GoDaddy - 리셀러 데이터 처리 부록
마지막 수정일: 2020-10-14
개요

이 리셀러 데이터 처리 부록(‘DPA’)은 GoDaddy의 리셀러 프로그램을 통한 GoDaddy의 제품과 서비스(‘서비스’) 판매를 위해 GoDaddy.com, LLC(계약에 따라 고려하는 경우 제휴 업체 포함)(‘GoDaddy’) 및 귀하(‘리셀러’) 간에 집행되는 계약의 일부분으로 포함되며, 리셀러가 GoDaddy 대신 수행하는 개인 정보 처리를 제어합니다. 리셀러는 자사를 대신하여, 그리고 해당하는 데이터 보호법 및 규정상 필요한 범위에 한해 승인된 제휴사 이름으로 해당 제휴사를 대신하여 이 DPA를 체결합니다. 여기에 정의되어 있지 않은 모든 대문자 용어는 계약에 명시된 의미로 간주됩니다. ‘당사’, ‘당사를’ 또는 ‘당사의’라는 용어는 GoDaddy을(를) 지칭합니다. ‘귀하’, ‘귀하의’ 또는 ‘리셀러’라는 용어는 본 계약을 수락하는 개인이나 사업체를 지칭합니다. 본 계약의 어느 부분도 제삼자에게 권리나 혜택을 부여하는 것으로 간주되지 않습니다. 이 DPA는 전자 동의 날짜부터 효력 및 구속력을 발휘합니다.

이 DPA는 아래의 설명에 따라 적용 가능한 2개 고유 부분으로 구성됩니다.

  • 데이터 프라이버시 및 보안 표준 및 요구사항. 데이터 프라이버시 및 보안 표준 요구사항 적용. 리셀러 프로그램 참여 범위 및 특성 내에서 ‘여기에 정의’된 PII에 액세스하고 PII를 처리하는 모든 리셀러에게 적용.
  • 표준 계약 조항(및 해당 부록 1 및 2). 표준 계약 조항 적용. 표준 계약 조항은 EEA 외부로 직접 또는 지속적인 전송을 통해 유럽 위원회에서 GDPR에 설명된 대로 개인 데이터에 대한 적정 수준의 보호를 제공하는 것으로 인정하지 않는 국가로 전송되는 고객 데이터에 적용됩니다. 표준 계약 조항은 EEA 외부로 직접 또는 지속적인 전송을 통해 전송되지 않는 고객 데이터에는 적용되지 않습니다. 전술한 내용에도 불구하고 표준 계약 조항은 유럽 연합과 미국 간, 스위스와 미국 PSF(Privacy Shield Framework) 간과 같이 GDPR에 정의된 것처럼 EEA 외부로의 합법적인 개인 데이터 전송으로 인정되는 규정 준수 표준에 따라 데이터가 전송되는 경우에는 적용되지 않습니다.

*******************************************************************************************************************************************************
데이터 개인정보 및 보안 SLA

1. 주제 및 범위

이 데이터 개인정보 및 보안 SLA(‘보안 SLA’)는 귀하가 수집하거나 사용하는 PII(하기 정의됨)가 계약 약관, 보안 SLA 및 해당 법률/규정에 따라 안전한 방식으로 처리됨을 보장하기 위해 계약에 첨부 및 통합되어 있습니다.

2. 우선 순위.

이 보안 SLA는 계약에 통합되어 있으며 계약의 일부분으로 포함됩니다. 이 보안 SLA에서 설명하지 않는 사안의 경우에는 계약의 약관이 적용됩니다. 양 당사자의 쌍방에 대한 권리 및 의무와 관련하여 이 보안 SLA와 계약의 약관이 상충하는 경우에는 이 보안 SLA의 약관이 우선적으로 적용됩니다. 표준 계약 조항과 보안 SLA의 약관이 상충하는 경우에는 표준 계약 조항이 우선적으로 적용됩니다.

3. 개인 정보.

  1. ‘PII’ 또는 ‘개인 정보’는 식별되거나 식별 가능한 자연인 또는 세대에 관련된 모든 종류의 매체 또는 형태의 정보를 의미합니다. 특히 식별 가능한 자연인은 이름, 주소, 사회 보장 번호 또는 기타 식별 번호, 이메일 주소, 전화 번호, 금융 프로필, 신용카드 정보, 운전자 면허 번호 또는 특정 사람, 컴퓨터나 기기(예: IP 주소와 같은 추적 기술을 통해 수집된 정보)와 타당하게 연결될 수 있는 기타 정보 또는 해당 자연인의 신체, 생리, 유전, 정신, 경제, 문화 또는 사회 정체성에 관련된 하나 이상의 요소를 참조하여 직접 또는 간접적으로 식별할 수 있는 사람입니다.

