데이터 처리 부속문서(Data Processing Addendum, DPA)
본 데이터 처리 부속문서(‘DPA‘)는 www.monday.com/terms/tos에서 제공하는 monday.com의 서비스 약관, 또는 귀하와 고객(본 동의서에 정의됨)(총칭하여 ‘귀하‘, ‘귀하의‘, ‘고객‘), monday.com Ltd.(‘monday.com‘, ‘당사를‘, ‘당사‘, ‘당사의‘) 사이에서 작성되었으며 monday.com이 전적으로 고객을 대신하여 개인 데이터를 처리하는 것에 관한 당사자들의 동의를 반영한, monday.com의 서비스 사용을 규율하는 기타 계약(‘계약‘)에 참조로 통합되어 있습니다. 양 당사자를 ‘당사자들‘이라고 하며, 각 당사자는 ‘당사자‘라고 합니다.
여기에 정의되지 않은 대문자 용어는 계약에서 해당 용어에 할당한 의미를 가집니다.
고객은 서비스를 사용함으로써 본 DPA를 수락하고 본 DPA에 본인을 구속할 수 있는 모든 권한이 있음을 진술 및 보증합니다. 귀하가 이 DPA를 준수하고 이에 구속될 수 없거나, 이에 동의하지 않거나, 또는 고객 또는 기타 주체를 구속할 권한이 없는 경우, 당사에 개인 데이터를 제공하지 마십시오.
본 DPA의 특정 조항과 계약의 조항이 상충하는 경우, 본 DPA의 조항은 오직 개인 데이터 처리와 관련하여 상충되는 조항만 계약의 조항보다 우선합니다.
- 정의
(a) ‘계열사‘는 직접적 또는 간접적으로 통제하거나 통제받거나 공동으로 통제를 받는 모든 주체를 뜻합니다. 본 정의의 목적상 ‘통제’는 대상 주체의 의결권 지분에서 50% 이상을 직접적으로 또는 간접적으로 소유하거나 통제하는 것을 뜻합니다.
(b) ‘공인 계열사‘는 고객과 monday.com 사이의 계약에 따라 서비스 사용이 명시적으로 허용되었으나 monday.com과 자체 계약에 서명하지는 않았으며, 계약에 정의된 ‘고객’이 아닌 고객의 계열사를 의미합니다.
(c) ‘CCPA‘는 캘리포니아 민법전 1798.100부터 시작되는 2018년 캘리포니아 소비자 개인정보 보호법(California Consumer Privacy Act of 2018)을 의미하며, 그 시행 규정은 때때로 개정되는 바에 따릅니다.
(d) ‘개인정보처리 위탁자‘, ‘회원국‘, ‘개인정보처리 수탁자‘, ‘개인정보처리‘ 및 ‘감독청‘이라는 용어는 GDPR과 동일한 의미를 가집니다. ‘사업체‘, ‘사업 목적‘, ‘소비자‘ 및 ‘서비스 제공자‘라는 용어는 CCPA와 동일한 의미를 가집니다.
명확성을 위해, CCPA 적용 범위 내에서 본 DPA 상의 용어 ‘개인정보처리 위탁자‘는 ‘사업‘을 의미하며, ‘개인정보처리 수탁자‘는 ‘서비스 제공자‘를 의미합니다. 이와 마찬가지로, 개인정보처리 수탁자의 하위 개인정보처리 수탁자도 서비스 제공자의 개념을 사용합니다.
(e) ‘데이터 보호법‘은 GDPR, UK GDPR, CCPA와 같이 유럽 연합, 유럽 경제 지역 및 그 회원국, 스위스, 영국, 캐나다, 이스라엘, 미국의 법률을 포함한 개인정보 보호 및 데이터 보호 법률과 규정에 적용되며 구속력이 있는 관련 법률을 의미하며, 본 계약의 개인 데이터 처리 시점에 유효합니다.
(f) ‘데이터 주체‘는 개인 데이터와 관련되어 식별되거나 식별 가능한 개인을 의미합니다.
(g) ‘GDPR‘은 개인 데이터 처리 및 해당 데이터의 자유로운 이동과 관련하여 자연인 보호에 관해 유럽 의회 및 이사회에서 2016년 4월 27일에 채택된 규정(Regulation (EU) 2016/679)을 의미합니다.
(h) ‘개인 데이터‘ 또는 ‘개인 정보‘는 본 DPA 및 계약에 따라 monday.com이 고객을 대신하여 전적으로 처리하는 정보로, 자연인 또는 소비자를 식별하거나, 식별 가능하거나, 관련되어 있거나, 특정할 수 있거나, 직접적 또는 간접적으로 연관되어 있거나, 합리적으로 연결 가능한 모든 정보를 의미합니다.
