데이터 처리 계약

핵심 용어

용어	값
협정	이 DPA는 다음을 보완합니다. 서비스 약관
승인된 하위 프로세서	클라우드플레어 (미국; DNS, 네트워킹 및 보안 제공업체), 데이터 패킷 (미국/영국; 호스팅 제공자), 디지털 오션 (미국, 호스팅 제공업체), 불트르 (미국, 호스팅 제공업체), 줄무늬 (미국; 결제 처리자), 페이팔 (미국; 결제 처리자)
공급자 보안 연락처	security@forwardemail.net
보안 정책	전망 GitHub의 보안 정책
통치 국가	미국 델라웨어 주

계약 변경

이 문서는 일반 종이 DPA 표준 약관(버전 1.0) 다음과 같이 변경되었습니다.

준거법 및 선택된 법원 아래 섹션으로 포함되었습니다. Governing State 위에서 확인되었습니다.
서비스 제공업체 관계 아래 섹션으로 포함되었습니다.

1. 프로세서와 하위 프로세서 관계

1. 처리자로서의 공급자

상황에서는 고객 고객 개인 데이터의 관리자입니다. 공급자 다음을 대신하여 개인 데이터를 처리하는 프로세서로 간주됩니다. 고객.

2. 하위 처리자로서의 공급자

상황에서는 고객 고객 개인 데이터의 처리자입니다. 공급자 고객 개인 데이터의 하위 처리자로 간주됩니다.

2. 가공

1. 처리내역

표지의 부록 I(B)에는 이 처리의 주제, 성격, 목적 및 기간뿐만 아니라 처리 기간도 설명되어 있습니다. 개인정보의 범주 수집하고 데이터 주체의 범주.

2. 처리방법

고객 지시하다 공급자 고객 개인 데이터를 처리하기 위해: (a) 서비스를 제공하고 유지하기 위해; (b) 다음을 통해 추가로 명시될 수 있음 고객의 서비스 이용 (c) 문서에 명시된 대로 협정; (d) 다음에 의해 제공된 기타 서면 지시사항에 문서화된 대로 고객 그리고 에 의해 인정된 공급자 본 DPA에 따른 고객 개인 데이터 처리에 대해 설명합니다. 공급자 관련 법률에 의해 금지되지 않는 한 이러한 지침을 준수합니다. 공급자 즉시 알려드립니다 고객 처리 지침을 따를 수 없는 경우. 고객 관련 법률을 준수하는 지침을 제공했으며 앞으로도 제공할 것입니다.

3. 제공자에 의한 처리

공급자 표지의 세부 정보를 포함하여 본 DPA에 따라서만 고객 개인 데이터를 처리합니다. 만약에 공급자 기존 제품을 업데이트하거나 새로운 제품, 특징 또는 기능을 포함하기 위해 서비스를 업데이트합니다. 공급자 변경할 수 있습니다 데이터 주체의 범주, 개인정보의 범주, 특별 카테고리 데이터, 특수 범주 데이터 제한 또는 보호 장치, 전송 빈도, 처리의 성격과 목적, 그리고 처리 기간 필요에 따라 알림을 통해 업데이트를 반영합니다. 고객 업데이트 및 변경 사항.

4. 고객 처리

어디 고객 프로세서이며 공급자 하위 처리자이며, 고객 다음에 적용되는 모든 관련 법률을 준수합니다. 고객의 고객 개인 데이터 처리. 고객의 컨트롤러와의 계약에도 유사하게 요구됩니다. 고객 다음에 적용되는 모든 관련 법률을 준수합니다. 고객 프로세서로서. 게다가, 고객 하위 프로세서 요구 사항을 준수합니다. 고객의 컨트롤러와의 계약.

고객 고객 개인 데이터 제공과 관련된 모든 해당 데이터 보호법을 준수했으며 앞으로도 계속 준수할 것입니다. 공급자 모든 공개, 모든 동의 획득, 적절한 선택 제공, 해당 데이터 보호법에 따라 요구되는 관련 보호 장치 구현을 포함한 서비스.