  1. 이 DPA에 따른 처리에는 PII 수집/기록/정리/구성/저장/조정/변경/검색/상담/사용/공개/전파/기타 방식의 제공/조합/제한/지우기/폐기가 포함됩니다.
  2. GoDaddy은(는) GoDaddy 대신 서비스의 성능에 대해 독점 및 단독으로 PII를 공개합니다. 귀하는 계약에 설명된 제한적이며 구체적인 용도로 당사의 서면 지침에 따라서만 PII를 처리할 수 있으며 그 외의 용도(EU에 거주하는 개인의 PII를 유럽 연합 외부로 전송하는 과정과 관련된 처리 포함)로는 PII를 처리할 수 없습니다. 단, 유럽 연합 또는 유럽 연합 회원국에서 해당 처리를 요구하는 경우에는 처리를 수행하기 전에 즉시 당사에 통지해야 합니다(당사에 대한 알림이 법으로 금지된 경우는 제외됨).
  3. 귀하는 (i) PII를 판매할 수 없으며, (ii) 서비스 제공 외에 상업적 목적으로 PII를 보존, 사용 또는 공개할 수 없으며, (iii) 귀하와 GoDaddy 사이의 계약을 벗어나 PII를 보존, 사용 또는 공개할 수 없습니다.

  1. 귀하는 계약 하에 GoDaddy에게 제공되는 서비스에 대한 배려로 PII를 공개하지 않는 것을 승인 및 확인합니다. 2018년 ‘CCPA’(캘리포니아 소비자 개인정보 보호법)에 ‘판매’라는 용어가 정의된 대로 귀하는 어떠한 PII도 판매해서는 안되며, 이로써 귀하가 CCPA의 규정, 요구사항과 정의 및 이 DPA의 모든 제한사항을 이해하고 있음을 증명합니다. 귀하는 CCPA 및 기타 해당 법률에 따라 ‘개인 정보 판매’로서의 자격을 얻기 위해 귀하에게 또는 귀하로부터 PII의 이전을 야기할 수 있는 어떠한 행동도 취하지 못하도록 하는 데 동의합니다.
  2. 귀하는 이 DPA의 약관 및 하기 정의된 GDPR 44-49항의 요구 사항에 따라서만 EU 외부로(해당 PII가 이미 EU 외부에 있는 경우 역시 EU 외부에 있는 제삼자에게) EU 거주 개인 관련 PII를 전송할 수 있습니다.
  3. 귀하는 당사의 지침이 EU 데이터 보호법(하기에 정의됨)을 비롯하여 해당하는 데이터 보호법 및 규정을 위반한다고 판단하는 경우 privacy@godaddy.com으로 당시에 즉시 통지해야 합니다.

  1. 귀하는 모든 PII를 엄격한 기밀 유지 대상 정보로 취급해야 하며, PII 처리에 참여하는 모든 직원이나 승인된 대리인에게 PII의 기밀 특성을 알려야 합니다. 그리고 해당 개인이나 단체가 PII의 기밀 유지와 관련하여 적절한 기밀 유지 계약을 체결했는지 확인해야 합니다.
  2. 계약에 따른 리셀러 프로그램과 연관한 귀하의 PII 수신, 유지 관리, 처리 또는 기타 방식의 액세스 범위 내에서 귀하는 해당 PII를 보호하기 위해 적절한 조직적 조치와 보안 조치를 유지 관리할 책임이 있음을 인정하며 이에 동의합니다. 귀하는 유럽 의회의 (EU) 2016/679 규정(2016년 4월 27일)을 비롯하여 개인 데이터 처리와 관련된 자연인 보호 및 해당 데이터의 자유로운 이동에 대한 해당하는 모든 개인정보 및 데이터 보호법(‘일반 데이터 보호 규정’, ‘GDPR’) 및 관련 유럽 연합 회원국 법률이나 규정(‘EU 데이터 보호법’으로 총칭함) 및 CCPA에 따라 해당 PII를 보호해야 합니다.

  1. 3.7절에 명시된 해당 조직적 조치와 보안 조치를 비롯하여 필요한 조치를 적절하게 포함해야 합니다.
    1. 아래의 3, 4절에 나와 있는 조치,
    2. 권한이 부여된 개인만이 계약에 설명된 용도로 PII에 액세스할 수 있는지를 확인하기 위한 조치,
    3. PII 익명화 및 암호화,
    4. 귀하의 처리 시스템과 서비스 기밀성, 무결성, 가용성 및 복원성을 지속적으로 유지하는 기능,
    5. PII 사용 가능성과 액세스 가능성을 제때 복원하는 기능,
    6. PII 처리 보안을 유지하기 위한 기술적/조직적 조치의 효율성을 정기적으로 테스트, 평가 및 사정하는 프로세스 및
    7. 귀하의 시스템에서 수행하는 PII 처리와 관련한 취약성을 식별하기 위한 조치.
  2. 귀하는 하청업체, 공급업체 또는 기타 타사와 체결하는 계약 범위 내에서 해당 업체가 필요한 작업을 원활하게 수행할 수 있도록 (i) 당사의 사전 서면 동의를 받아야 하며 (ii) 해당 타사도 이 DPA 및 계약의 약관을 준수하도록 서면 계약을 체결해야 합니다.

