ESET 온라인 도움말

검색 한국어
범주 선택
항목 선택

데이터 처리 계약

2023년 9월 29일부로 시행 | 이전 버전의 데이터 처리 계약 보기 | 변경 사항 비교

Directive 95/46/EC를 폐지하는, 개인 데이터의 처리와 관련된 자연인의 보호와 이러한 데이터의 자유로운 이동에 대한 2016년 4월 27일 유럽 의회 및 각료 회의 규정(EU) 2016/679(이하 "GDPR")의 요구 사항에 따라, 공급업체(이하 "처리자")와 귀하(이하 "통제자")는 개인 데이터의 처리, 보호 방식에 대한 사용 약관을 정의하고 이러한 약관의 실무를 주 계약으로 진행하는 과정 동안 통제자를 대신해서 데이터 주체의 개인 데이터를 처리할 때 발생하는 양 당사자의 기타 권리 및 의무를 정의하기 위한 데이터 처리 계약 관계를 체결합니다.

1. 개인 데이터 처리. 이러한 약관에 따라 제공되는 서비스에는 개인 정보 보호 정책에 나열된 식별되었거나 식별 가능한 자연인과 관련된 정보(이하 "개인 데이터")의 처리가 포함됩니다.

2. 승인. 데이터 관리자는 데이터 처리자에게 다음 지침을 비롯하여 개인 데이터를 처리할 권한을 부여합니다.

(i) "처리 목적"은 이러한 약관에 따른 서비스의 제공을 의미합니다. 데이터 처리자만이 데이터 관리자가 요청한 서비스 제공과 관련하여 데이터 관리자를 대신해서 개인 데이터를 처리할 수 있습니다. 추가 목적으로 수집된 모든 정보는 데이터 관리자-데이터 처리자 계약 관계 외부에서 처리됩니다.

(ii) 처리 기간은 이러한 약관에 따라 협력 관계를 시작할 때부터 서비스를 종료할 때까지의 기간을 의미합니다.

(iii) 개인 데이터의 범위 및 범주. 서비스는 일반 개인 데이터의 처리만을 위한 것입니다. 그러나 개인 데이터의 범위를 결정할 책임은 전적으로 데이터 관리자에게 있습니다.

(iv) “데이터 주체”는 통제자 장치의 승인된 사용자로서의 자연인을 의미합니다.

(v) "처리 작업"은 처리에 필요한 모든 작업을 의미합니다.

(vi) “문서화된 지침”은 이러한 약관, 해당 부록, 개인 정보 보호 정책 및 서비스 문서에 설명된 지침을 의미합니다. 데이터 관리자는 해당하는 각 데이터 보호법 조항과 관련하여 데이터 처리자에 의한 개인 데이터 처리의 법적 허용성에 책임을 져야 합니다.

3. 처리자의 의무. 처리자는 다음을 수행할 의무가 있습니다.

(i) 문서화된 지침에 근거하고 약관, 부록, 개인 정보 보호 정책 및 서비스 문서에 정의된 목적을 위해서만 개인 데이터를 처리합니다.

(ii) 개인 데이터를 처리할 권한이 있는 사람(이하 "권한자")에게 GDPR에 따른 권한자의 권리와 의무, 위반 시 책임에 대해 지시하며 권한자가 기밀 유지를 약속하고 문서화된 지침을 따르도록 합니다.

(iii) 약관, 부록, 개인 정보 보호 정책 및 서비스 문서에 기재된 조치를 이행하고 따릅니다.

(iv) 데이터 관리자가 해당 권리와 관련된 데이터 주체의 요청에 응답하도록 지원합니다. 데이터 처리자는 데이터 관리자의 지시 없이 개인 데이터 처리를 수정, 제거 또는 제한해서는 안 됩니다. 데이터 관리자를 대신하여 처리된 개인 데이터와 관련이 있는 데이터 주체의 모든 요청은 지체 없이 데이터 관리자에게 전달되어야 합니다.

(v) 감독 기관 및 데이터 주체에 대한 개인 데이터 위반 알림과 함께 데이터 관리자를 지원합니다. 데이터 처리자는 개인 데이터 처리 또는 개인 데이터 보안의 위반을 발견하는 즉시 데이터 관리자에게 통지해야 합니다. 데이터 처리자는 그러한 위반에 대한 조사 및 수정에 합당한 범위 내에서 협력해야 하며, 부정적인 영향이 추가로 발생하지 않도록 제한하기 위한 합당한 조치를 취해야 합니다.

