GoDaddy - 데이터 처리 부칙
이 데이터 처리 부칙(‘부칙’)은 GoDaddy.com, LLC, a Delaware limited liability company 및 해당 제휴사(‘GoDaddy’)와 귀하(‘고객’)에 의해/상기 당사자 간에 집행되며 당사의 범용 서비스 약관, 개인정보 취급방침 및 포괄 서비스를 규제하는 모든 계약(‘서비스 약관’으로 총칭)에 별첨으로 포함되고 해당 내용을 보충합니다.
1. 정의1.1 부칙에 달리 정의된 경우를 제외하고, 본 부칙에 정의되지 않은 대문자로 표기된 모든 용어에는 서비스 약관에 지정된 의미가 적용됩니다.
‘제휴사’란 GoDaddy에서 통제하거나, 당사를 통제하거나, 공통의 통제권을 보유한 단체를 의미합니다.
‘포괄 서비스’는 개인 데이터 처리 작업을 수반할 수 있는 호스팅 서비스를 의미하며, 여기에는 다음 계약, 즉 (1) 이메일 마케팅 서비스, (2) 호스팅, (3) 온라인 스토어/간편 쇼핑카트, (4) 웹사이트 서비스, (5) 워크스페이스 서비스의 약관이 적용됩니다.
‘고객 데이터’란 GoDaddy에서 서비스 약관에 따라 또는 그와 관련해 고객 대신 GoDaddy 네트워크 내에서 처리하는 데이터 주체의 개인 데이터를 의미합니다.
‘데이터보호법’이란 계약에 따라 개인 데이터 처리에 적용되는 모든 데이터 보호 또는 개인정보보호 법규를 의미합니다. 여기에는 (i) 호주 개인정보보호원칙과 호주 개인정보보호법(1988년), (ii) 브라질 LGPD(Lei Geral de Proteção de Dados), (iii) 캘리포니아 소비자 개인정보보호법(CCPA), (iv) 캐나다의 연방 개인정보보호 및 전자문서법(PIPEDA), (v) EU GDPR, (vi) GDPR에 따라 제정된 모든 국가 데이터 보호법, (vii) EU 전자 개인정보보호 지침(Directive 2002/58/EC), (viii) 싱가포르의 2012년 개인데이터보호법(PDPA), (ix) 스위스 연방의 1992년 6월 19일 자 데이터보호법 및 조례, (x) UK GDPR 또는 데이터보호법(2018년)이 포함되나 이에 국한되지 않습니다. 각각의 경우 수정, 대체 또는 교체될 수 있습니다.
‘EEA’란 유럽경제지역(European Economic Area)을 의미합니다.
‘GDPR’란 개인 데이터 처리 및 해당 데이터의 자유로운 이동과 관련된 자연인의 보호에 대한 2016년 4월 27일 자 유럽 의회/위원회의 규정(EU) 2016/679를 의미하며, Directive 95/46/EC를 폐지합니다.
‘EU 표준 계약 조항’이란 유럽 위원회의 2021년 6월 4일 자 2021/914 결정에 따라 승인받은 표준 데이터 보호 조항을 의미하며, 여기에 참조로 포함됩니다. 모듈 2(제어업체 대 처리업체) EU 표준 계약 조항 및 모듈 3(처리업체 대 처리업체) EU 표준 계약 조항은 EUR-Lex 웹사이트에서 다운로드할 수 있습니다.
‘GoDaddy 네트워크’란 GoDaddy의 통제 범위 내에 있고 포괄 서비스를 제공하는 데 사용되는 GoDaddy의 데이터 센터 시설, 서버, 네트워킹 장비 및 호스트 소프트웨어 시스템(예: 가상 방화벽)을 의미합니다.
‘보안 사고’란 GoDaddy에서 관리하거나 제어하는 고객 데이터를 우발적 또는 불법적으로 파괴하거나 손실, 변경, 무단 공개하거나 고객 데이터에 액세스함으로써 발생하는 GoDaddy 보안 표준의 보안 위반을 의미합니다.
‘보안 표준’이란 본 부칙에 별지 2로 첨부된 보안 표준을 의미합니다.
‘민감한 데이터’란 (a) 사회 보장 번호, 여권 번호, 운전 면허증 번호 또는 유사한 ID(나 그 일부), (b) 신용 카드 또는 직불 카드 번호(신용 카드 또는 직불 카드의 삭제된 마지막 네 자리 숫자 외), 금융 정보, 은행 계좌 번호 또는 비밀번호, (c) 고용, 재정, 유전, 생체 또는 건강 정보, (d) 인종, 민족, 정치적 또는 종교적 소속, 노동조합 가입 또는 성생활이나 성적 취향에 대한 정보, (e) 계정 비밀번호, 어머니의 결혼 전 성 또는 생년월일, (f) 범죄 경력, (g) GDPR 또는 기타 개인정보/데이터 보호에 관한 준거 법규에 따라 ‘특정 데이터 범주’의 정의에 포함되는 그 외 모든 정보 또는 정보의 조합을 의미합니다.
