GoDaddy

데이터 처리 부록(고객)

이 데이터 처리 부록("부록")은 GoDaddy.com, LLC, a Delaware limited liability company 및 해당 제휴사("GoDaddy")와 귀하("고객")에 의해/상기 당사자 간에 집행되며 당사의 범용 서비스 약관, 개인정보 취급방침 및 포함 서비스를 규제하는 모든 계약("서비스 약관"으로 총칭함)에 별첨으로 포함되고 해당 내용을 보충합니다.  부록에 별도로 정의된 경우가 아니면 이 부록에 정의되어 있지 않으며 대문자로 표기된 모든 용어에는 서비스 약관에 지정된 의미가 적용됩니다.

1. 정의

"제휴사"란 GoDaddy에서 통제하거나 당사를 통제하거나 공통의 통제권을 가진 업체를 의미합니다.

"포함 서비스"란 당사가 귀하에게 제공하며 개인 데이터 처리가 포함될 수 있는 모든 호스팅 서비스를 의미합니다.

"고객 데이터"란 GoDaddy에서 서비스 약관에 따라/그와 관련해 고객 대신 GoDaddy 네트워크 내에서 처리하는 데이터 주체의 개인 데이터를 의미합니다.

"데이터 제어 업체"란 고객(개인 데이터 처리의 목적과 의미를 결정하는 업체)을 의미합니다.

"데이터 처리 업체"란 데이터 제어 업체를 대신하여 개인 데이터를 처리하는 업체(GoDaddy)를 의미합니다.

"데이터 보호법"이란 계약에 따른 개인 데이터 처리에 적용되는 모든 법률과 규정(유럽 연합 법률 및 규정 포함)을 의미합니다.

"데이터 주체"란 개인 데이터와 관련이 있는 개인을 의미합니다.

"EEA"란 유럽경제지역(European Economic Area)을 의미합니다.

"GoDaddy 네트워크"란 GoDaddy의 통제 범위 내에 있으며 포함 서비스를 제공하는 데 사용되는 GoDaddy의 데이터 센터 시설, 서버, 네트워킹 장비 및 호스트 소프트웨어 시스템(예: 가상 방화벽)을 의미합니다.

"개인 데이터"란 식별되었거나 식별 가능한 사람과 관련한 모든 정보를 의미합니다.

"처리"란 자동 방식 사용 여부에 관계없이 개인 데이터에 대해 수행되는 작업 또는 작업 집합을 의미합니다. 여기에는 수집/기록/정리/구성/저장/조정/변경/검색/상담/사용/전송을 통한 공개/전파 또는 기타 방식의 제공/정렬/조합/제한/지우기/폐기 등이 포함됩니다. "처리, "프로세스" 및 "처리됨"도 이러한 문맥에 따라 해석됩니다. 처리 세부 정보는 별첨 1에 명시되어 있습니다.

"보안 사건"은 (a) 고객 데이터의 실수 또는 불법적인 폐기, 손실, 변경, 무단 공개나 액세스를 야기하는 GoDaddy 보안 표준의 보안 위반 또는 (b) GoDaddy 장비나 시설 무단 액세스로 인해 고객 데이터가 폐기, 손실, 무단 공개 또는 변경되는 경우를 의미합니다.

"보안 표준"이란 이 부록에 별첨 2로 첨부된 보안 표준을 의미합니다.

"표준 계약 조항"("SCC")은 해당 명령에 따라 타 국가에 설립된 처리 업체로 개인 데이터를 전송하는 경우 적용되는 표준 계약 조항에 대한 유럽 위원회의 결정(2010년 2월 5일)에 따라 이 부록의 일부분으로 포함되며 이 부록에 첨부되어 있는 별첨 3을 의미합니다. 

"하청 처리 업체"는 데이터 제어 업체 대신 데이터를 처리하기 위해 처리 업체에서 이용하는 데이터 처리 업체입니다.                                                               

2. 데이터 처리

2.1 범위 및 역할. GoDaddy에서 고객 데이터를 처리할 때 이 부록의 내용이 적용됩니다.  이 부록의 내용에 따라 GoDaddy은(는) 고객 대신 데이터 처리 업체(고객 데이터와 관련하여 데이터 제어 업체) 역할을 합니다.

2.2 데이터 처리 세부 정보. GoDaddy에서 수행하는 고객 데이터 처리 과정의 주제는 서비스 약관 및 제품별 계약에 따른 포함 서비스의 성능입니다. GoDaddy에서는 (i) 서비스 약관 또는 해당하는 제품별 계약에 따른 처리, (ii) 최종 사용자의 포함 서비스 사용으로 인해 시작되는 처리, (iii) 이메일 등을 통해 고객이 제공하는 문서로 작성된 기타 합당한 지침(해당 지침이 계약 약관과 일치하는 경우)을 준수하기 위한 처리를 위한 용도로 고객을 대신하여 고객이 문서로 작성한 지침에 따라서만 고객 데이터를 처리합니다. GoDaddy에서는 고객 지침이 GDPR 또는 해당하는 기타 데이터 개인정보 법률을 위반하는 경우 해당 지침을 준수하거나 지킬 필요가 없습니다. 처리 기간, 처리의 특성과 용도, 이 부록에 따라 처리되는 데이터 주체의 개인 데이터 유형과 카테고리는 이 부록의 별첨 1('처리 세부 정보')에 더 자세히 지정되어 있습니다.

3. 고객 데이터의 기밀 유지

GoDaddy에서는 법률 또는 법 집행 기관의 구속력이 있는 유효한 명령(예: 소환 또는 법원 명령) 준수를 위해 필요한 경우를 제외하고는 어떤 정부 또는 기타 제삼자에게도 고객 데이터를 공개하지 않습니다.  법 집행 기관에서 고객 데이터 요청을 GoDaddy에 보내는 경우 GoDaddy에서는 법 집행 기관이 해당 데이터를 고객에게 직접 요청하도록 요청 재전송을 시도합니다. 이 작업의 일환으로 GoDaddy에서는 고객의 기본 연락처 정보를 법 집행 기관에 제공할 수 있습니다. 법 집행 기관에 고객 데이터를 공개해야 하는 경우 GoDaddy에서는 고객이 보호 명령 또는 기타 적절한 구제 수단을 모색할 수 있도록 해당 요청을 고객에게 적절하게 통지합니다. 단, GoDaddy의 그러한 통지 행위가 법적으로 금지된 경우는 제외됩니다.

