데이터 처리 부칙
본 데이터 부칙(“DPA”)은 고객과 Absolute 사이에 체결된 Absolute 제품을 고객에게 제공하는 것을 규정하는 마스터 구독 계약 또는 기타 계약(“계약”)의 일부분을 수정하고 구성합니다. 본 DPA의 조건과 계약서 사이에 충돌이 발생하는 경우 본 DPA의 이용약관을 기준으로 합니다.
1. 정의. 본 DPA에서 사용하지만 정의되지 않은 대문자로 시작되는 용어는 계약에서 다음과 같은 의미를 가집니다.
1.1. “업무”, “업무 목적”, “수집”, “수집됨”, “고객”, “비식별 정보”, “개인 정보”, “판매”, “판매하는” 그리고 “서비스 공급업자”는 CCPA에서 제시된 의미를 가지며 “판매”는 그에 따라 해석됩니다.
1.2. “관리자”, “데이터 주체”, “개인 데이터”, “프로세싱”, “프로세서”와 “감독 기구”는 GDPR에서 제시된 의미를 가지며, “프로세스”와 “프로세스들”은 그에 따라 해석됩니다.
1.3. “고객 개인 데이터”는 본 DPA의 부속 문서 I에서 설명한 대로 고객을 대표하여 제품과 서비스를 제공하기 위해 Absolute가 서비스 제공업자 또는 프로세서(해당되는 경우)로서 수집하였거나 처리한 개인 정보 또는 개인 데이터를 구성하는 모든 고객 데이터를 가리킵니다.
1.4. “데이터 보호법”은 캘리포니아 소비자 개인정보 보호법(캘리포니아 민법 § 1798.100 이하 참조.)과 그 시행 규칙(“CCPA”), 일반 개인정보 보호법 (EU) 2016/679 (“GDPR”))과 e-프라이버시 지침 2002/58/EC(지침 2009/136/EC에 의해 수정됨)와 유럽경제지역(“EEA”)의 국가적 시행, 스위스 연방정보보호법, 영국 일반 개인정보 보호법 그리고 영국 데이터 보호법 2018(각각 해당되며, 수시로 수정되거나 교체됨) 등을 가리킵니다.
1.5. “데이터 주체 권한”은 데이터 보호법에 따라 허용하는 범위 내에서 정보, 접속, 수정, 삭제, 제거, 제한, 이동성, 이의, 판매 중단에 대한 소비자 또는 데이터 주체의 권한을 가리키며 특정 권한을 행사할 때 차별받지 않으며 개인의 자동적 의사 결정의 제약을 받지 않습니다.
1.6. “유럽”은 EEA와 스위스를 가리킵니다.
1.7. “국제 데이터 전송”은 고객 개인 데이터를 유럽 또는 영국에서 유럽과 영국 이외 국가로의 전송을 가리킵니다.
1.8. “개인 데이터 침해”는 Absolute 또는 그 하위 프로세서가 전송, 저장 또는 처리한 고객 개인 데이터에 대한 우발적 또는 불법적 파괴, 손실, 변경 또는 무단공개 또는 무단접속을 초래할 수 있는 Absolute의 보안 침해를 가리킵니다.
1.9. “하위 프로세서”는 고객 개인 데이터를 처리하기 위해 Absolute가 사용한 프로세서를 가리킵니다.
1.10. “표준 계약 조항”은 적용 가능한 유럽 입회 및 의회(OJ L 199, 7.6.2021, 31-61페이지)의 규정(EU) 2016/679에 따라 개인 데이터를 제3국으로 전송하기 위한 표준 계약 조항에 대해 2021년 6월 4일 유럽연합위원회의 결정2021/914에 첨부된 조항을 가리키며 수시로 수정되거나 교체될 수 있습니다.
2. 당사자 쌍방의 역할 및 처리 범위
2.1. 범위. 본 DPA와 각 조항 및 의무는 Absolute가 서비스 공급업자 또는 프로세서(해당되는 경우)로서 고객 개인 데이터를 처리하는 범위에 적용됩니다.
