부록 II: 유럽연합 집행위원회 승인 표준 계약 조항 (모듈 4)
본 표준 계약 조항의 목적은 개인 정보를 제3국에 전송할 시 GDPR 규정을 준수하기 위함입니다.
제I장
제1조
목적 및 범위
- 본 표준 계약 조항의 목적은 개인 데이터의 제3국 전송과 관련하여, 자연인의 개인 데이터 처리 및 해당 데이터의 자유로운 이동에 관한 2016년 4월 27일자 유럽 의회 및 이사회 규정(EU) 2016/679(일반 개인정보 보호 규정)의 요건 준수를 보장하는 것입니다.
- 당사자:
- 부록 I.A에 나열된 개인 데이터를 전송하는 자연인 또는 법인, 공공 기관, 대행사, 기타 단체(이하 "기관")는 (이하 각각 "데이터 수출자"로 칭하며), 여기 기재된 조항에 동의합니다.
- 부록 I.A에 나열된, 데이터 수출자로부터 직접 또는 본 조항의 당사자인 다른 기관을 통해 간접적으로 제3국에서 개인 데이터를 수령하는 기관입니다. (이하 각각 "데이터 수입자"로 칭하며), 본 표준 계약 조항(이하 "조항")에 합의했습니다.
- 본 조항은 부록 I.B에 명시된 개인 데이터의 전송에 적용됩니다.
- 본 조항에 첨부된 부속서는 그 안에서 언급된 부록을 포함하며, 본 조항의 불가분의 일부를 구성합니다.
제2조
조항의 효력 및 불변성
- 본 조항은 규정(EU) 2016/679 제46조 (1)항 및 제46조 (2)항 (c)호에 따라 데이터 주체의 집행 가능한 권리 및 실효적인 법적 구제 수단을 포함한 적절한 보호 조치를 규정하며, 위탁자에서 수탁자로 및/또는 수탁자에서 수탁자로의 데이터 전송과 관련해서는 규정(EU) 2016/679 제28조 (7)항에 따른 표준 계약 조항을 규정합니다. 단, 이는 적절한 모듈을 선택하거나 부록의 정보를 추가 또는 업데이트하기 위한 경우를 제외하고는 본 조항이 수정되지 않는 것을 전제로 합니다. 이는 당사자들이 본 조항에 규정된 표준 계약 조항을 보다 광범위한 계약에 포함시키거나, 본 조항과 직접적 또는 간접적으로 충돌하지 않고 데이터 주체의 기본적 권리 또는 자유를 침해하지 않는 범위 내에서 추가 조항 또는 추가적인 보호 조치를 도입하는 것을 제한하지 않습니다.
- 본 조항은 규정(EU) 2016/679에 따라 데이터 수출자가 부담하는 의무에 영향을 미치지 않습니다.
제3조
제3자 수익자
- 데이터 주체는 다음의 예외 사항을 제외하고, 제3자 수익자로서 데이터 수출자 및/또는 데이터 수입자를 상대로 본 조항을 적용하고 집행할 수 있습니다.
- 제1조, 제2조, 제3조, 제6조 및 제7조.
- 제8조: 제8.1조 b)호 및 제8.3조 b)호.
- 제13조.
- (a)항은 규정(EU) 2016/679에 따른 데이터 주체의 권리에 영향을 미치지 않습니다.
제4조
해석
- 본 조항에서 규정(EU) 2016/679에 정의된 용어를 사용하는 경우, 해당 용어는 해당 규정에서 가지는 것과 동일한 의미를 갖습니다.
- 본 조항은 규정(EU) 2016/679의 규정에 비추어 읽고 해석되어야 합니다.
- 본 조항은 규정(EU) 2016/679에 규정된 권리 및 의무와 충돌하는 방식으로 해석되어서는 안 됩니다.
제5조
우선 순위
본 조항과 본 조항에 합의한 시점에 존재했거나 그 이후에 체결된 당사자 간 관련 계약의 조항이 상충하는 경우, 본 조항이 우선합니다.
제6조
전송에 대한 설명
전송의 세부 사항, 특히 전송되는 개인 데이터의 범주 및 전송 목적은 부록 I.B에 명시되어 있습니다.
