개인정보처리자 간 SCC

>> 전체 이용약관 보기

개인정보처리자 간 SCC

 

최종 업데이트: 2022년 6월 8일

이러한 개인정보취급자 간 표준계약조항("SCC")은 판매자("귀하" 또는 "판매자")와 PayPal 간에 적용되는 PayPal 사용자 계약("계약")의 일부를 구성하며, 여기에 인용함으로써 본 계약에 통합됩니다. 본 SCC와 해당 계약 간 내용이 상충하는 경우에는 본 SCC의 내용이 우선합니다. 본 SCC 원문에 대문자로 표기되어 있으나 별도로 정의하지 않은 용어는 본 계약에서 정한 의미를 갖습니다.

적용 가능한 범위에서, (i) 귀하는 본 계약에 서명할 경우 판매자가 규정(EU) 2016/679("EU 전송 조항")에 따라 제3국으로 개인 데이터를 이전하는 것에 관한 표준 계약 조항을 다루는 2021년 6월 4일자 유럽 연합 집행위원회(EU) 시행 결정(EU) 2021/914에 서명하고 이를 수락한 것으로 간주되며, (ii) PayPal은 본 계약에 서명할 경우 PayPal이 데이터 수령자이자 개인정보처리자의 자격으로 EU 전송 조항에 서명하고 이를 수락한 것으로 간주되며, (iii) 당사자들은 EU 전송 조항 모듈 1 조항의 적용을 받게 됩니다.

유럽 연합 집행위원회가 개정 작업을 거쳐 새로운 EU 전송 조항을 공표(또는 유럽 연합 집행위원회에서 달리 요구 또는 시행)한 경우, 당사자들은 해당 신규 EU 전송 조항이 현재의 EU 전송 조항을 대체한다는 점과 이를 이행하기 위해 필요한 모든 조치를 취할 것이라는 점에 동의합니다.

EU 전송 조항(모듈1)은 여기에 인용함으로써 본 계약에 통합되며, 다음의 세부사항을 조건으로 하여 본 계약이 발효되는 일자에 당사자 간에 적법하게 작성된 것으로 간주합니다.​

  1. 제17조(준거법)의 옵션 1이 적용되며, EU 전송 조항은 룩셈부르크법에 따라 규율됩니다. 
  1. 제18조(재판지 및 관할지 선정)에 따라 EU 전송 조항에 기인하는 분쟁은 룩셈부르크 법원에서 해결합니다. 
  1. 당사자들은 EU 전송 조항 부속서에서 요구하는 세부사항이 별첨 1에 명시된 바에 부합한다는 점에 동의합니다.  

 

 

별첨 1

EU 전송 조항 부속서

부록 1.A. EU 전송 조항에 따라 필요한 범위에서 다음이 적용됩니다.

데이터 제공자

  • 이름 및 주소: 데이터 제공자는 판매자를 가리키며, 그 주소는 본 약정에 명시된 것과 같습니다.
  • 담당자의 이름, 직위 및 연락처 세부정보: 본 약정에 명시된 것과 같습니다.
  • 표준 계약 조항에 따라 전송된 데이터와 관련성을 가지는 활동: 본 약정에 명시된 것과 같습니다.
  • 서명 및 날짜: 본 SCC에 명시된 내용을 참고하시기 바랍니다.
  • 역할(개인정보처리자/처리자): 개인정보처리자

데이터 수령자

  • 이름 및 주소: 데이터 수령자는 본 약정에 따라 서비스를 제공하는 PayPal Group의 일원을 가리키며, 그 주소는 본 약정에서 명시된 것과 같습니다.
  • 담당자의 이름, 직위 및 연락처 세부정보: 본 약정에 명시된 것과 같습니다.
  • 표준 계약 조항에 따라 전송된 데이터와 관련성을 가지는 활동: 본 약정에 명시된 것과 같습니다.
  • 서명 및 날짜: 본 SCC에 명시된 내용을 참고하시기 바랍니다.
  • 역할(개인정보처리자/처리자): 개인정보처리자

 

부록 1.B. 전송 관련 설명

전송되는 개인 데이터의 주체
전송되는 개인 데이터의 주체는 다음 범주와 관련이 있습니다.

  • 데이터 수출자의 고객, 직원 및 기타 비즈니스 연락처.

전송 대상 개인 데이터의 범주

  • 이름, 청구 금액, 날짜/시간, 은행계좌 세부정보, 결제카드 세부정보, CVC 코드, 우편번호, 국가 코드, 주소, 이메일 주소, 팩스, 전화, 웹사이트, 만료 데이터, 배송 세부정보, 납세자 구분, 고유 고객 식별자, IP 주소, 위치 및 PayPal이 본 약정에 따라 수령한 기타 모든 데이터.