‘하청 처리업체’란 데이터 제어업체 대신 데이터를 처리하기 위해 처리업체에서 고용한 처리업체를 의미합니다.
‘UK GDPR’이란 2018년 영국 유럽연합(탈퇴)법 및 해당 법에 따라 제정된 준거 보조법에 의거하여 수정되고 영국 법에 통합된 EU GDPR를 의미합니다.
‘영국 국제 데이터 전송 부칙’이란 2022년 3월 21일 자로 영국 정보 위원회가 발한 EU 표준 계약 조항 버전 B1.0에 대한 국제 데이터 전송 부칙을 의미하여, 여기에 참조로 포함됩니다. 영국 국제 데이터 전송 부칙은 영국 정보 위원회 웹사이트에서 다운로드할 수 있습니다.
1.2 본 부칙에 사용된 ‘개인 데이터’, ‘데이터 주체’, ‘처리’, ‘제어업체’ 및 ‘처리업체’라는 용어는 데이터보호법에서 적용하는 내용과 상관없이 EU GDPR에 지정된 의미를 지닙니다.
2. 데이터 처리 범위 및 당사자 관계2.1 처리업체로서의 GoDaddy. 당사자들은 (i) GoDaddy이(가) 데이터보호법에 따른 고객 데이터 처리업체이고, (ii) 고객이 데이터보호법에 따른 고객 데이터 제어업체 또는 처리업체(해당하는 경우)이며, (iii) 각 당사자는 고객 데이터 처리와 관련하여 해당 데이터보호법에 따른 의무를 준수함을 인정하고 이에 동의합니다.
2.2 데이터 처리 세부 정보. GoDaddy에서 수행하는 고객 데이터 처리 과정의 주제는 서비스 약관에 따른 포괄 서비스의 성과입니다. GoDaddy에서는 (i) 서비스 약관에 따른 처리, (ii) 최종 사용자의 포괄 서비스 사용으로 인해 시작되는 처리, (iii) 이메일 등을 통해 고객이 제공하는 문서화된 기타 합당한 지침(해당 지침이 서비스 약관과 일치하는 경우)을 준수하기 위한 처리 작업용으로 고객 대신 고객이 문서화한 지침에 따라서만 고객 데이터를 처리해야 합니다. GoDaddy에서는 (a) 서비스 약관에 따라 포괄 서비스를 제공하는 데 필요한 경우를 제외하고 고객 데이터를 처리, 보유, 사용, 판매하거나 공개해서는 안 되고, (b) 해당 고객 데이터를 제3자에게 판매해서는 안 되며, (c) GoDaddy과(와) 고객 간의 직접적인 비즈니스 관계 외에 해당 고객 데이터를 보유, 사용하거나 공개해서는 안 됩니다.
의심의 여지를 없애기 위해 고객 데이터 처리에 대한 고객 지침은 모든 데이터보호법을 준수해야 합니다. 고객은 고객 데이터의 정확성, 품질 및 적법성과 고객 데이터를 입수한 고객의 수단에 대해 단독으로 책임져야 합니다. 고객이 고객 데이터 제어업체인 경우, 고객은 (i) 귀하가 투명하게 공개하기 위해 상업적으로 합당한 노력을 기울이고 포괄 서비스에서 발생하는 모든 데이터 수집, 공유 및 사용에 대한 동의를 구해야 하며, (ii) 귀하가 포괄 서비스를 사용한 결과로 최종 사용자 데이터가 원본 국가 이외의 장소에서 처리될 수 있음을 명확히 밝혀야 함을 인정하고 이에 동의합니다. 고객이 고객 데이터 처리업체인 경우, 고객은 다른 처리업체로 GoDaddy을(를) 임명하는 등 고객 데이터와 관련된 고객의 지침과 조치가 관련 제어업체의 승인을 받았음을 보증합니다. GoDaddy은(는) 해당 지침이 데이터보호법을 위반하는 경우 고객의 지침을 준수하거나 지킬 필요가 없습니다. 처리 기간, 처리의 특성과 용도, 본 부칙에 따라 처리되는 데이터 주체의 개인 데이터 유형과 범주는 본 부칙의 별지 1('처리 세부 정보')에 자세히 명시되어 있습니다.