제7조
추가 가입 조항
- 본 조항의 당사자가 아닌 기관은 당사자들의 합의가 있는 경우, 부속서를 작성하고 부록 I.A에 서명함으로써 언제든지 데이터 수출자 또는 데이터 수입자로서 본 조항에 가입할 수 있습니다.
- 부속서를 작성하고 부록 I.A에 서명한 후, 가입하는 기관은 본 조항의 당사자가 되며 부록 I.A에 지정된 바에 따라 데이터 수출자 또는 데이터 수입자로서의 권리와 의무를 가지게 됩니다.
- 가입하는 기관은 당사자가 되기 이전의 기간에 대해서는 본 조항에 따른 어떠한 권리 또는 의무도 가지지 않습니다.
제II장: 당사자의 의무
제8조
데이터 보호 조치
데이터 수출자는 데이터 수입자가 적절한 기술적 및 관리적 조치의 시행을 통해 본 조항에 따른 의무를 충족할 수 있음을 확인하기 위해 합리적인 노력을 기울였음을 보장합니다.
8.1. 지시.
- 데이터 수출자는 위탁자로서 활동하는 데이터 수입자의 문서화된 지시에 따라서만 개인 데이터를 처리해야 합니다.
- 데이터 수출자는 해당 지시가 규정(EU) 2016/679 또는 그 밖의 EU 혹은 회원국 데이터 보호법을 위반하는 경우를 포함하여, 해당 지시를 따를 수 없는 경우 데이터 수입자에게 즉시 알려야 합니다.
- 데이터 수입자는 하위 처리의 맥락에서 또는 관할 감독 기관과의 협력과 관련하여 데이터 수출자가 규정(EU) 2016/679에 따른 의무를 이행하는 것을 방해하는 일체의 행위를 삼가야 합니다.
- 처리 서비스 제공이 종료된 후, 데이터 수출자는 데이터 수입자의 선택에 따라 데이터 수입자를 대신하여 처리된 모든 개인 데이터를 삭제하고 이를 데이터 수입자에게 증명하거나, 데이터 수입자를 대신하여 처리된 모든 개인 데이터를 반환하고 기존 사본을 삭제해야 합니다.
8.2. 처리의 보안.
- 당사자들은 전송 중인 데이터를 포함하여 데이터의 보안을 보장하고, 우발적 또는 불법적인 파괴, 손실, 변조, 무단 공개 또는 접근으로 이어지는 보안 침해(이하 "개인 데이터 침해")에 대한 보호를 위해 적절한 기술적 및 관리적 조치를 시행해야 합니다. 적절한 보안 수준을 평가함에 있어, 당사자들은 최신 기술 수준, 시행 비용, 개인 데이터의 성격, 처리의 성격, 범위, 맥락 및 목적, 처리가 데이터 주체에게 미칠 수 있는 위험을 충분히 고려해야 하며, 특히 처리 목적을 달성할 수 있는 경우 전송 중인 데이터를 포함하여 암호화 또는 가명화를 적용하는 것을 고려해야 합니다.
- 데이터 수출자는 (a)항에 따라 데이터 수입자가 데이터의 적절한 보안을 확보할 수 있도록 지원해야 합니다. 본 조항에 따라 데이터 수출자가 처리하는 개인 데이터와 관련하여 개인 데이터 침해가 발생한 경우, 데이터 수출자는 이를 인지한 후 부당한 지체 없이 데이터 수입자에게 통지하고 침해 대응을 지원해야 합니다.
- 데이터 수출자는 개인 데이터를 처리하도록 승인된 자가 비밀 유지 서약을 했거나 이들에게 적절한 법정 비밀 유지 의무가 적용됨을 보장해야 합니다.
8.3. 문서화 및 규정 준수.
- 당사자들은 본 조항을 준수함을 입증할 수 있어야 합니다.
- 데이터 수출자는 본 조항에 따른 의무를 준수함을 입증하는 데 필요한 모든 정보를 데이터 수입자에게 제공하고, 감사를 허용하며 이에 협력해야 합니다.
제9조
데이터 주체의 권리
당사자들은 데이터 수입자에게 적용되는 현지 법령 또는 EU 내 데이터 수출자의 데이터 처리와 관련하여 규정(EU) 2016/679에 따라 데이터 주체가 제기하는 문의 및 요청에 대응하는 데 있어 상호 협력해야 합니다.
