고객 표준 계약 조항(Customer Standard Contractual Clauses, SCC) (개인정보처리 위탁자에서 개인정보처리 수탁자로)
본 표준 계약 조항은 https://www.monday.com/terms/dpa에서 제공되거나 고객 데이터에 포함된 개인 데이터 처리를 관리하도록 고객과 monday.com 사이에 체결된 기타 계약에서 제공되는 monday.com 데이터 처리 부록(Data Processing Addendum, ‘DPA‘)에 첨부되어 그 일부를 구성합니다. 본 첨부에서 달리 정의하지 않는 한, 본 표준 계약 조항에 사용된 대문자 용어는 DPA에서 부여한 의미를 갖습니다.
제I절
제1항
목적 및 범위
(a) 본 표준 계약 조항의 목적은 개인 데이터 처리 및 제3국으로의 개인 데이터 이전을 위한 해당 데이터의 자유로운 이동과 관련하여 자연인 보호에 관해 유럽 의회 및 이사회에서 2016년 4월 27일에 채택된 규정(Regulation (EU) 2016/679)(일반 데이터 보호 규정)의 요구 사항을 준수하도록 보장하는 것입니다.
(b) 당사자:
(i) 부속서 I.A에 나열된 바와 같이 개인 데이터를 이전하는 자연인 또는 법인, 공공 기관, 대행사 또는 기타 단체(이하 ‘단체’)(이하 각 ‘데이터 수출자’) 및
(ii) 부속서 I.A에 나열된 바와 같이 본 조항의 당사자이기도 한 다른 단체를 통해 직접적 또는 간접적으로 데이터 수출자로부터 개인 데이터를 받는 제3국의 단체(이하 각 ‘데이터 수입자’)는
본 표준 계약 조항(이하 ‘조항’)에 동의했습니다.
(c) 본 조항은 부속서 I.B에 명시된 개인 데이터 이전과 관련하여 적용됩니다.
(d) 여기에 언급된 부속서를 포함하는 본 조항의 부록은 본 조항의 필수적인 부분을 구성합니다.
제2항
조항의 효력 및 불변성
(a) 본 조항은 규정 2016/679의 제46조 제(1)항 제46조 제(2)항 (c)호에 따라 집행 가능한 데이터 주체 권리와 효과적인 법적 구제를 포함한 적절한 보호 조치를 명시하며, 규정(EU) 2016/679의 제28조 제(7)항에 의거하여 개인정보처리 위탁자에서 개인정보처리 수탁자로 및/또는 개인정보처리 수탁자에서 개인정보처리 수탁자로의 데이터 이전과 관련하여 이를 수정하지 않는 한(단, 적절한 모듈을 선택하거나 부록에서 정보를 추가 또는 업데이트하는 경우에는 수정되지 않음), 표준 계약 조항을 규정합니다. 이는 직접적 또는 간접적으로 본 조항에 모순되거나 데이터 주체의 기본권 또는 자유를 침해하지 않는 한, 당사자들이 본 조항에 규정된 표준 계약 조항을 더 넓은 계약에 포함시키는 것 및/또는 다른 조항이나 추가적인 보호 조치를 추가하는 것을 막지 않습니다.
(b) 본 조항은 규정(EU) 2016/679에 따라 데이터 수출자에게 적용되는 의무를 침해하지 않습니다.
제3항
제3자 수혜자
(a) 데이터 주체는 제3자 수혜자로서 데이터 수출자 및/또는 데이터 수입자에 대해 본 조항을 시행하고 집행할 수 있습니다. 단, 다음은 제외됩니다.
(i) 제1항, 제2항, 제3항, 제6항, 제7항
(ii) 제8.1항 (b)호, 제8.9항 (c)호, (d)호, (e)호
(iii) 제9항 (a)호, (c)호, (d)호, (e)호
(iv) 제12항 (a)호, (d)호, (f)호
(v) 제13항
(vi) 제15.1항 (c)호, (d) (e)호
(vii) 제16항 (e)호
(viii) 제18항 (a)호, (b)호.
(b) (a)호는 규정(EU) 2016/679에 따른 데이터 주체의 권리를 침해하지 않습니다.
제4항
해석
(a) 본 조항이 규정(EU) 2016/679에 정의된 용어를 사용하는 경우 해당 용어는 해당 규정과 동일한 의미를 갖습니다.
(b) 본 조항은 규정(EU) 2016/679의 조항에 비추어 읽고 해석되어야 합니다.
(c) 본 조항은 규정(EU) 2016/679에 규정된 권리 및 의무와 충돌하는 방식으로 해석되어서는 안 됩니다.
제5항
체계
본 조항과 당사자 간 관련 계약 조항 사이에 모순이 있는 경우, 해당 계약이 합의되거나 체결되던 시점에 본 조항이 존재했다면 본 조항이 우선합니다.
제6항
이전에 대한 설명
이전의 세부사항, 특히 이전되는 개인 데이터의 범주와 이전 목적은 부속서 I.B에 명시되어 있습니다.
제7항 – 선택사항
사용하지 않음.
제II절 – 당사자의 의무
제8항
데이터 보호 안전 조치
데이터 수출자는 데이터 수입자가 적절한 기술 및 조직적 조치를 구현하여 본 조항에 따른 의무를 충족할 수 있는지 확인하기 위해 합리적인 노력을 기울였음을 보증합니다.
8.1 지침
(a) 데이터 수입자는 데이터 수출자의 문서화된 지침에 따라서만 개인 데이터를 처리해야 합니다. 데이터 수출자는 계약 기간 동안 이러한 지침을 제공할 수 있습니다.
(b) 데이터 수입자는 해당 지침을 따를 수 없는 경우 즉시 데이터 수출자에게 알려야 합니다.
8.2 목적 제한
데이터 수입자는 데이터 수출자의 추가 지침이 없는 한 부속서 I.B에 명시된 특정 이전 목적으로만 개인 데이터를 처리해야 합니다.
8.3 투명성
요청 시 데이터 수출자는 당사자들이 작성한 부록을 포함하여 본 조항의 사본을 데이터 주체에게 무료로 제공해야 합니다. 부속서 II에 설명된 조치를 포함하여 영업상의 비밀이나 기타 기밀 정보, 개인 데이터를 보호하기 위해 필요한 범위 내에서 데이터 수출자는 본 조항의 사본을 공유하기 전에 본 조항의 부록 본문 일부를 수정할 수 있지만, 데이터 주체가 그 내용을 이해할 수 없거나 자신의 권리를 행사할 수 없는 경우에는 그에 대한 의미 있는 요약을 제공해야 합니다. 요청 시 당사자들은 수정된 정보를 공개하지 않고 가능한 범위 내에서 데이터 주체에게 수정된 이유를 제공해야 합니다. 본 조항은 규정(EU) 2016/679 제13조 및 제14조에 따른 데이터 수출자의 의무를 침해하지 않습니다.
8.4 정확성
데이터 수입자가 수신한 개인 데이터가 부정확하거나 오래되었다는 사실을 알게 된 경우, 데이터 수출자에게 지체 없이 이를 알려야 합니다. 이 경우 데이터 수입자는 데이터 수출자와 협력하여 해당 데이터를 삭제하거나 수정해야 합니다.
