데이터 처리 계약

버전 2.1.0

당사자:

  • PowerDMARC에 가입한 등록 조직을 본 문서에서는 '관리자'라고 합니다.

그리고

  •  미국 델라웨어에 등록 사무소 및 주된 사업장을 두고 있는 메나인포섹(MENAINFOSEC, Inc)을 본 계약에서 '프로세서'라고 합니다;

서문:

  1. 컨트롤러는 프로세서가 컨트롤러에게 다양한 서비스를 제공하기 위해 프로세서와 하나 이상의 계약을 체결했거나 그러한 계약을 체결할 예정입니다. 계약 또는 이러한 계약을 총칭하여 '본 계약'이라고 합니다.
  2. 본 계약을 이행할 때 처리자는 개인정보처리자가 책임이 있는 데이터를 처리합니다. 이러한 데이터에는 일반 데이터 보호 규정(EU 2016/679), 이하 'GDPR'의 의미 내에서 개인 데이터가 포함됩니다.
  3. GDPR 제28조 3항의조항을 고려하여 양 당사자는 본 계약에 이러한 개인 데이터가 처리되는 조건을 명시하고자 합니다.

동의:

  • 범위
    1. 본 계약은 본 계약에 따른 서비스 제공 시 부록 1에 포함된 하나 이상의 처리 작업이 수행되는 경우에 적용됩니다.
    2. 서비스 제공을 위해 수행되는 부록 1의처리 작업을 본 문서에서는 '처리 작업 '이라고 합니다. 이와 관련하여 처리되는 개인 데이터는 다음과 같습니다: '개인 데이터'.
    3. 본 계약의 모든 개념은 GDPR에서 정의된 의미를 갖습니다.
    4. 컨트롤러의 지시에 따라 더 많은 개인 데이터가 처리되거나 본 조항에 설명된 것과 다르게 처리되는 경우, 본 계약은 해당 처리 작업에도 가능한 한 많이 적용됩니다.
    5. 부속서는 본 계약의 일부를 구성합니다. 부속서는 다음과 같이 구성됩니다:

부록 1 처리 작업, 개인 데이터 및 보유 기간;

