DPA

최종 수정일: 07년 2022월 XNUMX일

데이터 처리 부록

 

이 데이터 보호 부록("추가")의 일부를 구성합니다. 서비스 약관 및/또는 해당되는 경우 A는 수시로 수정 또는 교체될 수 있으며 공급업체와의 모든 현재 및 향후 계약에 통합됩니다("기본 동의서") 사이: (i) Yereq Geo, LLC, LLC, Delaware 법률에 따라 설립된 회사로 등록된 사무소는 830 NE Holladay St, Portland, OR 97232("공급 업체") 자체적으로 그리고 각 공급업체 계열사의 대리인으로 활동하며, (ii) 귀하("회사") 자체적으로 그리고 각 회사 계열사의 대리인으로 활동합니다.

 

이 부록에 사용된 용어는 이 부록에 명시된 의미를 갖습니다. 여기에서 달리 정의되지 않은 대문자로 된 용어는 주계약에서 부여된 의미를 갖습니다. 아래에서 수정된 경우를 제외하고 주계약의 조건은 완전한 효력을 유지합니다.

 

회사는 컨트롤러이고 공급업체는 이 부록에 따른 처리자입니다.

 

여기에 명시된 상호 의무를 고려하여 당사자들은 아래에 명시된 조건을 주 계약의 부록으로 추가하는 데 동의합니다. 문맥상 달리 요구되는 경우를 제외하고, 주 계약에 대한 본 부록의 참조는 본 부록을 포함하여 수정된 주 계약을 의미합니다.

 

1. 정의
   • 이 부칙에서 다음 용어는 아래에 명시된 의미를 가지며 그에 따라 동족 용어로 해석됩니다.

 

• "적용 법률" 모든 국제, 유럽 연합, 국가, 지방 또는 지역 법률, 규정, 명령, 법규, 행정 명령 또는 조약, 판결, 법원 명령 또는 관련 정부나 정부 기관 또는 규제 당국의 기타 요구 사항 2016년 679월 27일 자연 보호에 관한 유럽 의회 및 이사회의 규정(EU) 2016/95(일반 데이터 보호 규정)를 포함하되 이에 국한되지 않고 수시로 적용되는 개인 데이터 처리 개인 데이터 처리 및 해당 데이터의 자유로운 이동과 관련하여 Directive 46/XNUMX/EC를 폐지하는 사람

브라질의 일반 데이터 보호법, Lei Geral de Proteção de Dados(“LGPD”)가 발효됩니다. LGPD가 컨트롤러의 개인 데이터 처리에 적용되는 경우 각 당사자는 LGPD에 명시된 각자의 의무를 이행할 책임이 있으며, 컨트롤러는 LGPD에 따라 요구될 수 있는 추가 지침을 처리자에게 발행합니다. 그렇지 않으면 본 부록의 조항이 사용됩니다.

• "회사 계열사"는 회사를 소유하거나 통제하거나, 회사가 소유하거나 통제하거나, 공동 통제 또는 소유권 하에 있는 독립체를 의미하며, 통제는 직간접적으로 경영진을 지시하거나 지시하게 하는 권한을 소유하는 것으로 정의됩니다. 의결권 소유, 계약 또는 기타 방식을 통한 기업의 정책
• "회사 그룹 회원"는 회사 또는 회사 계열사를 의미합니다.
• "회사 개인 데이터"는 주 계약에 따라 또는 이와 관련하여 회사 그룹 구성원을 대신하여 계약 처리자가 처리하는 모든 개인 데이터를 의미합니다.
• "계약 프로세서"는 공급업체 또는 하위 프로세서를 의미합니다.
• "데이터 보호법"는 EU 데이터 보호법 및 해당되는 경우 다른 국가의 데이터 보호 또는 개인 정보 보호법을 의미합니다.
• "EEA"는 유럽 경제 지역을 의미합니다.
• "EU 데이터 보호법"는 EU 데이터 보호법 및 해당되는 경우 다른 국가의 데이터 보호 또는 개인 정보 보호법을 의미합니다.
• "GDPR"는 2016년 679월 27일 유럽 의회 및 이사회 규정(EU) 2016/95를 의미합니다. 개인 데이터 처리 및 이러한 데이터의 자유로운 이동과 관련하여 자연인 보호에 관한 규정(EU) 및 지침 46/XNUMX 폐지 /EC(일반 데이터 보호 규정).
• "제한된 양도" 수단:
  • 회사 그룹 구성원에서 계약 프로세서로의 회사 개인 데이터 전송, 또는
  • 계약 처리자에서 계약 처리자로 또는 계약 처리자의 두 시설 간에 회사 개인 데이터의 제XNUMX자 전송,

각각의 경우, 섹션에 따라 설정될 표준 계약 조항이 없는 경우 데이터 보호법(또는 데이터 보호법의 데이터 전송 제한을 해결하기 위해 마련된 데이터 전송 계약 조건)에 의해 그러한 전송이 금지되는 경우 6.4.3 또는 아래 12; 의심의 소지를 없애기위한: (a) 전술한 내용의 일반성에 국한되지 않고, 본 부록의 당사자는 영국이 유럽 연합에서 탈퇴한 후 영국에서 EEA로 또는 EEA에서 영국으로 개인 데이터를 전송하는 것을 제한할 의도입니다. 6.4.3절에 따라 수립될 표준 계약 조항이 없는 경우 영국의 데이터 보호법 또는 EU 데이터 보호법(경우에 따라)에 의해 그러한 전송이 금지되는 시간 및 범위 내에서 전송 또는 12; (b) 유럽 연합 내에서 국가(스위스 등) 또는 계획(예: US 프라이버시 실드) 적절한 수준의 보호 또는 허용된 변형에 해당하는 전송을 보장하는 것으로 위원회에서 승인한 전송은 제한된 전송이 아닙니다.

• "서비스"는 주 계약에 따라 회사 그룹 구성원을 위해 공급업체에 공급되거나 공급업체에 의해 또는 공급업체를 대신하여 수행되는 서비스 및 기타 활동을 의미합니다.
• "표준 계약 조항"는 부속서 3에 명시된 계약 조항을 의미합니다.
• "하위 프로세서"는 회사 그룹 구성원을 대신하여 개인 데이터를 처리하도록 벤더 또는 벤더 계열사가 임명한 모든 사람(제XNUMX자 및 벤더 계열사를 포함하나, 벤더 직원 또는 그 하청업체는 제외)을 의미합니다. 주요 계약과 관련하여
• "벤더 제휴사" 관리를 지시하거나 지시를 유발하는 권한을 직간접적으로 소유하는 것으로 정의되는 관리 또는 공급업체의 공통 통제 또는 소유권을 소유 또는 통제하거나, 소유 또는 통제되거나, 공동 통제 또는 소유권 하에 있는 독립체를 의미합니다. 의결권 소유, 계약 또는 기타 방식을 통해 법인의 정책.

• 약관은 "위원회""제어 장치""데이터 제목""회원국""개인 정보""개인정보 침해""처리""프로세서”및 "감독 당국"는 GDPR에서와 동일한 의미를 가지며, 동족 용어는 그에 따라 해석됩니다.
• "라는 말포함"는 제한 없이 포함하는 의미로 해석되어야 하며, 동족 용어는 이에 따라 해석되어야 합니다.

 

2. 권위

공급업체는 공급업체 계열사가 회사 그룹 구성원을 대신하여 회사 개인 데이터를 처리하기 전에 공급업체가 해당 공급업체 계열사를 대신하여 대리인으로서 이 부록에 입력하는 것이 적절하고 효과적으로 승인(또는 이후에 비준)됨을 보증하고 진술합니다. 해당 벤더 계열사에 의해.

