데이터 처리 계약
최종 수정일: 2026년 2월 10일
이 데이터 처리 계약("계약")은 Proton AG, Route de la Galaise 32, 1228 Plan-les-Ouates, Switzerland, 기업 식별 번호 CHE-354.686.492("처리자"라 칭함)와 Proton의 서비스를 이용하는 회사("회사"라 칭하며, 이는 법적 형태와 관계없이 서비스를 이용하는 모든 사업체 또는 조직을 의미함) 간의 Proton AG 이용 약관에 따른 서비스 계약("주 계약")의 일부를 구성합니다.
본 계약은 회사의 Proton 서비스 이용이 데이터 보호법의 적용을 받는 개인정보의 처리를 포함하는 범위 내에서 데이터 보호법의 특정 요건을 규율합니다.
본 계약은 당사의 데이터 보호 관행 및 조치에 대한 기본 참조 역할을 하는 개인정보취급방침을 보완합니다.
본 계약의 기간은 주 계약의 기간을 따릅니다. 본 계약에서 정의되지 않은 용어는 주 계약에 명시된 의미를 갖습니다.
전문
A) 회사는 데이터 통제자("통제자")로서 활동합니다.
B) 회사는 개인정보 처리를 포함하는 특정 서비스(아래 정의됨)를 데이터 처리자("처리자")로서 활동하는 Proton AG에 하청하고자 합니다.
C) 양 당사자는 데이터 처리와 관련된 현행 법적 프레임워크의 요구 사항과 개인정보 처리와 관련하여 자연인을 보호하고 이러한 데이터의 자유로운 이동에 관한 2016년 4월 27일자 유럽 의회 및 이사회의 규정 (EU) 2016/679(지침 95/46/EC 폐지, 일반 데이터 보호 규정) 및 기타 적용 가능한 데이터 보호법을 준수하는 데이터 처리 계약을 이행하고자 합니다.
D) 양 당사자는 각자의 권리와 의무를 규정하고자 합니다.
다음과 같이 합의합니다:
1. 정의 및 해석
본 계약에서 달리 정의되지 않는 한, 본 DPA에서 사용되는 대문자 용어 및 표현은 다음 의미를 갖습니다.
1.1) "계약"은 본 데이터 처리 계약 및 모든 부속 문서를 의미합니다.
1.2) "회사 개인정보"는 주 계약과 관련하여 처리되는 회사 또는 회사의 고객 또는 직원과 관련된 모든 개인정보를 의미합니다.
1.3) "계약된 처리자"는 하위 처리자를 의미합니다.
1.4) "데이터 보호법"은 EU 데이터 보호법 및 적용 가능한 범위 내에서 다른 국가의 데이터 보호 또는 개인정보 법률을 의미합니다.
1.5) "EEA"는 유럽 경제 지역을 의미합니다.
1.6) "EU 데이터 보호법"은 각 회원국의 국내 법률로 전환되고 수시로 개정, 대체 또는 변경된 EU 지침 95/46/EC를 의미하며, GDPR 및 GDPR을 이행하거나 보완하는 법률을 포함합니다.
1.7) "GDPR"은 EU 일반 데이터 보호 규정 2016/679를 의미합니다.
1.8) "데이터 이전" 은(는) 다음을 의미합니다:
- 1.8.1) 통제자로부터 처리자 또는 계약된 처리자로의 회사 개인정보 이전, 또는
- 1.8.2) 처리자로부터 하위 처리자로의 회사 개인정보 재이전, 또는 하위 처리자의 두 사업장 간의 이전
1.9) "서비스"는 처리자가 제공하는 온라인 보안 서비스를 의미하며, 여기에는 처리자가 개발한 이메일, 캘린더, 드라이브 및 기타 서비스가 포함됩니다. 서비스의 세부사항 및 가격은 처리자의 웹사이트에서 확인할 수 있습니다.
1.10) "하위 처리자"는 계약과 관련하여 통제자를 대신하여 개인정보를 처리하기 위해 처리자에 의해 또는 처리자를 대신하여 임명된 모든 사람을 의미합니다.
"위원회", "통제자", "정보 주체", "회원국", "개인정보", "개인정보 침해", "처리" 및 "감독 당국"이라는 용어는 GDPR 또는 기타 적용 가능한 데이터 보호법에서와 동일한 의미를 가지며, 관련 용어도 그에 따라 해석됩니다.
2. 회사 개인정보의 처리
처리자는 다음을 수행해야 합니다:
2.1) 회사 개인정보 처리 시 적용 가능한 모든 데이터 보호법을 준수합니다.
2.2) 2항에 있는 통제자의 문서화된 지시 이외의 방법으로 회사 개인정보를 처리하지 않습니다.
