제품

SurveyMonkey는 모든 사용 사례와 요구를 다루도록 구축되었습니다. 제품을 둘러보고 SurveyMonkey로 어떤 효과를 누릴 수 있는지 알아보세요.

온라인 설문조사의 글로벌 리더로부터 데이터 기반 인사이트를 얻으세요.

100개 이상의 앱 및 플러그인과 연동하여 업무 효율성 향상

정보 수집과 결제를 위한 온라인 양식을 만들고 맞춤화하세요.

빌트인 AI을 통한 더 나은 설문조사 작성과 빠른 인사이트 발견

시장 조사에 필요한 모든 것을 갖춘 솔루션

기본서식

비즈니스에 대한 고객 만족도와 충성도를 측정

고객을 만족시켜 지지자로 만드는 것이 무엇인지 파악

실행 가능한 인사이트를 얻어 사용자 경험을 개선

잠재 고객, 참석자 등으로부터 연락처 정보를 수집

다음 이벤트를 위해 쉽게 RSVP를 받고 확인

다음 이벤트 개선을 위해 참석자가 무엇을 원하는지 파악

참여도를 높이고 더 나은 결과를 이끌어낼 인사이트를 발견

참석자들의 피드백을 받아 회의 운영 방법을 개선

동료 피드백을 통한 직원 성과 향상

더 나은 코스를 만들고 교수법을 개선

학생들이 코스 자료 및 프레젠테이션을 어떻게 평가하는지 파악

신제품 아이디어에 대한 고객의 생각을 파악

리소스

설문조사 및 설문조사 데이터 사용에 대한 모범 사례

설문조사, 비즈니스를 위한 팁 등에 관한 블로그

SurveyMonkey 이용에 대한 튜토리얼 및 사용법 가이드

일류 브랜드들이 SurveyMonkey로 성장을 견인하는 방법

영업팀에 문의로그인
영업팀에 문의로그인

여기에서 SurveyMonkey 고객 DPA 사본을 다운로드할 수 있습니다.

표준 계약 조항

본 DPA는 가능한 모든 SCC 구성을 포함하기 위해 마련되었습니다. 일부 조항은 귀사에 해당되지 않을 수도 있습니다. 자세한 설명은 아래를 참조하십시오.  

  • EU 또는 영국 고객인 경우에는 SurveyMonkey 아일랜드 법인과 계약을 체결하는 것이며 EU/영국 법인 간에 SCC가 필요하지 않기 때문에 귀사에 SCC가 필요하지 않습니다.
  • 미국 고객이고 귀사를 데이터 컨트롤러로 간주하는 경우에는 섹션 9.2(a)가 귀사에 적용됩니다. 귀사는 컨트롤러 및 익스포터가 되고, SurveyMonkey는 처리자 및 임포터가 됩니다. 그에 따라 SCC 모듈 2가 귀사의 계약에 적용됩니다. 
  • 미국 고객이고 귀사를 처리자로 간주하는 경우에는 섹션 9.2(b)가 귀사에 적용됩니다. 귀사는 처리자 및 익스포터가 되고, SurveyMonkey는 (하위) 처리자 및 임포터가 됩니다. 그에 따라 SCC 모듈 3이 귀사의 계약에 적용됩니다. 
  • 미국, EU 또는 영국에 있지는 않지만 당사의 EU 데이터 스토리지를 사용하기로 선택하는 경우에는 섹션 9.2(c)가 귀사에 적용됩니다. 귀사는 컨트롤러 및 임포터가 되고, SurveyMonkey는 처리자 및 익스포터가 됩니다. 그에 따라 SCC 모듈 4가 귀사의 계약에 적용됩니다. 
  • 미국, 유럽연합 또는 영국에 거주하지 않고 SurveyMonkey의 EU 데이터 스토리지를 사용하지 않는 경우, 개인 데이터가 SurveyMonkey Europe UC(아일랜드 소재)에 전송되므로 SCC가 필요하지 않습니다. EU로 전송하는 데 따른 전송 메커니즘이 필요하지 않습니다.

본 SurveyMonkey 데이터 처리 계약(‘DPA’)은 귀사와 SurveyMonkey 간에 맺은 계약의 일부를 형성하며 해당되는 경우 데이터 보호 법률에 따라 데이터 보호, 개인정보 보호, 보안과 관련된 특정 조건을 포함합니다. 서로 다른 데이터 보호 법률과 규정 간에 충돌이 있는 경우(그리고 그 정도로만) 당사자들은 더 엄격한 요건이나 더 높은 기준을 준수하며, 이와 관련하여 분쟁이 발생하면 SurveyMonkey가 단독으로 판단합니다. 

본 DPA는 고객과 다음과 같이 결정되는 해당 SurveyMonkey 법인 사이에 체결됩니다. 

(i) 미국 외 다른 국가에 소재하는 고객의 경우, SurveyMonkey Europe UC가 계약 주체가 됩니다. 

(ii) 미국에 소재하는 고객의 경우, SurveyMonkey Inc.가 계약 주체가 됩니다. 

DPA의 최신 버전입니다(2024년 2월 15일). 

본 DPA에서 다음과 같은 용어는 문맥상 달리 필요하지 않은 한 다음과 같은 정의가 주어집니다. 

계약’은 서비스에 대해 SurveyMonkey Inc. 또는 SurveyMonkey Europe과 고객 사이의 모든 계약을 뜻합니다. 이러한 계약은 ‘주문 양식’, ‘판매 주문’, ‘이용 약관’ 또는 ‘마스터 또는 준거 서비스 계약’ 등 다양한 명칭을 가질 수 있습니다. 

제28조’는 고객 개인 데이터 처리에 적용되는 GDPR 및 UK GDPR의 제28조를 뜻합니다. 

고객’ 또는 ‘귀하’는 계약에 명시되어 있거나 계약의 당사자인 고객을 뜻합니다. 

고객 데이터’는 고객이 서비스를 이용하여 고객 본인 또는 고객 대리인이 SurveyMonkey에 제공하거나 제3자가 서비스를 통해 고객에게 제출하는 모든 데이터(고객 개인 데이터를 포함하나 이에 제한되지 않음)를 뜻합니다. 

고객 개인 데이터’는 고객이 서비스에 제출하거나 고객에게 제출되는 데이터로서 본 DPA의 부록 2에 명시된 개인 데이터를 포함하나 이에 제한되지 않고 SurveyMonkey가 고객에게 서비스를 제공할 목적으로 처리하는 모든 개인 데이터를 뜻합니다. 

데이터 보호 법률’은 계약에 따라 개인 데이터의 처리와 관련하여 처리자 또는 서비스 제공업체로서의 SurveyMonkey에 직접 적용되는 모든 필수 데이터 보호 법률 또는 개인정보 보호 법률을 뜻하며 다음을 포함합니다. 
(i) 일반 데이터 보호 규정(규정(EU) 2016/679)(‘GDPR’) 및 기타 모든 관련 EU, EEA 또는 유럽 단일 시장 회원국의 법이나 규정 또는 계약하에 개인 데이터를 처리하는 데 적용되는 이러한 동일한 사항들의 업데이트, 개정 또는 대체 사항

(ii) 스위스 새 연방 데이터 보호법(new Federal Act on Data Protection Act, ‘nFADP’)

(iii) 2018 (Cal. Civ. Code §§ 1798.100 - 1798.199) 캘리포니아 소비자 개인정보 보호법(‘CCPA’)을 포함하나 이에 제한되지 않고 계약 하에 개인 데이터를 처리하는 데 적용되는 모든 미국 법과 규정 

(iv) 영국에 확립되어 있으며 계약하에 때때로 개인 데이터를 처리하는 데 적용되는 모든 법과 규정(UK GDPR 포함)

(v) 개인 정보 보호 및 전자 문서 보호법(‘PIPEDA’) 또는 캐나다에서 개인 데이터를 처리하는 데 적용되는 이러한 동일한 사항들의 업데이트, 개정 또는 대체

‘컨트롤러’, ‘데이터 보호 영향 평가’, ‘처리’, ‘처리자’, ‘감독 기관’과 같은 용어는 GDPR 또는 UK GDPR에 정의된 것과 동일한 의미입니다.

