목차
목차
For the previous version of the Customer Data Processing Addendum click here.
For the previous version of the Customer Data Processing Addendum click here.
For the previous version of the Customer Data Processing Addendum click here.
적용 일자: 2024년 9월 17일
이 고객 데이터 처리 부록(“DPA”)은 RealtimeBoard, Inc, dba Miro(“Miro” 또는 “데이터 수입자”)와 고객으로 식별되는 주체(“고객” 또는 “데이터 수출자”) 간에 체결되며 (i) Miro 마스터 클라우드 계약(Master Cloud Agreement) 또는 서비스 약관(해당하는 경우) 또는 (ii) 고객의 Miro 플랫폼 및 관련 서비스에 대한 액세스 및 사용을 관리하는 이 DPA가 포함된 기타 전자 또는 서면 계약(“계약”)에 첨부됩니다. 이 DPA에서 사용되었으나 정의되지 않은 대문자로 표기된 용어는 이 계약에서 해당 용어에 부여된 의미를 따릅니다.
당사자는 이 DPA가 본 계약에 통합되어 계약의 일부를 구성하며 계약의 조항이 적용된다는 데 동의합니다.
고객이 이 DPA를 삭제하거나 수정하는 경우, Miro가 동의하지 않는 한 해당 삭제 또는 수정 사항은 거부되며 무효입니다. 고객의 서명인은 고객을 이 DPA에 구속할 권한이 있음을 진술하고 보증합니다.
“적용 가능한 개인정보 보호법”이란 Miro의 고객 개인 정보 처리에 적용되는 데이터 보호법을 포함한 모든 데이터 보호, 개인정보 보호법, 규정을 의미합니다.
“고객 개인 정보”란 적용 가능한 개인정보 보호법에 의해 정의되고 보호되는 개인 정보 및/또는 개인 자료인 모든 고객 콘텐츠를 의미합니다.
“데이터 프라이버시 프레임워크” 또는 “DPF”란 미국 상무부가 운영하는 EU-미국 데이터 프라이버시 프레임워크, 스위스-미국 데이터 프라이버시 프레임워크, EU-미국 데이터 프라이버시 프레임워크 영국 확장판 자체 인증 프로그램(해당하는 경우)을 의미하며 수시로 수정, 대체 또는 교체될 수 있습니다.
“데이터 프라이버시 프레임워크 원칙” 또는 “DPF 원칙”이란 관련 데이터 프라이버시 프레임워크에 포함된 데이터 프라이버시 프레임워크 원칙 및 보충 원칙을 의미하며 수시로 수정, 대체 또는 교체될 수 있습니다.
“데이터 보호법”이란 다음을 의미합니다: (i) 개인 정보 처리 및 이러한 데이터의 자유로운 이동과 관련해 자연인을 보호하는 유럽의회 및 이사회의 2016/679 규정(일반 데이터 보호 규정)(“EUGDPR”), (ii) 2018 영국의 유럽연합 (탈퇴)법 및 2018 영국 데이터 보호법 제3조에 따라 영국 법률에 저장된 GDPR(이하 총칭해 “영국GDPR”), (iii) EU 전자 개인정보 보호 지침(지침 2002/58/EC), (iv) 스위스 연방 데이터 보호법(“스위스 데이터 보호법”), (v) (i), (ii) (iii) 또는 (iv) 중 하나에 의거해 제정되거나 그에 따라 또는 그와 함께 적용되는 모든 관련국 데이터 보호법(각 경우 수시로 개정되거나 대체될 수 있음).
“Miro 자회사”는 Miro에 의해 직간접적으로 통제되거나 Miro를 통제하거나 Miro와 공동 통제 하에 있는 모든 법인을 의미합니다.
“제한적 이전”이란 다음을 의미합니다: (i) EU GDPR이 적용되는 경우, EEA에서 유럽위원회의 적정성 결정이 적용되지 않는 EEA 외부 국가로의 개인 정보 전송, (ii) 영국 GDPR이 적용되는 경우, 영국에서 2018 영국 데이터 보호법 17A조에 따른 적정성 규정이 적용되지 않는 다른 국가로의 개인 정보 전송, (iii) 스위스 데이터 보호법이 적용되는 경우, 스위스에서 연방 데이터 보호 및 정보 위원회 또는 연방 의회(해당하는 경우)가 개인 정보를 적절하게 보호한다고 판단하지 않는 다른 국가로의 개인 정보 전송.
