데이터 프라이버시 협약

서증

아래 명시된 모든 부록을 포함하여 본 데이터 프라이버시 협약(본 ‘DPA’)은 협약에 명시된 Seagate 회사(‘Seagate’) 및 협약에 이름이 지정된 회사(‘회사’) (각각 ‘당사자’ 및 총칭하여 ‘당사자들’) 간에 체결됩니다.

회사는 Seagate와 하나 이상의 구매 주문서, 계약 및/또는 협약(작업 명세서 포함)(‘협약’)을 체결했으며, 이에 따라 회사는 협약에 더 구체적으로 설명된 바와 같이 Seagate에 특정 서비스를 제공하기로 동의했습니다(‘서비스’).

당사자들은 회사에서 Seagate를 위해 또는 Seagate를 대신하여 회사에 제공하거나 회사가 수집한 개인 데이터를 처리하는 것이 데이터 보호법 및 데이터 주체의 개인 데이터 수집, 사용, 보관과 관련된 요구사항을 준수하는 방식으로 수행되도록 보장하기 위해 이 DPA를 체결합니다.

본 DPA는 협약에 통합되고 협약의 일부를 구성합니다. 본 DPA에 정의되지 않은 모든 대문자 단어는 협약에 명시된 의미를 갖습니다.

당사자들은 다음과 같이 인정하고 동의합니다.

1. 정의
   1. ‘계열회사’는 대상 당사자를 지배하거나 대상 당사자에 의해 지배되거나 대상 당사자의 일반적인 지배 하에 있는 주체를 의미합니다.
   2. ‘지배’는 해당 법인의 당시 유통 중인 총 지분(완전 희석 기준으로 측정)의 50% 이상을 나타내는 소유권, 의결권, 그와 유사한 이해관계를 의미합니다. ‘지배되는’이라는 용어는 그에 따라 해석됩니다.
      
   3. ‘데이터 프라이버시 위반’은 Seagate 개인정보의 우발적 또는 불법적인 파기, 손실, 변경, 무단 공개, 접근, 획득, 또는 Seagate 개인정보의 기타 무단 처리를 의미합니다.
      
   4. ‘데이터 보호법’은 해당하는 경우 다음을 포함하여 해당 개인정보에 적용되는 전 세계의 모든 데이터 보호, 데이터 보안, 개인정보 보호법, 규칙, 규정을 의미합니다. (i) 유럽 데이터 보호법, (ii) 미국의 개인정보보호법을 포함하여 수시로 개정, 대체, 업데이트되는 미국의 모든 법률, 규칙, 규정, (iii) 개인 데이터의 특성에 적합한 해당 산업 표준.
   5. ‘유럽 데이터 보호법’은 다음을 포함한 유럽연합(‘ EU’) 또는 유럽경제지역(‘ EEA’)에 적용되는 모든 데이터 보호 법률 및 규정을 의미합니다.
      
      1. 일반 데이터 보호 규정 2016/679(‘EU GDPR’)
      2. 2018년 영국 유럽연합(탈퇴) 법 제3조 및 2018년 영국 데이터 보호법(‘영국 GDPR’)에 따라 영국 법률에 저장된 GDPR
      3. 1992년 6월 19일 스위스 연방 데이터 보호법 및 해당 조례(‘스위스 DPA’)
         
      4. 전자 통신 부문의 개인정보 처리 및 개인정보 보호에 관한 지침 2002/58/EC
         
      5. (i), (ii), (iii)의 해당 국가 시행.
         
   6. ‘데이터 주체’는 본 DPA에 따라 개인정보를 처리할 수 있는 식별된 또는 식별 가능한 자연인을 의미합니다.
      
   7. ‘ EU SCC’는 유럽의회 및 유럽이사회의 규정(EU) 2016/679에 따라 제3국으로 개인 데이터를 전송하기 위한 표준 계약 조항에 관한 2021년 6월 4일의 유럽연합 집행위원회 시행 결정 2021/914에 첨부된 계약 조항을 의미합니다.
   8. ‘개인 데이터’는 개인 데이터, 개인정보, 개인 식별 정보로 보호되는 정보 또는 데이터 보호법에 따라 유사하게 정의된 용어를 의미합니다.
   9. ‘처리하기’ 또는 ‘처리’는 Seagate 개인정보에 대해 수행되는 작업을 의미하며, 자동화된 수단을 사용하든 사용하지 않든 수집, 기록, 구성, 구조화, 변경, 사용, 접근, 공개, 배포, 복사, 전송, 저장, 기타 방식으로 보관, 삭제, 정렬, 결합, 제한, 조정, 검색, 컨설팅, 파기 또는 개인 데이터의 폐기 등의 작업을 의미합니다.
   10. ‘제한된 전송’은 다음을 의미합니다.
       1. EU GDPR이 적용되는 경우, EEA에서 유럽연합 집행위원회의 적정성 결정 대상이 아닌 EEA 외부 국가로의 개인 데이터 전송
          
       2. 영국 GDPR이 적용되는 경우, 영국에서 영국 데이터 보호법 2018 섹션 17A에 따른 적정성 규정의 적용을 받거나 이에 근거하지 않는 다른 국가로의 개인 데이터 전송
       3. 스위스 DPA가 적용되는 경우, 스위스에서 스위스 데이터 보호법에 따라 인정된 적정성 결정에 근거하지 않는 다른 국가로의 개인 데이터 전송.
   11. ‘Seagate 개인정보’는 Seagate 또는 Seagate를 위해 생성, 소유, 제공되는 개인 데이터, 개인 식별 정보 또는 데이터 보호법에 따라 개인정보로 보호되는 모든 정보를 의미하며, 회사가 당사자 및/또는 그 계열회사 간의 모든 계약과 관련하여 Seagate를 대신하여 접근, 획득, 사용, 유지 관리, 처리하는 정보를 의미합니다.
       
   12. ‘민감한 정보’는 다음 유형의 Seagate 개인정보를 의미합니다. (i) 주민등록번호, 납세자 식별 번호, 여권 번호, 운전면허증 번호 또는 기타 정부 발행 신분증 번호, (ii) 계좌 또는 신용 기록에 접근할 수 있는 코드 또는 비밀번호를 포함 또는 포함하지 않은 신용카드 또는 체크카드 상세 정보 또는 금융 계좌 번호, (iii) 인종, 종교, 민족, 성생활 또는 성행위 또는 성적 지향, 의료 또는 건강 정보, 유전 정보 또는 생체 정보, 생체 인식 템플릿, 정치적 또는 철학적 신념, 정당 또는 노동조합 회원, 신원조회 정보 또는 범죄 기록과 같은 사법 데이터 또는 기타 사법 또는 행정 절차에 관한 정보. 본 DPA의 목적상, 민감한 정보에는 해당 데이터 보호법에 따라 정의된 민감한 개인정보, 민감한 데이터, 유사하게 정의된 용어, EU GDPR 및 영국 GDPR에 정의된 특수 범주의 데이터, 스위스 DPA에 정의된 민감한 개인 데이터가 포함됩니다.
       
   13. ‘표준 조항’은 본 DPA의 섹션 3.1(i)(3)에 명시된 EU SCC, 영국 부록, 스위스 수정 사항을 의미합니다(해당하는 경우).
       
   14. ‘하도급 수탁처리자’는 회사 또는 Seagate 개인정보에 접근하거나 데이터를 수신하거나 처리하는 다른 하도급 수탁처리자가 고용한 제3자를 의미합니다.
       
   15. ‘감독 기관’은 데이터 보호법 준수를 관할하거나 감독하는 규제 기관, 감독 기관, 정부 기관, 주 기관, 법무 장관, 기타 권한 있는 기관을 의미합니다.
       
   16. ‘ 회사 직원’은 회사가 Seagate 개인정보를 처리하도록 승인한 회사 직원, 계약자, 하도급 수탁처리자, 대리인을 의미합니다.
   17. ‘영국 부록’은 수시로 업데이트되거나 개정되는 2018년 영국 데이터 보호법 S.119(A)에 따라 정보 커미셔너 사무국에서 발행한 국제 데이터 전송 부록(버전 B1.0)을 의미합니다.
   18. ‘ 미국 주 개인정보보호법’은 회사 개인 데이터에 적용되는 모든 데이터 프라이버시, 데이터 보호, 사이버 보안 법률, 규칙, 규정을 의미합니다.
   19. ‘ 컨트롤러’, ‘ 데이터 주체’, ‘처리자’, ‘ 비즈니스’, ‘비즈니스 목적’, ‘ 상업용 목적’, ‘ 수집’, ‘ 소비자’, ‘ 공유’, ‘판매’, ‘감독 권한’, ‘서비스 공급자’는 데이터 보호법에 명시된 의미를 갖습니다.
   20. ‘포함’이라는 단어는 제한 없는 포함을 의미하는 것으로 해석되며 동의어는 그에 따라 해석되어야 합니다.
2. 데이터 보안 및 보호
   1. 당사자의 지위 Seagate 개인정보와 관련하여 당사자들은 회사가 Seagate를 대신하여 해당 개인정보를 처리자로서 처리해야 함을 인정하고 이에 동의합니다. 회사는 협약 및 본 DPA에 명시된 대로 서비스를 제공하는 데 필요한 범위 내에서 개인 데이터를 처리하도록 지시합니다.
   2. CCPA 역할 . 2018년 캘리포니아 소비자 개인정보 보호법(캘리포니아 민법 §§ 1798.100 이하 참조(‘CCPA’) 및 캘리포니아 개인정보 보호권리법(‘CPRA’)에 의해 개정됨)의 목적에 따라, 회사는 사업체로서 Seagate의 지시에 따라 서비스 제공자로서 개인 데이터를 처리해야 합니다.
      
