데이터 처리 계약
마지막 수정일: 2024년 9월 23일
본 데이터 처리 계약("계약")은 Proton AG의 이용 약관에 따른 서비스 계약("주요 계약")의 일부를 구성하며, 스위스 Plan-les-Ouates, Route de la Galaise 32, 1228에 위치한 회사 식별 번호 CHE-354.686.492의 Proton AG("처리자"라 칭함)와 Proton의 서비스를 이용하는 회사("회사"라 칭함) 간에 체결됩니다."
본 계약은 회사의 Proton 서비스 사용이 데이터 보호법의 적용을 받는 개인 데이터 처리를 수반하는 범위 내에서 데이터 보호법의 특정 요구 사항을 규정합니다.
본 계약은 당사의 개인정보취급방침을 보완하며, 개인정보취급방침은 당사의 데이터 보호 관행 및 조치에 대한 기본 참조 자료 역할을 합니다.
본 계약의 기간은 주요 계약의 기간을 따릅니다. 본 계약에서 정의되지 않은 용어는 주요 계약에 명시된 의미를 갖습니다.
전제 사실
A) 회사는 데이터 컨트롤러("컨트롤러") 역할을 합니다.
B) 회사는 개인 데이터 처리를 수반하는 특정 서비스(아래에 정의됨)를 데이터 처리자("처리자") 역할을 하는 Proton AG에 하도급하기를 원합니다.
C) 양 당사자는 데이터 처리와 관련된 현행 법률 체계의 요구 사항과 자연인의 개인 데이터 처리 및 해당 데이터의 자유로운 이동에 관한 2016년 4월 27일 유럽의회 및 이사회의 규정(EU) 2016/679 및 지침 95/46/EC를 폐지하는 규정(일반 데이터 보호 규정) 및 기타 적용 가능한 데이터 보호법을 준수하는 데이터 처리 계약을 이행하고자 합니다.
D) 양 당사자는 자신의 권리와 의무를 규정하고자 합니다.
이에 다음과 같이 합의합니다:
1. 정의 및 해석
본 DPA에서 달리 정의되지 않는 한, 본 DPA에서 사용되는 대문자로 시작하는 용어 및 표현은 다음 의미를 갖습니다.
1.1) "계약"은 본 데이터 처리 계약 및 모든 부칙을 의미합니다.
1.2) "회사 개인 데이터"는 주요 계약과 관련하여 처리되는 회사 또는 회사의 고객이나 직원과 관련된 모든 개인 데이터를 의미합니다.
1.3) "계약된 처리자"는 하위 처리자를 의미합니다.
1.4) "데이터 보호법"은 EU 데이터 보호법 및 적용 가능한 범위 내에서 다른 국가의 데이터 보호 또는 개인정보 보호법을 의미합니다.
1.5) "EEA"는 유럽 경제 지역을 의미합니다.
1.6) "EU 데이터 보호법"은 각 회원국의 국내법으로 전환되고 GDPR 및 GDPR을 시행하거나 보완하는 법률을 포함하여 수시로 수정, 대체 또는 대체되는 EU 지침 95/46/EC를 의미합니다.
1.7) "GDPR"은 EU 일반 데이터 보호 규정 2016/679를 의미합니다.
1.8) "데이터 이전" 은 다음을 의미합니다:
- 1.8.1) 컨트롤러에서 처리자 또는 계약된 처리자로 회사 개인 데이터를 이전하는 경우 또는
- 1.8.2) 처리자에서 하위 처리자로 또는 하위 처리자의 두 시설 간에 회사 개인 데이터를 추가 이전하는 경우
1.9) "서비스"는 처리자가 제공하는 이메일, 캘린더, 드라이브 및 처리자가 개발한 기타 서비스와 같은 온라인 보안 서비스를 의미합니다. 서비스의 세부정보 및 가격은 처리자의 웹사이트에서 확인할 수 있습니다.
