글로벌 프라이버시 의무 규정

최종 수정일: 2022년 11월 21일

1. 서문

이 글로벌 프라이버시 의무 규정(“글로벌 프라이버시 의무 규정”)에서는 당사의 벤더 및 그 밖의 협력업체(“협력사”라 통칭함)가 당사에 대한 자사의 제품 및 서비스 제공과 관련하여 충족하도록 당사에 의해 요구되는 정보 보호 의무에 대해 규정합니다. 이 글로벌 프라이버시 의무 규정이 당사가 협력사와 체결한 계약(“계약”)의 일부로 편입된 경우, 이는 해당 계약을 보충하고 그 일부를 구성합니다.
당사와 협력사 사이의 관계에 따라 이 글로벌 프라이버시 의무 규정 중 적용되는 조항에 차이가 있습니다. 각 조항에서는 해당 조항이 적용되는 경우를 명시하고 있습니다.

2. 용어 정의

이 조항은 모든 협력사에 적용됩니다.
이 글로벌 프라이버시 의무 규정의 목적상, 다음 용어는 다음과 같은 의미를 가집니다.
1. “컨트롤러(Controller)”는 단독으로 또는 타인과 공동으로, 개인정보의 처리 목적과 수단을 결정하는 사람이나 주체를 의미합니다.
2. “고객사” 또는 “당사”는 (i) 계약에 명시되어 있고 계약의 당사자에 해당하는 Warner Bros. Discovery 소속사 및 (ii) 계약에 이름이 명시되어 있는 Warner Bros. Discovery 소속사를 관리(control)하거나, 그에 의해 관리되거나, 그와 함께 공동 관리하에 있는 계열사나 자회사를 의미합니다.
3. “개인정보 보호 법률”은 때때로 개정되는 바에 따라, 개인정보 처리, 프라이버시, 정보 보호(개인정보의 보호) 또는 사이버 보안과 관련하여, 그 해석 또는 집행 권한이 있는 규제 당국에 의해 공포된 일체의 연방, 주, 광역자치단체, 지역, 기초자치단체나 외국의, 또는 국제적이거나 다수 국가 사이의, 또는 그 밖의 헌법, 법률, 제정법, 조약, 규칙, 규정, 명령, 법규 및 지침을 의미합니다.
4. “정보주체”는 개인정보가 관련되는 개인을 의미합니다.
5. “정보주체의 요청”은 정보주체에 의해 이루어지는 정보, 열람, 정정, 삭제, 제한, 이동, 반대, 판매금지, 제거의 요청, 그리고 그 밖의 유사한 요청을 의미합니다.
6. “정보 처리 기술서(Description of Processing)”는 계약에 따라 협력사에 의해 처리되는 개인정보에 관한 기술서를 의미합니다.
7. “EEA”는 유럽경제지역(European Economic Area)을 의미합니다.
8. “EEA 정보 이전”은 GDPR의 적용을 받는 개인정보를 유럽연합 집행위원회에 의해 그 적정성을 인정받지 못한 EEA 이외의 국가 또는 지역으로 이전하는 것을 의미합니다.
9. “EEA 표준계약조항”은 유럽연합 집행위원회의 2021년 6월 4일 자 C(2021) 3972 결정에 의해 채택된 유럽의회 및 유럽이사회의 규정(Regulation) (EU) 2016/679에 따른 제3국으로의 개인정보 이전을 위한 표준계약조항을 의미하며, https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj?uri=CELEX:32021D0914&locale=en에서 열람 가능합니다.
10. “GDPR”은 유럽의회 및 유럽이사회의 2016년 4월 27일 자 규정(Regulation) (EU) 2016/679(일반 개인정보 보호 규정)를 의미합니다.
11. “정보 보안 의무”는 계약에 첨부되거나 그 밖의 방식으로 계약의 일부를 구성함으로써 적용되는 모든 정보 보안 의무를 의미합니다.
12. “기타 정보 이전”은 (i) 해당 개인정보를 수신하기에 적정하다고 인정되지 않는 다른 국가로 개인정보를 이전하는 것을 제한하는 국가(“제한 당사국”)의 법률의 적용을 받는 동시에 (ii) EEA 정보 이전 또는 UK 정보 이전에 해당하지 않는 개인정보의 이전을 의미합니다.
13. “개인정보”는 “개인식별정보”, “개인정보”, “개인 데이터” 또는 개인정보 보호 법률에서 정의된 유사한 용어를 포함하여, 식별되거나 식별 가능한 자연인과 관련되는 일체의 정보를 의미하며, 협력사가 계약과 관련하여 처리하는 개인정보로 제한됩니다.
14. “처리하다” 또는 “처리”는 개인정보의 수집, 기록, 정리(organization), 구조화, 저장, 가공이나 변경, 참조, 이용, 전송에 의한 공개, 이전, 배포나 기타 방식으로의 제공, 정렬이나 결합, 제한, 삭제 또는 파기를 포함하여, 자동화된 수단에 의하는지 여부를 불문하고, 개인정보에 대해 수행되는 일체의 작업 또는 일련의 작업들을 의미합니다.
15. “프로세서(Processor)”는 컨트롤러를 대신하여 개인정보를 처리하는 사람이나 주체를 의미합니다.
16. “보안 사고”는 다음을 의미합니다: (i) 협력사의 정보 처리 업무의 심각한 방해, (ii) 개인정보에 대해 권한 없이 이루어진 취득, 분실, 열람, 이용이나 오용, 열람 또는 이용 권한의 상실(개인정보가 저장된 저장 매체의 분실 포함), 또는 (iii) 우발적 또는 불법적으로 이루어지는 개인정보의 파기, 분실, 변경, 이용이나 오용, 무단 공개, 또는 열람을 초래하는 보안 위반.
17. “민감정보”는 인종 또는 출신 민족, 정치적 의견, 종교적 또는 철학적 신념, 노동조합 가입 여부, 육체적 또는 정신적 건강, 성생활이나 성적 지향, 정보주체를 고유하게 식별할 목적으로 이루어지는 유전 정보나 생체 정보의 처리, 유죄판결 및 범죄행위나 관련 보안 조치와 관련된 개인정보, 정부 발행 신분증 번호, 계정 인증 정보, 결제 카드 번호 등의 금융 계좌 번호, 정확한 위치 정보, 협력사 또는 고객사를 수신처로 하지 않는 통신의 내용, 그리고 관련 개인정보 보호 법률에 따라 "민감한" 정보로 간주되거나 강화된 보호가 요구되는 일련의 개인정보를 의미합니다.
18. “서비스”는 계약에 규정된 의미를 가지며, 계약에서 정의되지 않은 경우 계약에 따라 협력사에 의해 당사로 제공되는 제품이나 서비스를 의미합니다.
19. “하위 프로세서”는 프로세서를 대신하여 개인정보를 처리하는 사람이나 주체를 의미합니다.
20. “UK 정보 이전”은 UK GDPR의 적용을 받는 개인정보를 영국 국무부에 의해 그 적정성을 인정받지 못한 영국 이외의 국가 또는 지역으로 이전하는 것을 의미합니다.
21. “UK GDPR”은 2018년 유럽연합 탈퇴법 제3조에 따라 잉글랜드, 웨일스, 스코틀랜드 및 북아일랜드의 법률의 일부를 구성하는 GDPR을 의미합니다.
22. “UK SCC 부가문서”는 영국의 개인정보 감독기구(Information Commissioner’s Office)에 의해 발행된 것으로서, 2022년 2월 2일, 2018년 개인정보 보호법의 s119A에 따라 의회에 제출되고 제18조에 따라 수정된 부가문서 템플릿을 의미하며, https://ico.org.uk/media/for-organisations/documents/4019539/international-data-transfer-addendum.pdf에서 열람 가능합니다.