  1. 1.11절에 따라 당사에서 승인했더라도 귀하는 하청업체, 공급업체 또는 기타 제삼자가 이 DPA 또는 이 DPA에 따라 귀하에게 적용되는 것과 동일한 의무를 제삼자에게 적용하기 위해 마련된 유사한 계약상의 절차에 따른 의무를 이행하지 못하는 경우 해당 행위에 대해 계속해서 모든 책임을 져야 합니다.
  2. 귀하는 일시적/영구적, 실수로 인한/불법적인 PII 사용 불가 상태, 손실, 폐기, 무단 공개/접근, 도용, 손상 및 그 외의 해당하는 데이터 보호 법률 위반/이 DPA 위반과 관련한 모든 책임, 비용 및 손해에 대해 자비로 당사를 방어, 면책하고 피해를 입지 않도록 보호합니다.
  3. 귀하는 이 계약에 따라 귀하가 수신해야 하거나 수신할 권한이 부여되지 않은 당사의 기밀 정보 PII를 수신했음을 인지하는 경우 (i) 당사 이메일(privacy@secureserver.net)로 즉시 통지해야 하며, (ii) 별도의 서면 지시가 없는 경우 해당 정보에 대해 취해야 하는 조치와 관련한 지침이 포함된 연락을 이메일(privacy@secureserver.net)로 받을 때까지 정보를 보관해야 합니다.

4. 영향 평가 및 보안 감사

  1. 데이터 보호 영향 평가. 귀하는 당사가 계약에 따라 리셀러 프로그램 관련 개인정보 또는 보안 위험을 파악하고 최소화하기 위한 데이터 보호 영향 평가를 수행하는 과정을 지원해야 합니다.
  2. 정기 감사. 당사는 귀하의 이 DPA 준수 여부를 정기적으로 감사하거나 당사의 판단에 따라 제삼자가 감사하도록 할 권리를 보유합니다.
  3. 사고 후 감사. 리셀러가 보안 규정을 위반하는 경우 당사는 보안 감사를 진행하여 PII에 영향이 없었음을 확인할 수 있습니다. 귀하는 90일 이내에 감사를 통해 확인된 문제에 대응할 수 있습니다. 확인된 문제가 해결되고 나면 당사는 보안 감사를 진행하여 문제 해결 완료를 확인할 수 있습니다.
  4. 규정 미준수 통지. 귀하는 이유를 막론하고 이 DPA의 약정을 준수할 수 없는 경우 당사에 즉시 통지해야 합니다. 그러한 경우 귀하는 PII 보안에 대한 위험 없이 문제를 신속하게 해결할 수 있는지 여부를 알려야 합니다. 이와 같이 문제를 해결할 수 없는 경우 당사는 귀하에 대한 추가 책임이나 처벌 없이 계약을 즉시 종료할 수 있습니다.

5. 보안 사건 대응

  1. 통지 기한. 귀하는 서비스 및/또는 PII 관련 보안 사건을 발견하는 즉시 당사에 알려야 하며, 해당 사건이 당사나 PII에 줄 수 있는/주게 될 영향에 대한 피드백을 즉시 제공해야 합니다. 귀하는 보안 사건을 탐지한 이후 즉시 해당 사건을 당시에 통지하기 위해 노력해야 하되 어떤 경우든 사건 탐지 1시간 이내에 당사에 통지를 해야 합니다. 이 DPA에 따른 사건에는 다음 항목도 포함됩니다.
    1. EU 데이터 보호법을 비롯한 해당 법률에 따른 개인의 권리 행사와 관련된 불만 사항 또는 요청,
    2. 공무원이나 규정/법률 집행 기관의 PII 조사 또는 압수나 해당 조사 또는 압수 지시를 고려 중이라는 의사 표현,
    3. 일시적/영구적, 실수로 인한/불법적인 PII 사용 불가 상태, 손실, 폐기, 무단 공개/접근, 도용, 손상 및
    4. 이 DPA에 명시된 보안 및/또는 기밀 유지 의무의 위반.
  2. 통지 형식 및 내용. 보안 위반은 당사 NOC(네트워크 운영 센터)에 (480) 505-8809 번으로 전화 통지를 한 다음 securitybreach@godaddy.com으로 서면 통지를 해야 합니다. 귀하는 통지 전화 통화 시에 다음 정보를 제공해야 하며, 추가 정보가 확인되면 서면 통지 시에 추가 업데이트를 최대한 제공해야 합니다.
    1. 사건 특성 설명 및 사건에 의해 발생 가능한 결과,
    2. 예상 해결 시간(확인된 경우),
    3. 사건 해결을 위해 취했거나 제안된 조치(당사, PII 또는 관련 개인에 대해 발생 가능한 부정적 영향을 완화하기 위한 조치 포함)의 설명,
    4. 전화 통화 시에 해결 방법을 확인할 수 없는 경우에는 해당 방법이 아직 확인되지 않았음을 명확하게 알려야 합니다.
    5. 사건의 영향을 받을 수 있는 PII 및 개인의 범주와 대략적인 분량 및 해당 PII와 관련 개인에 대해 발생 가능한 사건의 결과 및
    6. 당사가 사건 업데이트 정보를 받기 위해 연락할 수 있는 리셀러 담당자의 이름과 전화 번호.
  3. 보안 리소스. 당사는 귀하와 상호 합의하는 경우 확인된 보안 위반 관련 조치를 지원하기 위해 보안 그룹의 리소스를 제공할 수 있습니다. 귀하는 EU 데이터 보호법 또는 기타 법률, 규정, 행정 또는 계약상의 위반 통지 의무에 따른 보안 위반 통지와 관련하여 당사의 의무 이행을 지원하는 데 동의합니다.