8.5 데이터의 처리 및 삭제 또는 반환 기간
데이터 수입자의 데이터 처리는 부속서 I.B에 명시된 기간 동안에만 이루어져야 합니다. 데이터 처리 서비스 조항이 만료된 이후 데이터 수입자는 데이터 수출자의 선택에 따라 데이터 수출자를 대신하여 처리된 모든 개인 데이터를 삭제하고 데이터 수출자에게 이를 증명하거나, 혹은 데이터 수출자를 대신하여 처리한 모든 개인 데이터를 데이터 수출자에게 반환하고 기존 사본을 삭제해야 합니다. 데이터가 삭제되거나 반환될 때까지 데이터 수입자는 본 조항을 계속 준수해야 합니다. 개인 데이터의 반환 또는 삭제를 금지하는 현지 법률이 데이터 수입자에게 적용되는 경우, 데이터 수입자는 본 조항을 계속 준수하되 해당 현지 법률에 따라 요구되는 범위와 기간 동안만 데이터를 처리해야 합니다. 이는 제14항을 침해하지 않으며, 특히 제14항 (e)호에 따라 데이터 수입자가 제14항 (a)호의 요구 사항에 부합하지 않는 법률이나 관행의 적용을 받거나 그러한 법률이나 관행의 적용을 받게 되었다고 믿을 만한 이유가 있는 경우, 계약 기간 동안 데이터 수출자에게 이를 알려야 한다는 요구 사항을 침해하지 않습니다.
8.6 데이터 처리의 보안
(a) 데이터 수입자 및 데이터 수출자는 이전 중 데이터 안전을 보장하기 위해 적절한 기술적 조치와 조직적 조치를 시행해야 하며, 여기에는 데이터의 우발적 또는 불법적 파괴, 손실, 변경, 무단 공개 또는 접근으로 이어지는 보안 침해(이하 ‘개인 데이터 침해’)에 대한 보호가 포함됩니다. 적절한 보안 수준을 평가할 때 당사자들은 최신 기술, 구현 비용, 데이터 처리의 성격, 범위, 상황 및 목적, 데이터 주체에 대한 처리 관련 위험을 적절히 고려해야 합니다. 그러한 방식으로 데이터 처리의 목적을 달성할 수 있는 경우 당사자들은 이전 중을 포함하여 암호화 또는 가명 처리에 의존하는 것을 특히 고려해야 합니다. 가명 처리되는 경우, 개인 데이터를 특정 데이터 주체에 귀속시키기 위한 추가 정보는 가능한 경우 데이터 수출자의 독점적 통제 하에 유지되어야 합니다. 본 항에 따른 의무를 준수함에 있어 데이터 수입자는 최소한 부속서 II에 명시된 기술적 및 조직적 조치를 구현해야 합니다. 데이터 수입자는 이러한 조치가 적절한 보안을 계속 제공하고 있는지 확인하기 위해 정기적으로 점검을 수행해야 합니다.
(b) 데이터 수입자는 계약의 이행, 관리, 모니터링에 반드시 필요한 범위 내에서만 직원에게 데이터 접근 권한을 허용해야 합니다. 개인 데이터 처리 권한을 부여받은 사람이 기밀 유지를 약속했거나 기밀 유지에 대한 적절한 법적 의무가 있는지 확인해야 합니다.
(c) 본 조항에 따라 데이터 수입자가 처리하는 개인 데이터와 관련하여 개인 데이터 침해가 발생한 경우, 데이터 수입자는 부작용을 완화하기 위한 조치를 포함하여 데이터 침해를 해결하기 위한 적절한 조치를 취해야 합니다. 또한, 데이터 수입자는 데이터 침해 사실을 알게 된 후 지체 없이 데이터 수출자에게 이를 알려야 합니다. 그러한 통지에는 자세한 정보를 얻을 수 있는 연락처 세부 정보, 데이터 침해 성격에 대한 설명(가능한 경우 관련 데이터 주체와 개인 데이터 기록에 대한 범주 및 대략적인 수 포함), 예상되는 결과, 적절한 경우 발생 가능한 부작용을 완화하기 위한 조치를 포함하여 데이터 침해를 해결하기 위해 취해졌거나 제안된 조치가 포함되어야 합니다. 모든 통지를 동시에 제공할 수 없는 경우, 최초 통지에는 당시 이용 가능한 정보가 포함되어야 하며, 추가 정보는 이용 가능해지는 즉시 지체 없이 제공되어야 합니다.
(d) 데이터 수입자는 데이터 수출자가 규정(EU) 2016/679에 따른 의무를 준수할 수 있도록 데이터 수출자와 협력하고 지원해야 하며, 특히 데이터 처리의 성격과 데이터 수입자가 이용할 수 있는 정보를 고려하여 관할 감독 기관 및 영향을 받는 데이터 주체에게 통지해야 합니다.
8.7 민감한 데이터
이전에 인종이나 민족, 정치적 견해, 종교적 또는 철학적 신념, 노동조합 가입 여부를 나타내는 개인 데이터, 유전적 데이터, 또는 자연인을 고유하게 식별하기 위한 목적의 생체 데이터, 건강 또는 개인 성샐활이나 성적 지향에 관한 데이터, 혹은 범죄 유죄 판결 및 범죄 관련 데이터(이하 ‘민감한 데이터’)가 포함되는 경우, 데이터 수입자는 부속서 I.B에 기술된 특정 제한 및/또는 추가 보호 조치를 적용해야 합니다.
8.8 역외이전
데이터 수입자는 데이터 수출자의 문서화된 지침에 따라서만 개인 데이터를 제3자에게 공개해야 합니다. 또한, 데이터는 해당 제3자가 본 조항에 구속되거나 동의하는 경우, 또는 적절한 모듈에 따르거나 다음과 같은 경우, 유럽 연합 외부에 위치한 제3자에게만 공개될 수 있습니다(데이터 수입자 국가와 동일한 국가, 또는 다른 제3국, 이하 ‘역외이전’).
(i) 역외이전을 다루는 규정(EU) 2016/679의 제45조에 따라 적절성 결정의 혜택을 받는 국가의 경우,
(ii) 제3자가 문제의 처리와 관련하여 규정(EU) 2016/679 제46조 또는 제47조에 따라 적절한 보호 조치를 보장,
(iii) 특정 행정, 규제 또는 사법 절차의 맥락에서 법적 청구의 확립, 행사 또는 방어를 위해 역외이전이 필요한 경우, 또는
(iv) 데이터 주체 또는 다른 자연인의 중요한 이익을 보호하기 위해 역외이전이 필요한 경우.
모든 역외이전에서는 데이터 수입자가 본 조항에 따른 기타 모든 보호 조치, 특히 목적 제한을 준수해야 합니다.
8.9 문서화 및 규정 준수
(a) 데이터 수입자는 본 조항에 따른 처리와 관련된 데이터 수출자의 문의를 신속하고 적절하게 처리해야 합니다.
(b) 당사자는 본 조항을 준수하고 있음을 입증할 책임이 있습니다. 특히, 데이터 수입자는 데이터 수출자를 대신하여 수행된 데이터 처리 활동에 관한 적절한 문서를 보관해야 합니다.
(c) 데이터 수입자는 본 조항에 명시된 의무 준수를 입증하기 위해 필요한 모든 정보를 데이터 수출자에게 제공해야 하며, 데이터 수출자의 요청에 따라 본 조항이 적용되는 데이터 처리 활동에 대한 합리적인 주기의 감사 또는 위반 징후가 있을 때의 감사를 허용하고 협력해야 합니다. 검토 또는 감사를 결정할 때 데이터 수출자는 데이터 수입자가 보유한 관련 자격증을 고려사항에 넣을 수 있습니다.
