LEGAL & COMPLIANCE
데이터처리부록
Updated: January 13, 2023
본 데이터 처리 계약(“DPA”)은 귀하(“고객”)와 MOCA System Inc.(“MOCA”) 간에 체결한 서비스 약관의 일부를 구성합니다. 본 계약은 귀하가서비스에 액세스하는 동안 개인정보가 처리되는 범위에만 적용되며, 이 범위는 컨트롤러인 귀하가 서비스를설정하는 방식에 따라서만 달라집니다.
1. 정의
본 DPA의 목적상, 다음 용어는 아래에 명시된 의미를 갖습니다. 대문자로 표기되었지만 본 DPA에 정의되지 않은 용어는 계약서에 명시된 의미를 갖습니다.
1.1 “준거법”은 관할권 또는 법률이나 규정의 주제에 관계없이 특정 상황에 적용되는 모든 법률 및 규정을 의미합니다.
1.2 “고객 데이터”는 고객이 업로드하거나 제공하는 모든 데이터를 의미합니다. MOCA는 서비스를 제공하기 위해 고객 데이터를 처리할 수 있습니다.
1.3 “데이터 보호법”은 GDPR 등, 본 계약에 따른 개인정보 처리에 적용되는 모든 법률 및 규정을 의미합니다.
1.4 “삭제”는 개인정보를 복구 또는 재구성할 수 없는 방식으로 제거하거나 말소함을 의미하며, 따라서 암호화 및 유사한 기술은 여기에서 제외됩니다.
1.5 “EU 적용 법률”은 유럽연합에서 인정되는 범위 내에서 특정 상황에 적용되는 모든 법률 및 규정을 의미합니다.
1.6 “GDPR”은 규정(EU) 2016/679(“EU GDPR”) 또는 해당되는 경우에 2018년 영국 유럽연합(탈퇴)법 제3조에 따라 잉글랜드 및 웨일즈, 스코틀랜드 및 북아일랜드 법률의 일부를 구성하는 “영국 GDPR”을 의미합니다.
1.7 “개인정보”는 식별되거나 식별 가능한 자연인에 관련된 정보를 의미하며, 해당 데이터 보호법에 유사하게 정의된 용어도 이에 포함됩니다.
1.8 “처리”는 액세스, 수집, 기록, 조직, 구조화, 저장, 수정 또는 변경, 검색, 조회, 사용, 전송에 의한 공개, 전달 또는 기타의 방식에 의한 제공, 정렬 또는 조합, 제한, 삭제 또는 폐기 등, 자동화 수단의 사용 여부에 관계없이 단일 개인정보 또는 개인정보 집합에 수행된 모든 단일 작업 또는 작업 집합을 의미합니다.
1.9 “데이터 주체”, “회원국”, “컨트롤러”, “프로세서”, “감독기관”, “수령인” 및 “개인정보 위반”의 의미는 GDPR에 명시되어 있습니다.
1.10 “규제 대상 전송”은 (i) 개인정보를 MOCA에서 하위 프로세서 또는 다른 MOCA 시설로 전송하거나, (ii) 이후에 하위 프로세서에서 다른 하위 프로세서 또는 다른 시설로 전송할 때 데이터 보호법이 GDPR 제44조 이하 규정에 따른 적절한 장치가 없는 등을 사유로 해당 전송을 금지하는 경우를 의미합니다. 의심의 여지를 없애기 위해 그리고 상기 규정의 일반적인 적용성을 제한하지 않는 범위 내에서 예시적으로 본 DPA의 양 당사자는 영국이 유럽연합에서 탈퇴한 이후에 영국과 개인정보를 송수신하는 경우에 적정성 결정 또는 다른 유사한 협정을 체결한 경우를 제외하고는 규제 대상 전송으로 본다는 규정을 둡니다.
1.11 “하위 프로세서”는 개인정보를 처리할 수 있도록 제7조에 따라 선임된 모든 법인 또는 자연인을 의미합니다.