2.2. 당사자 쌍방의 역할. 고객은 사업 또는 관리자이며 고객을 대신해 Absolute를 서비스 공급업자 또는 프로세서로 임명합니다. 각 당사자는 해당 데이터 보호법에 따라 제품과 서비스 또는 이에 관련하여 고객 개인 데이터를 수집, 보유, 사용, 공개 및 처리합니다.
2.3. 고객의 책임. 고객은 데이터 주체에게 Absolute를 프로세서로 사용하라는 통지를 제공하기 위해 해당 요구 사항을 준수할 책임이 있습니다. 처리의 주제, 성격 및 목적과 고객 개인 데이터의 유형 그리고 데이터 주체의 카테고리는 부속 문서 I에 명시되어 있습니다.
2.4. Absolute의 책임. Absolute는 다음 목적으로 제공된 것으로 간주되는 고객의 문서화된 합법적인 지시에 따라 제품과 서비스를 제공하기 위해 고객 개인 데이터를 처리합니다. (i) 본 DPA, 계약서와 해당 작업지시서에 따른 처리, (ii) 제품 및 서비스 사용에 대해 인가된 사용자가 개시한 처리, (iii) 고객이 제공한 문서화된 합리적인 지시(예: 이메일을 통해)를 준수하는 처리, 이와 같은 지시들은 본 DPA, 계약서와 해당 작업지시서의 이용약관과 일치함. 해당 법에서 금지하지 않는 한 Absolute는 고객의 지시가 데이터 보호법을 위반한 사실을 알게 되거나 의견이 있는 경우 고객에게 통지해 드립니다. 예를 들어, Absolute는 법 집행 기관으로부터 소환장이나 법원 명령을 받을 경우 법적으로 금지하지 않는 이상 고객에게 이 사실을 알립니다.
2.5. 고객 요청과의 협력. Absolute는 처리 성격과 Absolute가 이용 가능한 정보를 고려하여 다음을 위해 고객에게 합리적인 도움을 줍니다. (a) 데이터 주체 권한 행사에 대한 요청에 대응, (b) 데이터 보호 영향 평가를 수행하고 감독 기관과 사전에 상담, (c) 법에서 요구하는 경우 영향을 받는 데이터 주체에게 개인 정보 침해에 대해 통보. 고객은 Absolute의 지원으로 발생한 모든 합리적인 비용에 대해 책임을 져야 합니다.
3. 보안 및 감사
3.1. 보안 조치. Absolute는 부속 문서 II에 언급된 Absolute 보안 표준에 명시한 대로 고객 개인 데이터를 무단접속, 파괴, 사용, 수정 또는 공개로부터 보호하기 위해 위험에 적합한 기술적 및 조직적 조치를 시행합니다. Absolute는 수시로 Absolute 보안 표준을 수정할 수 있지만 Absolute 보안 표준에 설명한 대로 적어도 동일한 수준의 보안을 계속하여 제공할 것입니다. Absolute는 고객 개인 데이터를 처리하도록 권한을 부여받은 모든 사람이 반드시 기밀 유지 의무를 지도록 확인합니다.
3.2. 개인 데이터 침해 대응. Absolute는 개인 데이터 침해 사실을 알게 된 다음 지체없이 고객에게 통지합니다. Absolute는 상업적으로 합리적인 노력을 기울여 개인 데이터 침해의 원인을 파악하고 Absolute가 합리적으로 통제할 수 있는 범위 내에서 개인 데이터의 침해 원인을 교정하기 위해 Absolute가 합리적으로 필요하다고 간주하는 조치를 취합니다. 본 조항은 고객 또는 고객 사용자로 인한 개인 데이터 침해에 적용되지 않습니다.
3.3. 감사. 데이터 보호법에서 요구하는 대로 Absolute는 Absolute의 본 DPA 의무 준수 여부를 입증하는 데 합리적으로 필요한 모든 정보를 포함하여 Absolute의 감사 보고서 요약을 고객에게 제공합니다. 단, Absolute는 이런 보고서에서 기밀 또는 상업적으로 민감한 정보를 수정할 수 있습니다.