  • 제목
    1. 개인정보처리자는 개인정보에 대한 완전한 통제권을 보유합니다. 컨트롤러가 처리자의 시스템을 사용하여 직접 개인 데이터를 처리하지 않는 경우, 처리자는 예를 들어 유럽 연합 외부의 제3자에게 전달되는 개인 데이터와 관련하여 컨트롤러의 서면 지침에 따라 독점적으로 처리합니다. 본 계약은 이와 관련하여 일반적인 지침으로 간주됩니다.
    2. 처리 작업은 본 계약과 관련해서만 수행됩니다. 처리자는 본 계약에 규정된 것 이외의 방식으로 개인정보를 처리해서는 안 됩니다. 특히 처리자는 자신의 목적을 위해 개인 데이터를 사용해서는 안 됩니다.
    3. 처리자는 적절한 방법으로 적절한 주의를 기울여 처리 작업을 수행합니다.
  • 보안 조치
    1. 처리자는 GDPR에 따라, 특히 GDPR 제32조에 따라 요구되는 모든 기술적 및 조직적 보안 조치를 취해야 합니다.
    2. 처리자는 처리자의 처리 작업에 참여하는 직원에 국한되지 않는 모든 사람이 개인 데이터와 관련하여 기밀을 준수할 의무가 있음을 보장해야 합니다.
  • 데이터 침해 및 개인정보 영향 평가
    1. 처리자는 GDPR 12조에 따라 제4조에명시된 '개인 데이터 침해'를 컨트롤러에게 통지해야 하며, 이러한 침해는 이하 '데이터 침해'로 지칭합니다.
    2. 처리자는 자신이 소유하고 있고 GDPR 제33조의의무를 이행하는 데 필요한 모든 정보를 적시에 컨트롤러에게 제공해야 하며, 이를 위해 처리자는 해당 정보를 처리자가 결정하는 표준 형식으로 가능한 한 빨리 제공해야 합니다. 여기에는 데이터 침해가 자연인의 권리와 자유에 위험을 초래할 가능성이 명백한 경우 처리자는 가능한 한 빨리 컨트롤러에게 데이터 침해에 대해 알려야 합니다. 데이터 침해가 자연인의 권리와 자유에 위험을 초래할 가능성이 없는 것이 명백한 경우, 처리자는 과도한 지체 없이 통지하는 경우 추후에 컨트롤러에게 통지할 수 있습니다. 데이터 침해가 자연인의 권리와 자유에 위험을 초래할 가능성이 있는지 의심할 만한 이유가 있는 경우, 처리자는 가능한 한 빨리 컨트롤러에게 데이터 침해 사실을 통지해야 합니다.
    3. 처리자에게 발생한 데이터 위반을 네덜란드 개인정보 당국 및/또는 데이터 주체에게 보고할지 여부를 결정하는 것은 전적으로 관리자의 권한입니다.
  • 하위 프로세서의 참여
    1. 처리자는 처리 작업을 수행할 때 컨트롤러의 사전 동의 없이 제3자를 하위 처리자로 고용할 수 없습니다. 컨트롤러의 동의는 특정 범주의 하위 프로세서와 관련될 수도 있습니다.
    2. 개인정보처리자가 동의하는 경우, 개인정보처리자는 해당 제3자가 최소한 본 계약에 따라 개인정보처리자가 갖는 것과 동일한 법적 의무 및 추가 의무를 준수하는 계약을 체결하도록 해야 합니다.
    3. 동의가 특정 유형의 제삼자와 관련된 경우, 처리자는 자신이 고용한 하위 처리자에 대해 컨트롤러에게 알려야 합니다. 그런 다음 컨트롤러는 프로세서의 하위 프로세서와 관련하여 추가 또는 교체에 이의를 제기할 수 있습니다.
  • 기밀 유지 의무
    1. 처리자는 개인 데이터를 기밀로 유지합니다. 처리자는 개인정보가 직간접적으로 제3자에게 제공되지 않도록 보장합니다. 제3자라는 용어에는 개인 데이터를 기록할 필요가 없는 한, 처리자의 직원도 포함됩니다. 이 금지 조항은 본 계약에 반대되는 조항이 명시되어 있거나 법적 규정 또는 판결에 따라 공개가 요구되는 경우에는 적용되지 않습니다.
    2. 처리자는 법에 의해 금지되지 않는 한, 본 조항에 포함된 기밀 유지 의무에 반하는 개인정보에 대한 접근, 제공 또는 기타 형태의 요청 및 전달에 대한 데이터 주체 이외의 당사자의 요청이 있는 경우 이를 컨트롤러에게 알려야 합니다. 데이터 주체의 요청이 있는 경우 처리자는 해당 요청을 컨트롤러에 전달하거나 데이터 주체를 컨트롤러에 의뢰해야 합니다.
  • 보존 기간 및 삭제
    1. 개인정보처리자는 개인정보와 관련된 보존 기간을 결정할 책임이 있습니다. 개인정보가 개인정보처리자의 통제 하에 있는 경우(예: 서비스 호스팅의 경우) 개인정보처리자는 적절한 시간 내에 해당 개인정보를 직접 삭제합니다.
    2. 본 계약이 해지되거나, 처리자의 (법적) 의무와 관련하여 개인 데이터를 더 오래 보유해야 하는 경우 또는 컨트롤러가 개인 데이터의 장기 보유를 요청하고 처리자와 컨트롤러가 장기 보유에 따른 비용 및 기타 조건에 대해 합의한 경우, 컨트롤러가 법정 보유 기간을 준수할 책임에도 불구하고 부록 1에 명시된 보유 기간이 만료된 후 처리자는 컨트롤러의 재량에 따라 개인 데이터를 삭제하고 이를 그에게 전송해야 합니다. 컨트롤러에 대한 모든 전송은 컨트롤러의 비용으로 이루어집니다.
