데이터 처리 계약서

이 데이터 처리 계약서(이하 “계약서”)는 다음 당사자 간의 이용 약관(이하 “주계약”)의 일부를 구성합니다:

  • 클라이언트(“데이터 책임자”)
  • Textintel FZE(“데이터 처리자”)

(이하 “당사자”라 통칭).

1. 배경

1.1 클라이언트는 데이터 책임자로서 개인 데이터 처리 서비스 일부를 데이터 처리자에게 하도급하려 합니다.

1.2 양 당사자는 다음을 포함한 적용 가능한 데이터 보호법을 준수하는 데이터 처리 계약을 체결하고자 합니다:

  • 2016년 4월 27일 유럽 의회 및 이사회 규정(EU) 2016/679(일반 데이터 보호 규정, GDPR).
  • 개인 데이터 처리에 적용되는 기타 모든 데이터 보호 및 프라이버시 법률.

1.3 본 계약서는 데이터 보호 및 프라이버시에 관한 당사자의 권리와 의무를 규정합니다.

2. 정의 및 해석

2.1 별도 정의되지 않은 한, 본 계약서에서 대문자로 표기된 용어는 다음과 같은 의미를 갖습니다:

  • “계약서” – 본 데이터 처리 계약서(모든 부속서 및 스케줄 포함).
  • “클라이언트 개인 데이터” – 주계약에 따라 데이터 처리자가 클라이언트를 대신해 처리하는 모든 개인 데이터.
  • “데이터 보호법” – GDPR 및 이를 보완 또는 시행하는 모든 국내법을 포함한 모든 관련 개인정보 보호법.
  • “처리” – 수집, 저장, 전송 또는 삭제 등 개인 데이터에 대한 모든 작업.
  • “하위 처리자” – 클라이언트를 대신해 개인 데이터를 처리하도록 데이터 처리자가 승인한 제3자.

2.2 본 계약서에 정의되지 않은 용어는 GDPR에서 정한 의미를 따릅니다.

3. 데이터 처리 범위

3.1 클라이언트는 다음 사항을 엄격히 준수하여 클라이언트 개인 데이터를 처리하도록 데이터 처리자에게 지시합니다:

  • 클라이언트의 서면 지시사항
  • 주계약 및 본 계약서
  • 적용 가능한 데이터 보호법

3.2 데이터 처리자는 본 계약서 및 주계약에 명시된 목적 외에는 클라이언트 개인 데이터를 처리하지 않습니다.

4. 데이터 처리자의 책임

4.1 데이터 처리자는 다음을 이행해야 합니다:

  • 적용 가능한 데이터 보호법 준수
  • 업계 모범 사례에 따라 데이터를 안전하게 처리
  • 권한 있는 인원만 접근 허용
  • 개인 데이터를 처리하는 모든 인원이 비밀 유지 의무를 준수하도록 보장

5. 보안 조치

5.1 데이터 처리자는 클라이언트 개인 데이터의 보안을 보장하기 위해 다음을 고려하여 적절한 기술적·조직적 조치를 구현해야 합니다:

  • 최신 보안 기술 수준
  • 데이터 처리의 성격, 범위 및 맥락
  • 무단 접근, 데이터 유출 및 손실 등 잠재적 위험

5.2 적용 가능한 경우 보안 조치에는 다음이 포함됩니다:

  • 전송 중 및 저장 시 데이터 암호화
  • 접근 제어 및 인증 메커니즘
  • 정기적인 보안 감사 및 위험 평가

6. 하위 처리

6.1 데이터 처리자는 클라이언트의 사전 서면 동의 없이 하위 처리자를 지정할 수 없습니다.

6.2 클라이언트는 다음 승인을 받은 하위 처리자를 데이터 처리자가 사용하는 것을 인정하고 승인합니다:

  • Amazon Web Services
  • Meta
  • Google
  • Amplitude
  • Firebase Analytics
  • Stripe

6.3 데이터 처리자는 모든 하위 처리자가 본 계약서상의 동일한 의무를 준수하도록 보장해야 합니다.

7. 정보주체 권리

7.1 데이터 처리자는 다음을 포함하여 정보주체 권리에 관한 클라이언트의 의무 이행을 지원합니다:

  • 개인 데이터 접근 권한
  • 부정확한 데이터의 정정 또는 삭제
  • 데이터 이동권 요청

7.2 데이터 처리자는 정보주체로부터 요청을 받으면:

  • 즉시 클라이언트에 통지
  • 클라이언트의 승인 없이는 응답하지 않음

8. 데이터 유출 통지

8.1 개인 데이터 유출이 발생한 경우 데이터 처리자는:

  • 지체 없이 클라이언트에 통지
  • 법적 보고 의무 이행에 필요한 모든 세부 정보 제공
  • 유출 완화 및 시정 조치 실행

9. 데이터 이전

9.1 클라이언트의 사전 서면 동의 없이는 또는 적절한 보장 조치(SCC 등)가 마련되지 않는 한 EU/EEA 외부로 개인 데이터를 이전하지 않습니다.

10. 데이터 보존 및 삭제

10.1 주계약 종료 후 클라이언트는 다음을 요청할 수 있습니다:

  • 10 영업일 이내 모든 개인 데이터 삭제
  • 삭제 완료 증명서 제공

11. 감사 권한

11.1 클라이언트는 준수 증명을 위한 정보 요청 및 데이터 처리자에 대한 감사를 수행할 권리가 있습니다.

12. 기밀 유지

12.1 양 당사자는 본 계약서에 따라 공유된 모든 정보를 기밀로 유지하며, 상대방의 서면 동의 없이는 공개하지 않습니다. 단, 법적 요구 또는 공공 정보는 제외됩니다.

13. 준거법 및 관할

13.1 본 계약서는 아랍에미리트 두바이 법률에 따라 해석 및 적용됩니다.

13.2 본 계약서와 관련된 모든 분쟁은 두바이 법원에서 해결됩니다.