민감 데이터(해당하는 경우) 및 적용되는 제한 또는 보호 조치
전송된 개인 데이터는 다음 범주의 민감 데이터와 관련이 있습니다.

  • 해당 없음(판매자가 해당 데이터를 캡처하는 서비스를 구성하는 경우는 예외).

적용되는 제한 및 보호 조치:

  • 해당 없음(판매자가 해당 데이터를 캡처하는 서비스를 구성하는 경우는 예외).

처리의 특성

본 계약에 명시된 바를 따름.

데이터 전송의 목적

해당 데이터 전송은 다음의 목적을 위해 이뤄집니다.

  • 본 계약에 따라 데이터 수령자가 데이터 제공자에게 제공한 서비스를 수행할 목적.
  • 사기 활동을 비롯하여, 데이터 수령자, 데이터 제공자 또는 데이터 수령자 측 기타 고객에게 영향을 미칠 수 있는 위험을 식별할 목적.
  • 데이터 수령자에게 적용되는 법률 및 법 집행에 대한 요구 사항을 준수하기 위한 목적.
  • 데이터 수령자의 개인정보 취급방침에 명시된바, 이를 따르기 위한 목적.

개인 데이터의 보존 기간(또는 보존할 수 없는 경우의 보유 기간 결정 기준)

데이터 수령자는 관련된 수집 목적에 필요한 기간에만 개인 데이터를 보유합니다(상기 목적 참조). 적절한 개인 데이터 보유 기간을 결정하기 위해 데이터 수령자는 개인 데이터의 수량, 특성 및 민감도, 개인 데이터 무단 사용 또는 공개로 인한 잠재적 위험, 개인 데이터 처리 목적, 기타 수단을 통해 관련 목적을 달성할 수 있는지 여부 및 관련 법적/규제적/세무상 요건이나 기타 요건을 고려해야 합니다.

(하위) 처리자에게 전송을 할 경우에는 처리 목적, 특성 및 기간을 명시할 것

데이터 수령자는 자신의 지시에 따라 그리고 자신을 대신하여 서비스 및 기능을 수행하는 제3자 서비스 제공업체와 개인 데이터를 공유할 수 있습니다. 예를 들어, 제3자 서비스 제공업체는 고객 인증, 거래 처리 또는 고객 지원 등 본 약정에 따라 제공되는 서비스 요소를 제공하거나, 데이터 저장 등 본 약정에 따라 제공되는 서비스를 지원하는 서비스를 데이터 수령자에게 제공할 수 있습니다. 제3자 서비스 제공업체가 실시하는 처리 작업의 기간을 결정할 때 데이터 수령자는 부록 1.B의 위 조항에서 정한 기준을 적용해야 합니다.

부록 1.C. 감독 당국

EU 전송 조항 제13조제(a)항에 따라, 본 SCC에서 명시하는 데이터 전송과 관련하여 데이터 제공자가 규정(EU) 2016/679를 준수하도록 보장할 책임을 지는 감독 당국이 관할 감독 당국으로서 행위해야 합니다.

 

B. 데이터 보안을 보장하기 위한 기술적 및 조직적 조치 등

  1. 전송 중 데이터에 대한 가명화, 암호화 및 보호.

PayPal의 정책은 이 원칙의 준수를 보장하며, 개인 데이터가 공개될 위험을 방지하기 위해 기술적 제어 조치를 사용할 것을 요구합니다. PayPal은 모든 개인 데이터의 전송 및 저장 시에 암호화 기술을 사용합니다. 또한 PayPal은 토큰화와 같은 업계 표준 가명화 기술을 사용하여 개인 데이터를 보호합니다. PayPal은 데이터를 기업 내부에서 전송될 때 그리고 외부의 제3자에게 전송될 때 보호하기 위해 주요 의무와 절차를 명시하는 포괄적인 정책을 보유하고 있습니다.

  1. 변화 관리 및 비즈니스 지속성

PayPal의 강력한 변화 관리 절차는 변화의 내용이 적절하게 계획, 승인, 수정 및 검토되도록 하여 데이터와 시스템이 수명 주기 내내 안정적인 가용성 및 회복 탄력성을 제공하도록 합니다. 회사의 비즈니스 지속성 관리 절차를 통해 PayPal은 주요 이해관계자의 이익을 보호하는 효과적 대응 능력을 바탕으로 조직의 회복 탄력성을 유지하고 있습니다.

  1. 재해 복구.