 

3. 회사 개인 데이터 처리
   • 공급업체 및 각 공급업체 계열사는 다음을 수행해야 합니다.
     • 회사 개인 데이터 처리 시 적용 가능한 모든 데이터 보호법을 준수합니다. 그리고
     • 관련 계약 처리자가 적용되는 관련 법률에 따라 처리가 요구되지 않는 한 관련 회사 그룹 구성원의 문서화된 지침 외에는 회사 개인 데이터를 처리하지 않습니다. 이 경우 벤더 또는 관련 벤더 계열사는 관련 법률이 허용하는 범위 내에서 다음을 알려야 합니다. 해당 개인 데이터의 관련 처리 전에 해당 법적 요구 사항의 관련 회사 그룹 구성원.
   • 각 회사 그룹 구성원:
     • 공급업체 및 각 공급업체 계열사에 다음을 지시합니다(및 공급업체 및 각 공급업체 계열사가 각 하위 프로세서에 지시할 권한을 부여함).
       • 회사 개인 데이터 처리 그리고
       • 특히 회사 개인 데이터를 모든 국가 또는 지역으로 전송,

서비스 제공에 합리적으로 필요하고 주요 계약과 일치하는 경우 그리고

• 각 관련 회사 계열사를 대신하여 섹션 3.2.1에 명시된 지침을 제공할 수 있는 정당하고 효과적인 권한을 모든 관련 시점에 유지하고 있으며 앞으로도 그럴 것임을 보증하고 진술합니다.

• 이 부록의 부록 1은 GDPR의 28(3)조(및 기타 데이터 보호법의 동등한 요구 사항)에서 요구하는 회사 개인 데이터의 계약 프로세서 처리에 관한 특정 정보를 명시합니다. 회사는 회사가 이러한 요구 사항을 충족하는 데 필요하다고 합리적으로 간주하는 경우 때때로 공급업체에 서면 통지를 통해 부록 1을 합리적으로 수정할 수 있습니다. 부록 1(이 섹션 3.3에 따라 수정된 내용 포함)의 어떤 내용도 이 부록의 당사자에게 권리를 부여하거나 의무를 부과하지 않습니다.

 

4. 공급업체 및 공급업체 제휴 직원

공급업체 및 각 공급업체 계열사는 회사 개인 데이터에 액세스할 수 있는 계약 프로세서의 직원, 대리인 또는 계약자의 신뢰성을 보장하기 위해 합당한 조치를 취해야 하며 각 경우에 액세스가 필요한 개인으로 엄격하게 제한되도록 해야 합니다. / 주 계약의 목적에 엄격하게 필요한 경우 관련 회사 개인 데이터에 액세스하고 계약 처리자에 대한 해당 개인의 의무와 관련하여 관련 법률을 준수하여 그러한 모든 개인이 기밀 유지 의무 또는 전문적 또는 기밀 유지의 법적 의무.

 

5. 경비
   • 최신 기술, 구현 비용, 처리의 성격, 범위, 맥락 및 목적뿐만 아니라 자연인의 권리와 자유에 대한 다양한 가능성과 심각성을 고려하여 벤더와 각 벤더 계열사는 다음을 준수해야 합니다. 회사 개인 데이터와 관련하여 GDPR의 32(1)조에 언급된 적절한 조치를 포함하여 해당 위험에 적합한 보안 수준을 보장하기 위해 적절한 기술적 및 조직적 조치를 구현합니다.
   • 적절한 보안 수준을 평가할 때 공급업체와 각 공급업체 계열사는 특히 개인 데이터 위반과 같은 처리로 인해 발생하는 위험을 고려해야 합니다.

 

6. 서브 프로세싱
   • 각 회사 그룹 구성원은 공급업체 및 각 공급업체 계열사가 본 6항 및 주 계약의 모든 제한 사항에 따라 하위 프로세서를 임명할 수 있는 권한을 부여합니다(및 이 섹션 6에 따라 임명된 각 하위 프로세서가 임명하도록 허용).
   • 벤더 및 각 벤더 계열사는 본 부록 날짜를 기준으로 벤더 또는 벤더 계열사가 이미 고용한 하도급 프로세서를 계속 사용할 수 있습니다. 각 경우에 벤더 및 각 벤더 계열사는 실행 가능한 한 조속히 섹션 6.4에 명시된 의무를 충족합니다. .
   • 각 하위 프로세서와 관련하여 공급업체 또는 관련 공급업체 계열사는 다음을 수행합니다.
     • 하위 프로세서가 먼저 회사 개인 데이터를 처리하기 전에(또는 관련된 경우 섹션 6.2에 따라) 하위 프로세서가 주 계약에서 요구하는 회사 개인 데이터에 대한 보호 수준을 제공할 수 있도록 적절한 실사를 수행합니다.
     • 한편으로는 (a) 공급업체, 또는 (b) 관련 공급업체 계열사, 또는 (c) 관련 중간 하위 프로세서 간의 합의를 보장합니다. 반면 하위 처리자는 본 부록에 명시된 것과 최소한 동일한 수준의 회사 개인 데이터 보호를 제공하고 GDPR 28(3)조의 요구 사항을 충족하는 조건을 포함하는 서면 계약의 적용을 받습니다. ;
     • 해당 약정에 제한적 양도가 포함된 경우 표준 계약 조항이 한편으로는 (a) 공급업체 또는 (b) 관련 공급업체 계열사 또는 (c) 관련 중간 하위 프로세서; 다른 한편으로 하위 프로세서 또는 하위 프로세서가 회사 개인 데이터를 먼저 처리하기 전에 관련 회사 그룹 구성원과 표준 계약 조항을 통합하는 계약을 체결하도록 조달합니다(및 회사는 각 회사 계열사를 조달해야 합니다. 그러한 표준 계약 조항은 해당 인구 및 실행과 협력합니다.) 그리고
   • 공급업체 및 각 공급업체 계열사는 각 하위 프로세서가 수행하는 회사 개인 데이터의 처리에 적용되는 3.1, 4, 5, 7.1, 8.2, 9 및 11.1항에 따른 의무를 각 하위 프로세서가 수행하도록 해야 합니다. 공급업체를 대신하여 이 부록의 당사자입니다.

 

7. 데이터 주체 권리
   • 처리의 특성을 고려하여 공급업체 및 각 공급업체 계열사는 다음과 같은 경우 적절한 기술 및 조직적 조치를 구현하여 각 회사 그룹 구성원을 지원해야 합니다.
   • 이는 회사 그룹 구성원의 의무를 합리적으로 이행하기 위해 가능합니다.

데이터 보호법에 따라 데이터 주체 권리 행사 요청에 응답하기 위해 회사가 이해합니다.

• 공급업체는 다음을 수행해야 합니다.
  • 계약 처리자가 회사 개인 데이터와 관련하여 데이터 보호법에 따라 데이터 주체로부터 요청을 받는 경우 즉시 회사에 알립니다. 그리고
  • 계약 처리자가 회사 또는 관련 회사 계열사의 문서화된 지침이 있거나 계약 처리자가 적용되는 관련 법률에서 요구하는 경우를 제외하고 해당 요청에 응답하지 않도록 합니다. 이 경우 공급업체는 관련 법률에서 허용하는 범위 내에서 계약 프로세서가 요청에 응답하기 전에 해당 법적 요구 사항에 대한 회사.

 

8. 개인정보 침해
   • 공급업체는 공급업체 또는 하도급 프로세서가 회사 개인 데이터에 영향을 미치는 개인 데이터 침해를 인지하게 되면 부당한 지체 없이 회사에 통지하여 각 회사 그룹 구성원이 데이터 주체에게 개인 데이터를 보고하거나 알릴 의무를 충족할 수 있도록 충분한 정보를 회사에 제공해야 합니다. 데이터 보호법 위반.

이러한 통지는 최소한 다음과 같아야 합니다.