6. 암호화

  1. 독점 암호화. 귀하와 하청업체, 공급업체 또는 기타 타사 간의 보안 트랜잭션과 당사의 기밀 정보 또는 PII 저장 과정에서는 귀하가 사내에서 개발한 암호화 알고리즘을 사용할 수 없습니다. 애플리케이션 인프라에 사용되는 대칭, 비대칭 또는 해싱 알고리즘은 일반 암호화 커뮤니티에서 게시 및 평가한 알고리즘을 사용합니다.
  2. 암호화 강도. 암호화 알고리즘은 AES 등의 최신 업계 표준 기술이어야 하며 강도가 충분히 높아야 합니다. SHA-256 또는 RSA 공용 키 암호화.
  3. 해싱 기능. 해싱 기능은 SHA-256과 MD-5, SHA-2, SHA-3 또는 유사 기능(SHA-1은 제외)이 조합된 것입니다. 대체 해싱 기능을 사용하려는 경우 당사 정보 보안 팀의 명시적 승인을 받아야 하며, 하나 이상의 승인된 알고리즘을 함께 사용해야 합니다.

7. PII 처리

  1. 법률 준수. 귀하는 해당하는 범위 내에서 계약에 따라 해당 PII를 처리하며 EU 데이터 보호법에 따라 권리를 행사하고자 하는 개인의 요청에 대응해야 하는 당사의 의무를 지원합니다. 이러한 권리에는 (i) 액세스 권리, (ii) 데이터 이식 권리, (iii) 지우기 권리, (iv) 개정 권리, (v) 자동 의사 결정 거부 권리 또는 (vi) 처리 거부 권리를 비롯한 여러 가지 권리가 포함됩니다.
  2. 삭제/폐기. 귀하는 당사의 요청 시 언제든지, 또는 당사의 요청이 없는 경우에는 계약 종료 이후 모든 PII를 안전하게 삭제/폐기하거나 반환하고 암호화 지우기(NIST SP-800-88r1) 또는 그와 동일한 방법을 통해 PII를 저장하는 데 사용한 실제 드라이브를 덮어써야 하며 동일 PII의 기존 사본도 폐기하거나 당사에 반환해야 합니다.

*******************************************************************************************************************************************************
표준 계약 조항

95/46/EC 명령 26(2)조에 따라 적절한 데이터 보호 수준을 보장하지 않는 타 국가에 설립된 처리 업체로 개인 데이터를 전송하는 경우

데이터를 내보내는 사람: GoDaddy.com, LLC 및 해당 제휴 업체



데이터를 가져오는 사람: 계약 약관에 따라 리셀러 프로그램에 참여한 명명된 리셀러입니다.

각 '당사자'('당사자'로 총칭함)는

데이터를 내보내는 사람이 데이터를 가져오는 사람에게 부록 1에 지정된 개인 데이터를 전송할 수 있는 개인의 기본권과 자유 및 개인정보 보호와 관련하여 적절한 보호 조치를 제시하기 위해 다음 계약 조항(조항)에 동의했습니다.

1조
정의

이 조항의 내용에 따라 다음 사항이 적용됩니다.

(a) '개인 데이터', '특수 데이터 범주', '프로세스/처리', '제어 업체', '처리 업체', '데이터 주체' 및 '감독 기관'은 개인 데이터 처리와 관련된 개인 보호 및 해당 데이터의 자유로운 이동에 대한 유럽 의회의 95/46/EC 명령(1995년 10월 24일)에서 동일한 의미입니다.

(b) '데이터를 내보내는 사람'이란 개인 데이터를 전송하는 제어 업체를 의미합니다.

(c) '데이터를 가져오는 사람'이란 데이터를 내보내는 사람의 지침에 따라 데이터를 전송한 후 해당자 대신 처리해야 하는 개인 데이터를 해당자로부터 수령하는 데 동의하며, 95/46/EC 명령의 25(1)조에 명시된 의미 범위 내에서 적절한 보호를 제공하기 위해 타국 시스템을 사용하지 않는 처리 업체를 의미합니다.

(d) '하청 처리 업체'란 데이터를 내보내는 사람의 지침, 해당 조항의 약관 및 서면 하청 계약의 약관에 따라 전송 이후 데이터를 내보내는 사람을 대신하여 수행할 처리 작업을 위해서만 데이터를 가져오는 사람이나 해당자의 타 하청 처리 업체로부터 개인 데이터를 수령하는 데 동의하는, 데이터를 가져오는 사람이나 해당 하청 처리 업체가 이용하는 처리 업체를 의미합니다.

