카우치베이스 카펠라 클라우드 고객 데이터 처리 부록

본 데이터 처리 부록(이 "DPA")는 고객의 클라우드 서비스 사용을 규율하는 고객과 카우치베이스 간의 카펠라 클라우드 서비스 구독 계약 또는 기타 계약의 일부를 구성합니다. ("동의"), 카우치베이스("Couchbase")로 식별되는 당사자와 "고객"계약에서 "고객") (각 "파티"와 함께 "당사자").

본 DPA는 고객의 클라우드 서비스 사용과 관련된 개인정보 처리와 관련한 양 당사자의 약속을 설명합니다. 계약의 조건과 본 DPA의 조건이 상충하는 경우, 그러한 상충의 범위 내에서 본 DPA의 조건이 우선합니다. 본 DPA에 정의되지 않은 대문자로 표기된 용어는 계약에서 부여된 의미를 갖습니다.

양 당사자는 다음과 같이 동의합니다:

1. 정의. 다음 대문자로 표기된 용어는 본 DPA에서 사용될 때 아래에 제공된 해당 의미를 갖습니다:

a. "적용 가능한 데이터 보호법"개인정보에 적용되는 모든 전 세계 개인정보 보호 및 데이터 보호 법률, 규정, 규칙, 조례 및 기타 법령을 의미하며, 여기에는 다음을 포함하되 이에 국한되지 않습니다: (i) 유럽 데이터 보호법, (ii) 2018년 캘리포니아 소비자 개인정보 보호법(캘리포니아 민법 §§ 1798.100 이하("CCPA")을 포함한 미국의 모든 법률 및 규정(개정, 대체 또는 대체될 수 있음)을 포함합니다.

b. "고객 데이터"개인정보"는 본 DPA의 부록 A에 보다 구체적으로 설명된 대로 클라우드 서비스와 관련하여 서비스 제공자 또는 프로세서(해당되는 경우)로서 고객을 대신하여 Couchbase가 처리하는 모든 개인 데이터를 의미합니다.

c. "EEA'는 유럽연합 회원국과 아이슬란드, 리히텐슈타인, 노르웨이를 의미합니다.

d. "유럽 데이터 보호법"(i) 개인 데이터 처리 및 그러한 데이터의 자유로운 이동에 관한 자연인 보호에 관한 유럽의회 및 이사회의 규정 2016/679(일반 데이터 보호 규정)("일반 데이터 보호 규정")을 의미합니다.GDPR"); (ii) 전자 통신 부문에서의 개인 데이터 처리 및 개인 정보 보호에 관한 지침 2002/58/EC("전자 개인정보 보호 지침"), (i) 및 (ii)의 모든 해당 국가 시행, (iv) 1992년 6월 19일의 스위스 연방 데이터 보호법 및 그 시행령("스위스 FDPA"); (v) 영국의 경우, 2018년 데이터 보호법 및 영국이 유럽연합을 탈퇴함에 따라 국내법에서 GDPR, 전자 개인정보 보호 지침 또는 데이터 및 개인정보 보호와 관련된 기타 법률을 대체하거나 전환하는 모든 해당 국가 법률(각 경우에 따라 개정, 대체 또는 대체될 수 있음).

e. "모델 조항'는 특정 고객의 고유한 상황에 따라 다음 중 하나를 의미합니다: (i) 유럽연합 집행위원회가 결정 2021/914에 따라 승인한 프로세서를 위한 표준 계약 조항("2021 표준 계약 조항") 및 (ii) 영국 표준 계약 조항(각각 표준 계약 조항이라고도 하며, 참조로 통합되어 본 DPA의 일부를 구성합니다.

f. "개인 데이터"는 식별되거나 식별 가능한 자연인과 관련된 모든 정보를 의미하며 "로 보호됩니다.개인 데이터“, “개인 정보" 또는 "개인 식별 정보" 해당 데이터 보호법에 따라.

g. "보안 인시던트"보안 사고"는 클라우드 서비스 제공과 관련하여 카우치베이스 및/또는 하위 프로세서가 전송, 저장 또는 처리하는 고객 데이터의 우발적 또는 불법적인 파괴, 손실, 변경, 무단 공개 또는 접근으로 이어지는 모든 보안 위반을 의미합니다. 양 당사자는 "보안 사고"에는 실패한 로그인 시도, 핑, 포트 스캔, 서비스 거부 공격, 방화벽 또는 네트워크 시스템에 대한 기타 네트워크 공격 등 고객 데이터의 보안을 손상시키지 않는 실패한 시도 또는 활동이 포함되지 않음을 인정하고 이에 동의합니다.

h. "하위 프로세서"하위 프로세서"는 계약 또는 본 DPA에 따라 클라우드 서비스 제공과 관련하여 의무 이행을 지원하기 위해 Couchbase 또는 그 계열사가 고용한 모든 프로세서를 의미합니다. 하위 프로세서에는 제3자 또는 Couchbase 계열사가 포함될 수 있지만 Couchbase 직원, 계약자 또는 컨설턴트는 제외됩니다.

i. "영국 표준 계약 조항"는 (i) 유럽연합 집행위원회가 2010/87/EU 결정에서 승인한 데이터 컨트롤러에서 데이터 프로세서로의 이전을 위한 표준 계약 조항을 의미합니다("영국 컨트롤러-프로세서 SCC"); (ii) 유럽연합 집행위원회가 2004/915/EC 결정에서 승인한 데이터 컨트롤러 간 전송에 대한 표준 계약 조항("영국 컨트롤러-컨트롤러 SCC").

j. 용어 "컨트롤러", "프로세서" 및 "처리"는 GDPR에서 부여된 의미를 가지며 "프로세스", "프로세스" 및 "처리됨"는 그에 따라 해석되어야 하며, "비즈니스", "서비스 제공업체" 및 "판매'는 CCPA에서 부여된 의미를 갖습니다.