‘비즈니스’, ‘비즈니스 목적’, ‘상업적 목적’, ‘개인 정보’, ‘서비스 제공업체’, ‘판매’ 및 ‘공유’라는 용어는 CCPA에 정의된 것과 동일한 의미를 갖습니다. 

SurveyMonkey’, ‘당사’ 또는 ‘저희’는 미국에 소재한 고객에게는 SurveyMonkey Inc.를 뜻하며, 미국 밖에 소재한 고객에게는 SurveyMonkey Europe을 뜻합니다. 

SurveyMonkey Europe’은 2 Shelbourne Buildings, Second Floor, Shelbourne Road, Dublin 4, Ireland에 소재한 아일랜드 회사인 SurveyMonkey Europe UC를 뜻합니다. .

SurveyMonkey Inc.’는 One Curiosity Way, San Mateo, CA 94403, United States에 소재한 델라웨어 회사인 SurveyMonkey Inc.를 뜻합니다.  

SurveyMonkey 개인정보 보호 공지’는 https://ko.surveymonkey.com/mp/legal/privacy/에 있는 SurveyMonkey 개인정보 보호 공지를 뜻합니다.

개인 데이터’는 해당 정보 자체만으로, 또는 해당 정보와 다른 정보를 함께 활용하여 합리적으로 식별할 수 있는 실제 존재하는 개인과 관련된 정보를 의미합니다(‘데이터 주체’).

서비스’는 본 계약에 따라 SurveyMonkey로부터 고객이 주문한 서비스를 뜻합니다. 

SCC’는 i) GDPR에 의거하여 제3국으로 개인 데이터를 전송하기 위한 표준 계약 조항에 관한 2021년 6월 4일의 유럽연합 집행위원회 결정(European Commission Decision) 또는 ii) (SurveyMonkey가 i)에 명시된 표준 계약 조항을 체결한 시간까지) Directive 95/46/EC에 따라 제3국에 설립된 처리자에게 고객 개인 데이터를 전송하는 데 대한 2010년 2월 5일의 유럽연합 집행위원회 결정(European Commission Decision)에 통합된 ‘표준 계약 조항(Standard Contractual Clauses)’을 뜻합니다. nFADP가 적용되는 경우, SCC에 언급된 모든 사항은 nFADP에 해당되는 사항으로 이해되어야 합니다. 따라서 본 문맥에서 사용된 모든 용어에는 nFADP에서 제공된 정의가 적용됩니다.

UK Addendum’은 (i) 2022년 2월 2일 UK Data Protection Act 2018의 섹션 119A에 의거하여 UK Information Commissioner's Office가 발행하고 영국 국회에 제출된 기본 부칙을 뜻하며 이는 때때로 Mandatory Clauses의 섹션 18에 의거하여 개정될 수 있습니다. 이 정의상 기본 부칙은 제목이 International Data Transfer Addendum to the EU Commission Standard Contractual, version B1.0(2022년 3월 21일 발효)인 문서 또는 (ii) (SurveyMonkey가 (i)에 명시된 UK Addendum을 체결한 시간까지) Directive 95/46/EC에 의거하여 개인 데이터를 제3국에 설립된 처리자에게 전송하는 데 대한 2010년 2월 5일의 European Commission Decision을 뜻합니다.

UK GDPR’은 European Union (Withdrawal) Act 2018의 섹션 3에 의해 잉글랜드 및 웨일즈, 스코틀랜드 및 북아일랜드의 법규 일부를 형성하는 바대로, 그리고 각기 2019년과 2020년 Data Protection, Privacy and Electronic Communications (Amendments etc.) (EU Exit) Regulations 및 영국에서 때때로 발효되어 그 후 UK GDPR을 개정하거나 대체하는 모든 법안에 따른 EU GDPR을 뜻합니다.

고객에게 서비스를 제공하는 데 있어 SurveyMonkey는 GDPR 목적상 고객 개인 데이터의 처리자입니다. 경우에 따라 CCPA와 관련하여 SurveyMonkey와 고객은 SurveyMonkey가 서비스 제공업체이고 고객은 개인 정보와 관련하여 비즈니스라는 것에 동의합니다.

본 DPA는 해당 조건에 따라 계약이 해지되거나 만료될 때까지 효력을 유지합니다. 

고객은 SurveyMonkey가 본 DPA에 따라 개인 데이터를 합법적으로 처리하고 전송할 수 있도록 고객 데이터를 SurveyMonkey로 전송할 수 있는 권리가 있다는 것을 보장하며 이를 보증하고 대변하는 바입니다. 고객은 그 어떠한 관련 데이터 주체도 데이터 보호 법률이 요구하는 바에 따라 그러한 사용, 처리, 전송에 대한 정보를 받았으며 해당하는 경우 합법적인 동의를 확보했음을 보장해야 합니다. 고객은 SurveyMonkey에 전송되거나 처리되는 모든 개인 데이터가 합법적이고 적절하게 수행되도록 보장해야 합니다. 고객은 모든 관련 데이터 보호 법률을 준수해야 합니다.

SurveyMonkey가 처리자로서 고객을 위해 고객 개인 데이터를 처리하는 경우, SurveyMonkey는 다음과 같이 수행합니다.

(a) 다른 사법권 또는 국제 조직으로 개인 데이터의 전송에 관한 것을 포함하여 문서화된 고객 지침과 데이터 보호 법률에 따라서만 처리하며, 당사자들은 본 계약이 고객이 SurveyMonkey에 제공한(예: 이메일을 통해) 기타 적합한 지침과 함께 고객이 SurveyMonkey에게 고객 개인 데이터를 처리(EEA 밖의 지역 포함)하라고 제공한 문서화된 지침을 구성하며 이러한 지침은 본 계약과 일관성이 있음에 동의합니다. 

(b) 고객 개인 데이터 처리에 관련된 모든 SurveyMonkey 직원이 개인 데이터와 관련하여 기밀 유지 의무의 적용을 받음을 보장합니다. 

(c) 고객이 그러한 정보 요청에 대해 SurveyMonkey에 최소한 14일 전에 서면 통지를 제공한다는 전제하에 고객이 해당 정보를 SurveyMonkey가 보유하고 있고 고객이 고객의 계정 및 사용자 영역을 통해, 또는 SurveyMonkey 웹사이트에서 달리 이용할 수 없는 경우 제28조(또는 고객에게 적용되는 경우 데이터 보호 법률상 유사한 요건)에 따른 의무를 준수했음을 보여주는 데 필요한 정보를 이용 가능하도록 만들 것입니다.

(d) 고객이 요청한 대로 합당하게 협조하여 서비스 제공 시 SurveyMonkey가 처리하는 개인 데이터와 관련하여 데이터 보호 법률에 의거하여 데이터 주체에게 주어진 데이터 주체의 권리 행사를 고객이 준수할 수 있도록 고객이 합리적으로 요청한 대로 협력합니다. 