   3. Seagate 개인정보 비공개. 회사는 Seagate의 사전 서면 승인을 받지 않고 Seagate 개인정보를 어떠한 방식으로든 어떠한 목적으로든 제3자에게 공개할 수 없습니다. 단, 아래 섹션 2.5에 따라 하도급 수탁처리자에게 공개하는 경우는 예외입니다. 전항에 국한되지 않고 회사 또는 제3자의 상업적 이익을 위해 회사는 Seagate 개인정보를 제3자에게 판매하거나 공개할 수 없습니다. Seagate 개인정보 처리 권한이 있는 사람은 계약을 통해 해당 정보의 기밀을 유지하거나 기밀에 대한 적절한 법적 의무를 준수하는 데 동의해야 합니다.
   4. 처리 제한. 처리 제한. 회사는 협약에 따라 Seagate에 서비스를 제공하는 목적 및 Seagate의 문서화된 합법적 지침(‘허용된 목적’)에 따라서만 Seagate 개인정보를 처리해야 합니다. 이러한 목적을 위해 Seagate는 회사에 부록 I(전송의 설명)에 설명된 목적에 따라 Seagate 개인정보를 처리하도록 지시합니다. 회사는 당사자 및/또는 그 계열회사 간의 계약이나 Seagate의 기타 서면 지침에 따라 Seagate에 서비스를 제공하는 데 필요한 경우를 제외하고 Seagate 개인정보를 처리하거나 처리를 허용하지 않습니다.
   5. 처리 요건. 회사는 항상 다음과 같이 해야 합니다. (a) 허용된 목적을 위해서만 개인정보를 처리합니다. (b) 자체 목적 또는 제3자의 목적을 위해 개인 데이터를 처리하지 않습니다. 회사는 다음 행위를 해서는 안 됩니다. (i) 개인 데이터를 판매하거나 공유함. (ii) 계약에 따른 서비스를 수행하는 것 외의 상업적 목적을 위해 개인 데이터를 보관, 사용, 공개하는 것을 포함하여 허용된 목적 이외의 목적으로 개인 데이터를 보관, 사용, 공개함. (iii) Seagate와 회사 간의 직접적인 사업 관계 외부에서 개인 데이터를 보관, 사용, 공개함. 회사는 CCPA/CPRA에 따른 의무를 더 이상 이행할 수 없는 경우 Seagate에 통지해야 합니다. 회사는 이 섹션 2.5에 명시된 요건과 제한 사항을 이해하고 준수할 것이며 CCPA/CPRA에 따라 서비스 제공자에게 적용되는 요구 사항을 추가로 준수할 것임을 증명합니다. 또한, 당사자들은 당사자 간의 개인 데이터 교환이 판매를 구성하지 않으며 계약 또는 본 DPA와 관련하여 당사자 간에 교환되는 금전적 또는 기타 가치 있는 대가의 일부를 구성하지 않음을 인정하고 이에 동의합니다. 모든 경우에 있어서, 회사는 Seagate로부터 받은 개인정보를 회사가 다른 사람으로부터 또는 다른 사람을 대신하여 받는 개인정보 또는 회사와 소비자 간의 상호 작용을 통해 수집한 개인정보와 결합하지 않습니다. Seagate와 회사 모두 CCPA/CPRA에 명시된 요구 사항을 읽고 이해했음을 확언합니다.
   6. 정보 보안 프로그램. 공급업체는 보안, 기밀성, 무결성에 대해 예상되는 위협 또는 위험(무단 접근, 수집, 사용, 복사, 수정, 처분 또는 공개, 무단, 불법 또는 우발적인 손실, 파괴, 획득 또는 손상 또는 기타 승인되지 않은 양식의 처리)으로부터 Seagate 개인정보를 보호할 수 있는 적절한 행정적, 기술적, 물리적 안전장치가 포함된 포괄적인 서면 정보 보안 프로그램을 구현, 유지, 모니터링하고 필요한 경우 업데이트합니다(‘정보 보안 프로그램’). 정보 보안 프로그램에는 부록 II에 첨부된 보안 표준에 나열된 요건 및 조치가 포함됩니다.
   7. 하도급 수탁처리자에 대한 제한 사항 회사는 본 섹션 2.7에 명시된 조건에 따라 Seagate에 대한 서비스 수행에 필요한 경우 Seagate 개인정보를 하도급 수탁처리자에게 공개할 수 있습니다. 회사는 Seagate 개인정보를 공개할 하도급 수탁처리자 목록을 유지 관리해야 하며 Seagate에서 요청할 경우 해당 목록을 Seagate에 제공합니다. 협약 발효일 현재, 해당되는 경우, 회사의 하도급 수탁처리자에 대한 최신 목록은 협약 또는 회사에서 Seagate에 제공하고 양 당사자가 서명한 기타 문서에 포함되어 하도급 수탁처리자 목록을 명시합니다. 회사는 [email protected]을 통해 하도급 수탁처리자를 목록에 추가하기 전 영업일 기준 최소 30일 이내에 Seagate에 이를 알려야 합니다. Seagate가 통지 접수 후 30영업일 이내에 하도급 수탁처리자 제안에 이의를 제기하지 않는 경우 하도급 수탁처리자는 승인된 것으로 간주됩니다. Seagate에서 Seagate 개인정보에 접근할 수 있는 하도급 수탁처리자에 이의를 제기하는 경우 회사는 하도급 수탁처리자에게 Seagate 개인정보를 공개하지 않아야 합니다. 어느 당사자라도 하도급 수탁처리자가 처리 중인 Seagate 개인정보와 관련된 위험을 방지할 수 있는 적절한 보안을 충분히 제공하지 못하다는 점을 발견한 경우, Seagate는 단독 재량으로 해당 하도급 수탁처리자를 목록에서 삭제할 수 있습니다. Seagate가 하도급 수탁처리자에 이의를 제기하거나 삭제할 경우, 회사는 해당 하도급 수탁처리자를 대체할 수 있도록 합당한 시간을 제공받게 됩니다. 회사가 이의 제기를 받은 하도급 수탁처리자에게 Seagate 개인정보를 공개하지 않고서는 서비스를 제공할 수 없을 경우, Seagate는 회사에 대한 부채 또는 법적 책임 없이 당사자 및/또는 그 계열회사 간 해당 협약을 해지할 수 있습니다.
   8. 하도급 수탁처리자의 규정 준수 및 위반 회사가 하도급 수탁처리자를 사용한다고 해서 회사의 DPA 또는 해당 데이터 보호법 준수 의무가 감소하지는 않습니다. 회사는 하도급 수탁처리자에 의한 서비스 이행, 데이터 프라이버시 위반 및 본 DPA 및 해당 데이터 보호법 위반과 관련하여 회사가 위반한 것과 동일하게 Seagate에 대한 책임을 부담합니다.
      
   9. 회사 직원 및 하도급 수탁처리자의 의무 회사는 Seagate 개인정보에 접근할 수 있는 모든 개인 또는 하도급 수탁처리가 본 DPA에 명시된 조건과 최소한 동일하게 제한적인 조건을 포함하는 서면 협약을 체결하도록 보장해야 합니다. 회사는 모든 개인정보 및 데이터 보호 의무가 Seagate의 데이터 처리 종료 후에도 지속된다는 사실을 확실히 해야 합니다. 해당 의무는 영구적으로 또는 최소한 회사가 모든 Seagate 개인정보를 삭제, 파기하고 복구 불가 상태임을 인증할 때까지 지속됩니다.
   10. 제한된 접근. 회사는 Seagate 개인정보에 대한 접근을 회사가 당사자 및/또는 그 계열사 간 계약 또는 Seagate의 서면 지침에 따른 의무를 이행하기 위해 접근이 필요한 회사 직원 또는 하위 처리자로 제한해야 하며, 해당 직원 또는 하도급 수탁처리자는 (a) 데이터 보호 및 보안 요구 사항에 대한 교육을 이수했고 (b) Seagate에서 처리하는 동안 및 처리 후에 Seagate에서 요구하는 요건과 최소한 동일하게 제한적인 데이터 기밀 요구 사항을 준수하는 데 동의해야 합니다.
       