제10조
구제
데이터 수입자는 개별 통지 또는 웹사이트 게시를 통해, 불만 사항을 처리하도록 승인된 연락 창구를 투명하고 접근하기 쉬운 형식으로 데이터 주체에게 안내해야 합니다. 데이터 수입자는 데이터 주체로부터 받는 모든 불만을 신속하게 처리해야 합니다.
제11조
책임
- 각 당사자는 본 조항의 위반으로 인해 상대방 당사자에게 발생시킨 손해에 대해 책임을 집니다.
- 각 당사자는 본 조항에 따른 제3자 수익자 권리를 침해함으로써 데이터 주체에게 발생시킨 물질적 또는 비물질적 손해에 대해 데이터 주체에게 책임을 지며, 데이터 주체는 해당 손해에 대한 배상을 받을 권리를 가집니다. 이는 규정(EU) 2016/679에 따라 데이터 수출자에게 부여되는 책임에 영향을 미치지 않습니다.
- 본 조항의 위반으로 인해 데이터 주체에게 발생한 손해에 대해 둘 이상의 당사자에게 책임이 있는 경우, 책임이 있는 모든 당사자는 연대 책임을 집니다.
- 당사자들은 일방 당사자가 (c)항에 따라 책임을 지는 경우, 해당 당사자는 손해에 대한 상대방 당사자의 책임 분담분에 해당하는 보상 금액을 상대방 당사자에게 청구할 권리가 있다는 데 동의합니다.
- 데이터 수입자는 자신의 책임을 면하기 위해 수탁자 또는 하위 수탁자의 행위를 적용할 수 없습니다.
제III장: 현지 법률 및 공공 기관 접근 시 의무
제12조
본 조항의 준수에 영향을 미치는 현지 법률 및 관행
- 당사자들은 개인 데이터의 공개 요구 또는 공공 기관의 접근을 허용하는 조치를 포함하여, 데이터 수입자의 개인 데이터 처리에 적용되는 목적지 제3국의 법령 및 관행이 데이터 수입자로 하여금 본 조항에 따른 의무 이행을 방해한다고 믿을 만한 이유가 없음을 보증합니다. 이는 기본권 및 자유의 본질을 존중하고, 규정(EU) 2016/679 제23조 (1)항에 나열된 목적 중 하나를 보호하기 위해 민주 사회에서 필요하고 비례적인 범위를 초과하지 않는 법령 및 관행은 본 조항과 상충되지 않는다는 이해를 전제로 합니다.
- 당사자들은 (a)항의 보증을 제공함에 있어 특히 다음 각 요소를 충분히 고려했음을 선언합니다.
- 처리 단계의 길이, 관련 행위자의 수 및 사용된 전송 채널; 의도된 추가 전송; 수령자의 유형; 처리 목적; 전송되는 개인 데이터의 범주 및 형식; 전송이 이루어지는 경제 부문; 전송 데이터의 저장 위치 등 전송의 구체적인 상황입니다.
- 전송의 구체적인 상황에 비추어 관련성이 있는, 공공 기관에 대한 데이터 공개 요구 또는 공공 기관의 접근 허용에 관한 규정을 포함한 목적지 제3국의 법률 및 관행, 그리고 적용 가능한 제한 및 보호 조치입니다.
- 전송 중 및 목적지 국가에서의 데이터 처리에 적용되는 조치를 포함하여, 본 조항에 따른 보호 조치를 보완하기 위해 마련된 관련 계약적, 기술적 또는 관리적 보호 조치.
- 데이터 수입자는 (b)항에 따른 평가를 수행함에 있어 데이터 수출자에게 관련 정보를 제공하기 위해 최선의 노력을 다했음을 보증하며, 본 조항의 준수를 보장하기 위해 데이터 수출자와의 협력을 지속할 것에 동의합니다.
- 당사자들은 (b)항에 따른 평가를 문서화하고, 관할 감독 기관의 요청 시 이를 제공하는 데 동의합니다.