6. 하위 처리자

ㅏ. 공급자 않는 한 고객 개인 데이터를 재처리자에게 제공, 전송 또는 양도하지 않습니다. 고객 하위 처리자를 승인했습니다. 현재 목록은 승인된 하위 프로세서 하위 처리자의 신원, 해당 위치 국가 및 예상되는 처리 작업이 포함됩니다. 공급자 알려줄 것이다 고객 영업일 기준으로 최소 10일 전에 변경하려는 사항을 서면으로 통지해야 합니다. 승인된 하위 프로세서 하위 프로세서를 추가하거나 교체하여 고객 변경 전에 이의를 제기할 수 있는 충분한 시간을 갖습니다. 공급자 새로운 하위 프로세서를 사용하기 시작합니다. 공급자 줄게 고객 허용하는 데 필요한 정보 고객 변경에 반대할 권리를 행사합니다. 승인된 하위 프로세서. 고객 변경 통지 후 30일 이내에 승인된 하위 프로세서 반대하다, 그렇지 않으면 고객 변경사항을 수락한 것으로 간주됩니다. 만약에 고객 통지 후 30일 이내에 변경에 반대하는 경우 고객 그리고 공급자 해결을 위해 선의로 협력할 것입니다. 고객의 반대 또는 우려.

비. 하위 처리자를 고용할 때, 공급자 하위 처리자는 (i) 하도급 계약을 체결한 의무를 수행하는 데 필요한 범위 내에서, 그리고 (ii) 협정.

씨. GDPR이 고객 개인 데이터 처리에 적용되는 경우 (i) 본 DPA에 설명된 데이터 보호 의무(해당되는 경우 GDPR의 28(3)조 참조)도 재처리자에게 부과되며 (ii) ) 공급자의 재처리자와의 계약에는 다음과 같은 의무가 포함됩니다. 공급자 및 하위 처리자는 고객 개인 데이터 처리에 관한 문의 또는 요청에 응답하기 위해 조율합니다. 게다가, 공급자 공유할 예정입니다. 고객의 요청, 하위 처리자와의 계약(수정 사항 포함) 사본. 개인 데이터를 포함한 영업 비밀이나 기타 기밀 정보를 보호하는 데 필요한 범위 내에서 공급자 사본을 공유하기 전에 하위 처리자와의 계약 내용을 수정할 수 있습니다.

디. 공급자 고객 개인 데이터 처리에 있어 하위 처리자의 행위 및 부작위를 포함하여 하위 처리자에게 하도급된 모든 의무에 대해 전적으로 책임을 집니다. 공급자 재처리자가 계약에 따라 고객 개인 데이터에 대한 중요한 의무를 이행하지 못한 경우 이를 고객에게 알립니다. 공급자 그리고 하위 처리자.

3. 양도 제한

1. 승인

고객 동의한다 공급자 서비스를 제공하는 데 필요한 경우 EEA, 영국 또는 기타 관련 지역 외부로 고객 개인 데이터를 전송할 수 있습니다. 만약에 공급자 유럽연합 집행위원회 또는 기타 관련 감독 기관이 적절성 결정을 내리지 않은 지역으로 고객 개인 데이터를 전송하는 경우, 공급자 해당 데이터 보호법에 따라 고객 개인 데이터를 해당 지역으로 전송하기 위한 적절한 보호 조치를 구현합니다.

2. EEA 외부 이전

고객 그리고 공급자 GDPR이 고객 개인 데이터의 전송을 보호하는 경우 해당 전송은 고객 EEA 내에서 공급자 EEA 외부에서 이전이 유럽 위원회의 적절성 결정의 적용을 받지 않는 경우, 본 DPA를 체결함으로써, 고객 그리고 공급자 참조로 통합된 EEA SCC 및 해당 부속서에 서명한 것으로 간주됩니다. 그러한 이전은 다음과 같이 완료되는 EEA SCC에 따라 이루어집니다.

ㅏ. EEA SCC의 모듈 2(컨트롤러에서 프로세서로)는 다음과 같은 경우에 적용됩니다. 고객 컨트롤러이며 공급자 다음을 위한 고객 개인 데이터를 처리하고 있습니다. 고객 프로세서로서.

