표준 계약 조항

본 DPA는 가능한 모든 SCC 구성을 포함하기 위해 마련되었습니다. 일부 조항은 귀사에 해당되지 않을 수도 있습니다. 자세한 설명은 아래를 참조하십시오.  

캘리포니아 소비자 개인정보 보호법(CCPA) 

캘리포니아 프라이버시 권리법(CPRA) 개정안을 CCPA에 반영하기 위해 본 DPA를 업데이트했습니다. 본 DPA에는 고객의 어떠한 수정안이나 개정안도 반영되지 않습니다. 

본 Momentive 데이터 처리 계약(‘DPA’)은 귀사와 Momentive 간 계약의 일부이며 데이터 보호 법률에 따라 해당되는 경우 데이터 보호, 프라이버시, 보안과 관련된 특정 용어가 포함됩니다. 다른 데이터 보호 법률 및 규정과 상충되는 경우 당사자들은 더 엄격한 요건이나 더 높은 기준을 준수하며, 이와 관련하여 분쟁이 발생하면 Momentive가 단독으로 판단합니다. 

본 DPA는 고객과 다음과 같이 정의되는 해당 Momentive 주체 사이에 체결됩니다. 

(i) 미국 외 다른 국가에 소재하는 고객의 경우, Momentive Europe UC가 계약 체결 주체가 됩니다. 

(ii) 미국에 소재하는 고객의 경우, Momentive Inc.가 계약 체결 주체가 됩니다. 

DPA의 최신 버전입니다(2023년 1월 1일). 

본 DPA에서 다음과 같은 용어는 문맥상 달리 필요하지 않은 한 다음과 같은 정의가 주어집니다. 

‘계약’은 서비스에 대해 Momentive Inc. 또는 Momentive Europe과 고객 사이의 모든 계약을 뜻합니다. 이러한 계약은 ‘주문 양식’, ‘판매 주문’, ‘이용 약관’ 또는 ‘마스터 또는 준거 서비스 계약’ 등 다양한 명칭을 가질 수 있습니다. 

‘제28조’는 고객 개인 데이터 처리에 적용되는 GDPR 제28조 및 UK GDPR을 가리킵니다.

‘고객’ 또는 ‘귀하’는 계약상에 명시되어 있거나 계약 체결 당사자인 고객을 뜻합니다. 

‘고객 데이터’는 고객이 서비스를 이용함으로써 고객이 또는 고객을 대신해 Momentive에 제공했거나 제3자가 서비스를 통해 고객에게 제출한 모든 데이터(고객 개인 데이터를 포함하나 이에 제한되지 않음)를 뜻합니다.

‘고객 개인 데이터’는 고객이 서비스에 제출했거나 고객에게 제출된 데이터로서 본 DPA의 부록 2에 명시된 바와 같이 개인 데이터를 포함하나 이에 제한되지 않고 Momentive가 고객에게 서비스를 제공할 목적으로 처리하는 모든 개인 데이터입니다. 

‘데이터 보호 법률’은 다음을 뜻합니다. 
(i) 일반 데이터 보호 규정(규정(EU) 2016/679)(‘GDPR’) 및 기타 모든 적용되는 EU, EEA 또는 유럽 단일 시장 회원국의 법률이나 규정 또는 계약에 따라 개인 데이터를 처리하는 데 적용되는 이러한 동일한 사항들의 업데이트, 개정 또는 대체 내용

(ii) 스위스 데이터 보호 연방법(‘FADP’) 또는 2023년 1월 1일부터 시행되는 새로운 데이터 보호 연방법(‘nFADP’)

(Iii) 2018 (Cal. Civ. Code §§ 1798.100 - 1798.199) 캘리포니아 소비자 개인정보 보호법(‘CCPA’)을 포함하되 이에 제한되지 않고, 계약에 따라 개인 데이터를 처리하는 데 적용되는 모든 미국 법률 및 규정 

(iv) 영국에 확립되어 있으며 계약하에 때때로 개인 데이터를 처리하는 데 적용되는 모든 법률 및 규정(UK GDPR 포함)

(v) 캐나다의 개인 정보 보호 및 전자 문서법(‘PIPEDA’) 또는 개인 데이터를 처리하는 데 적용되는 이러한 동일한 사항들의 업데이트, 개정 또는 대체 내용

‘컨트롤러’, ‘데이터 보호 영향 평가’, ‘처리’, ‘프로세스’, ‘처리자’, ‘감독 권한’과 같은 용어는 GDPR 또는 UK GDPR에 정의된 뜻과 동일한 의미입니다.

‘Momentive’, ‘저희’ 또는 ‘당사’는 미국에 소재한 고객에게는 Momentive Inc.를 뜻하며, 미국 밖에 소재한 고객에게는 Momentive Europe을 뜻합니다. 

‘Momentive Europe’은 2 Shelbourne Buildings, Second Floor, Shelbourne Road, Dublin 4, Ireland에 소재한 아일랜드 회사인 Momentive Europe UC를 뜻합니다. 

‘Momentive Inc.’는 One Curiosity Way, San Mateo, CA 94403, United States에 소재한 델라웨어 회사인 Momentive Inc.를 뜻합니다.  

‘Momentive 개인정보 보호 공지’는 https://ko.surveymonkey.com/mp/legal/privacy/에 있는 Momentive 개인정보 보호 공지를 뜻합니다.

‘개인 데이터’는 단독으로 또는 다른 정보와 결합하여 그 신원을 합당하게 추측할 수 있는 생존한 개인에 관련한 정보를 의미합니다(‘데이터 주체’).