(vi) 데이터 관리자의 선택에 따라 처리 기간이 끝난 후에 모든 개인 데이터를 제거하거나 데이터 관리자에게 반환합니다. 데이터 관리자는 처리 기간 종료 후 10일 이내에 해당 결정에 대해 데이터 처리자에게 알릴 것을 약속합니다. 이 조항은 공익, 과학 연구, 통계 목적 또는 법적 청구의 성립, 이행 또는 방어 목적으로 필요한 범위까지 개인 데이터를 보관할 수 있는 데이터 처리자의 권리에 영향을 미치지 않습니다.

(vii) 통제자 대신 수행한 모든 처리 활동 범주의 기록을 최신 상태로 유지합니다.

(viii) 데이터 관리자가 약관, 부록, 개인 정보 보호 정책 및 서비스 문서의 일부로 규정 준수를 입증하는 데 필요한 모든 정보를 이용할 수 있게 합니다. 데이터 관리자 측에서 개인 데이터 처리를 감사 또는 통제하는 경우, 데이터 관리자는 계획된 감사 또는 통제 최소 30일 전에 데이터 처리자에게 서면으로 알려야 합니다.

4. 다른 처리자 고용. 데이터 처리자는 약관, 부록, 개인 정보 보호 정책 및 서비스 문서에 따라 서비스에 대한 인프라 및 클라우드 저장소 제공과 같은 특정 처리 활동을 수행하기 위해 다른 데이터 처리자를 고용할 권한이 있습니다. 현재 Microsoft에서는 클라우드 저장소 및 인프라를 Azure 클라우드 서비스의 일부로 제공합니다. 이러한 경우에도 처리자는 유일한 연락 담당자이자 규정 준수를 책임지는 당사자여야 합니다. 데이터 처리자는 다른 데이터 처리자가 추가 또는 교체될 경우 이러한 변경에 이의를 제기할 수 있도록 데이터 관리자에게 알릴 것을 약속합니다.

5. 처리 지역. 처리자는 이러한 처리가 유럽 경제 지역 또는 통제자의 결정을 토대로 유럽 연합 집행 위원회에서 안전하다고 결정한 국가에서 수행되도록 해야 합니다. 데이터 관리자의 요청에 따라 유럽 경제 지역 또는 유럽 연합 집행 기관(European Commission)에서 안전하다고 결정한 국가 외부에서 발생하는 이전 및 처리의 경우에는 표준 계약 조항이 적용되어야 합니다.

6. 보안. 처리자는 ISO 27001:2013의 인증을 받았으며, 네트워크, 운영 체제, 데이터베이스, 애플리케이션, 직원 및 운영 프로세스 계층에 보안 제어를 적용할 때 ISO 27001 프레임워크를 사용하여 계층화된 방어 보안 전략을 구현합니다. 규정 및 계약 요구 사항의 준수 여부는 데이터 처리자의 다른 인프라 및 작업과 마찬가지로 정기적으로 평가 및 검토되고, 지속적으로 준수하는 데 필요한 단계가 수행됩니다. 데이터 처리자는 ISO 27001을 기반으로 ISMS를 사용하여 데이터 보안을 구성했습니다. 보안 문서에는 정보 보안, 물리적 보안과 장비 보안, 사고 관리, 데이터 누출과 보안 사고의 처리 등에 대한 정책 문서가 주로 포함되어 있습니다.

7. 기술적 및 조직적 조치. 데이터 처리자는 우발적이고 불법적인 손상 및 폐기, 우발적인 손실, 변경, 무단 접근 및 공개로부터 개인 데이터를 보호해야 합니다. 이를 위해 데이터 처리자는 GDPR의 요구 사항에 따라 데이터 주체의 권리를 위해 처리 방식 및 처리로 인해 발생하는 위험에 상응하는 적절한 기술적 및 조직적 조치를 채택해야 합니다. 기술적 및 조직적 조치에 대한 자세한 설명은 보안 정책에 명시되어 있습니다.

8. 처리자의 연락처 정보. 개인 데이터 보호와 관련된 모든 알림, 요청, 요구 및 기타 의사 소통은 ESET, spol. s.r.o. 의 다음 담당자 앞으로 전달되어야 합니다. Data Protection Officer, Einsteinova 24, 85101 Bratislava, Slovak Republic, email: dpo@eset.sk