부록 I: 데이터 처리 계약
본 데이터 처리 계약은 규정 (EU) 제2016/679호(GDPR)에 의거해 ILOVEPDF가 위탁자를 대행하여 개인 정보를 처리하는 방식을 규정합니다.
이 데이터 처리 계약("데이터 처리 계약")은 ILOVEPDF("ILOVEPDF", CIF B66921552, 소재지: Calle Sabino de Arana, 60, 08028 Barcelona)가 다음의 규정에 따라 귀하를 대신하여 처리하는 개인정보와 관련된 처리 계약을 구성합니다.
이와 관련하여 ILOVEPDF는 ILOVEPDF 소유의 소프트웨어 또는 컴퓨터 프로그램을 통해 제공되는 특정 서비스를 제공합니다. 이러한 서비스를 사용하기 위해서는 귀하가 위탁자("위탁자")로서 역할을 하는 특정 개인 데이터에 대해 ILOVEPDF가 수탁자("수탁자")로서 해당 데이터에 접근하고 이를 처리하는 것이 필요합니다.
이 처리 계약은 ILOVEPDF의 이용약관에 포함되며, 이용약관 수락 시 적용됩니다. 이용약관과 처리 계약 간에 어떤 충돌, 반대 또는 모순이 발생할 경우에는 처리 계약이 이용약관보다 우선합니다.
자연인의 개인정보 보호 및 해당 데이터의 자유로운 이동에 관한 2016년 4월 27일 유럽 의회 및 이사회의 규정(EU) 2016/679("GDPR")에 따라, 위탁자와 수탁자는 다음과 같이 이 처리 계약을 체결합니다
조항
제1조
목적 및 범위
- 본 처리 계약의 목적은 GDPR의 제28조(3)항 및 (4)항의 준수를 보장하는 것입니다.
- 위탁자와 수탁자는 본 계약에 의해 구속되는 데 동의하였으며, GDPR의 28(3) 및 (4)조의 준수를 보장하기 위해 협력합니다.
- 이 처리 계약은 부록 I에 명시된 개인 데이터 처리에 적용됩니다.
- 부록 I 및 II는 이 처리 계약의 일부입니다.
- 이 이용약관은 GDPR에 따라 위탁자에게 부과되는 의무를 침해하지 않습니다.
- 본 이용약관 자체가 GDPR의 V장에 따른 국제 전송과 관련된 의무의 준수를 보장하는 것은 아닙니다.
제2조
해석
- 이 처리 계약에서 GDPR에 정의된 용어를 사용하는 경우, 해당 용어는 GDPR의 정의와 동일한 의미를 가지는 것으로 이해됩니다.
- 이 처리 계약은 GDPR의 규정에 근거하여 해석됩니다.
- 이 데이터 처리 계약은 GDPR에 규정된 권리 및 의무에 반하거나, 데이터 주체의 기본적 권리 또는 자유를 침해하는 방식으로 해석되어서는 안 됩니다.
제3조
우선 순위
본 처리 계약과, 본 이용약관에 동의하거나 체결한 시점 또는 그 이후에 존재하는 당사자 간의 기존 관련 계약의 조항 간에 충돌이 있을 경우, 이 처리 계약이 우선합니다.
제4조
처리의 설명
부록 I에서는 처리 작업의 세부 사항을 명시하며, 특히 개인 데이터의 범주와 위탁자를 대신하여 처리되는 개인 데이터의 처리 목적에 대해 설명합니다.
제5조
당사자의 의무
5.1. 지침
- 수탁자는 위탁자의 서면 지시에 따라서만 개인정보를 처리해야 합니다. 단, 수탁자에게 적용되는 유럽연합 또는 회원국의 법률에 따라 처리가 요구되는 경우는 예외로 합니다. 이 경우 수탁자는 해당 처리 이전에 그러한 법적 요구사항을 위탁자에게 통지해야 합니다. 단, 중요한 공익상의 이유로 법률이 이를 금지하는 경우에는 예외로 합니다. 개인 데이터 처리 기간 동안에도 위탁자는 추가적인 지시를 수시로 내릴 수 있습니다. 이 지침은 항상 문서화되어야 합니다.
- 수탁자는 위탁자가 내린 지시가 수탁자의 판단에 따라 GDPR 또는 유럽연합 또는 회원국의 해당 데이터 보호 법률을 위반한다고 판단되는 경우, 즉시 이를 위탁자에게 통지해야 합니다.
5.2. 목적의 제한
수탁자는 위탁자에게 추가 지침을 받지 않는 한, 부록 I에 명시된 특정 목적을 위해서만 개인 데이터를 처리해야 합니다.