비. EEA SCC의 모듈 3(프로세서에서 하위 프로세서로)은 다음과 같은 경우에 적용됩니다. 고객 프로세서이며 공급자 은(는) 다음을 대신하여 고객 개인 데이터를 처리합니다. 고객 하위 처리자로서.

씨. 각 모듈에 대해 다음이 적용됩니다(해당하는 경우).

7항의 선택적 도킹 조항은 적용되지 않습니다.
9항에서는 옵션 2(일반 서면 승인)가 적용되며, 하청 처리자 변경 사항에 대한 사전 통지의 최소 기간은 영업일 기준 10일입니다.
11항에서는 선택 언어가 적용되지 않습니다.
13항의 모든 대괄호가 제거되었습니다.
조항 17(옵션 1)에서 EEA SCC는 다음 법률의 적용을 받습니다. 통치 회원국;
제18(b)항에 따라 분쟁은 다음 법원에서 해결됩니다. 통치 회원국; 그리고
본 DPA의 표지에는 EEA SCC의 부록 I, 부록 II 및 부록 III에서 요구되는 정보가 포함되어 있습니다.

3. 영국 외 송금

고객 그리고 공급자 영국 GDPR이 고객 개인 데이터의 전송을 보호하는 경우 전송은 고객 영국 내에서 공급자 영국 이외의 지역에서 이전이 영국 국무장관이 내린 적절성 결정의 적용을 받지 않는 경우, 본 DPA를 체결함으로써, 고객 그리고 공급자 참조로 통합된 영국 부록과 그 부속서에 서명한 것으로 간주됩니다. 그러한 이전은 다음과 같이 완료되는 영국 부록에 따라 이루어집니다.

ㅏ. 본 DPA의 섹션 3.2에는 영국 부록의 표 2에서 요구하는 정보가 포함되어 있습니다.

비. 영국 부록의 표 4는 다음과 같이 수정됩니다. 어느 당사자도 영국 부록 섹션 19에 명시된 대로 영국 부록을 종료할 수 없습니다. ICO가 영국 부록의 섹션 18에 따라 수정된 승인된 부록을 발행하는 경우, 당사자들은 이에 따라 이 DPA를 개정하기 위해 선의로 노력할 것입니다.

씨. 표지에는 영국 부록의 Annex 1A, Annex 1B, Annex II 및 Annex III에서 요구하는 정보가 포함되어 있습니다.

4. 기타 해외송금

스위스 법률(EEA 회원국이나 영국의 법률은 아님)이 전송의 국제적 성격에 적용되는 개인 데이터 전송의 경우, 법적으로 요구되는 범위 내에서 EEA SCC 4조의 GDPR을 참조해야 합니다. 대신 스위스 연방 데이터 보호법 또는 그 후속 법안을 참조하도록 개정되었으며, 감독 기관의 개념에는 스위스 연방 데이터 보호 및 정보 위원회가 포함됩니다.

4. 보안사고 대응

보안 사고를 인지한 경우, 공급자 (a) 통지할 것입니다 고객 가능하다면 과도한 지체 없이, 그러나 보안 사고를 인지한 후 72시간 이내에; (b) 보안 사고에 대한 정보를 알려지거나 합리적으로 요청된 대로 시기적절하게 제공합니다. 고객; (c) 보안 사고를 억제하고 조사하기 위한 합리적인 조치를 즉시 취합니다. 공급자의 본 DPA에서 요구하는 보안 사고에 대한 통지 또는 대응은 다음의 승인으로 해석되지 않습니다. 공급자 보안 사고에 대한 모든 과실이나 책임.