   11. 요청 또는 불만 사항 통지. 법으로 금지되어 있지 않는 한, 회사는 다음을 포함하여 Seagate 개인정보 처리와 관련된 요청 또는 불만 사항을 접수한 후 영업일 기준 2일 이내에 [email protected]로 Seagate에 통지해야 합니다.
       1. 데이터 가용성, 접근, 변경, 삭제 또는 제한에 대한 데이터 주체의 요청 및 이와 유사한 요청, 또는
       2. 데이터 처리가 데이터 주체의 권리를 위반한다는 불만 또는 주장
   12. 회사의 대응 . 회사는 Seagate가 명시적으로 허용하지 않는 한, 섹션 2.11에 따라 어떤 요청이나 불만 사항에 대해서도 대응해서는 안 됩니다. 회사는 삭제 요청을 포함하나 이에 국한되지 않는, 수령된 요청 또는 불만 사항과 관련하여 취하는 조치에 대해 Seagate와 협력해야 합니다. 법으로 금지되어 있지 않는 한, 회사는 요청 또는 불만 사항에 대응하는 데 있어 Seagate를 보조하기 위한 적절한 처리 절차(기술적 및 조직적 조치 포함)를 이행하기 위해 노력해야 합니다.
   13. 정보 공개 요청 법으로 금지되어 있지 않는 한, 회사는 Seagate 개인정보 공개를 요청하거나 강제 요청을 주장하는 문서(구두 문의, 질문서, 법적 소송을 위한 정보 또는 문서 요청, 소환장, 민간 조사 요구사, 기타 유사한 요청 또는 처리. 총칭하여 ‘공개 요청’)를 수령하는 경우 즉시 이를 Seagate에 알려야 합니다. 공개 요청이 법적 구속력이 없는 경우 회사는 대응하지 않습니다. 공개 요청이 법적 구속력이 있는 경우, 회사는 준거법에 의해 금지되어 있지 않는 한 적어도 대응하기 48시간 전에 이를 Seagate에 통지하여 Seagate가 공개를 방지 또는 제한할 권한을 행사할 수 있도록 해야 합니다. 회사는 정보 공개를 방지 및 제한하고 Seagate 개인정보의 기밀성을 유지하기 위해 합당한 노력을 다해야 합니다. 회사는 적절한 보호 명령이나 Seagate 개인정보의 기밀성 유지를 위한 보장을 받는 데 협력하는 등, 공개 요청에 대한 조치와 관련하여 Seagate와 협력해야 합니다.
       
   14. 협조. 회사는 다음과 관련하여 데이터 보호법에 따른 의무를 이행하는 데 있어 Seagate에게 협조해야 합니다: (a) 등록 및 통지, (b) 책임, (c) Seagate 개인정보 보안성 보장, (d) 개인정보 보호 및 데이터 보호 영향 평가(데이터 보호법에 따른 감사 및 위험 평가 포함) 및 관련 감독 기관 협의 이행.
       
   15. 규제 조사 참여. 회사는 감독 기관의 조사에 대해 회사 또는 회사의 하도급 수탁처리자가 처리하는 Seagate 개인정보와 관련된 범위까지 Seagate를 지원하고 보조해야 합니다.
   16. 위반 또는 이행 불능의 가능성에 대한 통지. 회사는 다음과 같은 경우 즉시 Seagate에 통지해야 합니다.
       1. Seagate 개인정보 처리와 관련하여 공급업체가 Seagate로 받은 지시가 준거법을 위반한다고 회사에서 믿을 만한 이유가 있는 경우
       2. 본 DPA 또는 데이터 보호법에 따른 의무를 준수하기 어려우며 합당한 시간 내에 이러한 이행 불능 상태를 해결할 수 없다고 회사에서 믿을 만한 이유가 있는 경우
       3. 본 DPA에 따른 의무를 이행하기 어렵도록 만들 수 있는 상황 또는 준거법의 변경이 있음을 회사에서 알게 된 경우
   17. 규정 준수에 대한 유예 또는 조정. Seagate는 준거법, 본 DPA 또는 개인정보 또는 데이터 보호와 관련된 당사자 및/또는 그 계열회사 간 해당 협약의 잠재적 위반 또는 불응을 방지하기 위해 회사 또는 하도급 수탁처리자의 Seagate 개인정보 처리를 중단할 수 있습니다. 회사는 위반 또는 이행 불능 가능성을 교정하기 위해 Seagate의 정보 처리 조정에 협조해야 합니다. 조정할 수 없을 경우, Seagate는 회사에 대한 부채 또는 법적 책임 없이 당사자 및/또는 그 계열회사 간 해당 협약을 해지할 수 있습니다.
3. 데이터 전송
   1. 유럽경제지역, 영국, 스위스 표준 조항.
      1. 당사자들은 Seagate에서 회사로의 Seagate 개인정보 전송이 제한된 전송인 경우 해당 표준 조항이 적용되며, 이는 참조에 의해 자동으로 통합되며 아래에 명시된 바와 같이 본 DPA의 필수적인 부분을 형성한다는 데 동의합니다.
         1. EU GDPR에 의해 보호되는 Seagate 개인정보와 관련하여 EU SCC는 다음과 같이 적용됩니다.
            1. Seagate는 데이터 수출업체가 되고 회사는 데이터 수입업체가 됩니다.
               
            2. 모듈 2(C2P)가 적용됩니다.
               
            3. 7항의 경우 선택적 도킹 조항이 적용됩니다.
               
            4. 모듈 2(C2P)의 9절에서는 옵션 2가 적용되며 하도급 수탁처리자 변경에 대한 사전 통지 기간은 본 DPA의 섹션 7에 명시된 대로입니다.
               
            5. 11항의 경우, 선택적 언어는
            6. 17항에는 적용되지 않습니다.
               1. 모듈 2(C2P)의 경우 옵션 1이 적용됩니다.
                  
               2. EU SCC는 아일랜드 법률의 적용을 받습니다.
                  
            7. 18(b)항의 경우, 분쟁은 아일랜드 법원에서 해결되어야 합니다.
               
            8. EU SCC의 부록 I은 본 DPA의 부록 I에 명시된 정보로 완료된 것으로 간주됩니다.
            9. EU SCC의 부록 II는 본 DPA의 부록 II에 명시된 정보로 완료된 것으로 간주됩니다.
         2. 영국 GDPR에 의해 보호되는 데이터와 관련하여 EU SCC는 다음을 준수해야 합니다. (i) 위의 (1)항에 따라 완료된 대로 적용됩니다. (ii) 영국 부록에 명시된 대로 수정된 것으로 간주되고, 당사자들에 의해 시행되는 것으로 간주되며 본 DPA에 통합되어 본 DPA의 불가분의 일부를 형성합니다. EU SCC 조건과 영국 부록의 조건이 상충하는 경우 영국 부록 10항 및 11항에 따라 해결해야 합니다. 또한 영국 부록 1부의 표 1~3은 본 DPA의 부록 I 및 II에 명시된 정보로 각각 작성되며, 1부의 표 4는 어느 당사자도 선택하지 않은 것으로 간주됩니다.
         3. 스위스 DPA에 의해 보호되는 Seagate 개인정보와 관련하여 위의 단락 (1)에 따라 구현된 EU SCC는 다음과 같은 경우에 적용됩니다.
            1. EU SCC에서 규정(EU) 2016/679 또는 GDPR에 대한 언급은 스위스 연방 데이터 보호법(FADP)에 대한 언급으로 해석됩니다.
               
            2. EU, 연합, 회원국 법률에 대한 언급은 경우에 따라 스위스 및 스위스 법률에 대한 언급으로 해석됩니다.
               
            3. '회원국'이라는 용어는 스위스의 데이터 주체가 일상적 거주지(스위스)에서 권리를 위해 소송을 제기할 가능성을 배제하는 방식으로 해석되지 않습니다.
               
            4. EU SCC 조항은 개정된 FADP가 발효될 때까지 법인의 데이터를 보호하는 것으로 해석되어야 합니다.
               
            5. 관할 감독 기관 및 관할 법원에 대한 언급은 스위스 연방 데이터 보호 및 정보 커미셔너(FDPIC) 및 스위스의 관할 법원에 대한 언급으로 해석됩니다.
               