4. 하위 처리
4.1. 권한을 부여받은 하위 프로세서. 고객은 Absolute가 하위 프로세서를 사용할 수 있다는 사실을 인정하고 이에 동의합니다. Absolute의 현재 하위 프로세서 목록은www.absolute.com/company/legal/absolute-sub-processors에서 확인하실 수 있습니다. Absolute는 본 DPA에 따라 하위 프로세서에 Absolute에 부과된 의무와 실질적으로 동일한 의무를 지게 하는 하위 프로세서와 서면 계약을 체결할 예정입니다.
4.2. 하위 프로세서에 대한 변경 사항. 고객은 Absolute가 섹션 4.1에 언급된 하위 프로세서 목록을 업데이트하여 하위 프로세서를 의도적으로 추가하거나 교체하는 사실에 대해 고객에게 통지해야 하는 상황을 인정하고 이에 동의합니다. 고객은 Absolute가 하위 프로세서 목록을 업데이트한 다음 30일 이내에 하위 프로세서 추가 또는 교체를 반대할 수 있습니다. 고객의 이의가 잠재적이거나 실제적인 데이터 보호법 침해에 관련된 합리적인 근거에 기반하는 경우, 고객과 Absolute는 고객의 이의 해결에 성실히 협력합니다.
5. 데이터 전송
5.1. 국제 데이터 전송. 고객은 Absolute가 다음에 국제 데이터 전송을 수행할 수 있다는 사실에 동의합니다. (a) 해당되는 경우, 캐나다를 포함하여 유럽연합위원회 또는 영국 정부에서 적합하다고 간주하는 모든 국가, (b) 데이터 보호법에 따라 적절한 보호 장치를 기반으로, 또는 (c) 섹션5.2 또는 섹션 5.3에서 언급한 표준 계약 조항에 따라. Absolute의 국제 데이터 전송에 적용 가능한 데이터 보호법 준수가 통제 범위를 벗어난 환경에 의해 영향을 받을 경우(국제 데이터 전송에 대한 법적 수단이 무효화, 수정 또는 교체되는 경우를 포함), 고객과 Absolute는 이와 같은 비준수를 합리적으로 해결하기 위해 성실히 협력합니다.
5.2. 유럽으로부터 데이터 전송. 본 DPA에 서명함으로써 고객과 Absolute는 참조로 본 DPA에 통합된 표준 계약 조항 제2모듈의 조건에 동의하는 것으로 간주됩니다. 당사자 쌍방은 표준 계약 조항이 적용되면 쌍방은 다음과 같이 완료하는 것에 동의합니다. (a) 선택 조항 7은 보류, (b) 조항 9에서 옵션 1은 취소, 옵션 2는 보류, (c) 조항 11에서 옵션 언어는 취소, (d) 조항 17과 18에서 준거법과 관할법원은 아일랜드, (e) 표준 계약 조항의 부속 문서 I 및 II는 각각 본 DPA의 부속 문서 I 및 II임. Absolute가 고객 개인 데이터를 유럽으로부터 유럽연합위원회에서 제품을 고객에게 제공하기 위해 결정한 적절한 수준의 보호를 제공하지 않는 국가로 전송하는 경우 표준 계약 조항이 적용됩니다.
5.3. 영국으로부터 데이터 전송. 본 DPA에 서명함으로써 고객과 Absolute는 표준 계약 조항 제2모듈의 조건과 표준 계약 조항의 국제 데이터 전송 부칙의 제2부(의무 조항)에 동의하며 참조로 통합됩니다. Https://ico.org.uk/media/for-organisations/documents/4019483/international-data-transfer-addendum.pdf(“영국 부칙”)에서 확인하실 수 있습니다. Absolute가 고객 개인 데이터를 영국으로부터 영국에서 결정한 적절한 수준의 보호를 제공하지 않는 국가로 전송하는 경우 영국 부칙이 적용됩니다.