5. 감사 및 보고

1. 감사권리

공급자 줄게 고객 본 DPA 준수를 입증하는 데 합리적으로 필요한 모든 정보 및 공급자 감사를 포함하여 감사를 허용하고 이에 기여할 것입니다. 고객, 평가하기 공급자의 본 DPA를 준수합니다. 하지만, 공급자 다음과 같은 경우 데이터나 정보에 대한 접근이 제한될 수 있습니다. 고객의 정보에 대한 접근이 부정적인 영향을 미칠 수 있음 공급자의 지적 재산권, 기밀 유지 의무 또는 관련 법률에 따른 기타 의무. 고객 본 DPA에 따른 감사 권리와 해당 데이터 보호법에 따라 부여된 감사 권리만 행사할 것임을 인정하고 이에 동의합니다. 공급자 아래 보고 및 실사 요구 사항을 준수합니다. 공급자 DPA 종료 후 3년 동안 본 DPA 준수 기록을 보관합니다.

2. 보안 보고서

고객 그것을 인정한다 공급자 다음에 정의된 표준에 따라 정기적으로 감사를 받습니다. 보안 정책 독립적인 제3자 감사관에 의해. 서면 요청 시, 공급자 줄게 고객, 기밀로 당시 보고서의 요약 사본을 보관합니다. 고객 확인할 수 있다 공급자의 에 정의된 표준을 준수합니다. 보안 정책.

3. 보안 실사

보고서 외에도, 공급자 에 의해 이루어진 합당한 정보 요청에 응답할 것입니다. 고객 확인 공급자의 정보 보안, 실사, 감사 설문지에 대한 응답을 포함하여 본 DPA를 준수하거나 정보 보안 프로그램에 대한 추가 정보를 제공합니다. 그러한 모든 요청은 서면으로 이루어져야 하며 다음 담당자에게 전달되어야 합니다. 공급자 보안 연락처 1년에 한 번만 만들 수 있습니다.

6. 조정 및 협력

1. 문의사항에 대한 답변

만약에 공급자 고객 개인 데이터 처리에 관해 다른 사람으로부터 문의 또는 요청을 받은 경우, 공급자 통보할 것이다 고객 요청에 대해 그리고 공급자 없이는 요청에 응답하지 않습니다. 고객의 사전 동의. 이러한 종류의 문의 및 요청의 예로는 고객 개인 데이터에 대한 사법, 행정 또는 규제 기관의 명령이 포함됩니다. 고객 관련 법률이나 데이터 주체의 요청에 의해 금지되지 않습니다. 관련법에 의해 허용되는 경우, 공급자 따를 것이다 고객의 상태 업데이트 및 합리적으로 요청한 기타 정보 제공을 포함하여 이러한 요청에 대한 합리적인 지침 고객. 데이터 주체가 관련 데이터 보호법에 따라 삭제 또는 탈퇴를 요청하는 유효한 요청을 하는 경우 고객의 고객 개인정보 제공 공급자, 공급자 도움이 될 것이다 고객 해당 데이터 보호법에 따라 요청을 이행하는 데 있습니다. 공급자 에 협력하고 합리적인 지원을 제공할 것입니다. 고객, 에 고객의 법적 대응이나 기타 절차상 조치에 소요되는 비용 고객 제3자의 요청에 대한 응답으로 공급자의 본 DPA에 따른 고객 개인 데이터 처리.

2. DPIA 및 DTIA

해당 데이터 보호법에서 요구하는 경우, 공급자 합리적으로 도움이 될 것입니다 고객 처리 및 고객 개인 데이터의 성격을 고려하여 의무적인 데이터 보호 영향 평가 또는 데이터 전송 영향 평가 및 관련 데이터 보호 당국과의 협의를 수행합니다.

7. 고객 개인정보 삭제

1. 고객에 의한 삭제

공급자 활성화할 것이다 고객 서비스 기능과 일치하는 방식으로 고객 개인 데이터를 삭제합니다. 공급자 관련 법률에 따라 고객 개인 데이터의 추가 저장이 요구되는 경우를 제외하고는 합리적으로 실행 가능한 한 빨리 이 지침을 준수합니다.

