> > 모든 계약 보기

다이렉트 카드 처리 상품에 대한 개인정보처리자 부속서

 

버전 2.0

본 개인정보처리자 부속서(이하 “부속서”)는 PayPal 그룹 법인(“PayPal”)이 판매자(“판매자” 또는 “사용자”)인 사용자에게 Braintree 및 기타 유사한 결제 서비스와 게이트웨이 서비스 또는 사기 관리 도구를 제공하는 모든 상품에 적용됩니다. 이 부속서는 익스프레스 체크아웃 또는 PayPal 버튼을 이용한 결제와 같은 PayPal 브랜드 전자지갑 서비스에는 적용되지 않습니다. 이 부속서는 판매자에 대한 PayPal의 결제 처리 서비스 제공에 적용되는 판매자와 PayPal 간의 관련 계약(“계약”)의 일부를 구성합니다. 이 부속서와 계약의 내용이 서로 충돌하는 경우, 부속서의 내용이 우선 적용됩니다. 이 부속서에 정의되지 않은 대문자 용어는 이 계약에 명시된 의미를 갖습니다.

이 부속서는 (i) 이 계약에 명시된 효력발생일 또는 (ii) 이 계약 또는 이 부속서의 수정과 관련하여 사용자에게 제공한 통지서에 명시된 효력발생일 중 더 늦은 날짜에 효력이 발생합니다. PayPal은 수정된 버전을 PayPal 웹사이트에 게시함으로써 언제든 이 부속서를 수정할 수 있습니다. 수정된 버전은 게시하는 시점부터 적용됩니다. 또한 사용자의 권리를 축소하거나 책임을 확대하는 방식으로 이 부속서를 변경하는 경우 PayPal 웹사이트의 "정책 업데이트" 페이지에 통지를 게시함으로써 계약에서 요구하는 기간 내에 사용자에게 사전 서면 통지를 제공합니다. 또한 이메일이나 기타 수단을 통해 사용자에게 변경 사항을 통지할 수 있습니다. 부속서 변경에 동의하지 않는 경우, 사용자는 언제든 계약을 해지할 수 있습니다.

정의
다음 용어들은 이 부속서에 사용될 때 아래의 의미를 갖습니다.

"개인정보처리자"란 개인 데이터 처리의 목적과 수단을 결정하는 법인을 의미하며, 해당 용어(유사한 기능에 관한 용어)가 데이터 보호법에 정의되어 있는 경우에는 "개인정보처리자"란 관련 데이터 보호법에 정의된 의미를 갖습니다.

"고객"이란 미국 이외의 지역에서 결제 처리 서비스를 이용하는 사용자의 고객을 의미하며, 이 부속서에서는 데이터 주체를 의미합니다.

"고객 데이터"란 (i) 고객이 판매자에게 제공하고 판매자가 결제 처리 서비스를 사용하면서 PayPal에 전달하는 개인 데이터 및 (ii) 판매자가 결제 처리 서비스를 이용할 때 PayPal이 고객의 기기에서 수집하는 개인 데이터를 의미합니다. 이 부속서의 고객 데이터에는 판매자의 미국 고객의 개인 데이터가 포함되지 않습니다.

데이터 보호법”이란 결제 처리 서비스 제공에 적용되는 모든 관련 데이터 보호법, 규정, 지침, 규제 요건, 실무 수칙을 의미하며, 그 개정 사항 및 모든 관련 규정이나 문서(예: 일반개인정보보호법(EU) 2016/679(GDPR), 1988년 호주 개인정보보호법(Cth), 캐나다 개인정보보호 및 전자문서법, 홍콩 개인정보(프라이버시) 조례(제486장), 브라질 일반정보보호법(연방 법률 번호 13,709/2018), 2012년 싱가포르 개인정보보호법)를 포함합니다.

“PayPal 그룹 법인”이란 PayPal, Inc. 및 PayPal 또는 그 승계인이 수시로 직간접적으로 소유하거나 지배하는 모든 회사를 의미합니다.

"개인 데이터"란 식별되거나 식별 가능한 자연인("데이터 주체")과 관련된 모든 정보를 의미합니다. 식별 가능한 자연인이란 직접적 또는 간접적으로, 특히 해당 자연인의 이름, 식별 번호, 위치 데이터, 온라인 식별자를 참조하거나 신체적, 생리학적, 유전적, 정신적, 경제적, 문화적, 사회적 정체성과 관련된 하나 이상의 요소를 참조하여 식별할 수 있는 사람을 의미합니다.

이 부속서에서 “처리” 또는 이와 유사한 기능을 의미하는 용어는 관련 데이터 보호법에서 정의한 의미를 갖습니다.