6. 캘리포니아 소비자 개인정보 보호법
6.1. 고려 사항. Absolute는 고객과 Absolute 사이의 고객 개인 데이터 교환이 계약서 또는 본 DPA와 관련하여 고객과 Absolute 사이에 교환된 어떠한 금전적 또는 가치 있는 고려 사항의 일부분을 구성하지 않는다는 사실을 인정합니다.
6.2. 고객 개인 데이터 사용. 해당 법에서 달리 허용하는 경우를 제외하고 Absolute는 다음을 하지 않습니다. (a) 계약에 명시된 서비스 수행 및 제품 제공 이외의 목적으로 고객 개인 데이터를 보유, 사용 또는 공개, (b) 고객 개인 데이터를 판매. 약서 또는 본 DPA에 반하는 조항에도 불구하고 DPA의 이용약관은 Cal Civ.Code § 1798.145(a)를 포함하여 데이터 보호법에서 면제된 고객 개인 데이터를 Absolute에서 처리하는 사항에 적용되지 않습니다.
7. 고객 개인 데이터의 종료, 반환 또는 삭제
7.1. 본 DPA는 계약서가 종료되면 함께 종료됩니다. 고객은 해당 제품에 대해 고객의 계정에서 접속이 가능한 기능 또는 특성을 이용하여 고객 개인 데이터의 반환을 받을 수 있으며 이런 기능 또는 특성을 이용할 수 없는 경우 고객은 계약이 종료된 다음 최대 90일 이내에 고객 개인 데이터 반환을 요청할 수 있습니다. 해당 법에서 요구하거나 허용하지 않는 한 Absolute는 계약이 종료된 다음 고객 개인 데이터의 모든 나머지 사본을 삭제하거나 익명화할 수 있습니다.
8. 책임의 한계
8.1. 표준 계약 조항을 포함해 본 DPA로 인하였거나 이에 관련된 각 당사자의 책임은 가능하면 계약이든, 불법 행위이든 또는 기타 책임 이론이든 상관없이 계약서의 책임의 한계 섹션의 적용을 받습니다.
9. 무효성 및 분리 가능성
9.1. 법원 또는 유능한 관할권의 행정부에서 본 DPA의 일부 조항이 무효하거나 집행 불가능한 것으로 판정하는 경우 이와 같은 조항의 무효성 또는 집행 불가능성이 본 DPA의 기타 조항에 영향을 미치지 않으며 이와 같은 무효성 또는 집행 불가능성의 영향을 받지 않는 모든 조항은 완전한 효력을 유지합니다.
부속 문서 I
- 당사자 쌍방 목록(제2모듈: 컨트롤러를 프로세서로 전송)
데이터 내보내기: 고객
고객은 관리자로서 해당 주문서에서 확인된 제품 및 서비스에 관련하여 Absolute에 데이터를 전송할 수 있도록 선택할 수 있습니다. 고객의 이름, 연락처와 서명은 해당 주문서 또는 제품 및 서비스에 대한 고객의 계정에 명시되어 있습니다.
데이터 가져오기: Absolute
Absolute는 프로세서로 해당 주문서에서 확인된 제품 및 서비스 제공에 관련하여 고객으로부터 받은 데이터를 처리합니다.