4. 보안

4.1 GoDaddy에서는 이 절에 설명되어 있으며 이 부록의 별첨 2(보안 표준)에 자세히 설명되어 있는 대로 GoDaddy 네트워크용으로 기술적/조직적 조치를 구현했으며 유지 관리할 예정입니다. 특히 GoDaddy에서는 (i) GoDaddy 네트워크의 보안, (ii) 시설의 물리적 보안, (iii) 직원 및 하청업체의 (i) 및/또는 (iii) 액세스 통제 및 (iv) GoDaddy에서 구현한 기술적/조직적 조치의 효율성 테스트/평가/사정을 위한 프로세스를 처리하는 다음과 같은 기술적/조직적 조치를 구현했으며 유지 관리할 예정입니다. 당사는 이 부록에 명시된 의무를 다할 수 없는 경우 당사 웹사이트와 이메일을 통해 최대한 빨리 서면 고지를 제공합니다.

4.2 GoDaddy은(는) 고객이 포함 서비스와 관련하여 사용할 수 있는 다수의 보안 기능을 제공합니다. 고객에게는 (a) 포함 서비스를 적절하게 구성하고, (b) 포함 서비스와 연관해 제공되는 제어 기능(보안 제어 기능 포함)을 사용해 처리 시스템과 서비스의 지속적인 기밀성, 무결성, 가용성, 복원성을 보장하고, (c) 포함 서비스와 연관해 제공되는 제어 기능(보안 제어 기능 포함)을 사용해 물리적/기술적 사건 발생 시 고객이 제때 고객 데이터 가용성을 복원하고 고객 데이터에 액세스할 수 있도록 하고(예: 고객 데이터 백업 및 정기 보관), (d) 고객이 고객 데이터의 적절한 보안, 보호, 삭제 상태를 유지하는 데 적합하다고 간주하는 단계(암호화 기술을 사용하여 고객 데이터를 무단 액세스로부터 보호하는 작업과 고객 데이터 액세스 권한을 제어하는 대책 포함)를 수행할 책임이 있습니다.

5. 데이터 주체 권리

GoDaddy에서는 포함 서비스의 특성을 고려하여 고객이 포함 서비스의 설명에 따라 고객 데이터 검색/수정/삭제/사용 및 공유 제한에 사용하도록 선택할 수 있는 특정 제어 기능을 이 부록의 "보안" 절에 설명된 대로 제공합니다. 고객은 해당하는 개인정보 법률에 따른 의무(데이터 주체의 요청 대응과 관련한 의무 포함)와 연관한 작업을 지원하기 위한 기술적/조직적 조치로 이러한 제어 기능을 사용할 수 있습니다. GoDaddy에서 법적으로 필요하거나 허용되는 범위에 한해 상업적으로 합당한 경우 해당하는 데이터 개인정보 법률에 따라 데이터 주체로부터 해당 권리를 행사하겠다는 요청("데이터 주체 요청")을 직접 받는 경우 GoDaddy에서는 고객에게 직접 통지를 해야 합니다. 또한 고객의 포함 서비스 사용 시 데이터 주체의 요청을 처리하는 기능이 제한되는 경우 GoDaddy에서는 법적으로 허용되며 적절할 시에 고객의 특정 요청이 있으면 요청 처리 과정에서 상업적으로 합당한 지원을 제공할 수 있으며 해당 비용(있는 경우)은 고객이 부담합니다.

6. 하청 처리

6.1 권한이 부여된 하청 처리 업체. 고객은 GoDaddy에서 서비스 약관과 이 부록에 따라 계약상의 의무를 이행하거나 고객을 대신해 특정 서비스(예: 지원 서비스)를 제공하기 위해 하청 처리 업체를 이용할 수 있다는 데 동의합니다. 고객은 이 절에 설명되어 있는 GoDaddy의 하청 처리 업체 사용에 동의합니다. 이 절에 명기되어 있거나 고객이 명시적으로 권한을 부여한 경우가 아니면 GoDaddy에서는 하청 업체의 다른 처리 작업을 허용하지 않습니다.

6.2 하청 처리 업체의 의무. GoDaddy에서 6.1절의 설명에 따라 권한이 부여된 하청 처리 업체를 이용하는 경우 다음 사항이 적용됩니다.

(i) GoDaddy에서는 하청 처리 업체가 포함 서비스 약관에 따라 포함 서비스를 유지 관리하거나 고객 및 최종 사용자에게 포함 서비스를 제공하는 데 필요한 고객 데이터에만 액세스할 수 있도록 제한합니다. GoDaddy에서는 하청 처리 업체가 다른 용도로는 고객 서비스에 액세스하지 못하도록 금지합니다.

(ii) GoDaddy에서는 하청 처리 업체와의 서면 계약을 체결합니다. 또한 GoDaddy에서는 하청 처리 업체가 이 부록에 따라 GoDaddy에서 제공 중인 것과 동일한 데이터 처리 서비스를 수행하는 범위에 한해 이 부록에 따라 GoDaddy에 적용되는 것과 동일한 계약상의 의무를 하청 처리 업체에도 적용합니다.

(iii) GoDaddy에서는 이 부록의 의무를 계속 준수해야 하며, GoDaddy에서 이 부록에 따른 GoDaddy의 의무 위반을 야기하는 하청 처리 업체의 행위나 의무 불이행에 대해서도 계속 책임을 져야 합니다.

6.3 신규 하청 처리 업체.  당사는 이 부록의 조항에 따라 신규 하청 처리 업체와 수시로 계약을 체결할 수 있습니다.  이러한 경우 신규 하청 처리 업체가 고객 데이터를 입수하기 60일 전에 당사의 웹사이트 및 이메일을 통해 이를 알려 드립니다. 신규 하청 처리 업체를 승인하지 않는 고객은 당사로부터 알림을 받은 후 10일 이내에 승인하지 않는 사유에 대한 설명이 포함된 서면 해제 알림을 제출하여 아무런 불이익 없이 제공받는 서비스를 해지할 수 있습니다. 제공받는 서비스가 번들 구매의 일부인 경우 전체 구매에 해지가 적용됩니다.

7. 보안 위반 알림

7.1 보안 사건. GoDaddy에서는 보안 사건을 인지하면 빠른 시간 내에 (a) GoDaddy 고객에게 보안 사건을 통지하고 (b) 사건의 영향을 완화하고 보안 사건으로 인해 발생하는 피해를 최소화하기 위해 적절한 단계를 수행합니다. 