3. 모든 협력사에 적용되는 조건

이 조항은 모든 협력사에 적용됩니다.
법률 준수. 협력사는 모든 관련 개인정보 보호 법률을 준수하고, 그에 따른 자사의 의무를 이행하기 위해 적절한 개인정보 보호 조치를 취해야 합니다. 협력사가 개인정보 보호 법률에 따른 자사의 의무를 더 이상 충족시킬 수 없다고 판단하는 경우, 협력사는 wmprivacy@warnermedia.com으로 고객사에 이를 알려야 합니다. 고객사는 협력사가 권한 없이 실시하는 개인정보 처리를 중단 및 시정하기 위해 적절한 조치를 취할 수 있는 권리를 가집니다.
보안. 협력사는 개인정보를 보호하기 위해 적절하고 적정한 기술적 및 조직적 조치를 시행하고 유지해야 합니다. 협력사의 보안 조치는 (i) 개인정보의 기밀성, 가용성 및 무결성을 보장하고, (ii) 개인정보의 보안 또는 무결성에 대해 예상되는 위협이나 위해로부터 보호하며, (iii) 권한 없는 정보 처리로부터 보호하도록 설계되어야 합니다.
제3자 통신. 협력사가 다음과 관련하여 개인, 규제 기관, 정부 기관 또는 그 밖의 제3자로부터 통신을 수신하는 경우:
1. 계약과 관련된 협력사의 개인정보 처리, 또는
2. 고객사의 개인정보 처리,
해당 협력사는 (법률에 의해 금지되지 않는 한) 즉시 해당 통신의 세부 내용 전체를 (wmprivacy@warnermedia.com으로) 고객사에 알려야 하며, 해당 통신에 대응하기 위한 고객사의 합리적인 협조 요청에 따라야 합니다. 협력사는 법적으로 강제되지 않는 한, 고객사의 사전 승인 없이 이러한 통신에 직접 대응해서는 안 됩니다.
요청 및 사고에 대한 대응. 협력사는 고객사의 사전 서면 승인을 받지 않는 한, 다음의 문서에서 고객사(고객사의 자회사 또는 계열사 포함)의 이름을 언급해서는 안 됩니다: (i) 정보주체에 대한 응답, (ii) 정보 처리에 관한 공시, (iii) 보안 사고의 통지, 또는 (iv) 정보 처리와 관련되는 개인정보 보호 당국 또는 그 밖의 법적 기관에 대한 공개.
계약기간 및 효력 존속.
1. 아래 3.6(b)항을 전제로, 이 글로벌 프라이버시 의무 규정은 협력사가 계약과 관련하여 개인정보 처리를 정지하는 시점에 종료됩니다.
2. 위 3.6(a)항에도 불구하고, 3.4항, 3.5항 및 3.7항은 계약 및 글로벌 프라이버시 의무 규정의 종료 또는 만료 후에도 효력이 존속합니다.
번역. 이 글로벌 프라이버시 의무 규정의 영어 버전과 다른 언어로 작성된 버전 사이에 상충되는 사항이 존재하는 경우, 영어 버전이 우선합니다.
책임 제한 미적용. 명확히 말해, 이 글로벌 프라이버시 의무 규정에 따른 당사자들의 책임은 계약에 포함된 책임 제한 또는 배제 규정의 적용을 받지 않습니다.