- 데이터 수입자는 본 조항에 합의한 후 계약 기간 동안, 제3국의 법률 개정 또는 해당 법률이 실제로 적용되고 있음을 나타내는 조치(공개 요청 등) 등으로 인해 (a)항의 요건에 부합하지 않는 법률이나 관행의 적용을 받게 되었거나 받게 될 것이라고 믿을 만한 이유가 있는 경우, 이를 데이터 수출자에게 즉시 통지하는 데 동의합니다.
- (e)항에 따른 통지 이후, 또는 데이터 수출자가 데이터 수입자가 더 이상 본 조항에 따른 의무를 이행할 수 없다고 믿을 만한 이유가 있는 경우, 데이터 수출자는 해당 상황을 해결하기 위해 데이터 수출자 및/또는 데이터 수입자가 채택해야 할 적절한 조치(예: 보안 및 비밀 유지를 보장하기 위한 기술적 또는 관리적 조치)를 신속히 파악해야 합니다. 데이터 수출자는 해당 전송을 위한 적절한 보호 조치를 보장할 수 없다고 판단하거나, 권한 있는 감독 당국으로부터 관련 지시를 받은 경우 데이터 전송을 중단해야 합니다. 이 경우, 데이터 수출자는 본 조항에 따른 개인 데이터 처리와 관련된 범위 내에서 계약을 해지할 권리가 있습니다. 계약에 셋 이상의 당사자가 관여된 경우, 당사자들이 달리 합의하지 않는 한 데이터 수출자는 관련 당사자에 대해서만 이 해지권을 행사할 수 있습니다. 본 조항에 따라 계약이 해지되는 경우, 제16조 (d)항 및 (e)항이 적용됩니다.
제13조
공공 기관의 접근 시 데이터 수입자의 의무
13.1. 통지.
- 데이터 수입자는 다음과 같은 경우 데이터 수출자 및 가능한 경우 데이터 주체에게(필요 시 데이터 수출자의 도움을 받아) 즉시 통지하는 데 동의합니다.
- 목적지 국가의 법률에 따라 본 조항에 따라 전송된 개인 데이터의 공개를 요구하는 법적 구속력 있는 요청을 사법 기관을 포함한 공공 기관으로부터 받은 경우, 해당 통지에는 요청된 개인 데이터, 요청 기관, 요청의 법적 근거 및 제공된 응답에 관한 정보를 포함해야 합니다.
- 목적지 국가 법률에 따라 공공 기관이 본 조항에 따라 전송된 개인 데이터에 직접 접근한 사실을 인지한 경우. 이 경우의 통지에는 데이터 수입자가 이용 가능한 모든 정보가 포함되어야 합니다.
- 목적지 국가의 법률에 따라 데이터 수입자가 데이터 수출자 및/또는 데이터 주체에게 통지하는 것이 금지된 경우, 데이터 수입자는 최대한 많은 정보를 가능한 한 빨리 전달하기 위해 해당 금지의 면제를 받기 위해 최선의 노력을 다하는 데 동의합니다. 데이터 수입자는 데이터 수출자의 요청 시 이를 입증할 수 있도록 최선의 노력을 문서화하는 데 동의합니다.
- 목적지 국가의 법률이 허용하는 범위 내에서, 데이터 수입자는 계약 기간 동안 정기적으로 수령한 요청에 대한 가능한 많은 관련 정보(특히 요청 건수, 요청된 데이터의 유형, 요청하는 기관, 요청에 대한 이의 제기 여부 및 그 결과 등)를 데이터 수출자에게 제공하는 데 동의합니다.
- 데이터 수입자는 계약 기간 동안 (a)항부터 (c)항까지의 정보를 보존하고, 관할 감독 기관의 요청 시 이를 제공하는 데 동의합니다.
- (a)항부터 (c)항은 본 조항을 준수할 수 없는 경우 데이터 수출자에게 신속히 통보해야 하는 제14조 (e)항 및 제16조에 따른 데이터 수입자의 의무에 영향을 미치지 않습니다.
13.2. 적법성 검토 및 데이터 최소화.