(d) 데이터 수출자는 자체적으로 감사를 수행하거나 독립적인 감사관을 지정할 수 있습니다. 감사에는 데이터 수입자의 내부 시설 또는 물리적 시설에 때한 검사가 포함될 수 있으며, 해당되는 경우 합당한 통지를 통해 수행되어야 합니다.
(e) 당사자는 감사 결과를 포함하여 (b)호 및 (c)호에 언급된 정보를 요청 시 관할 감독 기관이 이용할 수 있게 해야 합니다.
제9항
하위 개인정보처리 수탁자의 사용
(a) 데이터 수입자는 합의된 목록에 있는 하위 개인정보처리 수탁자의 참여에 대한 데이터 수출자의 일반 승인을 보유합니다. 데이터 수입자는 하위 개인정보처리 수탁자의 추가 또는 교체를 통해 해당 목록에 대한 의도된 변경 사항을 최소 십(10) 영업일 이전에 데이터 수출자에게 서면으로 구체적으로 알려야 하며, 이를 통해 데이터 수출자가 하위 개인정보처리 수탁자의 참여 전에 해당 변경 사항에 대해 이의를 제기할 수 있는 충분한 시간을 제공해야 합니다. 데이터 수입자는 데이터 수출자가 반대 권리를 행사할 수 있도록 필요한 정보를 데이터 수출자에게 제공해야 합니다.
(b) 데이터 수입자가 (데이터 수출자를 대신하여)특정 데이터 처리 활동을 하기 위해 하위 개인정보처리 수탁자를 참여시키는 경우, 데이터 주체에 대한 제3자 수혜자 권리를 포함하여 본 조항에 따라 데이터 수입자를 구속하는 것과 실질적으로 동일한 데이터 보호 의무를 규정하는 서면 계약을 통해 이를 수행해야 합니다. 당사자는 본 조항을 준수함으로써 데이터 수입자가 제8.8항에 따른 의무를 이행한다는 데 동의합니다. 데이터 수입자는 하위 개인정보처리 수탁자가 본 조항에 따라 데이터 수입자가 적용받는 의무를 준수하는지 확인해야 합니다.
(c) 데이터 수입자는 데이터 수출자의 요청에 따라 그러한 하위 개인정보처리 수탁자 계약서의 사본과 후속 수정 사항을 데이터 수출자에게 제공해야 합니다. 개인 데이터를 포함하여 영업 비밀 또는 기타 기밀 정보를 보호하는 데 필요한 범위 내에서 데이터 수입자는 사본을 공유하기 전에 계약의 내용을 수정할 수 있습니다.
(d) 데이터 수입자는 데이터 수입자와의 계약에 따른 하위 개인정보처리 수탁자의 의무 이행에 대해 데이터 수출자에게 전적인 책임을 집니다. 데이터 수입자는 하위 개인정보처리 수탁자가 해당 계약에 따른 의무를 이행하지 못한 경우 데이터 수출자에게 통지해야 합니다.
(e) 데이터 수입자는 하위 개인정보처리 수탁자와의 제3자 수혜자 조항에 동의해야 하며, 이에 따라 데이터 수입자가 실제로 사라지거나 법적으로 존재하지 않거나 지불 불능 상태가 된 경우 데이터 수출자가 하위 개인정보처리 수탁자와의 계약을 종료하고 하위 개인정보처리 수탁자에게 개인 데이터를 지우거나 반환하도록 지시할 권리를 가집니다.
제10항
데이터 주체 권리
(a) 데이터 수입자는 데이터 주체로부터 받은 요청을 데이터 수출자에게 즉시 알려야 합니다. 데이터 수출자가 승인하지 않는 한 해당 요청 자체에 응답하지 않습니다.
(b) 데이터 수입자는 규정(EU) 2016/679에 따른 데이터 주체의 권리 행사 요청에 데이터 수출자가 응답할 의무를 이행하도록 지원해야 합니다. 이와 관련하여 당사자들은 지원이 제공되어야 하는 데이터 처리의 성격과 필요한 지원의 범위를 고려하여 적절한 기술적 조치 및 조직적 조치를 부속서 II에 명시해야 합니다.
(c) (a)호, (b)호에 따른 의무를 이행함에 있어 데이터 수입자는 데이터 수출자의 지침을 따라야 합니다.
제11항
시정
(a) 데이터 수입자는 불만사항을 처리할 수 있는 권한이 부여된 담당자 연락처를 개별 통지 또는 홈페이지를 통해 투명하고 쉽게 접근할 수 있는 형태로 데이터 주체에게 알려야 합니다. 데이터 주체로부터 접수된 불만사항에 대해서는 신속하게 처리해야 합니다.
(b) 본 조항의 준수와 관련하여 당사자 중 한 명과 데이터 주체 사이에 분쟁이 발생한 경우, 해당 당사자는 적시에 문제를 원만하게 해결하기 위해 최선의 노력을 다해야 합니다. 당사자들은 그러한 분쟁에 대해 서로에게 계속 정보를 제공하고, 적절한 경우 분쟁 해결에 협력해야 합니다.
(c) 데이터 주체가 제3항에 따라 제3자 수혜자 권리를 발동하는 경우, 데이터 수입자는 다음 각 호에 대한 데이터 주체의 결정을 수락해야 합니다.
(i) 상거소나 근무지가 있는 회원국의 감독 기관 또는 제13항에 따른 관할 감독 기관에 불만을 제기합니다.
(ii) 제18항의 의미 내에서 관할 법원에 분쟁을 회부합니다.
(d) 당사자들은 규정(EU) 2016/679의 제80조 제(1)항에 명시된 조건에 따라 데이터 주체가 비영리 기관, 조직 또는 협회에 의해 대표될 수 있다는 점에 동의합니다.
(e) 데이터 수입자는 해당되는 EU 또는 회원국 법률에 따라 구속력 있는 결정을 준수해야 합니다.
(f) 데이터 수입자는 데이터 주체의 선택이 해당 법률에 따라 구체책을 모색할 수 있는 본인의 실질적 및 절차적 권리를 침해하지 않는다는 데 동의합니다.
제12항
책임
(a) 각 당사자는 본 조항의 위반으로 인해 상대방 당사자에게 초래된 손해에 대해 상대방 당사자에게 책임을 집니다.
(b) 데이터 수입자는 데이터 주체에 대해 책임을 지며, 데이터 수입자 또는 그 하위 개인정보처리 수탁자가 본 조항에 따른 제3자 수혜자 권리를 침해하여 데이터 주체에게 물질적 또는 비물질적 손해를 초래한 경우 데이터 주체는 보상을 받을 자격이 있습니다.
(c) (b)호가 있더라도 데이터 수출자는 데이터 주체에 대해 책임을 져야 하며, 데이터 수출자 또는 데이터 수입자(또는 그 하위 개인정보처리 수탁자)가 본 조항에 따른 제3자 수혜자 권리를 침해하여 데이터 주체에게 물질적 또는 비물질적 손해를 초래한 경우 데이터 주체는 보상을 받을 자격이 있습니다. 이는 데이터 수출자의 책임을 침해하지 않으며, 데이터 수출자가 개인정보처리 위탁자를 대신하여 행동하는 개인정보처리 수탁자인 경우, 해당되는 경우 규정(EU) 2016/679 또는 규정(EU) 2018/1725에 따른 개인정보처리 위탁자의 책임을 침해하지 않습니다.