• 개인 데이터 침해의 성격, 관련 데이터 주체의 범주 및 수, 관련 개인 데이터 기록의 범주 및 수를 설명합니다.
• 공급업체의 데이터 보호 담당자 또는 자세한 정보를 얻을 수 있는 기타 관련 담당자의 이름과 연락처 정보를 전달합니다.

8.2 공급업체는 회사 및 각 회사 그룹 구성원과 협력하고 회사가 지시하는 대로 합당한 상업적 조치를 취하여 그러한 각 개인 데이터 위반에 대한 조사, 완화 및 개선을 지원해야 합니다.

 

9. 데이터 보호 영향 평가 및 사전 협의

공급업체 및 각 공급업체 계열사는 데이터 보호 영향 평가 및 감독 기관 또는 기타 관할 데이터 개인 정보 보호 당국과의 사전 협의를 통해 각 회사 그룹 구성원에게 합당한 지원을 제공해야 합니다. 회사는 35조 또는 GDPR 36조 또는 기타 데이터 보호법의 이에 상응하는 조항, 각각의 경우에 전적으로 계약 처리자에 의한 회사 개인 데이터 처리와 관련하여 처리 및 정보 처리의 특성을 고려합니다.

 

10. 회사 개인 데이터의 삭제 또는 반환
    • 10.2절 및 10.3절에 따라 공급업체 및 각 공급업체 계열사는 회사 개인 데이터 처리와 관련된 서비스 중단일로부터 영업일 기준 삼십(30)일 이내에 즉시 그리고 어떤 경우에도 "중단 날짜"), 삭제(의심의 소지가 없도록 "삭제”는 복구 또는 재구성할 수 없도록 개인 데이터를 제거 또는 삭제하고 해당 회사 개인 데이터의 모든 사본을 삭제하는 것을 의미합니다.
    • 섹션 10.3에 따라 회사는 중단일로부터 영업일 기준 오(5) 일 이내에 절대적인 재량에 따라 공급업체에 서면 통지를 통해 공급업체와 각 공급업체 계열사가 (a) 모든 회사 개인 데이터의 전체 사본을 안전하게 회사에 반환하도록 요구할 수 있습니다. 회사가 공급업체에 합리적으로 통지한 형식의 파일 전송 (b) 계약 처리자가 처리한 회사 개인 데이터의 다른 모든 사본을 삭제하고 삭제를 조달합니다. 공급업체 및 각 공급업체 계열사는 중단일로부터 영업일 기준 30일 이내에 이러한 서면 요청에 응해야 합니다.
    • 각 계약 프로세서는 준거법에서 요구하는 범위 내에서 준거법에서 요구하는 범위와 기간 동안만 회사 개인 데이터를 보유할 수 있습니다. 그러한 회사 개인 데이터는 저장을 요구하는 관련 법률에 명시된 목적을 위해 필요한 경우에만 처리되고 다른 목적으로는 처리되지 않도록 합니다.
    • 벤더는 자신과 각 벤더 계열사가 완전히 가지고 있다는 서면 인증서를 회사에 제공할 수 있습니다.

중단일로부터 영업일 기준 10일 이내에 본 30항을 준수했습니다.

 

11. 감사 권한
    • 11.2~11.3항에 따라 공급업체 및 각 공급업체 계열사는 요청 시 각 회사 그룹 구성원이 이 부록 준수를 입증하는 데 필요한 모든 정보를 사용할 수 있도록 해야 하며 회사 그룹 구성원 또는 계약 프로세서에 의한 회사 개인 데이터 처리와 관련하여 회사 그룹 구성원이 위임한 감사자.
    • 회사 그룹 구성원의 정보 및 감사 권한은 주 계약이 데이터 보호법의 관련 요구 사항을 충족하는 정보 및 감사 권한을 달리 제공하지 않는 범위 내에서 섹션 11.1에 따라 발생합니다(해당되는 경우 28(3)( h) GDPR의).
    • 감사를 수행하는 회사 또는 관련 회사 계열사는 공급업체 또는 관련 공급업체 계열사에게 섹션 11.1에 따라 수행할 감사 또는 검사에 대해 합당한 통지를 제공해야 하며(각각의 위임된 감사인이 수행하도록) 모든 노력을 기울여야 합니다. 계약 처리자의 구내, 장비, 직원 및 업무에 대한 손상, 상해 또는 중단은 해당 직원이 그러한 감사 또는 검사 과정에서 해당 구내에 있는 동안 발생합니다. 계약 처리자는 다음과 같은 감사 또는 검사 목적으로 구내에 대한 접근 권한을 부여할 필요가 없습니다.
      • 신원 및 권한에 대한 합당한 증거를 제시하지 않는 한 개인에게 공개되지 않습니다.
      • 해당 구내에서 정규 업무 시간 외에 또는
      • 다음과 같은 추가 감사 또는 검사를 제외하고 역년에 각 계약 처리자에 대해 XNUMX회 이상의 감사 또는 검사 목적으로:
        • 회사 그룹 구성원은 데이터 보호법, 감독 기관 또는 모든 국가 또는 지역에서 데이터 보호법 시행을 담당하는 유사한 규제 기관에 의해 수행하도록 요구되거나 요청됩니다.

감사를 수행하는 회사 또는 관련 회사 계열사가 공급업체 또는 관련 공급업체 계열사에게 감사 또는 검사에 대한 통지에서 우려 사항 또는 관련 요구 사항 또는 요청을 확인한 경우.

 

12. 제한된 전송
    • 섹션 12.3에 따라 각 회사 그룹 구성원("데이터 수출자") 및 각 계약 처리자("데이터 수입자")는 해당 회사 그룹 구성원에서 그 계약 프로세서.
    • 표준 계약 조항은 12.1항에 따라 다음 중 나중 날짜에 발효됩니다.
      • 데이터 수출자가 당사자가 됩니다.
      • 데이터 가져오기 업체가 당사자가 됩니다. 그리고
      • 관련 제한된 양도의 시작.
    • 섹션 12.1은 다른 합리적으로 실행 가능한 준수 단계(의심의 여지를 없애기 위해 데이터 주체의 동의를 얻는 것을 포함하지 않음)와 함께 해당 제한된 전송이 해당 데이터 보호법 위반.
    • 공급업체는 공급업체 계열사가 아닌 하도급 프로세서로의 제한적 이전이 시작되기 전에 공급업체 또는 관련 공급업체 계열사가 12.1절에 따라 표준 계약 조항을 입력하고 해당 표준 계약 조항의 변경 사항에 동의했음을 보증하고 진술합니다. 섹션 13.4.1에 따라 해당 하위 프로세서를 대신하여 대리인으로서 해당 하위 프로세서에 의해 정당하고 효과적으로 승인(또는 이후에 비준)됩니다.

 

13. 일반 조건

법률 및 관할권

• 표준 계약 조항의 7항(조정 및 관할권) 및 9항(준거법)을 침해하지 않고:
  • 본 부록의 당사자는 본 부록의 존재, 유효성 또는 종료 또는 무효의 결과에 관한 분쟁을 포함하여 본 부록에 따라 발생하는 모든 분쟁 또는 청구와 관련하여 주계약에 명시된 관할권을 선택합니다. 그리고
  • 이 부록 및 그로부터 발생하거나 그와 관련하여 발생하는 모든 비계약적 또는 기타 의무는 주계약에서 이 목적을 위해 규정된 국가 또는 지역의 법률에 의해 규율됩니다.

우선 순위

• 이 부록의 어떠한 내용도 개인 데이터 보호와 관련하여 주 계약에 따른 벤더 또는 벤더 계열사의 의무를 축소하거나 벤더 또는 벤더 계열사가 주체가 금지하는 방식으로 개인 데이터를 처리(또는 처리를 허용)하도록 허용하지 않습니다. 합의. 본 부록과 표준 계약 조항이 상충하거나 불일치하는 경우 표준 계약 조항이 우선합니다.
• 섹션 13.2에 따라 본 부록의 주제와 관련하여 본 부록의 조항과 주요 계약을 포함하여 당사자 간의 기타 계약 사이에 불일치가 있는 경우(서면으로 명시적으로 동의한 경우 제외) 당사자를 대신하여) 본 부록의 날짜 이후에 체결되었거나 체결되었다고 주장되는 계약에는 본 부록의 조항이 우선합니다.