- 데이터 수입자는 공개 요청의 적법성, 특히 해당 요청이 요청하는 공공 기관에 부여된 권한의 범위 내에 있는지 여부를 검토하고, 신중한 평가 끝에 국제법상 적용 가능한 의무 및 국제 예양의 원칙을 포함하여 목적지 국가의 법률에 따라 해당 요청이 불법이라고 고려할 합리적인 근거가 있다고 결론을 내린 경우 해당 요청에 이의를 제기하는 데 동의합니다. 데이터 수입자는 동일한 조건 하에서 항소 수단을 강구해야 합니다. 요청에 이의를 제기하는 경우, 데이터 수입자는 관할 사법 기관이 본안에 관한 결정을 내릴 때까지 해당 요청의 효력을 정지시키기 위해 가처분 조치를 신청해야 합니다. 데이터 수입자는 적용 가능한 절차 규정에 따라 공개가 요구될 때까지 요청된 개인 데이터를 공개해서는 안 됩니다. 이러한 요건은 제14(e)조에 따른 데이터 수입자의 의무에 영향을 미치지 않습니다.
- 데이터 수입자는 공개 요청에 대한 법적 평가 및 이의 제기 내용을 문서화하고, 목적지 국가의 법률에 따라 허용되는 범위 내에서 해당 문서를 데이터 수출자에게 제공하는 데 동의합니다. 또한 데이터 수입자는 관할 감독 기관의 요청 시 해당 문서를 제공해야 합니다.
- 데이터 수입자는 공개 요청에 대응할 때 해당 요청에 대한 합리적인 해석을 바탕으로 허용 가능한 최소한의 정보만을 제공하는 데 동의합니다.
제IV장: 최종 조항
제14조
조항 미준수 및 해지
- 데이터 수입자는 어떠한 이유로든 본 조항을 준수할 수 없는 경우, 이를 데이터 수출자에게 즉시 알려야 합니다.
- 데이터 수입자가 본 조항을 위반하거나 준수할 수 없는 경우, 데이터 수출자는 준수가 다시 보장되거나 계약이 해지될 때까지 데이터 수입자에 대한 개인 데이터 전송을 중단해야 합니다. 이는 제14조 (f)항에 영향을 미치지 않습니다.
- 데이터 수출자는 본 조항에 따른 개인 데이터 처리와 관련된 범위 내에서 다음의 경우 계약을 해지할 권리가 있습니다.
- 데이터 수출자가 항(b)에 따라 데이터 수입자에 대한 개인 데이터 전송을 중단했으나, 합리적인 기간 내나 중단 후 1개월 이내에 본 조항의 준수가 회복되지 않은 경우입니다.
- 데이터 수입자가 본 조항을 중대하게 또는 지속적으로 위반하는 경우, 또는
- 데이터 수입자가 본 조항에 따른 의무에 관한 관할 법원 또는 감독 기관의 구속력 있는 결정을 따르지 않는 경우입니다.
이러한 경우, 데이터 수출자는 해당 미준수에 대해 관할 감독 기관에 알려야 합니다. 계약에 두 사람 이상의 당사자가 관여하는 경우, 당사자들이 달리 합의하지 않는 한 데이터 수출자는 관련 당사자에 대해서만 해지권을 행사할 수 있습니다.
- (c)항에 따른 계약 해지 전에 전송된 EU 내 데이터 수출자가 수집한 개인 데이터는 모든 사본을 포함하여 즉시 전부 삭제되어야 합니다. 데이터 수입자는 데이터 수출자에게 해당 데이터의 삭제를 증명해야 합니다. 데이터가 삭제되거나 반환될 때까지, 데이터 수입자는 본 조항의 준수를 계속해서 보장해야 합니다. 전송된 개인 데이터의 반환 또는 삭제를 금지하는 현지 법률이 데이터 수입자에게 적용되는 경우, 데이터 수입자는 본 조항의 준수를 계속 보장할 것이며 해당 현지 법률에서 요구하는 범위 및 기간 내에서만 데이터를 처리할 것임을 보장합니다.
- 어느 당사자든 (i) 유럽 위원회가 규정(EU) 2016/679 제45조 (3)항에 따라 본 조항이 적용되는 개인 데이터 전송을 포함하는 결정을 채택하거나, (ii) 규정(EU) 2016/679가 개인 데이터가 전송되는 국가의 법적 체계의 일부가 되는 경우, 본 조항의 구속을 받겠다는 동의를 철회할 수 있습니다. 이는 규정(EU) 2016/679에 따라 해당 처리에 적용되는 다른 의무에 영향을 미치지 않습니다.