(e) '해당하는 데이터 보호법'이란 데이터를 내보내는 사람의 업체가 설립된 회원국에서 데이터 제어 업체에 적용되는 개인 데이터 처리와 관련한 개인의 기본권과 자유(특히 개인정보를 유지할 권리)를 보호하는 법률을 의미합니다.

(f) '기술적 및 조직적 보안 조치'란 실수 또는 불법적인 폐기나 부주의에 의한 손실, 변경, 무단 공개/액세스(특히 데이터가 처리되는 과정에서 네트워크를 통해 전송되는 경우) 및 기타 모든 불법적 형태의 처리로부터 개인 데이터를 보호하기 위한 목적의 조치를 의미합니다.

2조
전송 세부 정보

전송 세부 정보(특히 해당하는 경우 개인 데이터의 특수 범주)는 해당 조항의 필수 부분인 부록 1에 지정되어 있습니다.

3조
타사 수익 조항

  1. 데이터 주체는 데이터를 내보내는 사람에 대해 이 조항, 4(b)~(i)조, 5(a)~(e)조, (g)~(j)조, 6(1)~(2)조, 7조, 8(2)조, 9~12조를 타사 수익 조항으로 적용할 수 있습니다.

  2. 데이터를 내보내는 사람이 법적으로 사실상 없어졌거나 더 이상 존재하지 않는 경우 후속 업체가 계약 또는 법률상의 효력에 따라 데이터를 내보내는 사람의 전체 법적 의무를 승계한 경우가 아니면 데이터를 가져오는 사람에게 이 조항, 5(a)~(e)조, (g)조, 6/7조, 8(2)조, 9~12조를 적용할 수 있습니다. 후속 업체가 있는 경우 데이터 주체는 해당 업체에 상기 조항을 적용할 수 있습니다.

  3. 데이터를 내보내는 사람과 가져오는 사람이 모두 법적으로 사실상 없어졌거나 더 이상 존재하지 않거나 파산 상태가 된 경우 후속 업체가 계약 또는 법률상의 효력에 따라 데이터를 내보내는 사람의 전체 법적 의무를 승계한 경우가 아니면 하청 처리 업체에 이 조항, 5(a)~(e)조, (g)조, 6/7조, 8(2)조, 9~12조를 적용할 수 있습니다. 후속 업체가 있는 경우 데이터 주체는 해당 업체에 상기 조항을 적용할 수 있습니다. 하청 처리 업체에 적용되는 이러한 타사 책임은 해당 조항에 따라 업체가 자체적으로 수행하는 처리 작업으로 제한됩니다.

  4. 양 당사자는 데이터 주체가 명시적으로 희망하며 국내법에 따라 허용되는 경우 특정 협회나 다른 단체가 대표하는 데이터 주체에 반대하지 않습니다.

4조
데이터를 내보내는 사람의 의무

데이터를 내보내는 사람은 다음 사항을 동의 및 보증합니다.

(a) 전송 자체를 포함한 개인 데이터 처리가 해당하는 데이터 보호법의 관련 조항에 따라 수행되었고 수행될 예정이며(해당하는 경우 데이터를 내보내는 사람의 업체가 설립된 회원국의 관련 기관에 통지를 했으며) 해당 국가의 관련 조항을 위반하지 않습니다.

(b) 개인 데이터 처리 서비스를 진행하는 기간 전체에 걸쳐 데이터를 가져오는 사람에게 해당하는 데이터 보호법과 해당 조항에 따라 데이터를 내보내는 사람을 대신해서만 전송되는 개인 데이터를 처리하도록 지시했으며 지시할 예정입니다.

(c) 데이터를 가져오는 사람은 이 계약의 부록 2에 지정된 기술적/조직적 보안 조치를 충분히 보장해야 합니다.

(d) 해당하는 데이터 보호법의 요구 사항을 평가한 후 실수 또는 불법적인 폐기나 부주의에 의한 손실, 변경, 무단 공개/액세스(특히 데이터가 처리되는 과정에서 네트워크를 통해 전송되는 경우) 및 기타 모든 불법적 형태의 처리로부터 개인 데이터를 보호하기에 보안 조치가 적합하며, 이러한 조치가 구현의 최신성 및 비용과 관련하여 보호하려는 데이터의 특성 및 처리 시 발생하는 위험에 적합한 보안 수준을 보장함을 확인합니다.

(e) 보안 조치를 준수합니다.

(f) 특수 데이터 범주가 전송에 포함되는 경우에는 95/46/EC 명령의 의미 범위 내에서 적합한 보호를 제공하지 않는 타 국가로 데이터가 전송될 수 있음을 데이터 주체에게 전송 전에 통지한 상태이거나 전송 이후 최대한 빠른 시간 내에 통지해야 합니다.

(g) 데이터를 내보내는 사람이 전송을 계속하거나 일시 중단을 해제하기로 결정하는 경우 데이터 보호 감독 기관에 5(b)조 및 8(3)조에 따라 데이터를 가져오는 사람이나 하청 처리 업체로부터 수령한 통지를 전달해야 합니다.

