EEA 표준 계약 조항(SCC)

 

발효일: 2023년 2월 16일

 

 

표준 계약 조항(프로세서)

 

데이터 처리 계약에 정의된 데이터 컨트롤러(“데이터 내보내기”),

 

그리고

 

PME Solutions LLC는 14689 Lee Hwy #411, Gainesville, VA 20156, 미국. 데이터 수출자가 데이터 처리 계약에 따라 개인 데이터를 PME Solutions LLC로 전송하는 경우

 

(위에서 설명한 관련 PME Solutions LLC 법인은 "데이터 수입업자”),

 

각각은 "당사자"입니다. 함께 "당사자",

 

데이터 수출자가 에 명시된 개인 데이터를 데이터 수입자에게 이전하기 위해 개인 정보 보호 및 기본권과 개인의 자유와 관련하여 적절한 보호 조치를 제공하기 위해 다음 계약 조항("절")에 동의했습니다. 부록 1.

 

 

섹션 I

제1항

목적과 범위

(ㅏ)  이러한 표준 계약 조항의 목적은 개인 데이터 처리 및 그러한 데이터의 자유로운 이동(일반 데이터 보호 규정) (1) 개인 데이터를 제3국으로 전송하기 위해.

(b) 당사자:

(나)   Annex I. A에 나열된 대로 개인 데이터를 전송하는 자연인 또는 법인, 공공 기관, 기관 또는 기타 기관(이하 '엔터티')(이하 '데이터 수출자') , 그리고

(ii) 부속서 I. A에 나열된 대로 본 조항의 당사자이기도 한 다른 주체를 통해 직간접적으로 데이터 수출자로부터 개인 데이터를 수신하는 제3국의 법인(이하 각 '데이터 수입업자')

이 표준 계약 조항(이하 '조항')에 동의했습니다.

(씨)  이 조항은 부록 I.B에 명시된 대로 개인 데이터의 전송과 관련하여 적용됩니다.

(d) 이 조항에 언급된 부속서를 포함하는 이 조항의 부록은 이 조항의 필수적인 부분을 구성합니다.

제2항

조항의 효력 및 불변성

(ㅏ)  이 조항은 규정(EU) 2016/679의 46(1)조 및 46(2)(c)조 및 컨트롤러로부터의 데이터 전송과 관련하여 집행 가능한 데이터 주체 권리 및 효과적인 법적 구제책을 포함하여 적절한 안전 장치를 설정합니다. 규정(EU) 2016/679의 28(7)조에 따른 표준 계약 조항, 적절한 모듈을 선택하거나 정보를 추가하거나 업데이트하는 경우를 제외하고 수정되지 않는 경우 부록. 이는 당사자가 본 조항에 명시된 표준 계약 조항을 더 넓은 계약에 포함하거나 다른 조항 또는 추가 보호 장치를 추가하는 것을 막지 않습니다. 단, 본 조항이 직간접적으로 본 조항과 모순되거나 기본권 또는 데이터 주체의 자유.

(b) 이 조항은 데이터 수출자가 규정(EU) 2016/679에 따라 따라야 하는 의무를 침해하지 않습니다.

 

 

제3항

제3자 수혜자

(ㅏ)  데이터 주체는 다음을 제외하고 데이터 수출자 및/또는 데이터 수입자를 상대로 제3자 수혜자로서 본 조항을 발동하고 시행할 수 있습니다.

(나)   1항, 2항, 3항, 6항, 7항

(ii) 조항 8.1(b), 8.9(a), (c), (d) 및 (e);

(iii) 조항 9 - 조항 9(a), (c), (d) 및 (e);

(iv) 12항 - 12(a), (d) 및 (f)항;

(v) 13항;

(vi) 조항 15.1(c), (d) 및 (e);

(vii) 조항 16(e);

(viii) 18조 – 18(a) 및 (b)조

(b) 단락 (a)는 규정(EU) 2016/679에 따른 정보 주체의 권리를 침해하지 않습니다.

제4조

해석

(ㅏ)  이 조항이 규정(EU) 2016/679에 정의된 용어를 사용하는 경우 해당 용어는 해당 규정에서와 동일한 의미를 갖습니다.

(b) 이 조항은 규정(EU) 2016/679의 조항에 비추어 읽고 해석해야 합니다.

(씨)  이 조항은 규정(EU) 2016/679에 제공된 권리 및 의무와 충돌하는 방식으로 해석되어서는 안 됩니다.

 

 

제5항

계층

본 조항과 당사자 간의 관련 계약 조항 사이에 모순이 있는 경우, 본 조항이 합의되거나 이후에 체결되는 시점에 존재하는 조항이 우선합니다.

 

제6조

전송에 대한 설명

전송 세부 정보, 특히 전송되는 개인 데이터의 범주와 전송 목적은 부록 I.B에 명시되어 있습니다.