3. 고객 데이터의 기밀 유지GoDaddy에서는 법률 또는 법 집행 기관의 구속력이 있는 유효한 명령(예: 소환 또는 법원 명령) 준수를 위해 필요한 경우를 제외하고는 어떠한 정부 또는 기타 제삼자에게도 고객 데이터를 공개하지 않습니다. GoDaddy이(가) 유효한 민사 소환장을 받고 허용된 범위 내인 경우, GoDaddy은(는) 고객이 보호 명령이나 기타 적절한 구제책을 찾을 수 있도록 고객에게 이메일이나 우편을 통해 요구 사항에 대한 합리적인 통지를 제공하도록 노력합니다.
4. 보안의 공동 책임 모델4.1 GoDaddy에서는 본 절에 설명되어 있고 본 부칙의 별첨 2(보안 표준)에 자세히 설명된 바와 같이 GoDaddy 네트워크용으로 기술/조직적 조치를 시행했으며 유지 관리할 예정입니다. 특히 GoDaddy에서는 (i) GoDaddy 네트워크의 보안, (ii) 시설의 물리적 보안, (iii) 직원 및 하청업체의 (i) 및/또는 (ii) 액세스 통제, (iv) GoDaddy에서 구현한 기술/조직적 조치의 효율성을 테스트/평가/사정하기 위한 프로세스를 처리하는 다음과 같은 기술/조직적 조치를 시행했으며 유지 관리할 예정입니다. 당사는 여기에 명시된 의무를 다할 수 없는 경우 당사 웹사이트와 이메일을 통해 현실적으로 최대한 빨리 서면 고지를 제공합니다.
4.2 GoDaddy은(는) 고객이 포함 서비스와 관련하여 사용할 수 있는 다수의 보안 기능을 제공합니다. 고객에게는 (a) 포함 서비스를 적절하게 구성하고, (b) 포함 서비스와 연관해 제공되는 제어 기능(보안 제어 기능 포함)을 사용해 처리 시스템과 서비스의 지속적인 기밀성, 무결성, 가용성, 복원성을 보장하고, (c) 포함 서비스와 연관해 제공되는 제어 기능(보안 제어 기능 포함)을 사용해 물리적/기술적 사건 발생 시 고객이 제때 고객 데이터 가용성을 복원하고 고객 데이터에 액세스할 수 있도록 하고(예: 고객 데이터 백업 및 정기 보관), (d) 고객이 고객 데이터의 적절한 보안, 보호, 삭제 상태를 유지하는 데 적합하다고 간주하는 단계(암호화 기술을 사용하여 고객 데이터를 무단 액세스로부터 보호하는 작업과 고객 데이터 액세스 권한을 제어하는 대책 포함)를 수행할 책임이 있습니다.
5. 데이터 주체 권리GoDaddy에서는 포괄 서비스의 특성을 고려하여 고객이 포괄 서비스에 설명된 바와 같이 고객 데이터를 검색/수정/삭제하거나 해당 데이터의 사용/공유를 제한하는 데 사용할 수 있는 특정 제어 기능을 제공합니다. 고객은 데이터보호법에 따른 의무(데이터 주체의 요청에 대한 대응과 관련된 의무 포함)와 연관한 작업을 지원하기 위한 기술/조직적 조치로 이러한 제어 기능을 사용할 수 있습니다. 상업적으로 합당하고 법적으로 필요하거나 허용되는 범위에 한해 GoDaddy이(가) 해당하는 데이터보호법에 따라 데이터 주체로부터 해당 권리를 행사하겠다는 요청(‘데이터 주체 요청’)을 직접 받는 경우 GoDaddy에서 고객에게 직접 알려야 합니다. 또한 고객의 포괄 서비스 사용 시 데이터 주체 요청을 처리하는 기능이 제한되는 경우 GoDaddy에서는 법적으로 허용되고 적절하며 고객의 특정 요청이 있으면 요청 처리 과정에서 상업적으로 합당한 지원을 고객의 비용(해당하는 경우)으로 제공할 수 있습니다.
6. 하청 처리6.1 권한이 부여된 하청 처리업체. 고객은 GoDaddy에서 서비스 약관과 본 부칙에 따라 계약상의 의무를 이행하거나 고객 대신 특정 서비스(예: 지원 서비스)를 제공하기 위해 하청 처리업체를 이용할 수 있다는 데 동의합니다. 고객은 본 절에 설명된 바와 같이 GoDaddy의 하청 처리업체 사용에 동의합니다.
6.2 하청 처리업체의 의무. GoDaddy에서 6.1절의 설명에 따라 권한이 부여된 하청 처리업체를 이용하는 경우 다음이 적용됩니다.
(i) GoDaddy에서는 하청 처리업체가 서비스 약관에 따라 포괄 서비스를 유지 관리하거나, 고객 및 최종 사용자에게 포괄 서비스를 제공하는 데 필요한 고객 데이터에만 액세스할 수 있도록 제한합니다. GoDaddy에서는 하청 처리업체가 다른 용도로는 고객 데이터에 액세스하지 못하도록 합니다.