(e) 고객이 요청하는 경우, 서비스를 통해 제출된 데이터 주체의 개인 데이터와 관련하여 데이터 주체로부터 직접 받은 요청에 필요한 대로 지원을 제공합니다.

(f) 귀하가 삭제 시, 당사 보존 정책에 따라 관련 법과 규정을 준수하기 위한 목적과 재해 복구와 비즈니스 유지 목적을 위해 만든 정기 백업 사본에 달리 보관될 수 있는 바가 아니고는 귀하의 계정 내에 고객 개인 데이터를 보존하지 않습니다. 

(g) 필요한 경우, 해당 감독 기관이 업무를 수행하는 데 있어 감독 기관 또는 교체 또는 승계 기관과 수시로 협조(또는 데이터 보호 법률하에서 고객, 기타 데이터 보호 또는 프라이버시 규정이 요구하는 범위까지)합니다.

(h) 다음과 같은 경우, 고객에게 적절한 도움을 제공합니다.

(i) 고객이 서비스와 관련된 데이터 보호 영향 평가를 수행하는 경우(고객이 스스로의 평가를 수행할 수 있도록 문서를 제공하는 것을 포함할 수 있음)

(ii) 고객이 감독 기관 또는 관련 데이터 주체에게 보안 인시던트(아래 정의된 대로)를 보고해야 하는 경우

(i) 개인 정보를 판매하거나 공유하지 않을 것입니다.

(j) 다음과 같은 특정 비즈니스 및 상업적 목적 이외의 개인 정보를 수집, 보존, 사용, 공개 또는 달리 처리하지 않을 것입니다: (1) 본 계약에 설명된 바와 같이 서비스를 제공하기 위해, (2) 기존의 서비스를 개선하고 새로운 서비스를 개발하기 위해(예: 새로운 제품 또는 기능 개발을 위한 조사 수행), (3) 운영 목적과 벤더 및 연동 파트너의 운영 목적을 위해, (4) 데이터 주체의 개인 정보를 사용하는 것이 합리적으로 필요하며 이러한 목적과 비례하는 범위까지 보안 및 무결성을 보장하기 위해, (5) 기존의 의도된 기능을 손상시키는 오류를 식별하고 복구하기 위한 디버깅, (6) 당사나 벤더가 서비스에 표시하는 사용자 지정 콘텐츠와 같은 단기적이고 일시적인 사용, (7) 데이터 보호 법에 따라 허용되는 대로 당사가 귀하에게 통지하는 기타 사용.

(k) CCPA에서 명시적으로 허용하지 않는 한 SurveyMonkey와 고객 간의 직접적인 비즈니스 관계 밖에서 본 계약에 따라 수집된 개인 정보를 보존, 사용, 통합 또는 공개하지 않습니다.  

(l) 데이터 보호 법률에서 요구하는 경우, 고객으로부터 받은 지침이 데이터 보호 법률 조항을 위반한다는 사실을 알게 되면 고객에게 알립니다. 전술한 내용에도 불구하고, SurveyMonkey는 고객으로부터 받은 지침의 적법성을 모니터링하거나 검토할 의무가 없습니다. SurveyMonkey가 CCPA에 따른 의무를 더 이상 준수할 수 없다고 결정하는 경우 고객에게 알릴 것입니다.

(m) SurveyMonkey는 본 DPA와 모든 관련 데이터 보호 법률에 명시된 제한 사항과 의무를 이해하고 해당 요구 사항을 준수할 것임을 보증합니다. 

6.1 하위 처리. 고객은 본 섹션 6의 요건을 준수하는 것을 조건으로 이후 하위 처리자를 고용할 수 있는 일반적인 권한을 SurveyMonkey에 제공합니다.

6.2 하위 처리자 목록. 본 계약의 기밀 조항이나 SurveyMonkey가 달리 부과하는 바에 따라 다음과 같이 수행할 것입니다.

(a) 서비스 제공과 관련하여 고객 개인 데이터를 처리하거나 하위 처리하는 데 개입된 SurveyMonkey 하위 처리자 목록(‘하위 처리자 목록’)을 각 하위 처리자(‘하위 처리자’)가 제공하는 서비스의 특성에 대한 설명과 함께 고객이 이용할 수 있도록 합니다. 이 하위 처리자 목록의 사본은 여기에서 요청할 수 있습니다. 

(b) 하위 처리자 목록의 모든 하위 처리자는 모든 중요한 측면에서 이 DPA에 포함된 계약 조건보다 덜하지 않은 조건에 의해 구속됨을 보장합니다. 

(c) 본 계약에 달리 명시된 경우를 제외하고 SurveyMonkey의 하위 처리자의 행동 및 누락에 대해 SurveyMonkey가 각 해당 하위 처리자의 서비스를 본 DPA의 조건에 따라 직접 수행하는 것과 마찬가지로 책임을 집니다. 

6.3 신규/교체 하위 처리자.  SurveyMonkey는 본 계약 기간 중 언제라도 신규 하위 처리자가 추가되거나 기존 하위 처리자를 교체하는 경우 고객에게 이에 대한 서면 통지를 제공할 것입니다(‘신규 하위 처리자 통지’).고객은 여기에서 SurveyMonkey가 제공하는 메일링 리스트에 등록하고 SurveyMonkey는 이러한 메일링 리스트를 통해 이메일로 그러한 통지를 제공할 것이며, 고객이 직접 여기에서 목록에 대한 업데이트를 확인할 수도 있습니다. SurveyMonkey가 신규 또는 교체 하위 처리자를 이용하는 것에 대해 고객이 반대할 합당한 근거가 있는 경우, 고객은 그 어떠한 경우라도 신규 하위 처리자 통지를 받은 후 30일 이내에 신속하게 SurveyMonkey에 서면으로 이에 대해 통지해야 합니다. 고객이 그러한 합당한 반대를 제기한 경우, 고객이나 SurveyMonkey는 반대되고 있는 신규 하위 처리자를 통해서만 합당하게 제공할 수 있는 서비스에 관련된 계약의 그 어떠한 부분도 해지할 수 있으며(이는 SurveyMonkey의 재량과 선택을 기반으로 전체 계약을 해지할 수 있는 상황이 될 수도 있습니다) 이는 상대방에게 서면 통지를 제공한 이후 즉시 발효됩니다. 그러한 해지는 해지 후의 기간에 대해 고객이 미리 지불한 그 어떠한 요금에 대해서도 환불에 대한 권리가 없이 이루어집니다.

7.1 보안 조치. SurveyMonkey는 기술 수준, 시행 비용 및 서비스의 특징, 범위, 문맥 및 목적과 위험 수준을 고려하여 무단 또는 불법 처리, 고객 데이터에 대한 우발적 손실 및/또는 피해의 위험에 대해 적절한 보안 수준을 보장하기 위해 적절한 기술적, 조직적 조치를 시행했습니다(부록 1에 따라).SurveyMonkey는 합리적인 간격으로 처리의 보안을 보장하기 위해 이러한 기술적, 조직적 조치의 효과를 테스트하고 평가합니다.

7.2 보안 인시던트 및 위반 알림. SurveyMonkey가 고객 개인 데이터에 대한 무단 접근 또는 불법적인 액세스, 획득, 변경, 사용, 공개 또는 파기(‘보안 인시던트’)를 인지하는 경우 SurveyMonkey는 과도한 지연 없이 고객에게 이를 알리기 위해 합당한 조치를 취할 것입니다. 보안 인시던트에는 실패한 로그인 시도, 핑, 포트 스캔, 서비스 거부 공격 또는 방화벽이나 네트워크 시스템에 대한 기타 네트워크 공격을 포함하여 개인 데이터의 보안을 손상시키지 않는 실패한 시도 또는 활동이 포함되지 않습니다. 고객에게 보안 인시던트에 대해 통지한다고 해서 SurveyMonkey가 책임을 수락하는 것은 아닙니다.

