> > 모든 계약 보기

카드 처리 제품에 적용되는 PayPal 데이터 보호 부속서

 

최종 업데이트: 2021년 9월 10일

본 카드 처리 제품에 적용되는 PayPal 데이터 보호 부속서(본 "부속서")는 PayPal 그룹("PayPal") 구성원이 사용자 또는 판매자("판매자" 또는 "사용자")에게 카드 처리, 게이트웨이 및/또는 사기 방지 서비스("결제 서비스")를 제공하는 제품, 서비스 또는 기타 상품에 적용됩니다. 본 부속서는 PayPal로 지불하기 또는 PayPal의 나중에 결제 기능 등 PayPal 전자지갑 서비스에는 적용되지 않습니다. 본 부속서는 PayPal이 사용자에게 결제 서비스를 제공할 때 적용되는, 판매자와 PayPal 간 계약("계약")의 일부를 구성합니다. 본 부속서와 계약의 내용이 서로 충돌하는 경우에는 부속서의 내용이 우선합니다. 본 부속서에 정의되지 않은 대문자 용어는 본 계약에 명시된 의미를 갖습니다.

본 부속서는 (i) 본 계약에 명시된 효력발생일 또는 (ii) 본 부속서와 관련하여 게시됐거나 사용자에게 제공된 통지서에 명시된 효력발생일 중 나중에 도래하는 시점에 시행됩니다. PayPal은 본 부속서를 수시로 수정할 수 있습니다. 수정된 버전은 별도로 명시하지 않는 한, 당사 웹사이트에 게시한 시점부터 효력이 발생합니다. PayPal의 수정 작업으로 인해 사용자의 권리가 축소되거나 책임이 증가하는 경우, PayPal은 본 계약에서 요구하는 기간 내에 웹사이트의 "정책 업데이트" 페이지에 공지 사항을 게시합니다. 부속서 수정에 동의하지 않는 사용자는 언제든지 결제 서비스 사용을 중단할 수 있습니다.

정의
다음 용어는 본 부속서에서 다음에서 정하는 의미를 갖습니다.

"개인정보처리자"는 개인 데이터 처리의 목적과 수단을 결정하는 법인을 의미하며, 해당 용어(또는 이와 유사한 기능을 가지는 용어)가 데이터 보호법에 정의되어 있는 경우에는 "개인정보처리자"는 관련 데이터 보호법에 정의된 의미를 갖습니다.

"고객"은 본 부속서의 목적상 결제 서비스를 사용하는 고객을 말하며, 데이터 주체에 해당합니다.

"고객 데이터"는 (i) 고객이 판매자에게 제공하고 판매자가 결제 서비스를 사용하여 PayPal로 전달한 개인 데이터를 말하며, (ii) PayPal은 판매자가 결제 서비스를 사용할 때 고객의 기기 및 브라우저에서 고객 데이터를 수집할 수 있습니다.

"데이터 보호법"은 관련 데이터 보호법, 규정, 지침, 규제적 요건 및 결제 서비스에 적용되는 관련 실무 규범을 비롯해 이들의 수정본 및 관련 규정이나 법률 문서(예: 캘리포니아 소비자 개인정보보호법(2018)(캘리포니아 법전 제1798.100조 이하), 일반 데이터 보호 규정 (EU) 제2016/679호(GDPR), 호주 개인정보 보호법(1988)(Cth), 개인정보 보호 및 전자 문서법(캐나다), 개인 데이터(개인정보 보호) 조례(제486장)(홍콩), 브라질 일반데이터보호법(연방 법률 제13,709/2018호), 및 싱가포르 개인 데이터 보호법(2012))를 의미합니다.

"PayPal 그룹"은 PayPal, Inc. 및 PayPal 또는 그 승계자가 수시로 직간접적으로 소유 또는 지배하는 모든 회사를 의미합니다.

"개인 데이터"란 식별했거나 식별 가능한 자연인("데이터 주체")과 관련된 정보를 의미합니다. 식별 가능한 자연인이란 직간접적으로, 특히 해당 자연인의 이름, 식별 번호, 위치 데이터, 온라인 식별자를 참조하거나 해당 자연인의 신체적, 생리학적, 유전적, 정신적, 경제적, 문화적 또는 사회적 정체성과 관련된 하나 이상의 요소를 참조하여 식별할 수 있는 사람을 의미합니다.

본 부속서에서 사용하는 용어 "처리" 또는 이와 유사한 기능을 가지는 용어는 관련 데이터 보호법에서 정의한 의미를 갖습니다.