4. 프로세서에 적용되는 조건

이 조항은 다음에 해당되는 범위까지 적용됩니다.
1. 협력사가 고객사를 대신하여 프로세서로서 개인정보를 처리하는 경우, 또는
2. 계약에서 이 조항이 적용된다고 명시적으로 규정하는 경우
지침. 협력사는 오로지 고객사의 문서화된 지침에 따라서만 개인정보를 처리해야 합니다(단, 협력사가 적용을 받는 법률상 요구사항에 따라 해당 개인정보를 처리해야 하는 경우, 협력사는 해당 법률상 요구사항에서 금지하지 않는 한, 해당 정보 처리 개시 전에 해당 법률상 요구사항에 대해 고객사에 통지해야 함). 고객사의 문서화된 지침은, (i) 협력사가 서비스를 제공하고 계약에 따른 그 밖의 의무를 이행하기 위해, 그리고 (ii) 그 밖에 때때로 고객사에 의해 서면으로 지시받은 바에 따라, 개인정보를 처리하기 위한 것입니다. 협력사가 고객사로부터 제공된 지시 또는 지침이 관련 개인정보 보호 법률을 위반한다고 판단하는 경우, 협력사는 즉시 고객사에 이를 알려야 합니다.
정보 처리 기술서. 정보 처리의 주제 및 기간, 정보 처리의 성질 및 목적, 개인정보의 유형 및 정보주체의 범주에 대한 설명이 정보 처리 기술서에 기재됩니다.
이용 제한. 협력사는 다음 행위를 해서는 안 됩니다: (i) 개인정보를 판매하거나, 그 밖에 금전 또는 기타 금전적 가치가 있는 대가를 받고 개인정보를 공개하는 행위, (ii) 서비스를 이행하기 위한 구체적 목적,또는 고객사의 지시에 따른 경우가 아닌 다른 목적으로 개인정보를 처리하는 행위, (iii) 협력사와 고객사 사이의 직접적 업무 관계를 벗어나서 개인정보를 처리하는 행위, 또는 (iv) 개인정보를 타인으로부터 또는 타인을 대신하여 입수하였거나 고객들로부터 수집한 다른 개인정보와 결합하는 행위. 협력사는 이 조항에 규정된 제한 사항을 이해하며 이를 준수할 것임을 확언합니다.
정보주체의 요청. 협력사는 서비스와 관련하여 자사가 처리하는 개인정보와 관련하여 정보주체의 요청이 있거나 정보주체로부터 또는 정보주체를 대신하여 통신을 수신한 경우, 해당 사실을 즉시 고객사에 알려야 하며, (개인정보 보호 법률에 의해 달리 요구되거나 고객사가 달리 지시하지 않는 한) 정보주체의 요청 또는 해당 통신의 수신 사실을 확인해주는 것 이외에는 정보주체에게 어떠한 응답도 제공해서는 안 됩니다. 협력사는 적절한 기술적 및 조직적 조치의 제공, 필요한 제품 특성 및 기능의 제공을 포함하여, 고객사가 정보주체의 요청에 응답할 수 있도록 하기 위해 필요한 지원을 고객사에 제공해야 합니다. 협력사는 즉시, 어떠한 경우에도 정보주체의 요구 또는 고객사의 지원 요청을 받은 날로부터 오(5) 일 이내에 이러한 지원을 제공해야 합니다. 적절한 경우, 그리고 고객사가 합리적으로 요청하는 경우, 협력사는 개인정보 보호 법률에 부합하는 개인정보 처리방침 또는 고지문을 해당 정보주체에게 제공하거나 안내하는 등, 고객사가 개인정보 처리에 관해 개인들에게 알릴 수 있도록 지원해야 합니다. 협력사는 자사가 지원을 제공하는 정보주체의 요청에 대해 완전하고 정확한 기록을 유지하고 고객사가 해당 기록을 합리적으로 열람할 수 있도록 해야 합니다.
직원의 비밀 유지 의무. 협력사는 자사의 각 직원이 개인정보에 적용되는 비밀 유지 의무의 적용을 받는다는 점을 보장해야 합니다.
보안. 협력사는 정보 보안 의무 규정(Information Security Obligations)에 기재된 보안 절차 및 실무를 시행하고 유지할 것입니다.
감사 및 지원. 정보 보안 의무 규정에 기재된 어떠한 감사 규정에도 불구하고, 협력사는 다음 의무를 다해야 합니다.
1. 정보보호 영향평가서 작성 및 개인정보 보호 당국과의 협의와 관련된 지원을 포함하여, 협력사가 이 글로벌 프라이버시 의무 규정을 준수하고 있음을 확인하기 위해 합리적으로 필요한 정보 및 지원을 고객사에 제공해야 합니다. 나아가, 고객사가 개인정보 보호 법률을 준수할 수 있도록 합리적으로 필요한 지원을 제공해야 합니다. 또한,