‘서비스’는 본 계약에 따라 Momentive로부터 고객이 주문한 서비스를 뜻합니다. 

‘SCC’는 i) GDPR에 의거하여 제3국으로 개인 데이터를 전송하기 위한 표준 계약 조항에 관한 2021년 6월 4일의 European Commission Decision 또는 ii) Directive 95/46/EC하에 제3국에 설립된 처리자에게 고객 개인 데이터를 전송하는 데 대한 2010년 2월 5일(Momentive가 i)에 명시된 표준 계약 조항을 체결한 시간까지)의 European Commission Decision에 통합된 ‘표준 계약 조항’을 뜻합니다. FADP/nFADP가 적용되는 경우, SCC에 언급된 모든 사항은 FADP/nFADP에 해당되는 사항입니다. 따라서 본 문서에 사용된 모든 용어에는 FADP/nFADP에 제공된 정의가 적용됩니다.

‘UK Addendum’은 (i) 2022년 2월 2일 UK Data Protection Act 2018의 섹션 119A에 의거하여 UK Information Commissioner's Office가 발행하고 영국 국회에 제출된 기본 부칙을 의미하며 이는 때때로 Mandatory Clauses의 섹션 18에 의거하여 개정될 수 있습니다. 이 정의상 기본 부칙은 제목이 International Data Transfer Addendum to the EU Commission Standard Contractual, version B1.0(2022년 3월 21일 발효)인 문서를 뜻합니다. 또는 (ii) (Momentive가 i)에 명시된 UK Addendum을 체결한 시간까지) Directive 95/46/EC에 의거하여 고객 개인 데이터를 제3국에 설립된 처리자에게 전송하는 데 대한 2010년 2월 5일의 European Commission Decision을 의미합니다.

‘UK GDPR’은 European Union (Withdrawal) Act 2018의 섹션 3에 의해 잉글랜드 및 웨일즈, 스코틀랜드 및 북아일랜드의 법규 일부를 형성하는 바대로, 그리고 각기 2019년과 2020년 Data Protection, Privacy and Electronic Communications (Amendments etc.) (EU Exit) Regulations 및 영국에서 때때로 발효되어 그 후 UK GDPR을 개정하거나 대체하는 모든 법안에 따른 EU GDPR을 뜻합니다.

고객에게 서비스를 제공하는 데 있어 Momentive는 GDPR 목적상 고객 개인 데이터의 처리자입니다. 경우에 따라 CCPA와 관련하여 Momentive와 고객은 CCPA에 정의된 바와 같이 Momentive는 ‘서비스 제공자’이고 고객은 ‘비즈니스’라는 것에 동의하는 바입니다.

본 DPA는 해당 조건에 따라 계약이 해지되거나 만료될 때까지 효력을 유지합니다. 

고객은 Momentive가 본 DPA에 따라 개인 데이터를 합법적으로 처리하고 전송할 수 있도록 고객이 고객 데이터를 Momentive로 전송할 수 있는 권리가 있다는 것을 보장하며 이에 따라 보증하고 대변합니다. 고객은 그 어떠한 관련 데이터 주체도 데이터 보호 법률이 요구하는 바에 따라 그러한 사용, 처리, 전송에 대한 정보를 받았으며 적절한 곳에서 합법적인 동의가 제공되었음을 보장해야 합니다. 고객은 또한 Momentive에 전송되거나 처리되는 모든 개인 데이터가 합법적이며 적절하게 수행되도록 보장해야 합니다.

Momentive가 처리자로서 고객을 위해 고객 개인 데이터를 처리하는 경우, Momentive는 다음과 같이 수행합니다.

(a) 다른 사법권 또는 국제 조직으로 개인 데이터의 전송에 관한 것을 포함하여 문서화된 고객 지침과 데이터 보호 법률에 따라서만 처리하며, 당사자들은 본 계약이 고객이 Momentive에 제공한(예: 이메일을 통해) 기타 적합한 지침과 함께 고객이 Momentive에게 고객 개인 데이터를 처리(EEA 밖의 지역 포함)하라고 제공한 문서화된 지침을 구성하며 이러한 지침은 본 계약과 일관성이 있음에 동의합니다.

(b) 고객 개인 데이터 처리에 관련된 모든 Momentive 직원이 개인 데이터와 관련하여 기밀 유지 책무의 적용을 받음을 보장합니다. 

(c) 고객이 그러한 정보 요청에 대해 Momentive에 최소한 14일 전에 서면 통지를 제공한다는 전제하에 고객이 해당 정보를 Momentive가 보유하고 있고 고객이 고객의 계정 및 사용자 영역을 통해, 또는 Momentive 웹사이트상에서 달리 이용할 수 없는 경우 제28조에 따른 의무를 준수했음을 보여주는 데 필요한 정보를 이용 가능하도록 만들 것입니다.

(d) 고객이 요청한 대로 합당하게 협조하여 서비스 제공 시 Momentive가 처리하는 개인 데이터와 관련하여 데이터 보호 법률에 의거하여 데이터 주체에게 주어진 데이터 주체의 권리 행사를 고객이 준수할 수 있도록 고객이 합리적으로 요청한 대로 협력합니다.

(e) 이 서비스를 통해 제출된 데이터 주체의 개인 데이터와 관련하여 데이터 주체로부터 직접 받은 요청에 필요한 대로 지원을 제공합니다.

(f) 귀하가 삭제 시, 당사 보존 정책에 따라 해당 법규와 규정을 준수하기 위한 목적과 재해 복구와 비즈니스 유지 목적을 위해 만들어진 정기적인 백업 사본에 달리 보관될 수 있는 바가 아니고는 귀하의 계정 내에서 고객 개인 데이터를 유지하지 않습니다.