개인정보처리자로서의 PayPal

PayPal은 본 부속서에 따라 고객 데이터 처리와 관련하여 개인정보처리자에게 적용되는 데이터 보호법의 요건을 준수해야 합니다(여기에는 고객 데이터 처리와 관련하여 항상 적절한 보안 조치를 구현 및 유지하는 것이 포함되나 이에 국한되지 않습니다). 아울러 판매자의 데이터 보호법 위반을 초래할 수 있는 작업을 고객 데이터에 대해 고의로 수행하거나 허용해서는 안 됩니다. PayPal은 고객 데이터 보호에 대한 약관(본 부속서의 약관에서 정하는 것 이상의 보호 수준을 갖춰야 합니다)이 포함된 서면 계약에 서명해야 하는 제3자, 하위 처리자 또는 PayPal 그룹 구성원에게만 고객 데이터를 전송해야 합니다.

결제 처리 서비스와 관련한 고객 데이터의 처리

당사자들은 판매자 및 PayPal이 결제 서비스와 관련하여 처리된 모든 고객 데이터에 대해 각각 독립적인 개인정보처리자가 된다는 점을 인정하고 이에 동의합니다. 따라서 PayPal은 그러한 고객 데이터의 처리 목적과 수단을 독립적으로 결정하며, 그러한 고객 데이터와 관련하여 판매자와 공동 개인정보처리자로 간주되지 않습니다.

당사자들은 PayPal이 아래의 제한된 목적으로 고객 데이터 및 결제 거래 데이터를 사용, 복제, 처리할 수 있음을 인정하고 이에 동의합니다.

  • 판매자 및 고객에게 사기 방지 도구를 비롯해 결제 서비스를 합리적으로 필요한 범위에서 제공하고 개선할 목적
  • 부정 결제 거래를 모니터링, 방지 및 감지하고, 판매자, PayPal, 제3자에게 손해가 발생하지 않도록 예방할 목적
  • PayPal이 주체가 되는 결제 데이터의 처리 및 보관에 적용되는 법적 또는 규제적 의무를 비롯해 관련 자금 세탁 방지 및 신원 확인 의무를 준수할 목적
  • PayPal의 상품 및 서비스를 분석, 개발 및 개선할 목적
  • 내부적으로 사용할 목적(데이터 분석 및 통계를 포함하나 이에 국한되지 않음)
  • 개인 또는 사용자 고객 데이터를 식별할 수 없는 집계 자료에서 고객 데이터 및 결제 거래 데이터를 취합하여 공개할 목적(지역 또는 산업별 평균을 계산하는 것을 포함함)
  • 관련 법적 요건을 준수하고, 법에 따른 정보 공개 요청에 응답하여 법 집행 기관을 지원할 목적
  • 데이터 보호법에 부합하는 범위에서 PayPal이 판매자에게 통지하는 기타 목적

고객에 대한 판매자의 통지

판매자는 (i) PayPal이 본 부속서에 명시된 고객 데이터 처리 목적상 독립적인 개인정보처리자가 된다는 점을 개인정보 취급방식을 통해 고객에게 통지하고 (ii) 판매자의 개인정보 취급방침에 PayPal 개인정보 취급방침 링크를 포함시키기 위해 상업적으로 합당한 노력을 기울여야 합니다.

상호 지원

당사자들은 상대방 당사자가 데이터 보호법상 독립적인 개인정보처리자로서 자신이 지는 책임을 적절히 이행할 수 있도록 합리적으로 필요한 범위에서 상호 협력하는 데 동의합니다. 당사자들은 판매자가 데이터 주체로부터 액세스 요청을 받은 경우 또는 고객이 데이터 보호법상 자신이 가지는 권리를 행사하는 경우 판매자가 해당 고객의 액세스 요청에 직접 응답해야 한다는 점에 동의합니다. 또한 판매자는 www.paypal.com에서 확인 가능한 개인정보 취급방침에 명시된 안내에 따라 PayPal의 결제 서비스와 관련하여 데이터 주체로서의 권리를 행사할 수 있음을 고객에게 알려야 합니다. 또한 보안 사건과 관련하여 PayPal이 피해 고객에게 통지를 해야 한다고 자기 재량으로 결정을 내렸으나 그처럼 통지하는 데 필요한 피해 고객의 연락처 정보가 PayPal에 없는 경우, 판매자는 제한적 목적(데이터 보호법상 피해 고객에 대해 PayPal이 관련 통지 의무를 이행하게 하려는 목적 등)을 위해 판매자가 보유할 수 있는 고객 관련 정보를 PayPal에 제공하기 위해 상업적으로 합당한 노력을 기울여야 합니다.

