원계약에서 정의된 바와 같이 서비스를 제공받는 고객(“고객”)과 서비스를 수행하는 벤더 업체(“벤더”) 간 특정 서비스(스케쥴 1에 정의된 바와 같은)와 관련하여 본 DPA 링크를 제공하는 계약(“원계약”)에서의 본 개인정보처리 부록(“DPA”)은, 개인정보의 처리에 관한 당사자 간 합의사항을 반영하기 위하여, 적용되는 경우, 개인정보 관계 법령상의 요건에 따라 작성되었다. 원계약에 대한 인용은 제한사항 없이 DPA를 포함하는 것으로 해석된다. 원계약의 내용과 DPA가 상충되거나 일치하지 않는 경우, 본 DPA의 내용이 우선한다.
1. 정의.
“개인정보 관계 법령”은, 유럽연합 일반 개인정보보호법[Regulation (EU) 2016/679, “GDPR”], 2018년 캘리포니아 소비자 개인정보보호법("CCPA"), 2012년 개인정보보호법(싱가포르), 1998년 정보보호법(Cth)(“호주 정보보호 원칙”) 및 2020년 대한민국 개인정보보호법을 포함하여, 적용되는 개인정보보호 및 보안 관련 법령 및 규제 일체를 의미한다. “개인정보”는 식별된 또는 식별가능한 자연인에 관련된 정보 또는 개인정보 관계 법령에서 정의한 정보를 의미한다. “정보 주체”, “관리자”, “처리자”, 및 “처리”는 GDPR 또는 개인정보 관계 법령에서 정의한 의미를 갖는다. 기타 본 DPA에서 정의하지 않은 대문자 용어는 각각 원계약에서 주어진 의미를 갖는다.
2. 개인정보의 처리.
a. 당사자의 역할.
당사자는 개인정보 처리 목적과 방법을 결정함에 있어 고객에게 단독으로 책임이 있고, 벤더는 관리자를 대신하여 개인정보를 처리할 책임이 있는 고객의 처리자라는 것에 동의한다. 벤더는 개인정보 처리 및 미합중국, 인도 또는 고객이 승인한 다른 관할권 국가에의 개인정보 이전과 관련하여 오직 고객의 지시에 따라 조치를 취한다. 벤더는 개인정보를 처리하기 위하여 하위 처리자(위탁처리자)를 아래 제2(e)항 및 제2(f)항 “하위 처리자”에 기재된 요건에 따라 둘 수 있다. 고객 개인정보에 대하여, 벤더는 개인정보 관계 법령에 따른 서비스 제공자이다.
b. 개인정보에 대한 고객의 처리.
고객은 스스로의 개인정보 관계 법령의 준수(벤더에게 개인정보를 적법하게 이전하는 것, 벤더의 개인정보 처리를 포함하되 이에 제한되지 아니함)에 대하여 단독으로 책임을 진다. 의심의 여지를 피하기 위하여, 그러나 제한의 방법으로는 아닌, 개인정보 처리에 대한 고객의 지시는 개인정보 관계 법령을 반드시 준수해야 한다. 고객은, 개인 정보 및 고객이 개인정보를 취득한 방법(필요한 통지의 제공, 정보주체로부터 필요한 동의를 얻는 과정을 포함)의 정확성, 품질 그리고 적법성에 대하여 단독으로 책임을 져야 한다. 고객은 벤더에게 제공되는 개인정보를 서비스의 수행에 필요한 최소량으로 유지할 완전한 책임을 진다. 고객은 정보처리 기록을 적용법률(정보 관계 법령을 포함하되 이에 제한되지 아니함)에 따라 수립, 유지 또는 검토하는데 단독으로 책임을 진다. 고객은, 본 DPA에 따른 벤더의 서비스를 이행하기 위하여 필요한 특정 사업의 운영이 그러한 서비스의 제공을 독립적으로 관리하는 하나 이상의 전용 벤더 계열사에 이전되었거나 장래에 이전될 수 있음을 인지하고 동의한다. 벤더는 (a) 고객 개인정보를 팔거나, (b) 고객 개인정보를 서비스 제공을 위하여 특정된 목적, 기타 개인정보 관계 법령에 따라 허용된 경우 외에 다른 어떠한 목적으로 보유, 사용 또는 공개, (c)고객 개인정보를 벤더와 고객 사이의 직접적인 사업 관계 밖의 경로로 보유, 사용 또는 공개하지 않는다.
c. 고객의 지시할 권리.