(d) 당사자들은 데이터 수출자가 데이터 수입자(또는 그 하위 개인정보처리 수탁자)로 인해 발생한 손해에 대해 (c)호에 따라 책임을 지는 경우, 데이터 수입자에게 손해에 대한 데이터 수입자의 책임에 상응하는 만큼의 보상금 일부를 돌려받을 권리가 있다는 데 동의합니다.
(e) 둘 이상의 당사자가 본 조항의 위반으로 인해 데이터 주체에 발생한 손해에 책임이 있는 경우, 모든 책임 당사자는 공동 및 개별적으로 책임을 져야 하며, 데이터 주체는 이러한 당사자에 대해 법정에서 소송을 제기할 권리가 있습니다.
(f) 당사자들은 (e)호에 따라 당사자 중 한 쪽에게 책임이 있는 경우, 손해에 대한 책임에 상응하는 만큼의 보상금 일부를 책임 당사자에게 청구할 권리가 있다는 데 동의합니다.
(g) 데이터 수입자는 자신의 책임을 회피하기 위해 하위 개인정보처리 수탁자의 행위를 법에 호소할 수 없습니다.
제13항
감독
(a) 데이터 수출자가 EU 회원국에 설립된 경우: 부속서 I.C에 명시된 대로 데이터 이전과 관련하여 데이터 수출자가 규정(EU) 2016/679를 준수하도록 보장할 책임이 있는 감독 기관이 관할 감독 기관 역할을 합니다.
데이터 수출자가 EU 회원국에 설립되지는 않았지만 제3조 제(2)항에 따라 규정(EU) 2016/679의 적용 지역 범위에 속하고 규정(EU) 2016/679의 제27조 제(1)항에 따라 대리인을 임명한 경우: 부속서 I.C에 명시된 바와 같이 규정(EU) 2016/679의 제27조 제(1)항에 따라 대표가 설립된 회원국의 감독 기관이 관할 감독 기관의 역할을 수행합니다.
데이터 수출자가 EU 회원국에 설립되지는 않았지만 제3조 제(2)항에 따라 규정(EU) 2016/679 적용 지역 범위에 속하되 규정(EU) 2016/679의 제27조에 따라 대리인을 임명할 필요가 없는 경우: 부속서 I.C에 명시된 바와 같이 상품 또는 서비스 제공과 관련하여 본 조항에 따라 개인 데이터가 이전되거나 행동이 모니터링되는 데이터 주체가 위치한 회원국 중 하나의 감독 기관이 관할 감독 기관으로 활동합니다.
(b) 데이터 수입자는 본 조항의 준수를 보장하기 위한 모든 절차에서 관할 감독 기관의 관할권을 따르고 협력하는 데 동의합니다. 특히, 데이터 수입자는 문의에 응답하고, 감사를 받고, 개선 및 보상 조치를 포함하여 감독 기관이 채택한 조치를 준수하는 데 동의합니다. 필요한 조치가 취해졌다는 서면 확인서를 감독 기관에 제출해야 합니다.
제III절 – 공공기관이 접근하는 경우의 현지 법률 및 의무
제14항
조항 준수에 영향을 미치는 현지 법률 및 관행
(a) 당사자들은 개인 데이터 공개 요구 사항이나 대중에게 접근 권한을 부여하는 조치 등과 같은 데이터 수입자의 개인 데이터 처리에 적용되는 제3국의 법률 및 관행이 데이터 수입자가 본 조항에 따른 의무 이행을 방해한다고 믿을 이유가 없음을 보증합니다. 이는 규정(EU) 2016/679의 제23조 제(1)항에 열거된 목적 중 하나를 보호하기 위해 기본권과 자유의 본질을 존중하고 민주사회에서 필요하며 균형을 이루는 수준을 초과하지 않는 법과 관행이 있으며, 이것이 본 조항들과 모순되지 않는다는 이해를 기반으로 합니다.
(b) 당사자들은 (a)호의 보증을 제공함에 있어 특히 다음 요소를 고려했음을 선언합니다.
(i) 데이터 처리 과정의 길이, 관련된 행위자의 수, 사용된 이전 채널 등과 같은 이전에 대한 구체적인 상황, 의도된 역외이전, 수신자 유형, 처리 목적, 이전된 개인 데이터의 범주 및 형식, 이전이 발생하는 경제 부문, 이전된 데이터의 저장 위치,
(ii) 공공기관으로의 데이터 공개 요구 또는 그러한 기관의 접근 승인을 포함하여 데이터 이전의 특정 상황과 적용 가능한 제한 및 보호 조치에 비추어 관련되는 목적지 제3국의 법률 및 관행,
(iii) 목적지 국가에서 개인 데이터를 이전하고 처리하는 동안 적용되는 조치를 포함하여 본 조항에 따른 보호 조치를 보완하기 위해 마련된 관련 계약상, 기술적 또는 조직적 보호 조치.
(c) 데이터 수입자는 (b)호에 따른 평가를 수행하면서 데이터 수출자에게 관련 정보를 제공하기 위해 최선을 다했음을 보증하며, 본 조항의 준수를 보장하기 위해 데이터 수출자와 계속해서 협력할 것에 동의합니다.
(d) 당사자들은 (b)호에 따른 평가를 문서화하고 요청 시 관할 감독 기관에 제출하는 것에 동의합니다.
(e) 데이터 수입자는 본 조항에 동의한 후 계약 기간 동안 제3국의 법률 변경이나 (a)호의 요구 사항에 부합하지 않는 실제 법률의 적용을 나타내는 조치(공개 요청 등)를 따르는 것을 포함하여, (a)호의 요구 사항에 부합하지 않는 법률이나 관행의 적용을 받거나 받게 되었다고 믿을 만한 이유가 있는 경우, 이를 데이터 수출자에게 즉시 알리는 것에 동의합니다.
(f) (e)호에 따른 통지 후 데이터 수입자가 본 조항에 따른 의무를 더 이상 이행할 수 없다고 믿을 만한 이유가 있는 경우, 데이터 수출자는 해당 상황을 해결하기 위해 데이터 수출자 및/또는 데이터 수입자가 채택한 적절한 조치(예: 보안 및 기밀성 보장을 위한 기술적 조치 또는 조직적 조치)를 즉시 확인해야 합니다. 데이터 수출자는 그러한 이전에 대한 적절한 보호 조치가 될 수 없다고 판단되거나 관할 감독 기관의 지시가 있는 경우 데이터 이전을 중단해야 합니다. 이 경우, 데이터 수출자는 본 조항에 따른 개인 데이터 처리와 관련된 계약을 해지할 권리가 있습니다. 계약에 2개 이상의 당사자가 관련된 경우, 데이터 수출자는 당사자들이 달리 합의하지 않는 한 관련 당사자에 대해서만 해지 권리를 행사할 수 있습니다. 본 조항에 따라 계약이 해지되는 경우 제16항 (d)호 및 (e)호가 적용됩니다.
제15항
공공기관이 접근하는 경우 데이터 수입자의 의무
15.1 통지
(a) 데이터 수입자는 다음과 같은 경우 데이터 수출자 및 가능한 경우 데이터 주체에게 즉시(필요한 경우 데이터 수출자의 도움을 받아) 통지하는 데 동의합니다.
