컨트롤러-컨트롤러 DPA

주 라이선스 계약에 대한 컨트롤러 간 부속서

서론

본 데이터 보호 부속서(“DPA”)는 STATS Perform(당사자들이 체결한 모든 작업 지시서에 명시된 바와 같이)와 라이선스 수취인(당사자들이 체결한 모든 작업 지시서에 명시된 바와 같이) 간의 주 라이선스 계약(“MLA”)에 통합되며, 해당 계약의 일부를 구성합니다. MLA와 본 DPA 간, 또는 작업 지시서와 본 DPA 간에 상충하는 내용이 있을 경우, 본 DPA가 우선합니다. 본 부속서에서 정의되지 않은 모든 대문자 용어는 MLA에 명시된 의미를 가집니다.

적용 범위

본 DPA는 STATS Perform 또는 그 계열사가 EEA 또는 영국 내에서 EEA 외부의 관할 구역에서 처리할 목적으로 라이선스 보유자에게 개인정보를 이전하거나 제공하는 경우, 해당 관할권이 EU 집행위원회의 “적정성” 판정을 받지 않았거나 데이터 보호 법규의 요건을 충족하는 다른 합법적인 이전 메커니즘의 적용을 받지 않는 경우(본 DPA의 목적상,“관련 데이터 이전”)에 적용됩니다. 본 DPA는 적절한 수준의 데이터 보호를 보장하지 않는 제3국으로의 개인 데이터 전송에 관한 2004년 12월 27일자 EU 집행위원회 결정에 따른 표준 계약 조항("SCC")을 명시하고 이를 포함합니다.

SCC는 수정할 수 없으며, 협상 대상이 아니며, 모든 관련 데이터 전송에 있어 개인정보 보호법규에 따라 필수적으로 적용되어야 합니다.

이에 따라, 당사자들은 관련 데이터 전송이 데이터 보호 법규를 준수하도록 보장하기 위해 본 데이터 처리 협약(DPA)을 체결합니다.

이에 다음과 같이 합의한다:

• 당사자 간 표준 계약 조항

공동체에서 제3국으로의 개인정보 이전을 위한 표준 계약 조항 (처리자 간 이전)

데이터 전송 계약서

사이

STATS Perform (작업 지시서에 명시된 바와 같이)

작업 지시서에 명시된 STATS Perform의 주소 및 설립 국가

이하“데이터 수출자”

그리고

라이선스 수취인(작업 지시서에 명시된 자)

작업 지시서에 명시된 라이선스 보유자의 주소 및 설립 국가

이하“데이터 수입자”

각각“당사자”이며, 합쳐서“당사자들”이라한다.

정의

본 조항의 목적상:

• “개인정보”, “특별한 범주의 데이터/민감한 데이터”, “처리”, “처리자”, “데이터 관리자”, “데이터 수탁자”, “데이터 주체” 및 “감독 기관”이란 1995년 10월 24일자 지침 95/46/EC 또는 적용 가능한 모든 개인정보 보호법에서 정의된 바와 동일한 의미를 가진다(이 경우 “감독 기관”이란 데이터 수출자가 소재한 관할 지역의 관할 개인정보 보호 당국을 의미한다);
• ‘데이터 전송자’란 개인정보를 전송하는 처리자를 말한다;
• ‘데이터 수입자’란 본 조항의 조건에 따라 데이터 수출자로부터 개인 데이터를 수령하여 추가 처리에 동의하는 처리자로서, 제3국의 적정 보호 체계를 적용받지 않는 자를 의미한다;
• “조항”이란 본 계약 조항을 의미하며, 이는 당사자들이 별도의 상업적 합의에 따라 정한 상업적 거래 조건을 포함하지 않는 독립된 문서입니다.

이전 관련 세부 사항(및 해당되는 개인정보)은 본 조항의 필수적인 일부를 구성하는 부속서 2에 명시되어 있습니다.

