본 DPA에서 사용되었으나 정의되지 않은 대문자로 표기된 용어는 계약에 명시된 의미를 갖습니다.
- 1. 정의
- 1.1 “데이터 컨트롤러 “는 단독으로, 다른 사람과 공동으로 또는 공동 데이터 컨트롤러로서 개인정보 처리의 목적과 수단을 결정하는 주체를 의미합니다.
- 1.2 “데이터 처리자” 는 데이터 컨트롤러를 대신하여 개인정보를 처리하는 주체를 의미합니다.
- 1.3 “데이터 보호법” 이란 개인정보 처리에 적용되는 모든 법률을 의미합니다.
- 1.4 “데이터 주체” 란 본 DPA에 따라 개인 정보가 처리될 수 있는 모든 개인을 의미합니다.
- 1.5 “개인정보” 또는 “개인 데이터”는 본 계약에 따라 당사자에게 제공되는 식별되거나 식별 가능한 자연인과 관련된 개인 데이터를 의미합니다.
- 1.6 ” 처리 ” 또는 “처리 ” 란 개인정보의 수집, 기록, 조직, 구조화, 저장, 각색 또는 변경, 검색, 상담, 사용, 전송, 배포 또는 기타 방법으로 공개, 정렬 또는 결합, 제한, 삭제 또는 파기 등 자동화된 수단에 의한 것인지 여부에 관계없이 개인정보 또는 개인정보 집합에 대해 수행되는 모든 작업 또는 작업 집합을 의미합니다.
- 1.7 “보안 사고”란 본 DPA에 따라 전송, 저장 또는 처리되는 개인정보의 우발적 또는 불법적인 파기, 손실, 변경, 무단 공개 또는 무단 접근으로 이어지는 서비스 보안 위반을 의미합니다.
- 2. 당사자 간의 관계. 양 당사자는 리셀러와 아리아카가 본 계약의 목적상 각각 컨트롤러임을 인정합니다.
계약을 이행하기 위해 양 당사자는 비즈니스 연락처 정보와 같은 제한된 개인정보를 서로에게 제공해야 합니다.
양 당사자는 계약 및 본 DPA에 따라 또는 관련 데이터 보호법에서 요구하는 바에 따라 그러한 개인정보를 처리합니다.
계약에 명시된 바와 같이 리셀러는 때때로 리셀러가 해당 고객에게 서비스를 제공하는 것을 용이하게 하기 위해 고객에 대한 정보를 아리아카에 제공할 수 있습니다.
이러한 경우, 아리아카는 리셀러의 문서화된 지침에 따라 리셀러의 고객에 대한 개인정보만 처리합니다.
각 당사자는 개인정보 처리와 관련하여 데이터 주체 또는 기타 개인에게 필요한 통지를 제공하고, 개인정보 처리와 관련하여 필요한 동의를 얻는 것을 포함하여 개인정보 처리와 관련하여 해당 데이터 보호법에 따른 의무를 준수할 전적인 책임이 있습니다.
명확히 하기 위해, 아리아카는 본 계약에 따라 리셀러에게 서비스를 제공하는 것 이외의 상업적 목적 또는 관련 데이터 보호법에서 요구하는 경우를 포함하되 이에 국한되지 않는 어떠한 목적으로도 개인정보를 보유, 사용 또는 공개하지 않습니다.
전술한 내용을 제한하지 않고, 아리아카는 어떠한 경우에도 그러한 개인정보를 제3자에게 판매하거나 공유하지 않습니다.
아리아카는 전술한 제한 사항을 이해하고 이를 준수할 것임을 인증합니다.
아리아카는 해당 데이터 보호법에 따른 의무를 더 이상 이행할 수 없다고 판단되는 경우 즉시 리셀러에게 통지합니다. - 3. 공동 컨트롤러. 당사자가 공동 데이터 컨트롤러로 활동하는 경우, 각 당사자는 독립적인 데이터 컨트롤러이며 데이터 보호법에 따라 데이터 컨트롤러로서 적용되는 의무를 준수할 개별적이고 개별적인 책임이 있습니다.
공동 개인정보처리자로 활동할 때 각 당사자는 개인정보 처리의 목적과 수단을 개별적으로 결정합니다. - 4. 기밀 유지. 양 당사자는 소속 직원에게 개인정보의 기밀을 보호하도록 요구합니다.