벤더는 개인정보를 오직 고객의 지시에 따라 처리한다. 본 DPA의 내용에 따라, 그리고 당사자 간 상호 합의에 의하여, 고객은 처리의 종류, 한도 그리고 절차에 대하여 서면 지시를 할 수 있다. 고객은 고객으로부터 권한을 위임받은 자가 벤더에게 서면 지시를 제공하도록 보장할 책임이 있다. 개인정보 처리에 관한 고객의 최초 지시는 원계약, 본 DPA 스케쥴 1, 그리고 소프트웨어 및 서비스와 관련하여 적용가능한 주문서 또는 작업지시서에 정의되어 있다. 처리 및 절차에 관한 사항의 변경은 그 효력이 발생되기 전에 당사자들에 의하여 상호 합의되어야 한다.
d. 처리의 상세사항.
처리의 최초 성질과 목적, 기간, 정보주체의 정보 항목, 그리고 개인정보 종류는 스케쥴 1에 기재된 바와 같다.
e. 벤더의 하위 처리자(위탁처리자).
고객은 벤더가 본 DPA에 따라 하위 처리자를 두어 개인정보를 처리할 수 있음에 동의한다. 하위 처리자를 고용하는 경우, 벤더는 하위 처리자와 본 DPA와 실질적으로 유사하거나 더 높은 수준의 의무를 부과하는 계약을 체결해야 한다. 필요한 범위에 한하여, 고객은 명시적으로 벤더에게 하위 처리자와 그러한 계약에 서명하도록 명령한다. 고객은, 벤더가 온전히 그 재량으로 동의하지 않는 한, 소프트웨어 또는 서비스에 관하여 벤더의 하위 처리자와 직접 의사소통하지 않는다.
f. 이의권.
본 항은 오직 고객이 유럽 경제 지역(EEA) 내에 설립된 경우 그 범위 내에서, 또는 고객에게 적용되는 개인정보 관계 법령에서 요구되는 경우 적용되어야 한다. 고객의 서면 요청에 의하여, 벤더는 고객에게 관련 있는 제3자 하위 처리자의 목록을 제공하여야 한다. 그러한 목록은 벤더의 비밀정보로 간주된다. 고객이 새로운 하위 처리자 추가에 대하여 합리적으로 이의를 제기하는 경우(예를 들어, 그러한 변경이 고객에게 적용되는 개인정보 관계 법령의 위반을 야기할 때), 고객은 벤더에게 변경에 대한 통지를 받은 때로부터 30일 이내에 서면으로 구체적인 이의통지를 하여야 한다. 고객이 위 기간 내에 이의를 제기하지 않는 경우, 새로운 하위 처리자의 추가 및 본 DPA에의 가입을 승낙한 것으로 본다. 고객이 새로운 하위 처리자의 추가에 이의를 제기하고 벤더가 고객의 이의에 응하지 않는 경우, 고객은 벤더의 통지를 받은 때로부터 60일 이내에 서면으로 서비스 및 소프트웨어를 종료할 수 있다.
g. 고객 개인정보의 반환 또는 삭제. 개인정보 관계 법령 또는 기타 적용법규에 의하여 달리 요구되지 않는 한, 벤더는 서비스의 종료 또는 만료 후 합리적인 기간 이내에 고객 개인정보를 파기(또는 반환, 개인정보 관계 법령에 의하여 요구되는 경우)하여야 한다.
3. 진술 및 보증.
