MuchBetter 비즈니스
데이터 보호 추가 조항

1. 정의

본 데이터 보호 추가 조항("DPA")에 정의되지 않은 모든 대문자 용어는 계약서에 명시된 의미를 갖습니다.

1. 제휴하다 당사국을 직간접적으로 지배하거나, 당사국에 의해 지배받거나, 당사국과 공동 지배하에 있는 개인 또는 단체를 의미합니다. 본 정의에서 "지배"(상대적 의미로 "지배하는", "당사국에 의해 지배받는" 및 "당사국과 공동 지배하에 있는"이라는 용어 포함)는 의결권 있는 주식의 소유, 계약 또는 기타 방법을 통해 해당 개인 또는 단체의 업무를 관리하거나 지시할 수 있는 권한을 의미합니다.
2. 합의 MIR과 계정 소유자 간의 MuchBetter 비즈니스 계정 서비스 계약을 의미하며, 여기에는 개인 데이터에 대한 접근 또는 기타 처리가 포함됩니다.
3. 승인된 관할권 EEA 회원국 또는 유럽 위원회가 데이터에 대한 적절한 법적 보호를 갖추고 있다고 승인한 기타 관할권, 또는 2018년 데이터 보호법 제17A조 또는 2018년 데이터 보호법 제21조 제4항 및 제5항에 따라 발행된 영국 적정성 규정을 의미합니다.
4. 침해 사고 개인 데이터가 전송, 저장 또는 기타 방식으로 처리되어 우발적 또는 불법적으로 파괴, 손실, 변경, 무단 공개 또는 액세스되는 보안 위반을 의미합니다.
5. 데이터 보호법 데이터 프라이버시, 데이터 보안 및/또는 개인 데이터 보호와 관련된 모든 해당 국내 및 외국 법률, 규칙, 지침 및 규정을 의미하며, 여기에는 개인 데이터 처리 및 전자 통신 부문의 개인 정보 보호에 관한 개인 정보 및 전자 통신 지침 2002/58/EC(및 해당 지역 시행법)(개인 정보 및 전자 통신에 관한 지침)이 포함되며, 이에 대한 모든 개정 또는 대체 조항이 포함되며, 여기에는 2016년 4월 27일 유럽 의회 및 이사회 규정(EU) 2016/679("GDPR") 및 2018년 데이터 보호법과 유럽 연합(철회)법 2018 제3조에 따라 영국 및 웨일즈, 스코틀랜드 및 북아일랜드 법률의 일부를 구성하는 GDPR("UK GDPR")이 포함됩니다.
6. EEA 유럽 경제 지역에 가입한 국가를 의미합니다.
7. 미르 MuchBetter 비즈니스 계정 서비스 제공업체인 MIR Limited UK Ltd를 의미합니다.
8. 개인 데이터 또는 "개인 정보"란 식별 가능한 개인에 관한 정보 또는 식별 가능한 개인과 관련될 수 있는 모든 정보를 의미합니다. 여기에는 개인과 연결될 수 있거나 개인(자연인)을 직간접적으로 식별하는 데 사용될 수 있는 모든 정보가 포함됩니다. 개인 정보는 출처와 관계없이 기밀 정보로 간주됩니다.
9. 프로세스 수집, 기록, 정리, 저장, 각색 또는 변경, 접근, 검색, 열람, 이용, 전송, 배포 또는 기타 방법으로 제공, 정렬 또는 결합, 차단, 삭제 또는 파기 등 자동적인 수단 여부와 관계없이 개인 데이터에 대해 수행되는 모든 작업 또는 작업 집합을 의미합니다. "프로세스" 또는 "처리"는 이에 따라 해석됩니다.
10. 표준 계약 조항 또는 "SCC"는 2021년 6월 4일 유럽 의회와 이사회의 규정 (EU) 2016/679에 따라 제3국으로 개인 데이터를 전송하기 위한 표준 계약 조항의 적용 가능한 모듈이며, 수시로 수정, 대체 또는 교체될 수 있습니다.
11. 영국 부록 2022년 3월 21일에 발효된 표준 계약 조항에 대한 국제 데이터 전송 추가 조항을 의미합니다.

2. 본 DPA의 적용

1. 이 DPA는 다음 조건이 모두 충족되는 경우에만 적용됩니다.
   
   1. 각 당사자는 계약과 관련하여 다른 당사자가 제공한 개인 데이터를 처리합니다.
   2. 개인정보 처리에는 데이터 보호법이 적용됩니다.
2. 본 DPA는 당사자들이 계약에서 합의한 서비스에만 적용되며, 해당 DPA는 참조로 통합됩니다.

3. 데이터 보호 및 개인 정보 보호

1. 당사자 중 한 쪽이 다른 당사자에게 제공된 개인 데이터에 접근하거나 다른 방식으로 처리하는 경우 해당 당사자는 다음을 수행해야 합니다.
   