(ii) GoDaddy에서는 하청 처리업체와 서면 계약을 체결합니다. 또한 하청 처리업체는 본 부칙에 따라 GoDaddy에서 제공 중인 것과 동일한 데이터 처리 서비스를 수행하는 범위에 한해, GoDaddy에서 본 부칙에 의거하여 GoDaddy에 적용되는 것과 실질적으로 동일한 계약상의 의무를 하청 처리업체에도 적용합니다.
(iii) GoDaddy에서는 본 부칙의 의무를 계속 준수해야 하며, GoDaddy이(가) 본 부칙에 따른 GoDaddy의 의무 위반을 야기하는 하청 처리업체의 행위나 의무 불이행에 대해서도 계속 책임져야 합니다.
6.3 신규 하청 처리업체. 당사는 본 부칙의 약관에 따라 수시로 신규 하청 처리업체를 고용할 수 있습니다. 이러한 경우 신규 하청 처리업체가 고객 데이터를 입수하기 30일 전에 당사의 웹사이트나 이메일을 통해 이를 알려 드립니다. 신규 하청 처리업체를 승인하지 않는 고객은 당사의 알림을 받은 후 또는 10일 이내에 비승인 사유에 대한 설명이 포함된 서면 해제 알림을 제출하면 아무런 불이익 없이 포괄 서비스를 해지할 수 있습니다. 포괄 서비스가 번들 구매의 일부인 경우 해지가 전체 구매에 적용됩니다.
7. 보안 사건7.1 보안 사건. GoDaddy에서 보안 사건을 인지하면 GoDaddy은(는) 빠른 시간 내에 (a) 고객에게 보안 사건을 통지하고, (b) 사건의 영향을 완화하고 보안 사건으로 인해 발생하는 피해를 최소화하기 위해 합리적인 조치를 취합니다.
7.2 GoDaddy 지원. 고객이 데이터보호법에 따라 수행해야 하는 개인 데이터 위반 알림과 관련하여 고객을 지원하기 위해 GoDaddy은(는) 포괄 서비스의 특성, GoDaddy에게 제공되는 정보, 기밀성 등 정보 공개에 대한 모든 제한을 고려하여 GoDaddy이(가) 고객에게 합리적으로 공개할 수 있는 보안 사건에 대한 정보를 알림에 포함합니다.
7.3 실패한 보안 사건. 고객은 실패한 보안 사건에는 본 부칙의 약관이 적용되지 않는다는 데 동의합니다. 실패한 보안 사건은 고객 데이터 또는 고객 데이터를 저장한 GoDaddy의 네트워크/장비/시설에 대한 무단 액세스가 수행되지 않은 사건으로, 방화벽이나 에지 서버에 대한 ping 및 기타 브로드캐스트 공격, 포트 스캔, 실패한 로그인 시도, 서비스 거부 공격, 패킷 스니핑(이나 헤더 이외의 데이터에 액세스하지 못한 기타 트래픽 데이터 무단 액세스) 또는 그와 유사한 사건 등을 포함할 수 있습니다.
7.4 알림. 보안 사건(발생한 경우) 알림은 이메일을 비롯하여 GoDaddy에서 선택하는 수단을 통해 한 명 이상의 고객 관리자에게 전달됩니다. 고객 관리자가 GoDaddy 관리 콘솔 및 보안 전송에 대한 정확한 연락처 정보를 항상 유지 관리하도록 할 책임은 전적으로 고객에게 있습니다.
7.5 GoDaddy의 결함 불인정: 본 섹션의 내용에 따른 보안 사건을 보고하거나 보안 사건에 대응할 GoDaddy의 의무는 보안 사고와 관련된 GoDaddy의 어떤 잘못이나 책임에 대한 GoDaddy의 승인으로 해석되지 않으며 그와 같이 해석해서도 안 됩니다.
8. 고객 권리8.1 독자적 판단. 고객은 데이터 보안 및 해당 보안 표준과 관련하여 GoDaddy에서 제공하는 정보를 검토하고, 포괄 서비스가 고객의 요구 사항 및 법적 의무와 본 부칙에 따른 고객의 의무를 충족하는지 여부를 독자적으로 판단할 책임이 있습니다. 제공되는 정보는 관련 데이터보호법에 따른 고객의 의무를 준수하도록 고객을 지원하기 위한 것입니다. 고객은 GoDaddy에서 시행하고 유지 관리하는 포괄 서비스와 보안 표준이 개인 데이터에 미치는 위험(최신 기술, 시행 비용/특성, 범위, 개인 데이터 처리의 범위와 목적 및 개인에게 미치는 위험 고려)에 적합한 보안 수준을 제공한다는 데 동의합니다.