(g) 필요한 경우, 해당 감독 기관이 업무를 수행하는 데 있어 감독 기관 또는 교체 또는 승계 기관과 수시로 협조(또는 데이터 보호 법률하에서 고객, 기타 데이터 보호 또는 프라이버시 규정이 요구하는 범위까지)합니다.

(h) 다음과 같은 경우, 고객에게 적절한 도움을 제공합니다.

(i) 고객이 서비스와 관련된 데이터 보호 영향 평가를 수행하는 경우(고객이 스스로의 평가를 수행할 수 있도록 문서를 제공하는 것을 포함할 수 있음)

(ii) 고객이 감독 기관 또는 관련 데이터 주체에게 보안 인시던트(아래 정의된 대로)를 보고해야 하는 경우

(i) Momentive는 (a) 개인 정보(CCPA가 정의한 대로)를 상용으로 판매 또는 공유하지 않거나 (b) (1) 본 계약상 고객에게 의무를 이행하기 위해, (2) 고객을 대신해, (3) 고객의 운영 목적을 위해, (4) 데이터 보호 법률이 허용하는 대로 Momentive의 사내 사용을 위해, (5) 데이터 보안 사건을 감지하거나 사기성 또는 불법적인 행위로부터 보호하기 위해, 또는 (6) 데이터 보호 법률이 달리 허용하는 바와 같은 경우를 제외하고는 개인 정보를 수집, 유지, 사용, 공개, 또는 달리 처리하지 않습니다. 

(j) 데이터 보호 법률에서 요구하는 경우, Momentive는 고객으로부터 받은 지침이 데이터 보호 법률 조항을 위반한다는 사실을 알게 되면 고객에게 알립니다. 전술한 내용에도 불구하고, Momentive는 고객으로부터 받은 지침의 적법성을 모니터링하거나 검토할 의무가 없습니다.

(k) Momentive는 본 DPA에서 명시된 제한과 의무를 이해하고 이를 준수할 것임을 인증합니다.

6.1 하위 처리. 고객은 이 섹션 6의 요건을 준수하는 것을 조건으로 후속 하위 처리자를 고용할 수 있는 일반적인 권한을 Momentive에 제공합니다.

6.2 하위 처리자 목록. 본 계약의 기밀 조항이나 Momentive가 달리 부과하는 바에 따라 다음과 같이 수행할 것입니다.

(a) 서비스 제공과 관련하여 고객 개인 데이터를 처리하거나 하위 처리하는 데 개입된 Momentive 하위 처리자 목록(‘하위 처리자’)을 각 하위 처리자(‘하위 처리자 목록’)가 제공한 서비스 특성에 대한 설명과 함께 고객이 이용할 수 있도록 합니다. 이 하위 처리자 목록의 사본은 여기에서 요청할 수 있습니다. 

(b) 하위 처리자 목록의 모든 하위 처리자는 모든 중요한 측면에서 이 DPA에 포함된 계약 조건보다 덜하지 않은 조건에 의해 구속됨을 보장합니다. 

(c) 본 계약에 달리 명시된 경우를 제외하고 Momentive의 하위 처리자의 행동 및 누락에 대해 Momentive가 각 해당 하위 처리자의 서비스를 본 DPA의 조건에 따라 직접 수행하는 것과 마찬가지로 책임을 집니다. 

6.3 신규/교체 하위 처리자.  Momentive는 본 계약 기간 중 언제라도 신규 하위 처리자가 추가되거나 기존 하위 처리자를 교체하는 경우 고객에게 이에 대한 서면 통지를 제공할 것입니다(‘신규 하위 처리자 통지’). 고객은 Momentive가 제공하는 메일 리스트에 등록하고 Momentive는 이러한 메일 리스트를 통해 이메일로 그러한 통지를 제공할 것이며, 또는 고객이 직접 여기에서 목록에 대한 업데이트를 확인할 수 있습니다. Momentive가 신규 또는 교체 하위 처리자를 이용하는 것에 대해 고객이 반대할 합당한 근거가 있는 경우, 고객은 그 어떠한 경우라도 신규 하위 처리자 통지를 받은 후 30일 이내로 신속하게 Momentive에 서면으로 이에 대해 통지해야 합니다. 고객이 그러한 합당한 반대를 제기한 경우, 고객이나 Momentive는 반대되고 있는 신규 하위 처리자를 통해서만 합당하게 제공할 수 있는 서비스에 관련된 계약의 그 어떠한 부분도 해지할 수 있으며(이는 Momentive의 자유재량과 선택을 기반으로 전체 계약을 해지할 수도 있는 상황이 될 수 있습니다) 이는 상대방에게 서면 통지를 제공한 이후 즉시 발효됩니다. 그러한 해지는 해지 후의 기간에 대해 고객이 미리 지불한 그 어떠한 요금에 대해서도 환불에 대한 권리가 없이 이루어집니다.

7.1 보안 조치. Momentive는 기술 수준, 시행 비용 및 서비스의 특징, 범위, 문맥 및 목적과 위험 수준을 고려하여 무단 또는 불법 처리, 고객 데이터에 대한 우발적 손실 및/또는 피해의 위험에 대해 적절한 보안 수준을 보장하기 위해 적절한 기술적, 조직적 조치를 시행했습니다(부록 1에 따라). Momentive는 합리적인 간격으로 처리의 보안을 보장하기 위해 이러한 기술적, 조직적 조치의 효과를 테스트하고 평가합니다.