7.2 GoDaddy 지원.  GoDaddy에서는 고객이 해당하는 개인정보 법률에 따라 수행해야 하는 개인 데이터 관련 조항 위반 통지와 관련하여 고객을 지원하기 위해 GoDaddy에서 고객에게 합당하게 공개할 수 있는 보안 사건 관련 정보를 8.1절에 따른 통지에 포함합니다. 이때 포함 서비스의 특성, GoDaddy에 제공하는 정보, 그리고 정보 공개 관련 제한(예: 기밀 유지) 등을 고려합니다.  

7.3 실패한 보안 사건. 고객은 다음 사항에 동의합니다.

(i) 실패한 보안 사건에는 이 부록의 약관이 적용되지 않습니다. 실패한 보안 사건은 고객 데이터나 고객 데이터가 저장된 GoDaddy의 네트워크/장비/시설에 대한 무단 액세스가 수행되지 않은 사건으로, 방화벽이나 에지 서버에 대한 ping 및 기타 브로드캐스트 공격, 포트 스캔, 로그온 시도 실패, 서비스 거부 공격, 패킷 스니핑 또는 헤더 이외의 데이터에는 액세스하지 못한 기타 트래픽 데이터 무단 액세스나 그와 유사한 사건 등 여러 가지 사건이 포함됩니다.

(ii) 이 절의 내용에 따라 GoDaddy에서 보안 사건을 보고하거나 보안 사건에 대응할 의무가 있다고 해서, 해당 보안 사건과 관련하여 GoDaddy에서 GoDaddy의 결함이나 책임을 인정하는 것은 아니며 그와 같이 해석해서도 안 됩니다.  

7.4 통지. 보안 사건(발생한 경우) 통지는 이메일을 비롯하여 GoDaddy에서 선택하는 수단을 통해 고객의 관리자 한 명 이상에게 전달됩니다. 고객 관리자가 GoDaddy 관리 콘솔 및 보안 전송에 대한 정확한 연락처 정보를 항상 유지 관리하도록 할 책임은 전적으로 고객에게 있습니다.

8. 고객 권리

8.1 독립적 결정. 고객에게는 데이터 보안 및 보안 표준과 관련하여 GoDaddy에서 제공하는 정보를 검토하고, 포함 서비스가 고객의 요구 사항 및 법적 의무와 이 부록에 따른 고객의 의무를 모두 충족하는지 여부를 독립적으로 결정해야 할 책임이 있습니다. 제공되는 정보는 데이터 보호 영향 평가 및 이전 자문과 관련하여 고객이 GDPR을 비롯한 해당하는 개인정보 법률에 따른 고객의 의무를 준수하는 과정을 지원하기 위한 것입니다.

8.2 고객 감사 권리. 고객에게는 표준 계약 조항(적용되는 경우)에 따라 서비스 약관에 명시된 주소로 서면을 통해 GoDaddy에 구체적으로 요청을 하는 방식을 포함하여 감사나 검사를 진행할 적절한 권리를 행사해 포함 서비스에 해당하는 이 부록의 내용을 GoDaddy에서 준수하는지 여부(GoDaddy에서 보안 표준을 구체적으로 준수하는지 여부 포함)를 확인할 권리가 있습니다. GoDaddy에서 적절하게 요청했으며 범위가 지정된 감사 또는 검사와 관련해 고객이 요청한 지침 준수를 거부하는 경우 고객은 이 부록 및 서비스 약관을 종료할 수 있습니다. 표준 계약 조항이 적용되는 경우 이 절의 어떠한 내용도 표준 계약 조항을 변경/수정하거나 표준 계약 조항에 따른 감독 기관 또는 데이터 주체의 권리에 영향을 주지 않습니다. 이 절은 GoDaddy에서 고객 대신 하청 처리 업체를 통제하는 경우에도 적용됩니다.

9. 개인 데이터 전송

9.1 미국 내 처리. 서비스 약관에 구체적으로 명시된 경우를 제외하면 고객 데이터는 EEA 외부로 전송되어 미국에서 처리됩니다.  

9.2 표준 계약 조항 적용. 표준 계약 조항은 EEA 외부로 직접 또는 지속적인 전송을 통해 유럽 위원회에서 GDPR에 설명된 대로 개인 데이터에 대한 적정 수준의 보호를 제공하는 것으로 인정하지 않는 국가로 전송되는 고객 데이터에 적용됩니다. 표준 계약 조항은 EEA 외부로 직접 또는 지속적인 전송을 통해 전송되지 않는 고객 데이터에는 적용되지 않습니다.  전술한 내용에도 불구하고 표준 계약 조항은 유럽 연합과 미국 간, 스위스와 미국 PSF(Privacy Shield Framework) 간과 같이 GDPR에 정의된 것처럼 EEA 외부로의 합법적인 개인 데이터 전송으로 인정되는 규정 준수 표준에 따라 데이터가 전송되는 경우에는 적용되지 않습니다.  

10. 부록 적용 종료

이 부록은 서비스 약관에 따른 당사의 처리가 종료되는 시점("종료 날짜")까지 계속해서 효력을 발휘합니다.   

11. 고객 데이터 반환 또는 삭제

포함 서비스의 설명에 따라 고객에게는 고객 데이터를 검색하거나 삭제하는 데 사용할 수 있는 제어 기능을 제공할 수 있습니다. 고객 데이터 삭제 시에는 특정 포함 서비스의 약관을 따라야 합니다.

12. 책임의 제한

이 부록에 따른 각 당사자의 책임에는 서비스 약관에 명시된 책임의 제외 및 제한 관련 내용이 적용됩니다. 고객은 고객 데이터와 관련해 이 부록 및 해당하는 개인정보 법률에 따른 고객의 의무 미준수의 결과로/그와 연관하여 GoDaddy에 의해 발생하는 규정상의 처벌은 서비스 약관에 따른 고객의 책임인 것으로 간주되어 서비스 약관에 따른 GoDaddy의 책임이 감소된다는 점에 동의합니다.