   1. 개인 데이터의 독립적인 관리자로서 계약 및 데이터 보호법에 따라 처리 목적과 수단을 결정합니다.
   2. 데이터 보호법의 요구 사항에 따라서만 개인 데이터를 처리하고, 데이터 보호법에 따라 요구되는 대로 계약에 따라 수행된 모든 개인 데이터 처리 활동에 대한 정확한 서면 기록을 유지하십시오.
   3. 앞서 언급한 내용을 저해하지 않고, 데이터 보호법에 따라 요구되는 모든 정보를 데이터 주체에게 제공하고, 데이터 주체가 데이터 보호법에 따라 권리를 행사할 수 있도록 해야 하며, 앞서 언급한 사항과 모든 법적 또는 규제적 의무를 이행하기 위해 다른 당사자에게 합리적인 협조와 지원을 제공해야 합니다.
   4. 개인 데이터를 우발적 또는 불법적인 파괴, 우발적인 손실, 변경, 무단 공개 또는 전송, 저장 또는 기타 방식으로 처리되는 개인 데이터에 대한 접근 및 기타 모든 불법적인 처리 형태로부터 보호하기 위해 상업적으로 합리적이고 적절한 물리적, 기술적 및 조직적 보안 조치를 구현하고 유지합니다.
   5. 데이터 보호법에 따라 요구되는 대로, 감독 기관에 대한 개인 데이터 침해에 대한 통지 의무와 데이터 주체에 대한 의사소통 의무를 준수합니다.
   6. 침해 사고를 인지한 후 지체 없이, 늦어도 24(24)시간 이내에 다른 당사자에게 통보해야 합니다.
2. 데이터 주체로부터 개인 데이터를 처음 수집하는 당사자는 데이터 보호법을 준수하는 데 필요한 범위 내에서 데이터 주체로부터 필요할 수 있는 모든 동의를 얻고 데이터 보호법을 준수하는 데 필요한 경우 개인 데이터를 수집하기 전에 데이터 주체에게 정보를 제공할 책임이 있습니다(예: "개인 정보 고지" 또는 "개인 정보 보호 정책"). 앞서 언급한 사항은 데이터 보호법에 따른 다른 당사자의 책임(예: 개인 데이터 처리와 관련하여 개인 데이터가 수집될 때 데이터 주체에게 정보를 제공해야 하는 요구 사항)을 저해하지 않습니다.
3. 각 당사자는 본 계약에 따른 의무와 서비스를 이행하기 위해 제휴사를 포함한 하청업체("하위 처리자")를 임명하여 자신을 대신하여 개인 데이터를 처리할 수 있습니다. 단, (i) 임명은 해당 하위 처리자와의 서면 계약에 따라 이루어져야 하며, 해당 계약에는 해당 데이터 보호 추가 조항에 따라 제공되는 것과 동등한 개인 데이터 보호 조건이 포함되어야 합니다. (ii) 각 당사자는 본 데이터 보호 추가 조항, 본 계약 및 데이터 보호법에 따라 자신의 행위 또는 부작위에 대해 책임을 지는 것과 동일한 범위 내에서 자신의 하위 처리자의 행위 또는 부작위에 대해 책임을 져야 합니다.

4. 개인 정보의 전송

당사자들은 승인된 관할권 외부에서 개인 데이터를 처리하거나 이전하지 않습니다.

1. 당사자가 승인된 관할권이 아닌 다른 관할권에서 개인 데이터를 처리하거나 개인 데이터를 전송하려는 경우 해당 당사자는 영국 추가 조항과 함께 SCC를 체결한 것으로 간주됩니다. 이 경우: (i) 영국 추가 조항과 SCC는 본 계약에 참조로 포함됩니다. (ii) 개인 데이터를 공개하는 당사자는 수출자로 간주되고 개인 데이터를 수신하는 당사자는 수입자(본 계약에 정의된 용어)로 간주됩니다.

5. 일반

1. 데이터 보호법이 새롭거나 수정된 데이터 보호법(관련 법원이나 정부 기관의 결정 또는 해석 포함)에 의해 대체되는 경우, 새롭거나 수정된 데이터 보호법은 이 데이터 보호 부록에 포함된 것으로 간주되며, 양 당사자는 즉시 해당 데이터 보호법을 준수하기 시작합니다.
2. 본 DPA의 조건과 표준 계약 조항 또는 영국 부록(해당하는 경우) 사이에 충돌이나 불일치가 있는 경우, 표준 계약 조항 또는 영국 부록(해당하는 경우)의 조건이 우선합니다.

