데이터 처리 계약 (DPA)

1. 정의

본 데이터 처리 계약의 목적을 위해:

• <strong>"Personal Data"</strong>는 GDPR 제4조 제1항에 정의된 바와 같이 식별되었거나 식별 가능한 자연인에 관한 모든 정보를 의미합니다.
• <strong>"Processing"</strong>는 GDPR 제4조 제2항에 정의된 바와 같이 수집, 저장, 사용, 공개 또는 삭제를 포함하여 개인정보에 대해 수행되는 모든 작업을 의미합니다.
• <strong>"Controller"</strong>는 개인정보 처리의 목적과 수단을 결정하는 고객을 의미합니다.
• <strong>"Processor"</strong>는 Controller를 대신하여 개인정보를 처리하는 Morlivo를 의미합니다.
• <strong>"Sub-processor"</strong>는 Controller를 대신하여 개인정보를 처리하기 위해 Processor가 참여시킨 모든 제3자를 의미합니다.
• <strong>"Data Subject"</strong>는 식별되었거나 식별 가능한 자연인으로서 개인정보가 처리되는 사람을 의미합니다.

2. 처리 세부사항

The Processor는 문서화된 The Controller의 지시에 따라서만 개인데이터를 처리해야 하며, 여기에는 개인데이터를 제3국으로 이전하는 것과 관련된 지시도 포함됩니다. 다만 The Processor가 따르는 연합 또는 회원국 법률에 따라 요구되는 경우는 예외입니다.

처리 세부사항은 다음과 같습니다:

• <strong>대상:</strong> 번역, 전사 및 언어 처리 서비스의 제공.
• <strong>기간:</strong> 기본 서비스 계약의 기간 동안.
• <strong>성격 및 목적:</strong> 번역, 전사 및 관련 언어 서비스를 제공하기 위해 Customer Content를 처리함.
• <strong>데이터 주체의 범주:</strong> 최종 사용자 및 Customer Content에 포함된 개인.
• <strong>개인 데이터의 유형:</strong> 이름, 연락처 정보 및 처리 위해 제출된 자료에 포함된 기타 모든 개인 데이터.

3. 보안 조치

The Processor는 GDPR 제32조에 따라 위험 수준에 적합한 보안 수준을 보장하기 위해 적절한 기술적 및 조직적 조치를 구현합니다. 이러한 조치에는 다음이 포함됩니다:

• 휴지 상태의 개인 데이터 암호화(AES-256) 및 전송 중 암호화(TLS 1.2+).
• 처리 시스템 및 서비스의 지속적인 기밀성, 무결성, 가용성 및 복원력을 보장할 수 있는 능력.
• 물리적 또는 기술적 사고 발생 시 개인 데이터에 대한 가용성과 접근을 신속하게 복구할 수 있는 능력.
• 기술적 및 조직적 조치의 효과성을 정기적으로 테스트, 평가 및 검토합니다.
• 기술적으로 가능하고 적절한 경우 개인 데이터의 가명 처리.
• 최소 권한 원칙에 기반한 엄격한 접근 제어.
• 데이터 접근에 대한 포괄적인 감사 로그 및 모니터링.

The Processor는 개인데이터를 처리하도록 권한이 부여된 자들이 기밀유지에 서약했거나 적절한 법적 기밀유지 의무를 부담하고 있음을 보장합니다.

4. 하위 처리자

The Controller는 The Processor가 하위 처리업체(Sub-processor)를 참여시키도록 일반적인 권한을 제공합니다. The Processor는 최신의 하위 처리업체 목록을 유지하고 요청 시 The Controller에게 제공해야 합니다. 현재 하위 처리업체 목록은 당사의 개인정보 처리방침 페이지에 게시되어 있습니다.

The Processor는 하위 처리업체의 추가 또는 교체와 관련된 의도된 변경 사항에 대해 The Controller에게 통지하여 The Controller가 해당 변경에 대해 이의를 제기할 합리적인 기회를 제공해야 합니다. The Processor가 하위 처리업체를 참여시키는 경우 The Processor는 계약을 통해 이 DPA에 명시된 것과 동일한 데이터 보호 의무를 해당 하위 처리업체에게 부과해야 합니다.

The Processor는 본 DPA에 따른 하위 처리업체의 의무 이행에 대해 The Controller에 대해 전적으로 책임을 부담합니다.

5. 데이터 주체의 권리

The Processor는 The Controller가 GDPR 제III장에서 데이터주체가 행사하는 권리에 응답할 의무를 이행할 수 있도록 지원합니다. 여기에는 다음이 포함됩니다:

• 접근권 (제15조).
• 정정권 (제16조).
• 삭제권 (제17조).
• 처리 제한권 (제18조).
• 데이터 이동권 (제20조).
• 이의 제기권 (제21조).

처리자(Processor)가 데이터 주체(Data Subject)로부터 직접 요청을 받는 경우, 처리자는 해당 요청을 지체 없이 통제자(Controller)에게 전달해야 하며, 통제자의 승인 없이는 데이터 주체에게 직접 응답해서는 안 됩니다.

6. 국제 전송

The Processor는 GDPR 제V장에서 요구하는 바와 같이 적절한 보호조치가 마련되지 않는 한 개인데이터를 제3국 또는 국제기구로 이전해서는 안 됩니다. 승인된 이전 메커니즘에는 다음이 포함됩니다:

• 유럽연합 집행위원회가 채택한 표준 계약 조항(Standard Contractual Clauses, SCCs) (집행 결정 (EU) 2021/914).
• GDPR 제45조에 따른 적정성 결정.
• 권한 있는 감독 기관이 승인한 Binding Corporate Rules.

엔터프라이즈 고객은 데이터 상주 설정을 구성하여 개인 데이터의 처리 및 저장을 특정 지리적 지역(EU, US 또는 APAC)으로 제한함으로써 국경 간 전송의 필요성을 최소화할 수 있습니다.

7. 침해 통지

The Processor는 GDPR 제4조(12)에 정의된 개인데이터 침해를 인지한 경우 지체 없이, 그리고 어떠한 경우에도 인지한 후 늦어도 forty-eight (48) hours 이내에 The Controller에게 통지해야 합니다.

통지에는 다음이 포함됩니다:

• 개인 데이터 침해의 성격에 대한 설명(관련된 데이터 주체의 범주 및 대략적인 수와 관련 기록 포함).
• 처리자의 데이터 보호 담당자 이름 및 연락처.
• 침해의 예상 결과에 대한 설명.
• 침해를 해결하기 위해 취했거나 제안된 조치에 대한 설명(그 부정적 영향을 완화하기 위한 조치 포함).

8. 감사 및 검사

The Processor는 GDPR 제28조에 규정된 의무 준수를 입증하는 데 필요한 모든 정보를 The Controller에게 제공해야 합니다. The Processor는 합리적인 사전 통지 및 기밀 유지 의무를 전제로 The Controller 또는 The Controller가 지정한 감사인이 수행하는 감사(검사 포함)에 대해 허용하고 이에 협조해야 합니다.

9. 기간 및 데이터 삭제

본 DPA는 기초 서비스 계약 기간 동안 유효합니다. 서비스 계약 종료 시, Controller의 선택에 따라 Processor는 모든 Personal Data를 삭제하거나 반환하고 기존 사본을 삭제해야 하며, 단 Union 또는 Member State 법률이 Personal Data의 저장을 요구하는 경우는 예외입니다. Processor는 Controller의 요청이 있을 경우 이 의무를 이행했음을 서면으로 증명해야 합니다.