“표준 계약 조항”이란 다음을 의미합니다: 섹션 8(데이터 전송)에 따라 (i) EU GDPR 또는 스위스 데이터 보호법이 적용되는 경우, 2021년 6월 4일 자 유럽연합 위원회의 이행 결정(EU) 2021/914에 첨부된 계약 조항(“EU SCC”), (ii) 영국 GDPR이 적용되는 경우, 적용되는 영국 GDPR의 46(2)(c) 또는 (d) 조항에 따라 채택된 프로세서를 위한 표준 데이터 보호 조항(특히 EU 위원회 표준 계약 조항에 대한 국제 데이터 전송 부록)(“영국 SCC”).
“보안 사고”란 고객 개인 정보의 우발적 또는 불법적인 파괴, 손실, 변경, 무단 공개 또는 접근으로 이어지는 모든 무단 또는 불법적인 보안 위반을 의미합니다. “보안 사고”에는 실패한 로그인 시도, 핑, 포트 스캔, 서비스 거부 공격, 방화벽 또는 네트워크 시스템에 대한 기타 네트워크 공격 등 고객 개인 정보의 보안을 침해하지 않는 실패한 시도 또는 활동은 포함되지 않습니다.
“하위 프로세서”란 고객 개인 정보를 처리하기 위해 Miro가 고용한 모든 프로세서를 의미합니다.
“사업체”, “컨트롤러”, “데이터 주체”, “개인 정보”, “개인 자료”, “프로세서”, “처리”, “영업”, “판매”, “서비스 제공자” 및 “공유”라는 용어는 적용 가능한 개인정보 보호법에서 부여된 의미를 갖습니다. 적용 가능한 개인정보 보호법에서 이러한 용어를 정의하지 않는 경우 데이터 보호법에 명시된 정의가 적용됩니다.
2.1 당사자는 고객 개인 정보의 처리와 관련해 고객이 컨트롤러이며 Miro가 고객을 대신해 프로세서로서 고객 개인 정보를 처리한다는 것을 인정합니다.
2.2 Miro는 고객의 문서화된 지침에 따라서만 고객 개인 정보를 처리하며 계약 및 이 DPA에 명시된 경우 또는 관련 법률에서 요구하는 경우를 제외하고 자체 목적을 위해 고객 개인 정보를 처리하지 않습니다. 이 DPA를 포함한 계약과 서비스 내 설정 또는 옵션에 대한 고객의 구성(고객이 수시로 수정할 수 있음)은 표준 계약 조항(해당하는 경우)의 목적을 비롯해 고객 개인 정보 처리와 관련된 Miro에 대한 고객의 완전하고 최종적인 지침을 구성합니다. 추가 처리 지침(있는 경우)은 당사자 간의 사전 서면 동의가 필요합니다.
2.3 각 당사자는 고객 개인 정보와 관련해 적용되는 개인정보 보호법에 따른 의무를 준수해야 합니다. 전술한 내용을 침해하지 않는 범위 내에서 고객은 서비스가 적용 가능한 개인정보 보호법에 따라 고객 개인 정보 저장 및 처리에 적합한지 여부를 판단할 책임과 고객 개인 정보의 정확성, 품질, 적법성과 고객 개인 정보를 획득한 수단에 대한 책임을 집니다. 또한 고객은 Miro 및 하위 프로세서가 계약(이 DPA 포함)에서 고려한 목적을 위해 고객 개인 정보를 합법적으로 처리하는 데 필요한 모든 동의, 허가, 권리를 고지하고 획득했음에 동의합니다.
2.4 Miro는 고객의 지침이 적용 가능한 개인정보 보호법을 위반한다고 판단하는 경우 고객에게 즉시 통지합니다(단, 고객이 적용 가능한 개인정보 보호법을 준수하는지 여부를 적극적으로 모니터링할 의무는 없으며 이러한 경우 Miro는 고객이 처리 지침을 업데이트하고 Miro가 해당 위반 사항이 해결되었다고 판단할 때까지 해당 처리를 수행할 의무가 없습니다).