개인정보처리자로서의 PayPal

PayPal은 이 부속서에 따른 개인 데이터 사용과 관련하여 개인정보처리자에게 적용되는 데이터 보호법의 요건(개인 데이터 처리와 관련하여 항상 모든 적절한 보안 조치를 시행 및 유지 관리하는 것을 포함하며 이에 국한되지 않음)을 준수해야 하며, 판매자의 데이터 보호법 위반을 야기할 수 있는 개인 데이터와 관련된 행위를 고의로 취하거나 이를 취하도록 허용할 수 없습니다. PayPal은 결제 처리 서비스를 제공하기 위해 제3자, 개인정보처리 하위 수탁자, PayPal 그룹 법인의 구성원에게만 개인 데이터를 이전할 수 있으며, 이 부속서에 명시된 내용과 대등하거나 그 이상으로 엄격한 고객 데이터 보호를 위한 규정이 포함된 서면 계약을 해당 제3자 및 개인정보처리 하위 수탁자와 체결해야 합니다.

결제 처리 서비스와 관련한 개인 데이터 처리

양 당사자는 결제 처리 서비스와 관련하여 처리되는 모든 개인 데이터와 관련하여 판매자와 PayPal이 각각 독립적인 개인정보처리자라는 사실을 인정하고 이에 동의합니다. 따라서 PayPal은 이러한 개인 데이터 처리의 목적과 수단을 독립적으로 결정하며, 그러한 개인 데이터와 관련하여 판매자와 공동 개인정보처리자가 아닙니다.

양 당사자는 PayPal이 아래의 제한적인 목적으로 고객 데이터 및 결제 거래 데이터를 사용, 복제, 처리할 수 있음을 인정하고 이에 동의합니다.

  • 사기 방지 도구를 포함해 판매자와 그 고객에게 결제 처리 서비스를 제공하고 개선하기 위해 합리적으로 필요한 경우
  • 부정 결제 거래를 모니터링, 방지, 감지하고, 판매자, PayPal, 제3자에게 손해가 발생하지 않도록 하기 위해
  • 관련 자금 세탁 방지 및 신원 확인 의무를 포함해 PayPal이 주체가 되는 결제 데이터의 처리 및 보관에 적용되는 법적·규제적 의무를 준수하기 위해
  • PayPal 상품 및 서비스를 분석, 개발, 개선하기 위해
  • 데이터 분석 및 통계 등을 포함한 내부 용도
  • 지역별 또는 업종별 사용자 평균값 계산을 포함해 판매자 개인 정보 또는 사용자 개인 정보를 식별할 수 없는 총계 형식으로 고객 데이터 및 결제 거래 데이터를 취합하고 공개하기 위해
  • 관련 법적 요건을 준수하고, 법에 따른 정보 공개 요청에 응답함으로써 법 집행 기관을 돕기 위해
  • 그 목적이 데이터 보호법에 부합하는 한, PayPal이 판매자에게 통지하는 기타 목적

고객에 대한 판매자의 통지

판매자는 (i) 본 부속서에 명시된 고객 데이터 처리에 있어서 PayPal은 독립적인 개인정보처리자라는 사실을 자신의 개인정보 처리방침에서 고지하고, (ii) 해당되는 PayPal 또는 Braintree 개인정보 처리방침에 대한 링크를 판매자의 개인정보 처리방침 내에 포함시키기 위해 상업적으로 합당한 노력을 기울여야 합니다.

상호 지원

양 당사자는 상대방이 데이터 보호법상의 독립적인 개인정보처리자로서 자신의 책임을 적절히 이행할 수 있도록 하기 위해 합리적으로 필요한 범위 내에서 서로 협력하기로 동의합니다. 양 당사자는 판매자가 데이터 주체의 액세스 요청을 받는 경우, 또는 고객이 데이터 보호법상의 자신의 권리를 행사하는 경우 판매자는 해당 고객의 액세스 요청에 직접 응답해야 한다는 사실에 동의합니다. 또한 판매자는 www.paypal.com에서 제공하는 개인정보 취급방침에 설명된 안내에 따라 PayPal의 결제 처리 서비스와 관련하여 사용자의 데이터 주체 권리를 행사할 수 있음을 고객에게 알려야 합니다. 또한 보안 사건과 관련하여, PayPal이 피해 고객에게 통지해야 한다고 단독 결정을 내렸으나 그러한 통지를 하기 위해 필요한 피해 고객의 연락처 정보가 PayPal에 없는 경우, 판매자는 데이터 보호법상 피해 고객에 대한 PayPal의 관련 통지 의무 이행을 위해 제한적 목적으로 처리할 수 있는 고객 관련 정보를 PayPal에 제공하기 위해 상업적으로 합당한 노력을 기울여야 합니다.