 

제7항

도킹 조항 

(ㅏ)  본 조항의 당사자가 아닌 법인은 당사자의 동의 하에 부록을 작성하고 부록 I.A에 서명함으로써 데이터 수출자 또는 데이터 수입자로 언제든지 본 조항에 가입할 수 있습니다.

(b) 부록을 작성하고 부속서 I.A에 서명하면 가입 주체는 본 조항의 당사자가 되며 부속서 I.A에 지정된 대로 데이터 수출자 또는 데이터 수입자의 권리와 의무를 갖게 됩니다.

(씨)  가맹 주체는 당사국이 되기 전 기간부터 이 조항에 따라 발생하는 권리나 의무가 없습니다.

 

 

 

 

섹션 II – 당사자의 의무

제8항

데이터 보호 보호

데이터를 내보내는 사람은 데이터를 가져오는 사람이 적절한 기술 및 조직적 조치를 구현하여 본 조항에 따른 의무를 이행할 수 있는지 판단하기 위해 합당한 노력을 기울였음을 보증합니다.

8.1 지침

(ㅏ)  데이터 수입자는 데이터 수출자의 문서화된 지침에 따라서만 개인 데이터를 처리해야 합니다. 데이터 수출자는 계약 기간 내내 그러한 지시를 내릴 수 있습니다.

(b) 데이터를 가져오는 사람은 해당 지침을 따를 수 없는 경우 데이터를 내보내는 사람에게 즉시 알려야 합니다.

8.2 목적 제한

데이터 수입자는 데이터 수출자의 추가 지침이 없는 한 부록 I.B에 명시된 전송의 특정 목적을 위해서만 개인 데이터를 처리해야 합니다.

8.3 투명성

요청 시 데이터 수출자는 양 당사자가 작성한 부록을 포함하여 데이터 주체가 무료로 사용할 수 있는 본 조항의 사본을 만들어야 합니다. 부록 II 및 개인 데이터에 설명된 조치를 포함하여 영업 비밀 또는 기타 기밀 정보를 보호하는 데 필요한 범위 내에서 데이터 수출자는 사본을 공유하기 전에 이 조항에 대한 부록 텍스트의 일부를 수정할 수 있지만 의미 있는 요약을 제공해야 합니다. 그렇지 않으면 데이터 주체가 그 내용을 이해하거나 자신의 권리를 행사할 수 없는 경우. 요청 시 당사자는 수정된 정보를 공개하지 않고 가능한 한 수정 사유를 정보 주체에게 제공해야 합니다. 이 조항은 규정(EU) 2016/679의 13조 및 14조에 따른 데이터 수출자의 의무를 침해하지 않습니다.

8.4 정확도

데이터를 가져오는 사람이 받은 개인 데이터가 부정확하거나 오래되었다는 사실을 알게 된 경우 지체 없이 데이터를 내보내는 사람에게 알려야 합니다. 이 경우 데이터를 가져오는 사람은 데이터를 내보내는 사람과 협력하여 데이터를 삭제하거나 수정해야 합니다.

8.5 처리 기간 및 데이터 삭제 또는 반환

데이터 가져오기에 의한 처리는 Annex I.B에 명시된 기간 동안만 이루어집니다. 처리 서비스 제공이 종료된 후 데이터 가져오기자는 데이터 내보내기자의 선택에 따라 데이터 내보내기자를 대신하여 처리된 모든 개인 데이터를 삭제하고 데이터 내보내기자에게 그렇게 했음을 인증하거나 반환해야 합니다. 데이터 수출자는 모든 개인 데이터를 대신하여 처리하고 기존 사본을 삭제합니다. 데이터가 삭제되거나 반환될 때까지 데이터 수입자는 이 조항을 계속 준수해야 합니다. 개인 데이터의 반환 또는 삭제를 금지하는 데이터 수입자에게 적용되는 현지 법률의 경우, 데이터 수입자는 계속해서 이러한 조항을 준수할 것이며 해당 조항에서 요구하는 범위와 기간 동안만 처리할 것임을 보증합니다. 현지법. 이는 14조를 침해하지 않으며, 특히 14(e)조에 따라 데이터를 가져오는 사람이 법률 또는 조항 14(a)의 요건에 부합하지 않는 관행.