- 5. 보안. 양 당사자는 부록 2에 열거된 조치를 포함하여 아리아카 네트워크 내 또는 네트워크 상의 개인 데이터의 보안, 기밀성 및 무결성을 무단 손실, 파괴, 변경, 접근 또는 공개로부터 보호하기 위해 고안된 합리적인 관리, 물리적 및 기술적 안전장치를 유지합니다.
- 6. 보안 사고. 당사자 일방에게 개인정보를 침해하는 보안 사고가 발생한 경우, 보안 사고를 경험한 당사자는 법에 의해 달리 금지되거나 법 집행 또는 감독 기관의 지시가 없는 한 부당한 지체 없이, 어떠한 경우에도 48시간 이내에 상대방에게 통지합니다.
처리의 성격과 보안 사고에 대해 이용 가능한 정보를 고려하여 보안 사고를 경험한 당사자는 상대방의 합리적인 요청이 있을 경우 해당 보안 사고와 관련하여 당사자가 법적으로 영향을 받는 데이터 주체 또는 규제 기관에 제공해야 하는 모든 통지와 관련하여 상대방에게 합리적인 지원과 협조를 제공합니다.
양 당사자는 관련 법률이 허용하는 범위 내에서 그러한 요청된 지원에 대해 상대방에게 합리적인 수수료를 청구할 권리를 보유합니다. - 7. 데이터 주체 요청. 계약의 성격을 고려할 때, 양 당사자는 리셀러가 데이터 주체 요청에 응답할 수 있는 적절한 당사자라는 데 동의합니다.
아리아카는 관련 법률에 의해 금지되지 않는 한, 아리아카가 요청을 받으면 즉시 리셀러에게 통지합니다:
(i) 거부 요청, 액세스 및/또는 수정 요청, 차단, 삭제, 데이터 이동 요청 및 이와 유사한 모든 요청을 포함하되 이에 국한되지 않는 아리아카가 처리하는 개인정보와 관련한 데이터 주체의 모든 요청, 리셀러가 명시적으로 승인하지 않는 한 그러한 요청에 응답하지 않을 것. 또는
(ii) 아리아카의 개인정보 처리와 관련된 모든 불만 사항(해당 처리가 데이터 주체의 권리를 침해한다는 주장 포함).
리셀러는 데이터 주체의 요청에 응답할 책임이 있습니다.
리셀러의 요청이 있고 처리의 특성을 고려할 때, 아리아카는 가능한 한 적절한 기술적 및 조직적 조치를 통해 리셀러가 해당 데이터 보호법에 따라 리셀러가 그러한 데이터 주체 요청에 응답할 수 있는 의무를 이행할 수 있도록 리셀러를 지원할 것입니다.
아리아카는 관련 법률이 허용하는 범위 내에서 그러한 요청된 지원에 대해 리셀러에게 합리적인 수수료를 청구할 권리를 보유합니다. - 8. 하위 처리자. 양 당사자는 상대방이 본 계약에 따라 서비스를 제공하기 위한 목적으로 상대방의 처리자 및 하청업체 (“하위 처리자”)에게 개인정보를 공개할 수 있다는 데 동의하며, 양 당사자는 개인정보의 보안 및 기밀 유지와 관련하여 본 DPA에 명시된 것과 실질적으로 유사한 의무를 하위 처리자에게 부과할 수 있다는 조건으로 동의합니다.
요청 시 양 당사자는 (a) 하위 처리자 목록을 제공하고 이 목록에 대한 변경 사항을 통지받을 수 있는 메커니즘을 제공합니다.
양 당사자는 모든 하위 처리자의 행위 또는 부작위에 대해 하위 처리자를 고용한 법인이 행위 또는 부작위를 수행한 것과 동일한 범위에서 책임을 집니다. - 9. 데이터 위치. 계약 이행과 관련하여 양 당사자는 영국(“영국”), 유럽경제지역 (“EEA”) 또는 스위스 내부 및 외부의 위치를 포함하여 다양한 위치로 개인정보를 전송할 수 있습니다.
그러한 이전이 영국, EEA 또는 스위스에서 발생한 개인정보를 구속력 있는 적정성 결정을 받지 않은 영국, EEA 또는 스위스 외부의 국가로 이전하는 것을 포함하는 경우, 양 당사자는 당사자가 공동 컨트롤러 역할을 하는 경우 부록 1에 첨부된 유럽연합 표준 계약 조항(컨트롤러 대 컨트롤러)이 그러한 이전에 적용된다는 데 동의하며 그러한 이전은 부록 1에 설명되어 있습니다.