(i) ‘서비스‘란 당사의 플랫폼, 제품, 서비스, 애플리케이션, 애플리케이션 프로그래밍 인터페이스(‘API‘), 도구, 온라인 및 모바일 애플리케이션(‘플랫폼‘)을 통해 제공되는 모든 보조 또는 보충적인 monday.com 제품 및 서비스(업그레이드(계약 내용에 정의됨) 포함), 계약에 따라 monday.com에서 고객에게 제공하는 기타 모든 서비스를 포함하는 monday.com 클라우드 기반 서비스를 말합니다.
(j) ‘보안 문서‘는 www.monday.com/trustcenter/datasecure 또는 monday.com의 기타 합리적인 방법으로 고객이 확인할 수 있는 계약과 본 DPA에 따라, monday.com이 채택하여 monday.com의 개인 데이터 처리 과정에 적용되는 기술적이고 조직적인 조치를 설명하는 보안 문서이며, 때때로 개정되는 바에 따릅니다.
(k) ‘민감한 데이터‘는 특별 법률 아래 보호되고 ‘특별 범주의 데이터’, ‘민감한 데이터’ 또는 관련 데이터 보호법의 기타 실질적으로 유사한 용어들과 같이 고유한 처리가 필요한 개인 데이터를 의미하며, 다음 사항을 포함합니다. (a) 사회 보장 번호, 세금 파일 번호, 여권 번호, 운전면허 번호, 또는 이와 유사한 식별자(또는 그 일부) (b) 금융 또는 신용 정보, 신용카드 또는 직불카드 번호 (c) 인종 또는 민족적 출신 정보, 정치적 의견, 종교적 또는 철학적 신념, 노동조합 가입 여부, 유전자 데이터 또는 생체 데이터, 개인의 건강과 성생활 또는 성적 지향에 관련된 데이터, 범죄 이력 및 위법 행위 관련 데이터 (d) 아이와 관련된 개인 데이터 (e) 및/또는 해시 처리되지 않은 형태의 계정 암호.
(l) ‘표준 계약 조항‘이란, (a) 개인정보처리 위탁자와 개인정보처리 수탁자(여기에 있음) 사이, 그리고 개인정보처리 수탁자와 개인정보처리 수탁자(여기에 있음) 사이의 GDPR이 적용되는 개인 데이터 전송과 관련하여, 2021년 6월 4일 유럽연합 집행위원회 시행 결정에서 승인을 받은 표준 계약 조항(‘EU SCC(Standard Contractual Clauses)‘) 및 거기에 포함된 모든 부속서I, II, V, (b) UK GDPR의 적용을 받는 개인 데이터 전송과 관련하여, 부속서 III을 통해 EU SCC에 포함된 2022년 3월 21일 자 EU 집행위원회 표준 계약 조항(B.1.0 버전)(‘IDTA‘)의 국제 데이터 전송 부속문서(‘UK 부속문서‘), (c) 그리고, 데이터 보호에 관한 연방법(2020년 9월 25일 개정됨)이 적용되는 데이터 전송과 관련하여, EU SCC의 부속서 IV(‘스위스 부속문서‘)에 명시된 조건을 의미합니다.
(m) ‘하위 개인정보처리 수탁자‘란, monday.com의 지시에 따라 개인 데이터의 특정 처리 활동을 수행하는 제3자를 의미합니다.
(n) ‘UK GDPR‘은 2018년 유럽연합(탈퇴)법 3항에 따라 잉글랜드와 웨일스, 스코틀랜드와 북아일랜드 법률의 일부를 구성하는 GDPR뿐만 아니라, 데이터 보호, 2019년 개인정보 보호 및 전자 통신(개정 조항 등)(EU 탈퇴) 규정(SI 2019/419)에 의해 개정된 2018년 데이터 보호법을 의미합니다.
- 개인 데이터 처리
2.1. 당사자들의 역할. 당사자들은 monday.com이 고객을 대신하여 전적으로 개인 데이터를 처리하는 것과 관련하여 다음 내용에 동의합니다. (a) 고객은 개인 데이터의 개인정보처리 위탁자이며, (b) monday.com은 해당 개인 데이터의 개인정보처리 수탁자입니다. 아래의 ‘개인정보처리 위탁자’ 및 ‘개인정보처리 수탁자’라는 용어는 각각 고객과 monday.com을 의미합니다.