         4. 본 DPA 또는 협약의 조항이 직접적 또는 간접적으로 표준 조항과 충돌하는 경우 표준 조항이 우선합니다.
         5. 해당되는 경우 회사는 하도급 수탁처리자도 표준 조항을 이행하는지 확인해야 합니다.
      2. 대체 전송 메커니즘: 회사에서 본 DPA에 기술되지 않은 대체 데이터 내보내기 메커니즘(해당 유럽 데이터 보호법에 따라 채택된 표준 조항의 새로운 버전 또는 후속 버전 포함)을 개인 데이터 전송에 채택하는 경우(대체 전송 메커니즘), 대체 전송 메커니즘은 본 DPA에 기술된 적용 가능한 전송 메커니즘 대신 적용됩니다(단, 해당 대체 전송 메커니즘이 (i) 유럽 데이터 보호법을 준수하고, (ii) 개인 데이터가 전송되는 지역까지 확장되고, (iii) 아래의 통지 고려 사항을 충족하는 범위 내에서만 해당). 또한 (iv) 회사는 해당 대체 전송 메커니즘에 법적 효력을 부여하기 위해 합리적으로 필요한 기타 추가 문서를 실행하고 기타 추가 조치를 취합니다. 또한, 관할 법원이나 구속력 있는 권한을 가진 감독 기관에서(어떤 이유로든) 이 DPA에 설명된 조치로는 해당 Seagate 개인정보를 합법적으로 전송할 수 없다고 명령하거나 판단하는 경우, Seagate는 아래에 설명된 통지 고려 사항에 따라 회사가 해당 Seagate 개인정보의 합법적 전송을 가능하게 하기 위해 합리적으로 필요할 수 있는 추가 조치나 안전 장치를 구현할 수 있음을 인정하고 동의합니다. 통지 고려 사항에 따라 회사는 대체 전송 메커니즘이나 추가 조치를 시행하기 최소 30일 전에 [email protected]으로 Seagate에 통지해야 합니다. Seagate가 통지를 수령한 후 영업일 기준 30일 이내에 제안된 대체 전송 메커니즘 또는 추가 조치에 이의를 제기하지 않는 경우 대체 전송 메커니즘 또는 조치는 승인된 것으로 간주됩니다. Seagate가 그러한 대체 전송 메커니즘 또는 추가 조치에 이의를 제기하는 경우, 회사는 해당 대체 전송 메커니즘 또는 추가 조치를 활용하지 않아야 합니다. Seagate가 대체 전송 메커니즘 또는 추가 조치에 이의를 제기하는 경우, Seagate는 단독 재량으로 회사에 대한 비용이나 책임 없이 당사자 및/또는 그 계열회사 간의 해당 협약을 종료할 수 있습니다.
      3. 데이터 내보내기 요건이 있는 국가로의 전송. 데이터 보호법에서 Seagate 개인정보를 회사(하도급 수탁처리자 포함)로 전송하는 것을 허용하기 위해 해당 데이터 내보내기 제한과 관련하여 추가 조치를 취해야 하는 경우, 회사는 필요한 동의 또는 해당 데이터 전송 협약(예: 표준 협약 조항) 또는 대체 솔루션을 실행하여 해당 데이터 전송에 대한 적절한 보호 장치가 마련되어 있는지 확인합니다.
   2. 기타 사법 규정 해당되는 경우, 회사는 부록 III에 첨부된 특정 관할 구역의 요건을 준수해야 합니다.
      
4. 규정 준수 및 책임
   1. 규정 준수. 회사는 회사 및 하도급 수탁처리자가 Seagate 개인정보 처리에 있어 준거법, 자체 규제 프레임 워크 및 공급업체 및 하도급 수탁처리자에 적용되는 협약 요건을 준수하는지 확인해야 합니다. 회사는 회사와 하도급 수탁처리자의 관행을 매년 검토하여 본 DPA와 모든 준거법을 준수하는지 확인해야 합니다. 회사는 회사에서 본 DPA에 명시된 데이터 보호 및 보안 조건을 준수하는지 입증하라는 Seagate의 요청이 있는 경우 자체적으로 비용을 부담하여 이에 협조해야 합니다.
   2. 처리 활동 기록 회사는 회사 대표 및 데이터 보호 책임자, 수행된 데이터 처리 활동의 범주, 국외 데이터 전송 관련 정보, 처리된 데이터와 관련하여 시행된 보안 조치의 개괄적 설명, Seagate 개인정보 하도급 수탁처리자 각각의 이름, 연락처 및 데이터 처리 상세 정보, 해당되는 경우 하도급 수탁처리자 대표 및 데이터 보호 책임자에 관한 상세 정보 기록을 최신 상태로 유지합니다. 요청 시 회사는 이 기록의 과거 및 현재 사본을 Seagate 또는 감독 기관에 제공합니다.
      
   3. 감사. 회사는 서면 요청이 있을 경우 Seagate에 이 DPA 및 데이터 보호법 준수를 입증하는 데 필요한 모든 정보를 제공해야 하며, Seagate 개인정보 처리와 관련하여 Seagate 또는 독립적인 제3자 감사 또는 Seagate가 위임한 감사(현장 검사 포함)를 허용하고 이에 기여해야 합니다. 독립적인 제3자 감사 업체는 당사자와 비공개 협약을 체결해야 합니다. 회사는 합당한 시간 내에 규정 비준수를 해결해야 합니다. 이를 해결할 수 없는 경우, Seagate는 회사에 대한 부채 또는 법적 책임 없이 당사자 및/또는 그 계열회사 간 해당 협약을 해지할 수 있습니다.
      
5. 데이터 프라이버시 위반 후 회사의 책임
   1. 데이터 프라이버시 위반 통지 회사는 데이터 프라이버시 위반 가능성을 처음 알게 된 후 24시간 내에 알려지거나 의심스러운 보안 위반에 대해 서면으로 Seagate에 통지하고 즉시 다음과 같은 조치를 취해야 합니다.
      1. [email protected]을 통해 데이터 프라이버시 위반에 대해 Seagate에 통지
      2. 데이터 프라이버시 위반 사건을 조사하거나 조사에 필요한 도움을 제공
         
      3. Seagate에 관련 데이터 주체의 범주, 위치 및 대략적인 수, 및 Seagate 개인정보 기록의 범주, 위치 및 대략적인 수를 포함하나 이에 국한되지 않는 데이터 프라이버시 위반에 관한 세부 정보를 제공하고 데이터 프라이버시 위반에 관한 추가 정보가 있을 경우 즉시 Seagate에 관련 정보 제공
      4. 데이터 프라이버시 위반 사건의 영향을 완화하기 위해 상업적으로 합리적인 모든 단계를 취하거나 이를 위해 Seagate를 도움
      5. Seagate의 승인 여부에 따라 구제 계획을 시행하고 시기적절하게 적합한 시정 조치를 취할 수 있도록 데이터 프라이버시 위반 및 Seagate 개인정보 관련 취약성의 해결을 모니터링
   2. 제지 및 해결. 회사는 데이터 프라이버시 위반을 즉시 제지 및 해결하고 추가적인 데이터 프라이버시 위반을 방지해야 합니다. 회사는 데이터 프라이버시 위반을 제지 및 해결하기 위해 해당 데이터 보호법 및 산업 표준을 준수하기 위한 모든 조치를 취해야 합니다.
   3. 커뮤니케이션. 회사는 Seagate의 사전 승인 없이는 Seagate임을 식별하거나 식별할 가능성이 있거나 Seagate의 신분을 노출시키는 방식으로 데이터 프라이버시 위반과 관련된 커뮤니케이션을 해서는 안 됩니다.
   4. 증거 보존. 회사는 사고 대응책을 유지 관리해야 합니다. 데이터 프라이버시 위반을 발견한 경우, 회사는 위반과 관련된 증거를 보존하고 회사의 사고 대응책에 따라 명확한 명령 체계를 유지해야 합니다.
   5. 협조. 회사는 Seagate 개인정보의 이용, 공개, 보호, 유지 관리와 관련된 Seagate의 권리를 보호하기 위해 Seagate가 요구하는 소송, 조사, 기타 조치에 있어 Seagate에게 협조해야 합니다. 회사는 데이터 프라이버시 위반에 대한 수정, 구제, 조사 및/또는 잠재적 손해의 완화를 위해 Seagate 및/또는 Seagate의 지정 대리인이 요청한 합당한 지원 및 협력을 제공하기로 동의합니다. 여기에는 Seagate가 영향을 받는 데이터 주체, 규제 기관 또는 제3자에게 보내는 것이 적절하다고 판단한 모든 통지 및/또는 Seagate가 영향을 받는 데이터 주체에 제공하는 것이 적절하다고 판단하는 신용보고 서비스 제공이 포함됩니다. 회사는 조사, 수정, 통지를 포함하되 이에 국한되지 않는, 회사 데이터 프라이버시 위반과 관련된 Seagate의 합당한 비용에 대한 책임을 부담합니다.
6. SEAGATE 개인정보의 반환 및 안전한 삭제
   1. 데이터 무결성. 회사는 다음을 비롯하여 데이터 무결성을 유지하기 위한 Seagate의 모든 지침을 준수해야 합니다: (a) 회사가 유지 관리하지만 더 이상 서비스 제공에 필요하지 않은 Seagate 개인 정보를 폐기. 단, 데이터 보호법에 따라 Seagate 개인정보 보관이 요구되는 경우는 제외, (b) 회사가 Seagate를 대신하여 만든 Seagate 개인정보가 정확하고 최신 상태인지 확인, (c) Seagate의 요청에 따라 모든 해당 법률에 의거하여 Seagate가 모든 Seagate 개인정보에 접근할 수 있도록 허용.
      