2. 고객사의 지시에 따라, 협력사가 이 글로벌 프라이버시 의무 규정 및/또는 관련 개인정보 보호 법률을 준수하는지 감사할 수 있도록, 자사의 개인정보 보호 프로그램 및 개인정보 처리 시설에 관한 자료를 제출해야 합니다. 감사는 고객사 또는 고객사가 지정한 대리인에 의해 수행될 수 있습니다. 단, 대리 수행의 경우에는 협력사가 수락할 수 있는 비밀 유지 계약에 대해 해당 대리인이 동의하는 경우에 한합니다. 고객사는 감사에 대한 합리적인 사전 통지를 제공하고, 협력사의 업무를 비합리적으로 방해하지 않으면서 정규 업무시간 중에 이러한 감사를 수행합니다. 명확히 말해, 이 규정은 협력사가 자사의 다른 고객들의 기밀 정보를 고객사가 열람할 수 있도록 할 의무를 부과하지는 않습니다.
보안 사고. 협력사는 보안 사고가 실제로 발생하거나 합리적으로 의심되는 경우, 즉시 고객사 및 WarnerMedia 보안 운영 센터(Security Operations Center) 에 알려야 하며(직통 전화 (001)404-827-1900 으로 알리고, cybersecurity@WarnerMedia.com으로 이메일도 보내야 함), 어떠한 경우에도 이를 알게 된 시점으로부터 사십팔(48) 시간 이내에 알려야 합니다. 고객사의 지시에 따라, 협력사는 최소한 관련 개인정보 보호 법률에 의해 요구되거나 고객사가 보안 사고에 대해 고지하기 위해 필요한 정보 또는 지원을 포함하여, 보안 사고를 조사하고, 경감시키며, 이에 대응하기 위해 고객사가 합리적으로 요구하는 모든 정보 및 지원을 제공할 것입니다. 협력사는 보안 사고와 관련하여 공지하거나 또는 개인정보 보호 당국이나 정보주체에게 통지하기 전에, 고객사와 먼저 협의하기로 동의합니다. 협력사는 협력사, 그 계열사, 양수인 또는 하위 프로세서에 의해 처리되는 개인정보에 영향을 끼치는 보안 사고로부터 발생하거나 이와 관련되는 것으로서, 고객사에 발생되는 모든 비용, 책임, 손실, 손해 및 경비(변호사 보수 포함)에 대해 책임을 져야 하며, 고객사가 청구하는 경우 이를 고객사에 지급해야 합니다.
하위 정보 처리. 협력사는 자사를 대신하여 개인정보를 처리하도록, 하위 프로세서를 고용하거나 그 밖의 방식으로 허용할 수 있습니다. 단, 협력사가 다음 요건을 충족하는 경우에 한합니다.
1. 협력사는 자사에 적용되는 이 글로벌 프라이버시 의무 규정에 포함된 의무 수준 이상의 보호 의무를 부과하는 서면 의무 약정서를 각 하위 프로세서와 체결해야 합니다.
2. 협력사는 자사에 적용되는 이 글로벌 프라이버시 의무 규정에 따른 의무를 이행하기 위해 필요한 바를 각 하위 프로세서가 수행할 수 있도록 적절한 실사를 수행해야 합니다.
3. 협력사는 해당 협력사가 고용을 제안하는 신규 하위 프로세서에 대해 고객사에 사전에 서면으로 통지해야 합니다. 고객사는 해당 통지를 받은 날로부터 삼십(30)일 이내에 협력사의 신규 하위 프로세서 고용에 반대할 수 있습니다. 고객사가 위 기간 내에 반대하지 않는 경우, 협력사는 해당 하위 프로세서가 개인정보를 처리하도록 허용할 수 있습니다. 고객사가 하위 프로세서의 사용에 반대하는 경우, 협력사는 이를 수신한 날로부터 십(10) 일 이내에 고객사의 반대에 대해 신속히 대처할 것입니다. 협력사가 위 십(10) 일 이내에 고객사가 만족하는 수준으로 고객사의 반대를 해결할 수 없는 경우, 고객사는 언제든지 위약금 없이 협력사에 대한 서면 통지로 계약을 즉시 종료할 수 있는 선택권을 가질 것입니다. 협력사는 (i) 신규 하위 프로세서를 사용하겠다는 의사를 통지한 날로부터 삼십(30) 일 동안, 또는 (ii) 신규 하위 프로세서의 사용에 대한 고객사의 반대가 고객사가 만족하는 수준으로 해결되지 않은 기간 동안, 신규 하위 프로세서가 개인정보를 처리하도록 허용해서는 안 됩니다. 또한,
4. 협력사는 각 하위 프로세서에 의해 수행되는 모든 개인정보 처리에 대해 전적인 책임을 부담합니다.
파기 또는 반환. 계약이 종료되거나 만료되는 경우, 또는 그 밖에 고객사가 지시하는 바에 따라, 협력사는 고객사의 지침에 따라 다음 의무를 다해야 합니다: (i) 당사자들이 합리적으로 합의한 서식 및 형식으로, 계약과 관련하여 협력사가 처리한 개인정보의 완전한 사본을 고객사에 반환할 의무, 및 (ii) 계약과 관련하여 협력사가 처리하여 보유 또는 관리하는 개인정보(모든 사본 포함)를 안전하게 파기할 의무.