5.3. 개인 데이터 처리의 기간
수탁자에 의한 처리는 부록 I에서 지정된 기간에 한해서만 이루어져야 합니다.
5.4. 처리의 보안
- 수탁자는 최소한 부록 II에 명시된 기술적 및 조직적 조치를 구현하여 개인 데이터의 보안을 보장해야 합니다. 이는 우발적이거나 불법적인 파괴, 손실, 변경, 무단 공개 또는 접근으로 이어지는 보안 침해(개인 데이터 침해)로부터 데이터를 보호하는 것이 포함됩니다. 적절한 보안 수준을 평가할 때, 당사자는 최신 기술 수준, 구현 비용, 처리의 성격, 범위, 맥락 및 목적, 그리고 데이터 주체에게 발생할 수 있는 위험을 충분히 고려해야 합니다.
- 수탁자는 본 계약의 이행, 관리 및 모니터링을 위해 엄격히 필요한 범위 내에서만 자사 임직원에게 처리 중인 개인 데이터에 대한 접근 권한을 부여해야 합니다. 수탁자는 수령한 개인정보를 처리하도록 권한을 부여받은 자가 기밀 유지 서약을 했거나, 법적 근거에 따른 적절한 기밀 유지 의무를 준수하도록 보장해야 합니다.
5.5. 민감한 데이터
처리 과정에 인종 또는 민족적 기원, 정치적 견해, 종교적 또는 철학적 신념, 노동조합 가입 여부를 드러내는 개인정보, 자연인을 고유하게 식별하기 위한 목적의 유전 데이터 또는 생체 인식 데이터, 건강 또는 개인의 성생활이나 성적 지향에 관한 데이터, 또는 범죄 경력 및 범죄 사실과 관련된 데이터("민감한 정보")가 포함되는 경우, 수탁자는 구체적인 제한 사항 및/또는 추가적인 보호 조치를 적용해야 합니다.
5.6. 문서화 및 준수
- 당사자는 이 데이터 처리 계약의 준수를 입증할 수 있어야 합니다.
- 수탁자는 이 처리 계약에 따라 데이터 처리에 관한 위탁자의 문의에 신속하고 적절하게 대응해야 합니다.
- 수탁자는 이 처리 계약에 명시되거나 GDPR에서 직접적으로 발생하는 의무의 준수 여부를 입증하는 데 필요한 모든 정보를 위탁자 또는 독립적인 제3자에게 제공해야 합니다. 위탁자의 요청이 있는 경우, 수탁자는 또한 이 처리 계약의 적용을 받는 처리 활동에 대한 감사를 허용하고 해당 감사에 협조해야 합니다. 감사는 수탁자의 이 처리 계약 위반이 의심되는 경우, 사전에 서면으로 정당한 근거를 제시하고 위탁자가 필요한 점검을 수행하는 데 엄격히 필요한 물적, 시간적 범위 내에서만 이루어져야 합니다. 어떠한 경우에도 감사는 미준수의 상황을 확인하기 위한 목적으로만 한정되고, 연간 최대 일(1) 회로 제한되며, 감사를 실시하기 최소 일(1) 개월 전에 사전 통지가 이루어져야 합니다. 어떠한 경우에도 감사는 위탁자의 비용 부담으로 수행됩니다.
- 당사자는 관할 감독 기관의 요청이 있는 경우, 본 조항에서 언급된 정보, 그리고 특히 감사 결과를 해당 기관이 사용할 수 있도록 제공해야 합니다.
5.7. 하위 수탁자의 사용
- 수탁자는 하위 수탁자 선임과 관련하여 위탁자의 포괄적인 권한을 가집니다. 수탁자는 위탁자가 거부권을 행사할 수 있도록 하는 데 필요한 정보를 위탁자에게 제공해야 합니다.
- 수탁자가 (위탁자를 대신하여) 특정 처리 활동을 수행하기 위해 하위 수탁자를 선임하는 경우, 수탁자는 해당 조항에 따라 수탁자 본인에게 부과된 것과 실질적으로 동일한 데이터 보호 의무를 하위 수탁자에게 부과하는 계약을 체결해야 합니다. 수탁자는 하위 수탁자가 이 처리 계약 및 GDPR에 따라 수탁자에게 부과된 의무를 준수하도록 보장해야 합니다.
- 수탁자는 하위 수탁자와 수탁자 간의 계약에 따른 의무를 하위 수탁자가 이행하는 것에 대해 위탁자에게 전적인 책임을 집니다. 수탁자는 하위 수탁자가 계약상 의무를 이행하지 못하는 경우, 그 사실을 위탁자에게 통지해야 합니다.
