데이터 처리 계약
마지막 수정일: 2026년 2월 10일
본 데이터 처리 계약("계약")은 Proton AG, Route de la Galaise 32, 1228 Plan-les-Ouates, Switzerland, 회사 식별 번호 CHE-354.686.492(이하 "처리자")와 Proton 서비스를 사용하는 회사(이하 "회사", 법적 형태와 관계없이 서비스를 사용하는 모든 사업체 또는 조직을 의미함) 사이에 체결되는 Proton AG의 이용 약관에 따른 서비스 계약(이하 "주 계약")의 일부를 구성합니다.
본 계약은 회사의 Proton 서비스 사용이 데이터 보호법의 적용을 받는 개인정보의 처리를 수반하는 범위 내에서, 데이터 보호법의 구체적인 요구사항을 규율합니다.
본 계약은 당사의 개인정보취급방침을 보완하며, 해당 개인정보취급방침은 당사의 데이터 보호 관행 및 조치에 대한 우선 순위 참조 문서로 기능합니다.
본 계약의 기간은 주 계약의 기간을 따릅니다. 본 문서에서 정의되지 않은 용어는 주 계약에 명시된 의미를 가집니다.
전제사항
A) 회사는 개인정보처리자("관리자")의 역할을 합니다.
B) 회사는 개인정보의 처리를 수반하는 특정 서비스(아래 정의됨)를 개인정보처리수탁자("처리자")의 역할을 하는 Proton AG에 재위탁하고자 합니다.
C) 당사자들은 데이터 처리와 관련된 현행 법적 체계의 요구사항, 그리고 개인정보 처리와 관련한 자연인의 보호 및 그러한 데이터의 자유로운 이동에 관한 2016년 4월 27일 유럽 의회 및 이사회의 규정(EU) 2016/679(일반 데이터 보호 규정) 및 기타 적용 가능한 데이터 보호법의 요구사항을 준수하는 데이터 처리 계약을 이행하고자 합니다.
D) 당사자들은 각자의 권리와 의무를 규정하고자 합니다.
다음과 같이 합의합니다:
1. 정의 및 해석
본 문서에서 달리 정의되지 않는 한, 본 DPA에서 사용되는 대문자 용어 및 표현은 다음 의미를 가집니다.
1.1) "계약"은 본 데이터 처리 계약 및 모든 부속서를 의미합니다.
1.2) "회사 개인정보"는 주 계약과 관련하여 처리되는 회사 또는 회사의 고객이나 직원과 관련된 모든 개인정보를 의미합니다.
1.3) "계약된 처리자"는 하위 처리자를 의미합니다.
1.4) "데이터 보호법"은 EU 데이터 보호법 및 적용 가능한 범위 내에서 기타 국가의 데이터 보호 또는 개인정보 관련 법률을 의미합니다.
1.5) "EEA"는 유럽경제지역을 의미합니다.
1.6) "EU 데이터 보호법"은 각 회원국의 국내법에 반영되고 수시로 개정, 대체 또는 승계되는 EU 지침 95/46/EC를 의미하며, GDPR 및 GDPR을 이행하거나 보완하는 법률을 포함합니다.
1.7) "GDPR"은 EU 일반 데이터 보호 규정 2016/679를 의미합니다.
1.8) "데이터 이전" 은 다음을 의미합니다:
- 1.8.1) 통제자로부터 처리자 또는 계약된 처리자로의 회사 개인정보 이전, 또는
- 1.8.2) 처리자로부터 하위 처리자로의 회사 개인정보 재이전, 또는 하위 처리자의 두 사업장 간의 이전
1.9) "서비스"는 처리자가 제공하는 온라인 보안 서비스(예: 이메일, 캘린더, 드라이브 및 처리자가 개발한 기타 서비스)를 의미합니다. 서비스의 세부사항 및 가격은 처리자의 웹사이트에서 확인할 수 있습니다.