5. 컨트롤러에 적용되는 조건

이 조항은 다음에 해당되는 범위까지 적용됩니다.
1. 협력사가 계약과 관련하여 자사가 처리하는 개인정보의 처리 목적 및 수단을 독립적으로 결정하는 경우, 또는
2. 계약에서 이 조항이 적용된다고 명시적으로 규정하는 경우
통지 및 투명성. 협력사는 명확하고 쉽게 확인할 수 있는 개인정보 처리방침을 수립하고 유지해야 하며, 개인정보 처리방침은 정보주체(해당 협력사가 계약과 관련하여 처리하는 개인정보의 대상자)의 개인정보를 처리하는 방법을 정보주체에게 알려야 하고 또한 모든 관련 법률을 준수해야 합니다.
보안 사고. 협력사는 계약과 관련하여 처리되는 개인정보에 영향을 끼치는 보안 사고가 실제로 발생하거나 합리적으로 의심되는 경우 이를 즉시 관련 고객사에 알려야 하며, 해당 보안 사고의 내용, 영향을 받는 개인정보, 그리고 보안 사고에 대한 협력사의 대응 및 경감 조치에 관한 정보를 즉시 고객사에 제공해야 합니다.

6. 정보의 국외 이전

이 조항은 EEA 정보 이전, UK 정보 이전 또는 기타 정보 이전이 발생하는 경우 협력사에 적용됩니다.
정보 이전(프로세서). 이 조항은 제4조(프로세서에 적용되는 조건)가 적용되는 경우에 적용됩니다.
1. EEA 정보 이전. 협력사에 의해 처리되는 개인정보가 EEA 정보 이전의 대상인 경우 그 범위까지 EEA 표준계약조항이 참조를 통해 이 규정의 일부로 편입되며, 다음과 같이 적용됩니다.
  1. 적용. 협력사는 정보를 이전받는 자로서의 역할을 수행하고, 고객사는 정보를 이전하는 자로서의 역할을 수행합니다.
  2. 도킹(Docking). EEA 표준계약조항 제1장 제7조의 목적상, 선택적 도킹(docking) 조항이 적용됩니다.
  3. 모듈. 모듈 2(컨트롤러에서 프로세서로의 이전)가 적용됩니다.
  4. 지침. EEA 표준계약조항 제2장 제8.1조(모듈 2)의 목적상, 정보를 이전받는 자에 대한 지침은 협력사에 의해 제공되는 서비스 이행 및/또는 제품 공급을 위해 필요한 바에 따라, 그리고 계약에 따라 명시된 바에 따라 개인정보를 처리하기 위한 지침이어야 합니다.
  5. 하위 프로세서. EEA 표준계약조항 제2장 제9조(모듈 2)의 목적상, 옵션 2가 적용됩니다(그리고, 정보를 이전받는 자가 변경하려는 사항에 대해 정보를 이전하는 자에게 사전 통지할 기간은 삼십(30) 일로 해야 합니다).
  6. 구제. 표준계약조항 제2장 제11조의 목적상, 다른 언어 선택은 적용되지 않습니다.
  7. 준거법. EEA 표준계약조항 제4장 제17조 및 제18조의 목적상, 관련 개인정보 보호 법률에 의해 허용되는 범위까지, 당사자들은 EEA 표준계약조항에 따른 각자의 의무가 아일랜드 법률에 의해 규율되고 아일랜드 법원의 관할에 속함에 동의합니다.
  8. 부속서 I, 파트 A의 작성. 부속서 I, 파트 A(당사자 목록)는 각각의 경우에 계약에 기재된 바에 따라, (i) 고객사(정보를 이전하는 자)의 세부 정보 및 (ii) 협력사(정보를 이전받는 자)의 세부 정보로 작성되는 것으로 간주됩니다.
  9. 부속서 I, 파트 B의 작성. EEA 표준계약조항의 부속서 I, 파트 B(이전 기술서)는 정보 처리 기술서에 기재된 정보로 작성되는 것으로 간주됩니다.
  10. 부속서 I, 파트 C의 작성. EEA 표준계약조항의 부속서 I, 파트 C(소관 감독 당국)에 관해, 관련 개인정보 보호 법률에 의해 허용되는 범위까지, 당사자들은 아일랜드의 개인정보 보호 당국을 선택합니다.
  11. 부속서 II의 작성. EEA 표준계약조항의 부속서 II(정보 보안을 보장하기 위한 기술적 및 조직적 조치를 포함하는, 기술적 및 조직적 조치)는 정보 보안 의무 규정에 기재된 규정으로 작성되는 것으로 간주됩니다.
  12. 조건의 상충. EEA 표준계약조항과 이 조항 사이에 불일치하거나 상충되는 사항이 존재하는 경우, 해당 규정들은 정보주체를 최대한 보호하는 방법으로 해석되어야 합니다.