1.10) "하위 처리자"는 계약과 관련하여 컨트롤러를 대신하여 개인 데이터를 처리하기 위해 처리자가 또는 처리자를 대신하여 지정한 모든 사람을 의미합니다.
"위원회", "컨트롤러", "데이터 주체", "회원국", "개인 데이터", "개인 데이터 침해", "처리" 및 "감독 기관"이라는 용어는 GDPR 또는 기타 적용 가능한 데이터 보호법에서와 동일한 의미를 가지며, 관련 용어는 그에 따라 해석되어야 합니다.
2. 회사 개인 데이터 처리
처리자는 다음을 수행해야 합니다.
2.1) 회사 개인 데이터 처리 시 모든 적용 가능한 데이터 보호법을 준수합니다.
2.2) 그리고 2절에 있는 컨트롤러의 문서화된 지침 외에는 회사 개인 데이터를 처리하지 않습니다.
컨트롤러는 처리자에게 다음을 위해 회사 개인 데이터를 처리하도록 지시합니다.
2.3) 서비스 및 관련 기술 지원 제공
2.4) 법적 의무 이행 또는 분쟁 해결
2.5) 서비스의 보안, 개인정보 보호, 기밀성 및 기능 최적화를 목표로 하는 내부 작업 수행
2.6) 내부 보고, 재무 보고 및 기타 유사한 내부 작업 수행
3. 처리자 인력
처리자는 회사 개인 데이터에 접근할 수 있는 계약된 처리자의 모든 직원, 대리인 또는 계약자의 신뢰성을 보장하기 위해 합리적인 조치를 취해야 하며, 각 경우에 접근이 주요 계약의 목적을 위해 엄격하게 필요하거나 데이터 보호법 및 해당 개인의 계약된 처리자에 대한 의무와 관련된 기타 관련 법규를 준수하기 위해 관련 회사 개인 데이터를 알아야 하거나 접근해야 하는 개인에게 엄격하게 제한되도록 해야 합니다. 또한, 이러한 모든 개인이 기밀 유지 약속 또는 직업상 또는 법적 기밀 유지 의무의 적용을 받도록 해야 합니다.
4. 보안
GDPR 제32조 1항에 따라 처리자는 최신 기술, 구현 비용, 처리의 성격, 범위, 맥락 및 목적을 고려하여 위험에 적절한 수준의 보안을 보장하기 위해 적절한 기술적 및 조직적 조치를 이행해야 합니다. 이러한 조치는 개인 데이터 침해의 위험을 포함하여 다양한 가능성과 심각성의 위험을 고려하여 자연인의 권리와 자유를 보호하도록 설계되어야 합니다.
처리자는 또한 처리 활동과 관련된 위험을 평가하고 GDPR 제32조 1항에 명시된 요구 사항과 일치하는 조치를 적용하여 항상 회사 개인 데이터의 보안을 보장해야 합니다.
5. 하위 처리
본 계약에 따라 회사는 처리자에게 하위 처리자를 고용하고 회사 개인 데이터를 공개하거나 이전할 수 있는 일반적인 권한을 부여합니다. 회사는 처리자의 개인정보취급방침에 명시된 하위 처리자 목록을 인지하고 승인하며, 이 목록은 처리자에 의해 정기적으로 업데이트될 수 있음을 이해합니다. 이 경우 회사는 개인정보취급방침 통지 절차에 따라 처리자로부터 통보를 받게 됩니다. 또한 회사는 처리자가 자신의 기업 그룹 내의 모든 회사에 개인 데이터를 공개하고 이전할 수 있는 권한을 부여합니다.
처리자는 하위 처리자가 제공하는 서비스의 성격에 적용되는 범위 내에서 회사 개인 데이터 보호와 관련하여 본 계약보다 덜 제한적이거나 덜 보호적이지 않은 계약을 처리자와 체결하도록 보장합니다.