(i) 본 조항에 따라 이전된 개인 데이터의 공개에 대해 목적지 국가의 법률에 따라 사법 당국을 포함한 공공기관으로부터 법적 구속력이 있는 요청을 받는 경우. 해당 통지에는 요청된 개인 데이터, 요청 기관, 요청에 대한 법적 근거, 제공된 답변에 대한 정보가 포함되어야 합니다. 또는,
(ii) 본 조항에 따라 이전된 개인 데이터에 대해 목적지 국가의 법률에 의거한 공공기관의 직접적 접근을 인지한 경우. 해당 통지에는 데이터 수입자가 이용할 수 있는 모든 정보가 포함되어야 합니다.
(b) 데이터 수입자가 목적지 국가의 법률에 따라 데이터 수출자 및/또는 데이터 주체에게 알리는 것이 금지된 경우, 데이터 수입자는 가능한 한 많은 정보를 최대한 빨리 전달하기 위해 금지의 면제를 받기 위해 최선의 노력을 다할 것에 동의합니다. 데이터 수입자는 데이터 수출자의 요청에 따라 이를 입증할 수 있도록 최선을 다한 노력을 문서화하는 것에 동의합니다.
(c) 목적지 국가의 법률에 따라 허용되는 경우, 데이터 수입자는 계약 기간 동안 정기적으로 데이터 수출자에게 수신된 요청에 대해 가능한 한 많은 관련 정보(특히 요청 횟수, 요청된 데이터 유형, 요청 권한, 요청에 대한 이의 제기 여부, 해당 이의 제기의 결과 등)를 제공하는 데 동의합니다.
(d) 데이터 수입자는 계약 기간 동안 (a)~(c)호에 따라 정보를 보존하고 요청 시 관할 감독 기관에 제출하는 것에 동의합니다.
(e) (a)~(c)호는 제14항 (e)호 및 제16항에 따라 데이터 수입자가 본 조항을 준수할 수 없는 경우 데이터 수출자에게 즉시 알릴 의무를 침해하지 않습니다.
15.2 적법성 검토 및 데이터 최소화
(a) 데이터 수입자는 공개 요청의 적법성, 특히 해당 공개 요청이 요청하는 공권력에 부여된 권한 범위 내에 있는지 여부를 검토하고 신중히 평가한 후, 해당 요청이 목적지 국가의 법률, 국제법 및 국제 사회의 원칙에 따라 위법하다고 간주될 합리적인 근거가 있다고 결론을 내릴 경우, 해당 요청에 이의를 제기하는 것에 동의합니다. 데이터 수입자는 동일한 조건에서 항소 가능성도 추구해야 합니다. 요청에 이의를 제기하는 경우, 데이터 수입자는 관할 사법 기관이 본안에 대해 결정을 내릴 때까지 요청의 효력을 일시적으로 중지하기 위한 임시 조치를 강구해야 합니다. 해당 소송 철차상의 규정에 따라 요청받기 전까지는 개인 데이터를 공개해서는 안 됩니다. 이러한 요구 사항은 제14항 (e)호에 따른 데이터 수입자의 의무를 침해하지 않습니다.
(b) 데이터 수입자는 자신의 법적 평가와 공개 요청에 대한 모든 이의 제기 절차를 문서화하고, 목적지 국가의 법률이 허용하는 범위 내에서 데이터 수출자가 해당 문서를 사용할 수 있게 하는 데 동의합니다. 또한 요청 시 관할 감독 기관이 이를 이용할 수 있도록 해야 합니다.
(c) 데이터 수입자는 공개 요청에 응답할 때, 요청에 대한 합리적인 해석을 바탕으로 허용되는 최소한의 정보를 제공하는 데 동의합니다.
제IV절 – 최종 조항
제16항
조항 위반 및 해지
(a) 데이터 수입자는 어떤 이유로든 본 조항을 준수할 수 없는 경우 데이터 수출자에게 즉시 알려야 합니다.
(b) 데이터 수입자가 본 조항을 위반하거나 본 조항을 준수할 수 없는 경우, 데이터 수출자는 조항 준수가 다시 보장되거나 계약이 종료될 때까지 데이터 수입자에게 개인 데이터 이전을 중단해야 합니다. 이것은 제14항 (f)호를 침해하지 않습니다.
(c) 데이터 수출자는 다음과 같은 경우 본 조항에 따른 개인 데이터 처리와 관련된 계약을 해지할 권리가 있습니다.
(i) 데이터 수출자는 (b)호에 따라 개인 데이터를 데이터 수입자에게 이전하는 것을 중단했으며, 중단 후 합리적인 시간 내에도 본 조항이 다시 준수되지 않고 중단 후 한 달 내에 어떠한 경우에도 다시 준수되지 않는 경우.
(ii) 데이터 수입자가 본 조항을 실질적으로 또는 지속적으로 위반하고 있는 경우.
(iii) 데이터 수입자가 본 조항에 따른 의무에 관한 관할 법원 또는 감독 기관의 구속력 있는 결정을 준수하지 않는 경우.
이 경우 해당 감독 기관에 위반 사실을 알려야 합니다. 계약에 2개 이상의 당사자가 관련된 경우, 데이터 수출자는 당사자들이 달리 합의하지 않는 한 관련 당사자에 대해서만 해지 권리를 행사할 수 있습니다.
(d) (c)호에 따라 계약이 해지되기 전에 이전된 개인 데이터는 데이터 수출자의 선택에 따라 데이터 수출자에게 즉시 반환되거나 전체 삭제됩니다. 모든 데이터 사본에도 동일하게 적용됩니다. 데이터 수입자는 데이터 수출자에게 데이터 삭제를 입증해야 합니다. 데이터가 삭제되거나 반환될 때까지 데이터 수입자는 본 조항을 계속 준수해야 합니다. 이전된 개인 데이터의 반환 또는 삭제를 금지하는 현지 법률이 데이터 수입자에게 적용되는 경우, 데이터 수입자는 본 조항을 계속 준수하되 해당 현지 법률에 따라 요구되는 범위와 기간 동안만 데이터를 처리해야 합니다.
(e) 각 당사자는 (i) 유럽 위원회가 본 조항이 적용되는 개인 데이터의 이전을 다루는 규정(EU) 2016/679의 제45조 제(3)항에 따른 결정을 채택하는 경우, 또는 (ii) 규정(EU) 2016/679가 개인 데이터가 이전되는 국가의 법적 틀의 일부가 되는 경우, 본 조항에 구속되는 계약을 취소할 수 있습니다. 이는 규정(EU) 2016/679에 따라 문제의 처리에 적용되는 다른 의무를 침해하지 않습니다.
제17항
준거법
본 조항은 EU 회원국 중 하나의 법률이 적용되며, 해당 법률이 제3자 수혜자 권리를 허용하는 경우에 한합니다. 당사자들은 이것이 아일랜드 공화국의 법률이 되어야 한다는 데 동의합니다.
제18항
법정 및 관할권 선택
(a) 본 조항으로 인해 발생하는 모든 분쟁은 EU 회원국의 법원에서 해결됩니다.
당사자들은 그것이 아일랜드 공화국의 법원이 되어야 한다는 데 동의합니다.
(c) 데이터 주체 역시 자신의 상거소가 있는 회원국 법원에 데이터 수출자 및/또는 데이터 수입자를 상대로 법적 소송을 제기할 수 있습니다.
(d) 당사자들은 해당 법원의 관할권을 따르는 데 동의합니다.