2. 처리세부정보
2.1 목적 및 범위. MOCA 는 서비스 약관에 따라 회사에 서비스를 제공합니다. MOCA는 서비스를 제공할 때 고객을 대리하여 고객 데이터를 처리해야 합니다. 고객 데이터에는 개인정보가 포함될 수 있습니다. 따라서 고객은 다음과 같은 요건에 해당되어야 합니다.
i. 고객 데이터의 데이터 컨트롤러인 경우, 혹은
ii. 고객이 제삼자를 대리하여 개인정보를 처리하는 경우 데이터 프로세서여야 합니다. 본 DPA 및 서비스 약관의 목적상, MOCA는 데이터 프로세서입니다. 데이터 프로세서는 이 개인정보를 본 DPA 및 서비스 약관에 따라 처리 및 보호합니다.
iii. 본 부록은 회사가 데이터 보호법의 범위 내에서 컨트롤러 또는 프로세서이고 MOCA가 회사의 프로세서 또는 하위 프로세서인 모든 개인정보(이하 “데이터”)에 적용됩니다.
2.2 개인정보의 유형. MOCA는 고객이 서비스를 사용할 때 해당 데이터 주체 범주에 대해 업로드하거나 제출하는 개인정보를 처리합니다. 이는 이름, 성, 조직, 직위, 개인 코드, 전화 번호 등일 수 있습니다(그러나 이에 국한되지 않음). 개인정보는 고객이 제공하는 고객 데이터의 특성 및 내용에 따라 다를 수 있습니다.
2.3 처리 기간. MOCA는 고객이 서비스를 사용할 때 업로드 또는 제출하는 순간에서부터 다음 날짜 중에서 가장 일찍 도래하는 날까지 고객 데이터를 처리할 수 있습니다.
i. 고객이 고객 데이터를 제거한 날,
ii. 계약이 만료/해지된 날, 또는
iii. (해당되는 경우에) 각 당사자가 본 계약에 따른 의무를 이행하는 목적에 처리가 더 이상 필요하지 않은 날짜.
3. 개인정보의 처리
3.1 MOCA는 해당 데이터 보호법에서 처리를 요구하는 경우를 제외하고는 개인정보를 문서화된 고객 지침에 따라 처리해야 하며, 이 경우에 MOCA는 해당 데이터 보호법이 허용하는 범위 내에서 처리 전에 이 법적 요건을 고객에게 통지해야 합니다. MOCA는 개인정보 처리에 적용되는 모든 데이터 보호법을 준수해야 합니다.
3.2 고객은 MOCA이 고객 데이터를 처리할 수 있는 적절한 법적 근거를 확보해야 합니다.
3.3 고객은 MOCA에게 서비스 약관에 따른 의무를 이행하는 데 필요한 개인정보를 처리하고 본 DPA에 따라 요구되는 모든 정보 보안, 기밀유지 및 개인정보 보호 요건을 준수하도록 지시해야 합니다. 문서화된 지침의 범위를 벗어나는 추가 고객 지침은 양 당사자 간에 사전 서면 계약을 체결해야 합니다.
3.4 고객의 지침이 GDPR 또는 기타 해당 데이터 보호법과 상충하는 경우에 MOCA는 이를 즉시 고객에게 알려야 합니다. 본 조항은 어떠한 방식으로든 MOCA에 고객 데이터의 모니터링 및/또는 추가 단계의 수행 및/또는 고객 지침의 적법성을 평가하기 위한 추가 정보의 획득 등을 이행해야 할 의무를 부과하지 않습니다.
4. 데이터전송
4.1 고객은 본 계약에 따른 서비스 수행에 관련하여 개인정보가 ‘적절한’ 데이터 보호를 제공하는 유럽 위원회의 승인 국가인 대한민국에 위치하는 하위 프로세서에 전송된다는 점을 인정하고 이에 동의합니다.
4.2 데이터 전송으로 인해 영국 개인정보가 직접 전송이든 후속 전송을 통해서든 전송되는 경우에는 별첨 1의 영국 GDPR 제46조(이하 “영국 SCC”)에 따라 채택되거나 허용되는 표준 계약 조항(Standard Contractual Clauses)도 적용됩니다.