데이터 보호법 등의 변경

• 회사는 다음을 수행할 수 있습니다.
  • 표준 계약 조항(섹션 30에 의거하여 체결된 모든 표준 계약 조항 포함)을 변경하려면 벤더에게 최소 12.1일(역일 기준)의 서면 통지를 통해 수시로 제한적 양도에 적용됩니다. 해당 데이터를 위반하지 않고 제한적 전송이 이루어지도록(또는 계속 이루어지도록) 허용하기 위해 해당 데이터 보호법에 따른 권한 있는 당국의 결정 또는 변경의 결과로 요구되는 특정 데이터 보호법 보호법; 그리고
  • 회사가 데이터 보호법의 요구 사항을 해결하는 데 필요하다고 합리적으로 간주하는 본 부록의 다른 변형을 제안합니다.
• 회사가 섹션 13.4.1에 따라 통지하는 경우:
  • 공급업체와 각 공급업체 계열사는 섹션 6.4.3에 따라 체결된 모든 계약에 대해 동등한 변형이 이루어지도록 즉시 협력해야 합니다(영향을 받는 모든 하위 프로세서가 신속하게 협력하도록 해야 함). 그리고
  • 회사는 섹션 13.4.1 및/또는 13.5.1에 ​​따라 변경된 사항과 관련된 추가 위험으로부터 계약 처리자를 보호하기 위해 공급업체가 제안한 본 부록의 결과적인 변경 사항에 대한 동의를 부당하게 보류하거나 지연하지 않습니다.
• 회사가 섹션 13.4.2에 따라 통지하는 경우 당사자는 제안된 변형에 대해 즉시 논의하고 합리적으로 실행 가능한 한 빨리 회사의 통지에 식별된 요구 사항을 해결하기 위해 고안된 이러한 변형 또는 대체 변형에 동의하고 구현하기 위해 선의로 협상해야 합니다.
• 회사나 공급업체는 이 섹션 13.5 또는 기타에 따라 이 부록을 수정하기 위해 회사 계열사 또는 공급업체 계열사의 동의 또는 승인을 요구하지 않습니다.

단절

• 이 부록의 어떤 조항이 유효하지 않거나 시행 할 수없는 경우,이 부록의 나머지 부분은 유효하며 유효합니다. 유효하지 않거나 시행 할 수없는 조항은 (i) 그 유효성과 집행 가능성을 보장하기 위해 필요에 따라 수정되고, 당사자의 의도를 최대한 가깝게 보존하거나, 이것이 가능하지 않은 경우 (ii) 무효 인 것처럼 해석되어야합니다. 또는 강제 할 수없는 부분이 그 안에 포함 된 적이 없었습니다.

 

 

데이터 처리 부록

 

부록 1: 회사 개인 데이터 처리 세부 정보

 

이 부록 1에는 GDPR 28(3)조에서 요구하는 회사 개인 데이터 처리에 대한 특정 세부 정보가 포함되어 있습니다.

 

이 부록의 주제는 컨트롤러에게 제공되는 서비스와 관련된 개인 데이터의 처리입니다. 당사자 사이에서 본 부록에 따른 데이터 처리 기간은 관련 법률에서 달리 요구하거나 컨트롤러가 지시한 경우를 제외하고 프로세서가 데이터를 저장하는 약 24개월 동안 해당 조건에 따라 주 계약이 종료될 때까지입니다. GDPR에서 제공하는 특수 요구 사항(사기, 법적 청구 등)은 말할 것도 없고 가명 데이터. 그 외에는 24개월 기간이 지나면 모든 개인 데이터가 삭제됩니다.

 

• 회사는 공급업체로부터 다음 서비스를 제공받을 것을 요구합니다.

 

• TVP 광고를 통해 클라이언트 또는 클라이언트의 구매자/광고주가 선택한 기준에 따라 클라이언트가 클라이언트가 지정하는 사이트에 표시할 수 있도록 클라이언트가 클라이언트 구매자로부터 클라이언트 또는 제XNUMX자의 광고를 클라이언트가 제공할 수 있도록 하는 광고 서버 서비스 섬기는 사람.
• 클라이언트가 게시자로서 클라이언트가 지정하는 사이트(클라이언트의 웹사이트 및 앱)에 자신의 광고를 게재하고 게재하고자 하는 마켓플레이스의 구매자인 광고주에게 클라이언트의 사용 가능한 광고 인벤토리를 제공 및 판매할 수 있도록 하는 TVP 마켓플레이스 서비스, TVP 서비스를 통해 고객이 선택한 판매 기준에 따라
• 클라이언트가 oRTB 거래를 통해 구매자와 직접 거래할 수 있는 프라이빗 마켓플레이스를 만들 수 있는 TVP 프라이빗 마켓플레이스 서비스.

 

• 회사는 공급업체에 전송된 모든 개인 데이터가 본 부록에 정의된 모든 목적 및 처리 작업에 대한 사전 데이터 주체의 동의 하에 수집되었음을 보증합니다. 회사는 데이터 주체에게 개인화된 광고 경험을 제공할 목적으로 벤더가 개인 데이터를 처리해야 함을 선언합니다. 벤더는 회사의 목적을 달성하기 위해 개인 데이터로 다음 처리 작업을 수행할 수 있습니다.

 

• 억제 목록 생성을 포함하되 이에 국한되지 않는 정보 수신 및 저장.
• 시간이 지남에 따라 다른 웹사이트, CTV 또는 모바일 애플리케이션과 같은 다른 맥락에서 데이터 주체에 대한 광고를 개인화하기 위해 데이터 주체의 회사 서비스 사용에 대한 정보 수집 및 처리.
• 데이터 주체에 대해 제안된 향후 광고의 관련성을 개선하기 위해 공급업체의 파트너로부터 받은 데이터 주체에 대한 추가 정보와 개인 데이터를 결합합니다.

 

• 개인 데이터의 유형. 회사는 데이터 주체의 다음 개인 데이터를 전송할 수 있습니다.

 

• 광고 식별자(해당하는 경우 Apple IDFA 또는 OTT의 IFA 또는 Google 광고 ID(GAID) 또는 Android ID).
• IP 주소.
• 지리적 위치 데이터.
• 모바일/CTV 기기 데이터: 운영체제 버전, 기기 모델, 기기 ID.
• 모바일/CTV 애플리케이션 데이터: 번들 ID, 애플리케이션 스토어 ID, 언어 ID, 소프트웨어 개발자 키트(SDK) 버전.
• 행동 데이터: 광고에 대한 데이터 주체의 반응(노출, 클릭, 설치), OTT 콘텐츠 시청에 대한 데이터 주체의 선호도 및 적용 가능한 내장/포함 광고.

 

• 공급업체는 본 부록에 따라 개인 데이터를 처리하도록 승인된 모든 사람이 기밀 유지를 약속했거나 기밀 유지에 대한 적절한 법적 의무와 그러한 의무는 벤더와의 해당 개인의 계약이 종료된 후에도 존속합니다.
• 회사는 공급업체가 모든 해당 법률을 준수하고 부속서 3에 명시된 표준 계약 조항에 따라 행동하는 경우 공급업체가 본 계약에 따른 의무를 이행하기 위해 개인 데이터를 EU에서 미국으로 전송할 수 있다는 데 동의합니다.

 

• 회사는 공급업체가 이 문서에 명시된 하위 프로세서 목록을 사용하도록 승인합니다. 링크, 특정 개인 데이터 처리 작업을 수행하기 위해.
• 공급업체는 회사의 사전 서면 동의를 받아 추가 하위 프로세서를 지정할 수 있습니다.