13. 전체 서비스 약관, 상충하는 내용

이 부록은 이 부록의 주제와 관련한 고객과 GoDaddy 간의 모든 이전/동시 진술, 양해, 계약 또는 의견 교환(서면 또는 구두)을 대체/교체합니다. 여기에는 개인 데이터 처리 및 해당 데이터의 자유로운 이동과 관련하여 고객과 GoDaddy 간에 합의된 데이터 처리 부록이 포함됩니다.  이 부록을 통해 개정되는 경우가 아니면 서비스 약관은 완전한 효력을 발휘합니다.  서비스 약관과 이 부록을 비롯한 양 당사자 간의 기타 계약 간에 상충하는 내용이 있는 경우 이 부록의 약관이 우선적으로 적용됩니다.

** ************************************************

별첨 1

 처리 세부 정보

 1. 처리의 특성과 용도. GoDaddy에서는 서비스 약관과 제품별 계약에 따라, 그리고 포함 서비스를 사용하는 과정 전반에 걸쳐 고객이 추가로 제시하는 지침에 따라 포함 서비스를 수행하는 데 필요한 대로 개인 데이터를 처리합니다.

 2. 처리 기간. 이 부록의 10절에 따라 GoDaddy에서는 서비스 약관의 유효 기간 동안 개인 데이터를 처리하되 해당 기간을 초과하는 경우 양 당사자가 서면을 통해 별도로 동의한 경우가 아니면 처리 기간 동안 이 부록의 약관을 준수합니다.

3. 데이터 주체 범주. 고객은 포함 서비스 사용 과정에서 개인 데이터를 업로드할 수 있으며, 해당 범위는 고객의 독자 재량에 따라 결정 및 제어합니다. 여기에는 다음 데이터 주체 범주와 관련된 개인 데이터를 비롯한 여러 데이터가 포함될 수 있습니다.

  • 잠재 고객, 고객, 비즈니스 파트너 및 고객의 공급업체(자연인)
  • 고객의 잠재 고객, 고객, 비즈니스 파트너 및 공급업체의 직원이나 계약자(자연인)
  • 고객의 직원, 대리인, 고문, 프리랜서(자연인)
  • 고객이 포함 서비스를 사용할 권한을 부여한 고객의 사용자

 4. 개인 데이터의 유형. 고객은 포함 서비스 사용 과정에서 개인 데이터를 업로드할 수 있으며, 해당 유형과 범위는 고객이 독자 재량에 따라 결정 및 제어합니다. 여기에는 데이터 주체의 다음과 같은 개인 데이터 범주를 비롯한 여러 범주가 포함될 수 있습니다. 

  • 이름
  • 주소
  • 전화 번호
  • 생년월일
  • 이메일 주소
  • 귀하를 직간접적으로 식별할 수 있는 수집된 다른 데이터.

** ************************************************

별첨 2

보안 표준

I.  기술적/조직적 조치  

당사는 고객 정보를 보호하기 위해 노력하고 있습니다.  데이터 처리의 모범 사례, 구현 비용 및 특성/범위/상황과 용도 및 자연인의 권리와 자유에 대한 여러 가지 위험 발생 가능성 및 심각도를 고려하여 당사는 다음과 같은 기술적/조직적 조치를 취합니다.  해당 조치를 선택할 때는 시스템의 기밀성, 무결성, 사용 가능성 및 복원성을 고려합니다. 물리적/기술적 사건 이후의 신속한 복구가 보장됩니다. 

II.  데이터 개인정보 프로그램  

당사의 데이터 개인정보 프로그램은 전 세계의 데이터 관련 규제 구조를 유지하고 정보를 수명 주기 전반에 걸쳐 보호하기 위해 제정되었습니다. 이 프로그램은 개인정보 취급 방식과 보안 조치 구현을 감독하는 데이터 보호 책임 사무국에서 진행합니다. 당사는 데이터 개인정보 프로그램과 보안 표준의 효율성을 정기적으로 테스트, 평가 및 사정합니다.   

1. 기밀 유지. "기밀 유지란 무단 공개되지 않도록 개인 데이터를 보호한다는 의미입니다."  

당사는 다양한 실제적/논리적 조치를 통해 고객 개인 데이터의 기밀성을 보호합니다. 이러한 조치에는 다음 항목이 포함됩니다.   

  실제 보안  

  • 물리적 액세스 제어 시스템 배치(배지를 통한 액세스 제어, 보안 이벤트 모니터링 등) 
  • 경보 및 CCTV 모니터링 기능(해당하는 경우)을 포함한 감시 시스템  
  • 책상 정리 정책 및 제어 규정 마련(자리를 비울 때 컴퓨터 잠그기, 사물함 잠그기 등)  
  • 방문자 액세스 관리 
  • 실제 미디어와 문서의 데이터 폐기(파쇄, 소자 등) 

  액세스 제어 및 무단 액세스 방지 

  • 적용된 사용자 액세스 제한 및 직무 원칙 구분에 따라 제공/검토한 역할 기반 액세스 권한  
  • 강력한 인증 및 승인 방법(다단계 인증, 인증서 기반 승인, 자동 비활성화/로그오프 등) 
  • 중앙 집중식 암호 관리 및 강력한/복잡한 암호 정책(최소 길이, 문자 복잡도, 암호만료 등)   
  • 이메일 및 인터넷 액세스 제어 
  • 바이러스 백신 관리  
  • 침입 방지 시스템 관리  

암호화   

  • 강력한 암호화 프로토콜을 통해 내/외부 통신 암호화  
  • 미사용 PII/SPII 데이터(데이터베이스, 공유 디렉터리 등) 암호화   
  • 회사 PC와 노트북의 전체 디스크 암호화   
  • 저장 매체 암호화  
  • VPN을 통해 회사 네트워크에 대한 원격 연결 암호화  
  • 암호화 키 수명 주기 보장  

 데이터 최소화    

  • 애플리케이션, 디버깅 및 보안 로그의 PII/SPI 최소화  
  • 직접적인 개인 식별 방지를 위한 개인 데이터 익명화 
  • 기능별로 저장된 데이터 구분(테스트, 준비, 라이브) 
  • 역할 기반 권한별 논리적 데이터 구분 
  • 개인 데이터용으로 정의된 데이터 보존 기간   

보안 테스트     

  • 개인 데이터를 호스팅하는 중요 회사 네트워크 및 플랫폼에 대한 침투 테스트 
  • 정기적인 네트워크 및 취약성 검사   

2. 무결성. "무결성은 데이터의 정확성(온전성)과 시스템의 정상 작동이 보장되는 상태를 지칭합니다. "데이터"라는 용어와 연관하여 사용되는 "무결성"이라는 용어는 데이터가 완전하며 변경되지 않은 상태임을 나타냅니다."  