7.2 보안 인시던트 및 위반 알림. Momentive가 고객 개인 데이터에 대한 무단 접근 또는 불법적인 액세스, 획득, 변경, 사용, 공개 또는 파괴(‘보안 인시던트’)를 인지하는 경우 Momentive는 과도한 지연 없이 이를 알리기 위해 합당한 조치를 취할 것입니다. 보안 인시던트에는 실패한 로그인 시도, 핑, 포트 스캔, 서비스 거부 공격 또는 방화벽이나 네트워크 시스템에 대한 기타 네트워크 공격을 포함하여 개인 데이터의 보안을 손상시키지 않는 실패한 시도 또는 활동이 포함되지 않습니다. 고객에게 보안 인시던트를 통지한다고 해서 Momentive가 책임을 수락하는 것은 아닙니다.

7.3 Momentive는 또한 보안 인시던트에 관련한 일체의 조사에 대해 필요한 통지를 준비하는 데 있어 합리적으로 고객과 협력하고, 기타 모든 보안 인시던트와 관련하여 고객이 합리적으로 요청한 기타 다른 정보를 제공합니다.

8.1 감사. Momentive가 처리자로서만 고객을 위해 고객 개인 데이터를 처리하는 경우, 고객은 고객 또는 고객이 지정한 독립 감사자가 수행할 수 있는 감사에 대해 최소 한 달 전에 사전 서면 통지를 Momentive에 제공해야 합니다(감사를 수행하는 사람이 Momentive의 경쟁업체이거나 경쟁업체를 대신할 수 없다는 조건하에)(‘감사’). 감사 범위는 다음과 같습니다.

(a) 고객에 대해 확립된 권한을 가진 규제 기관이 같은 해에 1회 이상의 감사를 수행하거나 수행을 촉진하도록 달리 법적으로 강제하거나 요구하지 않는 한, 고객은 구독 연도당 한 번만 감사를 수행할 자격이 있습니다(이 경우 고객과 Momentive는 그러한 감사에 앞서 Momentive의 감사 비용에 대한 합당한 환급 비율에 동의합니다).

(b) Momentive는 적절하고 합리적인 비밀 유지 제한을 조건으로, 당사가 유지하는 인증과 준수 기준의 증거를 제공할 것에 동의하며, 요청이 있을 경우 Momentive의 최신 연간 침투 테스트에 대한 요약 내용을 고객에게 제공할 수 있도록 할 것이며, 그 요약에는 그러한 침투 테스트 결과에 따라 Momentive가 취한 해결 조치가 포함되어 있어야 합니다.

(c) 감사 범위는 고객 개인 데이터의 처리와 보호에 관련된 Momentive 시스템, 프로세스 및 문서에 한정될 것이며, 감사자는 Momentive가 요청한 적절하고 합리적인 비밀 유지 제한을 조건으로 감사를 수행할 것입니다.

(d) 고객은 감사 과정 동안 발견된 모든 감지된 비준수 또는 보안 우려사항에 관하여 기밀을 유지하고 바로 Momentive에 알리고 세부정보를 제공하게 됩니다.

8.2 당사자들은 고객에 대해 권한이 있는 감독 기관이나 규제 기관의 명령이나 기타 구속적인 법령에 의해 달리 요청되는 것을 제외하고, 본 섹션 8이 고객의 Momentive 감사 권리에 대한 전체 범위를 규정하고 있음에 동의합니다.

9.1 유럽 경제 지역(‘EEA’), 스위스 또는 영국의 고객 개인 데이터를 유럽 위원회나 관련 데이터 보호 법규에 따른 적합한 데이터 보호 기준이 없는 EEA, 스위스 및 영국 외부의 위치로 직접 전송하거나 제3자를 통해 전송하는 경우 Momentive는 적용되는 범위까지 고객 개인 데이터 전송에 대해 다음의 기준을 따릅니다.

(a) SCC

(b) UK GDPR, UK Addendum에 의거한 전송, 또는

(c) 데이터 보호 법률하에 지정되고 허용되는 기타 보호책 또는 계약 수정(적절한 대로 제한된 범위 내). 

9.2 필요한 곳에서 양측은 이로써 SCC(사본은 여기에서 참조) 및 UK Addendum(부록 3)을 체결하는 바입니다. SCC는 본 계약에 언급되며 다음과 같이 적용되어야 합니다. 

(a) 고객이 서비스를 위해 계약하에 Momentive Inc.와 미국에서 계약을 맺고 고객이 고객 개인 정보의 데이터 컨트롤러이고, 서비스 사용을 통해 고객 개인 데이터를 유럽 위원회에 의해 개인 데이터에 대해 적합한 수준의 보호를 제공하는 것으로 판명되지 않은 위치로 EEA로부터 전송하는 경우, Momentive는 데이터 임포터로서 SCC를 체결하고, 고객은 데이터 익스포터로서 SCC를 체결하며 SCC의 모듈 2만 적용됩니다.

(a) 고객이 서비스 계약하에 Momentive Inc.와 미국에서 계약을 맺고 고객이 고객 개인 정보의 데이터 처리자이고, 서비스 사용을 통해 고객 개인 데이터를 유럽연합에 의해 개인 데이터에 대해 적합한 수준의 보호를 제공하는 것으로 판명되지 않은 위치로 EEA로부터 전송하는 경우, Momentive는 데이터 임포터로서 SCC를 체결하고, 고객은 데이터 익스포터로서 SCC를 체결하며 SCC의 모듈 3만 적용됩니다.

