이 조항에 구속된다는 동의를 철회할 수 있습니다. 또는 (ii) 규정(EU) 2016/679가 개인 데이터가 전송되는 국가의 법적 프레임워크의 일부가 됩니다. 이는 규정(EU) 2016/679에 따라 해당 처리에 적용되는 다른 의무를 침해하지 않습니다.

      조항 17

      준거법

      [옵션 1: 이 조항은 제XNUMX자 수혜자 권리를 허용하는 한 EU 회원국 중 하나의 법률에 의해 규율됩니다. 당사자들은 이것이 _______(회원국 지정).]

      [옵션 2: 이 조항은 데이터 수출자가 설립된 EU 회원국의 법률에 의해 규율됩니다. 그러한 법이 제XNUMX자 수혜자 권리를 허용하지 않는 경우, 제XNUMX자 수혜자 권리를 허용하는 다른 EU 회원국의 법률이 적용됩니다. 당사자들은 이것이 _______(회원국 지정).]

      조항 18

      법정 및 관할 구역 선택

      1. 모든 disp이 조항에서 발생하는 문제는 EU 회원국 법원에서 해결해야 합니다.
      2. 당사자들은 이들이 _____(회원국 지정).
      3. 데이터 주체는 또한 데이터 내보내기 및/또는 데이터 가져오기를 자신의 상거소가 있는 회원국 법원에 소송을 제기할 수 있습니다.
      4. 당사자는 그러한 법원의 관할권에 복종하는 데 동의합니다.

      부록

      설명 참고:

      각 전송 또는 전송 범주에 적용되는 정보를 명확하게 구분할 수 있어야 하며, 이와 관련하여 데이터 수출자 및/또는 데이터 수입자로서 당사자의 각각의 역할을 결정할 수 있어야 합니다. 각 양도/이전 범주 및/또는 계약 관계에 대해 별도의 부록을 작성하고 서명할 필요는 없으며, 이 투명성은 하나의 부록을 통해 달성할 수 있습니다. 그러나 충분한 명확성을 보장하기 위해 필요한 경우 별도의 부록을 사용해야 합니다.

      부속서 I

      A. 당사자 목록

      데이터 수출자:[데이터 수출자 및 해당되는 경우 데이터 보호 책임자 및/또는 유럽 연합 대표의 신원 및 연락처 세부 정보]

      • 이름: …………………………………

        주소: ……………………………….

        담당자의 이름, 직위 및 연락처 세부 정보:…
        ………………………………………………………

        이 조항에 따라 전송된 데이터와 관련된 활동:
        ...........................................................................................
        ...........................................................................................

        서명 및 날짜: ………………

        역할(컨트롤러/프로세서):

      • ..........

      데이터 가져오기:[데이터 보호에 대한 책임이 있는 담당자를 포함하여 데이터 수입자의 신원 및 연락처 세부 정보]

      • 이름: ……………………………….

        주소: ……………………………..

        담당자의 이름, 직위 및 연락처 세부 정보: ……….
        ...............................................................

        이 조항에 따라 전송된 데이터와 관련된 활동:
        ...........................................................................................
        ...........................................................................................

        서명 및 날짜: ...........

        역할(컨트롤러/프로세서):

      • .............

      B. 양도에 대한 설명
      
      개인정보가 이전되는 정보주체의 범주
      ...
      전송된 개인 데이터의 범주
      ...
      민감한 데이터 전송(해당되는 경우) 및 엄격한 목적 제한, 액세스 제한(전문 교육을 이수한 직원만 액세스 포함), 데이터에 대한 액세스 기록, 전송 제한 또는 추가 보안 조치.
      ...
      전송 빈도(예: 데이터가 일회성 또는 연속적으로 전송되는지 여부).
      ...
      처리의 성격
      ...
      데이터 전송 및 추가 처리의 목적
      ...
      개인 데이터가 보유되는 기간 또는 이것이 불가능한 경우 해당 기간을 결정하는 데 사용되는 기준
      ...
      (하위) 프로세서로 전송하는 경우 제목도 지정하십시오. matt어, 처리의 성격 및 기간
      ...

      C. 유능한 감독 기관

      13항에 따라 권한 있는 감독 기관을 식별합니다.
      ...
      

      부록 II

      데이터의 보안을 보장하기 위한 기술적 및 조직적 조치를 포함한 기술적 및 조직적 조치

      설명 참고:

      기술적 및 조직적 조치는 구체적인(일반적이지 않은) 용어로 설명되어야 합니다. 특히 각 이전/이전 세트에 어떤 조치가 적용되는지 명확하게 표시해야 할 필요성에 대해서는 부록 첫 페이지의 일반 논평을 참조하십시오.

      처리의 성격, 범위, 맥락 및 목적, 권리에 대한 위험을 고려하여 적절한 수준의 보안을 보장하기 위해 데이터 수입업체(관련 인증 포함)가 구현한 기술적 및 조직적 조치에 대한 설명 자연인의 자유.