2. 제한 당사국을 위한 EEA 표준계약조항의 해석. 고객사의 협력사에 대한 개인정보의 공개가 기타 정보 이전에 해당하는 경우 그 범위까지, EEA 표준계약조항이 참조를 통해 이 규정의 일부로 편입되고, 이 조항(제6조)에서 앞서 규정한 바에 따라 적용됩니다. 단, 다음 사항은 예외로 합니다: (i) EEA 표준계약조항에서 “EU”, “연합”, “EU 회원국” 또는 “회원국”을 지칭한 경우 해당 제한 당사국을 지칭한 것으로 보고, (ii) “규정(Regulation) (EU) 2016/679” 또는 “해당 규정(that Regulation)”을 지칭한 경우 해당 제한 당사국의 개인정보 보호 법률을 지칭한 것으로 보며, GDPR의 특정 조항을 지칭한 경우 제한 당사국의 개인정보 보호 법률 중 가장 근접하게 상응하는 조항으로 이를 대체하고, (iii) “감독 당국”은 해당 제한 당사국의 개인정보 보호 당국을 지칭하며, (iv) “표준계약조항(Clauses)”에 대한 지칭은 해당 표준계약조항을 편입하여 수정하는 바에 따라 이 조항을 의미합니다.
3. UK 정보 이전. 협력사에 의해 처리되는 개인정보가 UK 정보 이전의 대상인 경우 그 범위까지, UK SCC 부가문서가 참조를 통해 이 규정의 일부로 편입되며, 다음과 같이 적용됩니다.
  1. 표 1의 작성. UK SCC 부가문서의 표 1은 계약에 규정된 바에 따라, 고객사(정보를 이전하는 자)의 세부 정보 및 협력사(정보를 이전받는 자)의 세부 정보로 작성됩니다. "개시일"은 계약의 개시일, 효력발생일 또는 이에 준하는 날짜입니다. 고객사에 대한 “주요 담당자”는 “개인정보 보호 책임자(Chief Privacy Officer)” 또는 wmprivacy@warnermedia.com으로 연락될 수 있는 그의 대리인이며, 협력사에 대한 “주요 담당자”는 해당 담당자의 구체적 직책과 이메일 주소를 포함하여 때때로 고객사에 통지되는 바에 따릅니다.
  2. 표 2 및 3의 작성. UK SCC 부가문서의 표 2는 “부록 정보를 포함하여, 그리고 오로지 이 부가문서의 목적상 효력이 발생하는 승인된 EU SCC의 다음 모듈, 조항 또는 선택적 규정과 함께인 경우에만, 승인된 EU SCC"를 선택하여 작성합니다. UK SCC 부가문서의 표 2 및 표 3의 목적상, “승인된 EU SCC”는 이 조항(제6조)에서 앞서 규정한 바와 같이 작성됩니다.
  3. 표 4의 작성. UK SCC 부가문서의 표 4는 "모든 당사자 미해당"을 선택하여 작성합니다.
  4. 조건의 상충. UK SCC 부가문서 및 이 글로벌 프라이버시 의무 규정 사이에 불일치하거나 상충되는 사항이 존재하는 경우, UK SCC 부가문서가 우선합니다.
정보 이전(컨트롤러). 이 조항은 제5조(컨트롤러에 적용되는 조건)가 적용되는 경우에 적용됩니다.
1. EEA 정보 이전. 협력사에 의해 처리되는 개인정보가 EEA 정보 이전의 대상인 경우 그 범위까지, EEA 표준계약조항이 참조를 통해 이 규정의 일부로 편입되며, 다음과 같이 적용됩니다.
  1. 적용. 협력사는 정보를 이전받는 자로서의 역할을 수행하고, 고객사는 정보를이전하는 자로서의 역할을 수행합니다.
  2. 도킹(Docking). EEA 표준계약조항 제1장 제7조의 목적상, 선택적 도킹(docking) 조항이 적용됩니다.
  3. 모듈. 모듈 1(컨트롤러에서 컨트롤러로의 이전)이 적용됩니다.
  4. 구제. EEA 표준계약조항 제2장 제11조의 목적상, 다른 언어 선택은 적용되지 않습니다.
  5. 준거법. EEA 표준계약조항 제4장 제17조 및 제18조의 목적상, 관련 개인정보 보호 법률에 의해 허용되는 범위까지, 당사자들은 EEA 표준계약조항에 따른 각자의 의무가 아일랜드 법률에 의해 규율되고, 아일랜드 법원의 관할에 속함에 동의합니다.
  6. 부속서 I, 파트 A의 작성. 부속서 I, 파트 A(당사자 목록)는 각각의 경우에 계약에 기재된 바에 따라, (i) 고객사(정보를 이전하는자)의 세부 정보 및 (ii) 협력사(정보를 이전받는 자)의 세부 정보로 작성되는 것으로 간주됩니다.
  7. 부속서 I, 파트 B의 작성. EEA 표준계약조항의 부속서 I, 파트 B(이전 기술서)는 정보 처리 기술서에 기재된 정보로 작성되는 것으로 간주됩니다.
  8. 부속서 I, 파트 C의 작성. EEA 표준계약조항의 부속서 I, 파트 C(소관 감독 당국)에 관해, 관련 개인정보 보호 법률에 의해 허용되는 범위까지, 당사자들은 아일랜드의 개인정보 보호 당국을 선택합니다.
  9. 부속서 II의 작성. EEA 표준계약조항의 부속서 II(정보 보안을 보장하기 위한 기술적 및 조직적 조치를 포함하는, 기술적 및 조직적 조치)는 정보 보안 의무 규정에 기재된 규정으로 작성되는 것으로 간주됩니다.