2. 처리 역할 및 범위

a. 범위. 섹션 2(b)에 따라, 본 DPA는 카우치베이스가 해당 데이터 보호법에 의해 보호되는 고객 데이터를 처리자 또는 서비스 제공자로서 처리하는 범위(해당되는 경우)에 적용됩니다.

b. 당사자의 역할. 양 당사자는 (i) 고객 데이터의 처리와 관련하여 고객은 해당 고객 데이터의 관련 비즈니스, 컨트롤러 또는 프로세서(해당되는 경우)이며, 본 DPA의 부록 A에 추가로 설명된 대로 Couchbase는 고객을 대신하여 서비스 제공자, 프로세서 또는 하위 프로세서(해당되는 경우)임을 인정하고 동의하며, (ii) 고객의 클라우드 서비스 사용과 관련하여 Couchbase가 수집하는 기술적 사용 데이터에 포함된 개인 데이터("개인정보")와 관련하여 다음과 같이 인정합니다.사용 데이터"), 카우치베이스는 사용 데이터의 관련 비즈니스 또는 컨트롤러이며 다음에서 제공되는 카우치베이스 개인정보 보호정책에 따라 사용 데이터를 처리합니다. https://www.couchbase.com/privacy-policy. 각 당사자는 적용 가능한 데이터 보호법을 포함하여 본 DPA를 이행하는 데 있어 자신에게 적용되고 구속력이 있는 모든 법률, 규칙 및 규정을 준수합니다. 사용 데이터와 관련하여, 카우치베이스는 해당되는 범위 내에서 섹션 8(a)(iii) 및 (iv)만을 준수하여 그러한 데이터를 처리합니다.

c. 개인 데이터의 카우치베이스 처리. 카우치베이스는 DPA에 설명된 목적과 고객의 문서화된 합법적인 지침에 따라서만 고객 데이터를 처리한다는 데 동의합니다. 양 당사자는 본 계약(본 DPA 포함)이 고객 데이터 처리와 관련하여 Couchbase에 대한 고객의 완전하고 최종적인 지침을 명시하며, 이러한 지침의 범위를 벗어난 처리(있는 경우)는 고객과 Couchbase 간의 사전 서면 합의가 필요하다는 데 동의합니다. 섹션 2(d)(고객의 책임)을 침해하지 않고, Couchbase는 적용 가능한 데이터 보호법에 따라 금지되지 않는 한 고객에게 서면으로 통지하며, 고객의 데이터 처리 지침이 적용 가능한 데이터 보호법을 위반한다고 인지하거나 판단하는 경우 고객 데이터의 처리를 중단할 수 있습니다.

d. 고객의 책임. 고객은 본 계약에 따라 또는 본 계약과 관련하여 고객 데이터 처리의 적법성에 대한 책임이 있습니다. 고객은 (i) 본 계약(본 DPA 포함)에 명시된 목적에 따라 고객 데이터를 합법적으로 처리하는 데 필요한 모든 통지를 제공하고 관련 데이터 보호법에 따라 필요한 모든 동의, 허가 및 권리를 획득했으며 앞으로도 계속 획득할 것임을 진술하고 보증합니다; (ii) 고객 데이터의 관리자 및/또는 사업자로서 고객 데이터의 수집 및 해당 고객 데이터의 하위 처리자에 대한 제공을 위해 모든 관련 데이터 보호법을 준수했으며 (iii) 처리 지침이 관련 법률(관련 데이터 보호법 포함)을 준수하고 고객의 지침에 따라 Couchbase가 고객 데이터를 처리하는 것이 관련 데이터 보호법을 위반하는 원인이 되지 않도록 보장해야 합니다.

e. 데이터 집계. 앞서 언급한 내용 또는 본 계약(본 DPA 포함)의 상반되는 내용에도 불구하고 고객은 Couchbase 및 그 계열사가 자체 합법적인 사업을 위해 익명화, 집계 및/또는 비식별화된 정보(해당 데이터 보호법에 정의된 대로)를 수집 및 생성할 권리가 있음을 인정합니다.

3. 하위 처리

a. 승인된 하위 프로세서. 고객은 카우치베이스가 고객을 대신하여 고객 데이터를 처리하기 위해 하위 처리자를 고용할 수 있음을 인정하고 이에 동의합니다. 현재 카우치베이스가 관여하고 고객이 승인한 하위 프로세서는 카우치베이스 웹사이트(현재 https://info.couchbase.com/cloud-subprocessors.html 에 게시됨)에 나열되어 있습니다. 새로운 하위 프로세서가 추가되기 최소 십오(15)일 전에 CouchBase는 해당 웹사이트를 업데이트하고 해당 CouchBase 웹사이트에 제공되는 메커니즘을 통해 고객에게 해당 업데이트에 대한 통지를 제공하지만, 고객 데이터의 기밀성, 무결성 또는 가용성을 보호하거나 클라우드 서비스에 대한 중대한 중단을 방지하기 위해 새로운 하위 프로세서를 신속하게 참여시키는 것이 필요하다고 합리적으로 판단하는 경우 CouchBase는 합리적으로 실행 가능한 한 빨리 그러한 통지를 대신 제공합니다.

4. 보안 및 감사

a. 보안 조치.  카우치베이스는 최신 기술, 구현 비용 및 처리의 성격, 범위, 맥락 및 목적을 고려하여 보안 사고로부터 통제 중인 고객 데이터를 보호하고 고객 데이터의 보안 및 기밀을 유지하기 위해 설계된 적절한 기술적 및 조직적 보안 조치를 구현하고 유지합니다("카우치베이스는 보안 사고로부터 고객 데이터를 보호하기 위해 적절한 기술적 및 조직적 보안 조치를 구현하고 유지합니다").보안 조치"). 이러한 보안 조치에는 최소한 본 DPA의 부록 B에 설명된 조치가 포함됩니다. 카우치베이스는 본 DPA에 따라 고객 데이터를 처리하도록 카우치베이스의 권한을 부여받은 모든 사람이 적절한 기밀 유지 의무(계약상 의무 또는 법적 의무)를 준수하도록 보장해야 합니다.

b. 보안 조치 업데이트. 고객은 보안 조치가 기술 발전 및 개발의 영향을 받으며, 그러한 업데이트 및 수정으로 인해 고객이 구매한 클라우드 서비스의 전반적인 보안이 저하되지 않는 한, 카우치베이스는 수시로 보안 조치를 업데이트하거나 수정할 수 있음을 인정합니다.

c. 고객 보안 책임. 상기 내용에도 불구하고, 고객은 본 DPA에서 규정하는 경우를 제외하고 보안 사고로부터 보호하고 고객의 지배 및 통제 하에 있는 동안 고객 데이터의 보안 및 기밀을 유지하기 위해 설계된 적절한 기술적 및 조직적 보안 조치를 구현하고 유지해야 함에 동의합니다. 고객은 (i) 클라우드 서비스에 액세스하는 데 사용되는 모든 고객 자격 증명의 보안을 보호하고, (ii) 고객 클라우드 환경 및 모든 고객 시스템을 보호할 책임이 있습니다(이러한 단계에는 무단 액세스를 방지하기 위한 액세스 키의 정기적 교체 및 기타 업계 표준 단계가 포함되며 이에 국한되지 않음); (iii) 고객 클라우드 환경 또는 기타 고객 통제 시스템 내에서 고객이 통제하는 고객 데이터를 백업하고 보호하는 것; (iv) 데이터 보안 및 개인정보 보호와 관련하여 카우치베이스가 제공하는 정보를 검토하고 클라우드 서비스가 해당 데이터 보호법에 따른 고객의 요구 사항 및 법적 의무를 충족하는지 여부에 대한 독립적인 결정을 내리는 것.