PayPal의 강력한 재해 복구 프로그램은 심각한 중단이 발생할 경우 정보 또는 기술 시스템을 복구하는 절차를 갖추고 있으며, 이는 중요한 비즈니스 절차와 고객 활동을 지원하는 IT 시스템에 초점을 맞추고 있습니다. 기본 기능 및 보조 기능을 갖춘 PayPal의 기술 인프라는 다수의 보안 데이터 센터에 배치되며, 이들 각각은 네트워크 및 보안 인프라, 전용 애플리케이션, 데이터베이스 서버와 저장 장치를 갖추고 있습니다.

  1. 기술적 조치 및 조직적 조치의 효과에 대한 정기 테스트 및 평가.

PayPal은 회사의 테스트 프로그램 결과를 정기적으로 기획, 작성 및 보고하여 기술적 조치 및 조직적 조치의 효과를 평가합니다. 해당 프로그램은 테스트, 보고 및 복구에 필요한 정보를 획득 및 평가하기 위해 관련 이해관계자와 협업하는 PayPal의 기업 위험 및 규정 준수팀에서 관리합니다.

  1. 사용자 본인 확인 및 승인.

PayPal의 액세스 관리 절차에 따라 사용자는 다른 관련 애플리케이션에 액세스하기 전에 고유 기업 네트워크 계정 ID 및 사용자 식별 및 인증용 비밀번호를 사용하여 기업 네트워크에 로그인해야 합니다. 이때에는 비밀번호 구성, 길이, 변경, 재사용 및 잠금에 대한 정책이 자동으로 적용됩니다. 최소 권한 원칙을 적용하기 위해 매 분기에 각 직원은 모든 관련 시스템에서 액세스 및 승인에 대한 인증을 거쳐야 합니다.

  1. 개인 데이터를 처리하는 위치의 물리적 보안.

PayPal의 글로벌 안전 및 보안 정책 및 절차에서는 관련 법률, 규정 및 파트너 요건에 따라 견고한 안전 및 보안 절차(물리적 보안 포함)를 촉진하는 데 필요한 요건을 명시합니다. 회사 정보 보안 취급 기준에 따라 우편 취급실, 장비 저장소, 배송 및 수령 구역, 컴퓨터/서버실, 통신 보관소 또는 기밀 문서/정보 저장소 등 특별하거나 민감한 구역을 설정할 때에는 보안 시스템 및 보호 조치에 특별한 주의를 기울여야 합니다.

  1. 이벤트 로그 기록 및 구성.

PayPal은 이벤트 로그 기록 및 모니터링의 유형과 속성을 요약하고 정의해 두었습니다. 당사는 여러 유형의 로그를 수집한 후 중앙 보안 모니터링 시스템에서 집계합니다. 로그를 시스템에서 수집한 다음 중앙 보안 모니터링 시스템으로 전달할 때에는 표준 구성 관리 시스템이 적용됩니다. PayPal의 정책 및 지원 절차에서는 시스템 구성 및 강화된 기본 조치가 모든 시스템에서 적용돼야 함을 명시하고 있습니다.

  1. IT 거버넌스와 관리, 그리고 절차 및 제품의 인증과 보증.

PayPal은 회사 전반에 걸쳐 강력한 보안 철학을 추구합니다. 글로벌 기업인 PayPal의 정보 보안은 최고 정보 보안 책임자가 감독합니다. PayPal의 기업 위험 및 규정 준수 관리 프로그램의 일환인 기술 감독 및 정보 보안 프로그램은 기술 및 정보 보안 위험을 관리하고 정보 보안 위협에 대해 식별, 보호, 감지, 대응 및 복구 조치를 취할 때 회사를 지원할 목적으로 고안되었습니다. PayPal은 (i) 기술 산업 표준(ISO 27001, 결제 카드 산업(PCI) 관련 표준(DSS, PIN, P2PE 등), 미국 공인 회계사 협회(AICPA) SOC-1 및 SOC-2를 포함하나 이에 국한하지 않음)에 따라 PayPal이 지는 의무에 대한 감사 및 평가 프로그램, (ii) 서비스 솔루션의 개발 및 배포와 관련한 위험의 측정, 관리 및 모니터링을 쉽게 안내하고 그에 대한 표준 접근 방식을 제공하는 위험 관리 식별 절차(RCIP), (iii) 제품 및 소프트웨어 개발 절차의 초기 단계에 통합된 개인정보 영향 평가 프로그램 및 (iv) 제3자가 참여하는 기간 동안 지속적으로 위험을 관리하는 포괄적인 제3자 관리 프로그램 등 다양한 기업 프로그램을 통해 당사 절차 및 서비스를 인증 및 보증합니다.

  1. 데이터 최소화.

PayPal 정책에 의하면 기술적 통제 전체에 걸쳐 수집 및 생성된 데이터 요소는 적절성과 관련성이 있으며 처리 목적과 관련하여 필요한 것으로 한정됩니다. PayPal 개인정보 영향 평가 절차는 이러한 정책의 준수를 보장합니다.