제15조
준거법
본 조항은 제3자 수익자의 권리를 허용하는 국가의 법률에 의해 규율됩니다. 당사자들은 이를 스페인 법률로 하는 데 동의합니다.
제16조
재판 관할 및 관할권의 선택
이러한 조항으로부터 발생하는 모든 분쟁은 스페인 법원에 의해 해결됩니다.
부록 I
당사자 목록
데이터 수출자:
- 명칭: ILOVEPDF, S.L.
- 주소: Calle Sabino de Arana, 60, 08028 Barcelona
- 담당자의 이름, 직책 및 연락처: Juan Oriol, 법무 이사(legal@ilovepdf.com).
- 본 조항에 따라 전송되는 데이터와 관련된 활동: 개인 데이터 수입자를 위한 서비스 제공. 단, 해당 서비스 제공에 ILOVEPDF(데이터 수출자)로부터 고객(데이터 수입자)으로의 개인 데이터 국제 전송이 포함되는 범위 내에 한함.
- 역할: 데이터 수탁자.
데이터 수입자: [데이터 보호 담당자를 포함한 데이터 수입자의 신원 및 연락처]
- 명칭: [...](기재되지 않은 경우, 고객의 명칭이 적용되는 것으로 간주함)
- 주소: [...](기재되지 않은 경우, 고객의 주소가 적용되는 것으로 간주함)
- 담당자의 이름, 직책 및 연락처: [...](기재되지 않은 경우, 서비스 계약 또는 운영 시 고객을 대표하는 자의 정보가 적용되는 것으로 간주함)
- 본 조항에 따라 전송되는 데이터와 관련된 활동: 개인 데이터 수출자에 의한 서비스 제공. 단, 해당 서비스 제공에 ILOVEPDF(데이터 수출자)로부터 고객(데이터 수입자)으로의 개인 데이터 국제 전송이 포함되는 범위 내에 한함.
- 서명 및 날짜: [...](기재되지 않은 경우, 고객이 서비스를 처음 운영한 날짜로 간주함)
- 역할: 데이터 위탁자.
전송에 대한 설명
전송되는 개인 데이터의 데이터 주체 범주
ILOVEPDF가 제공하는 서비스를 사용할 때 수입자가 업로드하는 파일에 포함된 데이터 주체의 범주(예: 직원, 고객, 공급업체 등).
전송되는 개인 데이터의 범주ILOVEPDF가 제공하는 서비스를 사용할 때 수입자가 업로드하는 파일에 포함된 개인 데이터의 범주.
전송되는 민감 데이터(해당하는 경우) 및 데이터의 성격과 관련 위험을 충분히 고려하여 적용된 제한 사항 또는 안전 조치로, 예를 들어 엄격한 목적 제한, 접근 제한(전문 교육을 이수한 인원으로 제한된 접근 포함), 데이터 접근 기록 유지, 추가 전송 제한 또는 추가적인 보안 조치 등.
특별 범주의 데이터는 수입자가 ILOVEPDF에서 제공하는 서비스를 이용할 때 업로드하는 파일에 해당 특별 범주의 개인 데이터가 포함되어 있는 범위 내에서 처리됩니다.
전송 빈도(예: 데이터가 일회성으로 전송되는지 또는 지속적으로 전송되는지 여부) ILOVEPDF가 제공하는 서비스의 사용에 ILOVEPDF로부터 데이터 수입자로의 데이터 국외 전송이 포함되는 경우.
처리의 성격ILOVEPDF가 서비스를 제공하는 데 필요한 범위 내에서 개인 데이터를 수입자에게 전달합니다.
데이터 전송 및 추가 처리의 목적ILOVEPDF를 대신하여 서비스를 제공하기 위해.
개인 데이터 보유 기간 또는 해당 기간을 결정하는 데 사용되는 기준 서비스를 제공하는 데 엄격히 필요한 범위 내에서, 그리고 이후에는 관련 법률에 따라 필요하거나 개인 데이터 처리에 관한 청구를 주장하거나 방어할 때 필요한 범위 내에서.
버전 관리: 2026년 2월 19일 목요일