8.6 처리 보안

(ㅏ)  데이터를 가져오는 사람과 전송하는 동안 데이터를 내보내는 사람은 우발적이거나 불법적인 파기, 손실, 변경, 무단 공개 또는 액세스로 이어지는 보안 위반에 대한 보호를 포함하여 데이터의 보안을 보장하기 위해 적절한 기술적 및 조직적 조치를 구현해야 합니다. 해당 데이터(이하 '개인 데이터 위반'). 적절한 보안 수준을 평가할 때 당사자는 최신 기술, 구현 비용, 처리의 성격, 범위, 맥락 및 목적, 정보 주체의 처리와 관련된 위험을 적절히 고려해야 합니다. 양 당사자는 특히 암호화 또는 가명화에 의존하는 것을 고려해야 하며, 전송 중에 처리 목적이 그러한 방식으로 달성될 수 있는 경우를 포함합니다. 가명 처리의 경우 개인 데이터를 특정 데이터 주체에 귀속시키는 추가 정보는 가능한 경우 데이터 수출자의 배타적 통제하에 있어야 합니다. 이 단락에 따른 의무를 준수하기 위해 데이터 수입자는 적어도 부록 II에 명시된 기술적 및 조직적 조치를 구현해야 합니다. 데이터 수입자는 이러한 조치가 적절한 수준의 보안을 계속 제공하는지 확인하기 위해 정기적인 점검을 수행해야 합니다.

(b) 데이터 수입자는 계약의 이행, 관리 및 모니터링에 엄격하게 필요한 범위 내에서만 직원에게 개인 데이터에 대한 액세스 권한을 부여해야 합니다. 개인 데이터를 처리하도록 승인된 사람이 기밀 유지를 약속했거나 기밀 유지에 대한 적절한 법적 의무가 있는지 확인해야 합니다.

(씨)  본 조항에 따라 데이터 수입자가 처리한 개인 데이터와 관련하여 개인 데이터 위반이 발생한 경우 데이터 수입자는 부작용을 완화하기 위한 조치를 포함하여 위반을 해결하기 위한 적절한 조치를 취해야 합니다. 데이터를 가져오는 사람은 위반 사실을 알게 된 후 부당한 지체 없이 데이터를 내보내는 사람에게 알려야 합니다. 이러한 통지에는 더 많은 정보를 얻을 수 있는 연락처의 세부 정보, 위반의 성격에 대한 설명(가능한 경우 관련 데이터 주체 및 개인 데이터 레코드의 범주 및 대략적인 수 포함), 가능한 결과 및 위반을 해결하기 위해 취해지거나 제안된 조치(적절한 경우 가능한 악영향을 완화하기 위한 조치 포함) 모든 정보를 동시에 제공할 수 없는 경우, 초기 통지에는 당시 사용 가능한 정보가 포함되어야 하며 추가 정보는 사용 가능한 즉시 부당한 지체 없이 제공되어야 합니다.

(d) 데이터를 가져오는 사람은 데이터를 내보내는 사람이 규정(EU) 2016/679에 따른 의무를 준수할 수 있도록 데이터를 내보내는 사람과 협력하고 지원해야 합니다. 처리의 특성과 데이터 수입자가 사용할 수 있는 정보를 고려합니다.

8.7 민감한 데이터

개인을 고유하게 식별할 목적으로 인종 또는 민족, 정치적 견해, 종교적 또는 철학적 신념, 노동조합 가입 여부, 유전 정보 또는 생체 정보를 드러내는 개인 정보, 건강 또는 개인의 성생활 또는 성생활에 관한 정보를 전송하는 경우 방향 또는 범죄 유죄 판결 및 범죄와 관련된 데이터(이하 '민감한 데이터), 데이터 수입자는 부록 I.B에 설명된 특정 제한 및/또는 추가 안전 장치를 적용해야 합니다.

8.8 제3자 전송

데이터를 가져오는 사람은 데이터를 내보내는 사람의 문서화된 지침에 따라서만 개인 데이터를 제3자에게 공개해야 합니다. 또한 데이터는 유럽 연합(4) 외부에 위치한 제3자에게만 공개될 수 있습니다(데이터 수입자와 동일한 국가 또는 다른 제3국, 이하 '제3자 전송'). 해당 모듈에 따라 본 조항의 구속을 받거나 다음과 같은 경우:

(ㅏ)  제45조(EU) 2016/679의 제45조에 따라 제3자 이전을 다루는 적정성 결정의 혜택을 받는 국가로 제3자 이전이 이루어집니다.

(b) 제3자가 해당 처리와 관련하여 (EU) 2016/679의 규정 46조 또는 47조에 따라 적절한 보호 조치를 달리 보장합니다.

(씨)  특정 행정, 규제 또는 사법 절차의 맥락에서 법적 청구의 설정, 행사 또는 방어를 위해 제3자 전송이 필요합니다. 또는

(d) 데이터 주체 또는 다른 자연인의 중대한 이익을 보호하기 위해 제3자 전송이 필요한 경우.

모든 제3자 전송은 데이터 수입자가 본 조항에 따른 다른 모든 보호 장치, 특히 목적 제한을 준수해야 합니다.

8.9 문서화 및 준수

(ㅏ)  데이터를 가져오는 사람은 본 조항에 따른 처리와 관련된 데이터를 내보내는 사람의 문의를 신속하고 적절하게 처리해야 합니다.