7.3 SurveyMonkey는 또한 보안 인시던트에 관련한 일체의 조사에 대해 필요한 통지를 준비하는 데 있어 합리적으로 고객과 협력하고, 기타 모든 보안 인시던트와 관련하여 고객이 합리적으로 요청한 기타 다른 정보를 제공합니다. 

8.1 감사. SurveyMonkey가 처리자로서만 고객을 위해 고객 개인 데이터를 처리하는 경우, 고객은 감사를 수행하는 사람이 SurveyMonkey의 경쟁업체이거나 경쟁업체를 대신할 수 없다는 조건하에 고객 또는 고객이 지명한 독립 감사자가 수행할 수 있는 감사에 대해 최소 한 달 전에 사전 서면 통지를 SurveyMonkey에 제공해야 합니다(‘감사자’). 감사 범위는 다음과 같습니다.

(a) 고객에 대해 확립된 권한을 가진 규제 기관이 같은 해에 1회 이상의 감사를 수행하거나 수행을 촉진하도록 달리 법적으로 강제하거나 요구하지 않는 한, 고객은 구독 연도당 한 번만 감사를 수행할 자격이 있습니다(이 경우 고객과 SurveyMonkey는 그러한 감사에 앞서 SurveyMonkey의 감사 비용에 대한 합당한 환급 비율에 동의합니다).

(b) SurveyMonkey는 적절하고 합리적인 비밀 유지 제한을 조건으로, 당사가 유지하는 인증과 준수 기준의 증거를 제공할 것에 동의하며, 요청이 있을 경우 SurveyMonkey의 최신 연간 침투 테스트에 대한 요약 내용을 고객에게 제공할 수 있도록 할 것이며, 그 요약에는 그러한 침투 테스트 결과에 따라 SurveyMonkey가 취한 해결 조치가 포함되어 있어야 합니다. 

(c) 감사 범위는 고객 개인 데이터의 처리와 보호에 관련된 SurveyMonkey 시스템, 프로세스 및 설명서에 한정될 것이며, 감사자는 SurveyMonkey가 요청한 적절하고 합리적인 비밀 유지 제한을 조건으로 감사를 수행할 것입니다.

(d) 고객은 감사 과정 동안 발견된 모든 감지된 비준수 또는 보안 우려사항에 관하여 기밀을 유지하고 바로 SurveyMonkey에 알리고 세부정보를 제공하게 됩니다.

8.2 당사자들은 고객에 대해 권한이 있는 감독 기관이나 규제 기관의 명령이나 기타 구속적인 법령에 의해 달리 요청되는 것을 제외하고, 본 섹션 8이 고객의 SurveyMonkey 감사 권리에 대한 전체 범위를 규정하고 있음에 동의합니다.

9.1 유럽 경제 지역(‘EEA’), 스위스 또는 영국의 고객 개인 데이터를 유럽 위원회나 관련 데이터 보호 법규에 따른 적합한 데이터 보호 기준이 없는 EEA, 스위스 및 영국 밖의 위치로 전송하는 경우(직접 또는 제3자 전송을 통해) SurveyMonkey는 적용되는 범위까지 고객 개인 데이터 전송에 대해 다음의 기준을 따릅니다.

(a) SCC

(b) UK GDPR, UK Addendum에 의거한 전송, 또는

(c) 데이터 보호 법률하에 지정되고 허용되는 기타 보호책 또는 계약 수정(적절한 대로 제한된 범위 내). 

9.2 필요한 곳에서 당사자들은 이로써 SCC(여기에서 사본 이용 가능) 및 UK Addendum(부록 3)을 체결하는 바입니다. SCC는 참조로 본 계약에 통합되며 다음과 같이 적용되어야 합니다. 

(a) 고객이 서비스를 위한 계약에 따라 SurveyMonkey Inc.와 미국에서 계약을 맺고 고객 개인 데이터의 데이터 컨트롤러이며 서비스 사용을 통해 EEA로부터 고객 개인 데이터를 유럽 위원회에 의해 개인 데이터에 대해 적합한 수준의 보호를 제공하는 것으로 판명되지 않은 위치로 전송하는 경우, SurveyMonkey는 데이터 임포터로서 SCC를 체결하고 고객은 데이터 익스포터로서 SCC를 체결하며 SCC의 모듈 2만 적용됩니다.

(b) 고객이 서비스를 위한 계약에 따라 SurveyMonkey Inc.와 미국에서 계약을 맺고 고객 개인 데이터의 데이터 처리자이며 서비스 사용을 통해 EEA로부터 고객 개인 데이터를 유럽 위원회에 의해 개인 데이터에 대해 적합한 수준의 보호를 제공하는 것으로 판명되지 않은 위치로 전송하는 경우, SurveyMonkey는 데이터 임포터로서 SCC를 체결하고 고객은 데이터 익스포터로서 SCC를 체결하며 SCC의 모듈 3만 적용됩니다.

(c) 고객이 EEA 거주자가 아니고 계약에 따라 EEA 내에 고객 개인 데이터를 저장하기 위해 SurveyMonkey Europe UC와 계약을 맺고 고객 개인 데이터의 데이터 컨트롤러이며 서비스 사용을 통해 EEA로부터 개인 데이터를 유럽 위원회에 의해 개인 데이터에 대해 적합한 수준의 보호를 제공하는 것으로 판명되지 않은 위치로 전송하는 경우, SurveyMonkey는 데이터 익스포터로서 SCC를 체결하고 고객은 데이터 임포터로서 SCC를 체결하며 SCC의 모듈 4만 적용됩니다.

(d) 7항에서 선택적 도킹 항(docking clause)이 적용됩니다.

(e) 11항에서 선택적 언어는 적용되지 않습니다.

(f) 17항에서 SCC는 아일랜드 법의 적용을 받습니다.

(g) 18항에서 분쟁은 아일랜드 법정에서 해결되어야 합니다.

(h) SCC의 부록 I 및 II는 계약 내에 포함된 정보 및 본 DPA의 부록에 제공된 상세 설명과 함께 완전한 것으로 간주되어야 합니다.

9.3 nFADP로 보호되는 전송의 경우, 위의 섹션 9.2에 따라 SCC가 적용됩니다. 단, 다음과 같은 경우는 예외입니다. 

(a) GDPR과 관련하여 SCC에 언급된 모든 사항은 nFADP와 관련하여 언급된 사항으로 해석되어야 합니다.  

(b) ‘EU’, ‘연합’, ‘회원국 법률’과 관련하여 언급된 모든 사항이 스위스 법률과 관련하여 언급된 모든 사항으로 해석되는 경우 및  

(c) ‘적격한 감독 기관’ 및 ‘적격한 법원’에 대해 언급된 모든 사항은 스위스의 관련 데이터 보호 당국 및 법원과 관련하여 언급된 사항으로 해석되어야 합니다. 단, 상기 설명된 대로 이행된 SCC를 nFADP에 따라 고객 개인 데이터를 합법적으로 전송하는 데 사용할 수 없을 때 스위스 SCC를 본 DPA에 언급된 사항 및 DPA의 일부분으로 포함하고 그러한 전송에 적용해야 하는 경우는 예외입니다. 스위스 SCC를 이행하기 위해서는 스위스 SCC의 관련 첨부 사항을 본 DPA의 부록 I 및 부록 II에 포함된 정보를 사용해서 덧붙여야 하며(해당되는 대로), 섹션 9.3에 설명된 해석 조항을 적용해야 합니다(적용되며 nFADP 준수에 필요한 대로).