5.8. 국제 전송
- 수탁자에 의한 제3국 또는 국제기구로의 데이터 이전은 GDPR V장에 따라 수행되어야 합니다.
- 위탁자는 수탁자가 특정 처리 활동을 수행하기 위해(위탁자를 대신하여) 조항 제5.7조에 따라 하위 수탁자를 선임하고, 해당 처리 활동에 GDPR V장의 의미 내에 해당하는 개인정보 이전이 포함되는 경우, 수탁자와 하위 수탁자가 (i) GDPR 제45조에 의거하여 유럽 위원회의 적정성 결정이 내려진 국가로 개인 데이터를 이전하거나, (ii) 표준 계약 조항의 사용 요건이 충족된다는 것을 전제로 GDPR 제46조 제2항에 따라 위원회가 채택한 표준 계약 조항을 사용하여 GDPR V장 준수를 보장할 수 있다는 점에 동의합니다. 일반적인 규칙으로, 위탁자가 달리 선택하지 않는 한 수탁자는 귀하의 개인 데이터를 유럽 경제 지역(EEA) 내에서 처리합니다. 위의 내용에도 불구하고, 유럽 경제 지역 외부에 소재한 위탁자의 경우 서비스 성능과 효율성을 최적화하기 위해, 수탁자는 전술한 안전 조치가 이행된다는 것을 전제로 귀하의 위치와 지리적으로 더 가까운 지역에서 개인 데이터를 처리할 수 있습니다.
- 또한, 수탁자로부터 위탁자에게 이루어지는 개인의 데이터 전달이 GDPR V장의 의미 내에 해당하는 개인 데이터 이전을 수반하는 경우, 수탁자와 위탁자는 부록 II로 첨부된 표준 계약 조항(모듈 4)을 체결해야 합니다.
제6조
위탁자에 대한 지원
- 수탁자는 데이터 주체로부터 받은 모든 요청을 위탁자에게 신속하게 통지해야 합니다. 수탁자는 위탁자로부터 승인을 받지 않은 한, 해당 요청에 직접 응답해서는 안 됩니다.
- 수탁자는 자신이 받은 데이터 주체의 권리 행사 요청 중, 위탁자가 데이터 위탁자로서 역할을 수행하는 개인 데이터와 관련되었기 때문에 응답할 책임이 위탁자에 있는 모든 요청을 위탁자에게 전달해야 합니다.
- 제6(b)조에 따른 위탁자 지원 의무에 더하여, 수탁자는 데이터 처리의 성격과 수탁자가 사용 가능한 정보를 고려하여 다음 의무를 준수하도록 보장하는 데 위탁자를 추가로 지원해야 합니다.
- 특정 유형의 처리가 자연인의 권리와 자유에 높은 위험을 초래할 가능성이 있는 경우 계획된 처리 작업이 개인 데이터 보호에 미치는 영향에 대한 평가('데이터 보호 영향 평가')를 수행할 의무입니다;
- 데이터 보호 영향 평가를 통해 컨트롤러의 위험 완화 조치가 없다면 해당 처리가 높은 위험을 야기할 것으로 판단되는 경우 처리에 앞서 관할 감독기관의 자문을 구할 의무입니다;
- 수탁자가 처리 업무 수행 중 개인 데이터가 부정확하거나 오래되었다는 것을 인지했을 때 즉시 위탁자에게 통지하여 개인 데이터의 정확성 및 최신 상태를 유지하도록 보장할 의무입니다;
- GDPR 제32조의 의무.
- 양 당사자는 본 조항의 적용에 있어 수탁자가 위탁자를 지원하는 데 필요한 적절한 기술적 및 관리적 조치와 지원이 요구되는 범위 및 정도를 부록 II에 기술해야 합니다.
제7조
개인정보 침해 알림
- 개인 데이터 침해 발생 시, 수탁자는 데이터 처리의 성격과 수탁자가 사용 가능한 정보를 고려하여 위탁자가 GDPR 제33조 및 제34조에 따른 의무를 준수할 수 있도록 위탁자와 협력하고 지원해야 합니다.
- 위탁자를 대신하여 수탁자가 처리하는 개인 데이터에 보안 침해가 발생하는 경우, 수탁자는 이 사실을 인지하는 즉시 부당한 지체 없이 위탁자에게 통지해야 합니다. 이 통지는 최소한 다음 내용을 포함해야 합니다.
- 침해 성격에 대한 설명(가능한 경우, 관련 데이터 주체 및 개인 데이터 기록의 범주와 대략적인 수 포함)
- 개인 데이터 침해와 관련하여 추가 정보를 얻을 수 있는 연락처 정보,
- 침해로 인해 발생할 수 있는 결과, 그리고 발생 가능한 부작용을 완화하기 위한 조치를 포함하여 해당 침해에 대응하기 위해 취했거나 취할 예정인 조치
- 모든 정보를 동시에 제공할 수 없는 경우, 당시 사용 가능한 정보를 최초 통지에 포함하여 제공해야 하며, 추가 정보는 수집되는 대로 부당한 지체 없이 제공해야 합니다.