(b) 양 당사자는 본 조항의 준수 여부를 입증할 수 있어야 합니다. 특히 데이터 수입자는 데이터 수출자를 대신하여 수행된 처리 활동에 대한 적절한 문서를 보관해야 합니다.

(씨)  데이터를 가져오는 사람은 데이터를 내보내는 사람이 본 조항에 명시된 의무 준수를 입증하는 데 필요한 모든 정보를 제공하고 데이터를 내보내는 사람의 요청에 따라 합리적인 간격 또는 위반 징후가 있는 경우. 검토 또는 감사를 결정할 때 데이터 수출자는 데이터 수입자가 보유한 관련 인증서를 고려할 수 있습니다.

(d) 데이터 수출자는 자체적으로 감사를 수행하거나 독립적인 감사자를 위임하도록 선택할 수 있습니다. 감사에는 데이터 수입자의 구내 또는 물리적 시설에 대한 검사가 포함될 수 있으며 적절한 경우 합당한 통지와 함께 수행되어야 합니다.

(그것은)  당사자는 모든 감사 결과를 포함하여 단락 (b) 및 (c)에 언급된 정보를 요청 시 관할 감독 기관이 사용할 수 있도록 해야 합니다.

9항

하위 프로세서 사용 

(ㅏ)  데이터를 가져오는 사람은 합의된 목록에서 하위 처리자의 참여에 대해 데이터를 내보내는 사람의 일반 권한을 가집니다. 데이터를 가져오는 사람은 하위 프로세서의 추가 또는 교체를 통해 해당 목록에 대한 의도된 변경 사항을 최소 14일 전에 미리 서면으로 데이터 내보내는 사람에게 구체적으로 알려야 합니다. 하위 프로세서(들)의 참여에. 데이터 수입자는 데이터 수출자가 반대할 권리를 행사할 수 있도록 필요한 정보를 데이터 수출자에게 제공해야 합니다.

(b) 데이터를 가져오는 사람이 (데이터를 내보내는 사람을 대신하여) 특정 처리 활동을 수행하기 위해 하도급 처리자를 고용하는 경우 실질적으로 다음과 같은 데이터 보호 의무를 제공하는 서면 계약을 통해 그렇게 해야 합니다. 데이터 주체에 대한 제3자 수혜자 권리를 포함하여 본 조항에 따라 데이터 수입자를 구속하는 조항. (8) 양 당사자는 이 조항을 준수함으로써 데이터 수입자가 8.8조에 따른 의무를 이행한다는 데 동의합니다. 데이터를 가져오는 사람은 하도급 프로세서가 이 조항에 따라 데이터를 가져오는 사람에게 적용되는 의무를 준수하도록 해야 합니다.

(씨)  데이터를 가져오는 사람은 데이터를 내보내는 사람의 요청에 따라 해당 하위 처리자 계약의 사본과 데이터를 내보내는 사람에게 후속 수정 사항을 제공해야 합니다. 비즈니스 비밀 또는 개인 데이터를 포함한 기타 기밀 정보를 보호하는 데 필요한 범위 내에서 데이터 수입자는 사본을 공유하기 전에 계약서의 텍스트를 수정할 수 있습니다.

(d) 데이터 수입자는 데이터 수입자와의 계약에 따라 하위 처리자의 의무 이행에 대해 데이터 수출자에 대해 전적인 책임을 집니다. 데이터를 가져오는 사람은 데이터를 내보내는 사람에게 하도급 프로세서가 해당 계약에 따른 의무를 이행하지 못한 사실을 알려야 합니다.

(그것은)  데이터를 가져오는 사람은 하도급 프로세서와 제3자 수혜자 조항에 동의해야 합니다. 데이터를 가져오는 사람이 실제로 사라졌거나 법적으로 존재하지 않거나 파산한 경우 데이터를 내보내는 사람은 데이터를 종료할 권리가 있습니다. 하청 처리자와 계약하고 하청 처리자에게 개인 데이터를 삭제하거나 반환하도록 지시합니다.

제10조

데이터 주체 권리

(ㅏ)  데이터 수입자는 데이터 주체로부터 받은 모든 요청을 데이터 수출자에게 즉시 알려야 합니다. 데이터를 내보내는 사람이 권한을 부여하지 않는 한 해당 요청 자체에 응답하지 않습니다.

(b) 데이터 수입자는 데이터 수출자가 규정(EU) 2016/679에 따라 권리 행사에 대한 데이터 주체의 요청에 응답해야 하는 의무를 이행하도록 지원해야 합니다. 이와 관련하여 당사자는 지원이 제공되는 처리의 특성과 필요한 지원의 범위 및 정도를 고려하여 적절한 기술적 및 조직적 조치를 부속서 II에 명시합니다.