(h) 해당 조항의 사본 요청 시 데이터 주체에게 사본(부록 2는 제외) 및 보안 조치의 요약 설명, 그리고 해당 조항에 따라 제공되었어야 하는 하청 처리 서비스 계약의 사본을 제공합니다. 단, 해당 조항이나 계약에 상업적 정보가 포함되어 있는 경우에는 해당 정보를 제거할 수 있습니다.

(i) 하청 처리 시에는 해당 조항에 따라 데이터 주체의 권리 및 개인 데이터 보호를 위해 데이터를 가져오는 사람과 동일한 수준의 보호를 제공하는 하청 처리 업체가 11항에 따라 처리 작업을 수행해야 합니다.

(j) 4(a)~(i)조를 준수해야 합니다.

5조
데이터를 가져오는 사람의 의무

데이터를 가져오는 사람은 다음 사항을 동의 및 보증합니다.

(a) 데이터를 내보내는 사람의 지침과 해당 조항에 따라 데이터를 내보내는 사람을 대신해서만 개인 데이터를 처리하기 위해. 이유를 막론하고 해당 사항을 준수할 수 없는 경우에는 데이터를 내보내는 사람에게 준수 불능 상태를 즉시 알려야하 며, 이 경우 데이터를 내보내는 사람은 데이터 전송을 일시 중단하거나 계약을 종료할 수 있습니다.

(b) 적용되는 법률상 계약에 따라 데이터를 내보내는 사람으로부터 수령한 지침과 해당 의무를 이행할 수 없다고 판단되는 이유가 없으며, 이 법률의 변경 시 해당 조항에서 제공하는 보증 및 의무를 이행하기가 매우 어려워지는 경우 해당 변경 사항을 인지하는 즉시 데이터를 내보내는 사람에게 통지해야 합니다. 이 경우 데이터를 내보내는 사람은 데이터 전송을 일시 중단하거나 계약을 종료할 수 있습니다.

(c) 전송되는 개인 데이터를 처리하기 전에 부록에 지정된 기술적/조직적 보안 조치를 구현했습니다.

(d) 데이터를 내보내는 사람에게 다음 사항을 즉시 통지해야 합니다.

(i) 별도로 금지된 경우(예:법 집행 기관의 조사 과정에서 기밀성을 유지하기 위해 형법상 금지된 경우)를 제외한 법 집행 기관의 법적 구속력이 있는 개인 데이터 공개 요청

(ii) 실수로 인한/무단 액세스 및

(iii) 데이터 주체로부터 직접 수령한 요청(요청에 응답할 권한이 부여된 경우를 제외하고 해당 요청에 응답하지 않은 경우)

(e) 전송 대상인 개인 데이터 처리와 관련하여 데이터를 내보내는 사람의 모든 문의를 즉시 적절하게 처리하고 전송되는 데이터 처리와 관련하여 감독 기관의 자문 사항을 따릅니다.

(f) 데이터를 내보내는 사람이 해당 조항에 포함된 처리 작업의 감사(데이터를 내보내는 사람이 직접 진행하거나, 데이터를 내보내는 사람이 선정했고 기밀성 의무가 적용되며 필수 전문 자격을 갖춘 독립 업체 직원으로 구성된 검사 단체에서 진행함)를 위해 데이터 처리 기능을 제출할 것을 요청하는 경우 다음 조항이 적용됩니다.

(g) 해당 조항의 사본이나 기존 하청 처리 계약 요청 시 데이터 주체에게 사본과 계약서를 제공합니다. 단, 해당 조항이나 계약에 상업적 정보가 포함되어 있는 경우에는 해당 정보를 제거할 수 있습니다. 그리고 부록 2는 데이터 주체가 데이터를 내보내는 사람으로부터 사본을 받을 수 없는 경우 보안 조치의 요약 설명으로 대체됩니다.

(h) 하청 처리 시 데이터를 내보내는 사람에게 이전에 알렸으며 해당자의 사전 서면 동의를 받았습니다.

(i) 하청 처리 업체의 처리 서비스는 11조의 내용에 따라 수행됩니다.

(j) 데이터를 내보내는 사람에게 해당 조항에 따라 체결하는 하청 처리 업체 계약 사본을 즉시 보내야 합니다.

(k) 데이터를 가져오는 사람의/해당자에 의한 개인 데이터 손실/무단 공개/도용/손상 및 그 외의 해당하는 데이터 보호 법률 위반과 관련한 모든 책임과 손해에 대해 자비로 데이터를 내보내는 사람을 방어, 면책하고 피해를 입지 않도록 보호합니다.

6조
책임

  1. 양 당사자는 당사자나 하청 처리 업체의 3조 또는 11조에 명시된 의무 위반으로 인해 피해를 입은 데이터 주체가 해당 피해에 대해 데이터를 내보내는 사람으로부터 보상을 받을 권리가 있음에 동의합니다.

