이 데이터 처리 계약("DPA")은 https://senecaesg.com/ ("Seneca ESG 플랫폼")에 게시된 이용약관을 보완하는 역할을 하며, 귀하 또는 귀하의 조직을 대신하여 서비스를 이용하는 사용자가 Seneca ESG 플랫폼을 사용하는 경우 자동적으로 체결됩니다. 이때 귀하/귀하의 조직/회사는 "컨트롤러"로 간주되며, Seneca ESG는 "프로세서"로 간주됩니다. 각각을 "당사자", 합하여 "당사자들"이라 합니다.

이 DPA에서 사용하는 용어는 본 계약에서 정하는 의미를 가집니다.

본 DPA는 당사자 간에 별도의 컨트롤러 제출 DPA가 서명되지 않은 경우에 적용됩니다.

컨트롤러는 Seneca ESG 플랫폼에 입력되는 개인정보의 처리에 대해 적용법령에 따른 유효한 법적 근거를 보유해야 합니다.

1. 정의

1.1 본 DPA에서 다음 용어는 아래에 명시된 의미를 가지며, 유사 용어 역시 이에 따라 해석됩니다.

1.1.1 "적용법령(Applicable Laws)"이란 (a) 개인정보 처리자가 해당 법령의 적용을 받는 모든 개인정보에 대한 영국 및 유럽연합 또는 회원국 법률; (b) 개인정보 보호와 관련된 기타 적용 가능한 법률을 의미하며, 이는 Seneca ESG 플랫폼 서비스 하에서 처리에 적용되는 해당 자연인에게 관련됩니다.

1.1.2 "컨트롤러 개인정보"란 Seneca ESG 또는 Seneca ESG 플랫폼에서 컨트롤러(임직원, 컨설턴트 등) 관련 개인정보를 의미합니다.

1.1.3 "EEA"란 유럽 경제 지역을 의미합니다.

1.1.4 "EU 데이터 보호법"이란 각 회원국 국내법으로 이행된 EU 지침 95/46/EC 및 이후 개정·대체·교체되는 법률, 유럽의회 및 이사회 규정(EU) 2016/679(일명 GDPR), GDPR을 보완·시행하는 법률, 그리고 E-privacy Directive 등 데이터 프라이버시 관련 법령을 의미합니다.

1.1.5 "GDPR"이란 유럽의회 및 이사회 규정(EU) 2016/679(개인정보 보호 및 자유로운 이동에 관한 규정) 및 이를 대체하는 95/46/EC 지침의 폐지 규정을 의미합니다.

1.1.6 "개인정보"란 (i) EU 지침 95/46/EC 및 각 회원국 국내법으로 이행된 개정·대체 법률, (ii) GDPR 및 관련 개정·대체 법률, (iii) 적용국가(스위스 포함)의 현지 데이터 보호/프라이버시 법률에서 정의된 개인정보를 의미합니다.

1.1.7 "국제이전"이란 EU 및 영국의 정의에 따른 맥락에서, 모든 개인정보가 공개적으로 접근 가능하고 컨트롤러의 임직원 정보만 포함될 때는 적용되지 않습니다.

1.1.8 "서비스"란 컨트롤러 또는 그 사용자를 통해 프로세서가 Seneca ESG 플랫폼에서 제공하는 서비스 및 활동을 의미하며, 이는 이용약관에 따릅니다.

1.1.9 "서브프로세서"란 프로세서의 직원 및 하청업체를 제외한 프로세서가 위임한 제3자(프로세서 계열사 포함)로, 컨트롤러를 대신해 개인정보를 처리하는 자를 의미합니다.

1.1.10 "프로세서 계열사"란 프로세서를 직접 또는 간접적으로 소유/지배하거나, 동일하게 지배받는 법인을 의미합니다. 예시로 Seneca ESG 싱가포르 및 네덜란드 법인이 있습니다.

dpa.sections.definitions.terms.title

dpa.sections.definitions.include.title

2. 권한

2.1 프로세서는 어떠한 서브프로세서가 컨트롤러 개인정보를 처리하기 전 반드시 동등 수준의 DPA(데이터 처리 계약)를 해당 서브프로세서와 체결하여, 해당 자연인의 권리와 자유, 적용법령 준수를 보장해야 함을 진술 및 보증합니다.