(a) 고객이 EEA의 거주인이 아니고 계약하에 EEA 내에 고객 개인 데이터를 저장하기 위해 Momentive Europe UC와 계약을 맺으며, 그 고객이 고객 개인 데이터의 데이터 컨트롤러이고, 서비스 사용을 통해 개인 데이터를 유럽연합에 의해 개인 데이터에 대해 적합한 수준의 보호를 제공하는 것으로 판명되지 않은 위치로 EEA로부터 전송하는 경우, Momentive는 데이터 익스포터로서 SCC를 체결하고, 고객은 데이터 임포터로서 SCC를 체결하며 SCC의 모듈 4만 적용됩니다.

(d) 7항에서 선택적 도킹 항(docking clause)이 적용됩니다.

(e) 11항에서 선택적 언어는 적용되지 않습니다.

(f) 17항에서 SCC는 아일랜드 법의 적용을 받습니다.

(g) 18항에서 분쟁은 아일랜드 법정에서 해결되어야 합니다.

(h) SCC의 부록 I 및 II는 계약 내에 포함된 정보 및 본 DPA의 부록에 제공된 상세 설명과 함께 완전한 것으로 간주되어야 합니다.

9.3 FADP/nFADP로 보호되는 전송의 경우, 위의 섹션 9.2에 따라 SCC가 적용됩니다. 단, 다음과 같은 경우는 제외됩니다. 

(a) GDPR과 관련하여 SCC에 언급된 모든 사항이 FADP/nFADP와 관련하여 언급된 사항으로 해석되는 경우  

(b) ‘EU’, ‘연합’, ‘회원국 법률’과 관련하여 언급된 모든 사항이 스위스 법률과 관련하여 언급된 모든 사항으로 해석되는 경우 및  

(c) ‘적격한 감독 권한’ 및 ‘적격한 법원’과 관련하여 언급된 모든 사항이 스위스의 관련 데이터 보호 권한 및 법원과 관련하여 언급된 사항으로 해석되는 경우. 단, 상기 설명된 대로 이행된 SCC를 FADP/nFADP에 따라 고객 개인 데이터를 합법적으로 전송하는 데 사용할 수 없을 때 스위스 SCC를 본 DPA에 언급된 사항 및 DPA의 일부분으로 포함하고 그러한 전송에 적용해야 하는 경우는 제외입니다. 스위스 SCC를 이행하기 위해서는 스위스 SCC의 관련 첨부 사항을 본 DPA의 부록 I 및 부록 II에 포함된 정보를 사용해서 덧붙여야 하며(해당되는 경우), 섹션 9.3에 설명된 해석 조항을 적용해야 합니다(해당되는 경우 및 FADP/nFADP 준수에 필요한 경우).  

9.4 서면 요청 시 표준 계약 조항 또는 UK Addendum(적용되는 경우)에 따라, Momentive는 처리자로서 고객에 대해 수행할 수 있는 역할로 데이터 임포터와 체결한 표준 계약 조항 또는 UK Addendum의 사본을 제공합니다.

10.1 데이터 처리에 대한 책임. 계약, 불법 행위(과실 포함), 법적 의무 위반 또는 본 DPA로 인해 또는 이와 관련하여 발생하는 모든 배상 청구에 대한 각 당사자의 총 책임은 서면으로 달리 합의하지 않는 한 계약에 명시된 대로입니다.

10.2 충돌. (i)본 DPA의 주제와 관련하여 본 DPA의 조건과 본 계약의 조건이 상충하거나 모호한 경우 본 DPA의 조건이 우선하며, (ii) 본 DPA에 포함된 모든 조항 및 표준 계약 조항에 포함된 모든 조항이 상충하거나 모호한 경우, 표준 계약 조항에 포함된 조항이 우선합니다.

10.3 독립적 처리. 고객은 서비스와 관련되지 않은 개인 데이터의 모든 독립적 수집 및 처리와 관련하여 데이터 보호 법률을 준수할 전적인 책임이 있습니다. 고객은 고객 고유의 명료하며 눈에 잘 띄는 개인정보 보호 통지를 제공해야 하며 이러한 개인정보 보호 통지는 어떻게 개인 정보를 보호하는지 정확하게 설명해야 하고 Momentive는 고객이 개인 데이터를 취급하는 방법에 대해 그 어떠한 책임도 지지 않습니다. 고객은 이로써 그러한 상황에서 고객이 개인 데이터를 수집하고 사용하는 것으로부터 발생하는 그 어떠한 배상 청구나 책임에 대해서도 Momentive를 면책합니다.

10.4 완전 합의. 계약(본 DPA를 포함) 및 모든 주문 양식은 당사자들의 전체 계약을 나타내며 해당 주제에 관한 서면 또는 구두의 다른 모든 이전 또는 현재 계약 또는 조건을 대체합니다. 각 당사자는 계약 체결을 유도하는 본 계약에 기록되어 있지 않은 진술에는 의존하지 않았음을 확인합니다.

10.5 분리 가능성. 본 DPA의 어느 조항이든 관할 법원에 의해 집행이 불가능하다고 판단되는 경우, 해당 조항은 분리되며 나머지 약관은 그대로 효력을 유지합니다. 본 DPA 내의 그 어떠한 내용도 당사자들 간에 파트너십이나 조인트 벤처를 수립하고자 하는 의도가 없으며, 그렇게 간주되지도 말아야 하고, 본 문서에서 명료하게 명시하지 않은 한, 상대 당사자를 위해서나 그 당사자를 위해 어떠한 약정을 체결하도록 승인하는 것도 아닙니다.

10.6 전자 사본. DPA는 전자 문서로 제공됩니다.