8.2 고객 감사 권리. 고객은 서비스 약관에 명시된 주소로 적당한 간격을 두고 특정 요청을 서면으로 작성하여 포괄 서비스에 해당하는 본 부칙을 GoDaddy에서 준수하는지 확인할 권리가 있습니다. GoDaddy에서 적절하게 요청했으며 범위가 지정된 감사 또는 검사와 관련해 고객이 요청한 지침의 준수를 거부하는 경우, 고객은 본 부칙과 서비스 약관을 해지할 수 있습니다.
9. 고객 데이터의 전송9.1 미국 기반 처리. 서비스 약관에 구체적으로 명시된 경우를 제외하고, 고객 데이터는 영국 또는 EEA 외부로 전송되고 미국에서 처리됩니다.
9.2 EU 표준 계약 조항의 적용. 모듈 2(제어업체 대 처리업체) EU 표준 계약 조항 또는 모듈 3(처리업체 대 처리업체) EU 표준 계약 조항은 EEA 외부로 직접 또는 제3자 전송을 통해 유럽 위원회에서 고객 데이터에 적정한 수준의 보호 기능을 제공하는 것으로 인정하지 않는 국가로 전송되는 고객 데이터에 적용됩니다. EU 표준 계약 조항은 EEA 외부로 직접 또는 제3자 전송을 통해 전송되지 않는 고객 데이터에는 적용되지 않습니다. 전술한 내용에도 불구하고, EU 표준 계약 조항은 EEA 외부로의 합법적인 개인 데이터 전송으로 인정되는 규정 준수 표준에 따라 데이터가 전송되는 경우(예: 서비스 약관에 따라 또는 사용자의 동의에 따라 포괄 서비스를 수행하는 데 필요한 경우)에는 적용되지 않습니다.
- 각 모듈에서 해당하는 경우
- EU 표준 계약 조항 7조의 옵션 공제 조항이 적용되지 않으며,
- EU 표준 계약 조항 9조의 옵션 2가 적용되고 하청 처리업체의 변경 사항에 대한 사전 서면 알림 기간은 본 부칙의 6.3절(신규 하청 처리업체)에 명시된 바와 같습니다.
- 또한 EU 표준 계약 조항 11조의 옵션 언어가 적용되지 않고,
- EU 표준 계약 조항 17조(옵션 1)에는 독일법이 적용되며,
- EU 표준 계약 조항 18(b)절의 분쟁은 독일 연방 공화국의 법원에서 해결됩니다.
- EU 표준 계약 조항 별첨 I의 A부:
- 당사자 목록
데이터 수출업체: 데이터 수출업체는 부칙에 ‘고객’으로 명시된 단체입니다.
서명 및 날짜: 데이터 수출업체가 데이터 수입업체의 서비스 약관을 전자적으로 수락한 날짜를 기준으로 데이터 수출업체는 본 EU 표준 계약 조항에 서명한 것으로 간주됩니다.
역할: 제어업체(모듈 2에 따름) 또는 처리업체(모듈 3에 따름)
데이터 수입업체: GoDaddy.com, LLC
연락처 세부 정보: 데이터 보호 책임자 사무실 – privacy@godaddy.com
서명 및 날짜: 데이터 수출업체가 데이터 수입업체의 서비스 약관을 전자적으로 수락한 날짜를 기준으로 데이터 수입업체는 본 EU 표준 계약 조항에 서명한 것으로 간주됩니다.
역할: 처리업체
- 당사자 목록
- EU 표준 계약 조항 별첨 I의 B부:
- 전송 설명
개인 데이터가 전송되는 데이터 주체의 범주는 부칙의 별지 1에 설명되어 있습니다.
전송되는 개인 데이터의 범주는 부칙의 별지 1에 설명되어 있습니다. 전송되는 민감한 데이터는 본 부칙의 별지 1에 설명되어 있습니다.
전송 빈도는 서비스 약관의 기간 내내 지속되는 기준입니다.
처리 특성은 2.2절과 부칙의 별지 1에 설명되어 있습니다.
데이터 전송 및 추가 처리 작업의 목적은 2.2절과 본 부칙의 별지 1에 설명되어 있습니다.
개인 데이터 보유 기간은 본 부칙의 별지 1에 설명되어 있습니다.
(하청)처리업체로의 전송, 데이터 주체 및 처리 특성과 기간은 표준 계약 조항에 대한 별첨 III에 명시되어 있습니다.
- 전송 설명
- EU 표준 계약 조항 별첨 I의 C부:
- 관할 감독 기관
노르트라인베스트팔렌주 데이터보호 및 정보의 자유 위원회('LDI NRW')가 관할 감독 기관입니다.