통제자는 처리자에게 다음 목적을 위해 회사 개인정보를 처리하도록 지시합니다:
2.3) 서비스 및 관련 기술 지원 제공
2.4) 법적 의무 이행 또는 분쟁 해결
2.5) 서비스의 보안, 개인정보, 기밀성 및 기능을 최적화하기 위한 내부 작업 수행
2.6) 내부 보고, 재무 보고 및 기타 유사한 내부 작업 수행
3. 처리자 인력
처리자는 회사 개인정보에 접근할 수 있는 계약된 처리자의 직원, 대리인 또는 계약자의 신뢰성을 보장하기 위해 합리적인 조치를 취해야 하며, 주 계약의 목적을 위해 엄격히 필요하거나 계약된 처리자에 대한 해당 개인의 직무와 관련하여 데이터 보호법 및 기타 관련 법률을 준수하기 위해 해당 회사 개인정보를 알거나 접근해야 하는 개인에게만 접근이 엄격히 제한되도록 하고, 그러한 모든 개인이 기밀 유지 서약 또는 전문적 또는 법적 기밀 유지 의무의 적용을 받도록 보장해야 합니다.
4. 보안
GDPR 제32조 (1)항에 따라, 처리자는 기술의 현황, 구현 비용, 처리의 성격, 범위, 맥락 및 목적을 고려하여 위험에 적합한 수준의 보안을 보장하기 위해 적절한 기술적 및 조직적 조치를 구현해야 합니다. 이러한 조치는 개인정보 침해 위험을 포함하여 다양한 가능성과 심각성의 위험을 고려하여 자연인의 권리와 자유를 보호하도록 설계되어야 합니다.
처리자는 또한 처리 활동과 관련된 위험을 평가하고 GDPR 제32조 (1)항에 명시된 요구 사항과 일치하는 조치를 적용하여 항상 회사 개인정보의 보안을 보장해야 합니다.
5. 하위 처리
본 계약을 조건으로, 회사는 처리자가 하위 처리자를 고용하고 그들에게 회사 개인정보를 공개하거나 이전할 수 있는 일반적인 권한을 부여합니다. 회사는 처리자의 개인정보취급방침에 명시된 하위 처리자 목록을 인정하고 승인하며, 이 목록이 처리자에 의해 정기적으로 업데이트될 수 있음을 이해하고, 이 경우 회사는 개인정보취급방침 알림 프로세스에 따라 처리자로부터 통지를 받게 됩니다. 또한 회사는 처리자가 기업 그룹 내의 모든 회사에 개인정보를 공개하고 이전할 수 있도록 허가합니다.
처리자는 하위 처리자가 제공하는 서비스의 성격에 적용되는 범위 내에서 회사 개인정보의 보호와 관련하여 본 계약보다 덜 제한적이지 않고 보호적인 계약을 처리자와 체결하도록 보장합니다.
6. 정보 주체 권리
처리의 성격을 고려하여, 처리자는 데이터 보호법에 따른 정보 주체 권리 행사 요청에 대응해야 하는 회사의 의무 이행을 위해 회사에 합리적인 지원을 제공해야 합니다.
처리자는 다음을 수행해야 합니다:
6.1) 회사 개인정보와 관련하여 데이터 보호법에 따라 정보 주체로부터 요청을 받은 경우 즉시 회사에 통지합니다. 그리고
6.2) 통제자의 문서화된 지시가 있거나 처리자가 적용을 받는 관련 법률에서 요구하는 경우를 제외하고는 해당 요청에 응답하지 않도록 보장하며, 이 경우 처리자는 관련 법률에서 허용하는 범위 내에서 계약된 처리자가 요청에 응답하기 전에 통제자에게 해당 법적 요구 사항을 알려야 합니다.
7. 개인정보 침해
처리자는 적용 가능한 데이터 보호법 및 내부 개인정보 침해 절차에 따라 모든 개인정보 침해를 관리해야 합니다. 회사 개인정보에 영향을 미치는 개인정보 침해가 발생하는 경우, 처리자는 지체 없이 회사에 통지하고, 필요한 경우 정보 주체에게 알리는 것을 포함하여 데이터 보호법에 따른 의무를 회사가 이행할 수 있도록 충분한 정보를 제공해야 합니다. 이러한 경우, 처리자는 회사가 데이터 보호법에 따라 개인정보 침해를 정보 주체에게 보고하거나 알리는 의무를 충족할 수 있도록 충분한 정보를 회사에 제공해야 합니다.
처리자는 회사와 협력하고 그러한 각 개인정보 침해의 조사, 완화 및 구제를 지원하기 위해 회사가 지시하는 합리적인 상업적 조치를 취해야 합니다.
각 당사자는 데이터 침해가 해당 당사자에 의해 발생한 범위 내에서 조사, 구제, 완화 및 기타 관련 비용을 부담해야 합니다.
각 당사자는 본 계약에 따른 의무 위반으로 인해 발생하는 범위 내에서 공인된 규제 기관, 정부 기관 또는 관할 법원이 부과하는 벌금, 위약금, 손해 배상금 또는 기타 관련 금액의 비용을 부담해야 합니다.
8. 데이터 보호 영향 평가 및 사전 협의
처리자는 계약된 처리자에 의한 회사 개인정보의 처리와 관련하여, 그리고 처리의 성격과 계약된 처리자가 이용할 수 있는 정보를 고려하여, 통제자가 GDPR 제35조 또는 제36조 또는 기타 데이터 보호법의 동등한 조항에 따라 필요하다고 합리적으로 간주하는 데이터 보호 영향 평가 및 감독 당국 또는 기타 권한 있는 데이터 개인정보 당국과의 사전 협의에 대해 회사에 합리적인 지원을 제공해야 합니다.