1. 데이터 수출자의 의무

데이터 수출자는 다음 사항을 보증하고 약속합니다:

• 개인 정보는 데이터 수출자에게 적용되는 법률에 따라 수집, 처리 및 전송되었습니다.
• 데이터 수입자가 본 조항에 따른 법적 의무를 이행할 수 있는지 확인하기 위해 합리적인 노력을 기울였습니다.
• 데이터 수출자가 요청할 경우, 데이터 수입자에게 데이터 수출자가 소재한 국가의 관련 데이터 보호법 사본 또는 해당 법률에 대한 참조 정보(해당되는 경우, 단 법률 자문은 제외)를 제공할 것입니다.
• 데이터 수입자에 의한 개인정보 처리에 관한 데이터 주체 및 당국의 문의에 대해 데이터 수출자가 답변할 것이며, 다만 당사자들이 데이터 수입자가 직접 답변하기로 합의한 경우에는 예외로 한다. 이 경우에도 데이터 수입자가 답변을 원치 않거나 답변할 수 없는 경우, 데이터 수출자는 합리적으로 가능한 범위 내에서, 그리고 합리적으로 입수 가능한 정보를 바탕으로 답변해야 한다. 답변은 합리적인 기간 내에 이루어져야 한다.
• 데이터 수출자는 제3조상의 제3자 수혜자인 데이터 주체로부터 요청이 있을 경우, 해당 조항의 사본을 제공하여야 한다. 단, 조항에 기밀 정보가 포함된 경우에는 해당 정보를 삭제할 수 있다. 정보가 삭제된 경우, 데이터 수출자는 데이터 주체에게 삭제 사유 및 해당 삭제를 감독 기관에 알릴 수 있는 권리에 대해 서면으로 통지하여야 한다. 단, 데이터 주체가 삭제된 기밀 정보의 비밀유지를 준수하기로 동의한 경우, 데이터 수출자는 데이터 주체의 조항 전문 열람과 관련하여 당국이 내린 결정을 준수해야 한다. 또한 데이터 수출자는 요청이 있을 경우 당국에 조항 사본을 제공해야 한다.

2. 데이터 수입자의 의무

데이터 수입자는 다음 사항을 보증하고 약속합니다:

• 개인정보가 우발적 또는 불법적인 파기, 우발적 분실, 변조, 무단 공개 또는 접근으로부터 보호될 수 있도록 적절한 기술적 및 조직적 조치를 마련할 것이며, 이러한 조치는 처리 과정에서 발생하는 위험과 보호 대상 데이터의 성격에 상응하는 수준의 보안을 제공해야 합니다.
• 회사는 처리자를 포함하여 개인 데이터에 대한 접근 권한을 부여받은 제3자가 개인 데이터의 기밀성과 보안을 준수하고 유지하도록 하는 절차를 마련해야 합니다. 데이터 수입자의 권한 하에 활동하는 자(데이터 처리자 포함)는 데이터 수입자의 지시에 의해서만 개인 데이터를 처리할 의무가 있습니다. 단, 법률 또는 규정에 따라 개인 데이터에 접근할 권한이 있거나 접근이 요구되는 자에게는 이 조항이 적용되지 않습니다.
• 본 조항을 체결하는 시점에서, 본 조항에 따라 제공되는 보증에 중대한 부정적 영향을 미칠 수 있는 현지 법률이 존재한다고 믿을 만한 근거는 없으며, 향후 그러한 법률이 존재함을 알게 될 경우 데이터 수출자에게 이를 통지할 것이며(데이터 수출자는 필요한 경우 해당 당국에 이를 전달할 것임),
• 당사는 부속서 2에 명시된 목적을 위해 개인정보를 처리하며, 본 조항에 명시된 보증 사항을 제공하고 약속을 이행할 법적 권한을 보유하고 있습니다.
• 데이터 수입자는 데이터 수출자 측에 개인정보 처리와 관련된 문의에 답변할 권한이 있는 조직 내 연락 담당자를 지정하고, 해당 문의 사항에 대해 데이터 수출자, 데이터 주체 및 당국과 성실히 협력하며 합리적인 기간 내에 대응해야 합니다. 데이터 수출자가 법적으로 해산되거나 당사자들이 이에 합의한 경우, 데이터 수입자는 제1조 (e)항의 규정 준수에 대한 책임을 부담합니다.
• 데이터 수출자의 요청이 있을 경우, 데이터 수출자에게 제3조에 따른 책임을 이행하기에 충분한 재정적 자원을 입증할 수 있는 자료를 제공해야 한다(여기에는 보험 가입 내역이 포함될 수 있다).
• 데이터 수출자의 합리적인 요청이 있을 경우, 데이터 수출자는 본 조항에 명시된 보증 및 약속의 준수 여부를 확인하기 위해, 합리적인 사전 통지를 하고 정상 업무 시간 내에 데이터 수출자(또는 데이터 수출자가 선정하고 데이터 수입자가 합리적으로 이의를 제기하지 않는 독립적이고 공정한 검사 기관 또는 감사인)가 검토, 감사 및/또는 인증할 수 있도록 데이터 처리 시설, 데이터 파일 및 처리에 필요한 문서를 제출해야 합니다. 해당 요청은 데이터 수취인의 국가 내 규제 또는 감독 당국의 필요한 동의 또는 승인을 받아야 하며, 데이터 수취인은 해당 동의 또는 승인을 적시에 획득하기 위해 노력할 것입니다.
• 본사는 부속서 1에 명시된 데이터 처리 원칙에 따라 재량에 따라 개인 데이터를 처리할 것입니다. 다음의 각 데이터 수입자는 아래에 이니셜을 기재함으로써 해당 원칙을 준수할 것에 동의함을 표시합니다:

          당사자들은 작업 지시서에 서명하고 날짜를 기재함으로써 본 제2조 (h)항에 동의하고 이를 수락하는 것으로 간주합니다.

• 유럽경제지역(EEA) 외부에 위치한 제3자 데이터 관리자에게 개인 데이터를 공개하거나 이전하지 않으며, 단, 데이터 수출자에게 해당 이전을 통지하고
  • 제3자 데이터 관리자가 제3국이 적절한 보호 수준을 제공한다고 판단한 집행위원회의 결정에 따라 개인정보를 처리하는 경우, 또는
  • 제3자 데이터 관리자가 본 조항 또는 EU 관할 당국이 승인한 다른 데이터 전송 협정의 서명 당사자가 되는 경우, 또는
  • 데이터 주체는 데이터 이전의 목적, 수신자의 범주, 그리고 데이터가 수출되는 국가의 데이터 보호 기준이 다를 수 있다는 사실을 통지받은 후, 이의를 제기할 기회를 부여받았거나,
  • 민감한 데이터의 제3자 전송과 관련하여, 데이터 주체는 해당 전송에 대해 명확한 동의를 표명하였습니다

3. 책임 및 제3자의 권리

• • 각 당사자는 본 조항을 위반함으로써 발생한 손해에 대해 다른 당사자에게 책임을 진다. 당사자 간의 책임은 실제 입은 손해로 제한된다. 징벌적 손해배상(즉, 당사자의 극히 부당한 행위에 대해 처벌을 목적으로 하는 손해배상)은 명시적으로 배제된다. 각 당사자는 본 조항에 따른 제3자의 권리를 침해함으로써 야기된 손해에 대해 데이터 주체에게 책임을 진다. 이는 데이터 수출자의 데이터 보호법에 따른 책임에는 영향을 미치지 않는다.
  • 당사자들은 데이터 주체가 제3자 수혜자로서 본 조항 및 제1조 (b), (d), (e), 제2조 (a), (c), 2(d), 2(e), 2(h), 2(i), 3(a), 5, 6(d) 및 7조를 데이터 수입자 또는 데이터 수출자에 대해, 자신의 개인정보와 관련하여 각 당사자가 계약상 의무를 위반한 경우 제3자 수혜자로서 이행할 권리가 있음을 합의하며, 이를 위해 데이터 수출자의 설립 국가를 관할지로 수락한다. 데이터 수입자의 위반 혐의가 있는 경우, 데이터 주체는 먼저 데이터 수출자에게 데이터 수입자에 대한 자신의 권리를 행사하기 위해 적절한 조치를 취할 것을 요청해야 한다. 데이터 수출자가 합리적인 기간(일반적인 상황에서는 1개월) 내에 그러한 조치를 취하지 않는 경우, 데이터 주체는 데이터 수입자를 상대로 직접 자신의 권리를 행사할 수 있다. 데이터 주체는 데이터 수입자가 본 조항에 따른 법적 의무를 이행할 수 있는지 확인하기 위해 합리적인 노력을 기울이지 않은 데이터 수출자에 대해 직접 법적 조치를 취할 권리가 있다(데이터 수출자는 합리적인 노력을 기울였음을 입증할 책임이 있다).