개인 데이터의 무결성을 유지할 수 있는 액세스 제어 기능뿐 아니라 다음과 같이 적절한 변경 및 로그 관리 제어 기능도 마련되어 있어야 합니다.    

변경 및 릴리스 관리    

  • 영향 분석, 승인, 테스트, 보안 검토, 준비, 모니터링 등을 포함한 변경 및 릴리스 관리 프로세스  
  • 프로덕션 환경의 역할 및 기능 기반(업무 구분) 액세스 프로비저닝    

로깅 및 모니터링

  • 데이터 액세스 및 변경 사항 로깅  
  • 중앙 집중식 감사 및 보안 로그   
  • 데이터 전송 완료 및 정확성 모니터링(전체 과정 검사)    

3. 가용성. "서비스와 IT 시스템, IT 애플리케이션 및 IT 네트워크 기능이나 정보를 사용자가 항상 의도한 대로 사용할 수 있는 경우 이러한 항목의 가용성이 보장됩니다."    

당사는 서비스 및 서비스 내에 포함된 데이터의 가용성을 유지하기 위해 적절한 지속성 및 보안 조치를 구현합니다.    

  • 중요 서비스에 적용되는 정기 장애 조치(failover) 테스트  
  • 중요 시스템에 대한 폭넓은 성능/가용성 모니터링 및 보고  
  • 사건 대응 프로그램  
  • 백업 또는 복제되는 중요 데이터(클라우드 백업/하드 디스크/데이터베이스 복제 등) 
  • 계획된 소프트웨어, 인프라 및 보안 유지 관리 과정 마련(소프트웨어 업데이트, 보안 패치 등)   
  • 오프사이트 및/또는 다른 지역에 배치된 복원 가능한 중복 시스템(서버 클러스터, 미러링된 DB, 고가용성 설정 등)    
  • 무중단 전원 공급 장치, 장애 시에도 사용 가능한 하드웨어 및 네트워크 시스템 사용  
  • 경보, 보안 시스템 마련  
  • 중요 사이트용으로 마련된 물리적 보호 조치(서지 보호, 상층부 바닥, 냉각 시스템, 화재 및/또는 연기 탐지기, 화재 억제 시스템 등) 
  • 가용성 유지를 위한 DDOS 방지   
  • 부하 및 스트레스 테스트  

4데이터 처리 지침. "데이터 처리 지침은 데이터 제어 업체의 지침 및 관련 회사의 조치에 따라서만 개인 데이터를 처리함을 보장한다는 의미입니다."  

당사는 고객의 기본 설정과 지침에 따라 개인 데이터가 처리되도록 하기 위해 내부 개인정보 취급방침과 계약을 제정했으며 직원을 대상으로 정기적인 개인정보 관련 교육을 진행합니다.   

  • 직원 계약 내에 포함된 개인정보 및 기밀 유지 약관 
  • 직원 대상 정기 데이터 개인정보 및 보안 교육 
  • 지침에 따른 통제원 유지를 위한 하청업체와의 계약에 대한 적절한 계약 조항 
  • 외부 서비스 제공업체 대상 정기 개인정보 규정 준수 점검 
  • 고객에게 데이터 처리 기본 설정에 대한 모든 권한 제공 
  • 정기 보안 감사 

**********************************************

별첨 3

이러한 SCC의 적용 가능성은 부록의 9.2절 참조

표준 계약 조항(처리 업체)

95/46/EC 명령 26(2)조에 따라 적절한 데이터 보호 수준을 보장하지 않는 타 국가에 설립된 처리 업체로 개인 데이터를 전송하는 경우

부록에 "고객"으로 명시된 업체
("데이터를 내보내는 사람")

GoDaddy.com, LLC

 ("데이터 를 가져오는 사람")

(각각 "당사자"로 지칭하며 "당사자"로 총칭함)은(는)

데이터를 내보내는 사람이 데이터를 가져오는 사람에게 부록 1에 지정된 개인 데이터를 전송할 수 있는 개인의 기본권과 자유 및 개인정보 보호와 관련하여 적절한 보호 조치를 제시하기 위해 다음 계약 조항(조항)에 동의했습니다.

1조

정의

이 조항의 내용에 따라 다음 사항이 적용됩니다.

(a) '개인 데이터', '특수 데이터 범주', '프로세스/처리', '제어 업체', '처리 업체', '데이터 주체''감독 기관'은 개인 데이터 처리와 관련된 개인 보호 및 해당 데이터의 자유로운 이동에 대한 유럽 의회의 95/46/EC 명령(1995년 10월 24일)에서 동일한 의미입니다.

(b) '데이터를 내보내는 사람'이란 개인 데이터를 전송하는 제어 업체를 의미합니다.

(c) '데이터를 가져오는 사람'이란 데이터를 내보내는 사람의 지침에 따라 데이터를 전송한 후 해당자 대신 처리해야 하는 개인 데이터를 해당자로부터 수령하는 데 동의하며, 95/46/EC 명령의 25(1)조에 명시된 의미 범위 내에서 적절한 보호를 제공하기 위해 타국 시스템을 사용하지 않는 처리 업체를 의미합니다.

(d) '하청 처리 업체'란 데이터를 내보내는 사람의 지침, 해당 조항의 약관 및 서면 하청 계약의 약관에 따라 전송 이후 데이터를 내보내는 사람을 대신하여 수행할 처리 작업을 위해서만 데이터를 가져오는 사람이나 해당자의 타 하청 처리 업체로부터 개인 데이터를 수령하는 데 동의하는, 데이터를 가져오는 사람이나 해당 하청 처리 업체가 이용하는 처리 업체를 의미합니다.

(e) '해당하는 데이터 보호법'이란 데이터를 내보내는 사람의 업체가 설립된 회원국에서 데이터 제어 업체에 적용되는 개인 데이터 처리와 관련한 개인의 기본권과 자유(특히 개인정보를 유지할 권리)를 보호하는 법률을 의미합니다.

(f) '기술적 및 조직적 보안 조치'란 실수 또는 불법적인 폐기나 부주의에 의한 손실, 변경, 무단 공개/액세스(특히 데이터가 처리되는 과정에서 네트워크를 통해 전송되는 경우) 및 기타 모든 불법적 형태의 처리로부터 개인 데이터를 보호하기 위한 목적의 조치를 의미합니다.