부속서 I
- 당사자 목록
데이터 수출자:
이름: DPA 또는 계약서에서 ‘고객’으로 식별된 단체
주소: DPA 또는 계약서에 명시된 고객의 주소
연락 담당자 이름, 직위, 연락처 정보: DPA 또는 계약서에 명시된 고객과 관련된 연락처 세부 정보
본 조항에 따라 이전된 데이터와 관련된 활동: DPA의 제2.3절 및 별지 1에 명시된 활동
서명 및 날짜: 계약 및 DPA를 체결하고 EEA 이전 서비스를 사용함으로써 데이터 수출자는 본 표준 계약 조항과 해당 부속서에 서명한 것으로 간주됩니다.
역할(개인정보처리 위탁자/수탁자): 개인정보처리 위탁자
데이터 수입자:
이름: DPA에 식별된 monday.com
주소: 계약서에 명시된 monday.com의 주소
연락 담당자 이름, 직위, 연락처 정보: 계약서에 명시된 monday.com의 연락처 세부 정보
본 조항에 따라 이전된 데이터와 관련된 활동:
DPA의 제2.3절 및 별지 1에 명시된 활동
서명 및 날짜: 계약 및 DPA를 체결하고 데이터 수출자를 대신하여 데이터 수입자로서 EEA 이전에 참여함으로써 데이터 수입자는 본 표준 계약 조항과 해당 부속서에 서명한 것으로 간주됩니다.
역할(개인정보처리 위탁자/수탁자): 개인정보처리 수탁자
- 이전에 대한 설명
개인정보가 이전되는 데이터 주체의 범주
데이터 주체의 범주는 DPA의 별지 1(데이터 처리 세부 사항)에 설명되어 있습니다.
이전되는 개인 데이터의 범주
개인 데이터의 범주는 DPA의 별지 1(데이터 처리 세부 사항)에 설명되어 있습니다.
민감한 데이터를 이전하고(해당하는 경우) 데이터의 특성과 관련된 위험을 충분히 고려한 제한 또는 보호 조치를 적용합니다. 예를 들어, 엄격한 목적 제한, 접근 제한(전문 교육을 받은 직원에 한해서만 접근 허가하는 것 포함), 데이터에 대한 접근 기록 보관, 역외이전에 대한 제한 또는 추가적인 보안 조치 등이 있습니다.
당사자들은 DPA 제2.5절에 따른 경우를 제외하고는 민감한 데이터를 이전할 의향이 없습니다.
이전 빈도(예: 데이터가 일회성으로 이전되는지 아니면 지속적으로 이전되는지 여부)
개인 데이터는 고객의 서비스 사용 및 그에 대한 개인 데이터 제출에 따라 지속적으로 이전됩니다.
개인정보처리의 특성
개인 데이터 처리의 성격은 DPA의 별지 1(데이터 처리 세부 사항)에 설명되어 있습니다.
데이터 이전 및 추가 처리 목적
개인 데이터 처리의 목적은 DPA의 별지 1(데이터 처리 세부 사항)에 설명되어 있습니다.
개인 데이터가 보관될 기간, 또는 그것이 불가능할 경우 그 기간을 결정하기 위해 사용되는 기준
개인 데이터가 보관되는 기간은 계약 및/또는 DPA에서 달리 합의하지 않는 한 계약 기간 동안입니다.
(하위) 개인정보처리 수탁자로 이전하는 경우 처리의 대상, 특성, 기간도 지정합니다.
하위 개인정보처리 수탁자로의 이전과 관련하여, 처리 대상 및 특성은 DPA 제5.2.1절에 있는 링크에 명시되어 있습니다. 하위 개인정보처리 수탁자의 처리 기간은 계약 및/또는 DPA에서 달리 합의하지 않는 한 계약 기간 동안입니다.
- 관할 감독 기관
제13항에 따라 관할 감독 기관을 선별합니다.
GDPR에 따라 데이터 수출자의 관할 감독 기관이 결정됩니다.
부속서 II
데이터 보안을 보장하기 위한 기술적, 조직적 조치를 포함한 기술적 및 조직적 조치
데이터 처리의 성격, 범위, 상황, 목적과 자연인의 권리 및 자유에 대한 위험을 고려하여 적절한 수준의 보안을 보장하기 위해 데이터 수입자가 시행하는 기술적 및 조직적 조치(관련 인증 포함)에 대한 설명
기술적 및 조직적 조치(데이터 수입자가 보유한 인증 포함)와 데이터 주체의 요청에 응답하는 데 필요한 지원의 범위는 DPA 및 보안 문서에 설명되어 있습니다.
(하위) 개인정보처리 수탁자로 이전할 경우에는 개인정보처리 위탁자를 지원하고, 개인정보처리 수탁자에서 하위 개인정보처리 수탁자로 이전할 경우에는 데이터 수출자를 지원할 수 있도록 (하위) 개인정보처리 수탁자가 취해야 할 특정 기술적 및 조직적 조치를 설명합니다.
데이터 수입자가 하위 개인정보처리 수탁자에게 부과하는 기술적 및 조직적 조치는 DPA에 설명되어 있습니다.
부속서 III
영국 국경간 이전
표 1: 당사자: 부속서 I.A에 규정됨
표 2: 선택된 SCC, 모듈 및 선택된 조항: 부속서 I에 규정됨
표 3: 부록 정보: EU SCC(당사자 제외)의 부록에 명시된 바와 같이 선택된 모듈에 대해 제공해야 하는 정보와 이 부속서 III에 대해 부속서 I에 명시된 정보를 의미합니다.
본 부속서 III 참여:
- 각 당사자는 상대방 당사자도 본 부속서 III을 준수하는 데 동의하는 것을 대가로 본인도 본 부속서 III에 명시된 조건을 준수할 것을 동의합니다.
- EU SCC의 부속서 I.A와 제7항은 당사자들의 서명을 필요로 하지만, 영국 데이터 이전을 목적으로 당사자들은 당사자들에 대해 법적 구속력을 갖게 하고 데이터 주체가 본 부속서 III에 명시된 권리를 행사할 수 있도록 허용하는 모든 방식으로 본 부속서 III에 서명할 수 있습니다. 본 부속서 III을 체결하면 EU SCC 및 EU SCC의 일부에 서명하는 것과 동일한 효력이 발생합니다.
본 부속서 III의 해석:
- 본 부속서 III이 EU SCC에 정의된 용어를 사용하는 경우 해당 용어는 EU SCC와 동일한 의미를 갖습니다. 또한 다음 용어의 의미는 다음과 같습니다.
부속문서 EU SCC | 부록 정보를 포함하여 표 2에 명시된 바와 같이 본 부속서 III이 첨부된 EU SCC의 버전입니다. |
부록 정보 | 표 3에 제시된 바와 같습니다. |
적절한 보호 조치 | 영국 GDPR 제46조 제(2)항 (d)호에 따른 표준 데이터 보호 조항에 따라 당사자들이 영국 데이터 이전을 할 때 영국 데이터 보호법에서 요구하는 개인 데이터 및 데이터 주체의 권리에 대한 보호 표준입니다. |
표준 계약 조항 | DPA에 정의된 바와 같습니다. |
ICO | 정보 위원입니다. |
부속서 III | 부록 EU SCC를 포함한 부속서 III로 구성된 본 부속서 III입니다. |
영국 부록 | DPA에 정의된 바와 같습니다. |
영국 데이터 보호법 | 영국 GDPR 및 2018년 데이터 보호법을 포함하여 영국에서 수시로 시행되는 데이터 보호, 개인 데이터 처리, 개인정보 보호 및/또는 전자 통신과 관련된 모든 법률입니다. |
영국 GDPR | 2018년 데이터 보호법 제3절에 정의되어 있습니다. |
영국 | 그레이트브리튼과 북아일랜드의 연합 왕국입니다. |
영국 이전 | 영국 GDPR 제5장에서 다루는 이전을 말합니다. |
- 본 부속서 III는 항상 영국 데이터 보호법과 부합하는 방식으로 해석되어야 하며, 적절한 보호 조치를 제공해야 하는 당사자의 의무를 이행해야 합니다.