  2. 데이터를 내보내는 사람이 사실상 없어졌거나 더 이상 존재하지 않거나 파산 상태가 되어 데이터 주체가 데이터를 가져오는 사람 또는 하청 처리 업체의 3조 또는 11조에 명시된 의무 위반에 대해 1항의 내용에 따라 데이터를 내보내는 사람에게 보상을 청구할 수 없는 경우, 데이터를 가져오는 사람은 데이터 주체가 데이터를 내보내는 사람에게 데이터를 내보내는 사람에 대한 것과 동일하게 청구를 할 수 있음에 동의합니다. 단, 후속 업체가 법률상의 효력이나 계약에 따라 데이터를 내보내는 사람의 전체 법적 의무를 승계한 경우에는 데이터 주체가 해당 업체에 대해 권리를 적용할 수 있습니다.

    데이터를 가져오는 사람은 자신의 책임을 회피하기 위해 하청 처리 업체의 의무 위반을 제기해서는 안 됩니다.

  3. 데이터를 내보내는 사람과 데이터를 가져오는 사람이 모두 사실상 없어졌거나 더 이상 존재하지 않거나 파산 상태가 되어 데이터 주체가 하청 처리 업체의 3조 또는 11조에 명시된 의무 위반에 대해 1/2항의 내용에 따라 데이터를 내보내는 사람이나 데이터를 가져오는 사람에게 보상을 청구할 수 없는 경우, 하청 처리 업체는 데이터 주체가 데이터 하청 처리 업체에게 해당 조항에 따른 자체 처리 작업과 관련하여 데이터를 내보내는 사람 또는 데이터를 가져오는 사람에 대한 것과 동일하게 청구를 할 수 있음에 동의합니다. 단, 후속 업체가 법률상의 효력이나 계약에 따라 데이터를 내보내는 사람이나 데이터를 가져오는 사람의 전체 법적 의무를 승계한 경우에는 데이터 주체가 해당 업체에 대해 권리를 적용할 수 있습니다. 하청 처리 업체에 적용되는 이러한 책임은 해당 조항에 따라 업체가 자체적으로 수행하는 처리 작업으로 제한됩니다.

7조
중재 및 관할지

  1. 데이터를 가져오는 사람은 데이터 주체가 해당 가져오기에 대해 타사 수익권을 언급하거나 해당 조항에 따른 손실 보상을 요구하는 경우 데이터 주체의 결정을 수락합니다.

    (a) 중재를 위해 독립적 개인 또는 감독 기관(해당하는 경우)이 분쟁 사항을 언급하기 위해

    (b) 데이터를 내보내는 사람이 설립된 회원국 법원에 분쟁 사안을 회부하기 위해

  2. 양 당사자는 데이터 주체의 선택 내용이 국내/국제법의 기타 조항에 따라 구제를 요청할 수 있는 실질적인/절차상의 권리를 침해하지 않음에 동의합니다.

8조
감독 기관과의 협력

  1. 데이터를 내보내는 사람은 감독 기관이 요청하거나 해당하는 데이터 보호법상 필요한 경우 이 계약의 사본을 감독 기관에 보관하는 데 동의합니다.

  2. 양 당사자는 감독 기관에 데이터를 가져오는 사람과 하청 처리 업체의 감사를 진행할 권리가 있음에 동의합니다. 이러한 감사에는 해당하는 데이터 보호법에 따라 데이터를 내보내는 사람을 감사할 때 적용되는 것과 동일한 조건과 범위가 적용됩니다.

  3. 데이터를 가져오는 사람은 2항의 내용에 따라 데이터를 가져오는 사람이나 하청 처리 업체의 감사 진행을 차단하는 자신이나 하청 처리 업체에 적용되는 법률 유무를 데이터를 내보내는 사람에게 즉시 알려야 합니다. 이러한 경우 데이터를 내보내는 사람은 5(b)조에 미리 제시되어 있는 조치를 취할 수 있습니다.

9조
준거법

해당 조항은 데이터를 내보내는 사람의 업체가 설립된 회원국 법률에 의해 제어되며, 데이터를 내보내는 사람이 여러 관할권에 설립되어 있는 경우에는 잉글랜드 웨일스의 법률에 의해 제어됩니다.

10조
계약 변형

양 당사자는 해당 조항을 변경하거나 수정하지 않음에 동의합니다. 단, 양 당사자는 해당 조항의 내용과 상충하지 않는 경우 필요하다면 업무 관련 사안에 대한 조항을 추가할 수는 있습니다.

11조
하청 처리

  1. 데이터를 가져오는 사람은 데이터를 내보내는 사람의 사전 서면 동의 없이는 해당 조항에 따라 데이터를 내보내는 사람을 대신하여 수행하는 처리 작업을 하청 업체에 의뢰하지 않습니다. 데이터를 가져오는 사람은 해당 조항의 의무를 하청 업체에 의뢰하는 경우 하청 처리 업체와의 서면 계약을 통해서만 하청을 의뢰합니다. 이 경우 하청 처리 업체에는 해당 조항에 따라 데이터를 가져오는 사람에게 적용되는 것과 동일한 의무가 적용됩니다. 하청 처리 업체가 서면 계약에 따른 데이터 보호 의무를 이행하지 못하는 경우 데이터를 가져오는 사람이 해당 계약에 따른 하청 처리 업체 의무 수행에 대해 데이터를 내보내는 사람에게 모든 책임을 집니다.