9.4 서면 요청 시 표준 계약 조항 또는 UK Addendum(적용되는 경우)에 따라, SurveyMonkey는 처리자로서 고객에 대해 수행할 수 있는 역할로 데이터 임포터와 체결한 표준 계약 조항 또는 UK Addendum의 사본을 제공합니다.

10.1 데이터 처리에 대한 책임. 계약, 불법 행위(과실 포함), 법적 의무 위반 또는 본 DPA로 인해 또는 이와 관련하여 발생하는 모든 배상 청구에 대한 각 당사자의 총 책임은 서면으로 달리 합의하지 않는 한 계약에 명시된 대로입니다.

10.2 충돌. (i) 본 DPA의 주제와 관련하여 본 DPA의 조건과 본 계약의 조건이 상충하거나 모호한 경우 본 DPA의 조건이 우선하며, (ii) 본 DPA에 포함된 모든 조항 및 표준 계약 조항에 포함된 모든 조항이 상충하거나 모호한 경우, 표준 계약 조항에 포함된 조항이 우선합니다.

10.3 독립적 처리. 고객은 서비스와 관련되지 않은 개인 데이터의 모든 독립적 수집 및 처리와 관련하여 데이터 보호 법률을 준수할 전적인 책임이 있습니다. 고객은 이를 정확하게 설명하는 명확하고 확실한 자체 개인정보 보호 공지를 제공해야 하며 SurveyMonkey는 고객이 개인 데이터를 취급하는 방법에 대해 그 어떠한 책임도 지지 않습니다. 고객은 이로써 그러한 상황에서 고객이 개인 데이터를 수집하고 사용하는 것으로부터 발생하는 그 어떠한 클레임이나 책임에 대해서도 SurveyMonkey를 면책합니다.

10.4 완전 합의. 계약(본 DPA를 포함) 및 모든 주문 양식은 당사자들의 전체 계약을 나타내며 해당 주제에 관한 서면 또는 구두의 다른 모든 이전 또는 현재 계약 또는 조건을 대체합니다. 각 당사자는 계약 체결을 유도하는 본 계약에 기록되어 있지 않은 진술에는 의존하지 않았음을 확인합니다.

10.5 분리 가능성. 본 DPA의 어느 조항이든 관할 법원에 의해 집행이 불가능하다고 판단되는 경우, 해당 조항은 분리되며 나머지 약관은 그대로 효력을 유지합니다. 본 DPA의 내용에는 명시적으로 제공된 경우를 제외하고, 당사자 간의 파트너십 체결 또는 합작 투자를 약속하거나 특정 당사자에게 다른 당사자를 위해 또는 다른 당사자를 대신하여 약정을 체결할 수 있는 권한을 주는 내용은 전혀 없습니다.

10.6 전자 사본. DPA는 전자 문서로 제공됩니다.

10.7 준거법. 이 DPA는 아일랜드 법의 적용을 받으며 당사자들은 미국 내 주정부 또는 연방정부에서의 현재 또는 미래의 개인정보 보호 법, 규정, 기준, 규제 지침 및 자가 규제 지침 위반 또는 위반 혐의가 있는 경우를 제외하고 모든 계약 및 비계약 분쟁과 관련하여 아일랜드 법원의 전속 관할권에 따릅니다. 미국의 경우 법에서 달리 지시하지 않는 한 캘리포니아주 법이 적용됩니다.

SurveyMonkey가 구현한 기술적이고 조직적인 보안 조치의 설명 

SurveyMonkey는 고객에게 서비스를 제공하기 위해 받은 개인 데이터의 보안, 기밀성, 무결성 보호를 위해 적절한 행정적, 물리적, 기술적 보안 장치(‘보안 장치’)를 유지할 것입니다. 

보안 장치에는 다음이 포함됩니다. 

(a) 영역: 정보 보안 조직화.

(i) 보안 역할 및 책임. 데이터에 접근할 수 있는 SurveyMonkey 담당자는 기밀성 책임의 적용을 받습니다.

(ii) 위험 관리 프로그램. SurveyMonkey는 데이터를 처리하기 전에 적절한 경우 위험 평가를 수행합니다.

(b) 영역: 자산 관리.

(i) 자산 취급.

(1) SurveyMonkey에는 고객의 데이터가 포함된 인쇄 자료를 파기 처분하는 절차가 수립되어 있습니다.

(2) SurveyMonkey는 고객 데이터가 저장된 모든 하드웨어의 목록을 유지합니다.

(3) SurveyMonkey는 고객을 위해 처리하는 개인 정보를 분류하여 적절하게 제한할 수 있도록 정보를 식별하고 정보에 대한 액세스를 허용합니다(예: 사용자 이름, 비밀번호 및 암호화를 통해).

(c) 영역: 인적 지원 보안.

(i) 보안 교육.

(1) SurveyMonkey는 그 직원들에게 관련 보안 절차와 각자의 맡은 역할에 대해 알립니다. SurveyMonkey는 또한 그 직원들에게 보안 규칙과 절차를 위반하는 데 따른 가능한 결과에 대해서도 알립니다.

(d) 영역: 물리적 및 환경적 보안.

(i) 시설에 대한 물리적 접근. SurveyMonkey는 고객 데이터를 처리하는 정보 시스템이 소재한 시설에 신원이 파악된 개인만 접근할 수 있도록 제한합니다.

(ii) 중단으로부터 보호. SurveyMonkey는 다양한 업계 표준 시스템을 이용하여 전원 공급 장치 고장이나 회선 간섭으로 인한 데이터 손실을 방지합니다.

(iii) 요소 처분. SurveyMonkey는 고객 데이터가 더 이상 필요하지 않은 경우, 업계 표준 절차를 이용하여 삭제합니다.

(e) 영역: 커뮤니케이션 및 운영 관리. 

(i) 운영 정책. SurveyMonkey는 보안 조치 및 관련 절차와 고객 데이터에 액세스할 수 있는 담당자의 책임을 설명하는 보안 문서를 유지합니다. 

(ii) 데이터 복구 절차. 

(1) SurveyMonkey는 정기적이고 지속적으로 고객 데이터의 백업 사본을 만들어 원본을 손실하는 경우 이러한 사본으로부터 데이터를 복구할 수 있도록 합니다. 

(2) SurveyMonkey는 고객 데이터를 처리하는 주 컴퓨터 장비가 위치한 곳과 다른 위치에 고객 데이터 사본과 데이터 복구 절차를 보관합니다. 

(3) SurveyMonkey에는 고객 데이터 사본의 접근을 관장하는 구체적인 절차가 수립되어 있습니다. 

(iii) 악성 소프트웨어. SurveyMonkey는 맬웨어 방지 통제 장치를 통해 공중망에서 기인한 악성 소프트웨어를 포함하여 악성 소프트웨어가 고객 데이터에 무단 접근하는 것을 방지합니다.

(iv) 경계를 넘는 데이터.  

(1) SurveyMonkey는 공중망을 통해 전송되는 고객 데이터를 암호화합니다. 

(v) 이벤트 기록.

(1) SurveyMonkey는 데이터 처리 시스템의 사용을 기록합니다. 

(2) SurveyMonkey는 액세스 ID, 타임스탬프, 특정 관련 활동을 등록하여 고객 데이터를 포함하는 정보 시스템에 대한 접근과 사용도를 기록합니다.