2.5 데이터 처리 세부 사항
2.5.1 대상: 이 DPA에 따른 데이터 처리의 대상은 고객 개인 정보입니다.
2.5.2 기간: 고객과 Miro 간의 처리 기간은 계약 기간과 계약 종료 또는 만료 후 Miro가 계약에 따라 고객 개인 정보를 처리하는 기간을 포함합니다.
2.5.3 목적: Miro는 서비스 이용 시 고객이 추가로 지시하는 대로 계약에 따라 서비스를 수행하는 데 필요한 범위 내에서 고객 개인 정보를 처리합니다.
2.5.4 처리의 성격: 계약에 설명되어 있고 고객이 수시로 개시하는 서비스 제공.
2.5.5 고객 개인 정보의 유형: 고객의 Miro 계정을 통해 서비스에 제출된 모든 고객 개인 정보.
2.5.6 데이터 주체의 범주: 데이터 주체에는 고객의 직원, 컨설턴트, 대리인 및 고객의 Miro 계정에 따라 사용자로서 서비스에 액세스하고 사용할 수 있는 권한을 부여받은 제삼자, 서비스를 통해 고객 및/또는 그 사용자가 Miro에 제출한 고객 개인 정보와 관련된 기타 모든 데이터 주체가 포함될 수 있습니다.
3.1 고객은 https://miro.com/static/legal/Miro-Current-Subprocessors-List.pdf (또는 기타 후속 URL)(“하위 프로세서 목록”)에 나열된 하위 프로세서를 포함해 고객 개인 정보의 처리를 하위 프로세서에게 재위탁할 수 있는 일반적인 권한을 Miro에게 부여합니다.
3.2 Miro가 새로운 하위 프로세서를 고용하거나 하위 프로세서를 교체하는 경우, Miro는 다음과 같이 행합니다.
3.2.1 Miro는 하위 프로세서 목록을 업데이트합니다.
3.2.2 Miro는 이 DPA에 포함된 것과 실질적으로 동일한 데이터 보호 약관(해당하는 경우 데이터 전송 조항 포함)을 하위 프로세서에게 부과합니다.
3.2.3 Miro는 해당 하위 프로세서의 행위, 오류 또는 누락으로 인해 발생하는 이 DPA의 위반에 대해 고객에게 책임을 집니다.
3.3 고객이 Miro가 새로운 하위 프로세서를 고용하거나 하위 프로세서를 교체하기 최소 십(10) 일 전에 알림을 받기로 선택한 경우 고객은 여기에서 고객 알림 포털을 통해 해당 알림을 구독해야 합니다.
3.4 고객은 (3.2.1)에 따른 통지를 받은 후 삼십(30) 일 이내에 그리고 하위 프로세서의 적용 가능한 개인정보 보호법 준수 능력과 관련된 합리적인 근거에 기대어 서면으로 즉시 Miro의 신규 또는 교체 하위 프로세서 지정에 대해 이의를 제기할 수 있습니다. 이러한 경우 당사자는 상업적으로 합리적인 해결을 위해 고객의 우려 사항을 성실하게 논의해야 합니다. 당사자가 그러한 해결에 도달할 수 없는 경우 Miro는 단독 재량에 따라 분쟁이 있는 하위 프로세서를 지정하지 않거나 고객이 해당 주문 및/또는 계약을 일시 중단 또는 해지하도록 허용할 권리를 가집니다. 이러한 절차는 고객의 배타적 구제 수단이며 이 DPA에 따른 Miro의 하위 프로세서 지정에 대한 고객의 이의 제기를 해결하기 위한 Miro의 전적인 책임입니다.
4.1 Miro는 적용 가능한 개인정보 보호법에 따라 권리를 행사하려는 데이터 주체의 요청을 포함해 고객 개인 정보 처리와 관련된 데이터 주체 및 규제 또는 사법 기관의 요청, 불만 또는 기타 커뮤니케이션에 고객이 대응할 수 있도록 고객과 합리적으로 협력합니다. 그러한 요청, 불만 또는 커뮤니케이션이 Miro에게 직접 이뤄지는 경우 Miro는 해당 요청이 고객이 책임져야 하는 데이터 주체의 요청이거나 그와 관련된 것임을 확인한 후 이를 고객에게 전달하고 고객의 명시적 승인 없이는 그러한 커뮤니케이션에 응답하지 않습니다(관련 법률을 준수하기 위해 필요한 경우 제외).