2조

전송 세부 정보

전송 세부 정보(특히 해당하는 경우 개인 데이터의 특수 범주)는 해당 조항의 필수 부분인 부록 1에 지정되어 있습니다.

3조

타사 수익 조항

1.  데이터 주체는 데이터를 내보내는 사람에 대해 이 조항, 4(b)~(i)조, 5(a)~(e)조, (g)~(j)조, 6(1)~(2)조, 7조, 8(2)조, 9~12조를 타사 수익 조항으로 적용할 수 있습니다.

2.  데이터를 내보내는 사람이 법적으로 사실상 없어졌거나 더 이상 존재하지 않는 경우 후속 업체가 계약 또는 법률상의 효력에 따라 데이터를 내보내는 사람의 전체 법적 의무를 승계한 경우가 아니면 데이터를 가져오는 사람에게 이 조항, 5(a)~(e)조, (g)조, 6/7조, 8(2)조, 9~12조를 적용할 수 있습니다. 후속 업체가 있는 경우 데이터 주체는 해당 업체에 상기 조항을 적용할 수 있습니다.

3.  데이터를 내보내는 사람과 가져오는 사람이 모두 법적으로 사실상 없어졌거나 더 이상 존재하지 않거나 파산 상태가 된 경우 후속 업체가 계약 또는 법률상의 효력에 따라 데이터를 내보내는 사람의 전체 법적 의무를 승계한 경우가 아니면 하청 처리 업체에 이 조항, 5(a)~(e)조, (g)조, 6/7조, 8(2)조, 9~12조를 적용할 수 있습니다. 후속 업체가 있는 경우 데이터 주체는 해당 업체에 상기 조항을 적용할 수 있습니다. 하청 처리 업체에 적용되는 이러한 타사 책임은 해당 조항에 따라 업체가 자체적으로 수행하는 처리 작업으로 제한됩니다.

4.  양 당사자는 데이터 주체가 명시적으로 희망하며 국내법에 따라 허용되는 경우 특정 협회나 다른 단체가 대표하는 데이터 주체에 반대하지 않습니다.

4조

데이터를 내보내는 사람의 의무

데이터를 내보내는 사람은 다음 사항을 동의 및 보증합니다.

(a) 전송 자체를 포함한 개인 데이터 처리가 해당하는 데이터 보호법의 관련 조항에 따라 수행되었고 수행될 예정이며(해당하는 경우 데이터를 내보내는 사람의 업체가 설립된 회원국의 관련 기관에 통지를 했으며) 해당 국가의 관련 조항을 위반하지 않습니다.

(b) 개인 데이터 처리 서비스를 진행하는 기간 전체에 걸쳐 데이터를 가져오는 사람에게 해당하는 데이터 보호법과 해당 조항에 따라 데이터를 내보내는 사람을 대신해서만 전송되는 개인 데이터를 처리하도록 지시했으며 지시할 예정입니다.

(c) 데이터를 가져오는 사람은 이 계약의 부록 2에 지정된 기술적/조직적 보안 조치를 충분히 보장해야 합니다.

(d) 해당하는 데이터 보호법의 요구 사항을 평가한 후 실수 또는 불법적인 폐기나 부주의에 의한 손실, 변경, 무단 공개/액세스(특히 데이터가 처리되는 과정에서 네트워크를 통해 전송되는 경우) 및 기타 모든 불법적 형태의 처리로부터 개인 데이터를 보호하기에 보안 조치가 적합하며, 이러한 조치가 구현의 최신성 및 비용과 관련하여 보호하려는 데이터의 특성 및 처리 시 발생하는 위험에 적합한 보안 수준을 보장함을 확인합니다.

(e) 보안 조치를 준수합니다.

(f) 특수 데이터 범주가 전송에 포함되는 경우에는 95/46/EC 명령의 의미 범위 내에서 적합한 보호를 제공하지 않는 타 국가로 데이터가 전송될 수 있음을 데이터 주체에게 전송 전에 통지한 상태이거나 전송 이후 최대한 빠른 시간 내에 통지해야 합니다.

(g) 데이터를 내보내는 사람이 전송을 계속하거나 일시 중단을 해제하기로 결정하는 경우 데이터 보호 감독 기관에 5(b)조 및 8(3)조에 따라 데이터를 가져오는 사람이나 하청 처리 업체로부터 수령한 통지를 전달해야 합니다.

(h) 해당 조항의 사본 요청 시 데이터 주체에게 사본(부록 2는 제외) 및 보안 조치의 요약 설명, 그리고 해당 조항에 따라 제공되었어야 하는 하청 처리 서비스 계약의 사본을 제공합니다. 단, 해당 조항이나 계약에 상업적 정보가 포함되어 있는 경우에는 해당 정보를 제거할 수 있습니다.

(i) 하청 처리 시에는 해당 조항에 따라 데이터 주체의 권리 및 개인 데이터 보호를 위해 데이터를 가져오는 사람과 동일한 수준의 보호를 제공하는 하청 처리 업체가 11항에 따라 처리 작업을 수행해야 합니다.

(j) 4(a)~(i)조를 준수해야 합니다.

5조1.

데이터를 가져오는 사람의 의무

데이터를 가져오는 사람은 다음 사항을 동의 및 보증합니다.

(a) 데이터를 내보내는 사람의 지침과 해당 조항에 따라 데이터를 내보내는 사람을 대신해서만 개인 데이터를 처리하기 위해. 이유를 막론하고 해당 사항을 준수할 수 없는 경우에는 데이터를 내보내는 사람에게 준수 불능 상태를 즉시 알려야하 며, 이 경우 데이터를 내보내는 사람은 데이터 전송을 일시 중단하거나 계약을 종료할 수 있습니다.

(b) 적용되는 법률상 계약에 따라 데이터를 내보내는 사람으로부터 수령한 지침과 해당 의무를 이행할 수 없다고 판단되는 이유가 없으며, 이 법률의 변경 시 해당 조항에서 제공하는 보증 및 의무를 이행하기가 매우 어려워지는 경우 해당 변경 사항을 인지하는 즉시 데이터를 내보내는 사람에게 통지해야 합니다. 이 경우 데이터를 내보내는 사람은 데이터 전송을 일시 중단하거나 계약을 종료할 수 있습니다.

(c) 전송되는 개인 데이터를 처리하기 전에 부록 2에 지정된 기술적/조직적 보안 조치를 구현했습니다.