d. 보안 인시던트 대응. 관련 데이터 보호법에서 요구하는 범위 내에서, 보안 사고를 인지하는 즉시 Couchbase는 고객에게 과도한 지체 없이 통지하며 다음과 같이 합니다: (i) 해당 데이터 보호법에 따라 고객이 제공해야 하는 개인 데이터 침해 통지와 관련하여 고객을 지원하기 위해 CouchBase는 클라우드 서비스의 특성, Couchbase가 이용할 수 있는 정보 및 기밀성 등 정보 공개에 대한 제한 사항을 고려하여 고객이 합리적으로 요청하는 경우 보안 사고와 관련된 정보가 알려지는 대로 적시에 해당 통지에 포함시킵니다; (ii) 보안 사고를 억제, 조사 및 해결하기 위해 Couchbase가 필요하고 합리적이라고 판단하는 조치를 즉시 취하며, 그 조치가 Couchbase의 합리적인 통제 범위 내에 있는 한도 내에서 해결합니다. 본 섹션 4(d)에 따른 보안 사고에 대한 Couchbase의 통지 또는 대응은 보안 사고와 관련하여 Couchbase가 어떠한 잘못이나 책임을 인정하는 것으로 해석되지 않습니다. 여기에 명시된 의무는 고객 또는 해당 권한 있는 사용자에 의해 발생한 보안 사고에는 적용되지 않습니다.

e. 보안 감사. 카우치베이스는 카우치베이스의 본 DPA 준수 여부를 확인하는 데 필요한 정보 보안 및 감사 설문지에 대한 답변을 포함하여 카우치베이스의 고객 데이터 처리와 관련된 고객의 모든 합리적인 서면 정보 요청에 대해 기밀을 유지하면서 서면 답변을 제공합니다(단, 고객은 12개월 동안 이 권리를 한 번 이상 행사하지 않아야 합니다). 전술한 내용에도 불구하고 고객은 고객이 데이터 보호 기관에 이 정보를 제공하도록 명시적으로 요청받거나 요구받는 경우 또는 Couchbase에 보안 사고가 발생한 경우 또는 기타 합리적으로 유사한 근거로 이러한 감사 권한을 행사할 수 있습니다.

5. 국제 송금

a. 처리 위치. 고객은 카우치베이스가 미국 및 카우치베이스, 그 계열사 또는 하위 프로세서가 데이터 처리 작업을 유지하는 전 세계 어디로든 고객 데이터를 전송 및 처리할 수 있음을 인정하고 이에 동의합니다. Couchbase는 항상 해당 데이터 보호법 및 본 DPA의 요구 사항을 준수하여 그러한 전송이 이루어지도록 보장합니다.

6. 고객 데이터 삭제

a. 클라우드 서비스는 클라우드 서비스의 기능에 부합하는 방식으로 고객이 해당 기간 동안 고객 데이터를 삭제하거나 검색하는 데 사용할 수 있는 제어 기능을 고객에게 제공합니다.

b. 고객은 계약이 해지 또는 만료되거나 계약에 따라 클라우드 서비스가 해지 또는 중단되는 경우 카우치베이스가 계약에 따라 소유 또는 관리하는 모든 고객 데이터(사본 포함)를 삭제할 권한을 부여합니다. 단, 관련 법률에 따라 고객 데이터의 일부 또는 전체를 보유해야 하는 경우에는 이 요건이 적용되지 않습니다.

7. 개인의 권리 및 협력

a. 데이터 주체 요청. 클라우드 서비스는 클라우드 서비스에 적용되는 모든 문서에 설명된 대로 고객이 고객 데이터를 검색, 수정, 삭제 또는 제한하는 데 사용할 수 있는 보안 특징 및 기능을 포함한 여러 가지 제어 기능을 고객에게 제공합니다. 제4조(a)항을 침해하지 않는 범위 내에서 고객은 데이터 주체의 요청에 대한 응답과 관련된 의무를 포함하여 해당 데이터 보호법에 따른 의무를 지원하기 위한 기술적 및 조직적 조치로서 이러한 제어를 사용할 수 있습니다. 고객이 클라우드 서비스 내에서 관련 고객 데이터에 독립적으로 액세스할 수 없는 경우, 카우치베이스는 처리의 특성을 고려하여 고객이 본 계약에 따른 고객 데이터 처리와 관련된 개인 또는 해당 데이터 보호 당국의 요청에 대응할 수 있도록 합리적인 협조를 제공해야 합니다. 그러한 요청이 카우치베이스에 직접 이루어지는 경우, 카우치베이스는 법적으로 강제되지 않는 한 고객의 사전 승인 없이 그러한 통신에 직접 응답하지 않습니다. 카우치베이스가 그러한 요청에 응답해야 하는 경우, 카우치베이스는 법적으로 금지되지 않는 한 즉시 고객에게 통지하고 요청 사본을 제공합니다.

b. 소환장 및 법원 명령. 법 집행 기관이 소환장 또는 법원 명령을 통해 고객 데이터에 대한 요청을 보내는 경우(예: 소환장 또는 법원 명령을 통해), 카우치베이스는 법적으로 금지되지 않는 한 고객이 보호 명령 또는 기타 적절한 구제책을 찾을 수 있도록 고객에게 요청에 대한 합리적인 통지를 제공해야 합니다.

