글로벌 프라이버시 의무 규정
최종 수정일: 2024년 3월 12일
- 이 글로벌 프라이버시 의무 규정(“글로벌 프라이버시 의무 규정”)에서는 당사의 공급업체 및 그 밖의 협력업체(“협력사”라 통칭함)가 당사에 협력사의 제품 및 서비스를 제공하는 것과 관련하여 준수하여야 할 개인정보 보호 의무에 대해 규정합니다. 글로벌 프라이버시 의무 규정이 당사가 협력사와 체결한 계약(“계약”)의 내용으로 편입되는 경우, 이 규정은 해당 계약을 보충하고 그 일부를 구성합니다.
- 글로벌 프라이버시 의무 규정 중 협력사에 적용되는 조항은 당사와 협력사 사이의 관계에 따라 달라질 수 있습니다. 각 조항에서는 해당 조항이 적용되는 경우를 명시하고 있습니다.
- 이 조항은 모든 협력사에 적용됩니다.
- 글로벌 프라이버시 의무 규정의 목적상, 이 규정에서 사용하는 용어의 정의는 다음과 같습니다.
- 계약에서 달리 정의하지 않는 한, “AI” 또는 “인공 지능”은 그에 채용된 특정 기술 또는 접근 방식을 불문하고, 업무를 수행하거나, 인간과 유사한 인지 능력을 시뮬레이션하거나, 콘텐츠, 예측, 추천 또는 의사 결정 등의 결과물을 생성하는 일체의 형식의 인공적 지능 또는 정보 기술을 의미 및 포함합니다. 여기에는 머신 러닝(딥 러닝 및 인공 신경망을 포함하여, 지도 학습, 비지도 학습 및 강화 학습), 생성형 AI, 자연어 처리, 컴퓨터 비전, 대규모 언어 모델(“LLM”), 논리 및 지식 기반 접근 방식(지식 표현, 귀납적 논리 프로그래밍, 지식 베이스, 추론 엔진, 논증 및 전문가 시스템 포함) 등의 기술 및 방법론, 그리고 통계적 기법이 포함되지만 이에 한정되지 않습니다. AI에는 인공 지능 분야의 현재와 장래의 모든 발전, 방법론 및 응용과 더불어, 이 분야에서 개발되거나 등장하고 있는 것으로서 여기에 명시적으로 언급되지 않은 그 밖의 모든 기술이 포함됩니다.
- “AI 결과물”은 입력된 프롬프트로부터 생성된 AI의 출력 결과를 의미합니다.
- “자동화된 의사 결정”은 정보주체에 관한 결정으로서 인간의 개입 없이 만들어졌거나, 인간의 의사 결정을 용이하게 하는 시스템, 소프트웨어 또는 프로세스(AI를 활용하는 경우 포함)를 사용하여 이루어진 것을 의미합니다.
- “컨트롤러(Controller)”는 단독으로 또는 제3자와 공동으로, 개인정보 처리의 목적 및 방법을 결정하는 자연인 또는 법인을 의미합니다.
- “고객사”, “당사”, 또는 “저희”는 (i) 계약에 표시된 당사자인 Warner Bros. Discovery 소속 법인 및 (ii) 계약 당사자로 표시된 Warner Bros. Discovery 소속 법인을 지배하거나, 그 지배를 받거나, 그와 공동 지배하에 있는 모든 계열사 또는 자회사를 의미합니다.
- “개인정보 보호 법령”은 개인정보 처리, 프라이버시, 데이터 보호(개인정보 보호) 또는 사이버 보안과 관련하여 수시로 개정되는 연방, 주, 지방자치단체, 외국, 국제, 다국적 또는 기타 모든 헌법, 법률, 조약, 명령, 조례, 규칙 및 그 해석 또는 집행 권한이 있는 규제 기관에 의해 공포된 지침을 의미합니다.
- “정보주체”는 개인정보와 관련되는 개인을 의미합니다.
- “정보주체의 요청”은 정보주체에 의해 이루어지는 정보, 열람, 정정, 삭제, 제한, 전송, 반대, 판매금지, 제거의 요청 및 그 밖의 유사한 요청을 의미합니다.
- “정보 처리 기술서(Description of Processing)”는 계약에 따라 협력사에 의해 처리되는 개인정보에 관한 기술서를 의미합니다.
- “EEA”는 유럽경제지역(European Economic Area)을 의미합니다.
- “EEA 정보 이전”은 (a) GDPR의 적용을 받는 개인정보를, (b) EEA 외부의 국가 또는 지역에 있는 수령인에게 이전하는 경우로서, (c) 유럽연합(EU) 집행위원회에 의한 적정성 결정의 대상이 아닌 경우를 의미합니다.
- “EEA 표준계약조항”은 유럽연합 집행위원회의 2021년 6월 4일 자 C(2021) 3972 결정에 의해 채택된 유럽의회 및 유럽이사회의 규정(Regulation) (EU) 2016/679에 따른, 제3국으로의 개인정보 이전을 위한 표준계약조항을 의미하며, https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj?url=CELEX:32021D0914&locale= en에서 열람 가능합니다.
- “GDPR”은 유럽의회 및 유럽이사회의 2016년 4월 27일 자 규정(Regulation) (EU) 2016/679(일반 개인정보 보호 규정)를 의미합니다.
- “정보 보안 의무”는 계약에 편입되는 등으로 계약의 일부를 구성함으로써 적용될 수 있는 모든 정보 보안 의무를 의미합니다.
- “기타 정보 이전”은 (i) 해당 개인정보를 이전받기에 적절하지 않다고 간주되는 제3국으로의 개인정보 이전을 제한하는 국가(“제한 당사국”)의 법률의 적용을 받는 동시에 (ii) EEA 정보 이전 또는 UK 정보 이전에 해당하지 않는 개인정보의 이전을 의미합니다.
