개인정보보호법 헌장

날짜 – 2020년 01월 01일 출시

최종 수정일 – 2023년 12월 06일

적용 분야 :

본 문서("요구 사항")는 Shaip("회사")와 서비스 제공자("공급업체/프리랜서/컨설턴트") 간의 모든 주요 서비스 계약, 작업 설명서 또는 기타 계약("계약")의 필수적이고 법적으로 구속력이 있는 부분을 구성합니다.

1. 정의

이러한 요구 사항의 목적을 위해 다음 용어는 아래에 명시된 의미를 갖습니다.

  • “해당 데이터 보호법” GDPR, 영국 GDPR, CCPA/CPRA, HIPAA, PIPEDA, LGPD를 포함하되 이에 국한되지 않는, 개인 데이터 처리에 적용되는 모든 국제적, 연방적, 주적 및 지역적 법률, 규칙 및 규정을 의미합니다.
  • “회사 데이터” 회사 또는 회사를 대신하여 공급업체에 제공되거나, 공급업체가 회사를 대신하여 수집, 생성, 파생, 가명화, 익명화(가역성이 가능한 경우) 또는 처리한 모든 형태 또는 매체의 데이터, 정보 및 자료를 의미합니다. 여기에는 프로젝트 데이터 및 모든 개인 데이터가 포함됩니다.
  • "데이터 침해" 회사 데이터의 우발적 또는 불법적 파괴, 손실, 변경, 무단 공개 또는 접근으로 이어지는 실제 또는 의심되는 보안 위반을 의미합니다.
  • "GDP는" 일반 데이터 보호 규정(EU) 2016/679를 의미합니다.
  • "개인 정보" 회사 데이터에 포함된 식별된 또는 식별 가능한 자연인("데이터 주체")과 관련된 모든 정보를 의미합니다.
  • “민감한 개인정보” 인종이나 민족적 기원, 정치적 의견, 종교적 또는 철학적 신념, 노동조합 가입 여부, 유전 데이터, 생체 데이터, 건강 관련 데이터 또는 자연인의 성생활이나 성적 지향에 관한 데이터를 포함하되 이에 국한되지 않는, 해당 데이터 보호법에 따라 민감한 것으로 간주되는 모든 범주의 데이터를 의미합니다.
  • "처리" 수집, 기록, 구성, 저장, 적용, 검색, 사용, 공개, 배포 또는 파기 등 회사 데이터에 대해 수행되는 모든 작업을 의미합니다.
  • “프로젝트 데이터” 회사가 제공하는 서비스의 일환으로 공급업체가 수집하거나 생성한 특정 데이터(예: 음성, 이미지, 텍스트)를 의미합니다.
  • “하위 프로세서” 회사 데이터를 처리하기 위해 공급업체가 고용한 제3자를 의미합니다.

2. 공급업체의 역할 및 의무

2.1 프로세서/하위 프로세서로서의 역할. 공급업체는 회사 데이터를 처리할 때 회사를 대신하여 "처리자" 또는 "하위 처리자" 역할을 한다는 점을 인정합니다. 공급업체는 회사 데이터에 대한 소유권이나 독립적인 권리를 보유하지 않습니다.

2.2 지시에 따른 처리. 공급업체는 계약 및 관련 작업 명세서에 명시된 사항을 포함하여 회사의 문서화된 합법적 지침에 따라서만 회사 데이터를 처리해야 합니다. 공급업체는 자체 목적 또는 회사의 명시적인 지시가 없는 목적으로 회사 데이터를 처리하는 것이 명시적으로 금지됩니다. 지침에는 데이터 보존 및 폐기 요건이 포함되어야 합니다. 공급업체는 지침이 관련 데이터 보호법을 위반한다고 판단하는 경우 즉시 회사에 알려야 합니다.

2.3 법률 준수. 공급업체는 계약을 이행함에 있어 모든 해당 데이터 보호법을 준수할 것을 보증하고 진술하며, 준수를 방해하는 법률이 있거나 회사 데이터 공개를 요구하는 경우(예: 정부 접근 요청) 회사에 즉시 통지해야 합니다.