4. 본 조항에 적용되는 법률

본 조항들은 데이터 수출자가 소재한 국가의 법률에 따라 규율되나, 제2조 (h)항에 따른 데이터 수입자의 개인정보 처리에 관한 법률 및 규정은 해당 조항에 따라 데이터 수입자가 이를 선택한 경우에만 적용된다.

5. 정보주체 또는 감독기관과의 분쟁 해결

• • 개인정보 주체 또는 감독 기관이 개인정보 처리에 관하여 당사자 중 한쪽 또는 양쪽을 상대로 분쟁이나 청구를 제기하는 경우, 당사자들은 해당 분쟁이나 청구에 대해 서로 통지하고, 이를 적시에 원만하게 해결하기 위해 협력한다.
  • 당사자들은 데이터 주체 또는 당국이 개시한, 일반적으로 이용 가능한 비구속적 중재 절차에 응하기로 합의한다. 당사자들이 해당 절차에 참여하는 경우, 원격 방식(전화 또는 기타 전자적 수단 등)으로 참여할 수 있다. 또한 당사자들은 데이터 보호 분쟁을 해결하기 위해 마련된 기타 중재, 조정 또는 분쟁 해결 절차에 참여하는 것을 검토하기로 합의한다.
  • 각 당사자는 데이터 수출자의 소재지 국가의 관할 법원 또는 해당 당국이 내린, 최종적이며 더 이상 상소할 수 없는 결정을 준수하여야 한다.

6. 계약 해지

• • 데이터 수입자가 본 조항에 따른 의무를 위반하는 경우, 데이터 수출자는 해당 위반 사항이 시정되거나 계약이 해지될 때까지 데이터 수입자에 대한 개인정보 이전을 일시적으로 중단할 수 있다.
  • 다음과 같은 경우:
    • 데이터 수출자가 (a)항에 따라 데이터 수입자에 대한 개인정보 전송을 1개월 이상 일시적으로 중단한 경우;
    • 데이터 수입자가 이 조항들을 준수할 경우, 수입국에서의 법적 또는 규제상 의무를 위반하게 될 것입니다;
    • 데이터 수입자가 본 조항에 따라 제공한 보증 또는 약속을 중대하게 또는 지속적으로 위반하는 경우;
    • 데이터 수출자의 소재지 관할 법원 또는 당국이 데이터 수입자나 데이터 수출자가 해당 조항을 위반했다고 판단하여, 더 이상 항소할 수 없는 최종 판결을 내린 경우; 또는
    • 데이터 수입자에 대해 개인 또는 사업체로서의 지위에 관계없이 관리 또는 청산 신청이 제기되었고, 해당 신청이 관련 법률에 따른 기각 기간 내에 기각되지 않은 경우; 청산 명령이 내려진 경우; 자산에 대해 관리인이 선임된 경우; 데이터 수입자가 개인인 경우 파산 관리인이 선임된 경우; 해당 데이터 수입자가 회사 자발적 합의 절차를 개시한 경우; 또는 어느 관할권에서든 이에 상응하는 사건이 발생한 경우

이 경우 데이터 수출자는 데이터 수입자에 대해 가질 수 있는 기타 권리를 침해하지 않는 범위 내에서 본 조항을 해지할 수 있으며, 이 경우 필요한 경우 당국에 이를 통보하여야 한다. 상기 (i), (ii) 또는 (iv)에 해당하는 경우, 데이터 수입자 또한 본 조항을 해지할 수 있다.