- “개인정보”는 “개인 식별 정보”, “개인정보”, “개인 데이터” 또는 개인정보 보호 법령에서 정의된 이와 유사한 용어를 포함하여, 식별된 또는 식별 가능한 자연인과 관련한 일체의 정보를 의미하며, 협력사가 계약과 관련하여 처리하는 개인정보로 제한됩니다.
- “처리하다” 또는 “처리”는 자동화 수단에 의한 것인지 여부에 관계없이 개인정보에 행해지는 단일 작업이나 일련의 작업으로서, 수집, 기록, 편집(organization), 구성, 저장, 가공 또는 변경(adaptation or alteration), 참조(consultation), 이용, 전송에 의한 공개, 이전, 배포나 기타 방식으로의 제공(dissemination or otherwise making available), 연동이나 연계(alignment or combination), 제한, 삭제 또는 파기 등을 의미합니다.
- “프로세서(Processor)”는 컨트롤러를 대신하여 개인정보를 처리하는 자연인 또는 법인을 의미합니다.
- “보안 사고”는 (i) 개인정보에 대해 권한 없이 이루어진 취득, 유출, 접근, 이용 또는 오용, 접근 또는 이용 권한의 상실(개인정보가 저장된 저장 매체의 분실 포함), 또는 (ii) 우발적 또는 불법적으로 이루어진 개인정보의 파기, 유출, 변경, 이용 또는 오용, 무단 공개, 또는 접근을 초래하는 모든 개인정보 보호조치 의무 위반행위를 의미합니다.
- “민감정보”는 인종 또는 출신 민족, 정치적 견해, 종교적 또는 철학적 신념, 노동조합 가입 여부, 육체적 또는 정신적 건강, 성생활 또는 성적 지향, 정보주체를 고유하게 식별할 목적으로 이루어지는 유전정보 및 생체정보의 처리, 유죄 판결 및 범죄 전과 또는 관련 보안조치와 관련된 개인정보, 정부 발급 신분증 번호, 계정 인증 정보, 결제 카드 번호 등의 금융 계좌 번호, 정확한 위치정보, 협력사 또는 고객사에게 전달되지 않은 커뮤니케이션 내용, 그리고 관련 개인정보 보호 법령에 따라 "민감한" 것으로 간주되거나 강화된 보호를 요하는 일련의 개인정보를 의미합니다.
- “서비스”는 계약에서 정의된 경우 정의된 바에 따른 의미를 가지며, 그렇지 않은 경우 협력사가 계약에 따라 당사에 제공하는 제품이나 서비스를 의미합니다.
- “하위 프로세서”는 프로세서를 대신하여 개인정보를 처리하는 자연인 또는 법인을 의미합니다.
- “학습 데이터”는 AI의 능력을 훈련하거나, 그 밖의 방식으로 개선 또는 강화하기 위해서 사용되는 정보를 의미합니다.
- “UK 정보 이전”은 (a) UK GDPR의 적용을 받는 개인정보를, (b) 영국 이외의 국가 또는 지역에 있는 수령인에게 이전하는 경우로서, (c) 영국 국무장관에 의한 적정성 결정의 대상이 아닌 경우를 의미합니다.
- “UK GDPR”은 2018년 유럽연합 (탈퇴) 법 제3조에 따라 잉글랜드, 웨일스, 스코틀랜드 및 북아일랜드의 법률의 일부를 구성하는 GDPR을 의미합니다.
- “UK SCC 부속서”는 영국의 개인정보 감독기구(Information Commissioner’s Office)에 의해 발행된 것으로서, 2018년 개인정보 보호법의 s119A에 따라 2022년 2월 2일 의회에 제출되고 제18조에 따라 수정된 부속서 양식을 의미하며, https://ico.org.uk/media/for-organisations/documents/4019539/international-data-transfer-addendum.pdf에서 열람 가능합니다.
- 이 조항은 모든 협력사에 대하여 적용됩니다.
- 법령 준수. 협력사는 모든 관련 개인정보 보호 법령을 준수하고 그에 따른 자사의 의무를 이행하기 위해 적절한 개인정보 보호조치를 제공해야 합니다. 협력사가 개인정보 보호 법령에 따른 의무를 더 이상 이행할 수 없다고 판단하는 경우, 협력사는 이메일(wbdprivacy@wbd.com)로 고객사에 이를 통지하여야 합니다. 고객사는 협력사의 권한 없는 개인정보 처리를 제거 및 시정하기 위해 적절한 조치를 취할 권한을 가집니다.
- 보안. 협력사는 개인정보를 보호하기 위해 적절하고 충분한 기술적 및 관리적 조치를 시행하고 유지해야 합니다. 협력사의 보호 조치는 (i) 개인정보의 기밀성, 가용성 및 무결성을 보장하고, (ii) 개인정보의 보안 또는 무결성에 대한 예상되는 위협이나 위험으로부터 이를 보호하며, (iii) 권한 없는 처리로부터 개인정보를 보호하도록 설계되어야 합니다.
- 제3자 커뮤니케이션. 협력사가 개인, 규제 기관, 정부 기관 또는 그 밖의 제3자로부터 다음 사항과 관련된 커뮤니케이션 내용을 수신하는 경우:
- 계약과 관련된 협력사의 개인정보 처리, 또는
- 고객사의 개인정보 처리,
해당 협력사는 (법령에 의해 금지되지 않는 한) 즉시 고객사(wbdprivacy@wbd.com)에 해당 커뮤니케이션의 구체적 내용 전부를 제공하여 이를 통지하여야 하며, 고객사가 해당 커뮤니케이션에 대응하기 위해 합리적으로 요청하는 사항에 대하여 모든 협조를 제공해야 합니다. 협력사는 법적으로 강제되지 않는 한, 고객사의 사전 승인 없이 그러한 커뮤니케이션에 직접 대응해서는 아니 됩니다.