5. 기밀유지의무
5.1 MOCA는 개인정보에 액세스할 수 있는 직원, 대리인, 하위 프로세서 또는 제삼자의 신뢰성을 보장하기 위해 적절한 조치를 취해야 하며, 이 경우에 액세스는 본 계약의 목적에 필요한 해당 개인정보를 숙지/액세스해야 하는 사람에게만 허용해야 합니다. 이 사람들은 모두 이는 고용, 위임 또는 MOCA와의 계약 기간 내내 이행해야 하는 기밀유지 서약 또는 직무상 또는 법적 기밀유지 의무를 준수해야 합니다.
5.2 각 당사자는 본 계약 및 당사국에 대해 수령한 정보를 본 계약(“기밀 정보”)과 관련하여 보관해야 하며, 다음을 제외하고 상대방의 사전 서면 동의 없이 기밀 정보를 사용하거나 공개해서는 안 됩니다.
(a) 법률에 의해 요구되는 경우
(b) 관련 정보가 이미 공개된 경우
6. 기술적 조직적 조치
6.1 MOCA는 고객 데이터를 보호하기 위해 적절한 기술적 조직적 조치를 시행해야 합니다. MOCA는 첨단기술, 시행 비용, 처리의 성격, 범위, 상황 및 목적, 그리고 자연인의 권리 및 자유에 미칠 수 있는 위험의 다양한 가능성 및 심각도를 고려하여 기술적 조직적 조치를 선택해야 합니다.
6.2 MOCA는 국제 보안 표준에 따라 정보 보안 관리 시스템을 구현하고 인증된 감사인의 인증을 획득했습니다. 정보 보안 관리 시스템은 다음을 포함하되 이에 국한되지 않는 다양한 보안 조치를 제공합니다.
(i) 개인정보의 가명 및 암호화
(ii) 데이터 처리 시스템 및 서비스의 지속적인 기밀성, 무결성, 가용성 및 복원력을 보장하기 위한 조치
(iii) 물리적 또는 기술적 사고의 발생 시에 개인정보의 가용성 및 액세스를 적시에 복원할 수 있는 조치
(iv) 개인정보의 액세스(원격 액세스 포함)를 보호하기 위한 조치
(v) 개인정보를 처리 및 보관하는 시설의 물리적 보안을 위한 조치. 이 보안 조치의 유효성을 최소한도 매년 평가합니다.
6.3 MOCA는 본 DPA에 따라 MOCA가 고객 데이터에 제공하는 전반적인 보호 수준이 해당 업데이트 및 수정 작업에 따라 저하되지 않는 경우에 기술적 조직적 조치를 수시로 업데이트할 수 있습니다.
7. 하위프로세서
7.1 고객은 MOCA에 아래에 명시된 하위 프로세서를 사용할 수 있는 일반적 권한을 허여합니다. 의심의 여지를 없애기 위해 전술한 허가는 표준 계약 조항 별첨 1의 제11조의 목적상, 하위 처리에 대한 고객의 사전 서면 동의를 구성한다는 규정을 둡니다.
하위 프로세서 | 연락처 정보 | 처리 설명 | 처리 위치 |
Amazon Web Services Korea, Inc. | aws-korea-privacy@amazon.com | MOCA의 클라우드 기반 액세스 제어 서비스 인프라 | 대한민국 |
7.2 MOCA가 고객 개인정보(고객이 하위 프로세서를 평가하는 데 필요한 정보 포함)를 처리하기 위해 사용하는 하위 프로세서를 추가 또는 교체할 것을 제안하는 경우에는 이를 사전에 고객에 통지해야 하며(“하위 프로세서 통지”), “하위 프로세서 통지”를 받은 날로부터 14일 이내에 합리적인 근거를 서면으로 명시하여 이의권을 행사해야 합니다.