4.2 적용 가능한 개인정보 보호법에 따라 Miro가 요구되는 범위 내에서 Miro는 고객이 데이터 보호 영향 평가를 수행하도록 지원하고 법적으로 필요한 경우 데이터 주체에게 높은 위험을 초래하는 모든 제안된 처리 활동과 관련해 해당 데이터 보호 당국과 협의합니다.
4.3 처리의 특성을 고려할 때, 고객은 DPF 및/또는 적용 가능한 경우 표준 계약 조항에 따라 전송된 고객 개인 정보가 부정확하거나 오래되었다는 사실을 Miro가 인지할 가능성은 작다는 데 동의합니다. 그럼에도 불구하고 Miro는 DPF 및/또는 적용 가능한 경우 표준 계약 조항에 따라 전송된 고객 개인 정보가 부정확하거나 오래되었다는 사실을 알게 되는 경우 지체 없이 고객에게 통지합니다. Miro는 이에 따라 전송된 부정확하거나 오래된 고객 개인 정보를 삭제하거나 수정하기 위해 고객과 합리적으로 협력합니다.
5.1 Miro는 고객 개인 정보 처리를 담당하는 모든 직원에게 적절한 기밀 유지 의무(계약상 의무 또는 법적 의무)를 부여하고 서비스 제공을 목적으로만 고객 개인 정보를 처리하도록 보장합니다.
5.2 Miro는 별첨 2에 열거된 조치(“보안 조치”)에 따라 보안 사고로부터 고객 개인 정보를 보호하기 위해 합리적이고 적절한 기술적 및 조직적 보안 조치를 시행하고 유지합니다. 고객은 보안 조치가 기술 발전 및 개발의 영향을 받으며 그러한 업데이트 및 수정이 서비스의 전반적인 보안을 저하하거나 약화하지 않는 한 Miro가 수시로 보안 조치를 업데이트하거나 수정할 수 있음을 인정합니다.
보안 사고가 발생한 경우 Miro는 고객에게 지체 없이 통지하며 해당 정보가 Miro에게 알려지거나 제공되면 영향을 받는 데이터 유형 및 영향을 받는 사람의 신원을 포함해 보안 사고에 대한 세부 정보를 고객에게 서면으로 제공합니다. Miro는 가능한 범위 내에서 고객이 적용 가능한 개인정보 보호법에 따른 데이터 침해 보고 의무를 이행할 수 있도록 고객에게 적시에 정보를 제공하고 협조하며 보안 사고의 영향을 구제하거나 완화하기 위한 합리적인 조치를 취해야 합니다. 이러한 의무는 고객 또는 그 사용자에 의해 발생한 보안 사고에는 적용되지 않습니다.
7.1 요청 시 Miro는 이 DPA에 대한 Miro의 준수 여부를 확인하기 위해 고객이 합리적으로 요구하는 경우 보유한 인증서, 감사 보고서 요약 및/또는 기타 관련 문서의 사본을 제공해야 합니다.
7.2 이 DPA에 대한 Miro의 준수 여부를 확인하기 위해 섹션 7.1에 명시된 Miro의 의무에 의존하는 것이 통상적인 당사자의 의도이지만 보안 사고가 확인된 후 또는 데이터 보호 기관이 요구하는 경우 고객은 Miro에게 삼십(30) 일 전 서면 통지를 통해 Miro의 운영 및 시설에 대한 제삼자의 감사를 요청할 수 있습니다(“감사”). 단, 다음과 같은 경우에 한합니다: (i) 모든 감사는 고객의 비용으로 수행되어야 하며 (ii) 당사자는 감사의 범위, 시기, 기간에 대해 상호 합의해야 하며 (iii) 감사가 Miro의 정규 운영에 불합리한 영향을 미치지 않아야 합니다.
7.3 섹션 7에 설명된 모든 서면 답변 또는 감사는 이 계약의 기밀 유지 조항의 적용을 받습니다. 당사자는 해당하는 경우 EU SCC 8.9 조항에 설명된 감사 조항이 섹션 7(보안 보고서 및 지침)에 따라 수행된다는 데 동의합니다.