당사자 간의 관계가 컨트롤러에서 처리자로의 관계인 경우, 부록 2에 첨부된 유럽연합 표준 계약 조항(컨트롤러에서 처리자로)이 그러한 양도에 적용되며, 그러한 양도에 대한 설명은 부록 1에 설명되어 있습니다. - 10. 감사. 당사자 일방의 요청이 있는 경우, 상대방은 (a) 서비스 조직 통제 1, 유형 2 보고서 또는 이와 유사한 보고서 (“제3자 보고서”) 와 같은 제3자 평가 사본을 연 1회까지 제공하거나 (b) 제3자 보고서를 입수하지 않은 경우, 본 계약 준수 여부를 확인하기 위해 합리적으로 제출된 서면 질문에 대한 답변( “서면 답변”)을 제공해야 합니다.
이러한 제3자 보고서 및 서면 답변은 제출 당사자의 기밀 정보이며 법률에서 요구하는 경우를 제외하고 해당 당사자의 사전 서면 동의 없이는 공개할 수 없습니다.
한 당사자가 제3자 보고서가 아닌 서면 답변을 제공함으로써 상대방의 요청에 응답하고, 요청 당사자가 서면 답변을 받은 후 법률에 따라 추가 평가가 필요하다고 합리적으로 판단하는 경우, 요청 당사자는 30일 전에 통지하여 해당 당사자의 자체 비용으로 당사자가 상호 합의하는 범위 내에서 서비스의 관련 정책, 절차 및 관련 문서에 대한 검토를 수행할 것을 요청할 수 있으며, 그러한 검토가 아리아카의 다른 리셀러에 대한 기밀 유지 의무를 손상하지 않는 범위에서 해당 검토를 요청할 수 있습니다.
리셀러는 개인정보의 무단 사용을 중지하고 이를 시정하기 위한 합리적인 조치를 취할 권리가 있습니다. - 11. 반환 또는 폐기. 계약 종료 시 요청이 있는 경우, 양 당사자는 관련 법률에서 개인 데이터의 저장을 요구하지 않는 한 시스템에서 개인 데이터를 즉시 삭제합니다.
부록 1 표준 계약 조항(2021) 컨트롤러 대 컨트롤러는 본 DPA에 참조로 통합되어 있으며 여기에서 액세스할 수 있습니다( www.aryaka.com/SCC2021-Controller-to-Controller/).
부록 IA.당사자 목록데이터수출자: 데이터 수출자입니다: 계약에 정의된 리셀러 [데이터 수출업체의 신원 및 연락처 정보, 해당되는 경우 유럽연합 내 데이터 보호 책임자 및/또는 대리인의 연락처 정보]
이름: 리셀러와 아리아카 간의 주문 양식 참조
주소: 리셀러와 아리아카 간의 주문 양식 참조
담당자 이름, 직위 및 연락처 세부 정보: 리셀러와 아리아카 간의 주문 양식 참조
본 조항에 따라 전송된 데이터와 관련된 활동: 리셀러와 아리아카 간의 계약 참조
역할(컨트롤러/프로세서): 컨트롤러
데이터 가져오기: 데이터 임포터는 Aryaka. 데이터 보호 책임자를 포함한 데이터 수입자의 신원 및 연락처 세부 정보
Name: 이름: 아리아카 네트웍스, Inc.
주소 1850 게이트웨이 드라이브, 스위트 500, 샌 마테오, CA 94404 미국
담당자 이름, 직위 및 연락처 정보: Edward Frye, CISCO/IT, [email protected]
본 조항에 따라 전송된 데이터와 관련된 활동: 리셀러와 아리아카 간의 계약 참조
역할(컨트롤러/프로세서): 컨트롤러
B. 전송에 대한 설명
개인 데이터가 전송되는 데이터 주체의 범주
리셀러 및 아리아카의 비즈니스 연락처.
전송되는 개인 데이터의 범주이름, 직책, 이메일 주소, 전화번호, 실제 주소 등의 비즈니스 연락처 정보.