7.3 MOCA는 하위 프로세서가 개인정보를 처리하도록 허용하기 전에 GDPR 제28조 요건에 부합하고 본 DPA에 명시된 것과 유사한 조건을 명시한 데이터 처리 계약을 체결해야 합니다.
7.4 MOCA는 고객이 요구하거나 승인하지 않는 한 하위 처리자를 임명(또는 회사 개인데이터를 공개)해서는 안 됩니다.
8. 협력의무
8.1 데이터 주체 권리. 고객이 요청하는 경우에 MOCA는 고객이 해당 데이터 보호법에 따른 데이터 주체의 권리에 관련하여 데이터 보호 의무를 준수할 수 있도록 적절한 추가 지원을 적시에 제공해야 합니다. MOCA가 본 계약에 따른 고객 개인정보 처리에 관련하여 데이터 주체로부터 요청을 받은 경우에는 이를 고객에 즉시 통지해야 하며, 해당 요청에 직접 대응하는 것 대신에 데이터 주체에 해당 요청을 고객에 제출하도록 요구해야 합니다.
8.2 영향 평가 및 협의. 고객이 요청하는 경우에 MOCA는 해당 데이터 보호법에 따라 필요할 수 있는 데이터 보호 영향 평가 또는 규제 당국 협의에 관련하여 고객에게 적절한 협조를 제공해야 합니다.
8.3 제삼자 요청. MOCA가 법률 집행 기관 또는 정부 기관을 포함한 제삼자로부터 고객 개인정보를 보관, 공개 또는 기타 방식으로 처리해달라는 요청(이하 “제삼자 요청”)을 받은 경우에는 가능한 한 해당 제삼자 요청을 고객에게 제출해야 합니다. MOCA가 제삼자 요청을 고객에게 제출할 수 없는 경우에는 제삼자 요청에 대응하기 전에 법률적으로 허용되는 한도 내에서 고객이 적절한 법적 조치를 구할 수 있도록 이를 고객에게 통지하기 위한 적절한 노력을 기울여야 합니다.
8.4 각 당사자는 제8.1항~8.3항의 일반적 적용성을 제한하지 않는 범위 내에서 예시적으로 모든 정보 요청에 대해 신속하고 성실하게 답변하는 등, 상대방이 데이터 보호법을 준수하려는 노력을 지원하기 위해 상업적으로 적절한 노력을 기울여야 합니다.
9. 개인정보위반
9.1 MOCA는 데이터 위반 사실을 알게 된 후에는 데이터 위반으로 인한 유해한 영향을 완화하고 추가적인 무단 액세스 또는 공개를 방지하기 위해 적절한 조치를 취해야 합니다.
9.2 MOCA는 고객이 해당 데이터 보호법에 따라 요구되는 데이터 위반 보고 의무를 이행할 수 있도록 부당한 지연 없이 이를 고객에게 통지하고 자신이 보유하는 적절한 정보를 제공해야 합니다. 통지에서는 다음 사항을 명시해야 합니다.
(i) 가능한 경우에 해당 데이터 주체의 범주 및 대략적인 수, 해당 개인정보 기록의 범주 및 대략적인 수 등, 개인정보 위반의 성격에 대한 설명
(ii) 개인정보 위반으로 인해 발생할 수 있는 결과에 대한 설명
(iii) 해당되는 경우에 발생 가능한 부작용을 완화하기 위한 조치 등, 개인정보 위반 문제를 해결하기 위해 MOCA가 취했거나 취하도록 제안된 조치에 대한 설명.
9.3 MOCA는 이 정보를 사용 가능한 단계별로 제공할 수 있습니다. MOCA가 본 제9조에 따른 데이터 위반을 통지하거나 이에 대응하더라도 MOCA가 데이터 위반에 관련된 모든 과실이나 책임을 인정하는 것으로 해석할 수 없습니다.
10. 유효성 및 해지
10.1 본 DPA는 서비스 약관이 발효하면 실시해야 하며, 서비스 약관의 효력이 유지되는 한 효력을 존속합니다.