- 요청 및 사고에 대한 대응. 협력사는 고객사의 사전 서면 승인을 받지 않는 한, 다음의 문서에서 고객사(고객사의 자회사 또는 계열사 포함)의 명칭을 언급해서는 아니 됩니다: (i) 정보주체에 대한 대응, (ii) 처리에 관한 공시, (iii) 보안 사고의 통지, 또는 (iv) 처리와 관련되는 개인정보 보호 기구 또는 그 밖의 법적 기관에 대한 공개.
- 계약 기간 및 효력의 존속.
- 글로벌 프라이버시 의무 규정은 협력사가 계약과 관련하여 행하는 개인정보 처리를 중단하는 시점에 종료됩니다.
- 제3조(모든 협력사에 적용되는 조건)와 반대되는 어떠한 내용에도 불구하고, 제3조 제4항, 제3조 제5항, 제3조 제8항 및 제7조는 계약 및 글로벌 프라이버시 의무 규정의 해지 또는 만료 후에도 효력이 존속합니다.
- 번역. 글로벌 프라이버시 의무 규정의 영어 버전과 다른 언어로 작성된 버전 사이에 상충되는 사항이 존재하는 경우, 영어 버전이 우선합니다.
- 책임 제한 미적용. 분명히 말해, 글로벌 프라이버시 의무 규정에 따른 당사자들의 책임은 계약에 포함된 책임의 제한 또는 배제 규정의 적용을 받지 않습니다.
- 파트너십(partnership) 관계의 부존재. 글로벌 프라이버시 의무 규정의 어떠한 내용도 당사자들 사이에 고용, 합작 투자(joint venture), 대리 또는 파트너십 관계를 창설하는 것으로 간주되지 않고, 어느 당사자도 제3자, 개별 법인 또는 일반 대중에 대하여 상대방 당사자와의 이러한 관계를 나타내는 방식으로 행위할 권한이 없으며 그러한 방식으로 행위하여서는 아니 됩니다.
- 이 조항은 다음과 같은 경우에 적용됩니다.
- 협력사가 고객사를 대신하여 프로세서로서 개인정보를 처리하는 경우, 또는
- 계약에서 이 조항이 적용된다고 명시적으로 규정하는 경우
- 지침. 협력사는 오로지 고객사의 서면화된 지침에 따라서만 개인정보를 처리해야 합니다(단, 협력사에 적용되는 법령상 요구 사항에 따라 해당 개인정보를 처리해야 하는 경우, 협력사는 해당 법령상 요구 사항에서 고객사에 대한 통지를 금지하지 않는 한, 해당 처리 개시 전에 고객사에 대하여 해당 법령상 요구 사항을 통지해야 함). 고객사의 서면화된 지침은 (i) 협력사가 서비스를 제공하고 계약에 따른 그 밖의 의무를 이행하기 위해 필요한 바에 따라, 그리고 (ii) 그 밖에 수시로 고객사에 의해 서면으로 지시받은 바에 따라, 개인정보를 처리하기 위한 것입니다. 고객사의 지시 또는 지침이 관련 개인정보 보호 법령을 위반한다고 판단되는 경우, 협력사는 즉시 고객사에 이를 알려야 합니다.
- 정보 처리 기술서. 정보 처리 기술서에는 처리의 대상 및 기간, 처리의 성격 및 목적, 개인정보의 유형 및 정보주체의 범주에 대한 설명이 명시됩니다.
- 이용 제한. 협력사는 다음과 같은 행위를 해서는 아니 됩니다: (i) 개인정보를 판매하거나 그 밖에 금전 또는 기타 금전적 가치가 있는 대가를 받고 개인정보를 공개하는 행위, (ii) 서비스를 제공하기 위한 특정 목적 또는 고객사의 지시 이외의 목적으로 개인정보를 처리하는 행위, (iii) 협력사와 고객사 간의 직접적 업무 관계를 벗어나 개인정보를 처리하는 행위, 또는 (iv)제3자로부터 또는 제3자를 대신하여 수령하였거나 고객들로부터 수집된 다른 개인정보와 개인정보를 결합하는 행위. 협력사는 이 조항에 규정된 제한 사항을 이해하며 이를 준수할 것임을 확인합니다.
- 정보주체의 요청. 협력사는 서비스와 관련하여 처리하는 개인정보와 관련된 정보주체의 요청이 있거나 정보주체 또는 그 대리인으로부터 커뮤니케이션을 수신한 경우, 해당 사실을 즉시 고객사에 알려야 하며, (개인정보 보호 법령에 의해 달리 요구되거나 고객사가 달리 지시하지 않는 한) 정보주체의 요청 또는 커뮤니케이션의 수신 사실을 확인해 주는 것 이외에는 정보주체에게 어떠한 대응도 해서는 아니 됩니다. 협력사는 적절한 기술적 및 관리적 조치의 제공, 필요한 제품의 특징 및 기능의 제공을 포함하여, 고객사가 정보주체의 요청에 대응할 수 있도록 필요한 지원을 고객사에 제공해야 합니다. 협력사는 즉시 그러한 지원을 제공하여야 하며, 어떠한 경우에도 정보주체의 요청 또는 고객사의 지원 요청을 받은 날로부터 5일 이내에 그러한 지원을 제공해야 합니다. 적절한 경우, 그리고 고객사가 합리적으로 요청하는 경우, 협력사는 해당 정보주체에게 개인정보 보호 법령의 내용에 부합하는 개인정보 처리지침 또는 고지문을 제공하거나 안내하는 등의 방법으로 고객사가 개인들에게 개인정보 처리에 관한 사항을 알릴 수 있도록 지원해야 합니다. 협력사는 협력사가 그 대응을 지원하는 정보주체의 요청에 대해 완전하고 정확한 기록을 유지하고, 고객사에 대하여 해당 기록을 합리적으로 열람할 수 있는 권한을 제공해야 합니다.