고객은 다음의 사항을 진술, 보증 그리고 약속한다. (a) 개인정보는 개인정보 관계 법령에 따라 벤더에게 수집 및 이전되었다; (b) 벤더에게 이전되기 이전에, 개인정보는 개인정보 관계 법령에 따라 유지, 보유, 저장, 보호되었다; (c) 고객은 개인정보 주체 및 규제 기관의 개인정보 처리와 관한 문의에 응답하고, 벤더의 개인정보 처리와 관련이 있는 개인정보 주체 및 규제 기관의 문의에 대하여 벤더에게 알릴 것이다; (d) 개인정보 수집 이전에, 고객은 개인정보 주체로부터 본 DPA에 따라 벤더의 개인정보 처리에 필요한 모든 동의를 획득하였다; (e) 고객은 원계약 사본을, 정보 주체 또는 규제 기관에게 개인정보 관계 법령에서 요구하는 바에 따라 또는 정보 주체 또는 규제 기관의 합리적인 요청에 의하여, 제공할 수 있다; (f) 고객은 개인정보 관계 법령을 단독 책임 하에 준수하여야 한다; (g) 처리는 고객이 체결한 합의들을 침해 또는 위반하지 않는다; (h) 고객은 서비스의 수행을 위하여 벤더에게 필요하고 벤더가 서면으로 요청하는 개인정보만을 벤더에게 이전, 제공한다. 벤더는 고객으로부터 받은 위법한 지시의 준수에 의하여 발생한 위해 또는 손해에 대하여 책임이 없다. 벤더는 고객의 처리 지시가 개인정보 관계 법령을 위반하는 경우 이를, 고객의 의견에 따라, 고객에게 즉시 고지한다.
4. 정보주체의 권리.
법적으로 요구되는 한도에서, 정보주체가 개인정보 관계 법령에 따른 자신의 권리를 벤더에게 행사한 경우 벤더는 이를 지체없이 고객에게 통지하여야 한다(예를 들어, 열람, 정정, 처리의 정지, 삭제, 정보의 이동성 등). 적용가능한 범위 내에서, 벤더는 그러한 항의, 통지 또는 의사소통과 관련하여 고객에게 상업적으로 합리적인 협력과 원조를 제공하여야 한다. 벤더는 개인정보의 오류를 고객이 서면으로 지시한 바와 같이 또는 당사자 간 서면으로 상호 합의한 절차에 따라 바로잡아야 한다. 고객은 벤더가 고객에게 제공한 정보주체의 요청에 대응하기 위하여 최선의 노력을 하고 지체없이 해결하여야 한다. 개인정보 관계 법령에 따라 고객의 개입 없이 벤더가 시정 조치를 해야 할 경우, 벤더는 그러한 시정 조치를 취하고 이를 고객에게 고지하여야 한다. 고객은 벤더가 본 항에 따른 원조를 제공하는데 소요되는 합리적인 비용을 부담하여야 한다. 벤더는, 개인정보 관계 법령에서 요구하는 범위 내에서, 고객의 합리적 통지와 비용 부담에 의해, 고객이 개인정보영향평가 및/또는 정보보호기관과 사전 자문을 실행할 수 있도록 서비스와 관련하여 합리적으로 요청된 정보를 제공한다.
5. 벤더 인원.
벤더는 개인정보 처리에 관여하는 인원을 개인정보의 비밀성에 대하여 훈련시키고 그들의 책임에 대한 적절한 교육을 제공해야 한다. 벤더는 그 인원과, 관여 중은 물론 그 인원의 관여가 종료된 후에도 개인정보의 비밀성을 유지하도록 하는 서면 계약을 체결하여야 한다. 벤더는 원계약의 수행을 위하여 접근이 필요한 인원에 대하여도 그러한 개인정보에의 접근을 제한하기 위한 상업적으로 합리적인 노력을 하여야 한다. 개인정보 관계 법령에서 요구하는 경우, 벤더는 개인정보 보호책임자를 지정하여야 하고, 요청에 의하여 그 책임자의 연락처를 제공하여야 한다.
6. 보안.
벤더는 개인정보 처리에 제기되는 위험에 적절한 보안 수준을 보장하기 위한 적절한 기술적 및 조직적 수단을 시행 비용, 처리의 성질, 범위, 맥락 또는 목적, 다양한 경우의 수 그리고 정보 주체에 대한 피해의 심각성을 고려하여 시행하여야 한다. 적절한 보안 수준을 평가할 때, 벤더는 처리에 의해 제시되는 위험, 특히 돌발적인 또는 위법한 파기, 손실, 변경, 권한 없는 공개, 전달, 저장 기타 다른 방식으로 처리된 개인정보에의 접근 등의 위험을 따져보아야 한다. 개인정보 위반을 인지함과 동시에, 만약 벤더가 개인정보 관계 법령에 의하여 의무가 있는 경우, 고객에게 과도한 지체 없이 이를 통지하고 그 개인정보 위반과 관련한 정보 및 협조를 고객의 합리적인 요청에 따라 제공한다. 그러한 정보는 벤더의 비밀정보로 간주된다. “개인정보 위반”은 고객의 개인정보에 대한 돌발적인 또는 위법한 파기, 손실, 변경, 권한 없는 공개, 접근을 초래하는 서비스 보안 위반을 의미한다.