부록 I: 처리의 설명
개인 데이터가 처리되는 데이터 주체의 범주
위탁자가 ILOVEPDF에서 제공하는 서비스를 이용할 때 업로드하는 파일에 포함된 데이터 주체의 범주(예: 임직원, 고객, 공급업체 등)
처리되는 개인 데이터의 범주
위탁자가 ILOVEPDF에서 제공하는 서비스를 이용할 때 업로드하는 파일에 포함된 개인 데이터의 범주
처리되는 민감 데이터(해당하는 경우) 및 데이터의 성격과 관련 위험을 충분히 고려하여 적용된 제한 사항 또는 안전 조치로, 예를 들어 엄격한 목적 제한, 접근 제한(전문 교육을 이수한 인원으로 제한된 접근 포함), 데이터 접근 기록 유지, 추가 전송 제한 또는 추가적인 보안 조치 등.
특별 범주의 개인 데이터는 위탁자가 ILOVEPDF에서 제공하는 서비스를 이용할 때 업로드하는 파일에 해당 특별 범주의 개인 데이터가 포함되어 있는 범위 내에서 처리됩니다.
처리의 성격
수탁자는 서비스 제공을 위해 필요한 모든 조치를 수행합니다(예: 개인 데이터가 포함된 문서의 변환, 편집 및 압축 등).
위탁자를 대신하여 개인 데이터를 처리하는 목적
ILOVEPDF를 대신하여 서비스를 제공하기 위해.
처리의 기간
서비스 제공을 위해 엄격히 필요한 기간 동안
하위 수탁자 및 제공되는 서비스의 유형
ILOVEPDF는 서비스를 제공함에 있어 개인 데이터의 하위 수탁자로서 역할을 수행하는 제3자 서비스 제공업체를 이용합니다. 이 중 ILOVEPDF는 웹 호스팅 및 클라우드 컴퓨팅 솔루션 제공업체로 Cloudscale, Digital Ocean, Hetzner, OVHcloud, Vultr를 이용하고 있으며, 이들은 데이터의 안전한 처리, 일시적 저장 및 플랫폼의 운영 연속성을 보장하기 위한 기술 인프라 서비스를 제공합니다.
하위 수탁자는 ILOVEPDF의 지시에 따라 행동하며, 유럽 연합 규정(EU) 2016/679(GDPR) 및 기타 적용 가능한 데이터 보호 규정에 따라 개인 데이터를 보호하기 위해 적절한 기술적 및 관리적 조치를 적용합니다.
iLovePDF의 하위 처리자에 대한 추가 정보는 여기를 클릭하여 확인하실 수 있습니다.
부록 II: 데이터의 보안 확보를 위한 조치를 포함한 기술적 및 관리적 조치
수탁자는 이 처리 계약에 따라 수행되는 처리 활동에 대해 다음과 같은 기술적 및 관리적 보안 조치를 적용해야 합니다.
- 전송되는 정보의 가로채기, 복제, 변조, 라우팅 오류 및 파기 방지를 위한 기술적 조치
- 전자 통신을 통해 전송될 수 있는 악성 애플리케이션(멀웨어)의 탐지, 보호 및 완화를 위한 기술적 절차 및 내부 정책
- 첨부 파일로 전송되는 민감 정보의 기술적 보호 조치.
- 커뮤니케이션 자원의 허용 가능한 사용에 대한 내부 정책.
- 수탁자의 리소스에 대한 권한 있는 접근 권한을 가진 모든 사용자(임직원 및 제3자)가 자신의 정보와 관련하여 책임을 다하도록 보장하기 위한 조직적 조치
- 정보의 기밀성, 무결성 및 인증성을 보호하기 위한 암호화 기술의 활용.
- 관련 국가 및 지역 법령과 규정에 따른 메시지를 포함한 모든 업무 서신 전반의 보존 및 폐기에 관한 조직적 지침.
- 다음과 같은 목적을 포함하여 임직원을 대상으로 한 기밀 정보 비공개 관련 정기 교육 실시 및 내부 정책 수립: 자동응답기에 민감 정보가 담긴 메시지 남기지 않기, 공공장소에서의 기밀 대화 금지, 보안되지 않은 통신 채널 이용 금지, 개방형 사무 공간에서의 기밀 대화 제한 등.
버전 관리: 2026년 2월 19일 목요일