(씨)  (a) 및 (b)항에 따른 의무를 이행함에 있어 데이터 수입자는 데이터 수출자의 지시를 준수해야 합니다.

제11조

구제

(ㅏ)  데이터를 가져오는 사람은 개별 통지 또는 웹사이트를 통해 불만을 처리할 수 있는 연락처를 데이터 주체에게 투명하고 쉽게 접근할 수 있는 형식으로 알려야 합니다. 정보주체로부터 접수된 불만사항은 즉시 처리하여야 합니다.

(b) 본 조항 준수와 관련하여 데이터 주체와 당사자 중 한 당사자 간에 분쟁이 발생하는 경우 해당 당사자는 문제를 적시에 우호적으로 해결하기 위해 최선의 노력을 다해야 합니다. 양 당사자는 그러한 분쟁에 대해 서로에게 알리고 적절한 경우 이를 해결하는 데 협력해야 합니다.

(씨)  데이터 주체가 제3조에 따라 제3자 수혜자 권리를 행사하는 경우 데이터 수입자는 다음과 같은 데이터 주체의 결정을 수락해야 합니다.

(나)     13항에 따라 상시 거주지나 직장이 있는 회원국의 감독 기관 또는 관할 감독 기관에 불만을 제기할 수 있습니다.

(ii)     제18조의 의미 내에서 관할 법원에 분쟁을 회부합니다.

(d) 양 당사자는 규정(EU) 2016/679의 80(1)조에 명시된 조건에 따라 정보 주체가 비영리 단체, 조직 또는 협회에 의해 대표될 수 있음을 수락합니다.

(그것은)  데이터 수입자는 해당 EU 또는 회원국 법률에 따라 구속력이 있는 결정을 준수해야 합니다.

(에프)  데이터를 가져오는 사람은 데이터 주체의 선택이 해당 법률에 따라 구제책을 모색할 실질적 및 절차적 권리를 침해하지 않는다는 데 동의합니다.

제12조

책임

(ㅏ)  각 당사자는 본 조항을 위반하여 상대 당사자에게 초래한 손해에 대해 상대 당사자에게 책임을 집니다.

(b) 데이터를 가져오는 사람은 데이터 주체에 대해 책임을 져야 하며 데이터 주체는 데이터를 가져오는 사람 또는 그 하위 처리자가 제3의 조항을 위반하여 데이터 주체에게 초래하는 물질적 또는 비물질적 손해에 대해 보상을 받을 자격이 있습니다. 이 조항에 따른 당사자 수혜자 권리.

(씨)  (b)항에도 불구하고 데이터를 내보내는 사람은 데이터 주체에 대해 책임을 져야 하며 데이터 주체는 데이터를 내보내는 사람이나 데이터를 가져오는 사람(또는 그 하위 처리자)의 물질적 또는 비물질적 손해에 대해 보상을 받을 자격이 있습니다. 본 조항에 따른 제3자 수익자 권리를 위반하여 데이터 주체에게 원인을 제공합니다. 이는 데이터 수출자의 책임을 침해하지 않으며 데이터 수출자가 컨트롤러를 대신하여 행동하는 프로세서인 경우 규정(EU) 2016/679 또는 규정(EU) 2018/1725에 따른 컨트롤러의 책임을 침해하지 않습니다. 적용 가능합니다.

(d) 양 당사자는 데이터를 내보내는 사람이 (c)항에 따라 데이터를 가져오는 사람(또는 그 하도급 처리자)이 초래한 손해에 대해 책임을 지는 경우 데이터를 가져오는 사람에게 보상의 일부를 다시 청구할 수 있다는 데 동의합니다. 손상에 대한 데이터 수입자의 책임에 해당합니다.

(그것은)  둘 이상의 당사자가 본 조항 위반의 결과로 데이터 주체에게 발생한 손해에 대해 책임이 있는 경우 모든 책임 당사자는 공동으로 그리고 개별적으로 책임을 지며 데이터 주체는 이러한 조항에 대해 법원에 소송을 제기할 자격이 있습니다. 파티.

(에프)  당사자는 한 당사자가 단락 (e)에 따라 책임을 지는 경우 손해에 대한 책임에 해당하는 보상 부분을 다른 당사자에게 청구할 수 있다는 데 동의합니다.

(g) 데이터 수입자는 자신의 책임을 회피하기 위해 하도급 처리자의 행위를 부추길 수 없습니다.

제13조

감독

(ㅏ)  양 당사자는 데이터 전송과 관련하여 데이터 수출자가 규정(EU) 2016/679를 준수하도록 할 책임이 있는 감독 기관이 관할 감독 기관 역할을 하는 네덜란드 데이터 보호 기관(Autoriteit Persoonsgegevens)이라는 데 동의합니다.

