본 데이터 처리 부속서(“DPA”)는 [당사자] 간의 기본 구독 계약 또는 기타 계약(이하 “계약”)을 보완하는 것입니다. 체이널리시스 계약서에 명시된 법인 및 계약서에 명시된 고객 간의 “본 계약”을 보완합니다. 각 당사자를 “당사자”라 하며, 양 당사자를 통칭하여 “당사자들”이라 합니다.
본 DPA는 다음의 조건에 따라 체이널리시스 가 서비스와 관련하여 고객을 대신하여 개인정보를 처리하는 조건을 규정합니다. 처리 대상은 공개된 데이터, 집계된 데이터 또는 가명 처리된 데이터로 제한되며, 서비스 운영 및 보안을 위해 필요한 최소한의 기술적 메타데이터로 한정됩니다.
당사자들은 관련 데이터 보호법의 목적상 고객이 데이터 관리자 역할을 수행하며 체이널리시스 는 처리자로서 역할을 수행한다는 점을 인정하고 이에 동의합니다.
본 데이터 처리 계약(DPA)은 해당 처리가 일반 데이터 보호 규정(“GDPR”) 제28조 및 영국 GDPR의 관련 조항과 기타 적용 가능한 데이터 보호 법률에 따라 수행되도록 보장합니다.
본 문서에 정의되지 않은 대문자로 표기된 용어는 본 계약에서와 동일한 의미를 가집니다.
체이널리시스 채널리시스는 고객의 문서화된 지시에 의해서만 개인정보를 처리하며, 단, 다음 법률에 따라 처리가 요구되는 경우는 예외로 한다. 체이널리시스 가 적용받는 법률에 따라 처리가 요구되는 경우를 제외하고, 체이널리시스는 고객의 문서화된 지시에 의해서만 개인정보를 처리합니다. 이러한 경우, 체이널리시스 는 법률에 의해 금지되지 않는 한, 처리 전에 해당 법적 요건을 고객에게 통지해야 합니다.
체이널리시스 는 개인정보 처리에 권한이 있는 모든 자가 기밀 유지에 동의했거나 적절한 법적 기밀 유지 의무를 지고 있음을 보장해야 합니다.
체이널리시스 개인정보가 우발적 또는 불법적인 파기, 분실, 변조, 무단 공개 또는 접근으로부터 보호될 수 있도록 적절한 기술적 및 조직적 조치(“TOMs”)를 이행하고 유지해야 합니다.
체이널리시스 채널리시스는 처리의 보안, 데이터 침해 통지, 데이터 보호 영향 평가 및 감독 당국과의 협의와 관련된 고객의 의무 컴플라이언스 보장하기 위해 합리적으로 가능한 범위 내에서 고객을 지원할 것입니다.
서비스가 종료되면, 체이널리시스 는 법률에 따라 보존이 요구되는 경우를 제외하고, 모든 개인정보를 삭제하거나 익명화하며, 해당 삭제를 서면으로 증명합니다.
체이널리시스 채널리시스는 처리 위험에 적합한 관리적, 기술적, 조직적 보호 조치를 포함하는 포괄적인 정보 보안 프로그램을 운영하고 있습니다. 이러한 조치에는 다음이 포함되나 이에 국한되지 않습니다:
현재의 보안 정책은 당사의 신뢰 센터에서 확인하실 수 있습니다. 체이널리시스 체이널리시스는 TOM의 효과성과 적절성을 유지하기 위해 이를 정기적으로 검토하고 업데이트하며, 단, 이러한 업데이트로 인해 전체적인 보안 수준이 현저히 저하되지 않는 경우에 한합니다. 체이널리시스 서비스의 전반적인 보안 수준을 현저히 저하시키지 않는 한도 내에서
고객이 승인합니다 체이널리시스 가 클라우드 인프라, 데이터 호스팅 또는 분석 서비스 제공업체를 포함하여 서비스 제공을 지원하기 위해 하도급 처리자를 고용하는 것을 승인합니다.
체이널리시스 채널리시스는 각 하위 처리자와 본 DPA에 명시된 의무와 동등한 의무를 부과하는 서면 계약을 체결하여야 하며, 하위 처리자의 의무 이행에 대하여 고객에 대해 전적인 책임을 지어야 합니다.
승인된 하위 처리업체의 최신 목록은 여기에서 확인하실 수 있습니다. 체이널리시스 은 하도급 처리업체에 대한 중대한 변경 사항이 있을 경우 합리적인 사전 통지를 제공하며, 고객이 합리적인 개인정보 보호 사유를 근거로 이의를 제기할 수 있도록 허용합니다.
개인 데이터 처리가 유럽경제지역(“EEA”), 영국(“UK”) 또는 스위스 외부로, 해당 데이터 보호법에 따라 적절한 수준의 보호를 제공하지 않는 것으로 간주되는 국가로 전송되는 경우, 당사자들은 그러한 전송이 합법적인 전송 절차에 따라 이루어져야 함을 인정하고 이에 동의합니다.
