주문 처리 계약

사이

GTC에 따른 고객을 컨트롤러(이하 "컨트롤러")로 정의합니다,

그리고

데이터 프로세서(이하 "데이터 프로세서", 컨트롤러와 데이터 프로세서를 통칭하여 "당사자")로서 Spreadly GmbH, Forstenrieder Weg 1G, 82065 Baierbrunn, Deutschland).

서문

컨트롤러는 GTC(이하 "본 계약"이라 함)에 명시된 서비스를 위해 데이터 처리자에게 위임했습니다. 계약 이행의 일부는 개인 데이터 처리입니다. 특히, Art. 28 GDPR은 이러한 위탁 처리에 대한 구체적인 요건을 부과합니다. 이러한 요건을 준수하기 위해 양 당사자는 다음과 같은 데이터 처리 계

§ 1 정의

(1) Art. 4 (7) GDPR에 따라 컨트롤러는 단독으로 또는 다른 컨트롤러와 공동으로 개인 데이터 처리의 목적과 수단을 결정하는 주체를 말합니다.

(2) Art. 4 (8) GDPR에 따라 데이터 처리자는 컨트롤러를 대신하여 개인 데이터를 처리하는 자연인 또는 법인, 당국, 기관 또는 기타 단체입니다.

(3) Art. 4 (1) GDPR에서 개인정보는 식별되거나 식별 가능한 자연인(이하 "정보주체")과 관련된 모든 정보를 의미하며, 식별 가능한 자연인은 특히 이름, 식별 번호, 위치 데이터, 온라인 식별자 등의 식별자 또는 해당 자연인의 신체적, 생리적, 유전적, 정신적, 경제적, 문화적 또는 사회적 정

(4) 특별한 보호가 필요한 개인 데이터는 Art. 9 GDPR에 따라 정보 주체의 인종 또는 민족, 정치적 견해, 종교적 또는 철학적 신념, 노동조합 가입 여부가 드러나는 개인 데이터, 제18조에 따른 개인 데이터. 10 범죄 유죄 판결 및 형사 범죄 또는 관련 보안 조치에 관한 GDPR, 제10조에 따른 유전자성적 취향에 관한 데이터.

(5) GDPR 제4조 2항에 따르면 처리는 수집, 기록, 정리, 정리, 제출, 저장, 조정 또는 변경, 검색, 상담, 사용, 전송, 배포 또는 기타 방법으로 공개, 정렬 또는 조합, 제한, 삭제 또는 파기와 같은 자동 수단에 의한 것인지 여부와 관계없이 개인 데이터에 대해 수행되는 모든 작업 또는 일련의 작

(6) GDPR 제4조 21항에 따라 감독 당국은 GDPR 제51조에 따라 회원국에 의해 설립된 독립적인 국가 기관입니다.

§ 2 계약의 주체

(1) 데이터 처리자는 컨트롤러를 위해 주 계약에 명시된 서비스를 제공합니다. 이를 통해 데이터 처리자는 개인정보에 대한 액세스 권한을 얻게 되며, 데이터 처리자는 컨트롤러를 대신하여 컨트롤러의 지시에 따라 독점적으로 컨트롤러를 위해 처리합니다. 데이터 처리자가 처리하는 데이터의 범위

(2) 양 당사자는 데이터 보호법에 따른 상호 권리와 의무를 명시하기 위해 본 계약을 체결합니다. 의심스러운 경우 본 계약의 조항이 주 계약의 조항보다 우선합니다.

(3) 본 계약의 조항은 데이터 처리자 및 그 직원 또는 데이터 처리자가 권한을 위임받은 사람이 컨트롤러로부터 발생하거나 컨트롤러를 위해 수집한 개인 데이터와 접촉하는 주 계약과 관련된 모든 활동에 적용됩니다.

(4) 본 계약의 기간은 다음 조항에서 추가 의무 또는 해지 권리를 발생시키지 않는 한 주 계약의 기간에 따릅니다.