      [가능한 조치의 예:

      개인 데이터의 가명화 및 암호화 조치

      처리 시스템 및 서비스의 지속적인 기밀성, 무결성, 가용성 및 복원력을 보장하기 위한 조치

      물리적 또는 기술적 사고 발생 시 적시에 개인 데이터에 대한 가용성 및 액세스를 복원할 수 있는 능력을 보장하기 위한 조치

      처리의 보안을 보장하기 위해 기술적 및 조직적 조치의 효과를 정기적으로 테스트, 평가 및 평가하는 프로세스

      이용자 식별 및 승인에 관한 조치

      전송 중 데이터 보호 조치

      보관 중 데이터 보호를 위한 조치

      개인정보를 처리하는 장소의 물리적 보안 확보 조치

      이벤트 로깅을 보장하기 위한 조치

      기본 구성을 포함한 시스템 구성을 보장하기 위한 조치

      내부 IT 및 IT 보안 거버넌스 및 관리를 위한 조치

      공정 및 제품의 인증/보증을 위한 조치

      데이터 최소화를 위한 조치

      데이터 품질 확보를 위한 조치

      제한된 데이터 보존을 위한 조치

      책임성 확보를 위한 조치

      데이터 이동성 허용 및 확실한 삭제 조치]

      (하위) 프로세서로 전송하는 경우에도 컨트롤러에 지원을 제공할 수 있도록 (하위) 프로세서가 취해야 하는 특정 기술 및 조직적 조치를 설명하고, 프로세서에서 하위 프로세서로의 이전을 위해 데이터 내보내기

      ...

      부록 III

      하위 프로세서 목록

      설명 참고:

      하도급 수탁처리자의 특정 승인이 있는 경우 이 부록을 작성해야 합니다(9(a)절, 옵션 1).

      컨트롤러는 다음 하위 프로세서의 사용을 승인했습니다.

      • 이름: …………….
        주소: …………..
        담당자 이름, 직위 및 연락처: …
        처리에 대한 설명(여러 하도급 처리자가 승인된 경우 책임의 명확한 구분 포함): ……………………..
      • ………………….

      [1] 데이터 수출자가 컨트롤러로 연합 기관 또는 기관을 대신하여 행동하는 규정(EU) 2016/679의 적용을 받는 프로세서인 경우 규정(EU) 2016/ 679는 또한 29년 4월 2018일자 유럽 의회 및 이사회 규정(EU) 1725/23의 2018(45)조 준수를 보장합니다. , 사무소 및 기관 및 이러한 데이터의 자유로운 이동, Regulation (EC) No 2001/1247 및 Decision No 2002/XNUMX/EC 폐지(OJ L 295, 21.11.2018, p. 39), 규정(EU) 29/3의 2018(1725)조에 따라 컨트롤러와 프로세서 간의 계약 또는 기타 법적 조치에 명시된 데이터 보호 의무와 본 조항이 일치하는 범위까지. 특히 컨트롤러와 프로세서가 Decision 2021/915에 포함된 표준 계약 조항에 의존하는 경우가 이에 해당합니다.

      [2] 규정(EU) 28/4의 2016(679)조 및 컨트롤러가 EU 기관 또는 단체인 경우 규정(EU) 29/4의 2018(1725)조를 참조하십시오.

      [3]  유럽 ​​경제 지역에 관한 협정(EEA 협정)은 유럽 연합의 내부 시장을 아이슬란드, 리히텐슈타인 및 노르웨이의 XNUMX개 EEA 국가로 확장하는 것을 규정합니다. 연합 데이터 보호법sla규정(EU) 2016/679를 포함하여 EEA 협정의 적용을 받으며 부속서 XI에 통합되었습니다. 따라서 데이터 수입자가 EEA에 위치한 제XNUMX자에게 공개하는 것은 본 조항의 목적을 위한 제XNUMX자 전송에 해당하지 않습니다.

      [4] 이 요구 사항은 7절에 따라 해당 모듈의 이 조항에 동의하는 하위 프로세서에 의해 충족될 수 있습니다.

      [5] 데이터 수입자는 독립적인 데이터를 제공할 수 있습니다.isp중재 판정 집행에 관한 뉴욕 협약을 비준한 국가에 중재 기관이 설립된 경우에만 중재 기관을 통해 해결할 수 있습니다.

      [6] 이러한 법률 및 관행이 이 조항의 준수에 미치는 영향과 관련하여 다른 요소가 전체 평가의 일부로 간주될 수 있습니다. 그러한 요소에는 충분히 대표되는 기간 동안 공공 기관의 공개 요청 또는 그러한 요청의 부재에 대한 관련 문서화된 실제 경험이 포함될 수 있습니다. 이는 특히 실사에 따라 지속적으로 작성되고 고위 경영진 수준에서 인증된 내부 기록 또는 기타 문서를 의미합니다. 단, 이 정보는 제XNUMX자와 합법적으로 공유될 수 있습니다. 데이터 수입자가 이 조항을 준수하는 것이 방해받지 않을 것이라는 결론을 내리기 위해 이러한 실제 경험에 의존하는 경우, 다른 관련 객관적 요소에 의해 뒷받침되어야 하며, 당사자는 이러한 요소가 함께 충분한 정보를 제공하는지 신중하게 고려해야 합니다. 신뢰성과 대표성 측면에서 가중치를 부여하여 이 결론을 뒷받침합니다. 특히, 당사자는 동일한 부문 내 요청의 존재 여부 및/또는 실제 법률 적용에 대한 공개적으로 이용 가능하거나 달리 접근 가능하고 신뢰할 수 있는 정보에 의해 실제 경험이 입증되고 모순되지 않는지 여부를 고려해야 합니다. 판례법 및 독립적인 감독 기관의 보고서와 같은.

      다운로드