8. 관할권 관련 약관

a. 유럽. 고객 데이터가 유럽 데이터 보호법의 적용을 받는 범위 내에서, 본 DPA의 나머지 약관에 추가하여 다음 약관이 적용됩니다:

i. 하위 프로세서 의무. 카우치베이스는 다음과 같이 합니다: (A) 각 하위 프로세서와 서면 계약을 체결하여 하위 프로세서가 해당 유럽 데이터 보호법 및 본 DPA에서 요구하는 표준에 따라 개인 데이터를 보호하도록 요구하는 데이터 보호 조건을 부과합니다. (B) 본 DPA의 의무를 준수하고 본 DPA에 따른 의무를 위반하는 하위 프로세서의 모든 행위 또는 누락에 대한 책임을 유지합니다.

ii. 하위 프로세서에 대한 이의 제기. 고객은 데이터 보호와 관련된 합리적인 근거(예: 하위 처리자에게 고객 데이터를 제공하는 것이 유럽 데이터 보호법을 위반하거나 해당 고객 데이터에 대한 보호를 약화시킬 수 있는 경우)에 따라 위 3(a)항에 따라 카우치베이스로부터 통지를 받은 날로부터 역일 기준 5일 이내에 카우치베이스에 즉시 서면으로 통보하여 새로운 하위 처리자의 임명에 대해 서면으로 이의를 제기할 수 있습니다. 이러한 통지에는 이의 제기의 합당한 근거가 설명되어야 하며, 양 당사자는 상업적으로 합리적인 해결책을 달성하기 위해 성실하게 해당 문제를 논의해야 합니다. 그러한 해결에 도달할 수 없는 경우, 카우치베이스는 단독 재량으로 하위 프로세서를 지정하지 않거나 고객이 계약의 해지 조항에 따라 영향을 받는 클라우드 서비스를 일시 중단 또는 해지할 수 있도록 허용하며, 양 당사자에 대한 책임 없이(그러나 일시 중단 또는 해지 전에 고객에게 발생한 모든 수수료는 침해하지 않음) 이를 허용할 수 있습니다. 본 섹션 8(a)(ii)에 명시된 대로 이의를 제기하지 않는 한, 고객은 본 DPA에 설명된 대로 Couchbase가 하위 프로세서를 사용하는 데 동의합니다.

iii. 데이터 전송. 카우치베이스가 유럽 데이터 보호법에 의해 보호되는 개인 데이터를 (유럽 데이터 보호법에 설명된 대로) 적절한 개인 데이터 보호를 제공하는 것으로 인정되지 않는 제3국에서 처리하는(또는 처리하게 하는) 경우, 부속서 C의 약관(데이터 전송)가 적용되며, 고객(데이터 수출자)은 (데이터 수입자로서) Couchbase와 모델 조항을 체결한 것으로 간주되며, Couchbase는 참조로 완전히 통합되어 본 DPA의 필수적인 부분을 구성하는 모델 조항을 준수하고 그러한 고객 데이터를 처리하는 데 동의합니다. 모델 조항에서 설명하는 목적에 따라 (A) 카우치베이스는 '데이터 수입자'이고 고객은 '데이터 수출자'임에 동의합니다(고객이 EEA 또는 영국 외부에 위치한 법인일 수 있음에도 불구하고). (B) 본 DPA의 부록 A 및 부록 B는 모델 조항의 부록 1 및 부록 2를 대체합니다. 모델 조항에 명시된 조항을 모순하거나 제한하는 것은 양 당사자의 의도도, 본 DPA의 효과도 아닙니다. 따라서 모델 조항이 본 DPA의 조항과 충돌하는 경우 그러한 충돌의 범위 내에서 모델 조항이 우선합니다. 모델 조항은 직접 또는 추후 전송을 통해 EEA 또는 영국 외부로 전송되지 않는 고객 데이터에는 적용되지 않습니다.

iv. 대체 전송 메커니즘. 카우치베이스가 해당 유럽 데이터 보호법에 규정된 대로 고객 데이터 전송을 위해 대체 데이터 내보내기 솔루션을 채택하는 경우와 그 범위("대체 전송 메커니즘"), 대체 이전 메커니즘이 대신 적용됩니다(단, 해당 대체 이전 메커니즘이 전송에 적용되는 범위 내에서만).

v. 데이터 보호 영향 평가. 해당 유럽 데이터 보호법에서 요구하는 범위 내에서, 카우치베이스는 고객이 법에서 요구하는 대로 데이터 보호 영향 평가 또는 감독 기관과의 사전 협의를 수행할 수 있도록 계약에 따른 카우치베이스의 개인 데이터 처리와 관련하여 합리적으로 요청된 정보를 제공해야 합니다.

b. 캘리포니아. 고객 데이터가 CCPA의 적용을 받는 범위 내에서, 양 당사자는 고객이 사업체이며 계약(본 DPA 포함) 및 CCPA에서 허용하는 대로 또는 서면으로 달리 합의한 목적을 위해 고객 데이터를 처리할 서비스 제공업체로 Couchbase를 지정하는 데 동의합니다("고객 데이터").허용된 목적"). 고객과 카우치베이스는 이에 동의합니다: (i) 카우치베이스는 허용된 목적 이외의 목적으로 개인 정보를 보유, 사용 또는 공개하지 않으며, (ii) 고객 데이터는 카우치베이스에 판매되지 않았으며 카우치베이스는 개인 정보를 "판매"(CCPA에 정의됨)하지 않으며, (iii) 고객과 카우치베이스 간의 직접적인 비즈니스 관계 외에는 개인 정보를 보유, 사용 또는 공개하지 않으며, (iv) 클라우드 서비스를 제공하는 과정에서 개인 정보의 식별을 해제하거나 집계할 수 있다는 데 동의합니다. 카우치베이스는 본 섹션 8(b)에 명시된 제한 사항을 이해하고 이를 준수할 것임을 인증합니다.

9. 책임의 제한

a. 계약, 불법행위(과실 포함) 또는 기타 책임 이론에 따라 본 DPA(모범 조항 포함)로 인해 또는 이와 관련하여 발생하는 각 당사자 및 모든 계열사의 책임은 계약의 책임 제한 및 제외 조항의 적용을 받으며, 한 당사자의 책임에 대한 조항에서 언급되는 모든 책임은 계약 및 본 DPA와 관련하여 해당 당사자 및 모든 계열사의 총 책임을 함께 의미합니다.

b. 적용 가능한 데이터 보호법이 고객 계열사가 직접 카우치베이스에 대해 본 DPA에 따른 권리를 행사하거나 구제책을 찾도록 요구하는 경우를 제외하고, 양 당사자는 (i) 계약의 계약 당사자인 고객 법인만이 계열사를 대신하여 고객 계열사가 본 DPA에 따라 가질 수 있는 권리를 행사하거나 구제책을 찾아야 하며 (ii) 계약의 계약 당사자인 고객은 각 계열사별로 개별적으로가 아니라 모든 계열사를 위해 함께 결합된 방식으로 본 DPA에 따라 그러한 권리를 행사해야 한다는 데 동의합니다.