§ 3 교육권

(1) 데이터 처리자는 주 계약의 범위 내에서 그리고 컨트롤러의 지시에 따라서만 데이터를 수집, 처리 또는 사용할 수 있습니다. 데이터 처리자가 유럽연합 또는 해당 회원국의 법률에 따라 추가 처리를 수행해야 하는 경우, 처리 전에 이러한 법적 요건을 컨트롤러에 통지해야 합니다.

(2) 관리자의 지침은 처음에 본 계약에 의해 결정됩니다. 그 이후에는 컨트롤러가 개별 지침(개별 지침)을 통해 서면 또는 텍스트 형식으로 수정, 보완 또는 대체할 수 있습니다. 컨트롤러는 언제든지 그러한 지침을 발행할 수 있습니다. 여기에는 데이터의 수정, 삭제 및 차단에 관한 지침이 포함됩

(3) 모든 지시는 관리자가 문서화해야 합니다. 주 계약에서 합의된 서비스를 벗어나는 지시는 서비스 변경 요청으로 간주됩니다.

(4) 데이터 처리자는 컨트롤러의 지시가 데이터 보호 조항을 위반한다고 판단되는 경우 지체 없이 이를 컨트롤러에 통지해야 합니다. 데이터 처리자는 컨트롤러가 해당 지침을 확인하거나 수정할 때까지 관련 지침의 이행을 중단할 수 있습니다. 데이터 처리자는 명백히 위법한 지시를 이행하는 것을

§ 4 처리되는 데이터의 유형, 데이터 주체 그룹, 제3국

(1) 본 계약의 이행 범위 내에서 데이터 처리자는 부록 1에 자세히 명시된 개인 데이터에 액세스할 수 있습니다.

(2) 데이터 처리의 영향을 받는 데이터 주체 그룹은 **부록 1.**에 나열되어 있습니다.

(3) 제3국으로의 개인 데이터 전송은 Art. 44 이하. GDPR.

§ 5 데이터 처리자의 보호 조치

(1) 데이터 처리자는 데이터 보호에 관한 법적 규정을 준수하고 컨트롤러의 도메인에서 얻은 정보를 제3자에게 공개하거나 제3자의 접근에 노출시키지 않을 의무가 있습니다. 문서와 데이터는 최신 기술을 고려하여 권한이 없는 사람에게 공개되지 않도록 보안을 유지해야 합니다.

(2) 데이터 처리자는 책임 분야 내에서 데이터 보호의 특별한 요구 사항을 충족하는 방식으로 내부 조직을 구성해야 합니다. 컨트롤러의 데이터를 적절하게 보호하기 위해 부록 2에 명시된 기술적 및 조직적 조치를 취해야 합니다. 32 GDPR에 따라 컨트롤러가 적절하다고 인정하는 부록 2에

(3) 데이터 처리자가 데이터 처리에 고용한 사람은 허가 없이 개인 데이터를 수집, 처리 또는 사용하는 것이 금지됩니다. 데이터 처리자는 본 계약의 처리 및 이행을 위임받은 모든 사람(이하 "직원")에게 이에 따라 기밀 유지 의무(기밀 유지 의무, GDPR 제28조 3항 b호)를 준수할 의무가 있습니

(4) 데이터 처리자는 데이터 보호 책임자를 임명했습니다. 데이터 처리자의 데이터 보호 책임자는 heyData GmbH, Schützenstr. 5, 10117 베를린, datenschutz@heydata.eu, www.heydata.eu.