 

회사 개인 데이터와 관련된 데이터 주체의 범주:

 

• 고객, 광고 파트너 및 직원, 컨설턴트 또는 담당자.
• 최종 - 컨트롤러/컨트롤러 게시자 또는 컨트롤러 광고 수신자의 웹사이트 또는 CTV 및 모바일 애플리케이션에 액세스하거나 이를 사용하는 사용자.
• 인터넷 사용자 - 웹사이트*에 액세스하거나 이를 사용하거나 애플리케이션 마케팅 서비스**와 상호 작용하는 사람.
• 클라이언트 - Application Marketing Service의 승인된 사용자입니다.

 

*웹사이트: 클라이언트 등록 데이터에는 회사 이름, 담당자 이름, 이메일, 전화, 회사 등록 주소, IP 주소가 포함됩니다.

 

이벤트 추적 데이터에는 다음이 포함됩니다. 광고/장치 ID, IP 주소, 사용자 에이전트. 참고: 웹 이벤트의 경우 광고/기기 ID는 포함되지 않습니다.

옵트아웃 데이터에는 다음이 포함됩니다. 광고/장치 ID.

 

 

데이터 처리 부록

 

부록 2: 보안 조치

 

공급업체가 구현하는 기술 및 조직 보안 조치는 다음과 같습니다.

 

1. 부지 및 시설에 대한 접근 통제(물리적).
   • 공급업체는 회사에 서비스를 제공하는 데 사용되는 모든 공급업체 사이트에서 상업적으로 합당한 물리적 보안 시스템을 유지합니다.

 

2. 시스템에 대한 액세스 제어(가상).

공급업체는 개인 데이터에 대한 우발적 또는 무단 액세스, 파괴, 손실 또는 변경에 대한 보호 조치를 수립하고 유지합니다.

• 액세스 권한은 문서화된 액세스 요청 절차를 통해 직원, 계약자 및 컨설턴트에게 부여됩니다. 직원, 관리자 또는 기타 책임자는 액세스가 제공되기 전에 액세스를 승인하거나 확인해야 합니다.
• 액세스 제어는 운영 체제, 데이터베이스 또는 애플리케이션 수준에서 활성화됩니다. 시스템의 비밀번호 표준은 최소 8자의 영숫자 문자를 요구하고 일반적인 미국 영어 사전 단어를 포함할 수 없으며 최근 비밀번호가 재사용되지 않도록 합니다.
• 사용자에게는 단일 계정이 할당되며 계정 공유가 금지됩니다.

 

3. 데이터에 대한 액세스 제어:

개인은 문서화된 액세스 요청 프로세스의 일부로 액세스를 요청하고 액세스 유지 필요성을 정당화합니다. 관리자 또는 기타 책임자는 권한이 부여되기 전에 액세스 권한을 부여하거나 승인해야 합니다.

 

• 승인된 "액세스 제어 양식"(예: LAN 로그온 ID, 애플리케이션 액세스 ID 또는 기타 유사한 ID)을 처리한 후에만 액세스 권한이 부여됩니다.
• 사용자에게 고유한 사용자 ID와 암호가 발급됩니다.
• 인증을 받은 사용자는 직무에 따라 액세스 수준에 대한 권한이 부여됩니다.
• 공급업체는 해고, 직무 변경 또는 사용자 비활동 또는 장기 부재 준수로 인해 즉시 액세스 권한을 취소합니다.

 

4. 공개 통제:

공급업체는 불법 처리에 대한 액세스를 최소화하도록 설계된 기술과 프로세스를 제공합니다.

• 워크스테이션은 암호로 보호된 화면 보호기로 구성됩니다.

 

5. 입력 제어:
   • 공급업체는 공급업체가 제어하는 ​​모든 데이터에 액세스하기 위해 시스템 및 데이터베이스 로그를 유지 관리합니다.
   • 모든 공급업체 시스템은 시스템 손상, 무단 액세스 또는 기타 보안 위반을 식별하기 위해 이벤트 로깅을 제공하도록 구성되어야 합니다. 로그는 무단 액세스 또는 수정으로부터 보호되어야 합니다.
   • 회사는 회사 시스템에 대한 입력 통제를 유지할 것입니다.

 

6. 작업 제어:

회사와 공급업체 간의 책임을 분리하기 위한 기술적 및 조직적 조치에는 다음이 포함됩니다.

• 데이터 처리 활동은 해당 보안 표준에서 요구하는 대로 수행됩니다.
• 데이터 처리를 위한 워크스테이션은 가능한 한 클라이언트 정보가 공급업체 환경에 유지되지 않도록 강화됩니다.

 

7. 가용성 제어:
   • Microsoft Windows 운영 체제의 경우 공급업체는 주간 정의 업데이트를 수신하는 상업용 안티바이러스 및 맬웨어 방지 소프트웨어로 워크스테이션을 보호함으로써 우발적인 파괴 또는 손실로부터 데이터를 보호합니다.
   • 바이러스 또는 맬웨어가 감지되면 공급업체는 바이러스 또는 맬웨어의 확산 및 손상을 방지하고 바이러스 또는 맬웨어를 근절하기 위한 즉각적인 조치를 취합니다.

 

8. 추가 기술 제어:

• SSH(Secure Shell Protocol)를 사용합니다.
• 다단계 인증.
• 액세스 제어(물리적 및 기술적).
• 링크 암호화.

 

데이터 처리 부록

 

부록 3: 표준 계약 조항

 

이 조항은 특정 국가 또는 지역의 데이터 보호법이 적용되는 제한적 전송과 관련된 범위 내에서 수시로 수정되는 것으로 간주됩니다(해당 항목에 대한 실질적인 불확실성 없이 가능한 범위 내에서). 결과) EU Directive 95/46/EC 또는 EU 일반 데이터 보호 규정 2016/에 따라 위원회가 승인한 해당 데이터 보호법(i) 또는 그에 상응하는 계약 조항에 따라 이루어진 모든 변경(교체 포함) 679(유럽 연합 또는 회원국의 데이터 보호법의 경우); 또는 (ii) 동등한 관할 당국 또는 다른 데이터 보호법에 따라 다른 관할 당국이 승인한 동등한 계약 조항에 의해(그렇지 않은 경우).

 

이 조항이 회원국의 법률에 의해 규율되지 않는 경우 "회원국" 및 "주"라는 용어는 전체적으로 "관할권"이라는 단어로 대체됩니다.

 

이므로 컨트롤러와 처리자는 관계를 시작하고 표준 데이터에 따라 개인 데이터가 전송되는 데이터 주체를 보장하기 위해 EU 일반 데이터 보호 규정 44/50 2016-679조에 따른 의무를 준수하는 계약을 체결하고자 합니다. 보호 조항에는 유럽 연합 내에서 보장되는 것과 본질적으로 동등한 수준의 보호가 제공됩니다.

 

그러므로 이제 양 당사자는 다음과 같이 동의합니다.

 

표준 계약 조항(프로세서)

적절한 수준의 데이터 보호를 보장하지 않는 제26국에 설립된 프로세서로의 개인 데이터 전송에 대한 Directive 2/95/EC의 46(XNUMX)조의 목적을 위해

 

데이터를 내보내는 조직의 이름: 회사

조직을 식별하는 데 필요한 기타 정보: 해당 사항 없음

(데이터 내보내기)

및

 

데이터 가져오기 조직의 이름: 예레크 지오, LLC

주소: 830 NE Holladay St, 포틀랜드, OR 97232

전화: 해당 없음; 팩스: 해당 없음; 이메일: support@yereqgeo.com.