   2. Seagate 개인정보의 반환 및 삭제 (a) Seagate의 요청 또는 (b) Seagate 개인정보 처리와 관련된 당사자 및/또는 그 계열회사 간 계약의 만료 또는 조기 종료 중 빠른 시점에 Seagate의 지시에 따라 회사는 Seagate 개인정보를 내보내거나 Seagate 또는 Seagate의 제3자 지정자에게 Seagate에서 정한 기계 판독 및 상호 운용 가능한 형식으로 모든 Seagate 개인정보를 내보낼 수 있는 권한을 제공해야 하며, 하도급 수탁처리자에게도 그렇게 하도록 지시해야 합니다. 다만, 데이터 보호법에 따라 Seagate 개인정보를 보관해야 하는 경우는 예외입니다. 회사는 Seagate가 별도의 비용을 부담하지 않고 Seagate 데이터에 완전히 접근하고 내보내는 데 필요하다고 Seagate에서 정하는 기간 동안 Seagate 개인정보를 유지 관리해야 합니다. 각 당사자는 Seagate 개인정보를 마이그레이션할 담당자를 지명하고 시의적절하고 원활한 전송을 위해 신의성실의 원칙으로 신속하고 근면하게 작업해야 합니다. Seagate가 (a) Seagate 개인정보의 올바른 수신 및 이전 확인 또는 (b) 회사에 Seagate 개인정보의 이전 취소 통지 후 90일 이내에 회사 및 하도급 수탁처리자는 모든 Seagate 개인정보를 안전하게 파기하고, Seagate의 작업 공간 식별자를 연결 해제하고, 새로운 데이터로 덮어쓰거나, 그렇지 않으면 승인된 데이터 삭제 방법을 사용하여 Seagate 개인정보를 파기해야 합니다.
   3. Seagate 개인정보 파기 회사에서 Seagate 개인정보가 포함된 종이, 전자 기록, 기타 기록을 폐기하는 경우, 회사는 Seagate 개인 정보의 민감성에 따라 Seagate 개인정보를 파기하기 위한 모든 합리적인 조치를 취합니다. 단, 다음과 같은 경우 데이터 보호법에 따라 Seagate 개인정보를 보관해야 하는 경우는 예외입니다. (a) 파쇄, (b) 영구적으로 지우고 삭제, (c) 자기소거, 또는 (d) 해당 기록에 있는 Seagate 개인정보를 읽을 수 없고, 재구성할 수 없으며, 해독할 수 없도록 수정. 회사에서 Seagate 개인정보 사본이 들어 있는 드라이브 사용을 중단하거나 이를 폐기하는 경우에는 NIST 800-88 개정 1에 따라 드라이브를 안전하게 파쇄하거나 파기하여 Seagate 개인정보가 읽을 수 없이 폐기되도록 처리해야 합니다. 회사는 드라이브를 파쇄하거나 파기했으며 Seagate 개인정보를 읽거나 불러 오거나 달리 재구성할 수 없게 되었음을 서면으로 확인해야 합니다.
   4. 보존에 대한 통지. 회사에서 본 DPA에 따라 허용된 기간이 지나도 Seagate 개인정보를 보유할 법적 의무가 있는 경우에는 그러한 의무에 대해 서면으로 Seagate에 알려야 하고, 회사의 법적 의무를 이행하기 위해 해당 정보를 보유하는 것 외에는 Seagate 개인정보를 더 이상 처리할 수 없으며, 법정 보존 기간이 끝난 후에는 최대한 빨리 Seagate 개인정보를 반환 또는 파기해야 합니다. 본 DPA는 회사가 Seagate 개인정보에 대한 보관, 통제, 접근을 중단할 때까지 유효합니다.
   5. 문서. 회사는 본 DPA와 관련된 Seagate 개인정보의 보존 또는 처분에 대한 내용을 문서화해야 합니다. Seagate의 요청이 있을 경우, 회사는 보존 문서 및 본 DPA에 따라 Seagate 개인정보가 안전하게 파기되었다는 서면 증서를 제공해야 합니다.
7. 기타
   1. 조항. 본 DPA는 (i) 당사자 간 다른 유효한 협약이 없고 (ii) 회사에서 Seagate 개인정보에 대한 보관, 통제, 접근을 중단할 때까지 유효합니다. 회사는 협약에 명시된 바와 같이 관계가 종료될 때까지 Seagate 개인정보를 처리합니다. 본 DPA에 따른 회사의 의무와 Seagate의 권리는 회사에서 Seagate 개인정보를 처리하는 한 계속 유효합니다.
      
   2. 우선 순위 본 DPA와 당사자 및/또는 그 계열회사 간의 협약 간에 불일치 사항이 있는 경우, 본 DPA의 조항이 우선합니다. 단, 부록 II(보안 표준)와 관련된 불일치 사항은 예외로 하며, 다른 협약의 보안 표준본 부록 II에 명시된 최소 요건에 추가되는 범위 내에서 다른 협약이 우선합니다. 본 DPA는 표준 조항을 제한하거나 제약하지 않으며, 단지 이를 보완하는 것으로 간주하여야 합니다.
   3. 업데이트. 회사는 관련 법률 및 규정을 준수하기 위해 필요에 따라 본 DPA를 업데이트하기 위해 합리적으로 협력합니다.
      
   4. 제3의 수혜자. Seagate의 계열회사는 본 DPA 규정에 따른 제3의 수혜자로서, 본 협약의 서명자처럼 본 DPA의 조건을 이행할 수 있습니다. 또한 Seagate는 계열회사가 별도로 회사에 대해 법적 조치를 취하도록 하지 않고 계열회사를 대신하여 본 DPA 조항을 이행할 수 있습니다.
   5. 감독 기관에 대한 DPA 공개 Seagate는 본 DPA의 요약본 또는 사본을 감독 기관에 제공할 수 있습니다.
      
   6. 분리 본 DPA의 조항이 효과가 없거나 또는 유효하지 않은 경우, 이는 나머지 조항에 영향을 미치지 않습니다. 당사자는 효과가 없거나 유효하지 않은 조항을 효과가 없거나 유효하지 않은 조항의 목적을 반영하는 합법적인 조항으로 대체해야 합니다. 필요한 조항이 누락된 경우, 당사자는 신의성실의 원칙으로 적절한 조항을 추가해야 합니다.
   7. 해석. 본 DPA의 제목은 참조용이며 본 협약의 해석에 영향을 미치지 않습니다.
      

부록 I

데이터 처리 설명

본 부록 I은 표준 조항의 일부를 구성합니다.

모듈 2: 전송 – 컨트롤러에서 처리자에게로(Seagate 개인정보 관련)(C2P)

A. 당사자 목록

 

데이터 내보내기 업체
이름 및 주소	계열회사 및 자회사를 대신하여 서명하는 Seagate Technology LLC 47488 Kato Road, Fremont, CA, 94538
담당자 이름 및 연락처 세부 정보	Seagate Technology LLC, 계열회사 및 자회사를 대신하여 서명하는 47488 Kato Road, Fremont, CA, 94538 [email protected]
이 표준 조항에 따라 전송된 데이터와 관련된 활동	계열회사 및 자회사를 대신하여 협약을 체결하는 Seagate Technology LLC는 다양한 산업 분야의 비즈니스 프로세스를 지원하는 하드웨어 제품 및 소프트웨어 솔루션과 서비스의 제공업체입니다.
서명 및 날짜:	본 DPA를 통합하는 협약을 체결함으로써 데이터 내보내기 업체는 협약 발효일을 기준으로 부록을 포함하여 여기에 통합된 표준 조항에 서명한 것으로 간주됩니다.
데이터 내보내기 업체의 역할(컨트롤러/처리자):	본 DPA의 섹션 2.1(당사자 상태)에 명시되어 있습니다.

 

데이터 가져오기 업체
이름 및 주소	회사 이름 및 주소(협약에 명시된 대로)
담당자 이름, 직책, 연락처 세부 정보:	회사 이름 및 주소(협약에 명시된 대로)
이 표준 조항에 따라 전송되는 데이터와 관련된 활동:	회사는 협약에 설명된 대로 데이터 내보내기 업체에 서비스 및 지원을 제공하는 서비스 공급업체입니다.
서명 및 날짜:	본 DPA를 통합하는 협약을 체결함으로써 데이터 가져오기 업체는 협약 발효일을 기준으로 부록을 포함하여 여기에 통합된 표준 조항에 서명한 것으로 간주됩니다.
데이터 가져오기 업체 역할	본 DPA의 섹션 2.1(당사자 상태)에 명시되어 있습니다.