2.2. 고객의 의무. 고객은 서비스를 이용함에 있어서, 그리고 개인정보처리 수탁자에게 고객이 지침을 제공함에 있어서, 계약과 본 DPA의 데이터 보호법을 준수해야 합니다. 고객은 개인 데이터를 수집, 처리, 개인정보처리 수탁자에게 전송하고, 개인정보처리 수탁자가 비즈니스 목적으로 계약 및 본 DPA에 따라 고객을 대신하여 수행하는 처리 활동을 승인하기 위해 필요한 모든 법적 근거를 확립하고 보유해야 합니다.
2.3. 개인정보처리 수탁자의 개인 데이터 처리. 개인정보처리 수탁자는 다음과 같은 목적으로 개인 데이터를 처리해야 합니다. (a) 계약 및 본 DPA에 따라, (b) 서비스 제공과 관련하여, (c) 계약 및 본 DPA의 조건과 일치하며 개인 데이터 처리가 수행되는 방식을 고려하는, 고객의 합리적이고 문서화된 지침을 준수하기 위해, (d) 고객의 지침 및/또는 고객의 서비스 사용에 따라 개인 데이터를 제3자와 공유하거나 제3자로부터 개인 데이터를 수신(예: 고객이 구성하거나 고객을 대신하여 제3자가 제공하는 모든 서비스 간의 통합), (e) 개인 데이터를 익명 정보로 렌더링(계약에 정의된 대로), (f) 그리고, 개인정보처리 수탁자가 적용받는 법률에 따라 요구되는 경우 및/또는 관할 법원이나 기타 관할 정부, 준정부 기관에서 요구하는 경우, 개인정보처리 수탁자는 해당 법률 또는 명령에 의해 금지되지 않는 한 개인 데이터를 처리하기 전에 고객에게 법적 요구 사항을 알려야 합니다.
해당 데이터보호법에 의해 개인정보처리 수탁자가 고객에게 통지하는 것이 금지되지 않는 한, 고객이 제공한 개인 데이터 처리 지침이 관련 데이터 보호법을 위반하는 경우 개인정보처리 수탁자의 합리적인 의견에 따라 부당한 지체 없이 고객에게 알려야 합니다. 이에 따라 개인정보처리 수탁자는 고객의 지침이 데이터 보호법을 위반하는지 여부를 확인할 의무가 없음을 명확히 합니다.
2.4. 개인정보처리의 세부 사항. 개인정보처리 수탁자에 의한 개인 데이터 처리의 주제 사항은 계약 및 본 DPA에 따른 서비스의 수행입니다. 본 DPA에 따라 개인 데이터가 처리되는 기간, 특성 및 목적, 개인 데이터의 유형 및 데이터 주체의 범주와 관련된 세부 정보는 본 DPA의 별지 1(개인정보처리의 세부 사항)에 추가로 자세히 명시되어 있습니다.
2.5. 민감한 데이터. 당사자들은 본 서비스가 민감한 데이터 처리를 위한 것이 아니며, 고객이 민감한 데이터를 처리하기 위해 본 서비스를 이용하고자 하는 경우, 먼저 monday.com의 명시적인 사전 서면 동의를 얻고 monday.com에서 요구하는 추가 계약을 체결해야 한다는 데 동의합니다.
2.6. CCPA 관리 표준, 개인정보의 판매 또는 공유 금지. 개인정보처리 수탁자는 본 계약 또는 본 DPA에 따라 개인정보처리 수탁자가 고객에게 제공하는 서비스 또는 기타 항목에 대한 대가로 개인정보를 받거나 처리하지 않음을 인정하고 확인합니다. 개인정보처리 수탁자는 CCPA의 규정, 요구 사항, 정의를 이해하고 있으며, 고객의 사전 서면 동의나 지시 없이 본 계약에 따라 처리되는 모든 개인정보를 판매 또는 공유하지 않고(CCPA에 정의된 대로), 계약이나 이 DPA에 따라 개인정보처리 수탁자에게 개인정보를 전송하거나 개인정보처리 수탁자로부터 전송받는 경우 CCPA에 따라 해당 개인정보를 ‘판매’ 및/또는 ‘공유’하는 것으로 간주되는 조치를 취하지 않는다는 것에 동의합니다. 개인정보처리 수탁자는 고객이 본 DPA 및 계약에 명시된 제한적이고 특정한 목적으로만 개인정보를 개인정보처리 수탁자에게 공개함을 인정합니다. 개인정보처리 수탁자는 모든 개인정보를 (a) 제한적이고 특정한 목적으로만 처리하며 (b) CCPA에 해당되는 조항을 준수해야 합니다. 개인정보처리 수탁자는 (i) 계약에 기술된 바와 같이 당사자의 직접적인 비즈니스 관계를 벗어나서, 또는 CCPA, 계약 및/또는 본 DPA에서 허용된 목적이나 서비스를 수행하는 특정 비즈니스 목적이 아닌 비즈니스 또는 상업적 목적으로 개인정보를 유지, 사용 또는 공개하거나, (ii) CCPA, 시행 규정, 계약 및/또는 당사자 간 DPA에 따라 명시적으로 허용되지 않는 한, 개인정보처리 수탁자가 논리적 분리를 통해 다른 당사자를 대신하여 처리하는 고객의 개인정보를 결합하지 않습니다. 또한 개인정보처리 수탁자는 통지에 따라 개인정보처리 수탁자의 개인정보 무단 사용을 중지하고 수정할 수 있는 합법적이고 적절한 조치를 취할 권리가 고객에게 있음을 인정합니다. 개인정보처리 수탁자는 CCPA에 따른 의무를 더 이상 이행할 수 없다고 판단할 경우, 이를 고객에게 알려야 합니다.