6. 데이터 주체 권리
처리자는 처리의 성격을 고려하여 데이터 보호법에 따른 데이터 주체 권리 행사 요청에 응답해야 하는 회사의 의무 이행을 위해 회사를 합리적으로 지원해야 합니다.
처리자는 다음을 수행해야 합니다.
6.1) 회사 개인 데이터와 관련하여 데이터 보호법에 따라 데이터 주체로부터 요청을 받으면 즉시 회사에 통지하고
6.2) 컨트롤러의 문서화된 지침에 따르거나 처리자가 적용받는 관련 법률에서 요구하는 경우를 제외하고는 해당 요청에 응답하지 않도록 보장하며, 이 경우 처리자는 계약된 처리자가 요청에 응답하기 전에 관련 법률이 허용하는 범위 내에서 컨트롤러에게 해당 법적 요구 사항을 알려야 합니다.
7. 개인 데이터 침해
처리자는 적용 가능한 데이터 보호법 및 내부 개인 데이터 침해 절차를 준수하여 모든 개인 데이터 침해를 관리해야 합니다. 회사 개인 데이터에 영향을 미치는 개인 데이터 침해가 발생한 경우 처리자는 지체 없이 회사에 통지하여 회사가 필요에 따라 데이터 주체에게 알리는 것을 포함하여 데이터 보호법에 따른 의무를 이행할 수 있도록 충분한 정보를 제공해야 합니다. 이러한 경우 처리자는 회사가 데이터 보호법에 따라 개인 데이터 침해를 보고하거나 데이터 주체에게 알려야 하는 의무를 이행할 수 있도록 충분한 정보를 회사에 제공해야 합니다.
처리자는 회사와 협력하고 회사가 지시하는 바에 따라 각 개인 데이터 침해의 조사, 완화 및 해결을 지원하기 위해 합리적인 상업적 조치를 취해야 합니다.
각 당사자는 데이터 침해가 해당 당사자에 의해 발생한 범위 내에서 조사, 해결, 완화 및 기타 관련 비용을 부담해야 합니다.
각 당사자는 본 계약에 따른 의무 위반으로 인해 발생하는 범위 내에서 권한 있는 규제 기관, 정부 기관 또는 관할 법원이 부과하는 모든 벌금, 처벌, 손해 배상 또는 기타 관련 금액의 비용을 부담해야 합니다.
8. 데이터 보호 영향 평가 및 사전 협의
처리자는 컨트롤러가 GDPR 제35조 또는 36조 또는 기타 데이터 보호법의 동등한 조항에 의해 요구된다고 합리적으로 간주하는 모든 데이터 보호 영향 평가 및 감독 기관 또는 기타 유능한 데이터 개인정보 보호 당국과의 사전 협의에 대해 회사에 합리적인 지원을 제공해야 하며, 각 경우에 있어 오직 계약된 처리자에 의한 회사 개인 데이터 처리와 관련하여 처리의 성격과 이용 가능한 정보를 고려해야 합니다.
9. 회사 개인 데이터의 삭제 또는 반환
회사 개인 데이터 처리를 포함하는 모든 서비스가 중단되는 경우, 처리자는 적용 법률이 허용하는 범위 내에서 처리자의 이용 약관 및 개인정보취급방침에 따라 모든 회사 개인 데이터를 삭제해야 합니다. 회사가 데이터 사본을 요구하는 경우, 계정 삭제 전에 요청해야 합니다. 계정이 삭제된 후의 요청은 더 이상 고려될 수 없습니다.