(d) 데이터를 내보내는 사람에게 다음 사항을 즉시 통지해야 합니다.

(i) 별도로 금지된 경우(예:법 집행 기관의 조사 과정에서 기밀성을 유지하기 위해 형법상 금지된 경우)를 제외한 법 집행 기관의 법적 구속력이 있는 개인 데이터 공개 요청

(ii) 실수 또는 무단 액세스 및

(iii) 데이터 주체로부터 직접 수령한 요청(요청에 응답할 권한이 부여된 경우를 제외하고 해당 요청에 응답하지 않은 경우)

(e) 전송 대상인 개인 데이터 처리와 관련하여 데이터를 내보내는 사람의 모든 문의를 즉시 적절하게 처리하고 전송되는 데이터 처리와 관련하여 감독 기관의 자문 사항을 따릅니다.

(f) 데이터를 내보내는 사람이 해당 조항에 포함된 처리 작업의 감사(데이터를 내보내는 사람이 직접 진행하거나, 데이터를 내보내는 사람이 선정했고 기밀성 의무가 적용되며 필수 전문 자격을 갖춘 독립 업체 직원으로 구성된 검사 단체에서 진행함)를 위해 데이터 처리 기능을 제출할 것을 요청하는 경우 다음 조항이 적용됩니다.

(g) 해당 조항의 사본이나 기존 하청 처리 계약 요청 시 데이터 주체에게 사본과 계약서를 제공합니다. 단, 해당 조항이나 계약에 상업적 정보가 포함되어 있는 경우에는 해당 정보를 제거할 수 있습니다. 그리고 부록 2는 데이터 주체가 데이터를 내보내는 사람으로부터 사본을 받을 수 없는 경우 보안 조치의 요약 설명으로 대체됩니다.

(h) 하청 처리 시 데이터를 내보내는 사람에게 이전에 알렸으며 해당자의 사전 서면 동의를 받았습니다.

(i) 하청 처리 업체의 처리 서비스는 11항의 내용에 따라 수행됩니다.

(j) 데이터를 내보내는 사람에게 해당 조항에 따라 체결하는 하청 처리 업체 계약 사본을 즉시 보내야 합니다.

6조

책임

1.  양 당사자는 당사자나 하청 처리 업체의 3조 또는 11조에 명시된 의무 위반으로 인해 피해를 입은 데이터 주체가 해당 피해에 대해 데이터를 내보내는 사람으로부터 보상을 받을 권리가 있음에 동의합니다.

2.  데이터를 내보내는 사람이 사실상 없어졌거나 더 이상 존재하지 않거나 파산 상태가 되어 데이터 주체가 데이터를 가져오는 사람 또는 하청 처리 업체의 3조 또는 11조에 명시된 의무 위반에 대해 1항의 내용에 따라 데이터를 내보내는 사람에게 보상을 청구할 수 없는 경우, 데이터를 가져오는 사람은 데이터 주체가 데이터를 내보내는 사람에게 데이터를 내보내는 사람에 대한 것과 동일하게 청구를 할 수 있음에 동의합니다. 단, 후속 업체가 법률상의 효력이나 계약에 따라 데이터를 내보내는 사람의 전체 법적 의무를 승계한 경우에는 데이터 주체가 해당 업체에 대해 권리를 적용할 수 있습니다. 데이터를 가져오는 사람은 자신의 책임을 회피하기 위해 하청 처리 업체의 의무 위반을 제기해서는 안 됩니다.

3.  데이터를 내보내는 사람과 데이터를 가져오는 사람이 모두 사실상 없어졌거나 더 이상 존재하지 않거나 파산 상태가 되어 데이터 주체가 하청 처리 업체의 3조 또는 11조에 명시된 의무 위반에 대해 1/2항의 내용에 따라 데이터를 내보내는 사람이나 데이터를 가져오는 사람에게 보상을 청구할 수 없는 경우, 하청 처리 업체는 데이터 주체가 데이터 하청 처리 업체에게 해당 조항에 따른 자체 처리 작업과 관련하여 데이터를 내보내는 사람 또는 데이터를 가져오는 사람에 대한 것과 동일하게 청구를 할 수 있음에 동의합니다. 단, 후속 업체가 법률상의 효력이나 계약에 따라 데이터를 내보내는 사람이나 데이터를 가져오는 사람의 전체 법적 의무를 승계한 경우에는 데이터 주체가 해당 업체에 대해 권리를 적용할 수 있습니다. 하청 처리 업체에 적용되는 이러한 책임은 해당 조항에 따라 업체가 자체적으로 수행하는 처리 작업으로 제한됩니다.

7조

중재 및 관할지

1.  데이터를 가져오는 사람은 데이터 주체가 해당 가져오기에 대해 타사 수익권을 언급하거나 해당 조항에 따른 손실 보상을 요구하는 경우 데이터 주체의 결정을 수락합니다.

(a) 중재를 위해 독립적 개인 또는 감독 기관(해당하는 경우)이 분쟁 사항을 언급하기 위해

(b) 데이터를 내보내는 사람이 설립된 회원국 법원에 분쟁 사안을 회부하기 위해

2.  양 당사자는 데이터 주체의 선택 내용이 국내/국제법의 기타 조항에 따라 구제를 요청할 수 있는 실질적인/절차상의 권리를 침해하지 않음에 동의합니다.

8조

감독 기관과의 협력

1.  데이터를 내보내는 사람은 감독 기관이 요청하거나 해당하는 데이터 보호법상 필요한 경우 이 계약의 사본을 감독 기관에 보관하는 데 동의합니다.

2.  양 당사자는 감독 기관에 데이터를 가져오는 사람과 하청 처리 업체의 감사를 진행할 권리가 있음에 동의합니다. 이러한 감사에는 해당하는 데이터 보호법에 따라 데이터를 내보내는 사람을 감사할 때 적용되는 것과 동일한 조건과 범위가 적용됩니다.

3.  데이터를 가져오는 사람은 2항의 내용에 따라 데이터를 가져오는 사람이나 하청 처리 업체의 감사 진행을 차단하는 자신이나 하청 처리 업체에 적용되는 법률 유무를 데이터를 내보내는 사람에게 즉시 알려야 합니다. 이러한 경우 데이터를 내보내는 사람은 5(b)조에 미리 제시되어 있는 조치를 취할 수 있습니다.