주소: Suite 1400, Four Bentall Centre, 1055 Dunsmuir Street, Vancouver, B.C. Canada, V7X 1K8
이메일: [email protected]
- 전송에 대한 설명(제2모듈: 관리자에서 프로세서로 전송)
제품 및 서비스와 관련하여 개인 데이터가 전송되는 데이터 주체 카테고리:
# | 카테고리 |
1 | 고객의 엔드포인트 장치 사용자 |
2 | 호스팅 서비스를 통해 고객 계정의 유지 관리를 담당하는 고객의 행정 인력 |
Absolute 서비스와 관련하여 전송되는 개인 데이터 카테고리:
# | 카테고리 |
1 | 해당하는 경우, 컴퓨터 제조업체와 모델, 컴퓨터 일련번호, 시스템 BIOS 버전, 컴퓨터 이름, OS 정보, HDD 일련번호, HDD 모델, HDD 펌웨어 버전, 배터리 장치 ID, 컴퓨터 UUID, 게이트웨이 문자열 RAM 일련번호, MAC 주소, NIC 어댑터 이름, IP 주소, 장치 위치와 장치 사용 정보가 포함된 엔드포인트 장치 정보. |
이름, 연락처와 로그인 자격 증명이 포함된 호스팅 서비스 계정 정보. |
제품 및 서비스와 관련하여 전송되는 민감한 데이터 카테고리:
# | 카테고리 |
1 | 없음. |
프로세싱의 빈도 및 성격:
데이터는 연속적으로 전송됩니다. 전송되는 개인 데이터는 다음 프로세싱 작업의 대상이 됩니다.
- 제품 및 서비스에 대한 데이터 저장을 포함해 제품 및 서비스를 제공
- 기술적 또는 행정적 문제, 청구서와 영수증을 해결하고 자체의 법적 의무 준수
- 제품 및 서비스와 DPA에 설명한 대로 기타 업무 목적을 최적화하고 개선
데이터 전송의 목적 및 추가 처리
데이터 전송의 목적은 제품 및 서비스를 제공하는 것입니다.
보관 기간.
다양한 데이터 보관 기간은 해당 서비스에 따라 적용됩니다. 특정 보관 기간을 결정할 때 Absolute는 고객에게 제공되는 서비스의 유형, 고객과의 관계 성격 및 기간, 법 및 공소시효에서 제공한 의무 보관 기간 등 다양한 요소를 고려합니다.
(하위)프로세서에게 전송
본 섹션 B의 앞부분에서 명시된 설명은 하위 프로세서에게 전송되는 데이터에 적용됩니다.
- 해당 감독 기구(제2모듈: 관리자에서 프로세서로 전송)
고객이 정의한 해당 감독 기구.
부속 문서 II
데이터의 안전을 보장하기 위해 취한 기술적 및 조직적 조치를 포함한 기술적 및 조직적 조치
도메인 | 관례 |
정보 보안 조직 | · Absolute는 정보 보안을 전담하는 팀을 보유
· 정보 보안 프로그램은 Absolute 경영진에서 지원 · Absolute에서 경영진이 승인한 정보 보안 정책을 발표 |
인력 자원 보안 | · 직원 채용 전 신원 확인 수행
· 정기적 정보 보안 교육을 수행 |
물리적 및 환경적 안보 | · 인가된 사용자만 고객 데이터 처리 센터에 물리적으로 접속할 수 있음
· 물리적 및 환경적 제어로 데이터 센터 및 호스팅 제공업자를 사용 |
통신 및 운영 관리 | · 전송 중 및 미사용 고객 데이터 암호화
· 방화벽, VPNs, IDS와 가능한 IPS를 포함한 네트워크 보호를 실현 |
접속 제어 | · 네트워크 및 시스템에 대한 최소 기본 접속
· 원격 접속에 필요한 MFA |
정보 보안 사건 관리 | · 공식화된 보안 및 개인 정보 보호 사건 대응 프로그램 시행 |
보안 운영 | · 연간 침투 테스트
· 지속적인 취약성 관리 · 악성 프로그램 탐지 및 방지 제어 · 이벤트 로그 정보를 생성 및 모니터링 |
업무 지속성 관리 | · BCP 및 DR 플랜을 유지하여 계속되는 운영 지원
· 최소한 매년 계획 테스트 |
제3자 공급업자 관리 | · 제3자 공급업자의 보안 및 개인 정보 보호 제어를 검토, 접속 및 모니터링하기 위해 제3자 제공업자 프로그램을 유지. |
시스템 개발 | · 개발자에게 보안 코딩 교육을 제공
· SDLC의 구성 부분으로 보안 테스트 시행 · 분리 개발, 테스트와 제품 환경 |