- EU SCC 부록에 포함된 조항이 EU SCC 또는 본 부속서 III에서 허용되지 않는 방식으로 EU SCC를 개정하는 경우, 해당 개정안은 본 부속서 III에 의해 통합되지 않으며 EU SCC의 동등한 조항이 그 자리를 대신합니다.
- 영국 데이터 보호법과 본 부속서 III 사이에 불일치나 충돌이 있는 경우에는 영국 데이터 보호법이 적용됩니다.
- 본 부속서 III의 의미가 불분명하거나 두 가지 이상의 의미가 있는 경우, 영국 데이터 보호법에 가장 부합하는 의미가 적용됩니다.
- 법률(또는 법률의 특정 조항)에 대한 언급은 시간이 지나면서 시간이 지나면서 변경될 수 있는 법률(또는 특정 조항)을 의미합니다. 여기에는 본 DPA가 체결된 후 해당 법률(또는 특정 조항)이 통합, 재제정 및/또는 대체된 경우가 포함됩니다.
체계:
- EU SCC의 제5항에서는 EU SCC가 당사자 간의 모든 관련 계약보다 우선한다고 명시하고 있지만, 당사자들은 영국 이전의 경우 아래 제10절이 체계상 우선한다는 것에 동의합니다.
- 본 부속서 III와 부록 EU SCC 사이에 불일치 또는 충돌이 있는 경우(해당하는 경우), 본 부속서 III가 EU SCC보다 우선됩니다. 다만, 부록 EU SCC의 불일치 또는 충돌 약관이 데이터 주체에 대한 더 큰 보호를 제공하는 경우(및 이에 한해), 해당 EU SCC 조항이 본 부속서 III의 조항보다 우선됩니다.
- 본 부속서 III에 일반 데이터 보호 규정(EU) 2016/679에 따라 데이터 이전을 보호하기 위해 체결된 부록 EU SCC가 포함되어 있는 경우, 당사자들은 본 부속서 III의 어떤 내용도 해당 부록 EU SCC에 영향을 미치지 않는다는 점을 인정합니다.
EU SCC의 통합 및 변경:
- 본 부속서 III에는 다음과 같이 필요한 범위 내에서 수정된 부록 EU SCC가 포함되어 있습니다.
- 데이터 이전 시 영국 데이터 보호법이 데이터 수출자의 처리에 적용되는 범위 내에서 데이터 수출자가 데이터 수입자에게 수행하는 데이터 이전을 위해 함께 운영되며, 해당 데이터 이전에 대해 적절한 보호 조치를 취합니다.
- 제9절~제11절은 EU SCC의 제5항(체계)보다 우선됩니다.
- 본 부속서 III(이에 통합된 부록 EU SCC 포함)는 (1) 잉글랜드와 웨일즈의 법률에 의해 규율되며, (2) 이에 따라 스코틀랜드 또는 북아일랜드의 법률 및/또는 법원이 당사자에 의해 명시적으로 선택되지 않는 한, 발생하는 모든 분쟁은 잉글랜드와 웨일즈 법원에서 해결됩니다.
- 당사자들이 위의 제12절의 요구 사항을 충족하는 대체 개정안에 동의하지 않는 한, 아래의 제15절이 적용됩니다.
- 위의 제12절의 요구 사항을 충족하는 것 외에 EU SCC에 대한 수정은 이루어질 수 없습니다.
- 부록 EU SCC(위 제12절의 목적을 위해)는 다음과 같이 개정됩니다.
- ‘조항’에 대한 언급은 부록 EU SCC를 통합한 본 부속서 III를 의미합니다.
- 제2항에서 다음 문장을 삭제합니다.
‘규정(EU) 2016/679의 제28조 제(7)항에 의거하여 개인정보처리 위탁자에서 개인정보처리 수탁자로 및/또는 개인정보처리 수탁자에서 개인정보처리 수탁자로의
데이터 이전과 관련하여’
- 제6항(이전에 대한 설명)은 다음으로 대체됩니다.
‘이전의 세부 사항, 특히 이전되는 개인 데이터의 범주와 이전 목적은 데이터 이전 시 영국 데이터 보호법이 데이터 수출자의 처리에 적용되는 부속서 I.B에 명시되어 있습니다.’
- 제8.8항은 다음으로 대체됩니다.
‘역외이전을 다루는 영국 GDPR의 제17절 A항에 따라 적절성 규제의 혜택을 받는 국가의 경우,’
- ‘규정(EU) 2016/679’, ‘개인 데이터 처리 및 해당 데이터의 자유로운 이동과 관련하여 유럽 의회 및 이사회에서 2016년 4월 27일에 채택된 규정(Regulation (EU) 2016/679)(일반 데이터 보호 규정)’, ‘해당 규정’은 모두 ‘영국 데이터 보호법’으로 대체됩니다. ‘규정(EU) 2016/679’의 특정 조항에 대한 언급은 영국 데이터 보호법의 동등 조항 또는 절로 대체됩니다.
- 규정(EU) 2018/1725에 대한 언급은 제거됩니다.
- ‘유럽 연합’, ‘연합’, ‘EU’, ‘EU 회원국’, ‘회원국’, ‘EU 또는 회원국’에 대한 언급은 모두 ‘영국’으로 대체됩니다.
- 부속서 I의 제13항 (a)호와 파트 C는 사용되지 않았습니다.
- ‘관할 감독 기관’과 ‘감독 기관’은 모두 ‘정보 위원’으로 대체됩니다.
- 제16항 (e)호에서 (i)목은 다음으로 대체됩니다.
‘국무장관은 2018년 데이터 보호법 제17절 A항에 따라 이러한 조항이 적용되는 개인 데이터 이전에 관한 규정을 제정합니다.’
- 제17항은 다음으로 대체됩니다.
‘본 조항은 잉글랜드와 웨일즈의 법률에 의해 규율됩니다.’
- 제18항은 다음으로 대체됩니다.
‘본 조항으로 인해 발생하는 모든 분쟁은 잉글랜드와 웨일즈 법원에서 해결됩니다. 데이터 주체 역시 영국 내 모든 국가의 법원에서 데이터 수출자 및/또는 데이터 수입자를 상대로 법적 소송을 제기할 수 있습니다. 당사자들은 해당 법원의 관할권을 따르는 데 동의합니다.’ 및
- EU SCC에 대한 각주는 각주 8, 9, 10, 11을 제외하고는 본 부속서 III의 일부를 구성하지 않습니다.
본 부속서 III의 개정:
- 당사자들은 본 부속서 III의 제17항 및/또는 제18항을 스코틀랜드 또는 북아일랜드의 법률 및/또는 법원을 참조하도록 변경하는 데 동의합니다.