10.7 준거법. 이 DPA는 아일랜드 법의 적용을 받으며 양측은 미국 내 주정부 또는 연방정부에서의 현재 또는 미래의 개인정보 보호 법, 규정, 기준, 규제 지침 및 자가 규제 지침 위반 또는 위반 혐의가 있는 경우를 제외하고 모든 계약 및 비계약 분쟁과 관련하여 아일랜드 법원의 전속 관할권에 따릅니다. 미국의 경우 법에서 달리 지시하지 않는 한 캘리포니아주 법이 적용됩니다.

Momentive가 구현한 기술적이고 조직적인 보안 대책의 설명 

Momentive는 고객에게 서비스를 제공하기 위해 받은 개인 데이터의 보안, 기밀성, 무결성 보호를 위해 적절한 행정적, 물리적, 기술적 보안 장치(‘보안 장치’)를 유지할 것입니다. 

보안 장치에는 다음이 포함됩니다. 

(a) 영역: 정보 보안 조직화.

(i) 보안 역할 및 책임. 데이터에 접근할 수 있는 Momentive 담당자는 기밀성 책임의 적용을 받습니다.

(ii) 위험 관리 프로그램. Momentive는 데이터를 처리하기 전에 적절한 곳에서 위험 평가를 수행합니다.

(b) 영역: 자산 관리.

(i) 자산 취급.

(1) Momentive에는 고객의 데이터가 포함된 인쇄 자료를 파기 처분하는 절차가 수립되어 있습니다.

(2) Momentive는 고객 데이터가 저장된 모든 하드웨어의 목록을 유지합니다.

(c) 영역: 인적 지원 보안.

(i) 보안 교육.

(1) Momentive는 그 직원들에게 관련 보안 절차와 각자의 맡은 역할에 대해 알립니다. Momentive는 또한 그 직원들에게 보안 규칙과 절차를 위반하는 데 따른 가능한 결과에 대해서도 알립니다.

(d) 영역: 물리적 및 환경적 보안.

(i) 시설에 대한 물리적 접근. Momentive는 고객 데이터를 처리하는 정보 시스템이 소재한 시설은 신원이 파악된 개인에게로만 접근을 제한합니다.

(ii) 장애로부터의 보호. Momentive는 여러 가지 업계 표준 시스템을 이용하여 전력 공급 차단이나 전선 간섭으로부터 데이터 손실을 방지합니다.

(iii) 요소 처분. Momentive는 고객 데이터가 더 이상 필요하지 않은 경우, 업계 표준 절차를 이용하여 삭제합니다.

(e) 영역: 커뮤니케이션 및 운영 관리. 

(i) 운영 정책. Momentive는 보안 조치 및 관련 절차와 고객 데이터에 액세스할 수 있는 담당자의 책임을 설명하는 보안 문서를 유지합니다. 

(ii) 데이터 복구 절차. 

(1) Momentive는 정기적이고 지속적으로 고객 데이터의 백업 사본을 만들어 원본을 손실하는 경우 이러한 사본으로부터 데이터를 복구할 수 있도록 합니다. 

(2) Momentive는 고객 데이터를 처리하는 주 컴퓨터 장비가 위치한 곳과 다른 위치에 고객 데이터 사본과 데이터 복구 절차를 보관합니다. 

(3) Momentive에는 고객 데이터 사본의 접근을 관장하는 구체적인 절차가 수립되어 있습니다. 

(iii) 악성 소프트웨어. Momentive는 맬웨어 방지 통제 장치를 통해 공중망에서 기인한 악성 소프트웨어를 포함하여 악성 소프트웨어가 고객 데이터에 무단 접근하는 것을 방지합니다.

(iv) 경계를 넘는 데이터. 

(1) Momentive는 공중망을 통해 전송되는 고객 데이터를 암호화합니다. 

(v) 이벤트 기록.

(1) Momentive는 데이터 처리 시스템의 사용도를 기록합니다. 

(2) Momentive는 액세스 ID, 타임스탬프, 특정 관련 활동을 등록하여 고객 데이터를 포함하는 정보 시스템에 대한 접근과 사용도를 기록합니다.

(f) 영역: 정보 보안 인시던트 관리.

(i) 인시던트 대응 절차. 

(1) Momentive는 인시던트 대응 계획을 유지합니다.  

(2) Momentive는 보안 침해에 대한 설명, 기간, 침해의 결과, 신고자의 이름, 침해 사실을 신고받은 사람, 해결 절차(해당되는 경우)와 함께 보안 침해에 대한 기록을 유지합니다.

(g) 영역: 비즈니스 연속성 관리.

(i) Momentive의 중복적인 스토리지와 데이터 복구 절차는 고객 데이터가 손실되거나 파괴되기 전과 같은 원래의 상태대로 복구하기 위해 고안되었습니다.   

(h) 처리 영역에 대한 접근 통제.  고객 개인 데이터가 처리되거나 사용되는 전화기, 데이터베이스 및 애플리케이션 서버와 관련 하드웨어 등의 데이터 처리 장비에 승인되지 않은 사람이 접근하지 못하게 하는 절차로 다음을 포함합니다. 

(i) 보안 영역 수립 

(ii) 액세스 경로 보호 및 제한

(iii) 휴대폰 보안   

(iv) 데이터 처리 장비 및 개인 컴퓨터 보안

(v) 고객 개인 데이터가 호스팅되는 데이터 센터에 대한 모든 접근은 기록, 감시 및 추적됩니다.  

(vi) 고객 개인 데이터가 호스팅되는 데이터 센터는 보안 경보 시스템 및 기타 적절한 보안 조치로 보호됩니다. 