10. 감사 권한
본 10절에 따라 처리자는 요청 시 본 계약의 준수를 입증하는 데 필요한 모든 정보를 회사에 제공해야 하며, 계약된 처리자에 의한 회사 개인 데이터 처리와 관련하여 회사가 수행하거나 회사가 위임한 감사인이 수행하는 감사(실사 포함)를 허용하고 이에 기여해야 합니다. 회사는 개인 데이터 침해가 발생했거나 규제 당국의 지시가 있는 경우를 제외하고는 감사 권한을 역년 기준 1년에 한 번 이상 행사해서는 안 됩니다. 회사는 본 계약에 따라 처리자를 감사할 의사가 있음을 최소 60일 전에 서면으로 처리자에게 통지해야 합니다. 감사는 처리자의 영업 시간 동안 수행되어야 하며, 처리자의 운영을 방해해서는 안 되며, 회사, 처리자 및 기타 데이터 주체의 개인 데이터 보호를 보장해야 합니다. 처리자와 회사는 감사에 적용될 날짜, 범위, 기간, 보안 및 기밀 유지 통제에 대해 사전에 상호 합의해야 합니다. 회사는 감사 수행 전에 컨트롤러가 비밀 유지 계약서에 서명하도록 요구할 수 있음을 인정합니다.
회사의 정보 및 감사 권한은 본 계약이 데이터 보호법의 관련 요구 사항을 충족하는 정보 및 감사 권한을 달리 부여하지 않는 범위 내에서만 10절에 따라 발생합니다.
11. 데이터 이전
가능한 범위 내에서 처리자는 스위스, EU 내 국가 및/또는 적정성 결정이 적용되는 국가로만 데이터를 이전하거나 데이터 이전을 승인해야 합니다(제 GDPR 제45조 및 제 스위스 FADP 제16조에 규정된 대로). 본 계약에 따라 처리되는 개인 데이터가 스위스 또는 EU 내 국가 또는 적정성 결정의 적용을 받는 국가에서 이 범위를 벗어나는 국가로 이전되는 경우, 양 당사자는 개인 데이터가 적절하게 보호되도록 해야 합니다. 이를 달성하기 위해 양 당사자는 달리 합의하지 않는 한, 데이터 보호법에 규정된 바에 따라 스위스 및/또는 EU 및/또는 영국에서 승인한 당시의 개인 데이터 이전을 위한 표준 계약 조항 또는 기타 이전 메커니즘에 의존해야 합니다. 처리자는 이전의 성격과 관련하여 적절한 보호 조치가 구현되는 경우 하위 처리자에게 그러한 이전을 수행할 권한이 있습니다.
12. 일반 약관
관련 법률 준수. 처리자는 본 계약 및 본 계약에 따른 역할에 적용되는 데이터 보호법에 따라 회사 개인 데이터를 처리합니다. 처리자는 회사의 사업 또는 산업의 특성상 회사에만 적용되는 데이터 보호법을 준수할 책임이나 의무가 없습니다.
기밀유지. 각 당사자는 본 계약과 관련하여 상대방 및 상대방의 사업에 대해 받는 모든 정보("기밀 정보")를 기밀로 유지해야 하며, 다음의 경우를 제외하고는 상대방의 사전 서면 동의 없이 해당 기밀 정보를 사용하거나 공개해서は 안 됩니다.
(a) 법에 의해 공개가 요구되는 경우
(b) 관련 정보가 양 당사자의 과실 없이 이미 공개 도메인에 있는 경우.
통지. 본 계약에 따라 제공되는 모든 통지 및 통신은 서면으로 해야 하며 이메일로 발송됩니다. 컨트롤러는 주요 계약에 따른 서비스 사용과 관련된 주소로 발송되는 이메일을 통해 통지를 받게 됩니다. 처리자는 legal@proton.me 주소로 발송되는 이메일을 통해 통지를 받게 됩니다.
준거법 및 관할권. 본 계약은 관할권의 법 선택 또는 법률 충돌 조항과 관계없이 스위스 법의 적용을 받으며, 본 계약, 주문서, 참조로 통합된 모든 문서, Proton 기술 또는 서비스에서 또는 이와 관련하여 발생하는 분쟁, 소송, 청구 또는 소송 원인은 스위스 제네바의 배타적 관할권에 따릅니다.
본 약관의 영어 버전과 번역본 간에 불일치가 있는 경우 영어 버전이 우선합니다.