민감한 데이터 전송(해당되는 경우) 및 엄격한 목적 제한, 접근 제한(전문 교육을 받은 직원만 접근 가능), 데이터 접근 기록 보관, 향후 전송 제한 또는 추가 보안 조치 등 데이터의 성격과 관련 위험을 충분히 고려한 제한 또는 보호 조치를 적용합니다.
없음
전송 빈도(예: 데이터가 일회성으로 전송되는지 또는 지속적으로 전송되는지 여부).
계약에 따른 서비스를 수행하고 상업적 관계를 유지하기 위해 필요한 경우.
처리의 성격아리아카는 본 계약에 따른 서비스 이행을 위해 필요한 경우 개인정보를 처리합니다.
데이터 전송 및 추가 처리의 목적
영국, EEA 또는 스위스 외부에 위치한 아리아카의 사업 사무소로 이전.
아리아카는 계약에 따라 서비스를 이행하는 데 필요한 경우 개인정보를 처리합니다.
개인 데이터를 보유할 기간, 또는 이것이 불가능한 경우 해당 기간을 결정하는 데 사용된 기준
| 유형 | 보유 기간 |
|---|---|
| 판매 기록 | 5년 |
| 송장 | 7년 |
| 총계정원장 | 영구 |
(하위) 프로세서로의 전송의 경우, 처리 대상, 성격 및 기간도 명시하십시오. 다음 하위 프로세서는 다음 서비스를 위해/다음 처리 위치에 배포될 수 있습니다:
Salesforce:용도
고객 관계 관리 인스턴스가 상주하는 위치입니다: 미국 아리아카 담당자가 액세스한 곳: 미국, 인도, 독일, 영국, 캐나다, 호주, 일본, 네덜란드, 한국, 스위스 NetSuite:
사용: 회계 인스턴스가 상주하는 위치입니다: 미국 아리아카 담당자가 액세스한 곳: 미국 및 인도
Zuora: 사용:
결제 인스턴스가 상주하는 위치입니다: 미국 아리아카 담당자가 액세스한 곳: 미국 및 인도
Marketo:사용:
인스턴스가 상주하는마케팅 및 메시징 위치:
미국 아리아카 직원이 액세스하는 국가:
미국, 영국 및 인도 C. 관할 감독기관13항에 따라 관할 감독 기관을 명시합니다. 영국 정보위원회 사무소.
부록 2 표준 계약 조항(2021) 컨트롤러 대 컨트롤러는 본 DPA에 참조로 통합되어 있으며 여기에서 액세스할 수 있습니다( www.aryaka.com/SCC2021-Controller-to-Controller/).
부속서 I
A. 당사자 목록
데이터 내보내기: 데이터 내보내기는 다음과 같습니다: 계약에 정의된 리셀러 [데이터 수출업체의 신원 및 연락처, 해당되는 경우 유럽 연합 내 데이터 보호 책임자 및/또는 대리인의 신원 및 연락처].
이름: 리셀러와 아리아카 간의 주문 양식 참조
주소: 리셀러와 아리아카 간의 주문 양식 참조
담당자 이름, 직위 및 연락처 정보: 리셀러와 아리아카 간의 주문 양식 참조
본 조항에 따라 전송된 데이터와 관련된 활동: 리셀러와 아리아카 간의 계약 참조
역할(컨트롤러/프로세서): 프로세서
데이터 가져오기: 데이터 임포터는 Aryaka. 데이터 보호 책임자를 포함한 데이터 수입자의 신원 및 연락처 세부 정보
Name: 이름: 아리아카 네트웍스, Inc.
주소 1850 게이트웨이 드라이브, 스위트 500, 샌 마테오, CA 94404 미국
담당자 이름, 직위 및 연락처 정보: Edward Frye, CISCO/IT, [email protected]
본 조항에 따라 전송된 데이터와 관련된 활동: … 리셀러와 아리아카 간의 계약 참조
역할(컨트롤러/프로세서): 프로세서
B. 전송에 대한 설명
개인 데이터가 전송되는 데이터 주체의 범주
고객 지원 제공을 포함하여 서비스 제공에 필요한 리셀러의 고객 정보.
전송되는 개인 데이터의 범주이름, 직책, 이메일 주소, 전화번호, 실제 주소 등의 비즈니스 연락처 정보.