2. DPA 만료 시 삭제

ㅏ. DPA가 만료된 후, 공급자 고객 개인 데이터를 반환하거나 삭제합니다. 고객의 관련 법률에 따라 고객 개인 데이터의 추가 저장이 요구되거나 승인되지 않는 한 지침이 적용됩니다. 반품 또는 파기가 불가능하거나 관련 법률에 의해 금지되는 경우, 공급자 당사는 고객 개인 데이터의 추가 처리를 방지하기 위해 합당한 노력을 기울일 것이며 보유, 관리 또는 통제하고 있는 고객 개인 데이터를 계속해서 보호할 것입니다. 예를 들어, 관련 법률에 따라 요구될 수 있습니다. 공급자 고객 개인 데이터를 계속 호스팅하거나 처리합니다.

비. 만약에 고객 그리고 공급자 본 DPA의 일부로 EEA SCC 또는 영국 부록을 입력했습니다. 공급자 단지 줄 것이다 고객 EEA SCC 조항 8.1(d) 및 조항 8.5에 설명된 개인 데이터 삭제 인증: 고객 하나를 요구합니다.

8. 책임의 제한

1. 책임 한도 및 손해배상 면제

해당 데이터 보호법에 따라 허용되는 최대 한도 내에서, 본 DPA로 인해 또는 이와 관련하여 발생하는 상대방에 대한 각 당사자의 총 누적 책임은 다음에 명시된 책임의 포기, 배제 및 제한의 적용을 받습니다. 협정.

반대하는 모든 주장 공급자 또는 본 DPA로 인해 발생하거나 이와 관련된 계열사는 고객 의 당사자인 법인 협정.

3. 예외

본 DPA는 관련 데이터 보호법에 따른 개인의 데이터 보호 권리에 대한 개인의 책임을 제한하지 않습니다. 또한 본 DPA는 EEA SCC 또는 영국 부록 위반에 대한 당사자 간의 책임을 제한하지 않습니다.

9. 문서 간의 충돌

본 DPA는 계약의 일부를 구성하고 이를 보완합니다. 이 DPA 간에 불일치가 있는 경우 협정, 또는 해당 부분 중 하나라도 해당 불일치로 인해 앞에 나열된 부분이 나중에 나열된 부분((1) EEA SCC 또는 영국 부록, (2) 이 DPA, 그리고 (3) 협정.

10. 계약 기간

이 DPA는 다음과 같은 경우에 시작됩니다. 공급자 그리고 고객 DPA 표지에 동의하고 서명하거나 전자적으로 수락합니다. 협정 그리고 까지 계속됩니다 협정 만료되거나 종료됩니다. 하지만, 공급자 그리고 고객 각 개인은 다음 때까지 본 DPA 및 관련 데이터 보호법의 의무를 따릅니다. 고객 고객 개인 데이터 전송을 중지합니다. 공급자 그리고 공급자 고객 개인 데이터 처리를 중단합니다.

11. 준거법 및 선정 법원

준거법 또는 관련 조항에도 불구하고 협정, 본 DPA에 관한 모든 해석과 분쟁은 해당 법률의 적용을 받습니다. 통치 국가 법률 조항의 충돌과 관계없이. 또한 포럼 선택, 관할권 또는 유사한 조항에도 불구하고 협정, 양 당사자는 본 DPA에 관한 모든 법적 소송, 조치 또는 절차를 제기하는 데 동의하며, 각 당사자는 취소할 수 없이 다음 법원의 전속 관할권에 복종합니다. 통치 국가.

12. 서비스 제공자 관계

캘리포니아 소비자 개인 정보 보호법, Cal. 문명 Code § 1798.100 et seq("CCPA")가 적용되며, 당사자들은 다음 사항을 인정하고 동의합니다. 공급자 서비스 제공업체이며 다음으로부터 개인정보를 수신하고 있습니다. 고객 본 계약에 합의된 대로 서비스를 제공하기 위해 협정, 이는 사업 목적을 구성합니다. 공급자 제공한 개인정보는 판매하지 않습니다. 고객 아래의 협정. 게다가, 공급자 제공한 개인 데이터를 보유, 사용 또는 공개하지 않습니다. 고객 아래의 협정 서비스 제공을 위해 필요한 경우를 제외하고 고객, 에 명시된 바와 같이 협정, 또는 해당 데이터 보호법에서 허용하는 바에 따라. 공급자 이 단락의 제한 사항을 이해했음을 인증합니다.