- 데이터 주체 요청
개인정보처리 수탁자가 데이터 주체 또는 소비자로부터 접근, 수정, 처리에 대한 제한, 삭제, 데이터 이송, 처리에 대한 이의를 포함하여 자동화된 개별 의사 결정의 대상이 되지 않고, 개인 정보 판매를 거부(옵트아웃)하고, 또는 차별받지 않도록(해당 데이터 보호법의 적용을 받는 범위 내에서) 요청을 받을 경우(‘데이터 주체 요청‘), 개인정보처리 수탁자는 고객에게 통지하거나 데이터 주체 또는 소비자를 고객에게 회부합니다. 개인정보처리의 특성을 고려하여, 개인정보처리 수탁자는 가능하고 합리적인 범위 내에서 고객이 데이터 주체 요청에 응답할 수 있도록 도와야 합니다. 개인정보처리 수탁자는 이러한 요청을 처리하거나 플랫폼 내에서 이용 가능한 자체 수행 기능의 사용을 조언할 수 있도록 데이터 주체 또는 소비자를 고객의 관리자에게 회부할 수 있습니다.
- 비밀 유지
개인정보처리 수탁자는 개인 데이터 처리에 관여하는 직원 및 계약자가 비밀을 유지하거나 법적으로 비밀을 지켜야 하는 의무가 있음을 보장해야 합니다.
- 하위 개인정보처리 수탁자
5.1. 하위 개인정보처리 수탁자 지정
고객은 (a)개인정보처리 수탁자의 계열사가 하위 개인정보처리 수탁자로 참여할 수 있음을 인정하고 동의합니다 (b)개인정보처리 수탁자 및 개인정보처리 수탁자는 서비스 제공과 관련하여 각각 제3의 하위 개인정보처리 수탁자를 고용할 수 있습니다.
5.2. 현재 하위 개인정보처리 수탁자의 목록 및 새로운 개인정보처리 수탁자의 알림.
5.2.1. 발효일부터 고객은 현재 개인정보처리 수탁자가 개인 데이터 처리를 위해 사용하며 www.monday.com/terms/subprocessors (‘하위 개인정보처리 수탁자 페이지‘)에 명시된, 하위 개인정보 수탁자가 참여할 수 있는 포괄 서면 인가를 개인정보처리 수탁자에게 부여하게 됩니다.
5.2.2. 하위 개인정보처리 수탁자 페이지는 새로운 하위 개인정보처리 수탁자의 참여 및 기존 하위 개인정보처리 수탁자의 교체에 관한 통지(‘하위 개인정보처리 수탁자 통지‘)를 구독할 수 있는 메커니즘을 제공합니다. 고객은 본 DPA에 들어갈 때 이 메커니즘을 구독해야 하며, 이 메커니즘을 통해 전송된 알림은 고객에게 새 하위 개인정보처리 수탁자의 지정 또는 기존 하위 개인정보처리 수탁자의 교체를 통지해야 하는 개인정보처리 수탁자의 의무를 이행한다는 점을 인정합니다.