9. 회사 개인정보의 삭제 또는 반환
회사 개인정보 처리를 포함하는 서비스가 중단되는 경우, 처리자는 관련 법률에서 허용하는 범위 내에서 그리고 처리자의 이용 약관 및 개인정보취급방침에 따라 모든 회사 개인정보를 삭제해야 합니다. 회사가 데이터 사본을 필요로 하는 경우, 계정 삭제 전에 요청해야 합니다. 계정이 삭제된 후에 이루어진 요청은 더 이상 고려될 수 없습니다.
10. 감사 권한
본 10항을 조건으로, 처리자는 요청 시 본 계약의 준수를 입증하는 데 필요한 모든 정보를 회사에 제공해야 하며, 계약된 처리자에 의한 회사 개인정보 처리와 관련하여 회사 또는 회사가 위임한 감사인이 수행하는 검사를 포함한 감사를 허용하고 이에 기여해야 합니다. 회사는 개인정보 침해 또는 규제 당국의 지시가 있는 경우를 제외하고는 매 캘린더 연도마다 1회를 초과하여 감사 권한을 행사할 수 없습니다. 회사는 본 계약에 따라 처리자를 감사하겠다는 의사를 최소 60일 전에 처리자에게 서면으로 통지해야 합니다. 감사는 처리자의 업무 시간 중에 수행되어야 하며, 처리자의 운영을 방해해서는 안 되며, 회사, 처리자 및 기타 정보 주체의 개인정보 보호를 보장해야 합니다. 처리자와 회사는 감사에 적용되는 날짜, 범위, 기간, 보안 및 기밀 유지 통제에 대해 사전에 상호 합의해야 합니다. 회사는 감사 수행 전에 통제자가 기밀 유지 계약 서명을 요구할 수 있음을 인정합니다.
회사의 정보 및 감사 권한은 본 계약이 데이터 보호법의 관련 요구 사항을 충족하는 정보 및 감사 권한을 달리 부여하지 않는 범위 내에서만 10항에 따라 발생합니다.
11. 데이터 이전
가능한 한, 처리자는 스위스, EU 내의 국가 및/또는 적정성 결정의 대상이 되는 국가로만 데이터를 이전하거나 이전을 승인해야 합니다(다음 조항에 규정된 바와 같이: 제 45조 GDPR 및 제 16조 스위스 FADP. 본 계약에 따라 처리되는 개인정보가 스위스, EU 내 국가 또는 적정성 결정의 대상이 되는 국가에서 이 범위 밖의 국가로 이전되는 경우, 양 당사자는 개인정보가 적절하게 보호되도록 해야 합니다. 이를 달성하기 위해, 양 당사자는 별도로 합의하지 않는 한, 개인정보 이전을 위해 스위스, EU 및/또는 영국이 승인한 당시 유효한 표준 계약 조항 또는 데이터 보호법에서 규정하는 기타 이전 메커니즘에 의존해야 합니다. 이전의 성격과 관련하여 적절한 보호 조치가 구현된 경우, 처리자는 하위 처리자에게 그러한 이전을 수행할 권한을 갖습니다.
12. 일반 약관
관련 법률 준수. 처리자는 본 계약 및 본 계약에 따른 역할에 적용되는 데이터 보호법에 따라 회사 개인정보를 처리합니다. 처리자는 회사의 사업 또는 산업 특성상 회사에만 적용되는 데이터 보호법을 준수할 책임이나 의무가 없습니다.
기밀 유지. 각 당사자는 본 계약과 관련하여 상대방 및 그 사업에 대해 수령한 모든 정보("기밀 정보")를 기밀로 유지해야 하며, 다음의 경우를 제외하고는 상대방의 사전 서면 동의 없이 해당 기밀 정보를 사용하거나 공개해서는 안 됩니다:
(a) 법률에 의해 공개가 요구되는 경우;
(b) 당사자의 귀책사유 없이 관련 정보가 이미 공개된 영역(public domain)에 있는 경우.
통지. 본 계약에 따라 제공되는 모든 통지 및 서신은 서면으로 작성되어야 하며 이메일로 발송됩니다. 통제자는 주 계약에 따른 서비스 이용과 관련된 주소로 발송된 이메일을 통해 통지를 받습니다. 처리자는 다음 주소로 발송된 이메일을 통해 통지를 받습니다: legal@proton.me.
준거법 및 관할권. 본 계약은 스위스 법의 적용을 받으며, 이와 상반되는 어떠한 관할권의 법률 선택 또는 저촉 규정에도 불구하고, 본 계약, 주문서, 참조로 통합된 문서, Proton 기술 또는 서비스와 관련하여 발생하는 분쟁, 소송, 청구 또는 소송 원인은 스위스 제네바의 전속 관할권의 적용을 받습니다.
본 약관의 영어 버전과 번역본 간에 불일치가 있는 경우 영어 버전이 우선합니다.