10.2 DPA가 해지 또는 만료되거나 서비스가 완료되면 MOCA는 해당 법률을 준수하는 데 필요한 경우를 제외하고는 본 DPA에 따라 처리된 모든 개인정보(사본 포함)를 삭제해야 합니다.
10.3 MOCA는 고객의 데이터 처리와 관련된 서비스 중단 날짜로부터 영업일 기준 10일 이내에 고객의 데이터 삭제하고 삭제내역을 고객에게 제공합니다.
11. 감사권
11.1 MOCA는 본 DPA에 명시된 의무 준수 여부를 입증하는 데 필요한 모든 정보를 고객에 제공해야 하며, 본 제11조에 명시되고 고객 또는 고객이 위임한 다른 감사인이 실시하는 감사를 허용하고 이에 기여해야 합니다.
11.2 고객은 감사를 진행하기 30일 전까지 이를 적절하게 통지해야 합니다. 고객은 이 감사가 MOCA의 운영을 부적절하게 방해하지 않도록 필요한 범위에서만 수행되게 해야 합니다.
11.3 MOCA는 제11.1항에 따른 감사에 필요한 한도 내에서 고객에 정보를 제공해야 할 의무가 있습니다.
11.4 제11.1항에 따른 감사는 다음 요건에 해당하는 추가 감사를 제외하고는 매년(달력 기준) 1회 이상 실시해야 합니다.
(i) 고객이 MOCA의 본 DPA 준수 및 개인정보 처리에 대한 문서화된 지침에 관련하여 진정한 우려로 인해 추가 감사가 필요하다고 합리적으로 판단한 경우.
(ii) 고객은 감독기관의 요청 또는 준거법에 따라 추가 감사를 수행해야 하는 경우.
(iii) 제11.1항에 따라 수행된 감사에서 몇 가지 우려 사항이 밝혀진 후에 고객이 추가 감사를 수행하기로 결정한 경우.
11.5 본 조에 따른 감사는 고객의 비용 부담으로 수행해야 합니다.
11.6 그럼에도 불구하고 본 제11조는 고객에 MOCA 시설 및/또는 하위 프로세서에 대한 물리적 감사를 수행할 수 있는 권한을 허여하지 않습니다.
12. 고객의무
12.1 고객은 자체 재량 및 책임에 따라 개인정보 및 개인정보 범주를 MOCA에 제공할 데이터 주체의 범주(예: 직원, 계약업체, 비즈니스 파트너, 서비스 제공업체 등, 그러나 이에 국한되지 않음)를 결정해야 하며, MOCA가 서비스를 적절히 제공하는 데 필요한 개인정보만 MOCA에 제공해야 합니다.
12.2 고객은 서비스 약관의 전체 유효 기간 동안 고객 데이터를 MOCA에 제공하는 데 필요한 모든 허가 및 권한을 취득 및 보유하고 MOCA를 사용하여 서비스 약관 및 본 데이터 처리 계약에 따른 개인정보를 처리할 것임을 진술 및 보증합니다.
12.3 고객은 최소한 데이터 보호법이 컨트롤러에 부과한 의무를 준수할 수 있을 정도로 충분한 기술적 조직적 보안 조치를 유지해야 합니다.
12.4 고객이 서비스를 이용하여 개인 정보를 등록하고 관리하는 경우에는 고객 또는 고객이 속한 회사의 정책이 적용될 수 있으며 개인정보 처리에 대한 모든 권한은 고객에게 있습니다. MOCA는 고객이 등록하는 개인정보를 이용하지 않으며 MOCA가 통제할 수 없는 개인 정보의 보호에 대해서는 책임지지 않습니다.
13. 일반
13.1 준거법. 본 DPA는 해당 데이터 보호법이 요구하는 범위 내에서 해당 관할권의 법률이 적용됩니다. 본 DPA는 기타 모든 경우에는 서비스 약관에 명시된 관할지의 법률이 적용됩니다.
13.2 책임 및 면책. 본 DPA의 어떤 조항도 데이터 보호법에 따른 고객의 직접적인 책임 및 채무를 면제하는 것으로 해석할 수 없습니다.