데이터 해외 전송

당사자들은 PayPal이 본 계약에 따라 처리된 고객 데이터를 결제 서비스 제공을 위해 필요하다면 정보가 수집된 국가 외부로 고객 데이터를 전송할 수 있다는 데 동의합니다. PayPal이 본 부속서에 따라 보호되는 고객 데이터를 해당 데이터를 수집한 국가의 관련 규제 당국이 적절한 결정을 내릴 수 없는 관할 구역으로 전송하는 경우, PayPal은 관련 데이터 보호법에 따라 고객 데이터를 전송하기 위한 적절한 보호 조치를 적용하기로 합니다. 예를 들어, GDPR을 준수하기 위해 PayPal은 관할 감독 당국에서 승인한 법적 구속력 있는 사규 그리고 기타 데이터 전송 제도를 이용하여 다른 PayPal 그룹 구성원에게 고객 데이터를 전송합니다.

유럽 연합, 스위스, 유럽 경제 지역 및/또는 그 회원국과 영국에 위치한 고객의 데이터를 사용자가 PayPal로 전송하는 것과 관련하여, 당사자들은 (i) 본 계약에 사용자가 서명할 경우 2004년 12월 27일자 EC 위원회 결정(C(2004)5721)에서 승인하는 개인정보처리자 간 표준 계약 조항("C2C 전송 조항")에 대해 판매자가 승인 및 수락하는 것으로 간주된다는 점 및 (ii) 본 계약에 PayPal이 서명할 경우 C2C 전송 조항에 대해 PayPal이 데이터 수령인으로서 승인 및 수락하는 것으로 간주된다는 점에 동의합니다. 유럽 연합 집행위원회가 개정 작업을 거친 후 신규 C2C 전송 조항을 공표한 경우 또는 유럽 연합 집행위원회의 별도 요구나 시행이 있을 경우, 당사자들은 그러한 신규 C2C 전송 조항이 현행 C2C 전송 조항을 대체한다는 점에 동의합니다. C2C 전송 조항은 참조에 의해 본 계약에 통합되며, 본 계약이 발효되면 다음 세부정보에 따라 당사자들 간에 정식으로 실행되는 것으로 간주됩니다.

  1. PayPal은 C2C 전송 조항 제II장제II조제(h)항제(iii)호에 따라 PayPal이 고객 데이터를 처리할 것이라는 점 및 본 계약에 서명할 경우 PayPal이 해당 조항 제II조제(h)항제(iii)호에 대해 적절히 서명 및 수락한 것으로 간주된다는 점에 동의합니다.
  2. 당사자들은 C2C 전송 조항 부록 B에서 요구하는 세부정보가 별첨 1에 명시된 바에 부합한다는 점에 동의합니다.

별첨 1

C2C 전송 조항 부록 B

데이터 주체
다음 범주의 데이터 주체에 관한 개인 데이터가 전송됩니다.

데이터 제공자 및 그 고객

전송의 목적
전송은 다음의 목적을 위해 이루어집니다.

본 계약에 따라 데이터 수령자가 데이터 제공자에게 제공한 서비스를 수행할 목적.

데이터 범주
전송된 개인 데이터는 다음 범주의 데이터를 포함할 수 있습니다.

고객 이름, 청구 금액, 날짜/시간, 은행계좌 세부정보, 결제카드 세부정보, CVC 코드, 우편번호, 국가 코드, 주소, 이메일 주소, 팩스, 전화, 웹사이트, 만료 데이터, 배송 세부정보, 납세자 구분, 고유 고객 식별자, IP 주소, 위치 및 PayPal이 본 계약에 따라 수령한 기타 모든 데이터.

수취인
전송된 개인 데이터는 다음의 수취인에게만 공개될 수 있습니다.

본 계약에 따라 서비스를 수행하는 데이터 수령자 측 서비스 제공업체, 계열사 및 인력.

민감 데이터(해당하는 경우)
다음 범주의 민감 데이터에 해당하는 개인 데이터가 전송됩니다.

해당 없음(판매자가 해당 데이터를 캡처하는 서비스를 구성하는 경우는 예외).

데이터 제공자의 데이터 보호 등록 정보(해당하는 경우)

해당 없음.

그 밖에 유용한 정보(보관 한도 및 기타 관련 정보)

본 계약에 명시된 바를 따름.

데이터 보호 문의를 처리하는 연락 담당자

데이터 수령자: 데이터 수령자 측 연락 담당자는 본 계약에서 확인할 수 있습니다.

데이터 제공자: 데이터 제공자 측 연락 담당자는 본 계약에서 확인할 수 있습니다.