(f) 영역: 정보 보안 인시던트 관리.

(i) 인시던트 대응 절차. 

(1) SurveyMonkey는 인시던트 대응 계획을 유지합니다.  

(2) SurveyMonkey는 보안 침해에 대한 설명, 기간, 침해의 결과, 신고자의 이름, 침해 사실을 신고받은 사람, 해결 절차(해당되는 경우)와 함께 보안 침해에 대한 기록을 유지합니다.

(g) 영역: 비즈니스 연속성 관리.

(i) SurveyMonkey의 중복적인 스토리지와 데이터 복구 절차는 고객 데이터가 손실되거나 파괴되기 전과 같은 원래의 상태대로 복구하기 위해 고안되었습니다.   

(h) 처리 영역에 대한 접근 통제. 고객 개인 데이터가 처리되거나 사용되는 전화기, 데이터베이스 및 애플리케이션 서버와 관련 하드웨어 등의 데이터 처리 장비에 승인되지 않은 사람이 접근하지 못하게 하는 절차로 다음을 포함합니다. 

(i) 보안 영역 수립 

(ii) 액세스 경로 보호 및 제한

(iii) 휴대폰 보안   

(iv) 데이터 처리 장비 및 개인 컴퓨터 보안

(v) 고객 개인 데이터가 호스팅되는 데이터 센터에 대한 모든 접근은 기록, 감시 및 추적됩니다.  

(vi) 고객 개인 데이터가 호스팅되는 데이터 센터는 보안 경보 시스템 및 기타 적절한 보안 조치로 보호됩니다. 

(vii) 시설은 악천후가 달리 합당하게 예측이 가능한 자연 환경을 견딜 수 있도록 고안되었으며, 24시간 내내 경비, 키카드 및/또는 생체 인식(위험 수준에 적절하게) 스크리링 및 호위 통제 액세스로 보호되며 전력 공급이 차단되는 경우를 위해 현장 백업 발전기로 지원됩니다.

(i) 데이터 처리 시스템에 대한 접근 통제. 승인되지 않은 사람이 데이터 처리 시스템을 사용하지 못하도록 하는 절차로 다음을 포함합니다. 

(i) 데이터 처리 시스템에 대한 단말기 및/또는 단말기 사용자 신원 확인 

(ii) 사용자 단말기를 사용하지 않은 상태로 방치할 경우 30분 이하로 자동 타임아웃되고, 다시 시작하려면 ID 및 비밀번호 필요

(iii) ID 코드 발행 및 보호

(iv) 비밀번호 복잡성 요건(최소 길이, 비밀번호 만료 등)

(v) 업계 표준 방화벽을 통해 외부 접근으로부터 보호

(j) 데이터 처리 시스템의 특정 영역 사용에 대한 접근 통제. 데이터 처리 시스템을 사용할 수 있는 자격이 있는 사람이 그 자격에 주어진 액세스 권한(승인)이 적용되는 범위까지만 데이터에 액세스할 수 있고 고객 개인 데이터가 승인 없이 읽히거나, 복사되거나, 변경되거나, 제거될 수 없도록 하는 조치로 다음을 포함합니다.

(i) 구속력이 있는 직원 정책을 구현하고 각 직원의 고객 개인 데이터 액세스 권한에 관련된 교육 제공

(ii) 승인 없이 고객 개인 데이터에 액세스하는 개인을 상대로 한 효과적이면서도 알맞은 징계 조치 

(iii) 승인된 사람에게만 데이터 공개 

(iv) ‘필요한 경우에만’ 고객 개인 데이터를 포함한 정보에 대해 가장 낮은 수준의 권한을 부여하는 원칙 구현

(v) VPN, 2단계 인증, 역할 기반 접근 통제를 기반으로 한 프로덕션 네트워크 및 데이터 액세스 관리

(vi) 문제 해결, 보안 검토 및 분석을 위해 애플리케이션 및 인프라 시스템이 중앙 관리 기록 시설로 정보 기록

(vii) 적용되는 법규에 따르고, 다루어지는 데이터와 그에 따른 위험 속성에 적절한 백업 사본 유지를 통제하는 정책

(k) 전송 통제. 전송 도중 또는 데이터 미디어 이전 중 승인되지 않은 당사자가 고객 개인 데이터를 읽거나, 복사하거나, 변경하거나, 삭제하는 것을 방지하고 고객 개인 데이터가 데이터 전송 시설을 통해 어느 기관에 전송되었는지 확인하고 설정할 수 있도록 하는 절차로 다음을 포함합니다.

(i) 방화벽 및 암호화 기술을 사용하여 데이터가 이동하는 경로인 게이트웨이와 파이프라인 보호

(ii) 내부 기업 네트워크에 대한 연결을 보호하기 위한 VPN 연결 구현

(iii) 인프라의 지속적인 모니터링(예: 네트워크 수준에서 ICMP-핑, 시스템 수준에서 디스크 공간 검사, 애플리케이션 수준에서 지정된 테스트 페이지의 성공적인 전달)

(iv) 데이터 전송의 완전성 및 정확성 모니터링(종단 간 확인) 

(l) 스토리지 통제. 고객 개인 데이터를 저장할 때에는 상업적으로 지원되는 암호화 솔루션을 사용하여 지정된 백업 및 복구 프로세스의 일부로 암호화된 형태로 백업되며, 휴대용 또는 랩톱 컴퓨팅 장치 또는 휴대용 저장 매체에 저장되고 고객 개인 데이터로 정의된 모든 데이터도 그와 마찬가지로 암호화됩니다. 암호화 솔루션은 대칭 암호화의 경우 128비트 이상의 키와 비대칭 암호화의 경우 1024비트 이상의 키 길이로 배포됩니다.

(m) 입력 통제. 고객 개인 데이터가 데이터 처리 시스템에 입력되었거나 제거되었는지 여부와 그러한 작업을 수행한 당사자를 확인하고 설정할 수 있도록 하는 조치로 다음을 포함합니다.

(i) 승인된 직원 인증

(ii) 메모리에 입력된 데이터 및 저장된 데이터의 읽기, 변경 및 삭제에 대한 보호 조치

(iii) 사용자 코드(비밀번호) 활용

(iv) 데이터를 가져온 사람의 조직 내에서 확립된 입력 승인에 대한 증거

(v) 데이터 처리 시설(컴퓨터 하드웨어 및 관련 장비가 있는 실내 시설)의 입구가 잠겨 있도록 보장

(n) 가용성 통제. 데이터베이스 서버에서 수행되는 인프라 중복 및 정기 백업을 포함하여 고객 개인 데이터가 우발적인 파기 또는 손실로부터 보호되도록 보장하는 조치. 

(o) 처리의 분리. 다양한 목적으로 수집된 데이터가 개별적으로 처리될 수 있도록 하는 절차로 다음을 포함합니다.

(i) 적절한 사용자를 위한 애플리케이션 보안을 통한 데이터 분리

(ii) 데이터베이스 수준에서 지원하는 모듈 또는 기능별로 구분된 서로 다른 테이블에 데이터 저장

(iii) 특정 목적과 기능에 대해서만 인터페이스, 배치 프로세스 및 보고서를 설계하여 특정 목적을 위해 수집된 데이터를 별도로 처리

(iv) 테스트 목적으로 생성된 더미 데이터만 테스트 목적으로 사용될 수 있도록 하고 라이브 데이터는 테스트 목적으로 사용되는 것을 금지

(p) 취약성 관리 프로그램. 시스템의 취약성을 정기적으로 점검하고 발견된 모든 취약점을 즉시 수정하도록 하는 프로그램으로 다음을 포함합니다.