 

B. 전송에 대한 설명

 

데이터 주체의 범주	전송되는 개인 데이터는 다음 범주의 데이터 주체와 관련될 수 있습니다. - 과거와 현재의: o Seagate의 직원, 고문, 컨설턴트, 공급업체, 협약자, 하도급업체, 대리인 o Seagate의 비즈니스 파트너 및 잠재적 비즈니스 파트너와 그 직원, 파트너, 고문, 컨설턴트, 공급업체, 협약자, 하도급업체, 대리인 o 잠재적인 마케팅 리드 및 과거 및 현재의 소비자 o Seagate의 과거 및 현재의 고객과 그 직원, 파트너, 고문, 컨설턴트, 공급업체, 협약자, 하도급업체, 대리인
전송된 개인 데이터의 범주	Seagate가 회사에 제공하거나 Seagate를 대신하여 제공한 개인 데이터 또는 회사가 수집한 개인 데이터로, 회사가 계약에 따라 Seagate에 서비스를 제공하는 데 필요한 데이터 주체 범주와 관련이 있고, Seagate의 문서화된 합법적 지침에 따라 제공되며, 이름, 성, 이메일 주소, 회사 주소, 전화번호, Seagate에서 제공한 기타 개인 데이터 등의 연락처 정보가 포함될 수 있습니다.
전송되는 민감한 데이터(해당하는 경우) 및 데이터의 특성 및 관련 위험을 충분히 고려하여 적용되는 제한 사항 또는 보호 장치**	협약에 명시된 대로
전송 빈도	협약 또는 당사자 간의 문서에 달리 명시되지 않는 한 지속됨.
처리/처리 활동의 특성	협약에 설명된 대로.
데이터 전송 및 처리 목적	관련 협약에 따른 서비스 제공.
개인 데이터가 보존되는 기간 또는 보존할 수 없는 경우 해당 기간을 결정하는 데 사용되는 기준	개인 데이터는 다음과 같이 보존됩니다. (a) 본 DPA의 섹션 6.2(Seagate 개인정보의 반환 및 삭제)에 따름 또는 (b) 법률에 따라 달리 요구되는 바에 따름 또는 (c) 협약 또는 관련 서비스에 적용 가능한 관련 정보가 포함된 당사자 간의 다른 문서에 명시된 기간 동안 중 더 긴 기간이 선택됩니다.
하도급 수탁처리자에게 전종하는 경우 처리 주제, 성격, 기간도 명시됩니다.	회사는 당사자 간에 합의된 계약 또는 추가 문서에 해당 정보가 별도로 명시되어 있지 않은 경우 하ㄷ급 수탁처리자에게 전송하는 처리의 주제, 성격, 기간을 [email protected]으로 제공해야 합니다.

 

C. 관할 감독 기관

 

EU SCC 제13조에 따라 관할 감독 기관은 (i) 데이터 내보내기 업체가 설립된 EEA 국가에 적용되는 감독 기관이거나, (ii) 데이터 내보내기 업체가 EEA에 설립되지 않은 경우, EU GDPR 제27조(1)항에 따라 데이터 내보내기 업체의 EU 대표가 임명된 EEA 국가에 적용되는 감독 기관이거나, (iii) 데이터 내보내기 업체가 대표를 임명할 의무가 없는 경우, 데이터 전송과 관련된 데이터 주체가 있는 EEA 국가에 적용되는 감독 기관입니다. 영국 GDPR이 적용되는 개인 데이터 처리와 관련하여 관할 감독 기관은 정보 커미셔너 사무국(‘ICO’)입니다. 스위스 DPA가 적용되는 개인 데이터 처리와 관련하여 관할 감독 기관은 스위스 연방 데이터 보호 및 정보 커미셔너입니다.

 

부록 II

보안 표준

본 부록 II는 표준 조항의 일부를 구성합니다.

본 부록 II는 회사에서 취할 최소 보안 조치를 나타냅니다. 당사자 간 협의에서 회사의 보다 높은 수준 또는 더 광범한 보안 조치가 요구되면 회사는 해당 조건을 준수합니다. 회사는 회사에 접근 권한이 주어진 Seagate 개인정보 및 기타 산업 표준에 따른 데이터를 보호하기 위해 고안된 다양한 정책, 표준, 절차(예: NIST 사이버보안 프레임워크 및 ISO 27001 또는 27002)를 유지 관리하고 시행해야 합니다.

1. 정보 보안 정책 및 표준 회사는 Seagate 개인정보에 접근할 수 있는 직원 및 모든 하도급자, 회사, 대리인에 대해 다음과 같은 목적으로 고안된 보안 요건을 구현해야 합니다.
   1. 인가되지 않은 자의 Seagate 개인정보 처리 시스템 접근 권한 획득 방지(물리적 접근 제어)
   2. Seagate 개인정보 처리 시스템 무단 사용 방지(논리적 접근 제어)
   3. Seagate 개인정보 처리 시스템 사용이 승인된 자는 승인된 접근 권한에 따라서만 Seagate 개인정보에 대해 접근할 수 있고, 처리 또는 사용 중 및 저장 후 Seagate 개인정보가 승인 없이 읽기, 복사, 수정, 삭제가 불가능하도록 함(데이터 접근 제어)
   4. Seagate 개인정보가 승인 없이 전자적 전송, 이동, 저장 중 읽기, 복사, 수정, 삭제가 불가능하며, 데이터 전송 시설을 통해 Seagate 개인정보를 전송하려는 대상 엔티티의 설정 및 확인이 가능하도록 함(데이터 전송 제어)
   5. Seagate 개인정보 처리에 Seagate 개인정보가 입력, 수정, 전송, 삭제되었는지, 또한 누구에 의해 그렇게 되었는지를 문서화하기 위한 감사 추적 설정(엔트리 제어)
      
   6. 지침에 따라 Seagate 개인정보 처리(지침 제어)
   7. Seagate 개인정보의 우발적 파기 또는 손실 방지(가용성 제어)
   8. 다양한 목적으로 수집된 Seagate 개인정보 별도 처리(분리 제어)

   회사는 정기적으로 위험 평가 및 검토를 실시하고, Seagate 개인정보의 보안성, 기밀성 또는 무결성에 합당하게 영향을 미칠 수 있는 회사의 비즈니스 관행에 중대한 변경 사항이 있을 때마다 또는 최소 1년에 한 번 정보 보안 관행을 수정합니다. 단, 회사는 Seagate 개인정보의 기밀성, 유효성, 무결성을 약화시키거나 손상시키는 방식으로 정보 보안 관행을 수정하지는 않습니다.

2. 물리적 보안. 회사는 Seagate 개인정보를 사용 또는 저장하는 정보 시스템이 있는 모든 회사 사이트에서 상업적으로 합당한 보안 시스템을 유지 관리해야 합니다. 회사는 해당 Seagate 개인정보에 대한 접근을 합리적으로 적절하게 제한합니다.
3. 조직 보안
   1. 미디어를 폐기하거나 재사용할 경우 인벤토리에서 회수하기 전에 저장된 Seagate 개인정보를 차후에 불러올 수 없도록 하는 절차를 구현해야 합니다. 미디어가 유지 관리 작업을 위해 파일이 위치한 구내를 벗어날 경우, Seagate 개인정보를 부적절하게 불러올 수 없도록 하는 절차를 구현해야 합니다.
   2. 회사는 민감 정보 자산을 분류하고 보안 책임을 명확히 하며 직원의 보안 의식을 고취할 수 있도록 하는 보안 정책 및 절차를 구현해야 합니다.
   3. 모든 Seagate 개인정보 보안 사고는 적절한 사고 대응 절차에 따라 관리되어야 합니다.
   4. 회사는 산업 표준 암호화 도구를 사용하여 전송 중 및 유휴 중인 모든 민감 정보를 암호화해야 합니다.
4. 네트워크 보안성. 회사는 상용 장비 및 방화벽, 침입 탐지 및 방지 시스템, 접근 제어 목록 및 라우팅 프로토콜을 포함한 산업 표준 기술을 사용하여 네트워크 보안을 유지해야 합니다.
5. 접근 제어 회사는 Seagate 개인정보에 대한 접근 권한을 요구하는 회사 직원 수를 최소한으로 제한하는 것을 포함하나 이에 국한되지 않는 적절한 접근 제어를 유지해야 합니다.
   1. 인가된 직원만 Seagate 개인정보를 사용 또는 저장하는 정보 시스템에 대한 접근 권한을 부여, 수정, 취소할 수 있습니다. 회사는 Seagate에서 요청할 경우 제출해야 하는 접근 기록을 적절하게 유지 관리해야 합니다.
   2. 사용자 관리 절차는 사용자의 역할 및 권한과 접근 부여, 변경 및 종료 방법을 정의하고, 임무를 적절히 분리하고 로깅/모니터링 요구 사항 및 메커니즘을 정의해야 합니다.
   3. 회사의 모든 직원에게는 고유한 사용자 ID가 할당되어야 합니다.
   4. 접근 권한은 ‘최소 권한’ 방식을 준수하여 구현되어야 합니다.
   5. 회사는 비밀번호를 생성하고 보호하기 위해 상업적으로 합당한 전자식/물리적 보안을 구현해야 합니다.
6. 바이러스 및 맬웨어 통제 회사는 시스템에 최신 안티 바이러스 및 맬웨어 방지 소프트웨어를 설치하고 유지 관리해야 하며, 예상되는 위협 또는 위험으로부터 Seagate 개인정보를 보호하고 Seagate 개인정보 사용에 대한 무단 접근 또는 사용을 방지하기 위해 맬웨어 모니터링 및 시스템 스캔을 예약 설정해 두어야 합니다.
7. 직원. 회사는 직원에게 Seagate 개인정보에 대한 접근 권한을 제공하기 전에 회사의 정보 보안 프로그램을 준수할 것을 요구해야 합니다. 회사는 직원에게 보안 의무에 관한 보안 의식 고취 프로그램을 시행해야 합니다. 본 프로그램에는 데이터 분류 의무, 물리적 보안 통제, 보안 관행, 보안 사고 보고에 관한 교육이 포함됩니다. 회사는 직원의 역할과 책임을 명확히 정의합니다. 적합한 고용 조건으로 직원 고용 전 심사를 실시합니다. 회사 직원은 수립된 보안 정책 및 절차를 엄격히 따라야 합니다. 직원이 데이터 프라이버시 위반을 저지른 경우 징계 절차를 적용해야 합니다.
8. 비즈니스 연속성. 회사는 적절한 백업 및 재해 복구 및 비즈니스 재개 계획을 수행합니다. 회사는 비즈니스 연속성 계획 및 위험 평가를 정기적으로 검토합니다. 비즈니스 연속성 계획은 최신 상태를 유지하고 효과적으로 수행될 수 있도록 정기적으로 검사 및 업데이트됩니다.
9. 주요 보안 관리자 회사는 지정된 주요 보안 관리자를 Seagate에 알려야 합니다. 보안 관리자는 회사의 정보 보안 프로그램 및 본 DPA에 명시된 회사의 의무 이행을 관리하고 조정할 책임이 있습니다
   