- 직원의 비밀유지. 협력사는 협력사의 개별 직원으로 하여금 개인정보에 적용되는 비밀유지 의무를 준수하도록 해야 합니다.
- 보안. 협력사는 정보 보안 의무 규정(Information Security Obligations)에 명시된 보안 절차 및 실무 관행을 시행하고 유지하여야 합니다.
- 감사 및 지원. 정보 보안 의무 규정의 어떠한 감사 규정에도 불구하고, 협력사는 다음 각 의무를 이행해야 합니다.
- 개인정보 보호 영향평가서 작성 및 개인정보 보호 기구와의 협의와 관련된 지원을 포함하여, 협력사가 글로벌 프라이버시 의무 규정을 준수하고 있음을 확인하기 위해 합리적으로 필요한 정보 및 지원을 고객사에 제공해야 합니다. 나아가, 고객사가 개인정보 보호 법률을 준수하기 위해 합리적으로 필요한 지원을 제공해야 합니다. 또한,
- 협력사가 고객사의 지시에 따라 글로벌 프라이버시 의무 규정 및/또는 관련 개인정보 보호 법령을 준수하는지 감사할 수 있도록, 협력사의 개인정보 보호 프로그램 및 개인정보 처리 시설에 관한 사항을 제출해야 합니다. 감사는 고객사 또는 고객사가 지정한 대리인에 의해 수행될 수 있습니다. 단, 대리인에 의한 감사 수행의 경우에는 대리인이 협력사가 수락할 수 있는 비밀 유지 계약에 대해 동의하는 경우에 한합니다. 고객사는 감사에 대한 합리적인 사전 통지를 협력사에 제공하고, 협력사의 업무를 부당하게 방해하지 않으면서 정규 업무시간 중에 이러한 감사를 수행합니다. 분명히 말하여, 이 조항은 협력사가 고객사에 대하여 협력사의 다른 고객들의 기밀 정보에 대한 열람 권한을 제공할 의무를 부과하지는 않습니다.
- 보안 사고. 협력사는 보안 사고가 실제로 발생하거나 그 발생이 합리적으로 의심되는 경우 즉시 고객사에 이메일(cybersecurity@wbd.com)로 이를 통지하여야 하며, 어떠한 경우에도 이를 알게 된 시점으로부터 48시간 이내에 통지하여야 합니다. 협력사는 고객사의 지시에 따라 고객사가 보안 사고를 조사하고, 그 피해를 경감하며, 그에 대응하기 위하여 합리적으로 요구되는 모든 정보 및 지원을 제공하여야 합니다. 이러한 정보 및 지원에는 관련 개인정보 보호 법령에 의해 최소한으로 요구되거나 고객사가 보안 사고에 대한 통지를 제공하는 데 필요한 정보 또는 지원이 포함됩니다. 협력사는 개인정보 보호 기구 또는 정보주체에게 보안 사고 관련 내용을 공표하거나 통지하기에 앞서 고객사와 먼저 협의를 하기로 정하는 것에 동의합니다. 협력사는 협력사, 그 계열사, 양수인 또는 하위 프로세서에 의해 처리되는 개인정보에 영향을 미치는 보안 사고로 인하여 발생하거나 이와 관련하여 고객사에 발생하는 모든 비용, 책임, 손실, 손해 및 경비(변호사 비용 포함)에 대해 책임을 져야 하며, 고객사의 청구 시 이를 고객사에 지급하여야 합니다.
- 재수탁(Sub-Processing). 협력사는 사용 또는 그 밖의 방식으로써 이루어지는 허용을 통하여 하위 프로세서로 하여금 협력사를 대신하여 개인정보를 처리하도록 할 수 있습니다. 단, 이는 협력사가 다음 요건을 충족하는 경우에 한합니다.
- 협력사는 협력사에 적용되는 글로벌 프라이버시 의무 규정의 조항에 포함된 의무 수준 이상의 보호 의무를 부과하는 서면 의무 약정을 각 하위 프로세서와 체결하였어야 합니다.
- 협력사는 협력사에 적용되는 글로벌 프라이버시 의무 규정의 조항에 따른 의무를 이행하기 위해 필요한 사항을 각 하위 프로세서가 수행할 수 있도록 적절한 실사를 수행해야 합니다.
- 협력사는 해당 협력사가 사용 등을 희망하는 신규 하위 프로세서에 대해 사전에 서면으로 고객사에 통지해야 합니다. 고객사는 해당 통지를 받은 날로부터 30일 이내에 협력사의 신규 하위 프로세서 사용에 이의를 제기할 수 있습니다. 고객사가 위 기간 내에 이의를 제기하지 않는 경우, 협력사는 해당 하위 프로세서가 개인정보를 처리하도록 허용할 수 있습니다. 고객사가 하위 프로세서의 사용에 이의를 제기하는 경우, 협력사는 이를 수신한 날로부터 10일 이내에 고객사의 이의에 대해 신속히 대처하여야 합니다. 협력사가 위 10일 이내에 고객사가 만족하는 수준으로 고객사의 이의 사항을 해결할 수 없는 경우, 고객사는 언제든지 위약금 없이 협력사에 대한 서면 통지로 계약을 즉시 해지할 수 있는 권한을 가집니다. 협력사는 (i) 신규 하위 프로세서를 사용하겠다는 의사를 통지한 날로부터 30일 동안, 또는 (ii) 신규 하위 프로세서 사용에 대한 고객사의 이의 사항이 고객사가 만족하는 수준으로 해결되지 않은 기간 동안, 신규 하위 프로세서가 개인정보를 처리하도록 허용하지 못합니다. 또한,
- 협력사는 각 하위 프로세서에 의해 수행되는 일체의 개인정보 처리에 대해 전적인 책임을 부담합니다.