(i) 테스트 및 프로덕션 환경을 포함한 모든 네트워크를 정기적으로 검사

(ii) 정기적으로 침투 테스트를 수행하고 취약점을 신속하게 수정

(q) 데이터 파기. 어느 쪽에 의해서든 또는 데이터 주체나 규제 기관의 요청에 따라 계약이 만료 또는 해지된 경우 데이터는 다음과 같이 처리됩니다. 

(i) 모든 고객 데이터는 3개월 이내에 안전하게 파기됩니다.

(ii) 법에 따라 SurveyMonkey가 데이터 범주를 더 오래 보관해야 하는 경우는 예외로 하되, 모든 고객 데이터는 해지 또는 고객으로부터 요청을 받은 지 6개월 이내에 백업을 포함하여 모든 SurveyMonkey 및/또는 제3자 스토리지 장치에서 삭제되어야 합니다. SurveyMonkey는 더 이상 필요하지 않은 모든 데이터를 더 이상 복구할 수 없다고 확신할 수 있는 수준까지 파기합니다. 

(r) 기준 및 인증. 데이터 스토리지 솔루션 및/또는 위치에는 최소 SOC 1(SSAE 16) 또는 SOC 2 보고서가 준비되어 있으며, 이와 동등하거나 유사한 인증 또는 보안 수준은 사례별로 검토됩니다.

(s) 현장 통제. 고객의 사업장에 있을 때 모든 직원 및 하청업체(해당하는 경우)는 고객이 일반적으로 규정한 모든 합당한 규칙, 규정, 관행 및 절차(보안 관련 약정을 포함하되 이에 국한되지 않음)를 준수하고 계약에 명시된 목적을 위해서만 고객 자산을 사용하며 해당 서비스를 완료하면 해당 자산을 모두 고객에게 반환합니다.

(t) 데이터 품질 전략. SurveyMonkey는 데이터 품질을 적절한 기준으로 유지하기 위해 고안된 데이터 품질 전략을 시행하며 설계상 데이터가 올바르지 않거나 완전하지 않음을 인지할 때 데이터를 수정합니다.  SurveyMonkey는 변경 사항을 모니터링하고 추적할 수 있도록 특정 프로덕션 데이터의 암호화 해시 및 도메인 데이터의 변경 로그를 유지합니다.  사용자들이 자신의 개인 정보를 수정하거나 처리를 철회하고 시스템의 데이터 문제를 수정할 수 있는 절차가 마련되어 있습니다.

(i) SurveyMonkey는 고객의 사업 운영을 위해 고객으로부터 정확하고, 관련성이 있으며, 완전한 정보를 수집합니다. 

(ii) SurveyMonkey는 데이터에 대한 일관된 액세스를 가능하게 하는 수명 주기 정책에 따라 시기적절한 방식으로 데이터를 유지 관리합니다. 

(iii) 데이터 품질에 대한 기준은 고객의 사용 사례에 따라 다를 수 있습니다. 

(u) 설계상의 개인정보 보호. SurveyMonkey는 설계상 개인정보 보호를 구현하기 위한 정책과 절차를 구축해 왔습니다.  시스템 내의 모든 데이터는 적절한 액세스(정책별)에 따라 범위가 지정되며 정책에 의해 데이터의 수명 주기가 유지됩니다.  프로덕션에 연결된 모든 시스템에는 개인정보 보호 및 보안 문제를 나중에 해결하기 보다는 문제를 미리 방지할 목적으로 데이터 최소화 및 익명화가 기본으로 설정되어 있습니다.  

(i) SurveyMonkey는 데이터 보호 문제를 시스템, 서비스, 제품 및 비즈니스 관행의 설계와 구현의 일부로 생각하며 데이터 개인정보 보호를 SurveyMonkey 서비스의 핵심 기능으로 다룹니다. 

(ii) SurveyMonkey는 개인정보를 침해하는 위험 및 사건이 발생하기 전에 이를 예측하고 개인이 받는 피해를 방지하기 위한 조치를 취합니다.

(iii) SurveyMonkey는 SurveyMonkey의 목적을 위해 필요한 개인 데이터만 처리하고 그러한 목적을 위해서만 데이터를 사용합니다. 

(iv) SurveyMonkey는 개인 데이터가 모든 IT 시스템, 서비스, 제품 및/또는 비즈니스 관행에서 자동으로 보호되도록 하여 개인들이 자신의 개인정보를 보호하기 위해 어떤 특정 조치를 취해야 할 필요가 없도록 합니다.

(v) SurveyMonkey는 강력한 개인정보 보호 기본 사항, 사용자 친화적 옵션 및 통제를 제공하며 사용자 선호 사항을 존중합니다.

(vi) SurveyMonkey는 설계상의 데이터 보호를 위한 기술적 및 조직적 조치에 대해 충분한 보증을 제공하는 데이터 처리업체를 사용합니다. 

(vii) 처리 활동에 다른 시스템, 서비스 또는 제품을 사용할 때에는 그 설계자 및 제조업체가 데이터 개인정보 보호 문제를 고려한 시스템, 서비스 또는 제품만 사용하도록 합니다. 

(v) 데이터 보안 태세 테스트. SurveyMonkey는 업계 표준 도구(예: BurpScanner)나 대안으로는 인증된 제3자 서비스나 컨설턴트를 통한 침투 테스트로 최소한 1년에 한 번 데이터 보안 태세를 테스트합니다. 

(x) 데이터 손실 방지 전략. SurveyMonkey는 데이터 손실 방지 전략으로 트레이닝 및 교육을 활용합니다. 시스템 내 데이터에 대한 액세스에 범위를 지정하고 최소화하여 사용자가 불필요하게 데이터에 액세스하는 것을 방지합니다. 모든 사용자는 고객 데이터의 적절한 액세스에 대한 정책에 서명해야 하며 이는 연간 보안 재교육의 일부입니다. 

(y) 기술적 보안 조치. SurveyMonkey는 여러 지역으로 분산된 회사이므로 회사 내부 방화벽이나 내부 네트워크에 대한 침입 감지 기능이 없습니다. 회사 리소스에 대한 모든 액세스는 암호화된 채널을 통해 이루어집니다. 모든 회사 리소스는 MFA 기능을 사용하는 시스템에 보관되어야 합니다. 

개인 데이터 처리의 목적 및 특성, 개인 데이터의 범주, 데이터 주체 

처리의 목적 및 특성SurveyMonkey는 해당되는 경우 다음을 포함하여 서비스를 기술적으로 수행하기 위해 필요에 따라 고객 개인 데이터를 처리할 수 있습니다. 
•      호스팅 및 스토리지
•      백업 및 재해 복구
•      서비스를 기술적으로 개선
•      서비스 변경 관리
•      문제 해결
•      안전하며 암호화된 서비스 제공
•      제품 또는 시스템의 새 버전, 패치, 업데이트 및 업그레이드 적용
•      시스템 사용 현황 및 성능 모니터링 및 테스트
•      버그를 능동적으로 감지하고 제거
•      인시던트 관리를 포함한 IT 보안 목적
•      기술 지원 시스템 및 IT 인프라 유지 관리 및 수행
•      이전, 구현, 구성 및 성능 테스트
•      제품 권장
•      고객 지원 제공, 데이터 전송
•      데이터 주체 요청에 도움 제공(필요에 따라)
개인 데이터의 범주고객은 서비스에 고객 개인 데이터를 제출할 수 있고, 고객의 응답자가 서비스에 개인 데이터를 제출하도록 요청할 수 있으며 이는 고객이 단독 재량으로 결정하고 통제하는 범위까지로 다음을 포함하나 이에 제한되지 않습니다. 
•      고객의 응답자가 서비스 사용을 통해(예: 설문조사 또는 기타 피드백 도구를 통해) 고객에게 제출할 수 있는 모든 유형의 개인 데이터. 예: 이름, 지리적 위치, 나이, 연락처 정보, IP 주소, 직업, 성별, 재정 상태, 개인 선호도, 개인 쇼핑 또는 소비자 습관, 기타 선호도 및 고객이 응답자로부터 요청하거나 수집하고자 하는 기타 개인 세부정보.  