조직을 식별하는 데 필요한 기타 정보: 해당 없음

 

 (데이터 가져오기)

 

각각은 "당사자"입니다. 함께 "당사자"

 

데이터를 내보내는 사람이 데이터를 가져오는 사람에게 부록 1에 명시된 개인 데이터를 전송하기 위한 개인의 개인 정보 보호 및 기본권과 자유에 관한 적절한 보호 조치를 제공하기 위해 다음 계약 조항(조항)에 동의했습니다. .

배경

데이터 수출자는 데이터 수입자와 데이터 처리 부록("DPA")을 체결했습니다. DPA의 조건에 따라 데이터 수입자가 제공하는 서비스에는 개인 데이터를 데이터 수입자에게 전송하는 것이 포함됩니다. 데이터 수입자는 적절한 수준의 데이터 보호를 보장하지 않는 국가에 있습니다. Directive 95/46/EC 및 관련 데이터 보호법을 준수하기 위해 컨트롤러는 데이터 수입자의 실행 및 준수 조건에 따라 부수적인 개인 데이터 처리를 포함하여 해당 서비스의 제공에 동의합니다. 이 조항.

조항 1

정의

조항의 목적을 위해:

(A)      '개인 데이터', '데이터의 특수 범주', '프로세스/처리', '컨트롤러', '프로세서', '데이터 주체' 및 '감독권' 95년 46월 24일 유럽의회 및 이사회 지침 1995/XNUMX/EC에서 개인 데이터 처리 및 해당 데이터의 자유로운 이동에 관한 개인 보호에 관한 것과 동일한 의미를 갖습니다. 이 조항이 데이터 보호법의 보호를 법인으로 확장하는 법률에 의해 규율되는 경우 "이 조항이 식별되거나 식별 가능한 법인(및 자연인) 개인과 관련된 데이터의 전송을 규율하는 경우를 제외하고 정의는 "개인 데이터"의 해당 데이터를 포함하도록 확장됩니다.”가 추가되었습니다.

(나)'데이터 익스포터' 개인 데이터를 전송하는 관리자를 의미합니다.

(C)      '데이터 가져오기' 데이터 수출자로부터 자신의 지침과 조항의 조건에 따라 전송 후 자신을 대신하여 처리하기 위한 개인 데이터를 수신하는 데 동의하고 다음의 의미 내에서 적절한 보호를 보장하는 제25국 시스템의 적용을 받지 않는 프로세서를 의미합니다. Directive 1/95/EC의 46(XNUMX)조; 이 조항이 회원국의 법률에 의해 규율되지 않는 경우 "및 지침 25/1/EC의 95(46)조의 의미 내에서 적절한 보호를 보장하는 제XNUMX국 시스템의 적용을 받지 않는 사람"이라는 문구가 삭제됩니다.

(D)      '서브 프로세서' 데이터를 가져오는 사람 또는 데이터를 가져오는 사람의 다른 하위 프로세서가 고용한 프로세서를 의미하며, 데이터를 가져오는 사람 또는 데이터를 가져오는 사람의 다른 하위 프로세서로부터 대신 수행할 처리 활동만을 위한 개인 데이터를 수신하는 데 동의합니다. 그의 지시, 조항의 조건 및 서면 하도급 계약 조건에 따라 전송 후 데이터 수출자

(마)'해당 데이터 보호법' 데이터 수출자가 설립된 회원국의 데이터 컨트롤러에게 적용되는 개인 데이터 처리와 관련하여 개인의 기본 권리와 자유, 특히 프라이버시 권리를 보호하는 법률을 의미합니다.

(F)       '기술적 및 조직적 보안 조치' 특히 처리가 네트워크를 통한 데이터 전송과 관련된 경우 및 기타 모든 불법적인 형태의 처리로부터 개인 데이터를 우발적이거나 불법적인 파기 또는 우발적인 손실, 변경, 무단 공개 또는 액세스로부터 보호하기 위한 조치를 의미합니다.

조항 2

전송 세부 정보

전송에 대한 세부 사항과 특히 적용 가능한 경우 개인 데이터의 특수 범주는 조항의 필수적인 부분을 구성하는 부록 1에 명시되어 있습니다.

조항 3

제XNUMX자 수혜자 조항

1. 데이터 주체는 데이터 내보내기에 대해 이 조항, 4(b)~(i), 5(a)~(e), (g)~(j), 6(1) 및 (2)조를 시행할 수 있습니다. , 7항, 8(2)항, 9~12항을 제XNUMX자 수익자로 합니다.
2. 데이터 주체는 데이터 수입자에 대해 이 조항, 5(a)~(e) 및 (g), 6조, 7조, 8(2)조 및 9~12조를 시행할 수 있습니다. 승계 기업이 계약 또는 법률의 운영에 의해 데이터 내보내기의 전체 법적 의무를 인수하지 않는 한 사실상 사라지거나 법적으로 존재하지 않습니다. 이 경우 데이터 주체는 해당 법인에 대해 이를 시행할 수 있습니다.
3. 데이터 주체는 데이터가 데이터를 내보내는 사람과 데이터를 가져오는 사람이 실제로 사라졌거나 법적으로 존재하지 않거나 지급 불능 상태가 되었습니다. 단, 승계 법인이 계약 또는 법률 시행에 따라 데이터를 내보내는 사람의 모든 법적 의무를 인수하여 권리를 갖게 된 경우는 예외입니다. 및 데이터 수출자의 의무, 이 경우 데이터 주체는 해당 엔터티에 대해 이를 시행할 수 있습니다. 하위 프로세서의 이러한 제5자 책임은 조항에 따른 자체 처리 작업으로 제한됩니다.
4. 당사자는 데이터 주체가 명시적으로 원하고 국내법에서 허용하는 경우 협회 또는 기타 기관이 데이터 주체를 대표하는 것을 반대하지 않습니다.

조항 4

데이터 내보내기의 의무

데이터 내보내기는 다음 사항에 동의하고 보증합니다.

(a) 해당 데이터 보호법의 관련 조항에 따라 개인 데이터의 전송 자체를 포함한 처리가 수행되었으며 앞으로도 계속 수행될 것입니다(해당되는 경우 관련 당국에 통지됨). 데이터 수출자가 설립된 회원국) 해당 국가의 관련 조항을 위반하지 않습니다.

(b) 해당 데이터 보호법 및 조항에 따라 데이터 수출자를 대신해서만 전송된 개인 데이터를 처리하도록 데이터 수입자에게 개인 데이터 처리 서비스 기간 동안 지시했으며 지시할 것입니다.

(c) 데이터 수입자는 본 계약의 부록 2에 명시된 기술적 및 조직적 보안 조치와 관련하여 충분한 보증을 제공할 것입니다.

(d) 해당 데이터 보호법의 요구 사항을 평가한 후, 보안 조치는 특히 처리가 네트워크를 통한 데이터 및 기타 모든 불법적인 형태의 처리에 대해 이러한 조치는 최신 기술과 구현 비용;

(e) 보안 조치 준수를 보장합니다.

(f) 전송에 특정 범주의 데이터가 포함되는 경우 데이터 주체는 데이터가 적절한 보호를 제공하지 않는 제95국으로 전송될 수 있다는 정보를 전송 전 또는 전송 후 가능한 한 빨리 알렸거나 알릴 것입니다. Directive 46/XNUMX/EC의 의미; [이 조항이 회원국의 법률에 의해 규율되지 않는 경우 "Directive 95/46/EC의 의미 내에서"라는 단어는 삭제됩니다.]

(g) 데이터를 내보내는 사람이 전송을 계속하거나 정지를 해제하기로 결정하는 경우 5(b)조 및 8(3)조에 따라 데이터 가져오기 또는 하위 처리자로부터 받은 모든 알림을 데이터 보호 감독 기관에 전달합니다.

(h) 요청 시 데이터 주체가 부록 2를 제외한 조항의 사본과 보안 조치에 대한 요약 설명 및 하청 처리 서비스에 대한 계약 사본을 사용할 수 있도록 합니다. 단, 약관 또는 계약에 상업 정보가 포함되어 있는 경우에는 해당 상업 정보를 삭제할 수 있습니다.