- 관할 감독 기관
- EU 표준 계약 조항 별첨 II:
데이터 수입업체에서 시행하는 기술/조직적 보안 조치는 부칙의 별지 2와 같습니다. - EU 표준 계약 조항 별첨 III:
하청 처리업체의 목록은 본 부칙의 별지 3에 있습니다.
9.3 Application of UK International Data Transfer Addendum. The UK International Data Transfer Addendum will apply to Customer Data transferred via Covered Services from the United Kingdom, either directly or via onward transfer, to any country not recognized by the competent United Kingdom regulatory authority or governmental body as providing an adequate level of protection for Customer Data. The UK International Data Transfer Addendum will not apply to Customer Data that is not transferred, either directly or via onward transfer, outside the United Kingdom. Notwithstanding the foregoing, the UK International Data Transfer Addendum will not apply where the data is transferred in accordance with a recognized compliance standard for the lawful transfer of Customer Data outside the United Kingdom, such as when necessary for the performance of Covered Services pursuant to the Terms of Service or with your consent.
- 영국 국제 데이터 전송 부칙이 적용되는 영국에서 데이터를 전송하는 경우, 영국 국제 데이터 전송 부칙은 다음과 같이 취급(본 참조에 따라 본 부칙에 통합)되고 작성된 것으로 간주합니다.
- 영국 국제 데이터 전송 부칙 표 1의 당사자 세부 정보 및 주요 연락처 정보는 본 부칙의 9.2 (i)(f)절에 있습니다.
- 영국 국제 데이터 전송 부칙의 표 2, 본 영국 국제 데이터 전송 부칙이 별첨으로 포함된 영국 표준 계약 조항과 모듈 및 선택 조항의 버전에 대한 정보는 본 부칙의 9.2절(영국 표준 계약 조항)에 있습니다.
- 영국 국제 데이터 전송 부칙의 표 3:
- 당사자 목록은 본 부칙의 9.2 (i)(f)절에 있습니다.
- 전송 설명은 본 부칙의 별지 1(처리 세부 정보)의 1절(처리 특성 및 목적)에 명시되어 있습니다.
- 별첨 II는 본 부칙의 별지 2(보안 표준)에 있습니다.
- 하청 처리업체의 목록은 본 부칙의 별지 3에 있습니다.
- 영국 국제 데이터 전송 부칙 표 4의 수입업체와 수출업체 모두 영국 국제 데이터 전송 부칙의 약관에 따라 영국 국제 데이터 전송 부칙을 종료할 수 있습니다.
이 부록은 서비스 약관에 따른 당사의 처리가 종료되는 시점("종료 날짜")까지 계속해서 효력을 발휘합니다.
11. 고객 데이터 반환 또는 삭제포괄 서비스의 설명에 따라 고객에게는 고객 데이터를 검색하거나 삭제하는 데 사용할 수 있는 제어 권한을 제공할 수 있습니다. 고객 데이터는 특정 포괄 서비스의 약관에 따라 해지일로부터 30일 후에 삭제됩니다. 고객은 해지일 이후에도 보유하고자 하는 고객 데이터를 해지일 전에 내보내는 것은 고객의 책임이라는 점을 인정합니다.
12. 책임의 제한본 부칙에 따른 각 당사자의 책임에는 서비스 약관에 명시된 책임의 제외 및 제한 사항이 적용됩니다. 고객은 고객 데이터와 관련하여 본 부칙 및 해당하는 데이터보호법에 따른 고객의 의무 미준수의 결과로 또는 그와 연관해 GoDaddy에 의해 야기되는 규정상의 처벌은 서비스 약관에 따라 고객의 책임인 것으로 간주되어 서비스 약관에 따른 GoDaddy의 책임이 가감된다는 데 동의합니다.
13. 전체 서비스 약관, 상충하는 내용본 부칙은 서면으로든, 구두로든 상관없이 본 부칙의 주제와 관련하여 고객과 GoDaddy 간의 이전 또는 동시 진술, 양해, 계약이나 의견 교환을 모두 대체/교체합니다. 여기에는 개인 데이터 처리 및 해당 데이터의 자유로운 이동과 관련하여 GoDaddy과(와) 고객 간에 합의한 데이터 처리 부칙이 포함됩니다. EU 표준 계약 조항이나 영국 국제 데이터 전송 부칙 및 본 부칙의 기타 약관이나 서비스 약관 간에 상충하거나 불일치하는 내용이 있을 경우, EU 표준 계약 조항 또는 영국 국제 데이터 전송 부칙의 규정(해당하는 경우)이 우선 적용됩니다. 본 부칙에 따라 개정된 경우를 제외하고, 서비스 약관은 완전한 효력을 발휘합니다. 서비스 약관과 본 부칙 간에 상충하는 내용이 있는 경우 본 부칙의 약관이 우선 적용됩니다.