1.10) "하위 처리자"는 계약과 관련하여 관리자를 대신해 개인정보를 처리하도록 처리자에 의해 또는 처리자를 대신하여 지정된 모든 자를 의미합니다.
"위원회", "관리자", "정보주체", "회원국", "개인정보", "개인정보 침해", "처리" 및 "감독 당국"이라는 용어는 GDPR 또는 기타 적용 가능한 데이터 보호법에서와 동일한 의미를 가지며, 그 동족어도 이에 따라 해석됩니다.
2. 회사 개인정보의 처리
처리자는 다음을 수행해야 합니다:
2.1) 회사 개인정보 처리와 관련하여 모든 적용 가능한 데이터 보호법을 준수합니다.
2.2) 그리고 2항에 문서화된 관리자의 지시에 따른 경우를 제외하고는 회사 개인정보를 처리하지 않습니다.
통제자는 처리자에게 다음 목적을 위해 회사 개인정보를 처리하도록 지시합니다:
2.3) 서비스 및 관련 기술 지원을 제공합니다.
2.4) 법적 의무를 이행하거나 분쟁을 해결합니다.
2.5) 서비스의 보안, 개인정보, 기밀성 및 기능을 최적화하기 위한 내부 업무를 수행합니다.
2.6) 내부 보고, 재무 보고 및 기타 유사한 내부 업무를 수행합니다.
3. 처리자 인력
처리자는 회사 개인정보에 접근할 수 있는 계약된 처리자의 직원, 대리인 또는 계약자의 신뢰성을 보장하기 위해 합리적인 조치를 취해야 하며, 각 경우에 접근 권한은 주 계약의 목적상 엄격히 필요한 범위 및/또는 해당 개인의 계약된 처리자에 대한 직무 맥락에서 데이터 보호법 및 기타 관련 법률을 준수하기 위해 관련 회사 개인정보를 알아야 하거나 접근해야 하는 개인으로 엄격히 제한되도록 해야 합니다. 또한 그러한 모든 개인이 기밀유지 약정 또는 직업상 또는 법정 기밀유지 의무의 적용을 받도록 해야 합니다.
4. 보안
처리자는 GDPR 제32조 제1항에 따라, 최신 기술 수준, 이행 비용, 그리고 처리의 성격, 범위, 맥락 및 목적을 고려하여 위험에 적절한 수준의 보안을 보장하기 위한 적절한 기술적 및 조직적 조치를 이행해야 합니다. 이러한 조치는 개인정보 침해의 위험을 포함하여 발생 가능성과 심각성이 다양한 위험을 고려하면서 자연인의 권리와 자유를 보호하도록 설계되어야 합니다.
처리자는 또한 처리 활동과 관련된 위험을 평가하고, GDPR 제32조 제1항에 명시된 요구사항에 부합하는 조치를 적용하여 언제나 회사 개인정보의 보안을 보장해야 합니다.
5. 하위 처리
본 계약에 따라 회사는 처리자가 하위 처리자를 참여시키고 회사 개인정보를 해당 하위 처리자에게 공개하거나 이전하는 것에 대해 일반적인 권한을 부여합니다. 회사는 처리자의 개인정보취급방침에 명시된 하위 처리자 목록을 확인하고 승인하며, 해당 목록이 처리자에 의해 정기적으로 업데이트될 수 있음을 이해합니다. 이 경우 회사는 개인정보취급방침의 알림 절차에 따라 처리자로부터 통지를 받게 됩니다. 또한 회사는 처리자가 자사의 기업 그룹 내 모든 회사에 개인정보를 공개하고 이전하는 것에 동의합니다.
처리자는 하위 처리자가 제공하는 서비스의 성격에 적용 가능한 범위 내에서, 회사 개인정보 보호와 관련하여 본 계약보다 덜 제한적이거나 덜 보호적이지 않은 계약을 처리자와 체결하도록 보장합니다.