9조

준거법

해당 조항은 데이터를 내보내는 사람의 업체가 설립된 회원국 법률에 의해 제어되며, 불확실한 내용이 있거나 데이터를 내보내는 사람이 여러 명인 경우 잉글랜드 웨일스의 법률에 의해 제어됩니다. 

10조

계약 변형

양 당사자는 해당 조항을 변경하거나 수정하지 않음에 동의합니다. 단, 양 당사자는 해당 조항의 내용과 상충하지 않는 경우 필요하다면 업무 관련 사안에 대한 조항을 추가할 수는 있습니다.

11조

하청 처리

1.  데이터를 가져오는 사람은 데이터를 내보내는 사람의 사전 서면 동의 없이는 해당 조항에 따라 데이터를 내보내는 사람을 대신하여 수행하는 처리 작업을 하청 업체에 의뢰하지 않습니다. 데이터를 가져오는 사람은 해당 조항의 의무를 하청 업체에 의뢰하는 경우 하청 처리 업체와의 서면 계약을 통해서만 하청을 의뢰합니다. 이 경우 하청 처리 업체에는 해당 조항에 따라 데이터를 가져오는 사람에게 적용되는 것과 동일한 의무가 적용됩니다. 하청 처리 업체가 서면 계약에 따른 데이터 보호 의무를 이행하지 못하는 경우 데이터를 가져오는 사람이 해당 계약에 따른 하청 처리 업체 의무 수행에 대해 데이터를 내보내는 사람에게 모든 책임을 집니다.

2.  데이터를 내보내는 사람이나 가져오는 사람이 법적으로 사실상 없어졌거나 더 이상 존재하지 않거나 파산 상태가 되어 데이터 주체가 해당자에 대해 6조 1항에 명시된 보상을 청구할 수 없으며 계약 또는 법률상의 효력에 따라 데이터를 내보내는 사람이나 가져오는 사람의 전체 법적 의무를 승계한 후속 업체가 없는 경우에는 데이터를 가져오는 사람과 하청 처리 업체 간의 사전 서면 계약에서도 3조에 명시된 타사 수익 조항을 제공합니다. 하청 처리 업체에 적용되는 이러한 타사 책임은 해당 조항에 따라 업체가 자체적으로 수행하는 처리 작업으로 제한됩니다.

3.  1항에 명시된 계약 하청 처리에 대한 데이터 보호 측면 관련 조항은 데이터를 내보내는 사람이 설립된 회원국 법률에 따라 처리됩니다.

4.  데이터를 내보내는 사람은 해당 조항에 따라 체결했으며 5(j)조에 따라 데이터를 가져오는 사람이 통지한 하청 처리 계약 목록을 보관해야 하며 매년 1회 이상 업데이트해야 합니다. 이 목록은 데이터를 내보내는 사람의 데이터 보호 감독 기관에 제공해야 합니다.

12조

개인 데이터 처리 서비스 종료 후의 의무

1.  양 당사자는 데이터 처리 서비스 조항의 적용 종료 시 데이터를 가져오는 사람과 하청 처리 업체는 데이터를 내보내는 사람이 선택하는 경우 전송된 모든 개인 데이터 및 해당 사본을 데이터를 내보내는 사람에게 반환하거나 모든 개인 데이터를 폐기하고 데이터를 내보낸 사람에게 개인 데이터를 폐기했음을 증명해야 합니다. 단, 데이터를 가져오는 사람에게 적용되는 법률에 따라 전송된 개인 데이터 중 전체 또는 일부분의 반환이나 폐기가 금지되는 경우는 제외됩니다. 개인 데이터의 반환이나 폐기가 금지되는 경우 데이터를 가져오는 사람은 전송된 개인 데이터의 기밀성을 보장하며 전송된 개인 데이터를 더 이상 실제로 처리하지 않을 것임을 보증합니다.

2.  데이터를 가져오는 사람과 하청 처리 업체는 데이터를 내보내는 사람 및/또는 감독 기관의 요청 시 1항에 명시된 조치의 감사를 위해 데이터 처리 기능을 제출할 것임을 보증합니다.

**********************************************

표준 계약 조항 부록 1

데이터를 내보내는 사람

데이터를 내보내는 사람은 부록에 "고객"으로 명시된 업체입니다.

데이터를 가져오는 사람

데이터를 가져오는 사람은 GoDaddy.com, LLC (호스팅 서비스 제공업체)입니다.

데이터 주체

처리 작업은 1.3조 및 부록 별첨 1에 정의되어 있습니다.

데이터 범주

처리 작업은 1.3조 및 부록 별첨 1에 정의되어 있습니다.

처리 작업

처리 작업은 1.3조 및 부록 별첨 1에 정의되어 있습니다.

표준 계약 조항 부록 2

이 부록은 해당 조항에 포함됩니다.  GoDaddy에서 포함 서비스를 구매하는 경우 양 당사자가 부록 및 이 부록 2에 동의했으며 해당 내용을 시행한 것으로 간주됩니다.

4(d) 및 5(c)조나 첨부 문서/법률에 따라 데이터를 가져오는 사람이 구현하는 기술적/조직적 보안 조치 설명:

데이터를 가져오는 사람이 구현하는 기술적/조직적 보안 조치는 부록에 설명되어 있으며, 구체적으로는 부록에 통합 및 첨부되어 있는 별첨 2에 설명되어 있습니다.


1              95/46/EC 명령 13(1)항에 명시된 이해 관계 중 하나를 기준으로 할 때 민주 사회에서 필요한 요구 사항의 범위를 벗어나지 않는 데이터를 가져오는 사람에게 적용되는 국내법의 필수 요구 사항(국가 보안, 방어, 공공 보안, 범죄 또는 규제 대상 직종의 윤리 규정 위반 방지/조사/수사/처벌, 국가의 중요한 경제적/재정적 이해 보호, 데이터 주체 또는 타인의 권리와 자유 보호를 위해 필요한 조치를 제시하는 요구 사항)은 계약상의 표준 조항과 상충하지 않아야 합니다. 민주 사회에서 필요한 요구 사항의 범위를 벗어나지 않는 필수 요구 사항의 예로는 국제적으로 인정되는 제재, 세금 신고 요구 사항, 돈세탁 방지 신고 요구 사항 등이 있습니다.

수정일: 2019-01-29
Copyright © 2019 GoDaddy.com, LLC All Rights Reserved.