8.1 이 계약에 따라 Miro가 처리하는 고객 개인 정보는 하위 프로세서 목록에 자세히 설명된 대로 Miro, Miro 자회사, 하위 프로세서가 서비스 수행을 위한 시설을 유지하는 모든 국가에서 처리될 수 있습니다. Miro는 데이터 보호법을 준수하며 데이터를 전송하는 데 필요한 조치를 먼저 취하지 않는 한 고객 개인 정보를 EEA, 스위스 또는 영국 외부로 처리하거나 전송(또는 그러한 데이터의 처리 또는 전송을 허용)하지 않습니다.
8.2 당사자는 Miro가 DPF 프로그램에 따라 인증을 받았으며 고객 개인 정보를 처리할 때 DPF 원칙을 준수하므로 고객 개인 정보가 EEA 및/또는 스위스에서 미국으로 제한적으로 전송될 때 DPF가 적용된다는 데 동의합니다. DPF에 따른 Miro의 인증이 취소되거나 무효화되는 경우, Miro는 해당 고객에게 알리고 요청 시 이 섹션에 설명된 대로 대체 전송 메커니즘(예: 표준 계약 조항)을 제공해 무단 처리를 시정하기 위한 합리적이고 적절한 조치를 취해야 합니다.
8.3 당사자는 제한적 전송과 관련해 DPF가 적용되지 않는 경우 표준 계약 조항이 통합되어 적용되며 해당하는 경우 다음과 같은 수정 사항으로 보완될 수 있다는 데 동의합니다.
8.3.1 고객이 EU GDPR에 의해 보호되는 고객 개인 정보의 컨트롤러인 경우: EU SCC의 모듈 2는 다음과 같은 근거에 따라 “데이터 수출자”(고객이 EEA 외부에 위치한 주체일 수 있음에도 불구하고)인 고객과 “데이터 수입자”인 Miro 간에 적용됩니다: (i) 7 조항에서 선택적 도킹 조항이 적용되고 (ii) 9 조항에서 옵션 2가 적용되며 하위 프로세서 변경에 대한 사전 통지 기간은 이 DPA에 명시된 대로 적용되며 (iii) 11 조항에서 선택적 언어는 적용되지 않으며 (iv) 17 조항에서 옵션 1이 적용되고 EU SCC는 네덜란드 법의 적용을 받으며 (v) 18(b) 조항에서 분쟁은 네덜란드 법원에서 해결되며 (vi) EU SCC의 부록 1은 이 DPA의 별첨 1을 포함하는 것으로 간주하며 (vii) EU SCC의 부록 2는 이 DPA의 별첨 2를 포함하는 것으로 간주합니다.
8.3.2 고객이 스위스 데이터 보호법에 의해 보호되는 고객 개인 정보의 컨트롤러인 경우: EU SCC의 모듈 2는 앞서 설명한 근거와 추가로 다음과 같은 근거에 따라 “데이터 수출자”인 고객과 “데이터 수입자”인 Miro 간에 적용됩니다: (i) 13 조항에서 관할 감독 당국은 스위스 연방 데이터 보호 및 정보위원회로 하며 (ii) 회원국이라는 용어는 18(c) 조항에 따라 스위스의 데이터 주체가 자신의 거주지에서 권리를 행사하는 것을 배제하는 방식으로 해석되어서는 안 되며 (iii) 이 DPA에서 EU GDPR에 대한 모든 참조는 스위스 데이터 보호법도 참조하는 것으로 간주합니다.
8.3.3 고객이 EU GDPR에 의해 보호되는 고객 개인 정보의 제삼자 컨트롤러를 대신하는 프로세서인 경우: EU SCC의 모듈 3은 다음과 같은 근거에 따라 “데이터 수출자”인 고객(고객 또는 제삼자 컨트롤러가 EEA 외부에 위치한 주체일 수 있음에도 불구하고)과 “데이터 수입자”인 Miro 간에 적용됩니다: (i) 7 조항에서 선택적 도킹 조항이 적용되고 (ii) 9 조항에서 옵션 2가 적용되며 하위 프로세서 변경에 대한 사전 통지 기간은 이 DPA에 명시된 대로이며 Miro는 이 DPA에 명시된 대로 하위 프로세서 통지 의무를 이행해야 하며 (iii) 11 조항에서 선택적 언어는 적용되지 않으며 (iv) 17 조항에서 옵션 1이 적용되고 EU SCC는 네덜란드 법의 적용을 받으며 (v) 18(b) 조항에서 분쟁은 네덜란드 법원에서 해결되며 (vi) EU SCC의 부록 1은 이 DPA의 별첨 1을 포함하는 것으로 간주하며 (vii) EU SCC의 부록 2는 이 DPA의 별첨 2를 포함하는 것으로 간주합니다.