(vii) 시설은 악천후가 달리 합당하게 예측이 가능한 자연 환경을 견딜 수 있도록 고안되었으며, 24시간 내내 경비, 키카드 및/또는 생체 인식(위험 수준에 적절하게) 스크리링 및 호위 통제 액세스로 보호되며 전력 공급이 차단되는 경우를 위해 현장 백업 발전기로 지원됩니다.

(i) 데이터 처리 시스템에 대한 접근 통제. 승인되지 않은 사람이 데이터 처리 시스템을 사용하지 못하도록 하는 절차로 다음을 포함합니다.  

(i) 데이터 처리 시스템에 대한 단말기 및/또는 단말기 사용자 신원 확인 

(ii) 사용자 단말기를 사용하지 않은 상태로 방치할 경우 30분 이하로 자동 타임아웃되고, 다시 시작하려면 ID 및 비밀번호 필요

(iii) ID 코드 발행 및 보호

(iv) 비밀번호 복잡성 요건(최소 길이, 비밀번호 만료 등)

(v) 업계 표준 방화벽을 통해 외부 접근으로부터 보호

(j) 데이터 처리 시스템의 특정 영역 사용에 대한 접근 통제. 데이터 처리 시스템을 사용할 수 있는 자격이 있는 사람이 그 자격에 주어진 액세스 권한(승인)이 적용되는 범위까지만 데이터에 액세스할 수 있고 고객 개인 데이터가 승인 없이 읽히거나, 복사되거나, 변경되거나, 제거될 수 없도록 하는 조치로 다음을 포함합니다.

(i) 구속력이 있는 직원 정책을 구현하고 각 직원의 고객 개인 데이터 액세스 권한에 관련된 교육 제공

(ii) 승인 없이 고객 개인 데이터에 액세스하는 개인을 상대로 한 효과적이면서도 알맞은 징계 조치 

(iii) 승인된 사람에게만 데이터 공개 

(iv) ‘필요한 경우에만’ 고객 개인 데이터를 포함한 정보에 대해 가장 낮은 수준의 권한을 부여하는 원칙 구현

(v) VPN, 2단계 인증, 역할 기반 접근 통제를 기반으로 한 프로덕션 네트워크 및 데이터 액세스 관리

(vi) 문제 해결, 보안 검토 및 분석을 위해 애플리케이션 및 인프라 시스템이 중앙 관리 기록 시설로 정보 기록

(vii) 적용되는 법규에 따르고, 다루어지는 데이터와 그에 따른 위험 속성에 적절한 백업 사본 유지를 통제하는 정책

(k) 전송 통제. 전송 도중 또는 데이터 미디어 이전 중 승인되지 않은 당사자가 고객 개인 데이터를 읽거나, 복사하거나, 변경하거나, 삭제하는 것을 방지하고 고객 개인 데이터가 데이터 전송 시설을 통해 어느 기관에 전송되었는지 확인하고 설정할 수 있도록 하는 절차로 다음을 포함합니다.

(i) 방화벽 및 암호화 기술을 사용하여 데이터가 이동하는 경로인 게이트웨이와 파이프라인 보호

(ii) 내부 기업 네트워크에 대한 연결을 보호하기 위한 VPN 연결 구현

(iii) 인프라의 지속적인 모니터링(예: 네트워크 수준에서 ICMP-핑, 시스템 수준에서 디스크 공간 검사, 애플리케이션 수준에서 지정된 테스트 페이지의 성공적인 전달)

(iv) 데이터 전송의 완전성 및 정확성 모니터링(종단 간 확인) 

(l) 스토리지 통제. 고객 개인 데이터를 저장할 때: 상업적으로 지원되는 암호화 솔루션을 사용하여 지정된 백업 및 복구 프로세스의 일부로 암호화된 형태로 백업되며, 휴대용 또는 랩톱 컴퓨팅 장치 또는 휴대용 저장 매체에 저장되고 고객 개인 데이터로 정의된 모든 데이터도 그와 마찬가지로 암호화됩니다. 암호화 솔루션은 대칭 암호화의 경우 128비트 이상의 키와 비대칭 암호화의 경우 1024비트 이상의 키 길이로 배포됩니다.

(m) 입력 통제. 고객 개인 데이터가 데이터 처리 시스템에 입력되었거나 제거되었는지 여부와 그러한 작업을 수행한 당사자를 확인하고 설정할 수 있도록 하는 조치로 다음을 포함합니다.

(i) 승인된 직원 인증

(ii) 메모리에 입력된 데이터 및 저장된 데이터의 읽기, 변경 및 삭제에 대한 보호 조치

(iii) 사용자 코드(비밀번호) 활용

(iv) 데이터를 가져온 사람의 조직 내에서 확립된 입력 승인에 대한 증거

(v) 데이터 처리 시설(컴퓨터 하드웨어 및 관련 장비가 있는 실내 시설)의 입구가 잠겨 있도록 보장

(n) 가용성 통제. 데이터베이스 서버에서 수행되는 인프라 중복 및 정기 백업을 포함하여 고객 개인 데이터가 우발적인 파괴 또는 손실로부터 보호되도록 보장하는 조치. 

(o) 처리의 분리. 다양한 목적으로 수집된 데이터가 별도로 처리될 수 있도록 하는 절차로 다음을 포함합니다.