10. 기타

a. 본 DPA에 의해 변경된 사항을 제외하고 본 계약은 변경되지 않고 완전한 효력을 유지합니다.

b. 이 DPA는 대응 문서로 실행될 수 있으며, 각 문서는 원본으로 간주되지만 모두 함께 하나의 동일한 문서를 구성합니다.

c. 본 DPA의 조항 또는 일부 조항이 무효, 불법 또는 집행 불가능한 경우 해당 조항은 삭제된 것으로 간주되지만, 나머지 DPA의 유효성 및 집행 가능성에는 영향을 미치지 않습니다.

d. 본 DPA는 유럽 데이터 보호법에서 달리 요구하지 않는 한, 본 계약의 준거법 및 관할권 조항에 따라 규율되고 이에 따라 해석됩니다.

 

본 부록 A는 DPA의 일부를 구성하며 (i) 해당되는 경우 카우치베이스가 컨트롤러 또는 프로세서로서 고객을 대신하여 프로세서 또는 하위 프로세서로서 고객 데이터에 대해 수행할 처리와 (ii) 카우치베이스가 컨트롤러로서 수행할 사용 데이터의 전송에 대해 설명합니다.

1) 고객 데이터

기간

본 DPA에 따른 데이터 처리 기간은 계약 조건에 따라 계약이 종료될 때까지이며, 계약 만료일부터 계약 조건(본 DPA 포함)에 따라 Couchbase가 개인 데이터를 삭제할 때까지의 기간을 더한 기간입니다.

데이터 범주

처리되는 개인 데이터는 다음 범주의 데이터에 관한 것입니다(명시해 주세요):

● 고객 콘텐츠의 개인 데이터: 고객 또는 허가된 사용자가 클라우드 서비스를 통해 제공하거나 고객 또는 허가된 사용자를 대신하여 제공하는 콘텐츠 또는 데이터에 포함된 개인 데이터.

특수 데이터 범주(해당되는 경우)

양 당사자는 본 계약에 따라 특수 범주 데이터가 처리되는 것을 의도하지 않습니다.

데이터 주체

처리되는 개인 데이터는 다음 범주의 데이터 주체에 관한 것입니다(명시해 주세요):

데이터 주체에는 권한 있는 사용자를 포함하여 고객에 의해 또는 고객의 지시에 따라 클라우드 서비스를 통해 카우치베이스에 데이터를 제공하는 개인이 포함됩니다. 데이터 주체에는 고객의 고객, 직원, 공급업체 및 최종 사용자가 포함될 수 있습니다.

처리 작업

개인 데이터는 다음과 같은 기본 처리 활동의 대상이 됩니다(명시해 주세요):
계약에 따라 클라우드 서비스를 제공하기 위한 처리;
계약 이행에 필요한 모든 단계를 수행하기 위한 처리;
고객이 클라우드 서비스를 사용하면서 개시한 처리; 그리고
계약 조건에 부합하는 고객이 제공한 기타 합리적인 지침(예: 이메일 또는 지원 티켓)을 준수하기 위한 처리.

빈도
개인 데이터는 지속적으로 전송될 수 있습니다.

ii) 사용 데이터

기간

사용 데이터는 관련 계약 기간과 카우치베이스의 정당한 사업 활동을 위해 사용 데이터가 필요한 기간 동안 전송 및 유지됩니다. 사용자 행동에 대한 특정 집계 및 익명화된 기록은 영구적으로 보관될 수 있습니다.

데이터 범주

전송되는 개인 데이터는 다음 범주의 데이터에 관한 것입니다(명시해 주세요):

●  사용 데이터의 개인 데이터: 사용 데이터에는 계정 ID 및 이메일 주소를 포함한 사용자 계정 정보, IP 주소를 포함한 개인 식별 정보, 고용 정보, 연락처 정보, 브라우저 정보 및 메타데이터가 포함될 수 있습니다.

특수 데이터 범주(해당되는 경우)

양 당사자는 본 계약에 따라 특수 범주 데이터가 전송되는 것을 의도하지 않습니다.

데이터 주체

처리되는 개인 데이터는 다음 범주의 데이터 주체에 관한 것입니다(명시해 주세요):

데이터 주체에는 고객, 고객의 직원 및 기타 승인된 사용자, 기타 허용된 협력자가 포함될 수 있습니다.

처리 작업

개인 데이터는 다음과 같은 기본 처리 활동의 대상이 됩니다(명시해 주세요):

제품, 서비스 및 지원을 제공하고 관리하기 위한 처리;
제품, 서비스를 개선하고 비즈니스 개발을 지원 및 지원하기 위한 인사이트를 도출하기 위한 처리;
고객 문의에 대한 참여 및 응답, 마케팅 및 영업 활동 수행, 비즈니스 메타데이터 분석을 위한 처리.

빈도

개인 데이터는 지속적으로 전송될 수 있습니다.

 

본 부록은 카우치베이스의 보안 조치에 대해 설명합니다. 고객은 클라우드 서비스가 공유 책임 모델에 따라 운영되며, 무엇보다도 고객이 고객 콘텐츠의 보안을 보호하는 등의 특정 조치를 취해야 함을 인정합니다(이는 고객의 통제 하에 고객의 환경 내에 저장됨). 카우치베이스가 클라우드 서비스와 관련하여 고객을 대신하여 고객 데이터를 처리하거나 표준 계약 조항에 따라 사용 데이터를 전송하는 경우, 카우치베이스는 다음과 같은 보안 조치를 구현하고 유지해야 합니다:

데이터 암호화 조치

모든 고객 데이터는 TLS 1.2(또는 그 이상)를 사용하여 전송 중 암호화되며, AES-256 암호화를 사용하여 미사용 시에도 암호화됩니다.
직원 노트북은 전체 디스크 AES-256 암호화를 사용하여 암호화됩니다.
모든 자격 증명은 TLS 1.2(또는 그 이상)를 사용하여 전송 중 암호화되고 미사용 시에도 암호화됩니다.
암호화 키는 매년 교체되며 AWS 키 관리 서비스에서 저장 및 관리됩니다.

가용성 및 복구 가능성 조치

Couchbase는 클라우드 서비스의 가용성을 합리적으로 보장하도록 설계된 재해 복구 및 비즈니스 연속성 계획과 절차를 유지합니다.
카우치베이스 카펠라 서비스는 Amazon(AWS), Microsoft(Azure), Google(GCP(해당되는 경우) 등 업계에서 인정받는 퍼블릭 클라우드 서비스 제공업체가 운영하는 지리적으로 분산된 데이터 센터에 배포됩니다.)
Couchbase Capella 제품을 지원하는 시스템 인프라에 이중화 기능이 내장되어 있습니다. 기본 시스템에 장애가 발생하는 경우 다른 가용 영역의 이중화 인프라가 그 자리를 대신하도록 구성됩니다.
백업은 클라우드 인프라 내의 통제된 환경에 저장됩니다. 백업 데이터에 대한 논리적 액세스는 적절한 인력으로 제한되며 고가용성 스토리지에 저장됩니다.
매년 운영 담당자가 스냅샷에서 백업을 복원하는 백업 복원 테스트를 수행하여 사고 발생 시 데이터를 복구할 수 있는지 확인합니다.