§ 6조 데이터 처리자의 정보 제공 의무

(1) 데이터 처리자, 데이터 처리자가 계약 범위 내에서 고용한 사람 또는 제3자에 의한 개인정보 처리의 중단, 의심되는 데이터 보호 위반 또는 계약 의무 위반, 의심되는 보안 관련 사고 또는 기타 부정행위가 발생한 경우 데이터 처리자는 지체 없이 컨트롤러에게 이를 알려야 합니다. 데이터 보호

(a) 가능한 범위 내에서 영향을 받은 데이터 주체의 범주 및 수, 영향을 받은 범주 및 영향을 받은 개인 데이터 기록의 수를 포함하여 개인 데이터 침해의 성격에 대한 설명;

(b) 위반을 해결하기 위해 데이터 처리자가 취했거나 제안한 조치에 대한 설명 및 해당되는 경우 가능한 부정적 영향을 완화하기 위한 조치;

(c) 개인 데이터 유출로 인해 발생할 수 있는 결과에 대한 설명.

(2) 데이터 처리자는 즉시 데이터를 보호하고 데이터 주체에게 발생할 수 있는 불리한 결과를 완화하기 위해 필요한 조치를 취하고 이를 컨트롤러에 알리고 추가 지침을 요청해야 합니다.

(3) 또한 데이터 처리자는 컨트롤러의 데이터가 제1항에 따른 위반으로 인해 영향을 받는 경우 언제든지 컨트롤러에게 정보를 제공할 의무가 있습니다.

(4) 데이터 처리자는 5(2)항에 따라 보안 조치에 중대한 변경 사항이 있는 경우 컨트롤러에게 알려야 합니다.

§ 7 관리자의 통제 권한

(1) 컨트롤러는 데이터 처리 개시 전과 그 이후에는 매년 정기적으로 데이터 처리자의 기술적 및 조직적 조치에 대해 스스로 만족할 수 있습니다. 이를 위해 컨트롤러는 예를 들어 데이터 처리자로부터 정보를 입수하거나 전문가로부터 기존 인증서, 인증 또는 내부 감사를 받거나 적시에 조율한 후한 범위 내에서만 점검을 수행해야 하며 그 과정에서 데이터 처리자의 운영에 불균형적인 지장을 초래해서는 안 됩니다.

(2) 데이터 처리자는 컨트롤러의 구두 또는 서면 요청이 있는 경우 합리적인 기간 내에 데이터 처리자의 기술적 및 조직적 조치에 대한 점검을 수행하는 데 필요한 모든 정보와 증거를 컨트롤러에 제공할 것을 약속합니다.

(3) 개인정보처리자는 검사 결과를 문서화하고 이를 데이터 처리자에게 통지해야 합니다. 특히 검사 결과를 검사하는 동안 컨트롤러가 발견한 오류 또는 불규칙성이 있는 경우, 컨트롤러는 지체 없이 데이터 처리자에게 이를 알려야 합니다. 통제 중에 향후 회피를 위해 명령된 절차의 변경이 필요한

§ 8 서비스 제공업체의 사용

(1) 계약상 합의된 서비스는 부록 3에 명시된 서비스 제공자(이하 "하위 처리자")의 참여로 수행됩니다. 컨트롤러는 데이터 처리자에게 계약상 의무 범위 내에서 추가 하위 처리자를 참여시키거나 이미 참여한 하위 처리자를 교체할 수 있도록 GDPR 제28조 2항 1절의 의미 내에서 일반적

(2) 데이터 처리자는 하위 처리자의 참여 또는 교체와 관련하여 의도된 변경이 발생하기 전에 컨트롤러에게 알려야 합니다. 컨트롤러는 데이터 보호법에 따라 중요한 이유로 하위 처리자의 개입 또는 교체에 이의를 제기할 수 있습니다.

(3) 하위 처리자의 참여 또는 교체에 대한 이의는 변경에 대한 정보를 받은 날로부터 2주 이내에 제기해야 합니다. 이의가 제기되지 않으면 참여 또는 교체가 승인된 것으로 간주됩니다. 데이터 보호법에 따라 중요한 사유가 있고 컨트롤러와 처리자 간에 원만한 해결이 불가능한 경우, 컨트롤러는

(4) 하위 처리자를 고용할 때 데이터 처리자는 본 계약의 조항에 따라 하위 처리자에게 의무를 부여해야 합니다.