  2. 데이터를 내보내는 사람이나 가져오는 사람이 법적으로 사실상 없어졌거나 더 이상 존재하지 않거나 파산 상태가 되어 데이터 주체가 해당자에 대해 6조 1항에 명시된 보상을 청구할 수 없으며 계약 또는 법률상의 효력에 따라 데이터를 내보내는 사람이나 가져오는 사람의 전체 법적 의무를 승계한 후속 업체가 없는 경우에는 데이터를 가져오는 사람과 하청 처리 업체 간의 사전 서면 계약에서도 3조에 명시된 타사 수익 조항을 제공합니다. 하청 처리 업체에 적용되는 이러한 타사 책임은 해당 조항에 따라 업체가 자체적으로 수행하는 처리 작업으로 제한됩니다.

  3. 1항에 명시된 계약 하청 처리에 대한 데이터 보호 측면 관련 조항은 데이터를 내보내는 사람이 설립된 회원국 법률에 따라 처리됩니다.

  4. 데이터를 내보내는 사람은 해당 조항에 따라 체결했으며 5(j)조에 따라 데이터를 가져오는 사람이 통지한 하청 처리 계약 목록을 보관해야 하며 매년 1회 이상 업데이트해야 합니다. 이 목록은 데이터를 내보내는 사람의 데이터 보호 감독 기관에 제공해야 합니다.

12조
개인 데이터 처리 서비스 종료 후의 의무

  1. 양 당사자는 데이터 처리 서비스 조항의 적용 종료 시 데이터를 가져오는 사람과 하청 처리 업체는 데이터를 내보내는 사람이 선택하는 경우 전송된 모든 개인 데이터 및 해당 사본을 데이터를 내보내는 사람에게 반환하거나 모든 개인 데이터를 폐기하고 데이터를 내보낸 사람에게 개인 데이터를 폐기했음을 증명해야 합니다. 단, 데이터를 가져오는 사람에게 적용되는 법률에 따라 전송된 개인 데이터 중 전체 또는 일부분의 반환이나 폐기가 금지되는 경우는 제외됩니다. 개인 데이터의 반환이나 폐기가 금지되는 경우 데이터를 가져오는 사람은 전송된 개인 데이터의 기밀성을 보장하며 전송된 개인 데이터를 더 이상 실제로 처리하지 않을 것임을 보증합니다.

  2. 데이터를 가져오는 사람과 하청 처리 업체는 데이터를 내보내는 사람 및/또는 감독 기관의 요청 시 1항에 명시된 조치의 감사를 위해 데이터 처리 기능을 제출할 것임을 보증합니다.

표준 계약 조항
부록 1

동봉된 SOW에 포함되어 있지 않은 추가로 필요한 정보는 이 부록에 포함해야 합니다.

데이터를 내보내는 사람:
데이터를 내보내는 사람은 GoDaddy의 특정 제품과 서비스를 고객에게 재판매하기 위한 데이터를 가져오는 사람의 리셀러 프로그램 제공업체(GoDaddy)입니다.

데이터를 가져오는 사람:

데이터를 가져오는 사람은 GoDaddy 제품 및 서비스의 리셀러입니다.

데이터 주체

데이터 주체는 고객입니다.

데이터 범주

전송되는 개인 데이터는 다음 데이터 범주에 포함됩니다.

고객은 다음을 비롯한 개인 데이터 범주에 속하는 개인 데이터를 서비스에 제출할 수 있습니다.

  • 이름 및 성
  • 이메일
  • 전화 번호
  • 실제 주소
  • 처리 작업

전송되는 개인 데이터에는 다음과 같은 기본적인 처리 작업이 수행됩니다.

리셀러는 리셀러 계약에 따라, 그리고 서비스를 사용하는 과정 전반에 걸쳐 고객이 추가로 제시하는 지침에 따라 필요한 대로 개인 데이터를 처리합니다.

표준 계약 조항
부록 2

기술적/조직적 보안 조치

데이터를 가져오는 사람은 이 데이터 처리 부록에 명시된 대로 개인 데이터를 비롯한 고객 데이터의 보안, 기밀성 및 무결성을 보호하기 위한 기술적/행정적 보호 조치를 유지 관리해야 합니다. 데이터를 가져오는 사람은 이러한 보호 조치의 준수 여부를 정기적으로 모니터링해야 합니다. 데이터를 가져오는 사람은 서비스 또는 리셀러 프로그램의 전반적인 보안 수준을 실질적으로 낮춰서는 안 됩니다.


법적 계약 및 정책의 번역된 버전은 영어 버전을 보다 쉽게 읽고 이해할 수 있도록 편의용으로만 제공됩니다. 법적 계약과 정책의 번역은 법적으로 구속력이 있는 계약을 작성하기 위해 제공되는 것이 아니며, 영어 버전의 법적 유효성을 대체하지 않습니다. 분쟁이나 충돌이 발생하는 경우 항상 법적 계약과 정책의 영어 버전이 당사자의 관계에 적용되며 기타 모든 언어에 포함된 약관보다 우선적으로 적용됩니다.