Loading…
본 데이터 처리 부속서("DPA")는 RegulatoryBridge Global Ltd.("처리자" 또는 "RegulatoryBridge")와 서비스 약관을 수락하거나 주문서를 체결하는 고객("관리자" 또는 "고객") 간에 체결됩니다.
본 DPA는 서비스와 관련하여 고객을 대신한 RegulatoryBridge의 개인정보 처리에 적용됩니다. 고객은 관리자(또는 해당하는 경우, 자체 고객-관리자를 대신하여 행동하는 처리자)입니다. RegulatoryBridge는 처리자(또는 해당하는 경우, 하위 처리자)입니다. 양 당사자가 공동 목적으로 개인정보를 처리하는 경우, 양 당사자는 GDPR 제26조에 따라 별도의 공동 관리자 약정을 체결합니다.
"적용 데이터 보호법"이란 GDPR; UK GDPR + 2018년 데이터 보호법; 캘리포니아 CCPA/CPRA; 브라질 LGPD; 인도 DPDPA; 싱가포르 PDPA; 일본 APPI; 스위스 FADP; 및 본 DPA에 따른 처리에 적용되는 기타 모든 프라이버시 법률을 의미합니다.
사용되었으나 본 문서에서 정의되지 않은 대문자 용어는 서비스 약관 또는 적용 데이터 보호법(특정 용어에 적용되는 것)에 명시된 의미를 갖습니다.
처리의 주제, 성격, 목적, 기간, 정보주체의 범주 및 개인정보의 범주는 부속서 A에 명시되어 있습니다.
RegulatoryBridge는 (a) 주문서, (b) 본 DPA 및 (c) RegulatoryBridge가 수락한 기타 서면 지시에 명시된 바와 같이, 고객의 문서화된 지시에 따라서만 개인정보를 처리합니다. 당사는 어떤 지시가 적용 데이터 보호법을 위반한다고 판단되는 경우 고객에게 통지하며, 고객의 결정이 있을 때까지 처리를 일시 중단할 수 있습니다.
개인정보에 접근하는 모든 RegulatoryBridge 직원 및 계약자는 서면 기밀 유지 의무에 구속되거나 적절한 법정 기밀 유지 의무를 부담하며, 정기적으로 데이터 보호 및 보안 교육을 받습니다.
당사는 최신 기술 수준, 구현 비용, 그리고 처리의 성격, 범위, 맥락 및 목적을 고려하여, 위험에 적절한 수준의 보안을 보장하기 위해 적절한 기술적 및 조직적 조치를 구현하고 유지합니다. 현재의 조치는 부속서 B에 기술되어 있으며 ISO/IEC 27001:2022 및 SOC 2 Type II 통제 체계에 부합합니다.
처리의 성격을 고려하여, RegulatoryBridge는 적절한 기술적 및 조직적 조치를 통해 합리적인 지원을 제공하여 고객이 권리를 행사하는 정보주체의 요청에 대응할 의무를 이행할 수 있도록 합니다. 정보주체가 고객의 데이터와 관련된 요청으로 RegulatoryBridge에 직접 연락하는 경우, 당사는 해당 요청을 신속히 고객에게 전달합니다.
RegulatoryBridge는 고객의 개인정보에 영향을 미치는 개인정보 침해를 인지한 후 부당한 지체 없이—어떠한 경우에도 48시간 이내에—고객에게 통지합니다. 통지에는 그 시점에 알려진 범위 내에서 GDPR 제33조(3)(또는 기타 적용 데이터 보호법상의 동등 조항)에 명시된 정보가 포함됩니다. 당사는 고객이 감독 당국 및 정보주체에 대한 자체 통지 의무를 이행하는 데 합리적인 지원을 제공합니다.