SCC 부록 I

1. 부록 1은 DPA의 일부를 구성하며 영국 부록 및/또는 표준 계약 조항에 따른 각 당사자의 의무에 대한 합의된 해석을 명시합니다.
2. 당사자들은 MIR과 계정 소유자 간의 개인 데이터 전송 목적에 대해 다음 사항이 적용되는 데 동의합니다.
   
   1. SCC 조항 7은 적용되지 않습니다.
   2. 감독 기관은 영국 부록이 통합된 경우 영국 정보 위원회 사무소이고, SCC만 통합된 경우 아일랜드 데이터 보호 위원회입니다.
   3. 영국 추가 조항이 적용되는 경우 영국 및 웨일즈의 법률이 적용되고, 적용되지 않는 경우 아일랜드의 법률이 적용됩니다.
   4. 영국 추가 조항이 적용되는 경우 당사자들은 영국 법원을 포럼 및 관할권으로 선택하고, 적용되지 않는 경우 아일랜드 법원을 선택합니다.
   5. 영국 추가 조항의 표 4에 따르면, 당사자 중 한 쪽은 영국 추가 조항의 섹션 19에 따라 계약을 종료할 수 있습니다.

당사자 식별

"데이터 내보내기": 개인 정보 전송자;

"데이터 가져오기": 개인 정보 수신자

전송 설명

데이터 주체

처리되는 개인 데이터는 다음과 같은 범주의 데이터 주체와 관련이 있습니다(명시해 주십시오):

• ☐ MIR 직원
• ☐ MIR의 고객
• ☐ 계정 소유자의 최종 사용자
• ☐ 계정 소유자의 직원
• ☐ 계정 소유자의 고객
• ☐ 기타: ________

개인 정보의 범주

전송되는 개인 데이터는 다음과 같은 데이터 범주와 관련이 있습니다(자세히 명시해 주세요):

• ☐ 연락처 정보(이름, 나이, 성별, 주소, 전화번호, 이메일 주소 등)
• ☐ 금융 및 결제 데이터(예: 신용카드 번호, 은행 계좌, 거래 내역)
• ☐ 정부 발급 신분증(여권, 운전면허증)
• ☐ 장치 식별자 및 인터넷 또는 전자 네트워크 활동(IP 주소, GAID/IDFA, 검색 기록, 타임스탬프)
• ☐ 지리적 위치 정보
• ☐ 생체 인식 데이터
• ☐ 기타: ________

특수 데이터 범주(해당되는 경우)

전송되는 개인 데이터는 다음과 같은 특수 범주의 데이터와 관련이 있습니다(자세히 명시해 주세요):

• ☐ 없음
• ☐ 유전 또는 생체 데이터
• ☐ 건강 데이터
• ☐ 인종 또는 민족적 기원
• ☐ 정치적 의견, 종교적 또는 철학적 신념
• ☐ 기타: ________

전송 빈도:

• ☐ 일회성
• ☐ 연속
• ☐ 기타: ________

처리의 특성

• ☐ 컬렉션
• ☐ 녹음
• ☐ 조직 또는 구조화
• ☐ 보관
• ☐ 적응 또는 변경
• ☐ 검색
• ☐ 상담
• ☐ 공개, 배포 또는 기타 방법으로 사용 가능하게 함
• ☐ 분석
• ☐ 삭제 또는 파괴
• ☐ 기타: ________
•  

이전 및 추가 처리 목적

• ☐ MBB 계정 서비스 제공, 관리 및 운영
• ☐ 기타: ________

보존 기간

개인 데이터는 계약 기간 동안 또는 해당 법률에 따라 보관됩니다.

SCC 부록 II – 데이터 보안을 보장하기 위한 기술적 및 조직적 조치를 포함한 기술적 및 조직적 조치

이 부록은 DPA의 일부를 구성하며 데이터 수입자가 시행하는 기술적, 조직적 보안 조치를 설명합니다.

최신 기술, 구현 비용, 처리의 특성, 범위, 맥락 및 목적과 더불어 자연인의 권리와 자유에 대한 다양한 가능성과 심각성의 위험을 고려하여 데이터 수입자는 다음을 포함하여 위험에 적합한 수준의 보안을 보장하기 위한 적절한 기술적 및 조직적 조치를 구현해야 합니다.

• 개인 데이터의 가명화 및 암호화
• 처리 시스템과 서비스의 지속적인 기밀성, 무결성, 가용성 및 복원력을 보장하는 능력
• 물리적 또는 기술적 사고가 발생한 경우 적절한 시기에 개인 데이터의 가용성과 액세스를 복구할 수 있는 능력
• 처리 보안을 보장하기 위한 기술적 및 조직적 조치의 효과성을 정기적으로 테스트, 평가 및 평가하는 프로세스
• 정보 보안 및 데이터 개인정보 보호 정책 유지 관리