  10. 조건의 상충. EEA 표준계약조항과 이 조항 사이에 불일치하거나 상충되는 사항이 존재하는 경우, 해당 규정들은 정보주체를 최대한 보호하는 방법으로 해석되어야 합니다.
2. 제한 당사국을 위한 EEA 표준계약조항의 해석. 고객사의 협력사에 대한 개인정보의 공개가 기타 정보 이전에 해당하는 경우 그 범위까지, EEA 표준계약조항이 참조를 통해 이 규정의 일부로 편입되고, 이 조항(제6조)에서 위앞서 규정한 바에 따라 적용됩니다. 단, 다음 사항은 예외로 합니다: (i) EEA 표준계약조항에서 “EU”, “유럽연합”, “EU 회원국” 또는 “회원국”을 지칭한 경우 해당 제한 당사국을 지칭한 것으로 보고, (ii) “규정(Regulation) (EU) 2016/679” 또는 “해당 규정(that Regulation)”을 지칭한 경우 해당 제한 당사국의 개인정보 보호 법률을 지칭한 것으로 보며, GDPR의 특정 조항을 지칭한 경우 제한 당사국의 개인정보 보호 법률 중 상응하는 조항으로 이를 대체하고, (iii) “감독 당국”은 해당 제한 당사국의 개인정보 보호 당국을 지칭하며, (iv) “표준계약조항(Clauses)”에 대한 지칭은 해당 표준계약조항을 편입하여 수정하는 바에 따라 이 조항을 의미합니다.
3. UK 정보 이전. 협력사에 의해 처리되는 개인정보가 UK 정보 이전의 대상인 경우 그 범위까지, UK SCC 부가문서가 참조를 통해 이 규정의 일부로 편입되며, 다음과 같이 적용됩니다.
  1. 표 1의 작성. UK SCC 부가문서의 표 1은 계약에 규정된 바에 따라, 고객사(정보를 이전하는 자)의 세부 정보 및 협력사(정보를 이전받는 자)의 세부 정보로 작성됩니다. "개시일"은 계약의 개시일, 효력발생일 또는 이에 준하는 날짜입니다. 고객사에 대한 “주요 담당자”는 “개인정보 보호 책임자(Chief Privacy Officer)” 또는 wmprivacy@warnermedia.com으로 연락될 수 있는 그의 대리인이며, 협력사에 대한 “주요 담당자”는 해당 담당자의 구체적 직책과 이메일 주소를 포함하여 때때로 고객사에 통지되는 바에 따릅니다.
  2. 표 2 및 3의 작성. UK SCC 부가문서의 표 2는 “부록 정보를 포함하여, 그리고 오로지 이 부가문서의 목적상 효력이 발생하는 승인된 EU SCC의 다음 모듈, 조항 또는 선택적 규정과 함께인 경우에만, 승인된 EU SCC"를 선택하여 작성합니다. UK SCC 부가문서의 표 2 및 표 3의 목적상, “승인된 EU SCC”는 이 조항(제6조) 에서 앞서 규정한 바와 같이 작성됩니다.
  3. 표 4의 작성. UK SCC 부가문서의 표 4는 "모든 당사자 미해당"을 선택하여 작성합니다.
  4. 조건의 상충. 영국 SCC 부가문서 및 이 조항 사이에 불일치하거나 상충되는 사항이 존재하는 경우, 영국 SCC 부가문서가 우선합니다.
추가적인 국외 이전 규정. 협력사에 의해 처리되는 개인정보가 EEA 정보 이전, UK 정보 이전 또는 기타 이전의 대상인 경우 그 범위까지, 이 조항이 적용됩니다.
보충적 조치
1. 당사자들은 EEA 정보 이전 또는 UK 정보 이전의 적용 대상이었던 개인정보가 (EEA 표준계약조항에 포함된 안전 장치에 추가하여) 그 원천 국가에서 처리될 때 받게 되는 보호와 본질적으로 동등한 수준의 보호를 받도록 하기 위해 보충적 조치가 필요할 수도 있다고 명확히 판단한 유럽연합 사법재판소의 사건번호 C-311/18 판결을 인정하고, 이에 동의합니다. 따라서, 당사자들은 이러한 본질적 동등성 보장을 돕기 위한 보충적 조치로서 다음과 같은 6.4항의 (b)항 내지 (g)항에 기재된 조치에 동의했습니다.
2. 협력사가 계약과 관련하여 처리되는 개인정보의 전부나 일부를 열람하거나 그 사본을 입수하려는 법 집행 기관, 규제 당국, 사법 당국 또는 정부 당국(“소관 당국”)의 요청이나 요구에 대해 알게 되는 경우, 협력사는 자발적인지 의무적인지의 여부를 불문하고 다음 의무를 다해야 합니다.
  1. 그러한 당국의 요청에 대해 즉시 고객사에 알려야 합니다.
  2. 제4조(프로세서에 적용되는 조건)가 적용되는 경우, 협력사는 자사가 개인정보의 프로세서이며, 고객사가 협력사로 하여금 해당 개인정보를 소관 당국에 공개하도록 허락하지 않았음을 소관 당국에 알려야 합니다.
  3. 개인정보 열람 요청이나 요구는 모두 서면으로 고객사(컨트롤러 자격)에 통지되거나 송달되어야 함을 소관 당국에 알려야 합니다. 그리고,