(5) 데이터 처리자가 순전히 보조 서비스로 간주되는 서비스를 제3자에게 위탁하는 경우 본 조항의 의미 내에서 하위 처리자 관계는 존재하지 않습니다. 예를 들어 우편, 운송 및 배송 서비스, 청소 서비스, 데이터 처리자가 컨트롤러에 제공하는 서비스에 대한 구체적인 언급이 없는 통신 서비스 및

§ 9 정보 주체의 요청 및 권리

(1) 데이터 처리자는 GDPR 12~22조 및 32~36조에 따른 처리자의 의무를 이행하는 데 있어 적절한 기술적 및 조직적 조치를 통해 처리자를 지원해야 합니다.

(2) 데이터 주체가 자신의 데이터에 대한 접근권, 정정권 또는 삭제권 등의 권리를 데이터 처리자를 상대로 직접 주장하는 경우, 데이터 처리자는 독자적으로 대응하지 않고 데이터 주체를 컨트롤러에 회부하고 컨트롤러의 지시를 기다려야 합니다.

§ 10 책임

(1) 데이터 처리자와의 내부 관계에서 컨트롤러는 데이터 보호법에 따라 허용되지 않거나 잘못된 데이터 처리 또는 위탁된 처리 범위 내에서의 사용으로 인해 데이터 주체가 입은 손해에 대해 데이터 주체에게 배상할 책임이 단독으로 있습니다.

(2) 데이터 처리자는 손해의 원인이 데이터 처리자, 법정 대리인 또는 대리인의 고의 또는 중과실에 의한 의무 위반에 근거하는 한 손해에 대해 무제한의 책임을 집니다.

(3) 데이터 처리자는 계약의 적절한 이행을 위한 전제 조건이며 컨트롤러가 정기적으로 의존하고 의존할 수 있는 의무를 위반한 경우에만 과실 행위에 대한 책임을 지지만, 이는 계약의 일반적인 평균 손해로 제한됩니다. 기타 모든 측면에서 처리자의 책임(대리 대리인 포함)은 제외됩니다.

(4) 10.3항에 따른 책임 제한은 생명, 신체, 건강에 대한 상해 또는 보증의 가정으로 인해 발생하는 손해배상 청구에는 적용되지 않습니다.

§ 11 주 계약의 해지

(1) 주 계약이 종료된 후 데이터 처리자는 유럽연합법 또는 독일연방공화국법에 따라 개인 데이터를 저장할 의무가 없는 한 제공된 모든 문서, 데이터 및 데이터 전달자를 컨트롤러에 반환하거나 컨트롤러의 요청에 따라 이를 삭제해야 합니다. 이는 데이터 처리자의 모든 데이터 백업에도 적용됩니

(2) 컨트롤러는 데이터 처리자에게 적절한 방식으로 데이터의 완전하고 계약적인 반환 또는 삭제를 통제할 권리를 가집니다.

(3) 데이터 처리자는 주 계약이 종료된 후에도 주 계약과 관련하여 알게 된 데이터를 기밀로 유지해야 할 의무가 있습니다. 본 계약은 본 계약이 종료된 후에도 데이터 처리자가 컨트롤러에 의해 전달되었거나 컨트롤러를 위해 수집한 개인 데이터를 처분할 수 있는 한 유효합니다.

§ 12 최종 조항

(1) 데이터 처리자가 본 계약에 따른 지원 조치를 명시적으로 무료로 수행하지 않는 한, 데이터 처리자의 자체 조치 또는 부작위로 인해 그러한 지원이 직접적으로 필요하지 않은 한, 데이터 처리자는 컨트롤러에게 합리적인 수수료를 청구할 수 있습니다.