8.3.4 고객이 스위스 데이터 보호법에 의해 보호되는 고객 개인 정보의 제삼자 컨트롤러를 대신하는 프로세서인 경우: EU SCC의 모듈 3은 앞서 설명한 근거와 추가로 다음과 같은 근거에 따라 “데이터 수출자”인 고객과 “데이터 수입자”인 Miro 간에 적용됩니다: (i) 13 조항에서 관할 감독 당국은 스위스 연방 데이터 보호 및 정보위원회로 하며 (ii) 회원국이라는 용어는 18(c) 조항에 따라 스위스의 데이터 주체가 자신의 거주지에서 권리를 행사하는 것을 배제하는 방식으로 해석되어서는 안 되며 (iii) 이 DPA에서 EU GDPR에 대한 모든 참조는 스위스 데이터 보호법도 참조하는 것으로 간주합니다.
8.3.5 고객이 영국 GDPR에 의해 보호되는 고객 개인 정보의 컨트롤러 또는 프로세서인 경우, 해당할 시 다음과 같이 수정될 수 있는 EU SCC가 적용됩니다: 각 당사자는 2018 영국 데이터 보호법 119 A조에 따라 정보 위원회가 발행한 “EU 표준 계약 조항에 대한 영국 부록”(“영국 부록”)에 서명한 것으로 간주하며 (ii) 고객 개인 정보 전송과 관련해 영국 부록에 명시된 대로 EU SCC가 수정된 것으로 간주하며 (iii) 영국 부록의 표 1에서 당사자의 연락처 정보는 이 부록의 별첨 1에 위치하며 (iv) 영국 부록의 표 2에서 표준 계약 조항, 모듈, 선택 조항에 대한 정보는 위 섹션 8.3에 있으며 (v) 영국 부록의 표 3은 이 부록의 별첨 1 및 2에 명시된 정보로 완성된 것으로 간주하며 (vi) 영국 부록의 표 4에서 각 당사자는 약관에 따라 영국 부록을 종료할 수 있고 각각의 해당 박스가 체크된 것으로 간주합니다(“영국 SCC”).
8.4 Miro가 이 DPA에 설명되지 않은 고객 개인 정보 전송을 위해 합법적인 대체 데이터 수출 메커니즘(“대체 전송 메커니즘”)을 채택하는 경우, 대체 전송 메커니즘은 이 DPA에 설명된 해당 전송 메커니즘 대신 적용됩니다(단, 이러한 대체 전송 메커니즘이 데이터 보호법을 준수하고 관련 고객 개인 정보가 전송되는 지역으로 확장되는 범위 내에서만 가능합니다).
계약 가입 기간 중 및/또는 이 DPA의 해지 또는 만료 시 고객의 요청이 있는 경우 Miro는 고객이 언제든지 요청할 수 있는 데이터 삭제 타임라인 및 정책에 따라 보유하고 있는 모든 고객 개인 정보를 삭제하거나 고객에게 반환해야 합니다. 이 요건은 관련 법률에 따라 Miro가 고객 개인 정보의 일부 또는 전부를 보유하도록 요구되는 경우 또는 백업 시스템에 보관된 고객 개인 정보에는 적용되지 않으며 Miro는 이러한 법률이 요구하는 범위를 제외하고는 해당 데이터를 격리해 추가 처리를 방지해야 합니다. 당사자는 고객의 서면 요청 시 Miro가 고객 개인 정보 삭제에 대한 확인을 고객에게 제공한다는 데 동의합니다.
Miro가 미국 캘리포니아주 거주자인 사용자의 고객 개인 정보를 처리하는 범위 내에서 당사자는 다음과 같이 동의합니다.