3. 컨트롤러 개인정보의 처리

3.1 프로세서와 각 계열사는 다음을 준수합니다:

3.1.1 컨트롤러 개인정보 처리 시 모든 적용법령 준수

3.1.2 컨트롤러 또는 문서화된 지침 이외의 방식으로 컨트롤러 개인정보를 처리하지 않으며, 다만 적용법령상 요구되는 경우(관련 서브프로세서가 적용법령을 따를 의무가 있는 경우)에는 허용되는 범위 내에서 해당 법적 요구사항을 사전에 컨트롤러에 고지합니다.

3.2 컨트롤러는 자신 또는 대리하여 다음을 이행해야 합니다:

3.2.1 프로세서와 그 계열사(및 각 서브프로세서)를 다음과 같이 지시합니다:

3.2.1.1 컨트롤러 개인정보 처리

3.2.1.2 특히, 서비스 제공 및 이용약관 준수를 위해 필요한 범위 내에서 컨트롤러 개인정보를 합리적으로 필요한 국가 또는 지역으로 이전합니다.

3.3 본 DPA의 별첨 1은 GDPR 제28조 3항 등 관련 법령에 따라 프로세서의 개인정보 처리 관련 정보를 명시합니다. 컨트롤러는 필요시 서면 통지로 별첨 1을 합리적으로 수정할 수 있으며, 이로 인해 당사자에게 별도의 권리나 의무가 발생하지 않습니다.

4. 프로세서 및 계열사 인력

프로세서 및 각 계열사는 서브프로세서의 임직원, 대리인, 계약자가 컨트롤러 개인정보에 접근할 경우 신뢰성을 확보하기 위한 합리적인 조치를 취해야 하며, 오직 해당 인원이 약관상 필수적인 업무 수행을 위해서만 개인정보에 접근하도록 제한하고, 모든 인원이 비밀유지 의무를 갖도록 해야 합니다.

5. 보안

5.1 최신 기술 동향, 구현 비용, 처리의 성격, 범위, 맥락, 목적, 그리고 자연인의 권리·자유에 미칠 위험 정도를 고려하여, 프로세서와 계열사는 컨트롤러 개인정보에 대해 GDPR 32조 1항에 명시된 보안 조치를 포함한 적절한 기술적·조직적 조치를 취합니다.

5.2 적정 보안 수준 산정 시, 프로세서 및 계열사는 특히 개인정보 유출로 인한 위험을 고려해야 합니다.

5.3 프로세서 및 각 계열사가 취한 기술적·조직적 조치 내역은 별첨 2에 명시되어 있습니다.

6. 서브프로세싱

6.1 컨트롤러는 프로세서 및 계열사가 본 조항과 이용약관상의 제한을 준수하는 범위 내에서 서브프로세서를 지정(및 위임)하는 것을 승인합니다.

6.2 프로세서와 각 계열사는 DPA 체결일 기준으로 이미 고용 중인 서브프로세서를 계속 사용할 수 있으며, 본 조항 6.4의 의무를 가급적 신속히 이행해야 합니다.

6.3 컨트롤러는 본 계약에서 합의된 서비스 제공에 필요한 경우, 프로세서가 필요하다고 판단하는 서브프로세서의 하도급을 승인합니다. 컨트롤러의 요청 시, 프로세서는 서비스 제공에 관여하는 하도급 업체의 최신 목록을 제공합니다.

서브프로세서는 본 계약상 프로세서와 동일한 조건의 프로세서로 간주합니다. 프로세서는 제3자 서브프로세서와 별도의 데이터 처리 계약을 체결하여, 본 계약에서 정한 의무를 서브프로세서도 준수하도록 해야 합니다.

어떠한 경우에도, 서브프로세서에게 GDPR 준수에 필요한 동일한 데이터 보호 의무가 부과되어야 하며, 이에 따라 처리가 이루어져야 합니다.

6.4 각 서브프로세서와 관련하여, 프로세서 또는 관련 계열사는 다음을 이행해야 합니다:

6.4.1 서브프로세서가 처음으로 컨트롤러 개인정보를 처리하기 전에, 해당 서브프로세서가 약관에서 요구하는 보호 수준을 충족할 수 있는지 충분한 실사를 수행해야 합니다.