체이널리시스 Inc.는 유럽 경제 지역(EEA), 영국 및 스위스에서 미국으로의 개인정보 전송과 관련하여 미국 상무부가 관리하는 데이터 프라이버시 프레임워크(“DPF”), DPF의 영국 확장 규정 및 스위스-미국 데이터 프라이버시 프레임워크에 참여하고 이를 준수합니다. 체이널리시스 는 해당 프레임워크에 따른 인증을 유지하고 있으며, DPF에 의거하여 해당 관할 구역에서 수신하는 모든 개인 데이터에 대해 DPF 원칙을 준수할 것을 약속합니다. 체이널리시스 은 본 DPA의 유효 기간 동안 인증을 유지할 것이며, 인증이 만료되거나 취소될 경우 고객에게 즉시 통지할 것입니다.
DPF가 적용되지 않거나 특정 개인정보의 이전 또는 범주를 다루기에 불충분하다고 판단되는 경우, 당사자들은 해당되는 바에 따라 EU 표준 계약 조항(SCC)과 영국 국제 데이터 이전 부속서 및/또는 스위스 SCC 수정안을 적용한다.
합리적으로 가능한 범위 내에서, 그리고 처리의 성격을 고려하여, 체이널리시스 은 GDPR 제3장에 따른 데이터 주체의 요청(접근권, 정정권, 삭제권, 처리 제한권, 데이터 이동권 및 이의 제기권 포함)에 대응해야 하는 고객의 의무를 이행할 수 있도록 지원합니다.
본 계약이 해지되거나 만료되는 경우, 체이널리시스 은 관련 법률에 따라 보존이 요구되거나, 자체 표준 백업 또는 기록 보존 정책에 따라 보존해야 하는 경우를 제외하고, 모든 고객 개인 데이터를 삭제하거나 익명화해야 합니다. 삭제가 불가능하거나 실행 불가능한 경우, 체이널리시스 본 DPA에 따라 데이터를 계속 보호하며, 보존 의무를 준수하는 데 필요한 범위 내에서만 추가 처리를 제한합니다.
체이널리시스 채널리시스는 트러스트 센터에 기재된 제3자 인증 및 감사 보고서(SOC 2, SOC 3 또는 이에 상응하는 인증)를 보유하고 있습니다. 서면 요청 시, 체이널리시스 는 고객이 감사 기준 및 본 DPA 컴플라이언스 확인할 수 있도록 관련 보고서 및 인증서의 요약본을 고객에게 제공해야 합니다.
해당 문서가 컴플라이언스 합리적으로 입증하지 못하는 경우, 고객은 추가 정보를 요청할 수 있습니다. 고객은 추가 정보 요청 또는 감사와 관련된 합리적인 비용을 부담해야 합니다.
체이널리시스 채널리시스는 고객의 개인정보에 영향을 미치는 개인정보 유출 사고를 인지한 후 지체 없이 고객에게 통지해야 합니다. 해당 통지에는 다음 정보가 포함되어야 합니다. 체이널리시스 가 당시 합리적으로 제공할 수 있는 정보, 즉 침해의 성격 및 침해 해결을 위해 취했거나 제안된 조치 등을 포함해야 합니다.
체이널리시스 채널리시스는 고객과 합리적으로 협력하고, 개인정보 유출과 관련하여 적용 가능한 개인정보 보호법에 따른 법적 의무를 이행하기 위해 고객이 요구하는 추가 정보를 제공해야 합니다. 이러한 협력은 다음 범위 내의 정보 및 조치로 제한됩니다. 체이널리시스의 통제 범위 내의 정보 및 조치로 한정되며, 체이널리시스 가 (a) 기밀, 독점 또는 보안상 민감한 정보를 공개하거나, (b) 자사 또는 타 고객의 시스템 보안이나 무결성을 훼손할 수 있는 조치를 취하거나, (c) 자사의 법적 의무를 준수하는 데 합리적으로 필요한 범위를 넘어서는 비용이나 노력을 부담하도록 요구하지 않습니다.
본 DPA에 따른 각 당사자의 책임은 본 계약에 명시된 책임의 제한 및 면책 조항의 적용을 받으며, 이에 따라 제한됩니다.
본 DPA(당사자 간 또는 당사자의 계열사 중 어느 한 곳과 체결된 모든 데이터 처리 부속서 포함)로 인해 또는 이와 관련하여 발생하는 각 당사자 및 그 계열사의 총 책임은, 계약, 불법행위(과실 포함) 또는 기타 어떠한 책임 이론에 근거한 것이든, 본 계약에 따라 해당 당사자에게 적용되는 책임 한도를 초과하지 않습니다.
의심의 여지를 없애기 위해, 본 계약의 “책임 제한” 조항에서 당사자의 책임에 대한 언급은 해당 당사자 및 그 모든 계열사가 본 계약과 모든 관련 DPA에 따라 부담하는 총 책임을 포함하는 것으로 간주됩니다. “본 DPA”에 대한 언급에는 부속서 및 통합된 모든 조항이 포함됩니다.
본 DPA는 본 계약에 적용되는 법률에 따라 규율되고 해석됩니다. 본 DPA로 인해 발생하거나 이와 관련된 모든 분쟁은 본 계약에 명시된 전속 관할권에 따릅니다.