3. 기술적 및 조직적 보안 조치

3.1 보안 표준. 공급업체는 회사 데이터를 데이터 침해로부터 보호하기 위해 적절한 기술적 및 조직적 보안 조치를 구현하고 유지해야 합니다. 이러한 조치는 위험 수준 및 데이터의 특성에 상응해야 하며, 최소한 다음을 포함해야 합니다.

  1. 암호화: 저장 중이거나 전송 중인 모든 회사 데이터를 암호화합니다.
  2. 액세스 제어: 최소한의 권한에 따라 엄격한 접근 제어를 실시하여 권한이 있는 직원만 회사 데이터에 접근할 수 있도록 보장합니다.
  3. 데이터 최소화: 지정된 프로젝트에 필요한 최소한의 개인 데이터만 수집하고 처리합니다.
  4. 보안 환경: 회사 데이터를 처리하는 데 사용되는 모든 시스템이 안전하게 구성, 패치, 기록 및 모니터링되도록 보장합니다.
  5. 보안 삭제: 회사의 지시에 따라 회사 데이터를 안전하고 영구적으로 삭제하기 위한 프로세스를 구현하며, 여기에는 백업에서 삭제하는 것도 포함됩니다.
  6. 물리적 보안: 회사 데이터가 저장되거나 액세스되는 모든 물리적 위치와 장치를 보호합니다.
  7. 테스트 및 모니터링: 정기적인 침투 테스트, 취약성 평가 및 지속적인 모니터링.
  8. 비즈니스 연속성: 사고 대응, 재해 복구 및 비즈니스 연속성 계획을 유지합니다.

4. 하위 처리

4.1 사전 동의가 필요합니다. 공급업체는 회사의 사전 서면 동의 없이 회사 데이터를 처리하기 위해 하청업체를 고용할 수 없습니다.

4.2 채무의 흐름. 동의가 있을 경우, 공급업체는 하위 처리업체와 서면 계약을 체결해야 하며, 이 계약은 하위 처리업체에게 이러한 요구 사항에 따라 공급업체에 부과되는 것과 동일하거나 더 엄격한 데이터 보호 의무를 부과합니다.

4.3 하위 프로세서 목록. 공급업체는 하위 처리업체의 최신 목록을 유지 관리하고 회사의 요청 시 회사에 제공해야 합니다. 회사는 언제든지 하위 처리업체에 대해 이의를 제기할 권리를 보유합니다.

4.4 전체 책임. 공급업체는 하청업체의 의무 이행과 하청업체의 모든 행위 또는 부작위에 대해 회사에 전적인 책임을 져야 합니다.

5. 데이터 침해 알림 및 관리

5.1 즉각적인 통지. 공급업체는 지체 없이 서면으로 회사에 통지해야 하며, 어떠한 경우에도 데이터 침해 사실을 처음 인지한 후 24(24)시간을 넘지 않아야 합니다.

5.2 위반 세부 정보. 알림에는 최소한 다음 내용이 포함되어야 합니다.

  1. 데이터 침해의 성격을 설명하세요. 여기에는 데이터 주체와 관련된 데이터 기록의 범주와 대략적인 수가 포함됩니다.
  2. 공급업체의 데이터 보호 책임자 또는 기타 관련 연락처의 이름과 연락처를 제공하세요.
  3. 데이터 침해로 인해 발생할 수 있는 결과를 설명하세요.
  4. 공급업체가 데이터 침해를 해결하고 그 영향을 완화하기 위해 취했거나 취할 예정인 조치를 설명하세요.

5.3 지속적인 업데이트. 공급업체는 사고가 완전히 해결될 때까지 정기적으로 업데이트를 제공해야 합니다.

5.4 협력. 공급업체는 데이터 침해에 대한 조사, 시정 및 통지에 있어 회사와 전적으로 협력해야 합니다. 공급업체는 본 요건 위반으로 인해 발생하는 데이터 침해와 관련된 모든 비용을 부담해야 합니다.