• 다음과 같은 경우, 어느 당사자든 본 조항을 해지할 수 있습니다:
  • 데이터가 전송되어 데이터 수입자에 의해 처리되는 국가(또는 해당 국가의 특정 부문)와 관련하여, 지침 95/46/EC(또는 이를 대체하는 규정) 제25조 제6항에 근거한 위원회의 적정성 결정이 내려진 경우, 또는
  • 지침 95/46/EC(또는 이를 대체하는 모든 규정)는 해당 국가에서 직접 적용된다.
• 당사자들은 본 조항들이 언제, 어떠한 상황에서, 어떠한 이유로든 해지되더라도(단, 제6조 (c)항에 따른 해지는 제외함), 이전된 개인정보의 처리와 관련하여 본 조항에 규정된 의무 및/또는 조건으로부터 면제되지 않는다는 점에 동의한다.

7. 본 조항의 변경

당사자들은 부속서 2의 정보를 갱신하는 경우를 제외하고는 본 조항들을 수정할 수 없으며, 이 경우 필요한 경우 당국에 이를 통보하여야 한다. 단, 이는 당사자들이 필요한 경우 추가적인 상업적 조항을 추가하는 것을 배제하지 않는다.

8 양도 내용

이전 및 개인정보에 관한 세부 사항은 부속서 2에 명시되어 있습니다. 양 당사자는 부속서 2에 기밀 사업 정보가 포함될 수 있음을 인정하며, 법률에 의해 요구되거나 관할 규제 기관 또는 정부 기관의 요청에 응하는 경우, 또는 제1조 (e)항에 따라 요구되는 경우를 제외하고는 이를 제3자에게 공개하지 않을 것에 동의합니다. 당사자들은 추가적인 이전을 다루기 위해 별도의 부속서를 작성할 수 있으며, 필요한 경우 해당 부속서는 관할 당국에 제출될 것입니다. 또는 부속서 2를 작성하여 여러 건의 이전을 포괄하도록 할 수도 있습니다.

당사자들은 작업 지시서에 서명하고 날짜를 기재함으로써 다음을 포함한 SCC의 규정을 준수하고 이에 구속되는 데 동의하며 이를 수락합니다. 부속서 1 및 부속서 2을 포함한 SCC의 구속을 받는다는 점에 동의하고 이를 수락한다.