조직 보안 조치

카우치베이스는 카우치베이스 카펠라 제품 및 정보 시스템의 기밀성, 무결성, 가용성을 보호하고 데이터 및 정보 시스템에 대한 보안 제어의 효율성을 보장하기 위해 공식적인 정보 보안 관리 시스템(ISMS)을 구축했습니다.
직원들은 뇌물 및 부패 방지, 윤리 및 행동 강령, 내부자 거래, 글로벌 데이터 프라이버시 및 연례 보안 인식 교육을 받아야 합니다.
직원은 채용 시 기밀유지 및 비밀유지 계약서에 서명해야 합니다.
직원 온보딩 및 오프보딩 활동에 대한 공식적인 정책과 절차가 마련되어 있습니다. 계정 프로비저닝 및 프로비저닝 해제 프로세스가 정의되고 구현되어 있습니다.
직원의 액세스 권한은 해고 시 제거되거나 역할 변경에 따라 필요에 따라 조정됩니다.
중요 리소스 및 프로덕션 리소스에 대한 액세스를 위해 MFA(다단계 인증)를 적용합니다.
비밀번호 복잡성 요구 사항이 적용됩니다.
무단 또는 의도하지 않은 수정이나 오용의 기회를 줄이기 위해 책임과 의무를 분리하여 시행합니다.
카우치베이스는 제3자와 기밀 유지 계약을 체결하고 있습니다.
카우치베이스 네트워크는 신뢰 수준에 따라 분리되고 방화벽으로 보호됩니다.

로깅 및 모니터링 조치

사용자 활동, 예외, 오류 및 정보 보안 이벤트에 대한 로깅이 활성화됩니다. 필요에 따라 로그가 보관됩니다.
모든 로그는 권한이 부여된 카우치베이스 직원만 액세스할 수 있으며, 무단 액세스를 방지하기 위해 액세스 제어 기능이 마련되어 있습니다.
로깅 데이터에 대한 쓰기 접근은 엄격히 금지됩니다. 로깅 시설과 로그 정보는 접근 제어 및 보안 조치를 통해 변조 및 무단 액세스로부터 보호됩니다.
카우치베이스는 보안 경고를 생성하고 불규칙한 활동을 식별하기 위해 다양한 모니터링 조치를 시행하고 있습니다.
보안 경고와 기본 구성을 정기적으로 검토하여 의도한 대로 작동하는지, 조건이 변경되면 제어 기능이 수정되는지 확인합니다.

액세스 제어 조치

Couchbase는 보안 모범 사례를 구현하고 데이터베이스, 네트워크 및 애플리케이션 계층에서 역할 기반 보안 아키텍처를 사용하며 주요 시스템에 대한 액세스 권한을 부여할 때 최소 권한 원칙을 엄격하게 준수합니다.
카우치베이스는 적절한 업무 분리를 지원하기 위해 직무와 역할을 정의했습니다.
운영, 프로덕션 및 재해 복구 환경에 대한 액세스는 고유 사용자 계정, 강력한 비밀번호, 다단계 인증(MFA) 사용, 역할 기반 액세스, 최소 권한 원칙을 통해 보호됩니다.
프로덕션 카우치베이스 애플리케이션에서 사용하는 액세스 키(예: AWS 액세스 키)는 권한이 있는 직원만 액세스할 수 있습니다. 액세스 키는 필요에 따라(예: 보안 권고 또는 인력 이동에 따라) 최소 1년에 한 번씩 교체(변경)됩니다.
데이터 액세스, 수정 또는 삭제를 포함한 운영 환경에서의 사용자 활동이 기록됩니다.
권한 요청 및 프로비저닝이 기록, 추적 및 감사됩니다.
네트워크 기반 방화벽 외에 웹 애플리케이션 방화벽(WAF)이 배포됩니다.

물리적 보안 조치

카우치베이스 카펠라 서비스는 Amazon(AWS), Microsoft(Azure), Google(GCP(해당되는 경우) 등 업계에서 인정받는 퍼블릭 클라우드 서비스 제공업체가 운영하는 지리적으로 분산된 데이터 센터에 배포됩니다.)
민감한 데이터가 포함된 모든 시설에 대한 물리적 접근이 제한되고 관리됩니다.
모든 정보 자원 시설(예: 네트워크 폐쇄실 및 창고)은 그 기능의 중요성 또는 중요도에 비례하여 물리적으로 보호됩니다.
정보 자원 시설에 대한 접근 권한은 업무상 해당 시설에 대한 접근이 필요한 회사 직원 및 계약자에게만 부여됩니다.
방문자의 액세스를 허용하는 모든 정보 리소스 시설은 로그인 로그를 통해 방문자의 액세스를 추적하도록 구성됩니다.
정보 자원 시설에 대한 카드 액세스 기록 및 방문자 로그는 보호 대상 정보 자원의 중요도에 따라 정기적으로 검토하기 위해 보관됩니다.
환경 위협, 위험 및 무단 접근 기회로부터의 위험을 줄이기 위해 장비를 보호합니다.

안전한 시스템 구성

카우치베이스에는 변경 관리 정책과 절차가 마련되어 있습니다.
범위 내 시스템의 변경 사항을 모니터링하여 해당 표준 프로세스를 따르고 있는지 확인하고 감지되지 않은 변경 사항이 프로덕션에 미치는 위험을 완화합니다. 변경 사항은 변경 관리 시스템에서 추적됩니다.
무단 변경을 방지하기 위한 접근 제어 정책 및 절차가 마련되어 있습니다.
모바일 장치 관리 컨트롤이 마련되어 있습니다.

거버넌스

카우치베이스는 카우치베이스 카펠라 제품 및 정보 시스템의 기밀성, 무결성, 가용성을 보호하고 데이터 및 정보 시스템에 대한 보안 제어의 효율성을 보장하기 위해 공식적인 정보 보안 관리 시스템(ISMS)을 구축했습니다.
카우치베이스는 증빙 문서를 포함하여 문서화되고 승인된 정보 보안 정책을 시행하고 있습니다.
카우치베이스의 정보 보안 프로그램 관리에 대한 권한과 책임은 정보 보안 및 규정 준수 그룹에 위임되었으며, 이 그룹은 고위 경영진으로부터 카우치베이스의 정보 보안 프로그램을 수립, 구현 및 관리하는 데 필요한 조치를 취할 권한을 부여받았습니다.