별첨 1
처리 세부 정보
1. 처리의 특성과 용도. GoDaddy에서는 서비스 약관에 따라, 그리고 포괄 서비스를 사용하는 과정 전반에 걸쳐 고객이 추가로 제시하는 지침에 따라 포괄 서비스를 수행하는 데 필요한 경우 개인 데이터를 처리합니다.
2. 처리 기간. 본 부칙의 10/11조에 따라 GoDaddy에서는 서비스 약관의 발효일 동안 고객 데이터를 처리합니다. 전술한 바와 같이, GoDaddy은(는) 적용되는 데이터보호법 등의 준거 법류에서 요구하는 경우 고객 데이터 또는 그 일부를 보유할 수 있습니다. 단, 해당 고객 데이터는 본 부칙의 약관과 적용되는 데이터보호법에 따라 계속 보호됩니다.
3. 데이터 주체 범주. 고객은 포함 서비스 사용 과정에서 개인 데이터를 업로드할 수 있으며, 해당 범위는 고객의 독자 재량에 따라 결정 및 제어합니다. 여기에는 다음 데이터 주체 범주와 관련된 개인 데이터를 비롯한 여러 데이터가 포함될 수 있습니다.
- 잠재 고객, 고객, 비즈니스 파트너 및 고객의 공급업체(자연인)
- 고객의 잠재 고객, 고객, 비즈니스 파트너 및 공급업체의 직원이나 계약자(자연인)
- 고객의 직원, 대리인, 고문, 프리랜서(자연인)
- 고객이 포함 서비스를 사용할 권한을 부여한 고객의 사용자
4. 개인 데이터 범주. 고객은 포괄 서비스를 사용하는 동안 개인 데이터를 업로드할 수 있으며, 그 유형과 범위는 고객이 고유 재량으로 따라 결정 및 통제합니다. 여기에는 다음과 같은 데이터 주체의 개인 데이터 범주를 비롯해 여러 범주가 포함될 수 있습니다.
- 이름
- 주소
- 전화번호
- 생년월일
- 이메일 주소
- 데이터 주체를 직간접적으로 식별할 수 있는 그 외 수집된 데이터.
5. 민감한 데이터 또는 특정 데이터 범주. 고객은 포괄 서비스를 사용하는 동안 민감한 데이터를 업로드할 수 있으며, 그 유형과 범위는 고객이 고유 재량으로 결정 및 통제합니다. 고객은 포괄 서비스를 통해 민감한 데이터를 전송 또는 처리하기 전에 관련된 위험과 데이터의 성격을 충분히 고려하는 보호 조치 또는 제한을 적용할 책임이 있습니다.
별첨 2
보안 표준
I. 기술/조직적 조치
당사는 고객의 정보를 보호하기 위해 최선을 다하고 있습니다. 데이터 처리의 모범 사례, 시행 비용, 특성/범위/상황과 용도 및 자연인의 권리와 자유에 대한 여러 가지 위험의 발생 가능성과 심각도를 고려하여 당사는 다음과 같은 기술/조직적 조치를 취합니다. 해당 조치를 선택할 때에는 시스템의 기밀성, 무결성, 가용성, 복원성을 고려합니다.
II. 데이터 개인정보 프로그램
당사의 데이터 개인정보 프로그램은 전 세계의 데이터 관련 규제 구조를 유지하고 정보를 수명 주기 전반에 걸쳐 보호하기 위해 제정되었습니다. 이 프로그램은 개인정보 취급 방식과 보안 조치 구현을 감독하는 데이터 보호 책임 사무국에서 진행합니다. 당사는 데이터 개인정보 프로그램과 보안 표준의 효율성을 정기적으로 테스트, 평가 및 사정합니다.
1. 기밀 유지. “기밀 유지란 무단 공개되지 않도록 개인 데이터를 보호한다는 의미입니다.”
당사는 다양한 실제적/논리적 조치를 통해 고객 개인 데이터의 기밀성을 보호합니다. 이러한 조치에는 다음 항목이 포함됩니다.