민감한 데이터 전송(해당되는 경우) 및 엄격한 목적 제한, 접근 제한(전문 교육을 받은 직원만 접근 가능), 데이터 접근 기록 보관, 향후 전송 제한 또는 추가 보안 조치 등 데이터의 성격과 관련 위험을 충분히 고려한 제한 또는 보호 조치를 적용합니다.
없음
전송 빈도(예: 데이터가 일회성으로 전송되는지 또는 지속적으로 전송되는지 여부).
계약에 따른 서비스를 수행하고 상업적 관계를 유지하기 위해 필요한 경우.
처리의 성격아리아카는 본 계약에 따른 서비스 이행을 위해 필요한 경우 개인정보를 처리합니다.
데이터 전송 및 추가 처리의 목적
영국, EEA 또는 스위스 외부에 위치한 아리아카의 사업 사무소로 이전.
아리아카는 계약에 따라 서비스를 이행하는 데 필요한 경우 개인정보를 처리합니다.
개인 데이터를 보유할 기간, 또는 이것이 불가능한 경우 해당 기간을 결정하는 데 사용된 기준
| 유형 | 보유 기간 |
|---|---|
| 판매 기록 | 5년 |
| 송장 | 7년 |
| 총계정원장 | 영구 |
(하위) 프로세서로의 전송의 경우, 처리 대상, 성격 및 기간도 명시하십시오. 다음 하위 프로세서는 다음 서비스를 위해/다음 처리 위치에 배포될 수 있습니다:
Salesforce:용도
고객 관계 관리 인스턴스가 상주하는 위치입니다: 미국 아리아카 담당자가 액세스한 곳: 미국, 인도, 독일, 영국, 캐나다, 호주, 일본, 네덜란드, 한국, 스위스 NetSuite:
사용: 회계 인스턴스가 상주하는 위치입니다: 미국 아리아카 담당자가 액세스한 곳: 미국 및 인도
Zuora: 사용:
청구 인스턴스가 상주하는 위치입니다: 미국 아리아카 담당자가 액세스한 곳: 미국 및 인도
Marketo:사용:
인스턴스가 상주하는마케팅 및 메시징 위치:
미국 아리아카 직원이 액세스하는 국가:
미국, 영국 및 인도 C. 관할 감독기관13항에 따라 관할 감독 기관을 명시합니다. 영국 정보위원회 사무소.
보안 표준
4(d) 및 5(c)항에 따라 데이터 수입자가 시행하는 기술적 및 조직적 보안 조치에 대한 설명(또는 첨부된 문서/법령): 양 당사자는 개인정보 및 기타 개인정보를 보호하기 위해 설계된 다양한 정책, 표준 및 프로세스를 유지합니다.
다음은 양 당사자가 시행하는 핵심적인 기술적 및 조직적 보안 조치에 대한 설명입니다.
물리적 액세스 제어
권한이 없는 사람이 개인 데이터를 처리하는 데 사용되는 데이터 처리 장비가 있는 물리적 위치에 물리적으로 접근하지 못하도록 설계된 조치입니다.
기술적 액세스 제어
권한이 없는 사람이 당사자의 데이터 처리 시스템에 액세스하는 것을 방지하기 위해 고안된 조치로, 다음을 포함합니다:
- 탐지 및 완화(온프레미스 또는 클라우드)와 클라우드 기반 볼륨 DDoS 공격 방어, 24시간 연중무휴 긴급 대응팀(ERT) 지원을 통합하는 하이브리드 DDoS 방어.
- 리셀러의 SD-WAN 어플라이언스에 내장된 고급 경계 보안 솔루션을 제공하는 네트워크 엣지 보안.
데이터 접근 통제
데이터 처리 시스템에 대한 접근을 해당 접근 권한(승인)이 적용되는 범위 내에서 필요한 개인으로 제한하고, 개인 데이터를 무단으로 읽거나 복사, 수정 또는 제거하지 못하도록 조치를 취합니다.
입력 제어
개인 데이터 전송 중에 권한이 없는 당사자가 개인 데이터를 읽거나 복사, 변경 또는 삭제하는 것을 방지하도록 설계된 조치입니다.
업무 통제
처리 중인 개인 데이터가 계약에 따라서만 처리되도록 하기 위한 조치입니다.
가용성 제어
개인 데이터의 공개, 우발적 또는 무단 파기 또는 손실로부터 보호하기 위해 고안된 조치입니다.