•      고객을 위한 서비스에서 호스팅되는 양식 및 설문조사에 포함될 수 있는 모든 유형의 개인 데이터(예: 설문조사의 질문에 포함될 수 있음). 

•  고객의 직원, 승인된 최종 사용자 및 기타 비즈니스 연락처의 연락처 및 청구 세부정보. 예: 이름, 직책, 고용주, 연락처 정보(회사, 이메일, 전화번호, 주소 등), 결제 정보 및 기타 계정 관련 정보.

•      고객의 응답자는 서비스를 통해 고객에게 특별한 범주의 개인 데이터를 제출할 수 있으며 그 범위는 고객이 결정하고 통제합니다. 명확성을 기하기 위해 이러한 특수 범주의 개인 데이터에는 인종 또는 민족, 정치적 견해, 종교적 또는 철학적 가치관, 노동 조합 가입, 건강 또는 성생활에 관한 데이터 처리를 나타내는 정보가 포함될 수 있습니다.
데이터 주체 데이터 주체는 다음을 포함합니다.
•      서비스(고객을 대신하여 SurveyMonkey가 호스팅하는 온라인 설문조사 및 양식 포함) 사용을 통해 SurveyMonkey에 개인 데이터를 제출하는 자연인
•      서비스 사용을 통해 응답자에 의해 고객에게 자신의 개인 데이터가 제출될 수 있는 자연인
•      고객의 직원, 대리인 또는 기타 비즈니스 연락처인 자연인
•      고객에 의해 서비스 액세스 및 사용 승인을 받은 고객의 사용자

표준 계약 조항 부록

부록 I -

A. 당사자 목록

모듈 2: 컨트롤러로부터 처리자로 전송

모듈 3: 처리자로부터 처리자로 전송

모듈 4: 처리자로부터 컨트롤러로 전송

데이터 익스포터: 계약에 명시된 바와 같음

연락처 이름, 직책 및 연락처 상세 정보: 계약에 명시된 바와 같음

본 조항하에 전송된 데이터와 관련된 활동: DPA의 부록 2A에 명시된 바와 같음

데이터 임포터: 계약에 명시된 바와 같음

이름: 계약에 명시된 바와 같음

연락처 이름, 직책 및 연락처 상세 정보: 계약에 명시된 바와 같음

본 조항하에 전송된 데이터와 관련된 활동: DPA의 부록 2A에 명시된 바와 같음

B. 전송 설명

모듈 2: 컨트롤러로부터 처리자로 전송

모듈 3: 처리자로부터 처리자로 전송

모듈 4: 처리자로부터 컨트롤러로 전송

개인 정보가 전송되는 데이터 주체의 범주: DPA의 부록 2A에 명시된 바와 같음

전송된 개인 데이터의 범주: DPA의 부록 2에 명시된 바와 같음

전송된 민감성 데이터(적용되는 경우) 및 예를 들어 엄격한 목적 제한, 접근 제한(특별한 훈련을 거친 담당자들에게만 접근을 허용하는 것 포함), 데이터 접근에 대한 기록 보유, 제3자를 통한 전송 제한, 또는 추가 보안 대책 등과 같이 데이터의 특성과 개입된 위험을 완전히 고려하여 적용된 제한이나 보호 대책: DPA 부록 1 및 2에 명시된 바와 같음

전송의 빈도(예: 데이터가 일회성 또는 반복적인 일정으로 전송되는지의 여부): 일회성 또는 반복성(서비스 사용에 따라 다름)

처리 특성: DPA의 부록 2에 명시된 바와 같음

데이터 전송 및 추가 처리의 목적: DPA의 부록 2에 명시된 바와 같음

개인 데이터가 유지되는 기간, 또는 가능하지 않은 경우 그 기간을 결정하는 데 사용되는 기준: 계약 및 여기에 명시된 바와 같음

(하위) 처리자에게 전송하는 경우에는 주제, 특성, 처리 기간도 명시: 여기를 참조하십시오.

C. 감독 권한

(f) 13항에 따라 감독 권한 파악: 아일랜드

부록 II - DPA 부록 1에 명시된 바와 같은 기술적 및 조직적 대책

부록 III - 하위 처리자 목록

모듈 2: 컨트롤러로부터 처리자로 전송

모듈 3: 처리자로부터 처리자로 전송

모듈 4: 처리자로부터 컨트롤러로 전송. 고객이 다음 하위 처리자의 이용을 승인함: 여기를 참조하십시오.

UK ADDENDUM 

1. UK GDPR의 적용을 받는 데이터 전송과 관련하여 당사자들은 이로써 UK Addendum(여기에서 사본 이용 가능)을 체결하는 바이며 UK Addendum은 참조로 본 계약에 통합됩니다. UK GDPR의 적용을 받는 데이터 전송의 경우 ‘적격한 감독 기관’ 및 ‘적격한 법원’과 관련하여 언급된 모든 사항은 영국의 관련 데이터 보호 기관 및 법원과 관련하여 언급된 사항으로 해석됩니다. 

2. 당사자들은 UK Addendum 1부에 있는 표의 형식과 내용이 아래 표로 개정되고 교체된다는 것에 동의합니다.

UK Addendum 표 참고표를 완성할 정보
표 1: 시작 날짜계약의 발효일로부터 발효.
표 1: 당사자들 정보본 계약의 부록 2에 명시된 정보로 완성된 것으로 간주함.
표 2: Addendum EU SCC당사자들은 표 2로부터 다음의 옵션을 선택:

‘본 Addendum을 위해 발효된 부록 정보 및 승인된 EU SCC로부터 다음의 모듈, 항 또는 선택적 조항만을 포함하여 승인된 EU SCC.’

UK Addendum을 위해 발효된 SCC의 ‘모듈’ ‘항’ 및 ‘선택적 조항’의 세부정보는 본 계약의 상기 섹션 9.2에 명시되어 있음.
표 3: 첨부 사항 1A – 당사자 목록본 계약의 부록 2에 명시된 정보로 완성된 것으로 간주함.
표 3: 첨부 사항 1B – 전송 설명본 계약의 부록 2에 명시된 정보로 완성된 것으로 간주함.
표 3: 첨부 사항 II – 기술적 및 조직적 조치본 계약의 부록 1에 명시된 정보로 완성된 것으로 간주함.
표 3: 첨부 사항 III: 하위 처리자 목록(모듈 2)하위 처리자 목록은 계약의 하위 처리자 조항에 따라 찾아볼 수 있음.
표 4: 본 Addendum의 종료당사자들은 UK Addendum이 본 계약에 통합되므로 그 어느 당사자도 이를 종료할 수 없음을 선택함.

3. 본 계약과 UK Addendum 간에 충돌이나 불일치성이 있는 경우, UK Addendum이 그러한 충돌이나 불일치에 관련하여 적용되고 우선합니다.