6. 정보 주체 권리
처리의 성격을 고려할 때, 처리자는 데이터 보호법에 따른 정보주체의 권리 행사 요청에 대응하기 위한 회사의 의무 이행을 위해 회사를 합리적으로 지원해야 합니다.
처리자는 다음을 수행해야 합니다:
6.1) 회사 개인정보와 관련하여 데이터 보호법에 따른 정보주체의 요청을 수령한 경우 지체 없이 회사에 통지해야 합니다. 그리고
6.2) 관리자의 문서화된 지시에 따른 경우 또는 처리자에게 적용되는 관련 법률에 의해 요구되는 경우를 제외하고는 해당 요청에 응답하지 않도록 해야 하며, 이 경우 처리자는 관련 법률이 허용하는 범위 내에서 계약된 처리자가 요청에 응답하기 전에 그러한 법적 요구사항을 관리자에게 알려야 합니다.
7. 개인정보 침해
처리자는 모든 개인정보 침해를 적용 가능한 데이터 보호법 및 자체 내부 개인정보 침해 절차에 따라 관리해야 합니다. 회사 개인정보에 영향을 미치는 개인정보 침해가 발생한 경우, 처리자는 지체 없이 회사에 통지하고, 필요한 경우 정보주체에게 알리는 것을 포함하여 데이터 보호법에 따른 회사의 의무를 이행할 수 있도록 충분한 정보를 제공해야 합니다. 이러한 경우 처리자는 데이터 보호법에 따라 개인정보 침해를 신고하거나 정보주체에게 알릴 의무를 회사가 이행할 수 있도록 충분한 정보를 회사에 제공해야 합니다.
처리자는 회사와 협력하고, 그러한 각 개인정보 침해의 조사, 완화 및 시정을 지원하기 위해 회사의 지시에 따른 합리적인 상업적 조치를 취해야 합니다.
각 당사자는 데이터 침해가 해당 당사자에 의해 발생한 범위 내에서 조사, 시정, 완화 및 기타 관련 비용을 부담해야 합니다.
각 당사자는 본 계약에 따른 의무 위반으로 인해 발생하는 범위 내에서 권한 있는 규제 기관, 정부 기관 또는 관할 법원에 의해 부과되는 벌금, 제재금, 손해배상 또는 기타 관련 금액을 부담해야 합니다.
8. 데이터 보호 영향 평가 및 사전 협의
처리자는 GDPR 제35조 또는 제36조, 또는 기타 데이터 보호법의 동등한 조항에 따라 필요하다고 관리자가 합리적으로 판단하는 경우, 계약된 처리자에 의한 회사 개인정보의 처리와 관련해서만, 그리고 처리의 성격 및 계약된 처리자가 이용할 수 있는 정보를 고려하여, 모든 데이터 보호 영향 평가 및 감독 당국 또는 기타 권한 있는 데이터 개인정보 당국과의 사전 협의에 관해 회사에 합리적인 지원을 제공해야 합니다.
9. 회사 개인정보의 삭제 또는 반환
회사 개인정보 처리를 수반하는 서비스가 종료되는 경우, 처리자는 적용 법률이 허용하는 범위 내에서 그리고 처리자의 이용 약관 및 개인정보취급방침에 따라 모든 회사 개인정보를 삭제해야 합니다. 회사가 해당 데이터의 사본을 필요로 하는 경우, 계정 삭제 전에 이를 요청해야 합니다. 계정이 삭제된 후에 이루어진 요청은 더 이상 고려될 수 없습니다.