규정 준수

카우치베이스는 독립적인 제3자 감사인의 감사를 받았으며 SOC 2 유형 1 규정을 준수하여 카우치베이스 카펠라 서비스에서 저장 및 처리되는 정보의 기밀성과 가용성을 보호하는 통제에 대한 당사의 노력을 입증했습니다.

데이터에 대한 최소한의 액세스

새로운 제품/서비스의 구현 및 제3자에 의한 개인 데이터 처리와 관련하여 개인정보 보호 평가를 수행합니다.
데이터 수집은 처리 목적(또는 고객이 제공하기로 선택한 데이터)으로 제한됩니다.
필요한 기능을 수행하는 데 필요한 최소한의 액세스 권한만 제공하도록 보안 조치가 마련되어 있습니다.
데이터 보존 요구 사항 식별
개인 데이터에 대한 접근은 '알아야 할 필요성' 원칙을 준수하고 개인의 정의된 역할과 책임에 따라 처리와 관련된 직원으로 제한됩니다.

책임 조치

개인 데이터 처리와 관련된 새로운 제품/서비스를 도입할 때는 고객 개인정보 보호 평가가 필요합니다.
데이터 보호 영향 평가는 모든 새로운 처리 이니셔티브의 일부입니다.

데이터 주체 액세스 요청

데이터 주체는 업계 표준 형식으로 개인 데이터의 내보내기를 요청할 수 있습니다.
개인이 자신의 개인정보 보호 권리(예: 삭제권 또는 데이터 이동권)를 행사할 수 있는 절차가 마련되어 있으며, 이는 Couchbase의 공개 개인정보 처리방침에 설명되어 있습니다.

카우치베이스는 GDPR의 적정성 요건을 충족하기 위한 보완 조치에 대한 유럽 데이터 보호 위원회의 최근 지침과 유럽 데이터 보호 당국이 발표하는 기타 지침을 지속적으로 분석할 예정입니다.

 

본 부속서는 고객이 클라우드 서비스를 사용할 때 관할권에서 해당 관할권 외부에 위치한 Couchbase로 합법적으로 개인 데이터를 전송하기 위한 전송 메커니즘이 필요한 경우에 적용되는 약관을 명시합니다.

1. 영국 표준 계약 조항.  영국 표준 계약 조항의 적용을 받는 영국으로부터의 데이터 전송의 경우, 영국 표준 계약 조항은 다음과 같이 체결된 것으로 간주되며(본 DPA에 참조로 통합됩니다) 다음과 같이 완료됩니다:

a. 영국 컨트롤러-프로세서 SCC는 카우치베이스가 고객 데이터를 처리하는 경우 적용됩니다. 예시적 면책 조항은 적용되지 않습니다. 부록 A는 영국 컨트롤러-프로세서 SCC의 부록 1 역할을 합니다. 부록 B는 영국 컨트롤러의 프로세서 SCC에 대한 부록 2 역할을 합니다. 부록 D는 해당되는 경우 영국 컨트롤러-프로세서 SCC의 특정 조항에 따른 각자의 의무에 대한 카우치베이스와 고객의 해석을 명시합니다.

b. 영국 컨트롤러-컨트롤러 SCC 간 계약은 카우치베이스가 사용 데이터를 전송하는 경우에 적용됩니다. II(h)항에서 Couchbase는 영국 컨트롤러에서 컨트롤러 SCC로의 부록 A에 명시된 데이터 처리 원칙에 따라 개인 데이터를 전송합니다. 예시적인 상업 조항은 적용되지 않습니다. 본 DPA의 부록 A는 영국 컨트롤러가 컨트롤러 SCC에 대한 부록 B의 역할을 합니다.

2. 2021 표준 계약 조항.  GDPR 및/또는 스위스 FDPA의 적용을 받는 데이터 전송의 경우 2021 표준 계약 조항이 다음과 같은 방식으로 적용됩니다:

a. 모듈 1(컨트롤러 대 컨트롤러)은 고객이 사용 데이터의 컨트롤러이고 카우치베이스가 사용 데이터의 컨트롤러인 경우에 적용됩니다.

b. 모듈 2(컨트롤러에서 프로세서로)는 고객이 고객 데이터의 컨트롤러이고 카우치베이스가 고객 데이터의 프로세서인 경우에 적용됩니다;

c. 모듈 3(프로세서 대 프로세서)은 고객이 고객 데이터의 프로세서이고 카우치베이스가 고객 데이터의 하위 프로세서인 경우에 적용됩니다;

d. 해당되는 경우 각 모듈에 대해:
(i) 7항에서 선택적 도킹 조항이 적용됩니다;
(ii) 9항의 옵션 2가 적용되며, 하위 처리자 변경에 대한 사전 통지 기간은 본 DPA의 섹션 3(하위 처리)에 명시된 바와 같습니다;
(iii) 11항에서 선택적 언어는 적용되지 않습니다;
(iv) 17항(옵션 1)에서 2021 표준 계약 조항은 데이터 수출업체가 설립된 EU 회원국의 법률이 적용되며, 해당 법률이 없는 경우 아일랜드 법률의 적용을 받습니다.
(v) 18(b)항에서 분쟁은 데이터 수출업체가 설립된 EU 회원국 법원에서 해결하며, 해당 법이 없는 경우 아일랜드 공화국 법원에서 해결합니다.
(vi) 부속서 I, 파트 A:

데이터 내보내기:  고객 및 고객의 공인 계열사.

연락처 세부 정보:  클라우드 서비스에서 커뮤니케이션을 수신할 관련 계정으로 지정된 고객의 이메일 주소(들)

데이터 내보내기 역할:  고객은 해당되는 경우 고객 데이터의 관리자 또는 처리자이며 사용 데이터의 관리자입니다.

서명 및 날짜:  계약을 체결함으로써 데이터 수출자는 계약 발효일에 부속서를 포함하여 본 계약에 통합된 본 표준 계약 조항을 서명한 것으로 간주됩니다.

데이터 가져오기:  Couchbase, Inc.

연락처 세부 정보: 카우치베이스 법무팀 - legal@couchbase.com

데이터 가져오기 역할: 카우치베이스는 해당되는 경우 고객 데이터의 처리자 또는 하위 처리자이며 사용 데이터의 컨트롤러입니다.