  1. 데이터 품질 및 보관.

PayPal의 액세스 및 품질 정책에 따라 모든 개인 데이터는 정확하고 완전하며 최신 상태를 유지하며, 이로써 개별 사용자가 시스템에 액세스하여 자신의 세부정보(예: 주소, 연락처 세부정보 등)를 수정할 수 있습니다. 또한 데이터 주체로부터 수정 요청을 접수한 경우 PayPal은 데이터 주체가 수정 권리를 행사할 수 있도록 관련 서비스를 제공합니다. PayPal은 데이터 거버넌스 프로그램을 통해 필요시 데이터 품질, 문제 및 시정 조치를 모니터링합니다. PayPal은 PayPal의 법적, 규제적 및 비즈니스상 기록 보관 요건을 고려하여 모든 데이터를 비즈니스상 가치에 따라 분류하고 해당 데이터에 보관 기간을 할당할 것을 요구합니다. 보관 기간이 만료된 데이터 및 정보는 폐기, 삭제 또는 파기됩니다.

  1. 책무.

PayPal은 전사적 인식 제고 및 규정 준수 프로그램에 이해관계자가 참여하고 서로 협력하도록 고안됐으며 업계 표준에 부합하는 일련의 정보 보안, 기술, 데이터 거버넌스, 제3자 관리 및 개인정보 취급방침과 원칙을 개발하여 조직 전체에 걸쳐 하향식으로 참여 및 책임 부담 구조가 구축되도록 조처했습니다. 각 프로그램은 상호 기능 데이터와 관련한 의사 결정, 절차 및 통제 조치에 대해 당사자가 지는 책임을 정의합니다. 개인정보취급자로서 PayPal은 개인정보 취급방침을 시행하여 GDPR 및 기타 관련 데이터 보호법상 책임을 명시하는 해당 조항들을 준수해야 할 책임뿐만 아니라 개인정보 보호법, 규정, 정책 및 절차의 전사적 준수를 보장하는 단계별 형태의 기본 조직적 및 기술적 관리 체계를 준수할 책임을 지며, 동시에 이들의 준수 여부도 입증해야 합니다. PayPal이 해야 할 활동에는 1) 강력한 규정 준수 문화 조성, 2) 위험 및 규정 준수 거버넌스 체계(관리위원회, 감독 직책, 개인정보 관련 보고 시스템 포함)의 운영, 3) 개인정보 보호 프로그램 준수를 위한 비즈니스 부서의 책임 이행(비즈니스 절차 및 통제 조치의 수립, 문서화 및 유지관리 포함), 4) 개인정보 보호 프로그램에 대한 비즈니스의 준수 여부를 감시하고 비즈니스 부서에서 적용하는 정책, 기준, 절차 및 도구를 정의하는 기업 규정 준수 조직 산하 글로벌 개인정보 보호 부서의 설치, 5) 기업을 대상으로 글로벌 개인정보 보호 부서의 개인정보 보호에 대한 인식과 이해를 증진하는 교육 실시, 6) 일관된 절차를 사용하도록 보장하는 기업 위험 및 규정 준수 관리 체계의 운영(개인정보 보호 영향 평가, 개인정보 보호 모니터링 및 테스트, 개인정보 보호 문제 관리, 개인정보 보호 관련 교육, 연간 개인정보 보호 계획 포함), 7) 개인정보 보호 프로그램을 감독하는 관리 위원회에 대한 보고 및 분석 활동 수행 등의 방식으로 데이터 보호법 준수 여부를 입증하는 활동이 포함됩니다.

  1. 데이터 주체의 권리.

PayPal은 데이터 주체의 권리(액세스, 수정 및 삭제 권리 포함) 행사를 보장하는 프로그램을 마련했습니다. 데이터 삭제 요청은 PayPal이 별도 법적 및 규제적 의무를 지지 않는 한, 또는 해당 데이터를 보유해야 할 기타 법적인 비즈니스 사유가 존재하지 않는 한 이행됩니다. PayPal 정책은 고객이 서비스를 사용하는 동안 삭제가 이행될 것을 보장합니다.

  1. 처리자.

PayPal은 포괄적인 제3자 관리 프로그램을 통해 제3자가 서비스에 관여하는 동안 위험을 지속적으로 관리합니다. PayPal은 처리자와 그 하위 처리자가 처리 단계 전반에 걸쳐 포괄적인 데이터 보안 및 개인정보 보호 표준을 마련하도록 요구하는 계약상의 통제 조치를 적용하고 있습니다. 모든 하위 처리자는 서비스에 관여하기 전에 당사의 사전 승인을 받아야 합니다.