10. 감사. Seagate는 본 협약에 명시된 바와 같이 회사의 약속을 감사할 권리가 있습니다. 부록 II, 본 DPA의 섹션 4.4 ‘감사’에 따름.
    
11. 위반. 회사에서 본 DPA를 위반한 것으로 판단되면 회사는 부당한 지연 없이 어떠한 경우라도 30일 이내에 그러한 위반 사항을 수정해야 합니다. 알려진 또는 의심되는 데이터 프라이버시 위반은 본 DPA의 섹션 5 ‘데이터 프라이버시 위반 후 회사의 책임’이 적용됩니다.

부록 III

특정 관할 지역에 대한 데이터 프라이버시 요구사항

다음과 같은 요구사항은 지정된 관할 지역에 적용됩니다.

1. 오스트레일리아
   1. 적용 가능성. 본 섹션 1의 조항은 (a) 회사가 호주에 위치한 Seagate 계열회사로부터 Seagate 개인정보를 받거나 이에 접근하는 경우, 또는 (b) Seagate가 회사에 Seagate 개인정보가 이러한 요구 사항을 준수해야 함을 통지하는 경우 적용됩니다.
   2. 전문가 또는 무역 협회의 회원 자격. ‘민감 정보’에는 전문가 협회 또는 무역 협회의 회원 자격에 대한 개인정보도 포함됩니다.
      
   3. 호주 개인정보 보호방침 원칙 회사는 Seagate 개인정보 취급 시, 또는 본 DPA에 따라 서비스 제공 시, 호주 개인정보 보호방침을 포함하여 개인정보 보호법 1988(Cth)에 따라 해당 의무를 준수해야 합니다.
   4. 시행 목적을 위한 사용 또는 공개 통지. 회사에서 법 집행 기관이 수행하거나 집행 기관을 대신하여 수행하는 한 가지 이상의 집행 활동을 위해 개인정보를 사용 또는 공개하는 경우, 법으로 금지되어 있지 않는 한 회사는 그러한 사용 및 공개에 대한 서면 기록을 유지하고 기록 사본을 신속히 Seagate에 제공해야 합니다.
      
   5. 호주 정부 관련 식별 데이터 개인정보에 호주 정부 관련 식별 데이터가 포함된 경우, 회사는 (a) Seagate가 명시적으로 지시하지 않는 한 개인에 대한 호주 정부 관련 식별 데이터를 개인의 식별 데이터로 채택하지 않아야 하며, (b) 개인의 신원을 확인하는 데 합당하게 필요하거나 Seagate가 그렇게 하도록 지시하지 않는 한 호주 정부 관련 식별 데이터를 사용 또는 공개할 수 없습니다.
      
   6. 개인정보의 수집. Seagate의 회사에 대한 지침에 따라 Seagate를 대신하여 회사가 개인정보를 수집해야 하는 경우, 회사는 (i) 데이터 주체의 개인정보 수집과 관련하여 데이터 주체에게 제공되어야 하는 모든 정보 및 (ii) 직접 마케팅 목적으로 요구되는 사전 동의와 관련하여 (a) Seagate의 지침을 참조해야 하며 (b) 민감 정보를 수집하지 않으며 데이터 주체의 동의 없이 정보를 수집하지 말아야 합니다.
   7. 호주 정부와의 공급 계약 Seagate가 호주의 연방, 주, 자치령 단위 정부 기관과 협약한 서비스 제공업체이고 해당 정부 기관과의 계약으로 인해 Seagate가 추가적인 데이터 보호 의무를 준수해야 하는 경우, Seagate는 해당 호주 법률에 따라 필요한 경우 회사에 동등한 의무를 부과합니다. Seagate 및 회사는 이러한 의무를 반영하기 위해 필요한 경우, 추가 계약을 체결하는 것에 동의합니다.
2. 중국
   1. 적용 가능성. 본 섹션 2의 조항은 (a) 회사가 중국에 위치한 Seagate 계열회사로부터 Seagate 개인정보를 받거나 이에 접근하는 경우, 또는 (b) Seagate가 회사에 Seagate 개인정보가 이러한 요건을 준수해야 함을 통지하는 경우 적용됩니다.
      
   2. PIPL 역할 . 중국 개인정보 보호법(PIPL)에 따라 Seagate는 개인정보 처리자의 역할을 수행하며, 개인정보 처리자는 처리 목적과 방식을 결정합니다. 회사는 본 DPA 및 Seagate 지침의 요건에 따라 Seagate를 대신하여 개인정보를 처리하는 수탁 당사자가 됩니다.
      
   3. 하도급 수탁처리자. DPA의 섹션 2.4에도 불구하고, 회사는 Seagate의 명시적인 동의 없이 Seagate 개인정보를 처리하기 위해 하도급 수탁처리자를 고용하지 않습니다. 그러한 동의 조건에는 DPA 섹션 2.5가 적용됩니다.
      
   4. 처리 시간 제한. 회사는, 당사자들이 별도 기간에 대해 합의하지 않는 한, 처리 목적을 달성하는 데 필요한 기간 동안에만 개인정보를 처리해야 합니다.
   5. 제한된 전송 . Seagate 개인정보가 중국에서 저장되거나 보유되는 경우, 회사는 Seagate의 명시적인 동의 없이 Seagate 개인정보를 중국 외부로 전송하지 않습니다. Seagate는 회사가 필요한 경우 해당 Seagate 개인정보를 전송하는 데 동의합니다. 단, 회사는 해당 Seagate 개인정보를 보호하기 위한 데이터 보호법을 준수하기 위한 모든 조치를 취해야 합니다.
3. 인도
   1. 적용 가능성. 이 섹션 3의 조항은 수시로 개정되고 대체되는 정보 기술법 2000(‘IT법’) 및 정보 기술(합리적 보안 관행 및 절차 및 민감한 개인 데이터 또는 정보) 규칙 2011(‘개인정보 보호 규칙’)이 인도의 Seagate 계열사에서 제공한 Seagate 개인정보 처리에 적용되는 경우 적용되며 처리가 인도에서 이루어지는지 여부는 무관합니다.
      
   2. DPA의 1.12절은 개인정보 보호 규정의 섹션 3에 명시된 개인 데이터의 범주를 포함하도록 수정됩니다.
4. 일본
   1. 적용 가능성. 본 섹션 3의 조항은 회사가 일본에 위치한 Seagate 계열회사로부터 Seagate 개인정보를 받거나 이러한 정보에 접근하는 경우 적용됩니다.
   2. 회사 직원 . 회사는 DPA를 준수하여 회사 직원을 감독할 책임이 있습니다.
   3. 고용 관리 수단. 회사는 후생노동성(‘MHLW’)의 고용 관리 지침에 명시된 바에 따라 고용 관리와 관련된 Seagate 개인정보를 보호해야 합니다.
      