해외 데이터 이전

양 당사자는 결제 처리 서비스 제공을 위해 필요한 경우 이 계약에 따라 처리되는 개인 데이터를 PayPal이 수집된 국가 외부로 이전할 수 있다는 사실에 동의합니다. PayPal이 이 부속서에 의해 보호되는 개인 데이터를 데이터 수집 국가의 관할 규제 당국이 적절하다고 판단하지 않은 국가로 이전하는 경우, PayPal은 관련 데이터 보호법에 따라 개인 데이터를 이전하기 위해 적절한 보호 조치의 시행을 보장할 것입니다. 예를 들어, GDPR을 준수하기 위해 PayPal은 소관 감독 당국이 승인한 구속력 있는 기업 규칙 및 고객 개인 데이터를 다른 PayPal 그룹 법인으로 이전하는 데 적용되는 기타 데이터 이전 메커니즘을 사용합니다.

유럽 연합, 스위스, 유럽 경제 지역 및/또는 그 회원국과 영국에 위치한 고객의 데이터를 사용자가 PayPal로 전송하는 것과 관련하여, 양 당사자는 (i) 이 계약에 대한 서명이 2004년 12월 27일자 EC 위원회 결정(C(2004)5721)에서 승인하는 개인정보처리자 간 표준 계약 조항(“C2C 전송 조항”)에 대한 판매자의 승인 및 수락으로 간주된다는 점 및 (ii) 이 계약에 대한 PayPal의 서명이 C2C 전송 조항에 대한 PayPal의 데이터 수령인으로서의 승인 및 수락으로 간주된다는 점에 동의합니다. 유럽 위원회가 개정 작업을 거친 후 신규 C2C 전송 조항을 공표한 경우 또는 유럽 위원회의 별도 요구나 시행이 있을 경우, 양 당사자는 그러한 신규 C2C 전송 조항이 현재의 C2C 전송 조항을 대체한다는 점에 동의합니다. C2C 전송 조항은 참조에 의해 이 계약에 포함되며, 이 계약이 발효되면 다음 세부정보에 따라 양 당사자 간에 정식으로 실행되는 것으로 간주됩니다.

  1. PayPal은 C2C 전송 조항의 제II장제II조제(h)항제(iii)호에 따라 PayPal이 고객 데이터를 처리할 것이라는 점 및 이 계약에 서명함으로써 PayPal이 해당 조항 제II조제(h)항제(iii)호를 적절히 서명 및 수락한 것으로 간주된다는 점에 동의합니다.
  2. 양 당사자는 C2C 전송 조항 부록 B에서 요구하는 세부정보가 별첨 1에 명시된 바에 부합한다는 점에 동의합니다.

별첨 1

C2C 전송 조항 부록 B

데이터 주체
다음 범주의 데이터 주체와 관계된 개인 데이터가 전송됩니다.

데이터 제공자 및 그 고객

전송의 목적
전송은 다음과 같은 목적을 위해 이루어집니다.

이 계약에 따라 데이터 수령자가 데이터 제공자에게 제공한 서비스를 수행할 목적

데이터 범주
전송된 개인 데이터는 다음 범주의 데이터를 포함할 수 있습니다.

고객 이름, 청구 금액, 날짜/시간, 은행계좌 세부정보, 결제카드 세부정보, CVC 코드, 우편번호, 국가 코드, 주소, 이메일 주소, 팩스, 전화, 웹사이트, 만료 데이터, 배송 세부정보, 납세자 구분, 고유 고객 식별자, IP 주소, 위치 및 PayPal이 이 계약에 따라 수령한 기타 모든 데이터

수취인
전송된 개인 데이터는 다음 수취인에게만 공개될 수 있습니다.

이 계약에 따라 서비스를 수행하는 데이터 수령자 측 서비스 제공업체, 계열사 및 인력

민감 데이터(해당하는 경우)
다음 범주의 민감 데이터에 해당하는 개인 데이터가 전송됩니다.

해당 없음(판매자가 해당 데이터를 캡처하는 서비스를 구성하는 경우는 예외)

데이터 제공자의 데이터 보호 등록 정보(해당하는 경우)

해당 없음.

그 밖에 유용한 정보(보관 한도 및 기타 관련 정보)

이 계약에 명시된 바를 따릅니다.

데이터 보호 문의를 처리하는 연락 담당자

데이터 수령자: 데이터 수령자 측 연락 담당자는 이 계약에서 확인할 수 있습니다.

데이터 제공자: 데이터 제공자 측 연락 담당자는 이 계약에서 확인할 수 있습니다.