- 파기 또는 반환. 계약이 해지 또는 만료되거나 고객사가 달리 지시하는 경우, 협력사는 고객사의 지침에 따라 다음과 같은 의무를 이행하여야 합니다: (i) 계약과 관련하여 협력사가 처리한 개인정보 일체의 사본을 당사자들이 합리적으로 합의한 형태 및 형식으로 고객사(또는 고객사가 지정한 제3자)에게 반환할 의무, 및 (ii) 계약과 관련하여 협력사가 처리하여 보유 또는 관리하는 개인정보(일체의 사본 포함)를 안전하게 파기할 의무.
- 이 조항은 다음과 같은 경우에 적용됩니다.
- 협력사가 계약과 관련하여 처리하는 개인정보의 처리 목적 및 수단을 독립적으로 결정하는 경우, 또는
- 계약에서 이 조항이 적용된다고 명시적으로 규정하는 경우
- 통지 및 투명성. 협력사는 명확하고 쉽게 확인할 수 있는 개인정보 처리방침을 수립하고 유지해야 하고, 그러한 개인정보 처리방침은 정보주체(해당 협력사가 계약과 관련하여 처리하는 개인정보의 대상자)에게 그 정보주체의 개인정보를 처리하는 방법을 알려야 하고 일체의 관련 법령 내용에 부합해야 합니다.
- 보안 사고. 협력사는 계약과 관련하여 처리하는 개인정보에 영향을 미치는 보안 사고가 실제로 발생하거나 그 발생이 합리적으로 의심되는 경우 즉시 관련 고객사에 이를 통지하여야 하며, 해당 보안 사고의 성격, 영향을 받는 개인정보 및 보안 사고에 대한 협력사의 대응 및 피해 경감 조치에 관한 정보를 즉시 고객사에 제공해야 합니다.
- 비밀유지. 협력사는 협력사의 개별 직원으로 하여금 개인정보에 적용되는 비밀유지 의무를 준수하도록 해야 합니다.
- 이 조항은 EEA 정보 이전, UK 정보 이전 또는 기타 정보 이전이 발생하는 경우 협력사에 적용됩니다.
- 정보 이전(프로세서). 이 조항은 제4조(프로세서에 적용되는 조건)가 적용되는 경우에 적용됩니다.
- EEA 정보 이전. 협력사에 의해 처리되는 개인정보가 EEA 정보 이전의 대상인 경우 그 범위 내에서, EEA 표준계약조항은 참조로써 이 글로벌 프라이버시 의무 규정에 편입되며 다음과 같이 적용됩니다.
- 적용. 협력사는 정보를 이전받는 자로서의 역할을 수행하고, 고객사는 정보를 이전하는 자로서의 역할을 수행합니다.
- 도킹(Docking). EEA 표준계약조항 제1장 제7조의 목적상, 선택적 도킹(docking) 조항이 적용됩니다.
- 모듈. 모듈 2(컨트롤러에서 프로세서로의 이전)가 적용됩니다.
- 지침. EEA 표준계약조항 제2장 제8조 제1항(모듈 2)의 목적상, 정보를 이전받는 자에 대한 지침은 협력사에 의해 제공되는 서비스 수행 및/또는 제품의 공급을 위해 필요한 바에 따라, 그리고 계약에 따라 명시된 바에 따라, 개인정보를 처리하기 위한 지침이 됩니다.
- 하위 프로세서. EEA 표준계약조항 제2장 제9조(모듈 2)의 목적상, 옵션 2가 적용됩니다(정보를 이전받는 자가 정보를 이전하는 자에게 의도된 변경 사항을 사전 통지할 기간은 30일 이전으로 합니다).
- 시정. EEA 표준계약조항 제2장 제11조의 목적상, 다른 언어 선택은 적용되지 않습니다.
- 준거법. EEA 표준계약조항 제4장 제17조 및 제18조의 목적상, 관련 개인정보 보호 법령에 의해 허용되는 범위 내에서, 각 당사자는 EEA 표준계약조항에 따른 각자의 의무가 아일랜드 공화국의 법률에 의하여 규율되고 아일랜드 공화국 법원의 관할권에 속한다는 데 동의합니다.
- 부속서 I, 파트 A의 작성. 부속서 I, 파트 A(당사자 목록)는 각각의 경우에 계약에 기재된 바에 따라, (i) (정보를 이전하는 자로서) 고객사의 세부 정보 및 (ii) (정보를 이전받는 자로서) 협력사의 세부 정보로 작성되는 것으로 간주됩니다.
- 부속서 I, 파트 B의 작성. EEA 표준계약조항의 부속서 I, 파트 B(이전 기술서)는 정보 처리 기술서에 기재된 정보로 작성되는 것으로 간주됩니다.
- 부속서 I, 파트 C의 작성. EEA 표준계약조항의 부속서 I, 파트 C(소관 감독 기구)에 관하여 관련 개인정보 보호 법령에 의해 허용되는 범위 내에서, 각 당사자는 아일랜드 공화국의 개인정보 보호 기구를 선택합니다.
- 부속서 II의 작성. EEA 표준계약조항의 부속서 II(데이터 보안을 보장하기 위한 기술적 및 관리적 조치를 포함하는 기술적 및 관리적 조치)는 정보 보안 의무 규정에 기재된 규정으로 작성되는 것으로 간주됩니다.
- 규정의 충돌. EEA 표준계약조항과 이 조항 사이에 불일치 또는 충돌이 발생하는 경우, 해당 조항은 정보주체를 최대한 보호할 수 있는 방법으로 해석되어야 합니다.