7. 감사.
a. 감사 청구.
제7(c)항에 따라, 고객의 서면 청구에 의하여, 벤더는 고객에게 원계약의 준수 및 약속에 관한 최신의 감사보고서 요약을 (가능한 경우) 제공한다. 벤더의 정책은 원 데이터, 사적인 정보가 아닌 방법론과 개요 정보를 공유하는 것이다. 벤더는 고객이 원계약의 준수 및 약속을 이해하는데 도움이 되는 가능한 추가 정보를 제공함으로써 합리적으로 고객에게 협조한다. 적용가능한 개인정보 관계 법령 상 다른 방법으로 감사 의무를 만족시키는 것이 불가능한 범위 내에서, 제7(c)항에 따라, 오직 법적으로 권한이 있는 자(고객의 운영을 관리감독하는 정부의 규제 기관 같은)만이 서비스 제공에 이용되는 시설을 현장 방문할 수 있다. 개인정보 관계 법령에 의하여 권한이 있는 경우가 아닌 한, 보안 또는 준법상의 이유로 인하여 데이터 센터 내 감사는 허용되지 않는다. 제7조에 따른 감사를 시행한 후 또는 제7조에 따른 벤더 보고서를 수령한 후, 고객은 벤더가 본 DPA상의 보안, 비밀유지 또는 정보 보호 의무를 미준수하는 특정한 방식이 있는 경우 이를 벤더에게 통지하여야 한다. 위와 같은 통지의 내용은 벤더의 비밀정보로 간주된다.
b. 하위 처리자.
고객은, 벤더와 벤더 하위 처리자의 사전 동의 없이 벤더의 하위 처리자를 감사할 수 없다. 하위 처리자에 대한 감사 요청은 벤더 또는 벤더 하위 처리자가 독립 기관(내∙외부 감사, 벤더의 개인정보보호책임자, IT 보안 부서, 개인정보보호 또는 품질 감사 또는 다른 상호 합의한 제3자를 포함하되 이에 제한되지 아니함)의 최신 증명, 보고서, 발췌물을 제시하거나 IT 보안 또는 개인정보보호 감사를 통한 확인으로 만족될 수 있다. 하위 처리자의 부지 내 현장 감사는 관리자를 대신하여 벤더가 수행할 수 있다.
c. 감사 절차.
개인정보 관계 법령에 의하여 다르게 요구되지 않는 한, 고객은 감사 보고 개요 또는 벤더 감사를 연 1회 요청할 수 있다. 고객은 벤더에 최소 4주의 기간을 둔 사전 서면 통지로서 감사 보고 개요 또는 벤더 감사를 요청하여야 한다. 감사의 범위는 스케쥴 1에 정의된 고객의 개인정보 보호와 관련된 벤더의 정책, 절차 그리고 통제에 한정된다. 제7(b)항에 따라, 감사는 통상의 영업 시간 동안에 벤더의 주된 영업장 또는 개인정보에 접근, 처리, 관리할 수 있는 다른 장소에서 이루어지되, 벤더의 일상적인 영업행위를 합리적 이유 없이 방해하지 않는다. 감사는 고객의 비용으로, 상호 합의한 제3자에 의하여 진행된다. 그 제3자는 원계약에 기재된 것과 실질적으로 유사한 수준의 비밀유지 조항이 있는 비밀유지계약을 체결하여 벤더의 모든 비밀정보 및 감사 결과에 대하여 비밀을 유지하도록 하여야 한다. 나아가 고객은 벤더의 지원(내부 자원의 이용을 포함)에 대하여 당시 벤더의 요율을 기준으로 비용을 지불한다. 현장 감사란 벤더와 고객이 사전에 합의하여 감사 일정 및 기간을 조율한다. 벤더는 감사인이 벤더의 보안 정보 또는 자료를 통상의 영업 시간 동안 열람(복사 제외)할 권리를 부여하는 것을 포함하여 감사에 필요한 부분 협력한다. 고객은 벤더에 비용을 부과하지 않고 감사 결과들의 완전한 사본을 제공하여야 한다. 감사의 결과는 벤더의 “비밀정보”로 간주된다.