실제 보안
- 물리적 액세스 제어 시스템 배치(배지를 통한 액세스 제어, 보안 이벤트 모니터링 등)
- 경보 및 CCTV 모니터링 기능(해당하는 경우)을 포함한 감시 시스템
- 책상 정리 정책 및 제어 규정 마련(자리를 비울 때 컴퓨터 잠그기, 사물함 잠그기 등)
- 방문자 액세스 관리
- 실제 미디어와 문서의 데이터 폐기(파쇄, 소자 등)
액세스 제어 및 무단 액세스 방지
- 적용된 사용자 액세스 제한 및 직무 원칙 구분에 따라 제공/검토한 역할 기반 액세스 권한
- 강력한 인증 및 승인 방법(다단계 인증, 인증서 기반 승인, 자동 비활성화/로그오프 등)
- 중앙 집중식 암호 관리 및 강력한/복잡한 암호 정책(최소 길이, 문자 복잡도, 암호만료 등)
- 이메일 및 인터넷 액세스 제어
- 바이러스 백신 관리
- 침입 방지 시스템 관리
암호화
- 강력한 암호화 프로토콜을 통해 내/외부 통신 암호화
- 미사용 개인 데이터 및 민감한 데이터(데이터베이스, 공유 디렉터리 등) 암호화
- 회사 PC와 노트북의 전체 디스크 암호화
- 저장 매체 암호화
- VPN을 통해 회사 네트워크에 대한 원격 연결 암호화
- 암호화 키 수명 주기 보장
데이터 최소화
- 애플리케이션, 디버깅 및 보안 로그의 PII/SPI 최소화
- 직접적인 개인 식별 방지를 위한 개인 데이터 익명화
- 기능별로 저장된 데이터 구분(테스트, 준비, 라이브)
- 역할 기반 권한별 논리적 데이터 구분
- 개인 데이터용으로 정의된 데이터 보존 기간
보안 테스트
- 개인 데이터를 호스팅하는 중요 회사 네트워크 및 플랫폼에 대한 침투 테스트
- 정기적인 네트워크 및 취약성 검사
2. 무결성. "무결성은 데이터의 정확성(온전성)과 시스템의 정상 작동이 보장되는 상태를 지칭합니다. ‘데이터’라는 용어와 연관하여 사용되는 무결성이라는 용어는 데이터가 완전하며 변경되지 않은 상태임을 나타냅니다."
개인 데이터의 무결성을 유지할 수 있는 액세스 제어 기능뿐 아니라 다음과 같이 적절한 변경 및 로그 관리 제어 기능도 마련되어 있어야 합니다.
변경 및 릴리스 관리
- 영향 분석, 승인, 테스트, 보안 검토, 준비, 모니터링 등을 포함한 변경 및 릴리스 관리 프로세스
- 프로덕션 환경의 역할 및 기능 기반(업무 구분) 액세스 프로비저닝
로깅 및 모니터링
- 데이터 액세스 및 변경 사항 로깅
- 중앙 집중식 감사 및 보안 로그
- 데이터 전송 완료 및 정확성 모니터링(전체 과정 검사)
3. 가용성. "서비스와 IT 시스템, IT 애플리케이션 및 IT 네트워크 기능이나 정보를 사용자가 항상 의도한 대로 사용할 수 있는 경우 이러한 항목의 가용성이 보장됩니다."
당사는 서비스 및 서비스 내에 포함된 데이터의 가용성을 유지하기 위해 적절한 지속성 및 보안 조치를 구현합니다.
- 중요 서비스에 적용되는 정기 장애 조치(failover) 테스트
- 중요 시스템에 대한 폭넓은 성능/가용성 모니터링 및 보고
- 사건 대응 프로그램
- 백업 또는 복제되는 중요 데이터(클라우드 백업/하드 디스크/데이터베이스 복제 등)
- 계획된 소프트웨어, 인프라 및 보안 유지 관리 과정 마련(소프트웨어 업데이트, 보안 패치 등)
- 오프사이트 및/또는 다른 지역에 배치된 복원 가능한 중복 시스템(서버 클러스터, 미러링된 DB, 고가용성 설정 등)
- 무중단 전원 공급 장치, 장애 시에도 사용 가능한 하드웨어 및 네트워크 시스템 사용
- 경보, 보안 시스템 마련
- 중요 사이트용으로 마련된 물리적 보호 조치(서지 보호, 상층부 바닥, 냉각 시스템, 화재 및/또는 연기 탐지기, 화재 억제 시스템 등)
- 가용성 유지를 위한 DDOS 방지
- 부하 및 스트레스 테스트
4. 데이터 처리 지침. "데이터 처리 지침은 데이터 제어업체의 지침과 관련 회사의 조치에 따라서만 개인 데이터를 처리함을 보장한다는 의미입니다."
당사는 고객의 기본 설정과 지침에 따라 개인 데이터가 처리되도록 보장하기 위해 내부 개인정보 취급방침과 계약을 제정했으며 직원을 대상으로 정기적인 개인정보 관련 교육을 진행합니다.
- 직원 계약 내에 포함된 개인정보 및 기밀 유지 약관
- 직원 대상 정기 데이터 개인정보 및 보안 교육
- 교육 통제권을 유지하기 위해 하청업체와 맺은 계약에 적절한 계약 조항
- 외부 서비스 제공업체 대상 정기 개인정보 규정 준수 점검
- 고객에게 데이터 처리 기본 설정에 대한 모든 통제권 제공
- 정기 보안 감사
별첨 3 - GoDaddy 하청 처리업체