6.4.2 (a) 프로세서, (b) 관련 계열사, (c) 중간 서브프로세서와 서브프로세서 간의 관계는, 본 DPA에서 규정한 보호 수준과 GDPR 제28조 3항 요건을 충족하는 서면 계약으로 관리되어야 합니다.

6.5 프로세서와 각 계열사는, 각 서브프로세서가 3.1, 4, 5, 7.1, 8.2, 9, 11.1조의 의무를 이행하도록 보장해야 하며, 이는 서브프로세서가 프로세서 자격으로 DPA 당사자인 것처럼 적용됩니다.

7. 데이터 주체 권리

7.1 처리의 성격을 고려하여, 프로세서와 각 계열사는 적용법령에 따른 데이터 주체 권리의 이행을 위해 가능한 범위 내에서 적절한 기술적·조직적 조치를 취해야 합니다.

7.2 프로세서는 다음을 이행해야 합니다:

7.2.1 프로세서 또는 서브프로세서가 컨트롤러 개인정보와 관련하여 데이터 주체로부터 법령에 따른 요청을 받는 경우, 지체 없이 컨트롤러에 통지해야 합니다.

7.2.2 프로세서 또는 서브프로세서는 컨트롤러의 명시적 문서 지침 또는 적용법령에 따른 요구가 아닌 한, 해당 요청에 직접 답변하지 않으며, 적용법령상 허용되는 범위 내에서 사전 고지 후에만 답변합니다.

8. 개인정보 유출

8.1 프로세서 또는 서브프로세서가 컨트롤러 개인정보와 관련된 개인정보 유출을 인지한 경우, 지체 없이 컨트롤러에 통지하여 데이터 주체 또는 감독기관에 법적 의무를 이행할 수 있도록 충분한 정보를 제공합니다. 통지에는 최소 다음 내용이 포함되어야 합니다:

8.1.1 유출의 성격, 관련 데이터 주체 및 개인정보 기록의 범주와 수량

8.1.2 프로세서의 데이터 보호 책임자 또는 관련 담당자의 이름 및 연락처

8.1.3 유출로 인한 예상 결과

8.1.4 유출 대응 및 예방을 위해 취한 조치 또는 계획

8.2 프로세서는 컨트롤러와 협력하여, 각 개인정보 유출의 조사, 완화, 시정 조치에 대해 컨트롤러의 상업적 합리적 지시에 따릅니다.

9. 데이터 보호 영향평가 및 사전 협의

프로세서와 각 계열사는, GDPR 제35·36조 또는 기타 데이터 보호법에 정의된 감독기관과의 사전 협의 및 영향평가 수행 시, 컨트롤러에 합리적 지원을 제공합니다.

10. 컨트롤러 개인정보의 삭제 또는 반환

10.1 10.2조에 따라, 컨트롤러는 서비스 종료일로부터 30일 이내에 프로세서 및 계열사에게 (a) 모든 컨트롤러 개인정보의 완전한 사본을 안전한 파일 전송방식으로 반환하고, (b) 기타 모든 복사본을 삭제 및 삭제 입증을 요청할 수 있습니다. 프로세서 및 계열사는 요청일로부터 30일 이내에 이를 준수해야 합니다.

10.2 서브프로세서는 적용법령상 요구되는 범위와 기간 내에서만 컨트롤러 개인정보를 보유할 수 있으며, 해당 기간 내에도 항상 기밀성이 보장되어야 하며, 저장 목적 이외의 용도로는 처리하지 않아야 합니다.

10.3 프로세서는 서비스 종료일로부터 30일 이내에 본 조항의 이행을 인증하는 서면확인서를 컨트롤러에 제공해야 합니다.

10.4 본 조항에서 "삭제"란 개인정보를 복구 또는 재구성할 수 없도록 완전히 제거하는 것을 의미하며, "서비스 종료일"은 컨트롤러 개인정보 처리가 포함된 모든 서비스 종료일을 의미합니다.

11. 감사권

11.1 프로세서와 각 계열사는 본 DPA 준수를 입증하는 데 필요한 모든 정보를 컨트롤러의 요청 시 제공합니다.

12. 일반 조항

준거법 및 관할

12.1 7조(조정 및 관할)에 영향을 주지 않는 범위 내에서:

12.1.1 본 DPA와 관련하여 발생하는 모든 분쟁·청구(존재, 유효성, 종료 등 포함)는 이용약관에 명시된 관할을 따릅니다.