개인정보가 EEA / 영국 / 스위스에서 적정성 결정의 혜택을 받지 못하는 제3국으로 이전되는 경우, 양 당사자는 EU 표준 계약 조항(집행위원회 시행 결정 (EU) 2021/914)을 참조로 통합하며, 해당하는 경우 모듈 2(관리자 → 처리자) 또는 모듈 3(처리자 → 처리자)을, 영국 이전의 경우 영국 국제 데이터 이전 부속서를, 스위스 이전의 경우 스위스 FDPIC가 인정하는 조정 사항을 함께 적용합니다.
인도(DPDPA), 브라질(LGPD), 일본(APPI) 및 싱가포르(PDPA)로부터의 이전의 경우, 양 당사자는 관련 법률에서 인정하는 메커니즘(동의, 적정성, 계약적 보호 장치) 및 요청 시 제공되는 국가별 부속서에 의존합니다.
RegulatoryBridge는 본 DPA의 준수를 입증하기 위해 합리적으로 필요한 모든 정보를 고객에게 제공하며, 고객 또는 고객이 위임한 감사인이 수행하는 감사(점검 포함)를 허용하고 이에 기여합니다. 중복 및 운영 중단을 최소화하기 위해:
고객의 선택에 따라, 서비스 해지 시 RegulatoryBridge는 적용 데이터 보호법에 의해 보존이 요구되지 않는 한 90일 이내에 모든 개인정보를 고객에게 반환하거나 백업에서까지 삭제합니다. 고객은 구독 기간 동안 문서에 기술된 표준 내보내기 도구를 사용하여 고객 콘텐츠를 내보낼 수 있습니다.
본 DPA에 따른 각 당사자의 책임은, 적용 데이터 보호법에 의해 상한이 없어야 하는 경우를 제외하고, 서비스 약관에 명시된 책임 제한의 적용을 받습니다.
본 DPA는 위에 명시된 발효일부터 효력이 발생하며 RegulatoryBridge가 고객을 대신하여 개인정보를 처리하는 한 효력을 유지합니다. 그 성격상 해지 후에도 존속해야 하는 조항(보안, 기밀 유지, 감사, 해지 전 사건에 대한 침해 통지)은 그대로 존속합니다.
본 DPA는 정보주체의 상거주지의 강행 법규를 침해하지 않는 범위에서 Ireland의 법률에 의해 규율됩니다. 분쟁은 서비스 약관에 따라 해결됩니다.
주제: 규제 대리, DPO 서비스, 침해 대응 및 관련 소프트웨어를 포함하여 주문서에 기술된 서비스의 제공.
기간: 구독 기간 및 본 DPA 제12절에 명시된 보존 기간.
처리의 성격 및 목적: 서비스를 제공하기 위해 개인정보를 저장, 접근, 구성, 구조화, 전송 및 기타 방식으로 처리.
정보주체의 범주: 고객의 최종 사용자, 직원, 계약자, 잠재 고객, 공급업체 및 고객 콘텐츠에 개인정보가 포함된 기타 모든 자연인.
개인정보의 범주: 연락처 식별자(이름, 업무용 이메일, 직책); 행동 데이터(서비스와의 상호작용); 규정 준수 산출물(DSAR 기록, 침해 사고, 동의 기록); 고객이 업로드한 콘텐츠(고객의 구성에 따라 다른 범주를 포함할 수 있음).
특수 범주 데이터: 일반적으로 없음. 고객이 특수 범주 또는 민감 개인정보를 업로드하기로 선택하는 경우, 고객은 GDPR 제9조 또는 동등 조항에 따른 적절한 합법적 요건을 보장할 책임이 있습니다.
처리 빈도: 구독 기간 동안 지속적.
승인된 하위 처리자의 현재 목록은 /sub-processors에 게시되고 유지됩니다. 주문서 수락 시점의 목록은 참조로 본 문서에 통합됩니다. 업데이트는 제7절에 명시된 바에 따라 통지됩니다.
src/lib/legal-entity.ts에서 가져옵니다.