6. 국제 데이터 전송

6.1 공급업체는 회사의 사전 서면 동의 없이 회사 데이터를 국경을 넘어 전송할 수 없습니다. 공급업체는 회사 데이터를 처리할 모든 국가를 명시해야 합니다.

6.2 필요한 경우 공급업체는 합법적인 데이터 전송을 보장하기 위해 표준 계약 조항(SCC), 구속력 있는 기업 규칙(BCR), 영국 추가 조항 또는 회사가 의무화한 기타 메커니즘을 체결하는 데 동의합니다.

6.3 공급업체는 해당되는 경우 현지 데이터 상주 요구 사항을 준수해야 합니다.

7. 감사 및 검사

회사 또는 회사가 지정한 제3자 감사인은 공급업체의 본 요건 준수 여부를 확인하기 위해 자체 비용으로 감사를 실시할 권리가 있습니다. 공급업체는 필요한 모든 정보, 문서, 그리고 시설 및 인력에 대한 접근 권한을 제공해야 합니다.

공급업체는 정기적인 제3자 인증(예: ISO 27001, SOC 2) 및/또는 자체 평가를 받아야 하며, 상호 합의된 기간 내에 감사 또는 평가에서 발견된 모든 결함을 신속하게 수정해야 합니다.

8. 데이터 주체 권리 지원

판매자는 데이터 주체로부터 권리 행사(예: 접근, 정정, 삭제, 이전)를 요청받은 경우 즉시, 어떠한 경우에도 48시간(48시간) 이내에 회사에 통지해야 합니다. 판매자는 회사의 지시가 없는 한 이러한 요청에 직접 응답하지 않으며, 회사의 응답을 위해 필요한 모든 지원을 제공해야 합니다.

9. 데이터 반환 및 삭제

계약 종료 시 또는 회사의 요청에 따라, 공급업체는 회사의 선택에 따라 삼십(30)일 이내에 모든 회사 데이터를 안전하게 삭제하거나 반환해야 합니다. 공급업체는 백업에서 데이터를 삭제해야 하며, 삭제 사실을 서면으로 증명해야 합니다.

10. 특수 데이터 범주

10.1 의료 데이터(HIPAA): 공급업체가 보호 건강 정보(PHI)를 처리하는 경우, 공급업체는 HIPAA에 따라 "사업 협력사"(또는 사업 협력사의 하청업체)임을 인정합니다. 공급업체는 HIPAA 요건을 준수해야 하며 회사의 사업 협력 계약(BAA)을 체결해야 합니다.

10.2 기타 민감한 데이터: 민감한 개인 데이터(생체 인식 데이터 또는 아동의 데이터 포함)와 관련된 프로젝트의 경우 공급업체는 회사의 승인을 받아야 하며 회사가 지정한 강화된 보안 및 처리 프로토콜을 준수해야 합니다.

11. 면책 및 책임

판매자는 회사, 그 계열사, 임원 및 고객을 판매자, 그 직원 또는 하청업체의 이러한 요구 사항 위반으로 인해 발생하거나 관련된 모든 청구, 책임, 손해, 손실, 벌금, 벌칙 및 비용(합리적인 변호사 비용 포함)으로부터 방어하고 면책하며 무해하게 보호하는 데 동의합니다.

데이터 침해, 규제 위반 벌금, 고의적 부정 행위 또는 사기와 관련된 위반에 대한 책임은 제한되지 않습니다.

12. 일반 조항

12.1 우선권. 계약 조건과 이러한 요구 사항 사이에 충돌이 발생하는 경우, 데이터 보호와 관련하여 이러한 요구 사항이 우선합니다.

12.2 수정. 이러한 요구 사항은 양 당사자의 공인 대표자가 서명한 서면 수정안을 통해서만 수정될 수 있습니다.

12.3 생존. 기밀 유지, 데이터 삭제, 책임 및 감사 권리와 관련된 의무는 계약 종료 후에도 유효합니다.

12.4 준거법. 이러한 요구 사항은 계약서에 명시된 준거법에 따라 지배되고 해석됩니다.