  4. 6.4(c)항을 전제로, 고객사에 의한 서면 승인이 없는 한, 해당 소관 당국이 개인정보를 열람할 수 있도록 허용해서는 안 됩니다.
3. 6.4(b)(iv)항에도 불구하고, 협력사는 (법률에 의해 금지되지 않는 한) 다음 요건을 충족하는 경우에 한해, 고객사의 사전 서면 승인 없이도 소관 당국의 요청이나 요구에 따라 개인정보를 해당 당국에 공개할 수 있습니다.
  1. 이의를 제기하거나, 보호 명령 또는 그 밖의 적절한 구제 조치를 구할 수 있는 합리적 기회를 고객사에 제공하기 위해, 협력사가 해당 요청이나 요구에 대해 고객사에 합리적인 사전 통지를 제공했을 것.
  2. 고객사가 이의를 제기하거나, 보호 명령 또는 그 밖의 적절한 구제 조치를 구할 수 있도록, 협력사가 고객사의 비용 및 경비 부담 하에, 고객사와 합리적으로 협조할 것. 그리고,
  3. 어떠한 경우에도 협력사는 자사가 법적으로 공개할 의무가 있는 부분의 개인정보만을 공개할 것.
4. 협력사가 소관 당국에 개인정보를 공개하는 경우, 해당 협력사는 자사가 법적으로 공개할 의무가 있는 범위까지만, 그리고 관련된 적법한 절차에 따라서만 해당 개인정보를 공개해야 합니다.
5. 협력사는 고의적으로, 민주 사회에서 필요하고 요구되는 범위를 넘어서 일괄적으로 또는 무차별적인 방법으로, 개인정보를 공개해서는 안 됩니다.
6. 협력사는 소관 당국의 개인정보에 대한 요청을 규율하는 방침으로서, 최소한 다음 행위를 금지하는 서면 방침을 수립하여, 유지하고, 준수해야 합니다.
  1. 유럽의 정보주체와 관련되는 개인정보를 일괄적으로 또는 무차별적으로 공개하는 행위, 그리고,
  2. 해당 개인정보의 공개를 강제하는 소환장, 영장, 결정문 또는 그 밖의 법적으로 구속력 있는 명령 없이, 유럽의 정보주체와 관련되는 개인정보를 소관 당국에 공개하는 행위
7. 협력사는 모범적인 업계 실무에 따라, 개인정보의 탈취(고객사에서 협력사로의 전송 및 상이한 시스템과 서비스 사이에서의 전송 과정에서 발생하는 탈취 포함)로부터 보호하기 위한 조치를 마련하고 유지해야 합니다. 여기에는 공격자가 정보를 탈취할 수 없게 하는 네트워크 보호 조치 및 전송 중에 공격자가 정보를 읽을 수 없게 하는 정보 암호화 조치를 마련하고 유지하는 것이 포함됩니다.
  추가적인 정보 이전 규정
8. 협력사는 고객사가 (해당되는 바에 따라) EEA 정보 이전, UK 정보 이전 또는 기타 정보 이전을 수행하기 위해 필요하다고 판단하는 바에 따라, 추가적인 문서를 체결하고 추가적인 보호 조치를 적용하기 위해, 또는 정보 처리를 일정한 지역 내로 제한하기 위해, 신의칙에 따라 협력하기로 동의합니다.
9. 해당 개인정보를 이전받기에 적정하다고 인정되지 않는 다른 관할권으로 해당 개인정보를 이전하는 것을 제한하는 국가에서 유래하는 개인정보를 협력사가 어느 시점이든 처리하는 경우, 해당 협력사는 고객사의 지시에 따라 다음을 할 것입니다.
  1. 적법한 정보 처리를 위해, 해당 국가에서 적용되는 개인정보 보호 법률에 따라 필요한 모든 조치를 취하고, 필요한 계약을 체결할 것입니다. 그리고,
  2. 고객사의 개인정보에 대해 적정한 수준의 보호 조치를 보장할 것입니다.
10. 소관 개인정보 보호 당국에서 당사자들이 의존한 정보 이전 체계가 무효라고 판정하거나, 소관 개인정보 보호 당국이나 관련 법률에서 개인정보의 이전의 중단 또는 특정 관할권 내로의 제한을 요구하는 경우, 고객사는 그 재량으로 협력사에게 개인정보 처리를 정지하도록 요구할 수 있으며, 협력사는 대안적인 정보 이전 체계의 이용을 지원하거나, 추가 문서를 체결하거나, 추가 보호 조치를 적용하거나, 정보 처리를 일정한 관할권 내로 제한하기 위해 신의칙에 따라 고객사와 협력할 것입니다.

7. 면책

이 조항은 모든 협력사에 적용됩니다.
계약에 규정된 협력사의 면책 의무에 추가하여, 협력사는 개인정보 보호 당국이나 정보주체에 의한 청구나 소송을 포함하되 이에 국한하지 않고, 다음으로부터 발생하거나 다음과 관련되는 것으로서, 고객사에 발생되는 일체의 제3자 청구, 소송, 비용, 채무, 손실, 손해 및 경비(변호사 보수 포함)에 대해 고객사를 방어하고, 면책시키며, 피해를 입지 않게 조치해야 합니다: (i) 보안 사고, 또는 (ii) 협력사나 협력사의 계열사, 하위 프로세서(협력사의 계열사에 의해 지정된 하위 프로세서 포함) 및 양수인에 의한 이 부가 문서의 위반.

뒤쪽에