(b) 데이터 수입자는 본 조항을 준수하기 위한 모든 절차에서 관할 감독 기관의 관할권에 복종하고 협력하는 데 동의합니다. 특히, 데이터 수입자는 질의에 응답하고, 감사를 받고, 구제 및 보상 조치를 포함하여 감독 기관이 채택한 조치를 준수하는 데 동의합니다. 필요한 조치를 취했다는 서면 확인서를 감독 기관에 제공해야 합니다.

섹션 III – 공공 기관이 액세스하는 경우 현지 법률 및 의무

제14조

조항 준수에 영향을 미치는 현지 법률 및 관행

(ㅏ)  당사자는 개인 데이터 공개 요구 사항 또는 공공 기관의 액세스 권한을 부여하는 조치를 포함하여 데이터 수입자가 개인 데이터를 처리하는 데 목적지 제3국의 법률 및 관행이 적용된다고 믿을 이유가 없음을 보증합니다. 데이터 수입자가 본 조항에 따른 의무를 이행하지 못하도록 합니다. 이는 기본권과 자유의 본질을 존중하고 규정(EU 규정) 23(1)조에 나열된 목표 중 하나를 보호하기 위해 민주 사회에서 필요하고 비례하는 것을 초과하지 않는 법률과 관행이라는 이해에 기반합니다. ) 2016/679는 이 조항과 모순되지 않습니다.

(b) 양 당사자는 단락 (a)의 보증을 제공할 때 특히 다음 요소를 적절히 고려했음을 선언합니다.

(i) 처리 체인의 길이, 관련된 행위자 수 및 사용된 전송 채널을 포함한 전송의 특정 상황 의도된 향후 전송; 수신자의 유형; 처리 목적 전송된 개인 데이터의 범주 및 형식 이전이 발생하는 경제 부문 전송된 데이터의 저장 위치;

(ii) 전송의 특정 상황과 적용 가능한 제한 및 보호 장치에 비추어 볼 때 공공 기관에 대한 데이터 공개를 요구하거나 그러한 기관의 액세스를 승인하는 것을 포함하여 목적지 제3국의 법률 및 관행(12 );

(iii) 목적지 국가에서 개인 데이터의 전송 및 처리 중에 적용되는 조치를 포함하여 본 조항에 따른 보호 장치를 보완하기 위해 시행되는 관련 계약, 기술 또는 조직적 보호 장치.

(씨)  데이터 수입자는 단락 (b)에 따른 평가를 수행할 때 데이터 수출자에게 관련 정보를 제공하기 위해 최선의 노력을 기울였으며 이러한 조항을 준수하기 위해 데이터 수출자와 계속 협력할 것임을 보증합니다.

(d) 양 당사자는 단락 (b)에 따른 평가를 문서화하고 요청 시 관할 감독 기관에 제공하는 데 동의합니다.

(그것은)  데이터 수입자는 본 조항에 동의한 후 계약 기간 동안 단락의 요구 사항에 부합하지 않는 법률 또는 관행의 적용을 받거나 적용 받았다고 믿을 만한 이유가 있는 경우 즉시 데이터 수출자에게 알리는 데 동의합니다. (a) 제3국 법률의 변경에 따른 조치 또는 (a)항의 요구 사항과 일치하지 않는 해당 법률의 실제 적용을 나타내는 조치(예: 공개 요청)를 포함합니다.

(에프)  (e)항에 따른 알림을 받은 후 또는 데이터를 내보내는 사람이 데이터를 가져오는 사람이 더 이상 본 조항에 따른 의무를 이행할 수 없다고 믿을 만한 이유가 있는 경우 데이터를 내보내는 사람은 즉시 적절한 조치(예: 기술적 또는 조직적 조치)를 확인해야 합니다. 보안 및 기밀성) 데이터를 내보내는 사람 및/또는 데이터를 가져오는 사람이 상황을 해결하기 위해 채택해야 합니다. 데이터 수출자는 그러한 전송에 대한 적절한 안전 장치가 보장될 수 없다고 생각하거나 관할 감독 기관의 지시가 있는 경우 데이터 전송을 중단해야 합니다. 이 경우 데이터 수출자는 본 조항에 따른 개인 데이터 처리와 관련된 계약을 해지할 수 있습니다. 계약에 둘 이상의 당사자가 관련된 경우 당사자가 달리 합의하지 않는 한 데이터 수출자는 관련 당사자에 대해서만 이 해지 권리를 행사할 수 있습니다. 본 조항에 따라 계약이 해지되는 경우 16(d) 및 (e) 조항이 적용됩니다.

제15조

공공 기관이 액세스하는 경우 데이터 수입자의 의무

15.1 통지

(ㅏ)  데이터를 가져오는 사람은 다음과 같은 경우 데이터를 내보내는 사람과 가능한 경우 데이터 주체에게 즉시(필요한 경우 데이터를 내보내는 사람의 도움을 받아) 알리는 데 동의합니다.