서명 및 날짜: 계약을 체결함으로써 데이터 수입자는 계약 발효일에 부속서를 포함하여 본 계약에 통합된 본 표준 계약 조항에 서명한 것으로 간주됩니다.

(vii) 부록 I, 파트 B:
데이터 주체의 범주는 본 DPA의 부록 A에 설명되어 있습니다.

전송되는 민감한 데이터는 본 DPA의 부록 A에 설명되어 있습니다.

전송 빈도는 계약 기간 동안 지속적으로 이루어집니다.

처리의 특성은 본 DPA의 부록 A에 설명되어 있습니다.

처리 목적은 본 DPA의 부록 A에 설명되어 있습니다.

처리 기간은 본 DPA의 부록 A에 설명되어 있습니다.

하위 처리자로의 전송의 경우 처리의 주제, 성격 및 기간은 다음에서 설명합니다. https://info.couchbase.com/cloud-subprocessors.html

(viii) 부록 I, 파트 C: 위 3(d)(iv)항에 명시된 EU 회원국의 감독 기관이 관할 감독 기관의 역할을 수행합니다.

(ix) 부록 2는 표준 계약 조항의 부록 II 역할을 합니다.

4. 상충되는 약관. 표준 계약 조항과 본 DPA의 다른 조항이 상충하는 경우, 표준 계약 조항의 조항이 우선합니다.

 

본 부속서는 아래에 명시된 영국 컨트롤러의 처리자 SCC에 대한 특정 조항(이하 '조항'이라고도 함)에 따른 각 당사자의 의무에 대한 해석을 명시합니다. 당사자가 본 부속서에 명시된 해석을 준수하는 경우, 해당 당사자는 상대방이 본 조항에 따른 자신의 의무를 준수한 것으로 간주합니다.
본 부속서의 목적상 "DPA"는 데이터 수입업체와 데이터 수출업체 간에 체결되고 본 조항이 통합된 데이터 처리 부록을 의미하며 "계약"은 DPA에서 부여된 의미를 갖습니다.

4(h)항 및 8항: 본 조항의 공개

1. 데이터 수출자는 본 조항이 계약에 정의된 대로 데이터 수입자의 기밀 정보에 해당하며 계약에 따라 허용되지 않는 한 데이터 수출자가 데이터 수입자의 사전 서면 동의 없이 제3자에게 공개할 수 없음에 동의합니다. 이는 제4조(h)항에 따른 데이터 주체 또는 제8조에 따른 감독 기관에 대한 본 조항의 공개를 방해하지 않습니다.

5항(a): 데이터 전송 중단 및 해지:

1. 양 당사자는 데이터 수입업체가 데이터 수출업체를 대신하여 데이터 수출업체 및 본 조항에서 제공하는 지침에 따라 개인 데이터를 처리할 수 있음을 인정합니다.

2. 양 당사자는 데이터 수입자가 어떠한 이유로든 그러한 준수 사항을 제공할 수 없는 경우, 데이터 수출자에게 준수할 수 없음을 즉시 알리는 데 동의하며, 이 경우 데이터 수출자는 데이터 전송을 중단하거나 계약을 해지할 권리가 있음을 인정합니다.

3. 데이터 수출업체가 개인 데이터 전송을 중단하거나 본 조항을 해지하려는 경우, 데이터 수입업체에 통지하고 데이터 수입업체가 위반 사항을 시정할 수 있는 합리적인 기간을 제공하도록 노력해야 합니다("3.치료 기간").

4. 치료 기간 이후에도 데이터 수입자가 규정 위반을 치료하지 않거나 치료할 수 없는 경우, 데이터 수출자는 개인 데이터 전송을 즉시 중단하거나 종료할 수 있습니다. 데이터 수출자는 데이터 주체 또는 그들의 개인 데이터에 중대한 위험이 있다고 판단되는 경우에는 그러한 통지를 제공할 의무가 없습니다.

5(f)항: 감사:

1. 데이터 수출자는 데이터 수입자에게 DPA의 섹션 4(보안 및 감사)에 설명된 감사 조치를 준수하도록 지시함으로써 5(f)항에 따른 감사 권리를 행사함을 인정하고 이에 동의합니다.

5항(j): 하위 처리자 계약의 공개

1. 양 당사자는 데이터 수입자가 본 조항에 따라 체결하는 모든 후속 하위 프로세서 계약의 사본을 데이터 수출자에게 즉시 전송할 의무를 인정합니다.

2. 양 당사자는 또한 하위 프로세서 기밀성 제한에 따라 데이터 수입자가 데이터 수출자에게 하위 프로세서 계약을 공개하는 것이 제한될 수 있음을 인정합니다. 그럼에도 불구하고 데이터 수입자는 자신이 지정하는 하위 처리자가 하위 처리자 계약을 데이터 수출자에게 공개하도록 허용하도록 합리적인 노력을 기울여야 합니다.

3. 데이터 수입자가 데이터 수출자에게 하위 처리자 계약을 공개할 수 없는 경우에도 양 당사자는 데이터 수출자의 요청이 있는 경우 데이터 수입자가 해당 하위 처리 계약과 관련하여 합리적으로 보유한 모든 정보를 데이터 수출자에게 기밀로 제공해야 한다는 데 동의합니다.

조항 6: 책임

1. 본 조항에 따라 제기되는 모든 청구는 본 계약에 명시된 예외 및 제한 사항을 포함하되 이에 국한되지 않는 약관의 적용을 받습니다. 어떠한 경우에도 당사자는 본 조항에 따른 데이터 주체의 권리와 관련하여 책임을 제한할 수 없습니다.

11항: 이후 하위 처리

1. 양 당사자는 "지침 95/46/EC에 따라 제3국에 설립된 처리자에게 개인 데이터를 이전하기 위한 표준 계약 조항에 관한 2010년 2월 5일의 EU 위원회 결정 2010/87/EU의 발효로 제기된 일부 문제를 해결하기 위한 FAQ"라는 제목의 제29조 작업반 문서 WP 176의 FAQ II.1에 따라 데이터 수출자는 데이터 수입자의 추후 하위 처리에 대한 일반 동의를 제공할 수 있음을 인정합니다.

2. 따라서 데이터 수출자는 본 조항 11항에 따라 데이터 수입자에게 추후 하위 처리자를 고용하는 것에 대한 일반적인 동의를 제공합니다. 이러한 동의는 데이터 수입자가 DPA 섹션 8(a)에 명시된 요건을 준수하는 것을 조건으로 합니다.