   4. 채용을 통해 알게 된 개인정보 회사는 피고용자가 자신의 채용을 통해 알게 된 Seagate 개인정보를 누설하거나 유용하지 못하도록 해야 합니다.
   5. 전송 또는 공개 전 동의. 회사는 하도급 수탁처리자를 포함한 DPA의 당사자가 아닌 제3자(모든 계열회사 포함)에게 주민등록번호 및 납세자 식별 번호를 공개 또는 전송하기 전에 Seagate로부터 사전 서면 동의를 받아야 합니다.
   6. 목적 달성 후 반환 또는 파기. 회사는 개인정보를 수집한 목적을 달성한 후에는 소유하고 있는 Seagate 개인정보의 처리를 중단하고 반환하거나 파기해야 합니다.
   7. 백업 목적. 회사는 백업 목적인 경우를 제외하고 Seagate 개인정보를 복사하거나 복제할 수 없습니다.
5. 대한민국
   1. 적용 가능성. 본 섹션 4의 조항은 회사가 대한민국에 위치한 Seagate 계열회사로부터 Seagate 개인정보를 받거나 이에 접근하는 경우 적용됩니다.
   2. 제한된 접근. 회사는 처리 목적을 위해 합당하게 정보에의 접근을 필요로 하는 회사 직원에게만 개인정보에 대한 접근을 허용해야 합니다.
   3. 필수 보안 조치. 회사는 다음을 포함한 보안 조치를 수립하고 유지 관리해야 합니다.
      1. 개인정보의 안전한 취급을 위한 내부 절차
      2. 방화벽, 바이러스 방지, 맬웨어 방지 소프트웨어 등의 기술적 보안 조치
         
      3. 잠금과 같은 물리적 액세스 제한 조치
      4. 접근 로그 또는 처리 기록의 변경이나 위조를 방지하기 위한 조치
      5. 개인정보보호법(PIPA), PIPA 시행규칙, 정보통신망 이용촉진 및 정보보호에 관한 법률(PICNU), PICNU 시행규칙(“PICNU 규정”), 신용정보의 이용 및 보호에 관한 법률(UPCIA), 기타 한국 법률에 따라 요구되는 경우 개인정보의 암호화 등 개인정보를 안전하게 저장하고 전송하기 위한 조치.
   4. 특수 식별 데이터의 암호화. 회사는 다음과 같은 경우 거주자 등록 번호, 운전면허번호, 여권 번호를 암호화해야 합니다.
      1. 정보통신망을 통해 전송할 때
      2. 휴대용 저장 매체 또는 주변 기기에 저장할 때
      3. 외부 컴퓨터 네트워크 또는 비무장 지대 또는 개인 컴퓨터 또는 모바일 기기에 저장할 때
      4. 회사의 시스템이 Seagate가 지정한 위험 기준을 충족하지 못하여 회사의 내부 네트워크에 저장할 때
   5. 비밀번호 및 생체 인식 데이터의 암호화 회사는 어떤 형식으로든 저장된 모든 비밀번호와 생체 인식 데이터를 암호화해야 합니다.
   6. 공개 전의 정보. Seagate 개인정보를 제3의 데이터 처리자에게 공개하거나 전송하기 전에, 회사는 Seagate에 합리적인 시일 내 사전에 이를 알려야 합니다. Seagate의 요청이 있는 경우, 회사는 다음 정보를 제공합니다. (a) 하도급할 처리 작업, (b) 제3의 데이터 처리자에 대한 신원 정보, (c) (a) 또는 (b)에 대한 모든 변동 사항.
   7. 교육. 회사는 Seagate 개인정보 처리 중 Seagate 개인정보의 도난, 유출, 변조 또는 손상을 방지할 수 있도록 Seagate가 회사에 제공하기로 선별한 교육에 참여합니다.
6. 싱가포르
   1. 적용 가능성. 섹션 6의 조항은 싱가포르 개인 데이터 보호법 2012(2012년 26호)가 회사의 Seagate 개인정보 처리에 적용되는 경우 적용됩니다.
      
   2. DPA의 1.3절은 다음으로 대체됩니다.

      1.3 ‘데이터 프라이버시 위반’은 Seagate 개인정보의 우발적 또는 불법적 파기, 손실, 변경, 무단 공개, 액세스, 획득으로 이어지는 보안 위반을 의미하며, 여기에는 다음이 포함됩니다. (a) Seagate 개인정보의 무단 액세스, 수집, 사용, 공개, 복사, 수정, 폐기 또는 (b) Seagate 개인정보의 무단 액세스, 수집, 사용, 공개, 복사, 수정, 폐기가 발생할 가능성이 있는 상황에서 Seagate 개인정보가 저장된 저장 매체 또는 장치의 손실.

   3. DPA의 5.1절은 다음으로 대체됩니다.

      5.1 데이터 프라이버시 위반 통지. 회사가 데이터 프라이버시 위반이 발생했다고 믿을 만한 이유가 있는 경우, 회사는 부당한 지연 없이 데이터 프라이버시 위반에 대해 Seagate에 서면으로 통지하고 다음을 수행해야 합니다.

      1. 데이터 프라이버시 위반 사건을 조사하거나 조사에 합리적인 도움을 제공
      2. Seagate에 데이터 프라이버시 위반에 대한 정보를 제공하고 가능한 추가 관련 정보를 즉시 제공, 및
         
      3. 데이터 프라이버시 위반을 제지하거나 데이터 프라이버시 위반의 영향을 완화하기 위해 상업적으로 합당한 조치를 취하거나 회사의 비용으로 Seagate가 그렇게 하도록 지원.
7. 대만
   1. 적용 가능성. 본 섹션 5의 조항은 회사가 대만에 위치한 Seagate 계열회사로부터 Seagate 개인정보를 받거나 이에 접근하는 경우 적용됩니다.
   2. 하도급 수탁처리자. DPA의 섹션 2.4에도 불구하고, 회사는 Seagate의 명시적인 서면 동의 없이 Seagate 개인정보를 공개 또는 전송, 또는 하도급 수탁처리자에게 Seagate 개인정보에 대한 접근을 허용하지 않습니다.
   3. 처리 시간 제한. 회사는, 상호가 별도로 기간에 대해 합의하지 않는 한, 처리 목적을 달성하는 데 필요한 기간 동안에만 개인정보를 처리해야 합니다.
   4. 접근 기록 보존. 회사는 무단 접근 사례를 정기적으로 검토하는 데 필요한 기간 동안만 접근 기록을 보존해야 합니다.
8. 태국
   
   1. 적용 가능성. 본 섹션 6의 조항은 태국의 개인데이터보호법이 다음과 같은 경우 적용됩니다. 2562(2019) (‘PDPA’)(개정 및 대체됨)는 회사가 태국에 위치한 Seagate 계열회사로부터 받거나 이에 접근하는 Seagate 개인정보에 적용됩니다.
      
   2. DPA의 1.3절은 다음으로 대체됩니다.

      1.3 ‘데이터 프라이버시 위반’은 개인정보의 손실, 접근, 사용, 수정, 공개를 불법적으로 또는 승인 없이 야기하는 보안 조치 위반을 의미하며, 이는 의도적이거나 고의적이거나 과실이거나 우발적이거나 승인되지 않은 또는 불법적인 행위 또는 컴퓨터 범죄, 사이버 위협, 실수, 사고와 관련된 행위 또는 PDPA에 따라 발행된 통지에 규정된 기타 행위로 인해 발생합니다.
      

   3. DPA의 1.12절은 PDPA의 섹션 26에 명시된 개인 데이터의 범주를 포함하도록 수정되어야 합니다.
   4. 보안 표준. 회사는 최소한 부록 II의 요건과 PDPA 및 그에 따라 발행된 기타 규칙, 규정, 통지 및/또는 명령에 따라 보안 표준을 구현하고 유지하기 위해 최선을 다하고 모든 합리적인 조치를 취해야 합니다. 여기에는 개인 데이터 보호 위원회의 통지 사항이 포함되지만 이에 국한되지 않습니다. 수시로 수정, 보완, 교체될 수 있는 데이터 컨트롤러의 보안 조치 B.E. 2565(2022).

데이터 프라이버시 협약은 2025년 7월 31일부로 발효됩니다.

2024년 6월 20일부터 2025년 7월 31일까지 완료된 협약의 경우 여기에서 PDF를 참조: 데이터 프라이버시 협약 2024년 6월 20일

2022년 12월 8일부터 2024년 6월 20일까지 완료된 협약의 경우 여기에서 PDF를 참조: 데이터 프라이버시 협약 2022년 12월 8일

2020년 8월 11일부터 2022년 12월 8일까지 완료된 협약의 경우 여기에서 PDF를 참조: 데이터 프라이버시 협약 2020년 8월 11일

2019년 11월 20일부터 2020년 8월 10일까지 완료된 협약의 경우 여기에서 PDF를 참조: 데이터 보호 요건 2019년 11월 20일

2019년 3월 31일 이전에 완료된 협약의 경우 여기에서 PDF를 참조: 데이터 보호 요건 2019년 3월 31일