10.1 고객은 사업체이고 Miro는 서비스 제공자입니다. 고객이 고객 개인 정보를 Miro에 전송하는 것은 판매가 아니며 Miro는 고객 개인 정보에 대해 고객에게 금전적 또는 기타 가치 있는 대가를 제공하지 않습니다. Miro는 계약에 설명된 대로 또는 적용 가능한 개인정보 보호법에 따라 서비스 제공자가 허용하는 대로 하나 이상의 비즈니스 목적을 위해 고객을 대신해 서비스 제공자로서만 고객 개인 정보를 처리합니다.
10.2 Miro는 고객 개인 정보를 ‘판매’ 또는 ‘공유’하지 않으며 Miro는 CPRA에 의해 수정된 CCPA의 모든 해당 요건을 준수하고 이 DPA에 명시된 대로 고객과 Miro가 서면으로 합의한 경우에만 그 범위 내에서 이를 준수하는 데 동의합니다.
10.3 서비스에 적용되는 경우 Miro는 계약에 따른 고객 개인 정보 처리와 관련해 데이터 주체의 요청(CCPA에 정의된 “검증 가능한 소비자 요청”을 포함)에 고객이 대응할 수 있도록 합리적으로 지원(고객 비용 부담)해야 합니다.
11.1 이 DPA에 의한 변경을 제외하고 이 계약은 변경되지 않고 완전한 효력을 유지합니다. 이 DPA의 조항과 이 계약의 조항이 상충하는 경우 DPA가 우선합니다. 이 DPA는 발효일로부터 효력이 발생하며 이 계약의 일부이자 이 계약에 통합됩니다.
11.2 이 DPA는 어떠한 경우에도 데이터 주체 또는 관할 감독 기관의 권리를 제한하거나 제약하지 않습니다.
11.3 이 DPA에 따라 또는 이와 관련해 고객이 Miro, 그 직원, 대리인, 하위 프로세서에 대해 제기하는 모든 청구 또는 구제책은 계약, 불법행위(과실 포함) 또는 기타 책임 이론에 따른 것인지 여부를 불문하고 법이 허용하는 최대 한도 내에서 계약상의 책임 제한 및 배제의 적용을 받습니다. 따라서 계약에서 당사자의 책임에 대한 언급은 계약 및 이 DPA에 따라 그리고 이와 관련해 해당 당사자의 총 책임을 의미합니다.
11.4 이 DPA는 적용 가능한 개인정보 보호법에서 달리 요구하지 않는 한 이 계약의 준거법 및 관할권 조항에 따라 규율되고 이에 따라 해석됩니다.
11.5 이 DPA의 일부가 집행 불가능하게 되는 경우에도 나머지 모든 부분의 유효성은 영향을 받지 않습니다.
A. 당사자 목록
데이터 수출자:
데이터 수입자:
В. 전송에 대한 설명
C. 관할 감독 기관
고객의 관할 감독 기관은 데이터 보호법에 따라 결정됩니다.
데이터의 보안을 보장하기 위한 기술적 및 조직적 조치
처리의 성격, 범위, 맥락, 목적, 자연인의 권리와 자유에 대한 위험을 고려해 적절한 수준의 보안을 보장하기 위해 데이터 수입자가 시행하는 기술적 및 조직적 조치(관련 인증 포함)에 대한 설명:
Miro는 보안 정책에 설명된 대로 서비스와 고객 콘텐츠를 보호하기 위해 고안된 합리적인 기술적 및 조직적 조치를 사용합니다.
(하위) 프로세서로의 전송의 경우, (하위) 프로세서가 컨트롤러에게 지원을 제공하기 위해 취해야 하는 구체적인 기술적 및 조직적 조치를 비롯해 프로세서에서 하위 프로세서로의 전송의 경우 데이터 수출자에게 지원을 제공하기 위해 취해야 하는 구체적인 기술적 및 조직적 조치를 설명합니다.
(EU) 2016/679 규정에 따라 데이터 주체의 권리 행사에 대한 요청에 응답하는 데이터 수출자를 지원하기 위해 데이터 수입자가 취하는 기술적 및 조직적 조치는 DPA의 섹션 4(협력)에 명시되어 있습니다.