10. 감사 권한
본 제10조에 따라 처리자는 요청이 있을 경우 본 계약 준수를 입증하는 데 필요한 모든 정보를 회사에 제공해야 하며, 계약된 처리자에 의한 회사 개인정보 처리와 관련하여 회사 또는 회사가 지정한 감사인이 수행하는 감사(검사를 포함)에 대해 이를 허용하고 기여해야 합니다. 회사는 개인정보 침해 또는 규제 당국의 지시가 있는 경우를 제외하고는 캘린더 연도당 1회를 초과하여 감사 권한을 행사해서는 안 됩니다. 회사는 본 계약에 따라 처리자를 감사하고자 하는 의도를 처리자에게 최소 60일 전에 서면으로 통지해야 합니다. 감사는 처리자의 업무 시간 중에 수행되어야 하며, 처리자의 운영을 방해해서는 안 되고, 회사, 처리자 및 기타 정보주체의 개인정보 보호를 보장해야 합니다. 처리자와 회사는 감사에 적용되는 날짜, 범위, 기간, 보안 및 기밀유지 통제에 대해 사전에 상호 합의해야 합니다. 회사는 감사 수행 전에 관리자가 비밀유지계약의 체결을 요구할 수 있음을 인정합니다.
회사의 정보 제공 및 감사 권리는, 계약이 관련 데이터 보호법의 요구사항을 충족하는 정보 제공 및 감사 권리를 달리 부여하지 않는 범위 내에서만 제10조에 따라 발생합니다.
11. 데이터 이전
가능한 범위 내에서 처리자는 스위스, EU 및/또는 적정성 결정의 적용을 받는 국가 내로만 데이터를 이전하거나 그러한 이전을 승인해야 하며, 이는 제 45 GDPR 및 제 16 스위스 FADP에 규정된 바와 같습니다. 본 계약에 따라 처리되는 개인정보가 스위스, EU 내 국가 또는 적정성 결정의 적용을 받는 국가에서 이 범위 밖의 국가로 이전되는 경우, 당사자들은 해당 개인정보가 적절히 보호되도록 보장해야 합니다. 이를 달성하기 위해 당사자들은 달리 합의하지 않는 한, 개인정보 이전을 위해 스위스 및/또는 EU 및/또는 영국이 승인하고 당시 유효한 표준 계약 조항 또는 데이터 보호법에 규정된 기타 이전 메커니즘에 의존해야 합니다. 처리자는 이전의 성격과 관련하여 적절한 보호조치가 이행되는 경우, 하위 처리자에게 그러한 이전을 수행할 권한을 갖습니다.
12. 일반 약관
적용 법률 준수. 처리자는 본 계약 및 본 계약에 따른 자신의 역할에 적용되는 데이터 보호법에 따라 회사 개인정보를 처리합니다. 처리자는 회사의 사업 또는 산업으로 인해 회사에만 적용되는 데이터 보호법 준수에 대해 책임이나 의무를 부담하지 않습니다.
기밀유지. 각 당사자는 본 계약과 관련하여 상대방 및 그 사업에 관해 수령한 모든 정보("기밀 정보")를 기밀로 유지해야 하며, 다음의 경우를 제외하고 상대방의 사전 서면 동의 없이 해당 기밀 정보를 사용하거나 공개해서는 안 됩니다:
(a) 공개가 법률에 의해 요구되는 경우
(b) 관련 정보가 당사자들의 귀책사유 없이 이미 공개 영역에 있는 경우
통지. 본 계약에 따라 제공되는 모든 통지 및 의사소통은 서면으로 이루어져야 하며 이메일로 발송됩니다. 관리자에 대한 통지는 주 계약에 따른 서비스 사용과 관련된 이메일 주소로 발송된 이메일을 통해 이루어집니다. 처리자에 대한 통지는 다음 주소로 발송된 이메일을 통해 이루어집니다: legal@proton.me.
준거법 및 관할. 본 계약은 이에 반하는 관할권의 법 선택 또는 법률 충돌 조항에 관계없이 스위스 법률의 적용을 받으며, 본 계약, 주문서, 참조로 편입된 모든 문서, Proton 기술 또는 서비스로부터 발생하거나 이와 관련된 분쟁, 소송, 청구 또는 소송 원인은 스위스 제네바의 전속 관할에 따릅니다.
본 약관의 영어 버전과 번역본 간에 불일치가 있는 경우 영어 버전이 우선합니다.