(i) 본 조항에 따라 전송된 개인 데이터의 공개를 위해 목적지 국가의 법률에 따라 사법 기관을 포함한 공공 기관으로부터 법적 구속력이 있는 요청을 받습니다. 그러한 통지에는 요청된 개인 데이터, 요청 기관, 요청에 대한 법적 근거 및 제공된 응답에 대한 정보가 포함되어야 합니다. 또는

(ii) 목적지 국가의 법률에 따라 본 조항에 따라 전송된 개인 데이터에 대한 공공 기관의 직접적인 접근을 인지하게 됩니다. 그러한 통지에는 수입자가 이용할 수 있는 모든 정보가 포함되어야 합니다.

(b) 대상 국가의 법률에 따라 데이터 수입자가 데이터 수출자 및/또는 데이터 주체에게 통지하는 것이 금지된 경우 데이터 수입자는 최대한 많은 정보를 최대한 빨리 전달합니다. 데이터 수입자는 데이터 수출자의 요청 시 입증할 수 있도록 최선의 노력을 문서화하는 데 동의합니다.

(씨)  대상 국가의 법률에 따라 허용되는 경우 데이터 수입자는 계약 기간 동안 정기적으로 데이터 수출자에게 수신된 요청에 대해 가능한 한 많은 관련 정보(특히 요청 수, 요청된 데이터의 유형, 요청 기관, 요청이 이의를 제기했는지 여부 및 그러한 이의의 결과 등).

(d) 데이터 수입자는 계약 기간 동안 단락 (a)~(c)에 따라 정보를 보존하고 요청 시 관할 감독 기관에서 사용할 수 있도록 하는 데 동의합니다.

(그것은)  (a) ~ (c)항은 14(e)절 및 16절에 따라 데이터를 가져오는 사람이 이러한 조항을 준수할 수 없는 경우 즉시 데이터를 내보내는 사람에게 알려야 하는 의무를 침해하지 않습니다.

 

15.2 적법성 검토 및 데이터 최소화

(ㅏ)  데이터 수입자는 공개 요청의 합법성, 특히 요청하는 공공 기관에 부여된 권한 내에 있는지 여부를 검토하고 신중한 평가 후 고려해야 할 합리적인 근거가 있다고 결론을 내리는 경우 요청에 이의를 제기하는 데 동의합니다. 요청이 목적지 국가의 법률, 국제법 및 국제 예의 원칙에 따른 해당 의무에 따라 불법임을 확인합니다. 데이터 수입자는 동일한 조건에서 이의 제기 가능성을 추구해야 합니다. 요청에 이의를 제기할 때 데이터 수입자는 관할 사법 당국이 본안을 결정할 때까지 요청의 효과를 중단하기 위해 임시 조치를 찾아야 합니다. 해당 절차 규칙에 따라 요구될 때까지 요청된 개인 데이터를 공개하지 않습니다. 이러한 요구 사항은 14(e)절에 따른 데이터 수입자의 의무를 침해하지 않습니다.

(b) 데이터 수입자는 공개 요청에 대한 법적 평가 및 이의 제기를 문서화하고 대상 국가의 법률에 따라 허용되는 범위 내에서 데이터 수출자가 문서를 사용할 수 있도록 하는 데 동의합니다. 또한 요청 시 관할 감독 기관에서 사용할 수 있도록 해야 합니다.

(씨)  데이터 수입자는 요청에 대한 합리적인 해석에 따라 공개 요청에 응답할 때 허용되는 최소한의 정보를 제공하는 데 동의합니다.

섹션 IV – 최종 조항

제16조

조항 위반 및 해지

(ㅏ)  데이터 수입자는 어떤 이유로든 본 조항을 준수할 수 없는 경우 데이터 수출자에게 즉시 알려야 합니다.

(b) 데이터 수입자가 본 조항을 위반하거나 본 조항을 준수할 수 없는 경우, 데이터 수출자는 준수가 다시 보장되거나 계약이 종료될 때까지 데이터 수입자에게 개인 데이터 전송을 중단해야 합니다. 이는 14(f)항을 침해하지 않습니다.

(씨)  데이터 수출자는 다음과 같은 경우 본 조항에 따른 개인 데이터 처리와 관련하여 계약을 해지할 수 있습니다.

(i) 데이터를 내보내는 사람이 (b)항에 따라 데이터를 가져오는 사람에게 개인 데이터를 전송하는 것을 중단했으며 본 조항에 대한 준수가 합리적인 시간 내에 그리고 어떤 경우에도 중단된 지 1개월 이내에 복원되지 않습니다.