- 제한 당사국을 위한 EEA 표준계약조항의 해석. 고객사의 협력사에 대한 개인정보 공개가 기타 정보 이전에 해당하는 경우 및 그 범위 내에서, EEA 표준계약조항은 글로벌 프라이버시 의무 규정에 편입되며 제6조의 본 항에서 앞서 규정한 바에 따라 적용됩니다. 단, 다음 사항은 예외로 합니다: (i) EEA 표준계약조항에서 “EU”, “연합”, “EU 회원국” 또는 “회원국”을 지칭한 경우 해당 제한 당사국을 지칭한 것으로 보고, (ii) “규정(Regulation) (EU) 2016/679” 또는 “해당 규정(that Regulation)”을 지칭한 경우 해당 제한 당사국의 개인정보 보호 법령을 지칭한 것으로 보며, GDPR의 특정 규정 또는 조항을 지칭한 경우 제한 당사국의 개인정보 보호 법령 중 가장 근접한 것으로서 동등한 규정 또는 조항으로 이를 대체하고, (iii) “감독 기구”는 해당 제한 당사국의 개인정보 보호 기구를 지칭하며, (iv) “표준계약조항(Clauses)”에 대한 지칭은 EEA 표준계약조항을 편입하여 수정하는 이 조항을 의미합니다.
- UK 정보 이전. 협력사에 의해 처리되는 개인정보가 UK 정보 이전의 대상인 경우 그 범위 내에서, UK SCC 부속서가 글로벌 프라이버시 의무 규정에 편입되며 다음과 같이 적용됩니다.
- 표 1의 작성. UK SCC 부속서의 표 1은 계약에 규정된 바에 따라, 고객사(정보를 이전하는 자)의 세부 정보 및 협력사(정보를 이전받는 자)의 세부 정보로 작성됩니다. "개시일"은 계약의 개시일, 발효일 또는 이에 준하는 일자입니다. 고객사의 “주요 담당자”는 “개인정보 보호 책임자(Head of Privacy)” 또는 wbdprivacy@wbd.com으로 연락할 수 있는 해당 담당자의 대리인이며, 협력사의 “주요 담당자”는 해당 담당자의 구체적 직책과 이메일 주소를 포함하여 수시로 고객사에 통지되는 대로 결정됩니다.
- 표 2 및 표 3의 작성. UK SCC 부속서의 표 2는 “부록 정보를 포함하여, 이 부속서의 목적을 위하여 발효된 것으로서 승인된 EU SCC의 다음 모듈, 조항 또는 선택 조항만을 포함하여 승인된 EU SCC"를 선택하여 작성합니다. UK SCC 부속서의 표 2 및 표 3의 목적상, “승인된 EU SCC”는 제6조의 본 항에서 앞서 규정한 바와 같이 작성됩니다.
- 표 4의 작성. UK SCC 부속서의 표 4는 "모든 당사자 미해당"을 선택하여 작성합니다.
- 규정의 충돌. UK SCC 부속서 및 글로벌 프라이버시 의무 규정 사이에 불일치 또는 충돌이 발생하는 경우, UK SCC 부속서가 우선합니다.
- 정보 이전(컨트롤러). 이 조항은 제5조(컨트롤러에 적용되는 조건)가 적용되는 경우에 적용됩니다.
- EEA 정보 이전. 협력사에 의해 처리되는 개인정보가 EEA 정보 이전의 대상인 경우 그 범위 내에서, EEA 표준계약조항은 글로벌 프라이버시 의무 규정에 편입되며 다음과 같이 적용됩니다.
- 적용. 협력사는 정보를 이전받는 자로서의 역할을 수행하고, 고객사는 정보를 이전하는 자로서의 역할을 수행합니다.
- 도킹(Docking). EEA 표준계약조항 제1장 제7조의 목적상, 선택적 도킹(docking) 조항이 적용됩니다.
- 모듈. 모듈 1(컨트롤러에서 컨트롤러로의 이전)이 적용됩니다.
- 시정. EEA 표준계약조항 제2장 제11조의 목적상, 다른 언어 선택은 적용되지 않습니다.
- 준거법. EEA 표준계약조항 제4장 제17조 및 제18조의 목적상, 관련 개인정보 보호 법령에 의해 허용되는 범위 내에서, 각 당사자는 EEA 표준계약조항에 따른 각자의 의무가 아일랜드 공화국의 법률에 의하여 규율되고 아일랜드 공화국 법원의 관할권에 속한다는 데 동의합니다.
- 부속서 I, 파트 A의 작성. 부속서 I, 파트 A(당사자 목록)는 각각의 경우에 계약서에 기재된 바에 따라, (i) (정보를 이전하는 자로서) 고객사의 세부 정보 및 (ii) (정보를 이전받는 자로서) 협력사의 세부 정보로 작성되는 것으로 간주됩니다.
- 부속서 I, 파트 B의 작성. EEA 표준계약조항의 부속서 I, 파트 B(이전 기술서)는 정보 처리 기술서에 기재된 정보로 작성되는 것으로 간주됩니다.
- 부속서 I, 파트 C의 작성. EEA 표준계약조항의 부속서 I, 파트 C(소관 감독 기구)에 관하여 관련 개인정보 보호 법령에 의해 허용되는 범위 내에서, 각 당사자는 아일랜드 공화국의 개인정보 보호 기구를 선택합니다.
- 부속서 II의 작성. EEA 표준계약조항의 부속서 II(데이터 보안을 보장하기 위한 기술적 및 관리적 조치를 포함하는 기술적 및 관리적 조치)는 정보 보안 의무 규정에 기재된 규정으로 작성되는 것으로 간주됩니다.
- 규정의 충돌. EEA 표준계약조항과 이 조항 사이에 불일치 또는 충돌이 발생하는 경우, 해당 조항은 정보주체를 최대한 보호할 수 있는 방법으로 해석되어야 합니다.