(2) 본 계약의 수정 및 보완은 반드시 서면으로 이루어져야 합니다. 이는 이 공식 요건의 포기에 대해서도 적용됩니다. 개별 계약의 우선 순위는 영향을 받지 않습니다.

(3) 본 계약의 개별 조항이 전부 또는 일부가 무효이거나 집행 불가능하게 되더라도 나머지 조항의 유효성에는 영향을 미치지 않습니다.

(4) 본 계약은 독일 법률의 적용을 받습니다.

부록 2 - 데이터 처리자의 기술적 및 조직적 조치

1. 소개

이 문서에는 제32조의 의미 내에서 처리자가 취한 기술적 및 조직적 조치가 요약되어 있습니다. 32 para. 1 GDPR. 이는 개인정보를 보호하기 위해 처리자가 취한 조치입니다. 이 문서의 목적은 컨트롤러의 책임 의무를 이행하는 데 있어 컨트롤러를 지원하는 것입니다. 5조 2항 GDPR.

2. 기밀 유지(32조 1항 b호 GDPR)

2.1 입장 제어

다음과 같은 조치를 통해 권한이 없는 사람이 데이터 처리 시스템에 액세스하는 것을 방지할 수 있습니다:

• 재택 근무: 권한이 없는 사람은 직원의 집에 접근할 수 없습니다.

• 재택근무: 직원들에게 가능하면 거실과 분리된 사무실에서 근무하도록 지시합니다.

2.2 입장 통제

다음과 같은 조치를 통해 권한이 없는 사람이 데이터 처리 시스템에 액세스하는 것을 방지할 수 있습니다:

• 사용자 및 비밀번호로 인증

• 방화벽 사용

• 모바일 디바이스 관리 사용

• 데이터 통신사 암호화

• 자동 데스크톱 잠금

• 사용자 권한 관리

• 사용자 프로필 만들기

• 중앙 비밀번호 규칙

• 2단계 인증 사용

• 보안 비밀번호에 대한 회사 정책

• 워크스테이션을 떠날 때 데스크톱을 수동으로 잠그는 일반적인 지침

2.3 액세스 제어

다음과 같은 조치를 통해 권한이 없는 사람이 개인 데이터에 액세스할 수 없도록 합니다:

• 애플리케이션에 대한 액세스 기록(특히 데이터 입력, 변경, 삭제 시)

• 관리자 수를 최대한 적게 유지합니다.

• 시스템 관리자의 사용자 권한 관리

• 직원에게 데이터는 협의 후에만 삭제될 것임을 안내합니다.

2.4 분리 제어

다음 조치는 서로 다른 목적으로 수집된 개인 데이터를 별도로 처리하도록 보장합니다:

• 별도의 시스템 또는 데이터 캐리어에 물리적으로 분리된 스토리지

• 생산 및 테스트 시스템 분리

• 논리적 클라이언트 분리(소프트웨어 측면)

• 데이터베이스 권한의 정의

• 공개 시 또는 법정 삭제 기간이 만료된 후에는 가능하면 개인 데이터를 익명화/가명화하도록 내부 지침을 마련합니다.

3. 무결성(32조 1항 b호 GDPR)

3.1 전송 제어

데이터 전송업체에 전송 또는 저장하는 동안 승인 없이 개인 데이터를 읽거나 복사, 변경 또는 제거할 수 없으며 개인 데이터를 수신한 개인 또는 기관을 확인할 수 있도록 보장합니다. 이를 보장하기 위해 다음과 같은 조치가 시행되고 있습니다:

• 무선랜 암호화(강력한 암호를 사용하는 WPA2)

• 액세스 및 검색 로깅

• SFTP 또는 HTTPS와 같은 암호화된 연결을 통한 데이터 제공

• 회사 데이터를 외부 서버에 업로드하는 행위 금지

3.2 입력 제어

다음 조치를 통해 데이터 처리 시스템에서 개인 데이터를 처리한 사람이 누구인지, 언제 처리했는지 확인할 수 있습니다:

• 데이터의 입력, 수정 및 삭제 기록

• 로그의 수동 또는 자동 제어

• 사용자 그룹이 아닌 개별 사용자 이름을 통한 데이터 입력, 수정 및 삭제 추적성

• 삭제에 대한 명확한 책임 소재

legal.dpa.latest.annexes.2.3.2.text.6

4. 가용성 및 복원력(GDPR 32조 1항 b호)

다음 조치는 개인 데이터가 우발적인 파기 또는 손실로부터 보호되고 고객이 항상 사용할 수 있도록 보장합니다:

• 서버실 내 소화기

• 서버실의 온도 및 습도 모니터링용 장치

• 서버실의 에어컨

• 서버실의 보호 소켓 스트립

• 무정전 전원 공급 장치(UPS)

• 서버실의 비디오 감시

• 서버 룸에 대한 무단 액세스에 대한 알람 메시지

• 정기 백업

• 백업 프로세스 확인

• 안전한 오프사이트 위치에 데이터 백업 저장

• 정기적인 데이터 복구 테스트 및 결과 로깅

• 서버실 내부 또는 그 위에 위생 시설이 없습니다.

• 전문 호스팅 업체를 통한 호스팅(최소한 가장 중요한 데이터의 호스팅)

5. 정기 검토, 평가 및 평가 절차(GDPR 제32조 제1항 라목, GDPR 제25조 제1항)

5.1 데이터 보호 관리

다음 조치는 조직이 데이터 보호법의 기본 요구 사항을 충족하도록 하기 위한 것입니다:

• 데이터 보호 관리를 위한 heyData 플랫폼 사용

• 데이터 보호 책임자 헤이데이터 임명

• 직원의 데이터 기밀 유지 의무

• 직원을 위한 정기적인 데이터 보호 교육

• 처리 활동의 개요 유지(GDPR 제30조)

5.2 인시던트 대응 관리

다음 조치는 데이터 보호 위반이 발생할 경우 보고 프로세스가 트리거되도록 하기 위한 것입니다:

• 데이터 보호 위반에 대한 보고 절차(Art. 4 제12조 GDPR에 따른 감독 당국에 대한 보고 절차(GDPR 제33조)

• 데이터 침해에 대한 통지 절차는 Art. 4 제12조 GDPR에 따른 정보 주체에 대한 통지 절차(GDPR 제34조)

• 보안 사고 및 데이터 침해에 대한 데이터 보호 책임자의 참여

• 방화벽 사용

5.3 데이터 보호 친화적인 기본 설정(GDPR 제25조 2항)

다음 조치는 데이터 보호 위반이 발생할 경우 보고 프로세스가 트리거되도록 하기 위한 것입니다:

• 데이터 보호 위반에 대한 보고 절차(Art. 4 제12조 GDPR에 따른 감독 당국에 대한 보고 절차(GDPR 제33조)

• 데이터 침해에 대한 통지 절차는 Art. 4 제12조 GDPR에 따른 정보 주체에 대한 통지 절차(GDPR 제34조)

5.4 주문 관리

다음 조치는 지침에 따라서만 개인 데이터를 처리할 수 있도록 보장합니다:

• 계약업체에 대한 서면 지침 또는 텍스트 형식의 지침(예: 데이터 처리 동의서를 통한 지침)

• 주문 완료 후 데이터 파기 보장(예: 해당 확인 요청 등)

• 계약업체가 자사 직원에게 데이터 기밀을 약속한다는 확인서(일반적으로 데이터 처리 계약서)

• 신중한 계약업체 선정(특히 데이터 보안 관련)

• 계약자 및 계약자의 활동에 대한 지속적인 검토

• 주문 완료 후 데이터 파기 보장(예: 해당 확인 요청 등)

버전 1.3, 2024년 4월 10일 발효