5.3. 새로운 하위 개인정보처리 수탁자에 대한 이의 제기. 새로운 하위 개인정보처리 수탁자 통지 게시에 따라, 고객은 해당 하위 개인정보처리 수탁자가 처리하는 개인 데이터의 보호와 관련된 이유로 개인정보처리 수탁자가 하위 개인정보처리 수탁자를 새로 지정하거나 교체하는 것에 대해 합리적으로 이의를 제기할 수 있습니다. 이러한 이의 제기는 새로운 하위 개인정보처리 수탁자 통지가 게시된 후 7일 이내에, 고객이 새로운 하위 개인정보처리 수탁자를 지정하는 것에 대해 자세한 사유를 적어 privacy@monday.com에 서면으로 즉시 제출해야 합니다. 앞서 설명한 방식으로 7일 이내에 이의 제기를 하지 않을 경우, 고객이 새로운 하위 개인정보처리 수탁자의 지정을 수락한 것으로 간주합니다. 고객이 앞서 허용된 내용대로 새로운 하위 개인정보처리 수탁자에 대해 합리적으로 반대하는 경우, 개인정보처리 수탁자는 합리적인 노력을 기울여 고객이 서비스 내에서 변경할 수 있게 하거나 고객의 서비스 구성 또는 사용에 대해 상업적으로 합리적인 변경을 권장하여, 고객에게 부당한 부담을 주지 않으면서 이의 제기 대상인 새로운 하위 개인정보처리 수탁자가 개인 데이터를 처리하지 않도록 합니다. 만약 개인정보처리 수탁자가 이의를 접수한 후 30일 이내에 이러한 변경 조치를 제공할 수 없다면 고객은 유일한 구제책으로 개인정보처리 수탁자에게 서면 통지를 제공함으로써, 이의 제기 대상인 새로운 하위 개인정보처리 수탁자를 사용하지 않고는 개인정보처리 수탁자가 제공할 수 없는 해당 서비스 및/또는 그러한 서비스 구성 요소에 대해서만 계약 및 본 DPA를 해지할 수 있습니다. 해당 사안의 처리와 관련된 해지 날짜 이전에 계약에 따라 미지불된 모든 금액은 개인정보처리 수탁자에게 정당하게 지불되어야 합니다. 새로운 하위 개인정보처리 수탁자에 대한 결정이 내려질 때까지 개인정보처리 수탁자는 새로운 하위 개인정보처리 수탁자의 영향을 받는 개인 데이터의 처리를 일시적으로 피하거나 중단하고, 해당 서비스에 대한 접근을 중단할 수 있습니다. 고객은 본 단락에 설명된 상황에서의 계약 해지(환불 요청을 포함하되 이에 국한되지 않음) 및/또는 DPA로 인해 개인정보처리 수탁자에 대해 더 이상 추가 청구를 할 수 없습니다.
5.4. 하위 개인정보처리 수탁자와의 계약. 개인정보처리 수탁자 또는 개인정보처리 수탁자의 계열사는 각 기존 하위 개인정보처리 수탁자와 서면 계약을 체결했으며, 본 DPA에 명시된 것과 동일하거나 실질적으로 유사한 데이터 보호 의무, 특히 GDPR의 조건을 충족하는 방식으로 적절한 기술적 및 조직적 조치를 실행하는 의무를 포함하는 각 새로운 하위 개인정보처리 수탁자와 서면 계약을 체결해야 합니다. 하위 개인정보처리 수탁자가 개인 데이터 처리와 관련된 데이터 보호 의무를 이행하지 못하는 경우, 개인정보처리 수탁자는 고객에게 하위 개인정보처리 수탁자의 의무 이행에 대한 책임을 집니다.
- 보안 및 감사
6.1. 개인 데이터 보호를 위한 개인정보처리. 개인정보처리 수탁자는 본 계약에 따라 처리되는 개인 데이터의 보호를 위해 적절한 산업 표준 기술적 및 조직적인 조치(개인 데이터의 무허가 또는 불법적 개인정보처리, 우발적이거나 불법적인 개인정보의 파기, 손실, 변경 또는 손상, 무단 공개 또는 접근, 개인 데이터의 비밀성 및 무결성에 대한 조치 포함)를 유지해야 합니다. 고객의 합리적인 요청이 있을 경우 개인정보처리 수탁자는 개인정보처리의 특성과 개인정보처리 수탁자가 이용할 수 있는 정보를 고려하여 GDPR 제32조부터 제36조에 따른 의무를 준수할 수 있도록 고객이 비용을 부담하고 아래 11.1조 규정을 전제로 하여 고객을 합리적으로 지원합니다.
6.2. 감사 및 검사. 고객이 합리적인 간격(12개월에 한 번 이하)을 두고 14일 이전에 서면 요청을 하였으며 고객의 비밀을 엄격히 유지해야 할 의무가 있는 경우, 개인정보처리 수탁자는 개인정보처리 수탁자의 경쟁사가 아닌 고객(또는, 비밀 유지 및 경쟁 금지 약정을 전제로, 개인정보처리 수탁자의 경쟁사가 아니며 고객의 독립적이고 신뢰할 수 있는 제3자인 감사자)에게 본 DPA를 준수함을 입증하는 데 필요한 정보를 제공해야 하며, 그들이 검사를 포함한 감사를 수행하게 하고 이에 기여해야 합니다. 개인정보처리 수탁자는 본 DPA 준수와 관련하여 고객의 설문지 기반 감사에 응답하거나, 공인된 제3자 감사자가 수행한 감사 보고서의 증명서, 인증서, 요약본을 고객에게 제공함으로써 본 항목에 따른 의무를 이행할 수 있습니다. 감사 및 검사와 그 결과에 관한 정보는 해당 결과를 반영하는 문서를 포함하여 모두 고객이 개인정보처리 수탁자의 DPA 준수 여부를 평가하는 데만 사용되어야 하며, 다른 목적으로 사용되거나 개인정보처리 수탁자의 사전 서면 승인 없이 제3자에게 공개되어서는 안 됩니다. 개인정보처리 수탁자의 첫 번째 요청이 있을 시, 고객은 감사 및/또는 검사와 관련하여 개인정보처리 수탁자가 제공했거나 고객(또는 각 위임된 감사관)이 수집 및/또는 생성한 모든 기록 또는 문서를 개인정보처리 수탁자에게 이전해야 합니다.