- 제한 당사국을 위한 EEA 표준계약조항의 해석. 고객사의 협력사에 대한 개인정보 공개가 기타 정보 이전에 해당하는 경우 및 그 범위 내에서, EEA 표준계약조항은 글로벌 프라이버시 의무 규정으로 편입되며 제6조의 본 항에서 앞서 규정한 바에 따라 적용됩니다. 단, 다음 사항은 예외로 합니다: (i) EEA 표준계약조항에서 “EU”, “연합”, “EU 회원국” 또는 “회원국”을 지칭한 경우 해당 제한 당사국을 지칭한 것으로 보고, (ii) “규정(Regulation) (EU) 2016/679” 또는 “해당 규정(that Regulation)”을 지칭한 경우 해당 제한 당사국의 개인정보 보호 법령을 지칭한 것으로 보며, GDPR의 특정 규정 또는 조항을 지칭한 경우 제한 당사국의 개인정보 보호 법령 중 동등한 규정 또는 조항으로 이를 대체하고, (iii) “감독 기구”은 해당 제한 당사국의 개인정보 보호 기구를 지칭하며, (iv) “표준계약조항(Clauses)”에 대한 지칭은 EEA 표준계약조항을 편입하여 수정하는 이 조항을 의미합니다.
- UK 정보 이전. 협력사에 의해 처리되는 개인정보가 UK 정보 이전의 대상인 경우 그 범위 내에서, UK SCC 부속서가 글로벌 프라이버시 의무 규정으로 편입되며 다음과 같이 적용됩니다.
- 표 1의 작성. UK SCC 부속서의 표 1은 계약에 규정된 바에 따라, 고객사(정보를 이전하는 자)의 세부 정보 및 협력사(정보를 이전받는 자)의 세부 정보로 작성됩니다. "개시일"은 계약의 개시일, 효력발생일 또는 이에 준하는 일자입니다. 고객사의 “주 연락처”는 “개인정보 보호 책임자(Head of Privacy)” 또는 해당 담당자의 대리인으로 wbdprivacy@wbd.com으로 연락할 수 있으며, 협력사의 “주 연락처”는 해당 담당자의 구체적 직책과 이메일 주소를 포함하여 수시로 고객사에 통지되는 대로 결정됩니다.
- 표 2 및 표 3의 작성. UK SCC 부속서의 표 2는 “부록 정보를 포함하여, 이 부속서의 목적을 위하여 발효된 것으로서 승인된 EU SCC의 다음 모듈, 조항 또는 선택 조항만을 포함하여 승인된 EU SCC"를 선택하여 작성합니다. UK SCC 부가문서의 표 2 및 표 3의 목적상, “승인된 EU SCC”는 제6조의 본 항에서 앞서 규정한 바와 같이 작성됩니다.
- 표 4의 작성. UK SCC 부속서의 표 4는 "모든 당사자 미해당"을 선택하여 작성합니다.
- 규정의 충돌. 영국 SCC 부속서 및 이 조항 사이에 불일치 또는 충돌이 발생하는 경우, 영국 SCC 부속서가 우선합니다.
- 추가적인 국외 이전 규정. 협력사에 의해 처리되는 개인정보가 EEA 정보 이전, UK 정보 이전 또는 기타 정보 이전의 대상인 경우 및 그 범위 내에서, 이 조항이 적용됩니다.
보충적 조치
- 당사자들은 EEA 정보 이전 또는 UK 정보 이전의 적용 대상이었던 개인정보가 (EEA 표준계약조항에 포함된 안전성 확보 조치에 추가하여) 그 유래 지역에서 처리될 때 받게 되는 보호와 본질적으로 동등한 수준의 보호를 받도록 하기 위해 보충적 조치가 필요할 수 있다고 명확히 판단한 유럽연합 사법재판소의 C-311/18 판결을 인정하고 이에 동의합니다. 이에 각 당사자는 이러한 본질적 동등성 보장을 돕기 위한 보충적 조치로서 다음과 같은 제6조 제4항의 (b)호 내지 (g)호에 명시된 조치에 합의했습니다.
- 협력사가 법집행 기관, 규제 기구, 사법 당국 또는 정부 당국(“소관 당국”)으로부터 계약과 관련하여 처리되는 개인정보의 전부 또는 일부에 대한 접근등〮사 요청 또는 요구를 인지하는 경우, 협력사는 해당 요청 또는 요구가 임의적인 것인지 강제적인 것인지의 여부를 불문하고 다음과 같은 의무를 이행하여야 합니다.
- 해당 소관 당국의 요청을 즉시 고객사에 통지하여야 합니다.
- 제4조(프로세서에 적용되는 조건)가 적용되는 경우, 협력사는 협력사가 개인정보의 프로세서이며, 고객사가 협력사로 하여금 해당 개인정보를 소관 당국에 공개하도록 승인하지 않았음을 소관 당국에 알려야 합니다.
- 해당 개인정보에 대한 모든 접근 요청 또는 요구는 (컨트롤러로서) 고객사에 서면으로 통지되거나 송달되어야 함을 소관 당국에 알려야 합니다. 그리고,
- 제6조 제4항 (c)호에 따라, 고객사의 서면 승인이 없는 한 소관 당국에 대하여 해당 개인정보에 접근할 권한을 제공해서는 아니 됩니다.
- 제6조 제4항 (b)호 (iv)목에도 불구하고, 협력사는 (법령에 의해 금지되지 않는 한) 다음 요건을 충족하는 경우에 한하여, 고객사의 사전 서면 승인 없이도 소관 당국의 요청 또는 요구에 따라 개인정보를 해당 소관 당국에 공개할 수 있습니다.
- 협력사는 고객사에 해당 요청 또는 요구에 관한 합리적인 사전 통지를 하여 고객사가 소관 당국에 이의를 제기하거나, 보호 명령 신청 또는 그 밖의 적절한 구제 조치를 취할 수 있는 합리적 기회를 제공하였을 것.
- 협력사는 고객사가 그 비용 및 경비 부담 하에 소관 당국에 이의를 제기하거나, 보호 명령 신청 또는 그 밖의 적절한 구제 조치를 취할 수 있도록 고객사와 합리적으로 협조할 것. 그리고,
- 협력사는 어떠한 경우에도 법적으로 공개할 의무가 있는 범위 내의 개인정보만을 공개할 것.