- 당사자가 본 부속서 III의 표 1, 2, 3에 포함된 정보의 형식을 변경하고자 하는 경우, 변경이 적절한 보호 조치를 감소시키지 않는 한 서면 변경 동의를 통해 변경할 수 있습니다.
- ICO는 때때로 다음과 같이 개정된 영국 부록을 발행할 수 있습니다.
- 영국 부록의 오류 수정을 포함하여 영국 부록에 합리적이고 균형 잡힌 변경을 진행 및/또는
- 영국 데이터 보호법의 변경 사항을 반영합니다.
개정된 영국 부록은 영국 부록의 변경 사항이 발효되는 시작 날짜와 당사자들이 부록 정보를 포함하여 본 부속서 III를 검토할 필요가 있는지 여부를 명시할 것입니다. 본 부속서 III는 명시된 시작일로부터 개정된 영국 부록에 명시된 대로 자동으로 수정됩니다.
- ICO가 제18절에 따라 개정된 영국 부록을 발행했을 때 당사자가 영국 부록의 변경으로 인해 직접적으로 다음 사항에 대해 불균형이 상당히 증가하여 이에 대한 입증이 가능한 경우:
- 본 부속서 III에 따른 의무를 이행하는 데 드는 직접 비용 및/또는
- 본 부속서 III에 따른 위험
어느 경우든, 그러한 비용이나 위험을 줄이기 위한 합당한 조치를 먼저 취하여 실질적으로 불균형을 해소한 다음, 해당 당사자는 상대방 당사자에게 개정된 영국 부록 시작일 이전에 합당한 통지 기간을 두고 서면 통지를 하고 이 합당한 통지 기간이 끝나면 본 부속서 III를 종료할 수 있습니다.
- 당사자들은 본 부속서 III을 변경하기 위해 제3자의 동의가 필요하지 않지만 모든 변경은 해당 조건에 따라 이루어져야 합니다.
부속서 IV
스위스 국경간 이전
당사자들은 부속서 I에 의해 개정된 EU SCC가 1992년 6월 19일 데이터 보호에 관한 연방법(Federal Act on Data Protection, ‘FADP‘, 2020년 9월 25일에 ‘개정 FADP‘로 개정됨)이 스위스 이전에 적용되는 경우 아래와 같이 조정되어야 한다는 것에 동의합니다.
- EU SCC에 대한 언급은 부속서 IV에 따라 개정된 EU SCC를 의미합니다.
- 스위스 연방 데이터 보호 및 정보 위원회(Federal Data Protection and Information Commissioner, ‘FDPIC‘)는 FADP의 적용을 받는 스위스 이전에 대한 유일한 감독 기관입니다.
- EU SCC에서 사용하는 ‘일반 데이터 보호 규정’ 또는 ‘규정(EU) 2016/679’라는 용어는 스위스 이전과 관련된 FADP를 포함하는 것으로 해석됩니다.
- 규정(EU) 2018/1725에 대한 언급은 제거됩니다.
- FADP와 GDPR의 적용을 받는 스위스 이전은 부속서 I에 명시된 감독 기관에서 처리합니다.
- ‘연합’, ‘EU’, ‘EU 회원국’에 대한 언급은 EU SCC 제18항 (c)호에 따라 스위스에 있는 데이터 주체가 스위스의 상거소(스위스)에서 권리를 행사할 가능성을 배데하는 방식으로 해석되어서는 안 됩니다.
- 스위스 이전이 FADP의 배타적 적용을 받는 경우, EU SCC의 GDPR에 대한 모든 언급은 FADP에 대한 언급으로 이해되어야 합니다.
- 스위스 이전이 FADA와 EU GDPR의 적용을 모두 받는 경우, EU SCC에서 GDPR에 대한 모든 언급은 스위스 이전이 FADP의 적용을 받는 한 FDPA에 대한 언급으로 이해되어야 합니다.
- 스위스 SCC는 또한 개정된 FADP가 발효될 때까지 법인의 개인 데이터를 보호합니다.
부속서 V
추가적인 보호 조치
- 표준 계약 조항이 적용되는 이전의 경우, 당사자들은 적절한 경우 다음과 같은 보호 조치 및 진술로 이를 보완하는 데 동의합니다.
(a) 데이터 수입자는 개인 데이터를 가로채기(데이터 수출자에서 데이터 수입자로의 이동 및 서로 다른 시스템 및 서비스 사이의 이동도 포함)로부터 보호하기 위해 업계 모범 관행 조치를 마련하고 유지해야 합니다. 여기에는 공격자가 이전 중에 데이터를 가로채는 능력을 거부하고 개인 데이터를 암호화하는 네트워크 보호 기능을 갖추고 유지하는 것과 유휴 상태에서 공격자가 데이터를 읽지 못하게 하는 기능을 갖추고 유지하는 것이 포함됩니다.
(b) 데이터 수입자는 GDPR, 영국 GDPR 또는 미국 해외 정보 감시법(Foreign Intelligence Surveillance Act, ‘FISA‘) 제702절에 따라 보호되는 개인 데이터와 관련된 대량의 감시 요청을 거부하기 위해 상업적으로 합당한 노력을 기울일 것입니다.
(c) 데이터 수입자가 정부 기관(법 집행 기관 포함)이 자발적으로든 의무적으로든 개인 데이터의 일부 또는 전부에 대한 접근성이나 사본을 얻고 싶어한다는 것을 알게 된 경우, 법적으로 금지되거나 달리 요구되는 의무적인 법적 강제가 없는 한 다음과 같습니다.
(i) 데이터 수입자는 데이터 수입자는 개인 데이터의 처리자이며, 데이터 수출자가 개인 데이터를 정부 당국에 공개할 권한을 데이터 수입자에게 부여하지 않았고, 따라서 개인 데이터에 대한 접근 요청이나 요구는 데이터 수출자에게 서면으로 통지하거나 제공해야 함을 관련 정부 기관에 알려야 합니다.
(ii) 데이터 수입자는 상업적으로 합당한 법적 메커니즘을 사용하여 데이터 수입자의 통제 하에 있는 개인 데이터에 대한 접근 요구에 이의를 제기합니다. 위와 같은 조치에도 불구하고, (a) 데이터 수출자는 의도된 정부 기관 접근의 성격, 범위, 상황, 목적에 비추어 이러한 이의 제기가 항상 합리적이거나 가능하지 않을 수 있다는 점을 인정하며, (b) 개인 데이터에 대한 의도된 정부 기관 접근의 성격, 범위, 상황, 목적을 고려할 때 데이터 수입자가 어떤 개인 또는 기업에게 심각한 해를 끼칠 수 있는 임박한 위험을 방지하기 위해 긴급한 접근이 필요하다는 합리적이고 선의의 믿음을 가지고 있을 경우에는 (e)(II)가 적용되지 않습니다. 이러한 경우 데이터 수입자는 정부 기관의 접근 후 가능한 한 빨리 데이터 수출자에게 알려야 하며, 법적으로 금지되지 않는 한 데이터 수출자에게 관련 세부 정보를 제공해야 합니다.
- 12개월에 한 번씩 데이터 수입자는 데이터 수출자의 서면 요청에 따라 데이터 수출자에게 본인이 받은 개인 데이터에 대한 구속력 있는 법적 요구 유형과 해당 요구가 접수된 범위에 대해 알려야 하며, 이러한 요구에는 FISA 제702절에 따라 발행된 모든 프로세스를 포괄하는 국가 보안 명령 및 지침을 포함합니다.