    3. 정보처리자가 보호 로그인을 통해 계정 및 데이터 삭제를 요청하는 경우, 정보처리자는 정보처리자의 재량에 따라 계정 및 데이터 삭제 요청 후 30일 이내에 개인정보를 삭제하고, 정보처리자의 (법적) 의무와 관련하여 개인정보를 더 오래 보관해야 하는 경우 또는 정보처리자가 개인정보를 더 오래 보관할 것을 요청하고 정보처리자와 정보처리자가 비용 및 기타 장기 보관 조건에 관해 합의하는 경우를 제외하고는 정보처리자가 법정 보관 기간을 준수할 책임에도 불구하고 해당 정보를 정보처리자에게 이전해야 합니다. 컨트롤러에 대한 모든 전송은 컨트롤러의 비용으로 이루어집니다.
    4. 처리자는 컨트롤러의 요청에 따라 이전 단락에서 의미하는 삭제가 이루어졌음을 명시합니다. 컨트롤러는 실제로 삭제가 이루어졌는지 여부를 자신의 비용으로 확인할 수 있습니다. 이러한 확인에는 본 계약의 10항이적용됩니다. 필요한 경우, 처리자는 개인정보 처리에 관련된 모든 하위 처리자에게 본 계약의 해지를 알리고 본 계약에 규정된 대로 행동하도록 지시해야 합니다.
    5. 당사자가 달리 합의하지 않는 한, 개인정보처리자가 직접 개인 데이터의 백업을 처리합니다.
  • 데이터 주체의 권리 
    1. 개인정보처리자 본인이 개인정보에 접근할 수 있는 경우 개인정보처리자는 개인정보와 관련된 데이터 주체의 모든 요청을 준수해야 합니다. 처리자는 처리자가 받은 모든 요청을 즉시 컨트롤러에게 전달해야 합니다.
    2. 이전 단락에서 의도한 바가 불가능한 경우에만 프로세서는 컨트롤러와 적절한 시간 내에 전적으로 협력하여 이를 수행합니다:
    3. 컨트롤러의 승인 및 지시에 따라 데이터 주체에게 해당 개인 데이터에 대한 액세스 권한을 제공합니다,
    4. 개인 데이터를 제거하거나 수정합니다,
    5. 개인 데이터가 부정확한 경우 이를 제거하거나 수정했음을 입증(또는 컨트롤러가 개인 데이터가 부정확하다는 데 동의하지 않는 경우, 데이터 주체가 자신의 개인 데이터가 부정확하다고 간주한다는 사실을 기록)할 수 있습니다.
    6. 컨트롤러 또는 컨트롤러가 지정한 제3자에게 구조화되고 통상적이며 기계 판독이 가능한 형태로 각 개인 데이터를 제공합니다.
    7. 개인정보처리자가 개인정보 처리 영역에서 GDPR 또는 기타 관련 법률에 따른 의무를 준수할 수 있도록 지원합니다.
    8. 이전 단락에언급된 협력에 부과되는 비용 및 요구 사항은 양 당사자가 공동으로 결정합니다. 이와 관련하여 어떠한 합의도 없는 경우 비용은 컨트롤러가 부담합니다.
  • 책임
    1. 예를 들어 컨트롤러는 처리 작업, 개인정보의 사용 및 내용, 제3자 제공, 개인정보의 보관 기간, 처리 방식 및 이를 위해 적용되는 수단에 대해 (규정된 목적에 따라) 전적으로 책임을 지며 그 책임에 따라 책임을 집니다.
    2. 처리자는 본 계약에 규정된 대로 컨트롤러에 대한 책임을 집니다. 인증
      1. 관리자는 매년 한 번씩 자신의 비용으로 본 계약 조항의 준수 여부를 확인하거나 독립적인 등록 감사인 또는 등록 정보학 전문가에게 확인을 요청할 수 있습니다.
      2. 처리자는 GDPR 제28조의의무를 준수했음을 입증하는 데 필요한 모든 정보를 컨트롤러에게 제공해야 합니다. 처리자가 고용한 제3자가 처리자의 의견에 따라 GDPR을 위반하는 것으로 간주되는 지시를 하는 경우, 처리자는 이를 즉시 처리자에게 통지합니다.
      3. 개인정보처리자에 대한 조사는 항상 처리 작업에 사용되는 처리자의 시스템으로 제한됩니다. 확인 과정에서 획득한 정보는 개인정보처리자가 기밀로 취급하며 처리자가 본 계약에 따른 의무를 준수하는지 확인하는 데만 사용되며 해당 정보 또는 그 일부는 가능한 한 빨리 삭제됩니다. 개인정보처리자는 관련된 모든 제3자도 이러한 의무를 수행할 것임을 보증합니다.
    3. 기타 조항
      1. 본 계약의 모든 개정은 양 당사자가 서면으로 합의한 경우에만 유효합니다.
      2. 양 당사자는 개정 또는 보완된 규정, 관련 당국의 추가 지침, GDPR 적용에 대한 통찰력 증가(예: 판례 또는 보고서), 표준 조항의 도입 및/또는 그러한 조정을 필요로 하는 기타 사건 또는 통찰력에 따라 본 계약을 조정할 수 있습니다.
      3. 본 계약은 본 계약이 유효한 기간 동안 유효합니다. 본 계약의 조항은 본 계약의 해결에 필요한 한도 내에서 그리고 본 계약이 종료된 후에도 효력을 유지하는 범위 내에서 유효합니다. 마지막 범주의 조항에는 기밀유지 및 분쟁에 관한 조항이 포함되나 이에 국한되지 않습니다.
      4. 본 계약은 컨트롤러와 처리자 간의 다른 모든 계약보다 우선합니다.
      5. 본 계약은 네덜란드 법률의 적용을 받습니다.
      6. 양 당사자는 본 계약과 관련된 분쟁을 암스테르담 지방법원에 독점적으로 제출합니다.