- 협력사가 소관 당국에 개인정보를 공개하는 경우, 협력사는 법적으로 공개할 의무가 있는 범위 내에서만, 그리고 관련된 적법한 절차에 따라서만, 해당 개인정보를 공개하여야 합니다.
- 협력사는 민주주의 사회에서 필요하고 적절한 범위를 넘어 고의로 대량의 개인정보를 공개하거나, 무차별적인 방법으로 개인정보를 공개해서는 아니 됩니다.
- 협력사는 소관 당국의 개인정보에 대한 요청을 규율하는 서면 지침으로서 최소한 다음 행위를 금지하는 지침을 수립하여 이를 유지하고 준수하여야 합니다.
- 유럽 내 정보주체와 관련된 개인정보의 대량 또는 무차별적 공개 행위, 그리고,
- 그러한 개인정보의 공개를 강제하는 소환장, 영장, 결정문 또는 그 밖의 법적으로 구속력 있는 명령 없이, 유럽 내 정보주체와 관련된 개인정보를 소관 당국에 공개하는 행위
- 협력사는 업계의 모범 관행에 따라, 개인정보를 탈취(고객사에서 협력사로의 전송 및 서로 다른 시스템과 서비스 사이에서의 전송 과정에서 발생하는 탈취 포함)로부터 보호하기 위한 조치를 마련하고 유지해야 합니다. 여기에는 공격자가 데이터를 탈취할 수 없도록 네트워크 보호를 마련하고 유지하는 것과, 공격자가 데이터를 읽을 수 없도록 전송 중 데이터 암호화 조치를 마련하고 유지하는 것이 포함됩니다.
추가적인 정보 이전 규정
- 협력사는 고객사가 (해당되는 바에 따라) EEA 정보 이전, UK 정보 이전 또는 기타 정보 이전을 수행하기 위해 필요하다고 판단하는 경우, 추가 문서의 내용을 실행하여 추가적인 보호 조치를 취하기 위하여 또는 특정 지역 내로 처리를 제한하기 위하여, 신의에 좇아 성실히 협력하는 데 동의합니다.
- 협력사가 언제든지 해당 개인정보를 이전받기에 적절하지 않다고 판단되는 다른 관할 지역으로의 개인정보 이전을 제한하는 국가에서 유래하는 개인정보를 처리하는 경우, 협력사는 고객사의 지시에 따라 다음 조치를 취하여야 합니다.
- 처리의 적법성을 확보하기 위하여 해당 국가의 개인정보 보호 법령에 의하여 요구되는 모든 조치를 취하고 필요한 계약을 체결합니다. 그리고,
- 고객사의 개인정보에 대하여 적절한 수준의 보호를 보장합니다.
- 소관 개인정보 보호 기구에서 각 당사자가 신뢰하는 데이터 이전 메커니즘이 유효하지 않다고 판단하거나, 소관 개인정보 보호 기구 또는 관련 법령에서 개인정보 이전의 중단 또는 특정 관할권 내로의 개인정보 이전의 제한을 요구하는 경우, 고객사는 그 재량으로 협력사에 대하여 개인정보 처리를 중단하도록 요구할 수 있으며, 협력사는 대체 데이터 이전 메커니즘의 이용을 지원하거나, 추가 문서를 실행하거나, 추가적인 보호 조치를 취하거나, 또는 처리를 특정 관할권 내로 제한하기 위하여, 고객사와 신의성실하게 협력하여야 합니다.
- 이 조항은 모든 협력사에 적용됩니다.
- 협력사는 계약에 명시된 일체의 손해배상 의무 외에도, 개인정보 보호 기구 또는 정보주체에 의한 청구나 소송을 포함하여, 다음과 관련하여 발생하는 모든 제3자의 청구, 소송, 비용, 책임, 손실, 손해 및 경비(변호사 보수 포함)로부터 고객사를 방어하고 면책시켜야 합니다: (i) 보안 사고, 또는 (ii) 협력사나 협력사의 계열사, 하위 프로세서(협력사의 계열사에 의해 지정된 하위 프로세서 포함) 및 양수인에 의한 글로벌 프라이버시 의무 규정의 위반.
- 이 조항은 다음에 해당하는 협력사에 적용됩니다.
- 계약에 따라 고객사에 AI를 제공하거나, AI에 대한 액세스 권한을 부여하는 협력사
- 계약에 따른 서비스의 전부 또는 일부를 제공하기 위하여 AI를 사용하는 협력사
- 협력사는 개인정보 보호 영향 평가 및 AI 편향성 평가를 수행하기 위해서 고객사가 요구하는 정보를 포함하여, 계약에 따른 의무 이행의 일환으로 이루어지는 협력사의 AI 사용과 관련하여 고객사가 합리적으로 요청하는 정보를 제공해야 합니다.
- 협력사는 다음 사항을 진술하고 보증합니다: (i) 계약과 관련하여 고객사에 제공되거나, 계약에 따른 협력사의 의무 이행 과정에서 협력사에 의해 사용된 AI의 학습 데이터 일체는 (A) 관련 법령을 완전히 준수하면서 제3자의 권리를 침해하지 않고 취득되었으며, (B) 개인정보를 과거 포함하였거나 현재 포함하고 있지 않다는 점, (ii) 협력사는 일체의 AI로부터 나오는 AI 결과물을 훈련, 개선, 강화 또는 유도하기 위한 목적으로 계약과 관련하여 취득한 개인정보를 사용(또는 제3자가 사용하도록 돕거나 허락)해서는 아니 된다는 점, 그리고 (iii) 협력사는 계약에 따른 의무 이행에 있어서 자동화된 의사 결정을 수행하거나, 고객사가 이를 수행하도록 돕지 않는다는 점.
이전 버전 보기