6.3. 위에 명시된 감사 또는 검사의 경우, 고객(및 각 위임된 감사관)은 해당 감사 또는 검사를 수행하는 동안 해당 개인정보처리 수탁자의 사업체, 구내, 설비, 인력, 업무에 어떠한 손상, 부상 또는 중단도 야기하지 않도록(혹은 피할 수 없다면 이를 최소화하도록) 해야 합니다.
6.4. 위의 6.2에 명시된 감사 권한은 데이터 보호법(해당되는 경우 GDPR 또는 UK GDPR의 제28조 3항(h) 포함)의 관련 요구 사항을 충족하는 감사 권한을 본 계약이 달리 고객에게 제공하지 않는 범위까지만 적용됩니다. 표준 계약 조항이 적용되는 범위 내에서 본 6항의 어떤 내용도 표준 계약 조항의 내용을 수정하거나 표준 계약 조항에 따른 감독청 또는 데이터 주체의 권리에 영향을 미치지 않습니다.
- 데이터 사고 관리 및 통지
7.1. 개인정보처리 수탁자는 내부 보안 사고 관리 정책 및 절차를 유지관리하며, 관련 데이터 보호법에 따라 요구되는 범위 내에서 고객을 대신해 개인정보처리 수탁자가 처리한 개인 데이터에 대한 우발적이거나 불법적인 파기, 손실, 변경, 무단 공개 또는 접근을 인지한 뒤 부당한 지체 없이 고객에게 알려야 합니다(‘데이터 사고‘). 개인정보처리 수탁자의 합리적인 통제 범위 내에서 복원 및/또는 완화 절차가 해당 데이터 사고를 복원 및/또는 완화하는 데 필요하고 합리적이라고 판단될 경우, 개인정보처리 수탁자는 이러한 절차를 파악하고 수행하기 위해 합리적인 노력을 기울여야 합니다. 여기에 명시된 의무는 고객, 고객의 사용자 또는 고객을 대신하여 서비스를 이용하는 모든 사람에 의해 발생하는 데이터 사고에는 적용되지 않습니다.
7.2. 고객은 관련 데이터 보호법에 따라 강제되는 경우를 제외하고는, 개인정보처리 수탁자의 사전 서면 승인 없이 직접적 또는 간접적으로 개인정보처리 수탁자(모든 법적 절차 또는 통지에서 규제 기관이나 감독청 또는 영향을 받는 개인 포함)를 파악할 수 있는 데이터 사고에 관련된 어떠한 조사 결과, 책임 인정, 통신, 통지, 보도 자료 또는 보고서도 작성하거나 공개, 게시하지 않습니다. 데이터 보호법에 의해 강제되는 경우, 해당 법률에서 금지하지 않는 한 고객은 개인정보처리 수탁자에게 합당한 사전 서면 통지를 통해 그러한 공개에 이의를 제기할 기회를 제공해야 하며, 어떠한 경우라도 고객은 해당 법률에 따라 요구받는 최소 범위로 정보 공개를 제한해야 합니다.
- 개인 데이터 반환 및 삭제
계약 해지 및 서비스 중단 후(플랫폼 또는 개인정보처리 수탁자에게 사전 서면 통지를 통해), 개인정보처리 수탁자가 적용받는 법률에서 달리 요구하거나 허용하지 않는 한, 개인정보처리 수탁자는 고객의 선택에 따라 본 계약에 설명된 방법으로 고객을 대신하여 처리하는 모든 게인 데이터를 삭제하거나 고객에게 반환해야 합니다.