8. 정보 이전.
고객은 본 DPA에 의하여 벤더에게 미합중국 및 벤더 또는 그 하위 처리자가 정보처리작업을 실행하는 타국가에 있는 개인정보를 서비스 제공을 위하여 또는 원계약에 기재된 것과 같이 이전 및 처리하도록 지시한다. 개인정보 관계 법령에 의하여 요구되는 경우, 위와 같은 방법은 개인정보를 개인정보에 대하여 적절한 보호를 제공하는 나라에 있는 수령인, 구속력 있는 회사 규칙 승인을 얻은 수령인, 유럽 위원회가 채택하거나 승인한 표준 계약조항을 체결한 수령인에게 이전하는 것을 포함하되 이에 국한하지 아니한다. 또한, 고객은 본 DPA에 의하여 벤더가 고객의 대리인으로서 관리자-처리자 표준 계약 조항 또는 벤더가 서비스를 제공하는데 합리적으로 필요한 법적 문서를 체결하는 것을 승인하고, 이를 지정 및/또는 지시한다.
9. 책임의 제한.
개인정보 관계 법령에 따라 허용되는 최대 한도내에서, 각 당사자 및 그 계열사의 본 DPA와 관련하여 또는 본 DPA로부터 발생하는 책임은, 총괄적으로 함께, 그것이 계약, 불법행위 또는 다른 어떤 책임 이론하에서 인정되는 것이든 간에 원계약 “책임의 제한” 조항의 대상이 되고, 그러한 조항에서 언급하는 당사자의 책임은 원계약 및 본 DPA 상 당사자 및 그 계열사의 책임을 총괄적으로 의미한다. 이를 명확히 하기 위하여, 원계약 및 각 DPA와 관련되거나 그로부터 발생하는 고객의 청구에 대한 벤더와 그 계열사의 총 책임은 원계약 및 본 DPA에 따른 청구에 대해 총괄적으로 적용된다. 개인정보 관계 법령에 의하여 요구되는 경우, 벤더는 하위 처리자의 행위 및 누락에 대하여 만약 벤더가 본 DPA에 따라 직접 각 하위 처리자의 사업을 수행하였다면 부담하였을 책임과 동일한 한도로 책임이 있다.
10. 준거법.
당사자는, 적용되는 개인정보 관계 법령에 따라 달리 요구되지 않는 한, (1) 본 DPA의 준거법과 (2) 본 DPA와 관련한 분쟁의 재판적은 원계약에서 정한 것과 같다는 것에 동의한다.
처리의 성질과 목적
벤더는 개인정보를 원계약에 따른 서비스를 수행하는데 필요한 범위 및 고객이 벤더의 서비스(“서비스”)를 이용함에 있어 지시한 사항에 따라 처리한다. 요청되는 서비스는 다음의 것을 포함하되 이에 제한되지 아니한다. (a) 여러 온라인 주문 플랫폼을 통한 주문 정보의 통합, (b) 소비자 유지 분석 및 기타 사업에 대한 이해를 포함한 일반 데이터 분석 서비스
처리 기간 및 정보의 반환
벤더는, 서면으로 달리 합의하지 않는 한, 원계약의 기간 동안 개인정보를 처리한다. 벤더는, 서면으로 달리 합의하지 않는 한, 법에서 정한 기간동안 개인정보를 보유한다.
정보주체의 정보 항목
고객은, 고객의 전적인 재량으로 자신이 결정하고 통제하는 범위에서, 서비스에 개인정보를 제출할 수 있으나, 다음과 같은 정보주체의 정보 항목과 관련한 개인정보를 포함하되 이에 한정되지 아니한다.
1. 고객의 소비자
2. 고객의 배달원
3. 고객의 직원 또는 독립 계약자
개인정보 종류
고객은, 고객의 전적인 재량으로 자신이 결정하고 통제하는 범위에서, 서비스에 개인정보를 제출할 수 있으나, 다음과 같은 개인정보 항목을 포함하되 한정되지 아니한다.
1. 고객의 연락 정보(회사 이름, 이메일, 전화, 주소지)
2. 플랫폼 로그인 정보
3. 청구 및 지불 정보
4. 다음을 포함하는 고객의 주문 정보 데이터
a. 소비자 연락 정보
b. 소비자 배달 장소
c. 소비자 주문 정보
d. 배달원의 연락처 정보