• (데이터 처리 원칙)
  • 목적 제한: 개인정보는 부속서 2에 명시된 목적 또는 정보 주체가 추후 승인한 목적으로만 처리되고, 이에 따라 이용되거나 제3자에게 제공될 수 있습니다.
  • 데이터의 정확성과 비례성: 개인정보는 정확해야 하며, 필요한 경우 최신 상태로 유지되어야 합니다. 개인정보는 전송 및 추가 처리의 목적에 비추어 볼 때 적절하고 관련성이 있으며, 과도하지 않아야 합니다.
  • 투명성: 데이터 수출자가 이미 해당 정보를 제공하지 않은 경우, 데이터 주체에게 공정한 처리를 보장하는 데 필요한 정보(예: 처리 목적 및 이전 관련 정보)를 제공해야 한다.
  • 보안 및 기밀 유지: 데이터 관리자는 처리 과정에서 발생할 수 있는 우발적 또는 불법적인 파기, 우발적 분실, 변조, 무단 공개 또는 접근과 같은 위험에 상응하는 기술적 및 조직적 보안 조치를 취해야 합니다. 처리자를 포함하여 데이터 관리자의 권한 하에 활동하는 모든 사람은 데이터 관리자의 지시가 없는 한 데이터를 처리해서는 안 됩니다.
  • 열람, 정정, 삭제 및 이의 제기 권리: 지침 95/46/EC 제12조에 규정된 바와 같이, 데이터 주체는 직접 또는 제3자를 통해 조직이 보유한 자신에 관한 개인정보를 제공받아야 한다. 단, 명백히 남용적이거나, 부당한 간격이나 횟수, 또는 반복적·체계적인 성격을 띠는 요청, 혹은 데이터 수출국의 법률에 따라 열람을 허용할 필요가 없는 요청의 경우는 예외로 한다. 단, 당국의 사전 승인을 받은 경우, 열람이 데이터 수입자 또는 데이터 수입자와 거래하는 다른 조직의 이익에 심각한 해를 끼칠 가능성이 있고, 그러한 이익이 데이터 주체의 기본권 및 자유에 대한 이익보다 우선하지 않는 경우에는 열람을 허용하지 않아도 됩니다. 합리적인 노력을 기울여도 개인 데이터의 출처를 확인할 수 없거나, 해당 개인 이외의 다른 사람의 권리가 침해될 우려가 있는 경우에는 출처를 밝힐 필요가 없습니다. 데이터 주체는 자신에 관한 개인정보가 부정확하거나 본 원칙에 반하여 처리된 경우, 해당 정보를 정정, 수정 또는 삭제할 수 있어야 한다. 요청의 정당성에 대해 타당한 의구심이 있는 경우, 해당 조직은 정정, 수정 또는 삭제를 진행하기 전에 추가적인 근거를 요구할 수 있다. 데이터가 공개된 제3자에게 정정, 수정 또는 삭제를 통지하는 것은 이에 과도한 노력이 수반되는 경우 생략할 수 있다. 또한 정보 주체는 자신의 특정 상황과 관련된 타당한 정당한 사유가 있는 경우, 자신과 관련된 개인정보 처리에 이의를 제기할 수 있어야 한다. 거부 결정에 대한 입증 책임은 데이터 수입자에게 있으며, 정보 주체는 언제든지 당국에 거부 결정에 대해 이의를 제기할 수 있다.
  • 민감 정보: 데이터 수입자는 제2조에 따른 의무에 따라 해당 민감 정보를 보호하기 위해 필요한 추가 조치(예: 보안 관련 조치)를 취해야 한다.
  • 마케팅 목적으로 사용되는 데이터: 데이터가 직접 마케팅 목적으로 처리되는 경우, 데이터 주체가 언제든지 자신의 데이터가 이러한 목적으로 사용되는 것을 거부할 수 있도록 하는 효과적인 절차가 마련되어 있어야 합니다.
  • 자동화된 결정: 본 규정에 있어서 “자동화된 결정”이란, 데이터 수출자 또는 데이터 수입자가 내리는 결정으로서, 데이터 주체에게 법적 효력을 발생시키거나 데이터 주체에게 중대한 영향을 미치며, 업무 수행 능력, 신용도, 신뢰성, 행동 등 데이터 주체와 관련된 특정 개인적 측면을 평가하기 위한 목적으로 개인 데이터의 자동화된 처리에만 근거하여 이루어지는 것을 말한다. 데이터 수입자는 다음의 경우를 제외하고는 데이터 주체에 관한 어떠한 자동화된 결정도 내릴 수 없다:

(a) (i) 해당 결정은 데이터 수입자가 데이터 주체와 계약을 체결하거나 이행하는 과정에서 내리는 것이며,

(a) (ii) 데이터 주체는 해당 자동화된 결정의 결과에 대해 해당 결정을 내린 당사자의 대표자와 논의하거나, 그 당사자에게 의견을 진술할 기회를 부여받아야 한다.

또는

(b) 데이터 수출자의 법률에 달리 규정된 경우.

부록 2 (처리 정보)

1. 정보주체

이전되는 개인정보는 다음 범주의 정보 주체를 대상으로 합니다:

라이선스 자료(MLA에 정의된 바와 같이)에 포함된 개인 데이터로, 여기에는 스포츠 선수, 운동선수 및 관련 스포츠 전문가에 관한 정보가 포함됩니다.

2. 양도 목적

개인정보의 이전은 다음의 목적을 위해 이루어집니다: 데이터 수입자가 작업 지시서(Work Order) 및 양자간 협정(MLA)에 명시된 목적에 따라 개인정보를 이용하기 위함입니다.

3가지 데이터 범주

이전되는 개인정보는 다음 범주의 데이터 및 수시로 추가될 수 있는 기타 범주의 데이터를 포함합니다:

수상자 4명

이전된 개인정보는 다음의 수령인 또는 수령인 범주에게만 공개될 수 있습니다:

작업 지시서 및/또는 MLA에 명시된 수령인.

5. 데이터 수출자의 데이터 보호 등록 정보

요청 시 제공해 드립니다.

6. 기타 유용한 정보

없음.

데이터 보호 관련 문의 시 연락할 수 있는 7곳

연락처 정보는 작업 지시서를 참조하십시오.