- 국외 데이터 이전
9.1 EEA, 스위스, 영국에서 적절한 수준의 데이터 보호를 제공하는 국가로의 이전. 개인 데이터는 EU 회원국과 노르웨이, 아이슬란드 및 리히텐슈타인(총칭하여 ‘EEA‘), 스위스 및 영국(‘UK‘)에서 EEA, 스위스 및/또는 UK의 관계 당국이 관련하여 발표한 적정성 결정(‘적정성 결정‘)에 따라 유사하게 승인된 메커니즘과 프레임워크와 같은 적절한 수준의 데이터 보호를 제공하는 국가로 이전될 수 있으며, 이에 해당하는 경우 추가적인 보호 조치가 필요하지 않습니다.분명히 하자면, ‘적정성 결정’에는 EU-미국 데이터 개인정보 보호 프레임워크를 수립한 EU 집행위원회 적정성 결정이 포함됩니다.
9.2. EEA, 스위스, 영국에서 다른 국가로의 직접적 이전. 개인정보처리 수탁자별 개인 데이터 처리에 고객에서 monday.com으로의 이전(직접 또는 역외이전)이 포함된 경우는 다음과 같습니다.
(i) EEA에서 관련 적정성 결정의 대상이 되지 않은 다른 국가로, 이러한 이전은 데이터 보호법에서 인정하는 대체 이행 방법을 통해 수행되지 않으며(개인정보처리 수탁자의 재량으로 채택될 수 있음)(‘EEA 이전‘), EU SCC에 명시된 조건이 적용됩니다.
(ii) 영국에서 관련 적정성 결정의 대상이 되지 않은 다른 국가로, 이러한 이전은 데이터 보호법에서 인정하는 대체 이행 방법을 통해 수행되지 않으며(개인정보처리 수탁자의 재량으로 채택될 수 있음)(‘UK 이전‘), UK 부속문서에 명시된 조건이 적용됩니다.
(iii) 스위스에서 관련 적정성 결정의 대상이 되지 않은 다른 국가로, 이러한 이전은 데이터 보호법에서 인정하는 대체 이행 방법을 통해 수행되지 않으며(개인정보처리 수탁자의 재량으로 채택될 수 있음)(‘스위스 이전‘), 스위스 부속문서에 명시된 조건이 적용됩니다.
(iv) EU SCC의 부속서 V에 명시된 조건(추가 보호 조항)은 표준 계약 조항이 적용되는 모든 EEA 이전, UK 이전, 스위스 이전에 적용됩니다.
9.3. EEA, 스위스, 영국에서 다른 국가로의 이전. 개인정보처리 수탁자가 이후 EEA, 영국, 스위스에서 적정성 결정(2021년 6월 4일자 집행위원회 시행 결정(EU) 부속서 2021/914에 명시된 표준 계약 조항(모듈 3) 및 이에 해당하는 부속서(‘SCC‘) 각각)의 적용을 받지 않는 국가의 개인정보처리 수탁자를 포함한 승인된 하위 개인정보처리 수탁자에게 개인 데이터를 전송하는 경우, 개인정보처리 수탁자와 해당 하위 개인정보처리 수탁자 및 자회사 사이에는 2021년 8월 27일 스위스 연방 데이터 보호 및 정보 위원회의 지침에 따라 조정된 IDTA 및/또는 SCC가 적용됩니다.
9.4. 다른 국가에서의 이전: 개인정보처리 수탁자별 개인 데이터 처리에 다른 관할권에서의 개인 데이터 이전 및/또는 고객에 의해 위임된 곳에서 개인정보처리 수탁자로의 개인 데이터 이전이 포함되고 해당 데이터의 합법적인 이전을 위해 특정 이행 방법이 요구되는 경우, 고객은 개인정보처리 수탁자에게 해당 요구 사항을 알려야 하며, 당사자들은 아래 11.2항의 규정에 따라 본 DPA에 필요한 수정을 가할 수 있습니다.
- 공식 계열사
10.1. 계약 관계. 당사자들은 본 DPA를 이행함으로써 고객이 본인을 대신하여 DPA를 체결하고, 해당하는 경우에는 그들의 공식 계열사의 이름으로 대신하여 DPA를 체결한다는 것을 인정하고 동의합니다. 이 경우 각 공식 계열사는 고객의 개인정보처리 수탁자가 공식 계열사를 대신하여 개인정보처리 수탁자가 개인 데이터를 처리하는 범위 내에서 본 DPA에 따라 고객의 의무에 구속되는 데 동의하며, 이에 따라 공식 계열사들을 대신하여 처리되는 개인 데이터와 관련하여 공식 계열사에 ‘개인정보처리 위탁자‘ 자격이 부여됩니다. 공식 계열사가 서비스에 접근하고 사용하는 모든 것은 계약 및 본 DPA의 약관을 준수해야 하며, 공식 계열사가 해당 약관을 위반하는 것은 고객의 위반으로 간주합니다.