(i) 하도급 처리의 경우, 하도급 처리자가 11조에 따라 개인 데이터 및 데이터 주체의 권리에 대해 최소한 동일한 수준의 보호를 제공하는 하도급 처리자에 의해 처리 활동이 수행됩니다. 조항; 그리고

(j) 4(a)에서 (i)까지의 준수를 보장합니다.

조항 5

데이터 가져오기의 의무

데이터 수입자는 다음 사항에 동의하고 보증합니다.

(a) 데이터 수출자를 대신하여 지침 및 조항에 따라 개인 데이터를 처리합니다. 어떤 이유로든 그러한 준수를 제공할 수 없는 경우, 데이터 수출자에게 준수할 수 없음을 즉시 알리는 데 동의하며, 이 경우 데이터 수출자는 데이터 전송을 중지 및/또는 계약을 종료할 수 있습니다.

(b) 해당 법률이 데이터 수출자로부터 받은 지침과 계약에 따른 의무를 이행하는 것을 방해한다고 믿을 만한 이유가 없으며, 이 법률이 변경될 경우 조항에서 제공하는 보증 및 의무에 실질적으로 불리한 영향을 미치는 경우, 데이터 수출자는 변경 사항을 인지하는 즉시 데이터 수출자에게 즉시 알릴 것이며, 이 경우 데이터 수출자는 데이터 전송을 중지 및/또는 계약을 해지할 수 있습니다. ;

(c) 전송된 개인 데이터를 처리하기 전에 부록 2에 명시된 기술적 및 조직적 보안 조치를 구현했습니다.

(d) 다음에 대해 데이터 수출자에게 즉시 알립니다.

(i) 법 집행 조사의 기밀 유지를 위한 형법상의 금지와 같이 달리 금지되지 않는 한 법 집행 기관에 의한 개인 데이터 공개에 대한 법적 구속력이 있는 모든 요청,

(ii) 우발적이거나 무단 액세스, 그리고

(iii) 달리 승인되지 않은 한 해당 요청에 응답하지 않고 데이터 주체로부터 직접 받은 모든 요청.

(e) 전송 대상 개인 데이터의 처리와 관련하여 데이터 수출자의 모든 문의를 신속하고 적절하게 처리하고 전송된 데이터 처리와 관련하여 감독 기관의 조언을 준수합니다.

(f) 데이터를 내보내는 사람이 수행해야 하는 조항이 적용되는 처리 활동의 감사를 위해 데이터 처리 시설을 제출하라는 데이터를 내보내는 사람의 요청 또는 독립 구성원으로 구성되고 필요한 전문가를 보유한 검사 기관 해당되는 경우 감독 기관과의 합의에 따라 데이터 수출자가 선택한 기밀 유지 의무가 적용되는 자격

(g) 조항 또는 계약에 상업 정보가 포함되어 있지 않는 한 요청 시 데이터 주체가 조항 또는 하도급 처리를 위한 기존 계약의 사본을 사용할 수 있도록 합니다. 이 경우 부록을 제외하고 해당 상업 정보를 제거할 수 있습니다. 2 데이터 주체가 데이터 수출자로부터 사본을 얻을 수 없는 경우 보안 조치에 대한 요약 설명으로 대체되어야 합니다.

(h) 하위 처리의 경우 데이터 수출자에게 사전에 알리고 사전 서면 동의를 얻었습니다.

(i) 하위 프로세서에 의한 처리 서비스는 11조에 따라 수행됩니다.

(j) 본 조항에 따라 체결한 하위 처리자 계약의 사본을 데이터 수출자에게 즉시 보냅니다.

조항 6

Liability

1. 양 당사자는 당사자 또는 하도급 프로세서가 3조 또는 11조에 언급된 의무를 위반한 결과 피해를 입은 모든 데이터 주체가 데이터 수출자로부터 입은 피해에 대해 보상을 받을 자격이 있음에 동의합니다.
2. 데이터 주체가 데이터를 가져오는 사람 또는 그의 하위 프로세서가 1조 또는 3조에 언급된 의무를 위반하여 데이터를 내보내는 사람에 대해 11항에 따라 보상을 청구할 수 없는 경우 , 데이터를 내보내는 사람이 사실상 사라졌거나 법적으로 존재하지 않거나 지불 불능 상태가 되었기 때문에 데이터를 가져오는 사람은 데이터 주체가 마치 데이터를 내보내는 사람인 것처럼 데이터를 가져오는 사람을 상대로 청구를 제기할 수 있다는 데 동의합니다. 계약에 따라 데이터를 내보내는 사람의 모든 법적 의무는 데이터 주체가 해당 엔터티에 대해 자신의 권리를 행사할 수 있는 경우에 적용됩니다.

데이터를 가져오는 사람은 자신의 책임을 회피하기 위해 하도급 프로세서의 의무 위반에 의존해서는 안 됩니다.

3. 데이터 주체가 1조 또는 2조에 언급된 의무를 하위 처리자가 위반하여 3항 및 11항에 언급된 데이터 수출자 또는 데이터 수입자를 상대로 청구를 제기할 수 없는 경우 데이터를 내보내는 사람과 데이터를 가져오는 사람이 모두 실제로 사라졌거나 법적으로 존재하지 않거나 지불 불능 상태가 되었기 때문에 하위 처리자는 데이터 주체가 조항에 따라 자체 처리 작업과 관련하여 데이터 하위 처리자를 상대로 청구를 제기할 수 있다는 데 동의합니다. 마치 데이터를 내보내는 사람이나 데이터를 가져오는 사람인 것처럼 데이터를 내보내는 사람이나 데이터를 가져오는 사람처럼 데이터를 내보내는 사람이나 데이터를 가져오는 사람의 모든 법적 의무를 데이터 주체가 해당 사람에 대해 행사할 수 있는 경우에 한해 데이터를 내보내는 사람이나 가져오는 사람의 전체 법적 의무를 인수하는 경우는 예외입니다. . 하위 프로세서의 책임은 조항에 따른 자체 처리 작업으로 제한됩니다.

조항 7

조정 및 관할

1. 데이터를 가져오는 사람은 데이터 주체가 제XNUMX자 수혜자 권리를 주장하고/하거나 조항에 따른 손해 배상을 청구하는 경우 데이터를 가져오는 사람이 데이터 주체의 결정을 수락한다는 데 동의합니다.

(a) 독립적인 사람 또는 해당하는 경우 감독 기관에 의해 분쟁을 중재에 회부합니다.

(b) 데이터 수출자가 설립된 회원국의 법원에 분쟁을 회부합니다.

2. 당사자는 데이터 주체의 선택이 국내법 또는 국제법의 다른 조항에 따라 구제책을 모색할 수 있는 실질적 또는 절차적 권리를 침해하지 않는다는 데 동의합니다.

조항 8

감독당국과의 협력

1. 데이터를 내보내는 사람은 감독 기관이 요청하거나 관련 데이터 보호법에 따라 예치해야 하는 경우 이 계약 사본을 감독 기관에 예치하는 데 동의합니다.
2. 양 당사자는 감독 기관이 데이터를 가져오는 사람과 데이터를 내보내는 사람에 대한 감사에 적용되는 것과 동일한 범위와 동일한 조건이 적용되는 하위 프로세서에 대한 감사를 수행할 권리가 있음에 동의합니다. 데이터 보호법.
3. 데이터를 가져오는 사람은 2항에 따라 데이터를 내보내는 사람이나 데이터를 가져오는 사람의 감사 수행을 방해하는 하위 처리자 또는 하위 처리자에게 적용 가능한 법률이 있음을 데이터를 내보내는 사람에게 즉시 알려야 합니다. 이러한 경우 데이터를 내보내는 사람은 다음을 수행해야 합니다. 조항 5(b)에서 예견된 조치를 취할 권리가 있습니다.