부록 1

개인 데이터의 처리 작업 및 보유 기간

본 부록은 처리 계약의 일부를 구성하며 당사자가 서명해야 합니다.

  • 당사자가 처리할 것으로 예상되는 개인 데이터:
    • 이름
    • 이메일 주소
    • DMARC 포렌식 데이터의 본문 데이터(RUF, DMARC 비준수 이메일)
  • 개인 데이터의 사용(=처리 방법) 및 처리 목적과 리소스:
    • PowerDMARC는 들어오는 DMARC 보고서를 처리합니다. DMARC 사양에는 두 가지 유형의 보고서가 있습니다:
      • 보고서 집계
        이 보고서에는 특정 IP 주소에 대해 매일 특정 도메인에 대해 전송된 메시지 수에 대한 데이터와 해당 메시지에 대한 SPF 및 DKIM 검사 결과가 포함되어 있습니다. 집계 보고서에는 개인 데이터가 포함되지 않습니다.
      • 포렌식 보고서
        포렌식 보고서는 제한된 수의 DMARC 보고서 발신자에 의해 전송됩니다. 포렌식 보고서는 DMARC 검사에 실패한 특정 메시지의 사본입니다. 이러한 메시지의 내용에는 개인 식별 정보(PII)가 포함될 수 있습니다. PowerDMARC는 이러한 메시지를 저장하는 몇 가지 방법을 제공합니다:

        • 기본값입니다: 기본적으로 메시지 본문은 제거되고 헤더만 저장됩니다.
        • 암호화됨: 클라이언트는 PowerDMARC 소프트웨어에서 공개 PGP 키를 업로드할 수 있습니다. 이 키를 사용하여 수신되는 모든 메시지가 암호화됩니다. 클라이언트는 개인 키와 비밀번호를 사용하여 데이터를 해독할 수 있습니다.
        • 암호화되지 않음: PowerDMARC를 데이터 프로세서로 특정 확인하고 수락하면 클라이언트는 전체 메시지 본문을 암호화되지 않은 상태로 PowerDMARC 소프트웨어에 저장할 수 있습니다.

(다양한 유형의) 개인 데이터의 이용 약관 및 보유 기간:

  • 라이선스: 기본 무료 버전을 제외한 모든 라이선스
  • 데이터 보존: 365일