(ii) 데이터 수입자가 본 조항을 실질적으로 또는 지속적으로 위반한 경우 또는

(iii) 데이터 수입자가 본 조항에 따른 의무와 관련하여 관할 법원 또는 감독 기관의 구속력 있는 결정을 준수하지 않습니다.

이 경우 해당 감독 기관에 위반 사실을 알려야 합니다. 계약에 둘 이상의 당사자가 관련된 경우 당사자가 달리 합의하지 않는 한 데이터 수출자는 관련 당사자에 대해서만 이 해지 권리를 행사할 수 있습니다.

(d) (c)항에 따라 계약이 종료되기 전에 전송된 개인 데이터는 데이터 수출자의 선택에 따라 즉시 데이터 수출자에게 반환되거나 전체가 삭제됩니다. 모든 데이터 사본에도 동일하게 적용됩니다. 데이터를 가져오는 사람은 데이터를 내보내는 사람에게 데이터 삭제를 인증해야 합니다. 데이터가 삭제되거나 반환될 때까지 데이터 수입자는 이 조항을 계속 준수해야 합니다. 전송된 개인 데이터의 반환 또는 삭제를 금지하는 데이터 수입자에게 적용되는 현지 법률의 경우, 데이터 수입자는 계속해서 이러한 조항을 준수하고 해당 범위 및 기간 동안만 데이터를 처리할 것임을 보증합니다. 해당 지역 법률에 따라 요구됩니다.

(그것은)  각 당사자는 (i) 이 조항이 적용되는 개인 데이터의 이전을 다루는 규정(EU) 2016/679의 45(3)조에 따라 유럽 위원회가 결정을 채택하는 경우, 이 조항에 구속된다는 동의를 철회할 수 있습니다. 또는 (ii) 규정(EU) 2016/679가 개인 데이터가 전송되는 국가의 법적 프레임워크의 일부가 됩니다. 이는 규정(EU) 2016/679에 따라 해당 처리에 적용되는 다른 의무를 침해하지 않습니다.

 

제17조

준거법 

이 조항은 데이터 수출자가 설립된 EU 회원국의 법률에 의해 규율됩니다. 해당 법률이 제3자 수혜자 권리를 허용하지 않는 경우, 제3자 수혜자 권리를 허용하는 다른 EU 회원국의 법률이 적용됩니다.

 

제18조

법정 및 관할권 선택

(ㅏ)  이 조항에서 발생하는 모든 분쟁은 미국 법원에서 해결합니다.

(b) 양 당사자는 버지니아주의 법원이 되는 데 동의합니다.

(씨)  데이터 주체는 또한 자신이 상주하는 회원국의 법원에서 데이터 수출자 및/또는 데이터 수입자를 상대로 소송을 제기할 수 있습니다.

(d) 당사자는 그러한 법원의 관할권에 복종하는 데 동의합니다.

 

PME Solutions LLC 표준 계약 조항에 대한 부록 1

 

이 부록은 조항의 일부를 구성합니다.

 

데이터 내보내기 데이터 수출자는 조항의 당사자인 비 PME Solutions LLC 법인입니다.

 

데이터 임포터. 데이터 가져오기: PME Solutions LLC  

데이터 수출자가 개인 데이터를 PME Solutions LLC로 전송하는 경우  데이터 처리 계약에 따라 또는

 

데이터 주체. 전송되는 개인 데이터는 다음 범주의 데이터 주체와 관련됩니다. 데이터 주체에는 EEA에서 생성된 데이터가 데이터 수출자에 의해(또는 지시에 따라) 비즈니스 서비스를 통해 PME Solutions LLC에 제공되는 개인이 포함됩니다. 

 

데이터의 범주. 전송되는 개인 데이터는 다음 범주의 데이터와 관련됩니다.  일정 1: 데이터 처리 계약의 데이터 처리 세부 사항에 명시된 대로 데이터 수출자에 의한(또는 지시에 따라) 비즈니스 서비스를 통한 PME Solutions LLC.

 

데이터의 특수 범주 (해당하는 경우) 전송되는 개인 데이터는 다음과 같은 특수 범주의 데이터와 관련됩니다. 없음

 

처리 작업 PME Solutions LLC는 데이터 처리 계약 및 본 조항에 따라 데이터 수출자에게 비즈니스 서비스를 제공할 목적으로 개인 데이터를 처리합니다.

 

 

PME Solutions LLC 표준 계약 조항에 대한 부록 2

 

이 부록은 조항의 일부를 구성합니다.

 

조항 4(c) 및 5(c)에 따라 데이터 수입자가 구현한 기술적 및 조직적 보안 조치에 대한 설명. 데이터 가져오기는 현재 데이터 처리 계약의 일정 2 - PME Solutions LLC 보안 조치의 보안 표준을 준수합니다. 데이터 수입자는 이러한 보안 표준을 수시로 업데이트하거나 수정할 수 있습니다.