(i) 적절한 사용자를 위한 애플리케이션 보안을 통한 데이터 분리

(ii) 데이터베이스 수준에서 지원하는 모듈 또는 기능별로 구분된 서로 다른 테이블에 데이터 저장

(iii) 특정 목적과 기능에 대해서만 인터페이스, 배치 프로세스 및 보고서를 설계하여 특정 목적을 위해 수집된 데이터를 별도로 처리

(iv) 테스트 목적으로 생성된 더미 데이터만 테스트 목적으로 사용될 수 있도록 하고 라이브 데이터는 테스트 목적으로 사용되는 것을 금지

(p) 취약성 관리 프로그램. 시스템의 취약성을 정기적으로 점검하고 발견된 모든 취약점을 즉시 수정하도록 하는 프로그램으로 다음을 포함합니다.

(i) 테스트 및 프로덕션 환경을 포함한 모든 네트워크를 정기적으로 검사

(ii) 정기적으로 침투 테스트를 수행하고 취약점을 신속하게 수정

(q) 데이터 파기. 어느 쪽에 의해서든 또는 데이터 주체나 규제 기관의 요청에 따라 계약이 만료 또는 해지된 경우 데이터는 다음과 같이 처리됩니다.

(i) 모든 고객 데이터는 3개월 이내에 안전하게 파기됩니다.

(ii) 법에 따라 Momentive가 데이터 범주를 더 오래 보관해야 하는 경우는 예외로 하되, 모든 고객 데이터는 해지 또는 고객으로부터 요청을 받은 지 6개월 이내에 백업을 포함하여 모든 Momentive 및/또는 제3자 스토리지 장치에서 삭제되어야 합니다. Momentive는 더 이상 필요하지 않은 모든 데이터를 더 이상 복구할 수 없다고 확신할 수 있는 수준까지 파기합니다.

(r) 기준 및 인증. 데이터 스토리지 솔루션 및/또는 위치에는 최소 SOC 1(SSAE 16) 또는 SOC 2 보고서가 준비되어 있으며, 이와 동등하거나 유사한 인증 또는 보안 수준은 사례별로 검토됩니다.

개인 데이터 처리의 목적 및 특성, 개인 데이터의 범주, 데이터 주체 

표준 계약 조항 부록

부록 I -

A. 당사자 목록

모듈 2: 컨트롤러로부터 처리자로 전송

모듈 3: 처리자로부터 처리자로 전송

모듈 4: 처리자로부터 컨트롤러로 전송

데이터 익스포터: 계약에 명시된 바와 같음

연락처 이름, 직책 및 연락처 상세 정보: 계약에 명시된 바와 같음

본 조항하에 전송된 데이터와 관련된 활동: DPA의 부록 2A에 명시된 바와 같음

데이터 임포터: 계약에 명시된 바와 같음

이름: 계약에 명시된 바와 같음

연락처 이름, 직책 및 연락처 상세 정보: 계약에 명시된 바와 같음

본 조항하에 전송된 데이터와 관련된 활동: DPA의 부록 2A에 명시된 바와 같음

B. 전송 설명

모듈 2: 컨트롤러로부터 처리자로 전송

모듈 3: 처리자로부터 처리자로 전송

모듈 4: 처리자로부터 컨트롤러로 전송

개인 정보가 전송되는 데이터 주체의 범주: DPA의 부록 2A에 명시된 바와 같음

전송된 개인 데이터의 범주: DPA의 부록 2에 명시된 바와 같음

전송된 민감성 데이터(적용되는 경우) 및 예를 들어 엄격한 목적 제한, 접근 제한(특별한 훈련을 거친 담당자들에게만 접근을 허용하는 것 포함), 데이터 접근에 대한 기록 보유, 제3자를 통한 전송 제한, 또는 추가 보안 대책 등과 같이 데이터의 특성과 개입된 위험을 완전히 고려하여 적용된 제한이나 보호 대책: DPA 부록 1 및 2에 명시된 바와 같음

전송의 빈도(예: 데이터가 일회성 또는 반복적인 일정으로 전송되는지의 여부): 일회성 또는 반복성(서비스 사용에 따라 다름)

처리 특성: DPA의 부록 2에 명시된 바와 같음

데이터 전송 및 추가 처리의 목적: DPA의 부록 2에 명시된 바와 같음

개인 데이터가 유지되는 기간, 또는 가능하지 않은 경우, 그 기간을 결정하는 기준: 계약 내 여기에서 명시된 바와 같음

(하위) 처리자에게로 전송하는 경우, 주제, 특성, 처리 기간도 명시: 여기를 참조.

C. 감독 권한

(f) 13항에 따라 감독 권한 파악: 아일랜드

부록 II - DPA 부록 1에 명시된 바와 같은 기술적 및 조직적 대책

부록 III - 하위 처리자 목록

모듈 2: 컨트롤러로부터 처리자로 전송

모듈 3: 처리자로부터 처리자로 전송

모듈 4: 처리자로부터 컨트롤러로 이전 고객은 다음의 하위 처리자를 이용할 권한이 있음: 여기를 참조.

UK ADDENDUM 

1. UK GDPR 데이터 전송과 관련하여 당사자들은 이로써 UK Addendum(여기에서 사본 이용)을 체결하는 바이며 UK Addendum은 본 계약에 언급됨으로써 포함됩니다. UK GDPR이 적용되는 데이터 전송의 경우, ‘적격한 감독 권한’ 및 ‘적격한 법원’과 관련하여 언급된 모든 사항은 영국의 관련 데이터 보호 권한 및 법원과 관련하여 언급된 사항으로 해석됩니다. 

2. 당사자들은 UK Addendum 1부에 있는 표의 형식과 내용이 아래 표로 개정되고 교체된다는 것에 동의합니다.

3. 본 계약과 UK Addendum 간에 충돌이나 불일치성이 있는 경우, UK Addendum이 그러한 충돌이나 불일치에 관련하여 적용되고 우선합니다.