조항 9

준거법

조항은 데이터 수출자가 설립된 회원국의 법률에 의해 규율됩니다.

조항 10

계약의 변형

당사자들은 조항을 변경하거나 수정하지 않을 것을 약속합니다. 이것은 조항과 모순되지 않는 한 필요한 경우 당사자들이 비즈니스 관련 문제에 대한 조항을 추가하는 것을 배제하지 않습니다.

조항 11

서브 프로세싱

1. 데이터 수입자는 데이터 수출자의 사전 서면 동의 없이 조항에 따라 데이터 수출자를 대신하여 수행되는 처리 작업을 하청할 수 없습니다. 데이터를 가져오는 사람이 데이터를 내보내는 사람의 동의 하에 조항에 따른 의무를 하도급 계약하는 경우, 데이터를 가져오는 사람에게 부과되는 의무와 동일한 의무를 하청 처리자에게 부과하는 하청 처리자와의 서면 계약을 통해서만 그렇게 해야 합니다. 조항에 따라. 하위 프로세서가 그러한 서면 계약에 따른 데이터 보호 의무를 이행하지 못하는 경우 데이터 수입자는 해당 계약에 따른 하위 프로세서의 의무 이행에 대해 데이터 수출자에 대해 전적인 책임을 져야 합니다.
2. 데이터 수입자와 하위 프로세서 간의 사전 서면 계약은 데이터 주체가 3항의 1항에 언급된 보상을 청구할 수 없는 경우 6항에 규정된 제XNUMX자 수혜자 조항도 제공해야 합니다. XNUMX 데이터를 내보내는 사람 또는 데이터를 가져오는 사람이 실제로 사라졌거나 법적으로 더 이상 존재하지 않거나 지급 불능 상태가 되었고 승계 법인이 계약 또는 법률 시행에 따라 데이터를 내보내는 사람 또는 데이터를 가져오는 사람의 모든 법적 의무를 떠맡지 않았기 때문에 데이터를 내보내는 사람 또는 데이터를 가져오는 사람에 대해 반대합니다. 하위 프로세서의 이러한 제XNUMX자 책임은 조항에 따른 자체 처리 작업으로 제한됩니다.
3. 1항에 언급된 계약의 하위 처리에 대한 데이터 보호 측면과 관련된 조항은 데이터 수출자가 설립된 회원국의 법률에 의해 규율됩니다.
4. 데이터를 내보내는 사람은 조항에 따라 체결되고 데이터를 가져오는 사람이 조항 5(j)에 따라 통지한 하위 처리 계약 목록을 보관해야 하며, 이 목록은 최소 XNUMX년에 한 번 업데이트됩니다. 이 목록은 데이터 수출자의 데이터 보호 감독 기관에서 사용할 수 있습니다.

조항 12

개인정보 처리 서비스 종료 후의 의무

1. 양 당사자는 데이터 처리 서비스 제공이 종료되면 데이터 가져오기 및 하위 프로세서가 데이터 내보내기의 선택에 따라 전송된 모든 개인 데이터 및 그 사본을 데이터 내보내기에게 반환하거나 모든 데이터를 파기하는 데 동의합니다. 데이터 수입자에게 부과된 법률이 전송된 개인 데이터의 전부 또는 일부를 반환하거나 파기하는 것을 금지하지 않는 한 데이터 수출자에게 그렇게 했음을 증명합니다. 이 경우 데이터 수입자는 전송된 개인 데이터의 기밀성을 보장하고 전송된 개인 데이터를 더 이상 적극적으로 처리하지 않을 것임을 보증합니다.
2. 데이터 수입자와 하위 프로세서는 데이터 수출자 및/또는 감독 기관의 요청 시 1항에 언급된 조치의 감사를 위해 데이터 처리 시설을 제출할 것임을 보증합니다.

 

데이터 수출자를 대신하여: 회사

데이터 수입업자를 대신하여: 예레크 지오, LLC

 

데이터 처리 부록

 

표준 계약 조항에 대한 부록 1

 

이 부록은 조항의 일부를 구성하며 양 당사자가 작성하고 서명해야 합니다.

회원국은 국내 절차에 따라 이 부록에 포함될 추가 필수 정보를 완성하거나 지정할 수 있습니다.

 

데이터 내보내기

데이터 수출자는 부록에 회사로 명시되어 있습니다.

 

데이터 가져오기

데이터 수입자는 부록에 공급업체로 지정된 법인입니다.

 

데이터 주체

전송 된 개인 데이터는 다음 범주의 데이터 주체와 관련됩니다.

• 고객, 광고 파트너 및 직원, 컨설턴트 또는 담당자.
• 최종 - 컨트롤러/컨트롤러 게시자 또는 컨트롤러 광고 수신자의 웹사이트, 모바일 애플리케이션에 액세스하거나 이를 사용하는 사용자.
• 인터넷 사용자 - 웹사이트*에 액세스하거나 사용하는 모든 사람.
• 클라이언트 - 웹사이트의 승인된 사용자.

 

*웹사이트: 클라이언트 등록 데이터에는 회사 이름, 담당자 이름, 이메일, 전화, 회사 등록 주소, IP 주소가 포함됩니다.

이벤트 추적 데이터에는 다음이 포함됩니다. 광고/장치 ID, IP 주소, 사용자 에이전트. 참고: 웹 이벤트의 경우 광고/기기 ID는 포함되지 않습니다.

 

데이터 카테고리

전송되는 개인 데이터는 다음 범주의 데이터와 관련됩니다.

(i) 광고 식별자(Apple IDFA 또는 OTT의 IFA, Google 광고 ID(GAID) 또는 Android ID 또는 해당하는 경우 브라우저 쿠키 ID).

(ii) IP 주소.

(iii) 지리적 위치 데이터.

(iv) 데스크톱/모바일/CTV 장치 데이터: 운영 체제 버전, 장치 모델, 장치 ID.

(v) 데스크톱/모바일/CTV 애플리케이션 데이터: 번들 ID, 애플리케이션 스토어 ID, 언어 ID, 소프트웨어 개발자 키트(SDK) 버전.

(vi) 행동 데이터: 광고에 대한 데이터 주체의 반응(노출, 클릭, 설치), OTT 콘텐츠 시청에 대한 데이터 주체의 선호도 및 해당 내장/포함 광고.

 

데이터의 특수 범주(해당되는 경우)

전송되는 개인 데이터는 다음과 같은 특수 범주의 데이터와 관련됩니다. 없음

 

처리 작업

전송된 개인 데이터는 부록 1 - 데이터 처리 부록, 주요 계약 및 본 조항의 회사 개인 데이터 처리 세부 사항에 설명된 대로 다음과 같은 기본 처리 활동을 따릅니다.

데이터 수입자는 데이터 처리 부록의 부록 1 - 회사 개인 데이터 처리 세부 사항에 설명된 대로 특정 회사 개인 데이터 처리 작업을 수행하기 위해 하위 프로세서 목록을 사용할 수 있도록 데이터 내보내기자의 승인을 받았습니다.

 

데이터 처리 부록

 

표준 계약 조항에 대한 부록 2

이 부록은 조항의 일부를 구성하며 당사자가 작성하고 서명해야 합니다.

 

조항 4(d) 및 5(c)에 따라 데이터 수입자가 구현한 기술적 및 조직적 보안 조치에 대한 설명:

 

데이터 수입자는 현재 부록 2 - 데이터 처리 부록의 보안 조치에 있는 보안 표준을 준수합니다. 데이터 수입자는 이러한 업데이트 및 수정으로 인해 가입 기간 동안 서비스의 전반적인 보안이 저하되지 않는 한 이러한 보안 표준을 수시로 업데이트하거나 수정할 수 있습니다.