13. 정의

"적용 가능한 법률" 당사자에게 적용되거나 적용되는 관련 정부 기관의 법률, 규칙, 규정, 법원 명령 및 기타 구속력 있는 요구 사항을 의미합니다.
"적용 가능한 데이터 보호법" 서비스가 개인의 개인 정보, 개인 데이터, 개인 식별 정보 또는 기타 유사한 용어를 처리하거나 사용하는 방법을 규율하는 관련 법률을 의미합니다.
"제어 장치" 이는 개인 데이터 처리의 목적과 범위를 결정하는 회사에 적용되는 데이터 보호법에 명시된 의미를 갖습니다.
"표지" 본 DPA 표준 약관을 포함하고 당사자가 서명하거나 전자적으로 승인한 문서를 의미하며 다음을 식별합니다. 공급자, 고객, 그리고 데이터 처리의 주제와 세부 사항.
"고객 개인정보" 개인정보를 의미합니다. 고객 에 업로드하거나 제공합니다. 공급자 서비스의 일부로 본 DPA의 적용을 받습니다.
"DPA" 본 DPA 표준 약관을 의미합니다. 공급자 그리고 고객, 표지에 참조되거나 첨부된 정책 및 문서.
"EEA SCC" 유럽 의회 및 유럽 이사회의 규정(EU) 2016/679에 따라 제3국으로의 개인 데이터 전송에 대한 표준 계약 조항에 대한 유럽 위원회의 2021년 6월 4일자 시행 결정 2021/914에 첨부된 표준 계약 조항을 의미합니다. .
"유럽 경제 지역" 또는 "EEA" 유럽연합 회원국, 노르웨이, 아이슬란드, 리히텐슈타인을 의미합니다.
"GDPR" 관련 EEA 회원국의 현지 법률에 따라 시행되는 유럽 연합 규정 2016/679를 의미합니다.
"개인 정보" 개인 정보, 개인 데이터 또는 기타 유사한 용어에 대해 해당 데이터 보호법에 지정된 의미를 갖습니다.
"처리 중" 또는 "프로세스" 자동 방법을 포함하여 개인 데이터의 컴퓨터 작업 수행 또는 사용에 대해 해당 데이터 보호법에 명시된 의미를 갖습니다.
"프로세서" 컨트롤러를 대신하여 개인 데이터를 처리하는 회사에 대해 적용 가능한 데이터 보호법에 지정된 의미를 갖습니다.
"보고서" 공급자를 대신하여 보안 정책에 정의된 표준에 따라 다른 회사가 작성한 감사 보고서를 의미합니다.
"전송 제한" (a) GDPR이 적용되는 경우 EEA에서 유럽 위원회의 적절성 결정이 적용되지 않는 EEA 외부 국가로 개인 데이터를 전송하는 것을 의미합니다. (b) 영국 GDPR이 적용되는 경우 영국 데이터 보호법 2018의 섹션 17A에 따라 채택된 적합성 규정의 적용을 받지 않는 영국에서 다른 국가로 개인 데이터를 전송합니다.
"보안사고" GDPR 제4조에 정의된 개인 데이터 위반을 의미합니다.
"서비스" 에 설명된 제품 및/또는 서비스를 의미합니다. 협정.
"특수 카테고리 데이터" GDPR 제9조에 명시된 의미를 갖습니다.
"하위 처리자" 컨트롤러의 승인 및 수락을 받아 컨트롤러를 대신하여 개인 데이터 처리 시 프로세서를 지원하는 회사에 대해 관련 데이터 보호법에 지정된 의미를 갖습니다.
"UK GDPR" 영국에서 2018년 영국 유럽연합(탈퇴)법 제3조에 따라 시행되는 유럽연합 규정 2016/679를 의미합니다.
"영국 부록" S119A(1) 데이터 보호법 2018에 따라 전송이 제한된 당사자를 위한 정보 위원이 발행한 EEA SCC에 대한 국제 데이터 전송 부록을 의미합니다.

크레딧

이 문서는 일반 종이 DPA 표준 약관(버전 1.0) 다음 라이선스를 받았습니다. CC BY 4.0.