10.2. 의사소통. 고객은 계약 및 본 DPA에 따라 개인정보처리 수탁자와의 모든 의사소통을 조정할 책임이 있으며, 공식 계열사를 대신하여 본 DPA와 관련된 모든 의사소통을 주고받을 권리가 있습니다.
- 기타 조항
11.1. 데이터 보호 영향평가 및 사전 협의. 고객의 합리적인 요청이 있을 경우, 개인정보처리 수탁자는 고객의 서비스 사용과 관련된 데이터 보호 영향평가를 수행하기 위해 GDPR 또는 UK GDPR(해당되는 경우)에 따른 고객의 의무를 이행하기 위해 필요한 협력과 지원을 고객이 달리 관련 정보에 접근할 수 없는 범위 및 그러한 정보를 개인정보처리 수탁자가 이용할 수 있는 범위 내에서 고객의 비용으로 제공해야 합니다. 개인정보처리 수탁자는 해당되는 경우, GDPR 또는 UK GDPR에 따라 요구되는 범위 내에서 본 11.1항과 관련된 업무를 수행하는 감독청과의 협력 또는 사전 협의에서 고객의 비용으로 고객에게 합리적인 지원을 제공해야 합니다.
11.2. 변경. 관련 데이터 보호법을 위반하지 않고 고객 개인 데이터를 처리할 수 있도록, 적용되는 데이터 보호법의 변경으로 인해 본 DPA의 변경이 필요한 경우 각 당사자는 상대방에게 서면으로 최소 45일 전까지 본 DPA 변경을 요청할 수 있습니다. 가능한 한 빨리 시행되어야 하는 고객 또는 개인정보처리 수탁자의 통지로 관련 데이터 보호법의 요구 사항이 파악되었으며, 이러한 통지에 따라 문제를 해결하기 위해 고안된 변경 사항 또는 대체 내용에 동의하고 시행하기 위해 당사자들은 신의성실의 원칙에 따라 협상해야 하며 상업적으로 합리적인 노력을 기울여야 합니다. 또한, 개인정보처리 수탁자는 이러한 변경이 고객의 권리 또는 개인정보처리 수탁자의 의무와 관련하여 중요한 측면에서 불리하지 않을 경우(예: 오류 및 오타 수정, 기술적 조정 또는 개인정보처리 수탁자가 필요하다고 판단하는 기타 사유) 본 DPA를 통지 없이 때때로 변경할 수 있습니다. 명확성을 위해, 개인정보처리 수탁자가 고객의 권리 또는 개인정보처리 수탁자의 의무에 중대하게 불리한 변경을 가하는 경우에는 개인정보처리 수탁자가 이를 사이트에 공지로 게시하거나, 서비스 및/또는 이메일을 통해 고객에게 알립니다.
별지 1 – 개인정보처리의 세부 사항
개인정보처리의 특성 및 목적
- 고객에게 서비스를 제공
- 계약, 본 DPA 및/또는 당사자들 사이에 체결된 기타 계약을 이행함
- 고객의 지침이 계약의 약관과 일치하는 경우 고객의 지침에 따라 행동함
- 고객의 지침 및/또는 고객의 서비스 사용에 따라 개인 데이터를 제3자와 공유함(예: 서비스와 제3자 서비스 사이의 개인 데이터 공유를 용이하게 하기 위해 고객이 구성하거나 고객을 대신하여 구성한 제3자 제공 서비스와 본 서비스의 통합)
- 개인 데이터를 익명 정보로 렌더링
- 관련 법률 및 규정을 준수함
- 위의 내용과 관련된 모든 작업
개인정보처리 기간
개인정보처리 기간과 만료 또는 해지의 결과를 다루는 DPA 및/또는 계약의 조항에 따라, 개인정보처리 수탁자는 달리 서면으로 합의되지 않는 한 계약 및 서비스 제공 기간 동안 개인 데이터를 처리합니다.
개인 데이터의 유형
고객은 개인 데이터를 서비스에 제공할 수 있으며, 개인 데이터의 유형과 범위는 고객의 전적인 재량에 따라 결정되고 통제됩니다.
데이터 주체의 범주
개인정보처리 수탁자가 처리할 개인 데이터와 관련된 데이터 주체 범주는 고객에 따라 다르며, 다음 범주를 포함할 수 있으나 이에 국한되지는 않습니다.
- 고객의 직원, 대리인, 고문, 프리랜서(자연인)
- 고객의 잠재 고객, 고객, 사업 파트너, 공급업체(자연인)
- 고객의 잠재 고객, 고객, 사업 파트너, 공급업체의 직원이나 연락 담당자
- 서비스에 의해 개인 데이터가 처리되는 기타 모든 제3자 개인.