12.1.2 본 DPA와 그로부터 발생하는 모든 비계약적 의무는 이용약관에 지정된 국가 또는 지역의 법률을 준거법으로 합니다.

우선순위

12.2 본 DPA의 어떤 내용도, 이용약관상 개인정보 보호 의무를 완화하거나, 허용되지 않은 방식으로 개인정보를 처리하도록 허용하지 않습니다.

12.3 본 DPA와 당사자 간 체결된 다른 계약(이용약관 포함)의 내용이 상충될 경우, 본 DPA가 우선 적용됩니다.

적용법령의 변경 등

12.4 컨트롤러는:

12.4.1 데이터 보호법의 요구를 충족하기 위해 필요하다고 합리적으로 판단되는 경우, 프로세서에 서면 통지로 본 DPA 변경을 제안할 수 있습니다.

12.5 컨트롤러가 12.4.1에 따라 통지하는 경우:

12.5.1 프로세서와 각 계열사는 영향을 받는 서브프로세서가 동일하게 계약을 변경할 수 있도록 즉시 협조해야 합니다.

12.5.2 컨트롤러는 12.4.1 및/또는 12.5.1에 따라 변경된 계약과 관련하여 프로세서가 제안한 위험 방지 변경을 합리적 사유 없이 거부·지연하지 않아야 합니다.

12.6 컨트롤러가 12.4.1에 따라 통지한 경우, 당사자들은 신속하게 논의하여, 요구사항을 반영하는 변경 또는 대체안을 성실히 협상·시행합니다.

12.7 본 조항(12.5)에 따른 DPA 변경에는 컨트롤러 또는 프로세서의 계열사 동의가 필요하지 않습니다.

분리 가능성

12.8 본 DPA의 조항 일부가 무효 또는 집행불능이더라도, 나머지 조항은 계속 유효합니다. 무효/집행불능 조항은 당사자의 의도를 최대한 반영하여 개정되거나, 불가능할 경우 처음부터 포함되지 않은 것으로 해석합니다.

12.9 당사자 연락처 정보

각 당사자는 본 계약의 이행, 개발, 준수 및 서비스 제공의 관리 목적으로 상대방이 당사자 대표자 및 직원의 연락처 정보를 처리함을 인지하며, 계약 이행이 해당 데이터 처리의 법적 근거임을 확인합니다. 개인정보는 상업 계약 기간 및 종료 후 법정 보존기간 동안 보유될 수 있으며, 이와 관련된 모든 법적 책임에 대응합니다. 각 당사자는 자사 대표자 및 직원에게 해당 정보 제공 의무를 이행해야 합니다.

당사자의 데이터는 결제 및 수금 관리를 위해 은행 및 금융기관, 세무 신고 및 법적 의무 이행을 위해 세무당국 및 기타 공공기관, 법정 요구 시 공공기관에 이전될 수 있습니다.

각 당사자는 본 조항에 언급된 개인정보에 대해 열람, 정정, 삭제, 이전, 처리 제한, 처리 반대의 권리를 Annex 3에 명시된 주소로 요청할 수 있습니다.

12.10 책임

프로세서는 본 계약상 의무 불이행으로 인한 모든 처벌 및 벌금에 책임을 집니다.

별첨 1: 개인정보 처리 설명

이 별첨은 GDPR 28조 3항에 따른 개인정보 처리의 상세 내역을 포함합니다.

개인정보 처리의 목적 및 기간

개인정보 처리의 목적과 기간은 이용약관 및 개인정보 처리방침에 명시되어 있습니다.

개인정보 처리의 성격 및 목적

개인정보 처리의 성격 및 목적은 이용약관과 개인정보 처리방침에 명시되어 있습니다.

개인정보와 관련된 데이터 주체 범주

프로세서가 처리하는 개인정보의 데이터 주체는 B2B 맥락에서 컨트롤러의 임직원을 포함합니다.

처리되는 개인정보 유형

연락처 데이터(이름, 이메일 등)

고용 데이터(컨트롤러, 역할 등)

운영 데이터(플랫폼 내 사용자 행동 등)

프로세서 및 계열사의 의무와 권리

프로세서는 EU 규정 2016/679(GDPR)을 비롯한 적용법령의 요구사항을 우선적으로 준수해야 하며, 이는 각 회원국의 국내 법률에 우선합니다.